アイデンティティ ポリシーの概要
接続に関連付けられているユーザを検出するためにアイデンティティ ポリシーを使用できます。ユーザを識別することで、脅威、エンドポイント、およびネットワーク インテリジェンスをユーザ ID 情報に関連付けることができます。ネットワーク動作、トラフィック、およびイベントを個別のユーザに直接リンクすることによって、ポリシー違反、攻撃、またはネットワークの脆弱性の発生源の特定に役立てることができます。
たとえば、侵入イベントのターゲットとされたホストを誰が所有し、誰が内部攻撃やポート スキャンを開始したかを確認できます。また、高帯域幅のユーザや、望ましくない Web サイトまたはアプリケーションにアクセスしているユーザを確認することもできます。
ユーザの検出は、分析用のデータを収集するだけではありません。ユーザ アイデンティティに基づいてリソースへのアクセスを選択的に許可またはブロックできるようユーザ名やユーザ グループ名に基づくアクセス ルールを作成することもできます。
ユーザ アイデンティティは、次の方法で取得できます。
-
パッシブ認証:すべてのタイプの接続で、ユーザ名とパスワードを求められることなく、その他の認証サービスからユーザ アイデンティティを取得します。
-
アクティブ認証:HTTP 接続でのみ、ユーザ名とパスワードの入力が求められ、送信元 IP アドレスのユーザ アイデンティティを取得するために指定のアイデンティティ ソースに対する認証が行われます。
ここでは、ユーザ アイデンティティについて詳しく説明します。
パッシブ認証によるユーザ アイデンティティの確立
パッシブ認証では、ユーザにユーザ名とパスワードを求めることなくユーザ ID を収集します。システムは、指定したアイデンティティ ソースからマッピングを取得します。
ユーザと IP アドレスのマッピングは次のソースから受動的に取得できます。
-
リモート アクセス VPN ログイン。パッシブ アイデンティティについては次のユーザ タイプがサポートされています。
-
外部認証サーバで定義されたユーザ アカウント。
-
Firepower Device Manager で定義されたローカル ユーザ アカウント。
-
-
Cisco Identity Services Engine(ISE)、Cisco Identity Services Engine Passive Identity Connector(ISE PIC)。
特定のユーザが複数のソースによって識別される場合は、RA VPN ID が優先されます。
アクティブ認証によるユーザ ID の確立
認証は、ユーザのアイデンティティを確認する動作です。
アクティブ認証を使用すると、HTTP トラフィック フローがユーザ ID のマッピングがないシステムの IP アドレスから送られてきたときに、ネットワークに設定されたディレクトリを使用して、トラフィック フローを開始したユーザを認証するかどうかを決定できます。ユーザが正常に認証された場合、IP アドレスは認証されたユーザの識別情報を保持していると見なされます。
認証が失敗しても、ユーザのネットワーク アクセスは妨げられません。アクセス ルールは最終的に、これらのユーザにどのアクセスを提供するか決定します。
不明なユーザの対処
アイデンティティ ポリシーのディレクトリ サーバを設定すると、システムはディレクトリ サーバからユーザおよびグループ メンバーシップ情報をダウンロードします。この情報は、24 時間ごとに夜中に更新されるか、またはディレクトリ設定を編集して保存するたびに(変更がなくても)更新されます。
アクティブな認証アイデンティティ ルールによって求められた認証に成功したにも関わらず、ユーザ名がダウンロードしたユーザ ID 情報の中に存在しない場合、不明なユーザとしてマークされます。ID 関連のダッシュボードにそのユーザの ID は表示されず、ユーザ一致グループ ルールにも検出されません。
ただし、不明なユーザに対するアクセス コントロール ルールが適用されます。たとえば、不明なユーザの接続をブロックすると、これらのユーザは、たとえ認証に成功(ディレクトリ サーバがユーザとパスワードが有効であると認識したことを意味する)してもブロックされます。
そのため、ユーザの追加や削除、グループ メンバーシップの変更などをディレクトリ サーバに加えた場合、システムがディレクトリから更新情報をダウンロードするまで、これらの変更はポリシーの適用に反映されません。
真夜中の日次更新まで待てず、すぐに更新を適用させる必要がある場合は、ディレクトリのレルム情報を編集します( をクリックして、変更を展開します。システムはただちに更新情報をダウンロードします。
に移動し、レルムを編集する)。[保存(Save)](注) |
新規に追加したユーザ、または削除したユーザの情報がシステムに反映されているかどうかを確認するには、 ボタンをクリックします。[ユーザ(Users)] タブに表示されたユーザのリストを確認してください。新規ユーザを検出できないか、または削除されたユーザが検出される場合、システムには古い情報があります。 を選択して、[ルールの追加(+)(Add Rule (+))] |