はじめに
本書では、Cisco Security Manager 4.27 の展開計画に関するガイドラインについて説明します。このマニュアルには、推奨されるサーバーハードウェア、クライアントハードウェア、リファレンスネットワークに基づいたサイジングおよびソフトウェア、Cisco Security Manager、Cisco Security Manager サーバーの高度なチューニングオプションに含まれているアプリケーションセットの展開オプションとライセンシングに関する内容が含まれています。Cisco Security Manager のソフトウェア機能の詳細については、http://www.cisco.com/go/csmanager の製品マニュアル [英語] を参照してください。
このマニュアルは、『User Guide for Cisco Security Manager 4.27』[英語] や『Installation Guide for Cisco Security Manager 4.27』[英語] など、Cisco Security Manager の他のユーザーマニュアルを補足するものです。
バージョン 4.21 以降、Cisco Security Manager では、すべてのアグリゲーション サービス ルータ、統合サービスルータ、埋め込み型サービスルータ、および次のデバイスを含む Cisco IOS ソフトウェアで動作するすべてのデバイスについて、バグ修正または拡張機能のサポートを含むサポート全体が終了します。
Cisco Security Manager 4.27 アプリケーション
各 Cisco Security Manager 4.27 インストールには、6 つの主要アプリケーションとモバイルデバイス用に設計された 1 つのアプリケーションがあります。
Configuration Manager
Configuration Manager を使用すると、250 以上のさまざまなタイプおよびモデルの Cisco セキュリティデバイス上でセキュリティポリシーを集中管理できます。Cisco Security Manager は、ASA デバイス全体で、ファイアウォールおよび VPN(サイト間、リモートアクセス、および SSL)サービスの統合プロビジョニングをサポートします。
Cisco Security Manager でサポートされるデバイスおよび OS バージョンの一覧については、Cisco.com で『 Supported Devices and Software Versions for Cisco Security Manager』[英語] を参照してください。
イベントビューア
高パフォーマンスで、使い勝手の良い統合イベントビューアを使用すると、ASA デバイスからイベントを集中監視し、関連する設定ポリシーに相互に関連付けることができます。このことは、問題の特定や、設定のトラブルシューティングに役立ちます。さらに、Configuration Manager を使用して、設定を調整し、展開することができます。イベントビューアは、Cisco ASA デバイスのイベント管理をサポートします。
プライマリ イベント データ ストアだけではなく、拡張イベントデータストアにイベントをコピーして格納できます。拡張イベントデータストアは、大量のイベントのバックアップおよびアーカイブに使用できます。これは、Event Viewer がプライマリ イベント データ ストアと拡張イベントデータストアの両方からイベントデータを収集できる場合、イベントの履歴のレビューおよび分析に役立ちます。拡張イベントデータストアは、Cisco Security Manager の管理設定内のイベント管理でイネーブルにできます。
 (注) |
4.17 以降、Cisco Security Manager イベントビューアは非管理インターフェイスから生成された syslog の表示もサポートしています。 |
サポートされているプラットフォームと詳細については、Cisco.com で『User Guide for Cisco Security Manager 4.27』の「Monitoring, Reporting, and Diagnostics」[英語] および「Supported Devices and Software Versions for Cisco Security Manager 4.27」[英語] を参照してください。
Report Manager
この統合型の Report Manager アプリケーションでは、ASA および Remote Access VPN レポートの生成とスケジュール作成を実行できます。ASA のレポートは、イベントビューアで収集されたイベントを集約することによって作成されます。Security レポートは、管理対象デバイスによって報告されたネットワークの使用状況やセキュリティの問題を効率的に監視、追跡、および監査できます。ユーザーは、Report Manager を使用して、Cisco ASA デバイスのレポートを作成およびカスタマイズできます。
サポートされているプラットフォームと詳細については、Cisco.com で『User Guide for Cisco Security Manager 4.27』の「Monitoring, Reporting, and Diagnostics」[英語] および「Supported Devices and Software Versions for Cisco Security Manager 4.27」[英語] を参照してください。
