HPE Aruba Networking - 移行ガイド

この統合ガイドでは、HPE Aruba Networking基盤のネットワークにAxis装置を搭載して運用する方法について、ベストプラクティスの構成を概説します。 ベストプラクティスの構成では、IEEE 802.1X、IEEE 802.1AR、IEEE 802.1AE、HTTPSなどの最新のセキュリティ標準とプロトコルを使用します。

ネットワーク統合のために適切な自動化を確立することにより、時間とコストを節約できます。 適切な自動化の実施により、Axisの装置管理アプリケーションをHPE Aruba Networkingインフラストラクチャーやアプリケーションと合わせて使用する際に、システムの不必要な複雑化を回避できます。 Axis装置とAxisソフトウェアをHPE Aruba Networkingインフラストラクチャーと組み合わせることで生じるメリットには、次の点があります:

• 装置のステージングネットワークを削除することで、システムを極力シンプルに保つ。

• オンボーディングプロセスと装置管理に自動化を追加してコストを節約する。

• Axis装置が提供するゼロタッチネットワークセキュリティ制御を活用する。

• HPEとAxisの専門知識を適用し、ネットワーク全体のセキュリティを強化する。

構成を開始する前に、Axis装置の整合性を安全に検証するためのネットワークインフラストラクチャーの準備を完了しておく必要があります。 これによりオンボーディングプロセス全体を通じて、ソフトウェア定義による論理ネットワーク間でのスムーズな移行が可能になります。 設定を行う前に、次の領域に関する知識が不可欠です。

• HPE Aruba NetworkingアクセススイッチやHPE Aruba Networking ClearPass Policy Managerなど、HPE Aruba Networking基盤のエンタープライズネットワークITインフラストラクチャーの管理。

• 最新のネットワークアクセス制御技術とネットワークセキュリティポリシーに関する専門知識。

• Axis製品に関する基本的な知識はあることが望ましい (ただし、ガイドの中で提供されます)。

Axis Edge VaultがサポートするAxis装置をネットワークに接続して、ネットワーク認証を取得します。 装置はIEEE 802.1AR AxisデバイスID証明書を使用し、IEEE 802.1Xネットワークアクセスコントロールを経由して自己認証します。

ネットワークへのアクセスの付与に際し、ClearPass Policy ManagerはAxisデバイスIDと装置固有の他のフィンガープリントを検証します。 MACアドレスや実行中のAXIS OSなどの情報は、ポリシーに基づく決定に使用されます。

Axis装置はネットワークに対する認証に、IEEE 802.1AR準拠のAxisデバイスID証明書を使用します。

1. AxisデバイスID
2. IEEE 802.1x EAP-TLSネットワーク認証
3. アクセススイッチ (認証者)
4. ClearPass Policy Manager

認証後、Axis装置はAXIS Device Managerがインストールされているプロビジョニングネットワーク (VLAN201) に移動します。 AXIS Device Managerを使用して、装置の設定、セキュリティ強化、ファームウェアのアップデートを実行できます。 装置のプロビジョニングを完了するには、IEEE 802.1XおよびHTTPSに対応する、新規顧客固有の運用グレード証明書を装置にアップロードします。

1. アクセススイッチ
2. プロビジョニングネットワーク
3. ClearPass Policy Manager
4. 装置管理アプリケーション

新規のIEEE 802.1X証明書を使用してAxis装置をプロビジョニングすると、新規認証の試行がトリガーされます。 ClearPass Policy Managerは新規の証明書を検証し、Axis装置を運用ネットワークに移行するか決定します。

1. AxisデバイスID
2. IEEE 802.1x EAP-TLSネットワーク認証
3. アクセススイッチ (認証者)
4. ClearPass Policy Manager

再認証されると、Axis装置は運用ネットワーク (VLAN 202) に移行します。 運用ネットワークではビデオ管理システム (VMS) がAxis装置に接続し、動作が開始します。

1. アクセススイッチ
2. 運用ネットワーク
3. ClearPass Policy Manager
4. ビデオ管理システム

ClearPass Policy Managerは、マルチベンダーの有線、ワイヤレス、VPNインフラストラクチャー全体でIoT、BYOD、コーポレート装置、従業員、請負業者、ゲストを対象とする役割ベースと装置ベースの安全なネットワークアクセスコントロールを提供します。

