12.3.1 認証サーバと連携した検疫システムの構成
認証サーバと連携した検疫システムの基本構成,ネットワークの構成,および認証サーバを複数台構築する場合のシステム構成について説明します。
- <この項の構成>
- (1) 認証サーバと連携した検疫システムの基本構成
- (2) 認証サーバと連携した検疫システムのネットワーク構成
- (3) 認証サーバを複数台構築する場合のシステム構成
(1) 認証サーバと連携した検疫システムの基本構成
認証サーバと連携した検疫システムの基本構成を次に示します。
図12-8 認証サーバと連携した検疫システムの基本構成
![[図データ]](figure/zu122000.gif)
- 管理端末
- 管理者が資産管理データベースを参照してクライアントの資産情報を管理したり,クライアントのセキュリティ対策状況の監視やアクションを実施したりする端末です。AIMの画面を使用します。
- 管理サーバ
- 資産管理データベースでクライアントのインベントリ情報を管理し,セキュリティポリシーに基づいてクライアントの危険レベルを判定します。また,危険レベルに応じたアクションを指示します。
- 加えて,セキュリティ対策のための修正パッチなどをパッケージングします。
- 認証サーバ
- IEEE802.1X認証方式またはMAC認証方式で,クライアントを認証します。
- また,管理サーバからのアクション(ネットワーク接続の拒否・許可)やリモート管理サーバからのネットワーク制御コマンド(cscnetctrl)の指示に従って接続制御リストを更新し,接続制御リストに基づいたクライアントの接続先の切り替えをスイッチに指示します。
- リモート管理サーバ
- リモート管理サーバにインストールされているウィルス対策製品と連携してウィルス対策製品の判定ポリシーを自動更新する場合や,他システムからクライアントのネットワーク接続を制御する場合に構築するシステム構成です。
- リモート管理サーバには,JP1/NETM/CSC - Manager Remote Optionをインストールします。
- 判定ポリシーの自動更新対象クライアント
- ウィルス対策製品の判定ポリシーの自動更新で連携するウィルス対策製品が,インストールされているクライアントです。クライアントにインストールされているウィルス対策製品の更新情報を基に,ウィルス対策製品の判定ポリシー定義を自動で更新する場合に必要です。
- 治療サーバ
- クライアントのセキュリティ対策を実施するため,検疫ネットワークに接続されたクライアントと通信します。
- Microsoft Software Update Servicesやウィルス対策製品をインストールしておくと,これらの製品を使用したセキュリティ対策を実施することもできます。
- なお,Microsoft Software Update Servicesやウィルス対策製品をインストールしたサーバを別に構築することもできます。
- クライアント
- 検疫システムでの管理対象です。クライアントからインベントリ情報が管理サーバに通知され,このインベントリ情報に対して,管理サーバでセキュリティポリシーに基づいて,危険レベルが判定されます。
- なお,IEEE802.1X認証方式の場合,それに対応したWindows標準のサプリカントを必要とします。
- スイッチ
- IEEE802.1X認証方式またはMAC認証方式に対応したスイッチです。
- 動的VLAN環境の場合,認証サーバからのネットワークの接続制御の指示を受け,VLANでクライアントの接続先を切り替えます。固定VLAN環境の場合,認証サーバからの認証結果に従って,クライアントの社内ネットワークへの接続を制御します。
(2) 認証サーバと連携した検疫システムのネットワーク構成
認証サーバと連携した検疫システムのネットワーク構成について説明します。
(a) 動的VLAN環境の認証サーバと連携した検疫システムの場合
動的VLAN環境の認証サーバと連携した検疫システムでは,IEEE802.1X認証方式に対応したスイッチのVLANを使用して社内ネットワーク,検疫ネットワークなどを設定します。
動的VLAN環境の認証サーバと連携した検疫システムのネットワーク構成例を次に示します。
図12-9 認証サーバと連携した検疫システムのネットワーク構成の例(動的VLAN環境の場合)
![[図データ]](figure/zu122100.gif)
クライアントのセキュリティ対策用の検疫ネットワーク,治療サーバのあるネットワーク,社内ネットワークをVLANで区切ります。検疫ネットワークの通信は,治療サーバのあるネットワークとだけ許可するよう設定します。
なお,推奨のネットワーク構成およびネットワーク間の通信などの詳細については,「13.2.3 ネットワーク制御機器を設定する(動的VLAN環境の場合)」を参照してください。
(b) 固定VLAN環境の認証サーバと連携した検疫システムの場合
固定VLAN環境の認証サーバと連携した検疫システムでは,IEEE802.1X認証方式またはMAC認証方式に対応したスイッチを使用して社内ネットワークと認証前ネットワークを切り分けます。
固定VLAN環境の認証サーバと連携した検疫システムのネットワーク構成例を次に示します。
図12-10 認証サーバと連携した検疫システムのネットワーク構成の例(固定VLAN環境の場合)
![[図データ]](figure/zu122150.gif)
危険レベルの高いクライアントは社内ネットワークへの接続が制御され,認証前ネットワークに接続されます。認証前ネットワークの通信は,治療サーバのあるネットワークとだけ許可するように設定します。
なお,推奨のネットワーク構成の詳細については,「13.2.4 ネットワーク制御機器を設定する(固定VLAN環境の場合)」を参照してください。
(3) 認証サーバを複数台構築する場合のシステム構成
認証サーバと連携した検疫システムで,管理対象のクライアント数が多い場合,認証サーバを複数台構築して認証処理の負荷を分散できます。
認証サーバを複数台構築する場合のシステム構成を次に示します。
図12-11 認証サーバを複数台構築する場合のシステム構成
![[図データ]](figure/zu122200.gif)