Health and Performance Monitor
Health and Performance Monitor には、次の機能があります。
-
ASA IPS デバイスの監視機能の提供
-
重要なメトリックのトレンドグラフの提供
-
1 つのビュー内での、統合された稼働状態、アラート、およびメトリック値情報のサマリーパネルの提供
-
さまざまなモニタリングパラメータのアラートメカニズムの提供
-
事前定義された一連のモニタリングビューの提供
-
ユーザへのカスタムモニタリングビューの作成、編集、および削除の許可
Image Manager
Image Manager は、ASA デバイス用の完全なイメージ管理を提供します。特に、次の手順を実行することで、ASA イメージ アップグレード プロセスのさまざまな段階でユーザーを支援します。
-
さまざまなタイプおよびバージョンのイメージのリポジトリのダウンロードおよび維持
-
イメージの評価
-
これらのイメージをデバイスに対してアップグレードする場合の影響の分析(分析にはデバイス構成へのアップグレードの影響が含まれます)
-
アップグレードの準備と計画
-
ダウンタイムを最小限にする、組み込みの十分なフォールバックとリカバリメカニズムによる、信頼性があり安定したデバイスのアップグレード方法の提供
ダッシュボード
ダッシュボードは、FW タスクをより便利にする Cisco Security Manager で設定可能な起動点です。元のダッシュボードに加えて、新規ダッシュボードや追加のダッシュボードを作成したり、すべてのダッシュボードをカスタマイズしたりすることができます。ダッシュボードを使用することによって、Cisco Security Manager の他のいくつかの領域にある、Report Manager、Health and Performance Monitor および IP Intelligence 設定などの多くのタクスを 1 箇所で実行できます。
CSM Mobile
CSM Mobile では、モバイルデバイスからのデバイスのヘルスに関するサマリー情報にアクセスできます。この方法で入手できる情報は、Device Health Summary ウィジェットで入手可能な情報と同じ、HPM によって生成される現在の重大度が低いまたは中程度のアクティブなアラートになります。アラートは、Alert-Description、Predefined-Category、Device または Alert Technology 別にグループ化できます。
CSM Mobile のプリンシパルユーザは、Apple iPad、Apple iPhone、Google Chrome ブラウザ、Apple Safari ブラウザを使用するユーザであることが想定されています。
Syslog リレー
Cisco Security Manager サーバーで受信したイベントに加えて、最大 2 台の外部/リモートコントローラ(syslog ホスト)にイベントを転送できます。この syslog リレー機能は、UDP syslog プロトコルを使用して受信したメッセージを別の Syslog ホストに転送します。
Retain the original source address of the message
この機能は、メッセージの元の送信元 IP アドレスを維持するオプションを提供します。これは、ユーザがリモートコントローラの送信元 IP アドレスで受信したイベントを表示する場合です。これはデフォルトの設定です。
Use CSM server IP address as source IP address
このオプションがコンフィギュレーション ファイルでイネーブルの場合、Cisco Security Manager サーバーから転送されたすべての syslog メッセージには、syslog メッセージの送信元 IP アドレスとして Cisco Security Manager サーバーの IP アドレスが含まれます。
(注) |
4.13 以降、Cisco Security Manager はイベントビューアで IPv6 を介した syslog をサポートします。ただし、syslog リレーは IPv6 を介した syslog ではサポートされていません。 |
構成および設定の詳細については、Cisco.com で『User Guide for Cisco Security Manager 4.27』[英語] を参照してください。
 注意 |
IP アドレスのスプーフィングはネットワークポリシーで許可されている場合にのみ実現できます。 |
(注) |
4.17 以降、CSM イベントビューアは非管理インターフェイスから生成された syslog の表示もサポートしています。ただし、syslog リレー機能は非管理インターフェイスの syslog ではサポートされません。 |
Common Services 4.2.2
CiscoWorks Common Services 4.2.2(Common Services)は、Security Manager 4.27 が動作するために必要です。Common Services は、Cisco Security Manager 4.27 のインストールを選択するとデフォルトでインストールされます。