1. axis.comで、Axis固有のIEEE 802.1AR証明書チェーンをダウンロードします。

2. Axis固有のIEEE 802.1AR Root CAおよび中間CA証明書チェーンを、信頼できる証明書ストアにアップロードします。

3. ClearPass Policy Managerを有効化し、IEEE 802.1X EAP-TLS経由でAxis装置を認証します。

4. 使用フィールドでEAPを選択します。 証明書はIEEE 802.1X EAP-TLS認証に使用されます。

1. HPE Aruba Networkingアクセススイッチなどの信頼できるネットワークアクセス装置をClearPass Policy Managerに追加します。 ClearPass Policy Managerは、ネットワーク内でIEEE 802.1X通信に使用されるアクセススイッチを把握する必要があります。

2. ネットワーク装置グループ構成を使用して、複数の信頼できるネットワークアクセス装置をグループ化します。 信頼できるネットワークアクセス装置をグループ化ことで、ポリシーの構成を簡単に行うことができます。

3. RADIUS共有秘密は、特定のスイッチのIEEE 802.1X構成と一致させる必要があります。

Axis装置は、ネットワーク検出を通じてMACアドレスや装置のソフトウェアバージョンなど装置固有の情報を配布できます。 この情報を使用して、ClearPass Policy Managerで装置フィンガープリントを作成、更新、管理します。 また、AXIS OSバージョンに基づいてアクセスを許可または拒否することもできます。

1. [Administration (管理者)] > [Dictionaries (辞書)] > [Device Fingerprints (装置のフィンガープリント)] に進みます。

2. 既存の装置フィンガープリントを選択するか、新規の装置フィンガープリントを作成します。

3. 装置のフィンガープリントの設定を行います。

Aruba ClearPass Managerで収集された装置のフィンガープリントに関する情報は、エンドポイントセクションにあります。

1. [Configuration (構成)] > [Identity (ID)] > [Endpoints (エンドポイント)] に進みます。

2. 表示する装置を選択します。

3. [Device Fingerprints (装置のフィンガープリント)] タブをクリックします。

[Enforcement Profile (強制プロファイル)] を用いることで、ClearPass Policy Managerはスイッチ上のアクセスポートに特定のVLAN IDを割り当てることが可能になります。 割り当てはポリシーに基づいて決定され、装置グループ「スイッチ」内のネットワーク装置に適用されます。 必要な強制プロファイルの数は、使用されるVLANの数によって異なります。 この設定には、合計で3つのVLAN (VLAN 201、202、203) があり、3つの強制プロファイルに関連付けられています。

VLANの強制プロファイル構成を完了すると、実際の強制ポリシーを設定できます。 ClearPass Policy Managerの強制ポリシー設定は、4つのサンプルポリシープロファイルに基づき、HPE Aruba Networking基盤のネットワークへのアクセスをAxis装置に付与するか判断します。

4つの強制ポリシーとそのアクションは、以下の通りです。

ネットワークアクセスの拒否

IEEE 802.1Xネットワークアクセスコントロール認証が実行されない場合、ネットワークへのアクセスは拒否されます。

ゲストネットワーク (VLAN 203)

IEEE 802.1Xネットワークアクセスコントロール認証が失敗した場合、Axis装置には限定的な隔離ネットワークへのアクセスが付与されます。 適切な対応を実施するためには、装置を手動で検査する必要があります。

プロビジョニングネットワーク (VLAN 201)

Axis装置に、プロビジョニングネットワークへのアクセスが付与されます。 これは、Axis装置の管理機能をAXIS Device ManagerとAXIS Device Manager Extend経由で提供するためです。 また、AXIS OSの更新、運用グレードの証明書、その他の構成を使用してAxis装置を設定することも可能になります。 ClearPass Policy Managerは、以下の状態を検証します:

• Axis装置のAXIS OSバージョン。

• 装置のMACアドレスが、AxisデバイスID証明書のシリアル番号属性を持つベンダー固有のAxis MACアドレススキームと一致すること。

• AxisデバイスID証明書が検証可能であり、発行者、組織、場所、国などのAxis固有の属性が一致すること。

運用ネットワーク (VLAN 202)

Axis装置には、Axis装置が動作する運用環境ネットワークへのアクセス権が与えられます。 アクセスは、プロビジョニングネットワーク (VLAN 201) 内から装置のプロビジョニングが完了した後に許可されます。 ClearPass Policy Managerは、以下の状態を検証します:

• 装置のMACアドレスが、AxisデバイスID証明書のシリアル番号属性を持つベンダー固有のAxis MACアドレススキームと一致すること。

• Axis装置のAXIS OSバージョン。

• 運用グレードの証明書が、信頼できる証明書ストアによって検証できること。

認証方式では、Axis装置がネットワークに対して認証を試行する方法が定義されます。 Axis Edge VaultをサポートするAxis装置では、デフォルトでIEEE 802.1X EAP-TLSが有効になっています。したがって望ましい認証方式は、IEEE 802.1X EAP-TLSです。

