アイデンティティ ポリシーの概要
接続に関連付けられているユーザーを検出するためにアイデンティティ ポリシーを使用できます。ユーザーを識別することで、脅威、エンドポイント、およびネットワーク インテリジェンスをユーザー ID 情報に関連付けることができます。ネットワーク動作、トラフィック、およびイベントを個別のユーザーに直接リンクすることによって、ポリシー違反、攻撃、またはネットワークの脆弱性の発生源の特定に役立てることができます。
たとえば、侵入イベントのターゲットとされたホストを誰が所有し、誰が内部攻撃やポート スキャンを開始したかを確認できます。また、高帯域幅のユーザーや、望ましくない Web サイトまたはアプリケーションにアクセスしているユーザーを確認することもできます。
ユーザーの検出は、分析用のデータを収集するだけではありません。ユーザ アイデンティティに基づいてリソースへのアクセスを選択的に許可またはブロックできるようユーザ名やユーザ グループ名に基づくアクセス ルールを作成することもできます。
ユーザ アイデンティティは、次の方法で取得できます。
-
パッシブ認証:すべてのタイプの接続で、ユーザ名とパスワードを求められることなく、その他の認証サービスからユーザ アイデンティティを取得します。
-
アクティブ認証:HTTP 接続でのみ、ユーザ名とパスワードの入力が求められ、送信元 IP アドレスのユーザ アイデンティティを取得するために指定のアイデンティティ ソースに対する認証が行われます。
ここでは、ユーザー アイデンティティについて詳しく説明します。
パッシブ認証によるユーザー アイデンティティの確立
パッシブ認証では、ユーザーにユーザー名とパスワードを求めることなくユーザー ID を収集します。システムは、指定したアイデンティティ ソースからマッピングを取得します。
ユーザと IP アドレスのマッピングは次のソースから受動的に取得できます。
-
リモート アクセス VPN ログイン。パッシブ アイデンティティについては次のユーザ タイプがサポートされています。
-
外部認証サーバで定義されたユーザ アカウント。
-
Device Manager で定義されたローカルユーザーアカウント。
-
-
Cisco Identity Services Engine(ISE)、Cisco Identity Services Engine Passive Identity Connector(ISE PIC)。
特定のユーザーが複数のソースによって識別される場合は、RA VPN ID が優先されます。
アクティブ認証によるユーザー ID の確立
認証は、ユーザのアイデンティティを確認する動作です。
アクティブ認証を使用すると、HTTP トラフィック フローがユーザー ID のマッピングがないシステムの IP アドレスから送られてきたときに、ネットワークに設定されたディレクトリを使用して、トラフィック フローを開始したユーザーを認証するかどうかを決定できます。ユーザーが正常に認証された場合、IP アドレスは認証されたユーザーの識別情報を保持していると見なされます。
認証が失敗しても、ユーザーのネットワーク アクセスは妨げられません。アクセス ルールは最終的に、これらのユーザーにどのアクセスを提供するか決定します。
不明なユーザーの対処
アイデンティティ ポリシーのディレクトリ サーバーを設定すると、システムはディレクトリ サーバーからユーザーおよびグループ メンバーシップ情報をダウンロードします。この情報は、24 時間ごとに夜中に更新されるか、またはディレクトリ設定を編集して保存するたびに(変更がなくても)更新されます。
アクティブな認証アイデンティティ ルールによって求められた認証に成功したにも関わらず、ユーザー名がダウンロードしたユーザー ID 情報の中に存在しない場合、不明なユーザーとしてマークされます。ID 関連のダッシュボードにそのユーザーの ID は表示されず、ユーザー一致グループ ルールにも検出されません。
ただし、不明なユーザーに対するアクセス コントロール ルールが適用されます。たとえば、不明なユーザーの接続をブロックすると、これらのユーザーは、たとえ認証に成功(ディレクトリ サーバーがユーザーとパスワードが有効であると認識したことを意味する)してもブロックされます。
そのため、ユーザーの追加や削除、グループ メンバーシップの変更などをディレクトリ サーバーに加えた場合、システムがディレクトリから更新情報をダウンロードするまで、これらの変更はポリシーの適用に反映されません。
真夜中の日次更新まで待てず、すぐに更新を適用させる必要がある場合は、ディレクトリのレルム情報を編集します( をクリックして、変更を展開します。システムはただちに更新情報をダウンロードします。
に移動し、レルムを編集する)。[保存(Save)](注) |
新規に追加したユーザー、または削除したユーザーの情報がシステムに反映されているかどうかを確認するには、 ボタンをクリックします。[ユーザー(Users)] タブに表示されたユーザーのリストを確認してください。新規ユーザーを検出できないか、または削除されたユーザーが検出される場合、システムには古い情報があります。 を選択して、[ルールの追加(+)(Add Rule (+))] |