Common Services は、データストレージ、ログイン、ユーザロールの定義、アクセス権限、セキュリティプロトコル、およびナビゲーションに対するフレームワークを提供します。また、インストール、データ管理、イベントおよびメッセージ処理、およびジョブおよびプロセス管理用のフレームワークも提供します。Common Services が Security Manager に供給する必須サーバー側コンポーネントは次のとおりです。
-
SSL ライブラリ
-
組み込み型 SQL データベース
-
Apache Web サーバ
-
Tomcat サーブレットエンジン
-
CiscoWorks ホームページ
-
バックアップ/復元機能
詳細については、Cisco Security Manager のインストールに付属している Common Services のマニュアルを参照してください。これを行うには、Cisco Security Manager をインストールしたサーバーにログオンし、[Cisco Security Manager(Cisco Security Manager)] アイコンをダブルクリックしてログオンします。次に、[サーバー管理(Server Administration)] をクリックして、[ヘルプ(Help)] をクリックします。
共通サービスを使用するローカル RBAC
Cisco Security Manager 4.3 よりも前は、Cisco Secure ACS を使用する重要なメリットは、(1)特殊な権限セット(特定のポリシータイプの設定だけをユーザーに許可する場合など)を使用して非常に粒度の高いユーザーロールを作成できることと、(2)ネットワーク デバイス グループ(NDG)を設定することによって特定のデバイスにユーザーを制限できることでした。このような粒度の高い特権(効率的な「ロールベース アクセス コントロール」(RBAC))は、Cisco Secure ACS を使用していない限り、Cisco Security Manager 4.2 以前のバージョンでは利用できませんでした。このような粒度の高い特権(RBAC)は、ACS を使用せずにローカル RBAC を利用できる Common Services 4.0 以降を使用するため、Cisco Security Manager 4.3 ~ 4.19 バージョンで利用可能です。詳細については、『Installation Guide for Cisco Security Manager 4.20』[英語] を参照してください。
(注) |
バージョン 4.21 以降、Cisco Security Manager は Cisco Identity Services Engine(ISE)を介した TACACS+ 認証のみをサポートします。これは、ACS のサポートが終了しているためです。 |
関連アプリケーション
Cisco Security Manager に統合して追加の機能とメリットを提供するその他のアプリケーションがシスコから提供されています。
(注) |
Cisco Security Manager 4.21 以降、以前の ACS サーバーの代わりに Cisco Identity Services Engine(ISE)を認証目的で使用できます。 |
ハードウェアおよびソフトウェアの最小要件
各 Cisco Security Manager サーバーのインストールには、Configuration Manager、イベントビューア、Report Manager、Health and Performance Monitor、Image Manager とダッシュボード用の専用の物理サーバーまたは仮想マシンが 1 台必要です。
表 1 は、Cisco Security Manager サーバーソフトウェア、および他のオプションのモジュールをインストールする場合のハードウェアとソフトウェアの最小仕様を示しています。Cisco Security Manager ソフトウェアは、最小仕様を備えたシステムにインストールできますが、この場合のパフォーマンスと容量は、より小規模な展開(最大 25 のデバイスを管理)に制限されます。より大規模な展開については、推奨されるハードウェアおよびソフトウェア仕様の項で推奨されている仕様で物理サーバを使用する必要があります。
|
サーバの最小ハードウェア |
|||||
|---|---|---|---|---|---|
|
推奨サーバ |
Cisco UCS C220 M3 の同等品 |
||||
|
CPU |
1 x Intel Xeon Four-core 5600 シリーズこの Four-core(quad-core)CPU は最小です。コア数が多くなると、パフォーマンスがさらに向上します。 |
||||
|
メモリ(RAM) |
Cisco Security Manager のすべての機能を使用するには、少なくとも 16 GB が必要です。これよりもメモリ容量が少ないと、イベント管理やレポート管理などの機能に影響が出ます。 特に、オペレーティングシステムが使用できる RAM の容量が 8 GB 未満であると、Event Viewer および Report Manager がインストール中に無効化されます。 OS が使用できるメモリが 8 ~ 12 GB の場合は、Event Viewer および Report Manager を使用しないと判断し、オフにすることができます。そのようなシステムでは、コンフィギュレーション管理を使用することができます。 推奨はできませんが、インストールの完了後に Cisco Security Manager クライアントからローメモリシステムに対してイベントビューアと Report Manager をイネーブルにできます([ツール(Tools)] > [Security Managerの管理(Security Manager Administration)] > [イベント管理(Event Management)] を選択します)。ローメモリシステム上で Event Viewer および Report Manager をイネーブルにすると、アプリケーション全体のパフォーマンスに深刻な影響が及ぶ可能性があることに注意してください。