[Services (サービス)] ページでは、設定手順が1つのサービスに統合され、HPE Aruba Networking基盤のネットワーク内のAxis装置の認証と承認が処理されます。

Axis装置は、PoE対応のアクセススイッチに直接接続することも、互換性のあるAxis PoEミッドスパンを経由して接続することもできます。 HPE Aruba Networkingで稼動するネットワークにAxis装置を安全にオンボードするには、アクセススイッチをIEEE 802.1X通信用に構成する必要があります。 Axis装置はIEEE 802.1x EAP-TLS通信をClearPass Policy Managerに中継します。ClearPass Policy Managerは、RADIUSサーバーとして動作します。

HPE Aruba Networkingアクセススイッチのグローバルおよびポート設定について、以下の事例を参照してください。

radius-server host MyRADIUSIPAddress key "MyRADIUSKey"

aaa authentication port-access eap-radius
aaa port-access authenticator 18-19
aaa port-access authenticator 18 reauth-period 300
aaa port-access authenticator 19 reauth-period 300
aaa port-access authenticator active

Axis Edge VaultをサポートするAxis装置は、AxisデバイスIDと呼ばれる安全なデバイスIDを製造時に付与されています。 AxisデバイスIDは、IEEE 802.1X経由の自動化された安全な装置識別とネットワークオンボーディング手法の規格、国際IEEE 802.1AR標準に基づいています。

1. AxisデバイスIDキーインフラストラクチャー (PKI)
2. AxisデバイスID

Axis装置のセキュアエレメントにより提供されるハードウェア保護型の安全なキーストアは、工場でプロビジョニングされています。さらに、Axis装置の信頼性をグローバルに証明する装置固有の証明書と対応キー (AxisデバイスID) が付属します。 Axis Edge VaultとAxisデバイスIDをサポートする対象のAxis装置については、Axis Product Selectorを使用して確認できます。

IEEE 802.1AR準拠のAxisデバイスID証明書には、シリアル番号に関する情報および、Axisベンダー固有のその他の情報が含まれています。 ClearPass Policy Managerは、ネットワークへのアクセスを付与する際の分析と判断にこの情報を使用します。 AxisデバイスID証明書から取得可能な以下の情報を参照してください

通称は、Axisの会社名、装置のシリアル番号、使用される暗号化アルゴリズム (ECC P256、RSA 2048、RSA 4096) の順に組み合わせて構成されています。 AXIS OS 10.1 (2020-09) 以降、IEEE 802.1Xは事前設定されたAxisデバイスIDでデフォルトで有効になっています。 これにより、Axis装置はIEEE 802.1X対応ネットワーク上で自己認証を行うことができます。

AXIS Device ManagerとAXIS Device Manager Extendをネットワーク上で使用して、コスト効率に優れた方法で複数のAxis装置を構成および管理できます。 AXIS Device Managerは、ネットワーク内のマシンにローカルにインストールできるMicrosoft Windows®ベースのアプリケーションです。一方、AXIS Device Manager Extendは、クラウドインフラストラクチャーを利用してマルチサイトの装置管理を行います。 いずれもAxis装置を手軽に管理、構成する機能を搭載しています。具体的には、次の機能が含まれます。

• AXIS OS更新のインストール。

• HTTPSおよびIEEE 802.1X証明書ほか、サイバーセキュリティ構成の適用。

• 画像設定など、装置固有の設定の構成。

IEEE 802.1AE MACsec (Media Access Control Security) は明確に定義されたネットワークプロトコルであり、ネットワークレイヤー2にあるポイントツーポイントイーサネットリンクを暗号的に保護します。これにより、2つのホスト間のデータ送信の機密性と完全性が保証されます。

IEEE 802.1AE MACsec規格は、次の2つの運用モードを提供します。

• 手動で構成可能なPre-Shared Key/Static CAKモード

• IEEE 802.1X EAP-TLSを使用するAutomatic Master Session/Dynamic CAKモード

AXIS OS 10.1 (2020-09) 以降では、AxisデバイスID対応の装置向けに、デフォルトでIEEE 802.1Xが有効化されています。AXIS OS 11.8 以降ではMACsecがサポートされ、IEEE 802.1X EAP-TLSを使用するAutomatic Dynamicモードがデフォルトで有効化されています。 工場出荷時の設定値でAxis装置を接続すると、IEEE 802.1Xネットワーク認証が実行され、成功するとMACsec Dynamic CAKモードも試行されます。

