DHA でセキュリティエージェントをチェックする 〜 Duo と Secure Endpoint の統合〜
Duo DHA の導入とその重要性
Cisco Duo の MFA と Duo Device Health Application(Duo Desktop)は、アプリケーションアクセスのセキュリティを強化するために役立ちます。特に、Windows , MacOS , Linux 端末のデバイスヘルスを確認することで、MFA によるセキュリティをさらに強化することができます(要 Duo Advantage プラン)。前回のブログでは、この概要と利用例として、アクセスデバイスのホストファイアウォールの状態を確認する使用例を紹介しました。
Duo の Agent Verification 機能
Duo の Premier プランでは、更に” Agent Verification “という機能によって追加のポスチャーチェックが可能となります。これにより、ユーザがアプリケーションにアクセスする際にそのエンドポイント上でのアンチウイルス/アンチマルウェアエージェントの動作を自動的に確認することができます。この機能は、セキュリティエージェントの有効性を確認するためのもので、以下のセキュリティエージェントがサポートされています:
サポートされているセキュリティエージェント
- BitDefender Endpoint Security
- Cisco Secure Endpoint(旧 Cisco AMP for Endpoints )
- CrowdStrike Falcon Sensor
- CylancePROTECT
- McAfee Endpoint Security
- Palo Alto Cortex XDR
- SentinelOne
- Sophos AV
- Symantec Endpoint Protection
- Trend Micro Apex One
- VMWare Carbon Black Cloud
- Windows Defender( Windows のみサポート)
どのような機能か、使用イメージを動画で見ていきましょう。
今回は特定のアプリケーションへのアクセスの例で説明していますが、様々なアプリケーションへのアクセスでも利用可能です。
オフィスに出社しての業務でもリモートワークにおいても、ユーザの利用する PC にマルウェア対策ソフトウェア(セキュリティエージェント)がインストールされ動作しているかどうかは、デバイスが安全であるかどうかを判断する上で極めて重要です。マルウェアの脅威から組織を守る追加の防御層を提供します。
ゼロトラストアーキテクチャの実現に向けては、資産/アセット(ユーザのアクセスデバイス)からは可能な限りの多くの情報を収集すべきであり、それがアプリケーション等のリソースにアクセスする際にはその状態を基にしたポリシーによって、そのアクセスの認可を動的に行う必要があります。Duo DHA (Desktop)まさにこうした目的に活用できます。
セキュリティエージェントの動作を確認し、これを動作させることをユーザに促すことができるので、組織のセキュリティ態勢を常に一定に保つことにもつながります。
Agent Veificatioin 設定方法
設定は Duo の管理コンソールでポリシーの編集によって行います。
” Require users to have the app ” という設定を有効にすることで、特定のアプリケーションへのアクセス時に DHA のインストールを要件とすることができます。また、この中で、“ Block access if an endpoint security agent is not running. ” を選択することで、指定したセキュリティエージェントが動作していない場合にアクセスをブロックする設定が可能です。
Secure Endpoint が侵害の兆候を検知したデバイスからのアプリケーションアクセスを Duo がブロックする
これまで解説した機能は、ユーザのアクセスデバイスにセキュリティエージェントが動作しているかどうかを確認する機能でした。
そのセキュリティエージェントが Cisco Secure Endpoint であった場合、さらに追加のメリットを提供することが可能です。
Cisco Duoと Cisco Secure Endpoint の連携により、セキュリティエージェントとして動作している Cisco Secure Endpoint が侵害の兆候を検知した場合、Cisco Duo がそのデバイスからのアプリケーションアクセスを即座にブロックすることができます。
動作イメージを動画で紹介します。
まず Duo と Cisco Secure Endpoint が API による連携によって Windows または macOS エンドポイントについて可視性を共有します。
Cisco Secure Endpoint によって侵害の兆候を認めるエンドポイントは、信頼できない端末として Duo に API 経由で情報共有されます。そのような端末から Duo によって保護されたアプリケーションへのアクセスがあった場合、Duo はこのアクセスをブロックします。
このように、エンドユーザーのデバイスのマルウェア感染状況という追加の情報を参考にして、アプリケーションアクセスの認可ポリシーを一層強化することができます。これによって組織はデータ漏洩のリスクを軽減し、セキュリティポスチャを強化できます。
まとめ
Duo DHA が、MFA に加え端末のセキュリティエージェントのインストール状況をチェックすることができることを紹介しました。
また、そのエージェントが Cisco Secure Endpoint である場合に可能な連携についても解説しました。
DHA は今回紹介した端末のセキュリティエージェント以外にも、ホストファイアウォールやハードウェア暗号化の状況、パスワード設定の状況等々細かなポスチャチェックが可能です。
Cisco Duo はこちらのサイトからフリートライアルが可能です。
Duo DHA(Duo Desktop)をゼロトラストアーキテクチャの実装にお役立てください。
Tags:
