Cisco Secure 動的属性コネクタについて
Cisco Secure 動的属性コネクタ により、さまざまなクラウド サービス プラットフォームのサービスタグとカテゴリを Firepower Management Center( FMC)アクセス制御で使用できます。
サポートされるコネクタ
現在、次をサポートしています。
CSDAC バージョン/プラットフォーム |
A.W.S. |
Git- Hub |
Google クラウド |
Azure |
Azure サービスタグ |
Microsoft Office 365 |
VMware vCenter |
---|---|---|---|---|---|---|---|
バージョン 1.1(オンプレミス) |
対応 |
非対応 |
非対応 |
対応 |
対応 |
対応 |
対応 |
バージョン 2.0(オンプレミス) |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
クラウド提供型(Cisco Defense Orchestrator) |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
非対応 |
コネクタの詳細は次のとおりです。
-
Amazon Web Services(AWS)
詳細については、Amazon ドキュメントサイトの「AWS リソースのタグ付け」などのリソースを参照してください。
-
Microsoft Azure
詳細については、Azure ドキュメントサイトのこのページを参照してください。
-
Microsoft Azure サービスタグ
詳細については、Microsoft TechNet の「仮想ネットワークサービスタグ」などのリソースを参照してください。
-
Office 365
詳細については、docs.microsoft.com の「Office 365 URL および IP アドレス範囲」を参照してください。
-
vCenter と NSX-T によって管理される VMware のカテゴリとタグ
詳細については、VMware ドキュメントサイトの「vSphere タグと属性」などのリソースを参照してください。
仕組み
ワークロードの動的な性質と IP アドレスの重複の必然性により、IP アドレスなどのネットワーク構造は、仮想、クラウド、およびコンテナ環境では信頼できません。お客様は、IP アドレスや VLAN が変更されてもファイアウォールポリシーが持続するように、VM 名やセキュリティグループなどの非ネットワーク構造に基づいてポリシールールを定義する必要があります。
これらのタグと属性は、Ubuntu 仮想マシンで実行されている 動的属性コネクタ Docker コンテナを使用して収集できます。Ansible コレクションを使用して、Ubuntu ホストに 動的属性コネクタ をインストールします。
次の図は、システムが高レベルでどのように機能するかを示しています。
-
コネクタには、クエリするタグとコンテナが含まれています。
たとえば、通常これらのタグは、動的に割り当てられたネットワークおよび IP アドレス(アクセス制御ルールは作成できません)を定義します。コネクタからの永続的なフィードは、高速にアクセスできるように 動的属性コネクタ に保存されます。
-
タグ情報は、アクセス制御ルールで使用するために重要な情報を定義する動的属性フィルタを作成する 動的属性コネクタ に保持されます。
たとえば、AWS が経理部および財務部の仮想マシンのネットワークを定義している場合、財務ネットワークのみを指定する動的属性フィルタを作成できます。
-
動的属性コネクタ によって定義されたアダプタは、これらの動的属性フィルタをダイナミックオブジェクトとして受け取り、アクセス制御ルールで使用できるようにします。