H3C iMC EAD

EADソリューションを一覧で見る

以下の図に示すように、EADソリューションはユーザーエンドポイントのネットワークアクセスを次のように許可します。

1. ユーザーがネットワークにアクセスしようとすると、EADソリューションはまずユーザーの身元を確認します。

2. ユーザーが身元確認を通過すると、EADソリューションはユーザーエンドポイントでセキュリティ認証を実行します。

カスタマイズされたセキュリティポリシーに基づいて、次の項目が検査されます：

ウイルス定義の更新、システムの更新、ホワイトリストとブラックリストに登録されたソフトウェア、USBストレージデバイスやその他周辺機器の使用、ソフトウェアおよびハードウェア資産。

3. EADソリューションは、セキュリティチェックの結果に基づいて、利用可能なネットワークリソースをユーザーに許可します。 ユーザーが隔離ゾーンに配置された場合、ユーザーはセキュリティ認証に合格するためにエンドポイントの脆弱性を修正する必要があります。

4. ユーザーがセキュリティ認証をパスした後、ユーザーは企業ネットワークにアクセスすることができます。EADソリューションは、ユーザーのエンドポイントの実行状態とネットワークの動作も監査・監視します。

EADソリューションのワークフロー

ネットワークアーキテクチャ

以下の図に示されているように、EADネットワークには以下のコンポーネントが含まれています。

セキュリティクライアント：ユーザーエンドポイントにインストールされ、H3C iNodeクライアントはID認証を開始し、エンドポイントでセキュリティチェックを実行します。

セキュリティコラボレーションデバイス：スイッチ、ルーター、VPNゲートウェイデバイスを含みます。EADソリューションは、セキュリティ連携デバイスをアクセス・レイヤーやディストリビューション・レイヤーに展開できます。

EADセキュリティポリシーサーバー：セキュリティポリシーをクライアントに割り当て、セキュリティチェック結果を受信し承認し、セキュリティ連携デバイスを通じてネットワークリソースをクライアントに許可します。

サードパーティのサーバー： 隔離ゾーンに展開されたサードパーティのサーバーには、アップデートサーバー、ウイルス定義サーバー、セキュリティプロキシサーバーが含まれています。

ユーザーがID認証に合格しても、セキュリティ認証に失敗した場合、EADはユーザーを隔離ゾーンに配置します。

ユーザーは、セキュリティポリシーの要件を満たすまで、隔離ゾーン内のサードパーティーサーバーを使用してセキュリティの脆弱性を修正します。

EADソリューションのネットワークアーキテクチャ

特徴とメリット

全方位入場制御

あらゆるアクセス制御を備えたEADは、LAN、WAN、VPN、および無線ネットワークアクセス方法をサポートし、HubやCiscoデバイスを含む異種ネットワークに展開することができます。

どこからでも、これらの方法のいずれかを使用してネットワークに安全にアクセスできます。

厳格な身元確認

EAD ソリューションは、次のID認証タイプをサポートしています。

ユーザ名とパスワードに基づく認証。

ユーザー ID とエンドポイント (MAC アドレス、IP アドレス、VLAN) 又はアクセス デバイス (IP アドレスとポート番号) の特定の情報との間のバインディングに基づいて強化された認証。

インテリジェントカードとデジタル証明書による強化認証。

完全なセキュリティ状態評価

管理者は、EADがセキュリティ認証のためにエンドポイントで以下の項目をチェックできるように、セキュリティポリシーをカスタマイズすることができます：

ウイルス定義のバージョン、パッチの更新、アプリケーション、プロキシーのステータス、ダイヤルアップの設定、USBストレージデバイス、周辺デバイス、およびデスクトップ資産。

EADクライアントは、Symantec、MacAfee、Trend Micro、Kasperskyなどの主要なベンダーのアンチウイルス製品と連携し、Microsoft SMS、LANDesk、BigFixなどを含む高度なデスクトップセキュリティ製品をサポートしています。

EADがMicrosoft SMSと連携する場合、EADはネットワークアクセスを制御し、SMSはさまざまなWindows環境での資産管理、パッチの更新、ソフトウェアの配布およびインストールを管理します。

