Identity Awareness Software Blade

アクセス・ロールの設定

Identity Awareness Software Blade では、ユーザ、ユーザ・グループ、マシンのアイデンティティ・インテリジェンスをセキュリティ防御に容易に追加できます。

ネットワーク全体でのアイデンティティ認識を実現し、企業ネットワークへのアクセスを特定のグループやユーザに制限

複数のユーザ識別方法

Identity Awareness Software Blade では、クライアントレス、専用ポータル、アイデンティティ・エージェントなど、複数の方法でユーザのアイデンティティを取得できます。対応する他の Software Blade は、このアイデンティティ情報に基づいてユーザ・ベースのポリシーを適用、実施することができます。

• クライアントレス： 素早く簡単に導入することができます。Active Directory を利用し、ユーザからは完全に透過的に導入を行うことができます。Active Directory サーバやクライアント・マシンに追加ソフトウェアをインストールする必要はありません。
• 未知のユーザのアイデンティティを取得する場合に使用し、ドメインに属していないエンドポイントにもセキュリティを適用できます。この場合ユーザは、Web インタフェースを介して認証を受けることで、対応するユーザ・プロファイルに定義されたリソースへアクセスできるようになります。
• アイデンティティ・エージェント： ユーザのコンピュータにインストールする専用クライアント・エージェントで、ユーザのアイデンティティを取得し、セキュリティ・ゲートウェイに通知するために使用されます。アイデンティティ・エージェントでは、次のような機能を利用できます。
  • Kerberos ベースのシングル・サインオン（SSO）による透過的な認証（ユーザがドメインにログインしている場合）
  • セキュリティの追加： IPスプーフィング攻撃を防ぐ特許取得済みのパケット・タグ付け技術。Kerberos ベースの強力なユーザおよびマシン認証機能も利用可能

導入ウィザード

Identity Awareness Software Blade では、導入ウィザードを実行して素早く簡単にアイデンティティ・インテリジェンスを追加できます。簡単な手順で、ユーザ、ユーザ・グループ、マシンのアイデンティティ認識機能を追加して重要な情報を入手し、セキュリティ・インフラストラクチャ全体でこれらの情報を基にしたポリシーを実施できます。

ステップ1: ユーザの認識方法を選択します。

ステップ2: 要求されたドメインのActive Directoryの認証情報を入力します。

ステップ3: 専用ポータル経由でアイデンティティ情報を取得するために要求するルールを作成します。

これで作業は完了し、Identity Awareness Software Blade によってアイデンティティ情報が取得されます。
必要に応じて、ウィザードで設定したオプションを変更したり、アイデンティティ・エージェントなど別の方法を導入したりすることができます。

アイデンティティの共有

アイデンティティ情報は必要に応じて、単一のゲートウェイまたはネットワーク全体で簡単に共有できます。複数のゲートウェイが導入されている環境（支社や支店が複数ある、複数のゲートウェイで内部リソースを保護している、など）では、アイデンティティを単一のゲートウェイで取得し、すべてのゲートウェイで共有することが可能です。アイデンティティの共有には、次のようなメリットがあります。

• ワンタイム・ユーザ認証： ユーザ・アイデンティティはゲートウェイ間で共有されるため、ネットワーク上のユーザはどこからでも許可されたリソースへのアクセスが可能
• 複数の場所からActive Directoryルックアップが行われることによるネットワークへの負荷増大を防止
• Active Directoryサーバおよび同期の実装を簡素化

Software Blade アーキテクチャとの統合

Identity Awareness Software Blade は Software Blade アーキテクチャ に統合されています。そのため、チェック・ポイントの既存のセキュリティ・ゲートウェイ（UTM-1、Power-1、IP Appliance、IAS アプライアンスなどのチェック・ポイント・アプライアンスやオープン・サーバ・プラットフォーム）に迅速かつ容易に導入することができます。既存のセキュリティ・インフラストラクチャをそのまま活用することで、時間とコストの節約が可能です。