|
||||
|
ハードドライブスペース |
必要なディスク領域の確保に適した HDD の組み合わせ(以下を参照)を使用します。
パフォーマンス向上のために、RAID 10 の使用を推奨します。必要ならば、RAID 5 も使用できます。シーケンシャルな動作を行う場合は(ほとんどのケースではそうなりません)、書き込みポリシーをライトバックに設定します。そうでない場合は、書き込みポリシーを常にライトスルーに設定します。書き込みポリシーをライトスルーに設定すると、パフォーマンスも向上します。 ヒント 連続 10,000 イベント/秒(EPS)の場合は、1 日に約 86 GB の圧縮ディスク スペースが消費されます。イベントストア(プライマリ/セカンダリ)に割り当てられたディスク領域の 90 % がいっぱいになった段階でログロールオーバーが発生します。ディスクのサイズが小さいほど、ロールオーバーの発生が早くなります。予想 EPS レートとロールオーバー要件に基づいて、イベント管理の使用時に最小ディスク サイズを増減できます。 |
||||
|
サポートされるデバイス |
最大 25 |
||||
|
ネットワークアダプタ |
1 Gbps |
||||
|
サーバの最小ソフトウェア |
|||||
|
オペレーティングシステム |
次のいずれかが必要です。
サポートされている言語は英語と日本語のみです。 |
||||
表 2 は、Cisco Security Manager クライアントソフトウェアのインストールのためのハードウェアとソフトウェアの最小仕様を示しています。Cisco Security Manager クライアントソフトウェアは専用のマシンにインストールすることを推奨します。
|
クライアントの最小ハードウェア |
|||
|---|---|---|---|
|
[CPU(CPU)] |
デュアルコア 2.0 GHz 以上 |
||
|
[メモリ(Memory)] |
32 ビットシステムの場合。
64 ビットシステムの場合。
|
||
|
[HDD(HDD)] |
10 GB の空き容量 |
||
|
[ディスプレイ(ディスプレイ)] |
1280 X 1024 |
||
|
[ネットワークアダプタ(Network adapter)] |
1 Gbps |
||
|
クライアントの最小ソフトウェア |
|||
|
オペレーティングシステム |
次のいずれかが必要です。
Security Manager は、米国英語と日本語のバージョンの Windows のみサポートしています。[Start] メニューから、Windows のコントロールパネルを開いて、地域と言語を設定するパネルを開き、デフォルトロケールを設定します(日本語バージョンの Windows では言語として英語がサポートされません)。 |
||
|
ブラウザ |
次のいずれかが必要です。
|
||
仮想マシンのハードウェアおよびソフトウェア要件
仮想マシンのハードウェア要件およびソフトウェア要件については、表 3:推奨される VMware ESXi バージョン別 OS のサポートを参照してください。
推奨されるハードウェアおよびソフトウェア仕様
単一プロセッサ(コア)サーバーから複数プロセッサ(コア)サーバーへ移行する場合には、Cisco Security Manager を使用するとパフォーマンスの改善が見られます。最適なパフォーマンスを得るために、適切なハードウェアとソフトウェアの仕様を使用することを推奨します。また、将来の拡張用にサーバのサイジングもお勧めします。
最良のパフォーマンスを得るためには、最小要件として、2.66 MHz インテル Xeon クワッドコアプロセッサ(ハイパースレッディング機能あり)以上を備えた Cisco Security Manager サーバーが推奨されます。イベント管理を使用する場合には、Cisco Security Manager アプリケーションに対して専用のハードディスクまたはストレージボリュームを用意すること、およびイベントストレージに対して専用のディスクまたはボリュームを用意することを強くお勧めします。Cisco Security Manager クライアントシステムでは、ハードウェアおよびソフトウェアの最小要件の項に記載されている最小のハードウェア仕様を使用できます。
次の仕様は、さまざまな規模の展開に対して、Cisco Security Manager サーバーで推奨される仕様を示しています。
-
VMware ESXi 5.1U2 および ESXi 7.0 までの VMware ESXi バージョンを使用した小規模な展開
-
VMware ESXi 5.1U2 および ESXi 7.0 までの VMware ESXi バージョンを使用した中規模な企業での展開
これらの仕様は、デバイス数に基づいてこのような展開をサポートするための、適切なハードウェアおよびソフトウェアの一般的なガイドラインです。このマニュアルの導入シナリオで説明している他の要因によっては、パフォーマンスの結果が異なる場合があります。Cisco Security Manager に対するこれらのハードウェアおよびソフトウェア要件は、Cisco Security Manager を新しくインストールする場合も、Cisco Security Manager の以前のバージョンからバージョン 4.27 にアップグレードする場合も同じです。