正確な特権制御

ユーザーエンドポイントがセキュリティチェックを通過した後、EADはエンドポイントユーザーの役割に基づいてセキュリティコラボレーションデバイスにアクセス制御ポリシーを割り当てます。

ユーザーのネットワーク動作はポリシーによって制御されます。

EADは、次のパラメータを設定することにより、管理者がエンドポイントユーザーを一元管理することを可能にします：ユーザーVLAN、ACL、プロキシサービス、およびデュアルNICの使用。

セキュリティポリシーの柔軟なカスタマイズ

管理者はセキュリティポリシーをカスタマイズして、EADがユーザーID（例：VIPゲスト、一般ゲスト、従業員）に基づいてセキュリティチェック方法と処理モードを適用することができます。

利用できる処理モードには、監視、通知、分離、およびキックアウトがあります。

デスクトップ資産と周辺機器の包括的な監視と管理

EADソリューションは、エンドポイントのハードウェアとソフトウェアの使用状況や変更を監視し、エンドポイントの資産構成の管理、統合ソフトウェア配信、リモートデスクトップ制御によってデスクトップの資産を管理します。 USBストレージデバイスおよびその他の周辺機器を管理し、情報漏洩を防止し、USBストレージデバイスを介したファイルのコピーのユーザーの行動を監視します。

簡単に展開可能なクライアント

ユーザーがネットワークにアクセスすると、EADサーバーは自動的にユーザーエンドポイントにEADクライアントをプッシュして、識別認証とセキュリティチェックを行い、ユーザーのネットワークの振る舞いを変える事なく、ネットワークのセキュリティを保証します。

マルチレベル高可用性

ステートレスフェイルオーバーとホットバックアップ機能により、単一障害点と認証プロセスの中断が効果的に回避され、EAD サーバーに障害が発生した場合、ユーザーは認証をバイパスしてネットワーク リソースにアクセスできます。

拡張性のあるオープンソリューション

EADソリューションの拡張されたオープンなフレームワークにより、ユーザーの投資を大幅に保護します。 EADは、ウイルス定義、オペレーティングシステム、デスクトップセキュリティ製品の国内外のベンダーと深く広く協力し、彼らの利点を最大限に活用します。標準のオープンなプロトコルに基づいて、EADフレームワーク内の相互運用は簡単に実装できます。

LANネットワーク向けのEADソリューション

通常、エンドポイントは企業ネットワーク内のスイッチを介してネットワークにアクセスします。EADサーバーとスイッチの連携により、ウイルス定義とシステム更新に対して強制的なセキュリティチェックが行われ、ウイルスやワームの蔓延するリスクが減少します。

EADサーバーは、内部のセキュリティ脅威をブロックするために、アクセスユーザーにセキュリティポリシーをスイッチ経由で割り当てます。

WANネットワークのEADソリューション

大規模な企業の支店やパートナーは通常、専用回線またはWANネットワークを介して企業本部にアクセスします。

このアクセス方法は、企業の内部ネットワークに重大なセキュリティリスクをもたらす可能性があります。内部ネットワークのセキュリティを確保するためには、支店ネットワークの出口ルーターまたはエンタープライズネットワークの入り口ルーターまたはゲートウェイにアドミッションコントロールを展開します。正当な身分を持ち、セキュリティ要件を満たしているユーザーのみが内部ネットワークにアクセスすることができます。

VPN接続のためのEADソリューション

モバイル社員やパートナーが企業内ネットワークにアクセスできるようにするために、EADはVPNゲートウェイと連携して、ユーザーエンドポイントのセキュリティ状態をチェックし、これらのユーザーが認証をパスした後、セキュリティポリシーを割り当てます。

ユーザーがセキュリティクライアントがインストールされていない場合、管理者はユーザーのネットワークアクセスを拒否または制限することができます。

WLANネットワークのEADソリューション

ゲストとモバイルユーザーが企業ネットワークへのアクセスに無線NICを使用することが増えるにつれて、セキュリティの課題が増加します。

EADサーバーは、FIT APおよびACと連携して強制ID認証とセキュリティ状態チェックを実行し、ユーザーがネットワークに安全かつ迅速にアクセスできるようにします。