安全に保存されたAxisデバイスID (1) (IEEE 802.1AR準拠の安全なデバイスID) は、IEEE 802.1X EAP-TLSポートベースのネットワークアクセスコントロール (2) を経由して、ネットワーク (4、5) への認証に使用されます。 このEAP-TLSセッションを通じてMACsecキーが自動的に交換され、安全なリンク (3) が設定されるほか、Axis装置からHPE Aruba Networkingアクセススイッチまでのすべてのネットワークトラフィックが保護されます。

IEEE 802.1AE MACsecには、HPE Aruba NetworkingアクセススイッチとClearPass Policy Manager構成の両方の準備が必要です。 EAP-TLS経由のIEEE 802.1AE MACsec暗号化通信を許可する上で、Axis装置で必要な構成はありません。

HPE Aruba NetworkingアクセススイッチがMACsecによるEAP-TLSの使用をサポートしていない場合は、Pre-Shared Keyモードを使用して手動で構成できます。

デフォルトでは、Axis装置はEAP ID形式「axis-serialnumber」を使用します。 Axis装置のシリアル番号は、装置のMACアドレスです。 たとえば、「axis-b8a44f45b4e6」のようになります。

HPE Aruba Networkingアクセススイッチに記載された安全なオンボーディング構成に加えて、以下の HPE Aruba Networkingアクセススイッチのポート構成例を参照して、IEEE 802.1AE MACsecを設定してください。

macsec policy macsec-eap
cipher-suite gcm-aes-128

port-access role AxisDevice
associate macsec-policy macsec-eap
auth-mode client-mode

aaa authentication port-access dot1x authenticator
macsec
mkacak-length 16
enable

MAC Authentication Bypass (MAB) とAxisデバイスID証明書、工場出荷時の設定で有効化されているIEEE 802.1Xを使用して、IEEE 802.1ARをサポートしないAxis装置をオンボーディングすることができます。 802.1Xオンボーディングが失敗した場合、ClearPass Policy ManagerはAxis装置のMACアドレスを検証し、ネットワークへのアクセスを付与します。

MABには、アクセススイッチとClearPass Policy Manager構成の両方の準備が必要です。 Axis装置には、MABのオンボーディングを許可するための構成は必要ありません。

ClearPass Policy Managerの強制ポリシー設定は、次の2つのサンプルポリシー条件に基づき、HPE Aruba NetworkingによるネットワークへのアクセスをAxis装置に付与するか判断します。

ネットワークアクセスの拒否

Axis装置が設定された強制ポリシーを満たさない場合、ネットワークへのアクセスは拒否されます。

ゲストネットワーク (VLAN 203)

次の条件が満たされる場合、Axis装置に限定的な隔離ネットワークへのアクセスが付与されます。

• 月曜日から金曜日までの平日である

• 9:00～17:00の間である

• MACアドレスのベンダーはAxis Communicationsと一致する

MACアドレスはスプーフィングされる可能性があるため、通常のプロビジョニングネットワークへのアクセスは付与されません。 MABは初回オンボーディングにのみ使用し、装置をさらに手動で検査することをお勧めします。

[Sources (ソース)] ページでは新しい認証ソースが作成され、手動でインポートされたMACアドレスのみを許可します。

[Services (サービス)] ページでは、設定手順が1つのサービスに統合され、HPE Aruba Networking基盤のネットワーク内のAxis装置の認証と承認が処理されます。

Axis Communicationsは、次のMACアドレスOUIを使用します:

• B8:A4:4F:XX:XX:XX

• AA:C8:3E:XX:XX:XX

• 00:40:8C:XX:XX:XX

HPE Aruba Networkingアクセススイッチに記載されている安全なオンボーディング構成に加えて、MABを許可するHPE Aruba Networkingアクセススイッチについて、以下のポート構成例を参照してください。

aaa port-access authenticator 18 tx-period 5
aaa port-access authenticator 19 tx-period 5
aaa port-access authenticator 18 max-requests 3
aaa port-access authenticator 19 max-requests 3
aaa port-access authenticator 18 client-limit 1
aaa port-access authenticator 19 client-limit 1
aaa port-access mac-based 18-19
aaa port-access 18 auth-order authenticator mac-based
aaa port-access 19 auth-order authenticator mac-based
aaa port-access 18 auth-priority authenticator mac-based
aaa port-access 19 auth-priority authenticator mac-based