Network-security-access-control

提供:Dev Guides
移動先:案内検索

ネットワークセキュリティ-アクセス制御

ネットワークアクセス制御は、ネットワークリソースの可用性を組織のセキュリティポリシーに準拠するエンドポイントデバイスに制限することにより、組織のプライベートネットワークのセキュリティを強化する方法です。 典型的なネットワークアクセス制御スキームは、制限付きアクセスやネットワーク境界保護などの2つの主要なコンポーネントで構成されています。

ネットワークデバイスへのアクセス制限は、ネットワークシステムに対するさまざまなユーザーの識別と認証を行うユーザー認証と承認制御によって実現されます。 承認は、保護されたリソースへの特定のアクセス許可を付与または拒否するプロセスです。

  • ネットワーク境界保護*は、ネットワークの内外への論理的な接続を制御します。 たとえば、複数のファイアウォールを展開して、ネットワークシステムへの不正アクセスを防止できます。 また、侵入検知および防止技術を展開して、インターネットからの攻撃を防御できます。

この章では、さまざまな種類のファイアウォールと侵入検知システムが続くネットワークアクセスのユーザー識別と認証の方法について説明します。

ネットワークデバイスへのアクセスの保護

ネットワーク上のデバイスへのアクセスを制限することは、ネットワークを保護するための非常に重要な手順です。 ネットワークデバイスは通信とコンピューティング機器で構成されているため、これらのセキュリティを侵害すると、ネットワーク全体とそのリソースがダウンする可能性があります。

逆説的に、多くの組織はサーバーとアプリケーションの優れたセキュリティを確保していますが、ネットワークデバイスの通信には基本的なセキュリティを残しています。

ネットワークデバイスセキュリティの重要な側面は、アクセス制御と承認です。 これらの2つの要件に対処し、ネットワークセキュリティをより高いレベルに強化するために、多くのプロトコルが開発されています。

ユーザー認証と承認

ユーザー認証は、ネットワークシステム、特にネットワークインフラストラクチャデバイスへのアクセスを制御するために必要です。 認証には、一般アクセス認証と機能許可の2つの側面があります。

一般アクセス認証は、特定のユーザーが接続しようとしているシステムへの「任意の」タイプのアクセス権を持っているかどうかを制御する方法です。 通常、この種のアクセスは、そのシステムに「アカウント」を持っているユーザーに関連付けられています。 承認は、個々のユーザーの「権利」を扱います。 たとえば、ユーザーが認証されると何ができるかを決定します。ユーザーは、デバイスの構成またはデータの表示のみを許可される場合があります。

ユーザー認証は、自分が知っているもの(パスワード)、持っているもの(暗号化トークン)、または自分のもの(生体認証)を含む要因に依存します。 識別と認証に複数の要素を使用すると、多要素認証の基礎が提供されます。

パスワードベースの認証

最低でも、すべてのネットワークデバイスにユーザー名とパスワードの認証が必要です。 パスワードは重要なものでなければなりません(少なくとも10文字、アルファベット、数字、記号が混在している)。

ユーザーによるリモートアクセスの場合、ネットワークを介してユーザー名とパスワードが平文で渡されないようにする方法を使用する必要があります。 また、パスワードもある程度の頻度で変更する必要があります。

集中認証方法

個々のデバイスベースの認証システムは、基本的なアクセス制御手段を提供します。 ただし、ネットワークに多数のデバイスがあり、これらのデバイスに多数のユーザーがアクセスしている場合、集中認証方式はより効果的かつ効率的であると見なされます。

従来、集中型認証は、リモートネットワークアクセスで直面する問題を解決するために使用されていました。 リモートアクセスシステム(RAS)では、ネットワークデバイス上のユーザーの管理は実用的ではありません。 すべてのデバイスにすべてのユーザー情報を配置し、その情報を最新の状態に保つことは、管理上の悪夢です。

RADIUSやKerberosなどの一元化された認証システムは、この問題を解決します。 これらの一元化された方法により、ユーザー情報を1か所に保存および管理できます。 これらのシステムは通常、MicrosoftのActive DirectoryやLDAPディレクトリなどの他のユーザーアカウント管理スキームとシームレスに統合できます。 ほとんどのRADIUSサーバーは、通常のRADIUSプロトコルで他のネットワークデバイスと通信し、ディレクトリに保存されているアカウント情報に安全にアクセスできます。

集中認証方式

たとえば、Microsoftのインターネット認証サーバー(IAS)は、RADIUSとActive Directoryをブリッジして、デバイスのユーザーに集中認証を提供します。 また、ユーザーアカウント情報がMicrosoftドメインアカウントと統合されるようにします。 上記の図は、Active Directoryドメインへの認証を行うネットワーク要素のActive DirectoryサーバーとRADIUSサーバーの両方として動作するWindowsドメインコントローラを示しています。

アクセス制御リスト

多くのネットワークデバイスには、アクセスリストを設定できます。 これらのリストは、デバイスへのアクセスが許可されているホスト名またはIPアドレスを定義します。 たとえば、ネットワーク管理者以外のIPからネットワーク機器へのアクセスを制限するのが一般的です。

これにより、不正なアクセスの種類から保護されます。 これらのタイプのアクセスリストは、重要な最後の防御として機能し、アクセスプロトコルごとに異なるルールを持つ一部のデバイスでは非常に強力です。

https://www.finddevguides.com/index.php?title=Network-security-access-control&oldid=15927」から取得
Powered by MediaWiki