オペレーティングシステム別 VM サポート
表 3 に、推奨される VMware ESXi バージョン別 OS のサポートを示します。
|
ESXi バージョン |
|||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
ゲスト OS |
4 |
4.1 |
5 |
5.1 |
5 アップデート 2 |
5.1 アップデート 2 |
5.5 |
6.0 |
6.5 |
6.7 |
7.0 |
|
Windows Server 2019 |
× |
× |
× |
× |
× |
× |
× |
対応 |
対応 |
対応 |
対応 |
|
Windows Server 2016 |
× |
× |
× |
× |
× |
× |
× |
対応 |
対応 |
対応 |
対応 |
|
Windows Server 2012 R2 |
× |
× |
× |
× |
対応 |
対応 |
対応 |
対応 |
× |
× |
× |
|
Windows Server 2012 |
× |
× |
× |
× |
対応 |
対応 |
対応 |
対応 |
× |
× |
× |
VMware ESXi 5.1U2 および ESXi 7.0 までの VMware ESXi バージョンを使用した小規模な展開
VMware ESX 5.1U2 および ESXi 7.0 までの VMware ESXi バージョンを使用した小規模な展開で推奨される Cisco Security Manager の仕様は、表 4 に示してあります。
|
|||||
|---|---|---|---|---|---|
|
推奨されるホストサーバ |
Cisco UCS C220 M3 の同等品 |
||||
|
仮想 CPU |
6 vCPU vCPU を増やすと、パフォーマンスが向上します。 |
||||
|
メモリ(RAM) |
Cisco Security Manager のすべての機能を使用するには、少なくとも 16 GB が必要です。これよりもメモリ容量が少ないと、イベント管理やレポート管理などの機能に影響が出ます。 特に、オペレーティングシステムが使用できる RAM の容量が 8 GB 未満であると、Event Viewer および Report Manager がインストール中に無効化されます。 OS が使用できるメモリが 8 ~ 12 GB の場合は、Event Viewer および Report Manager を使用しないと判断し、オフにすることができます。そのようなシステムでは、コンフィギュレーション管理を使用することができます。 推奨はできませんが、インストールの完了後に Cisco Security Manager クライアントからローメモリシステムに対してイベントビューアと Report Manager をイネーブルにできます([ツール(Tools)] > [Security Managerの管理(Security Manager Administration)] > [イベント管理(Event Management)] を選択します)。ローメモリシステム上で Event Viewer および Report Manager をイネーブルにすると、アプリケーション全体のパフォーマンスに深刻な影響が及ぶ可能性があることに注意してください。
|
||||
|
ハードドライブスペース |
必要なディスク領域の確保に適した HDD の組み合わせ(以下を参照)を使用します。
パフォーマンス向上のために、RAID 10 の使用を推奨します。必要ならば、RAID 5 も使用できます。シーケンシャルな動作を行う場合は(ほとんどのケースではそうなりません)、書き込みポリシーをライトバックに設定します。そうでない場合は、書き込みポリシーを常にライト スルーに設定します。書き込みポリシーをライトスルーに設定すると、パフォーマンスも向上します。 ヒント 連続 10,000 イベント/秒(EPS)の場合は、1 日に約 86 GB の圧縮ディスク スペースが消費されます。イベントストア(プライマリ/セカンダリ)に割り当てられたディスク領域の 90 % がいっぱいになった段階でログ ロールオーバーが発生します。ディスクのサイズが小さいほど、ロールオーバーの発生が早くなります。予想 EPS レートとロールオーバー要件に基づいて、イベント管理の使用時に最小ディスクサイズを増減できます。 |
||||
|
ホストサーバの HDD RAID |
VM 内の RAID は、基礎となるホストシステムの HDD 構成に加えて、仮想化されたファイルシステムが使用されるため、当てはまりません。また、ソフトウェアベースの RAID は、VMware ESX VM では使用できません。詳細については、VMware, Inc. 発行のマニュアルを参照してください。 |
||||
|
ネットワークアダプタ |
1 Gbps |
||||
|
オペレーティングシステム |
次のいずれかが必要です。
|
||||
|
推奨されるサイジング |
|||||
|
デバイスの最大数 |
最大 100 台 |
||||
|
サポートされる最大累積 EPS |
ASA syslog の 1 秒あたり 5,000 件のイベント |
||||
|
最大同時利用者数 |
同時利用者は多くても 2 人(コンフィギュレーションのみのユーザが 1 人と、イベント画面およびレポーティング画面を使用するユーザが 1 人) |
||||
小規模な企業での展開
表 5 に、小規模な企業での展開用に推奨される Cisco Security Manager サーバーの仕様を示します。
|
推奨サーバ |
Cisco UCS C220 M3 の同等品 |
||||
|---|---|---|---|---|---|
|
[CPU(CPU)] |
1 x Hex Core(X5670 または同等シリーズを推奨) |
||||
|
メモリ(RAM) |
Cisco Security Manager のすべての機能を使用するには、少なくとも 16 GB が必要です。これよりもメモリ容量が少ないと、イベント管理やレポート管理などの機能に影響が出ます。 特に、オペレーティングシステムで使用可能な RAM の容量が 8 GB 未満の場合は、イベント管理と Report Manager がインストール時にディセーブルになります。 OS で使用可能なメモリが 8 ~ 12 GB の場合は、イベント管理とレポート管理を使用しないことを前提として、それらを無効にすることができます。そのようなシステムでは、コンフィギュレーション管理を使用することができます。 推奨はできませんが、インストールの完了後に Cisco Security Manager クライアントからローメモリシステムに対してイベント管理とレポート管理をイネーブルにできます([ツール(Tools)] > [Security Managerの管理(Security Manager Administration)] > [イベント管理(Event Management)] を選択します)。ローメモリシステム上でイベント管理とレポート管理をイネーブルにすると、アプリケーション全体のパフォーマンスに深刻な影響が及ぶ可能性があることに注意してください。
|
||||
|
ハードドライブスペース |
必要なディスク領域の確保に適した HDD の組み合わせ(以下を参照)を使用します。
パフォーマンス向上のために、RAID 10 の使用を推奨します。必要ならば、RAID 5 も使用できます。シーケンシャルな動作を行う場合は(ほとんどのケースではそうなりません)、書き込みポリシーをライトバックに設定します。そうでない場合は、書き込みポリシーを常にライトスルーに設定します。書き込みポリシーをライトスルーに設定すると、パフォーマンスも向上します。 ヒント 連続 10,000 イベント/秒(EPS)の場合は、1 日に約 86 GB の圧縮ディスク スペースが消費されます。イベントストア(プライマリ/セカンダリ)に割り当てられたディスク領域の 90 % がいっぱいになった段階でログロールオーバーが発生します。ディスクのサイズが小さいほど、ロールオーバーの発生が早くなります。予想 EPS レートとロールオーバー要件に基づいて、イベント管理の使用時に最小ディスクサイズを増減できます。 |
||||
|
[ネットワークアダプタ(Network adapter)] |
1 Gbps |
||||
|
オペレーティングシステム |
次のいずれかが必要です。
|
||||
|
推奨されるサイジング |
|||||
|
デバイスの最大数 |
最大 100 台 |
||||
|
サポートされる最大累積 EPS |
ASA syslog の 1 秒あたり 5,000 件のイベント |
||||
|
最大同時利用者数 |
同時利用者は多くても 4 人(コンフィギュレーションのみのユーザが 2 人と、イベント画面およびレポーティング画面を使用するユーザが 2 人) |
||||
Hyper-V を使用した小規模な展開
|
推奨サーバ |
Cisco UCS C220 M3 の同等品 |
||||
|---|---|---|---|---|---|
|
Hyper-V Server Core |
Hyper-V Server 2016 または Hyper-V Server 2012 R2 |
||||
|
[仮想 CPU(Virtual CPU)] |
6 vCPU vCPU を増やすと、パフォーマンスが向上します。 |
||||
|
メモリ(RAM) |
Cisco Security Manager のすべての機能を使用するには、少なくとも 16 GB が必要です。これよりもメモリ容量が少ないと、イベント管理やレポート管理などの機能に影響が出ます。 特に、オペレーティングシステムで使用可能な RAM の容量が 8 GB 未満の場合は、イベント管理と Report Manager がインストール時にディセーブルになります。 OS で使用可能なメモリが 8 ~ 12 GB の場合は、イベント管理とレポート管理を使用しないことを前提として、それらを無効にすることができます。そのようなシステムでは、コンフィギュレーション管理を使用することができます。 推奨はできませんが、インストールの完了後に Cisco Security Manager クライアントからローメモリシステムに対してイベント管理とレポート管理をイネーブルにできます([ツール(Tools)] > [Security Managerの管理(Security Manager Administration)] > [イベント管理(Event Management)] を選択します)。ロー メモリ システム上でイベント管理とレポート管理をイネーブルにすると、アプリケーション全体のパフォーマンスに深刻な影響が及ぶ可能性があることに注意してください。
|
||||
|
ハードドライブスペース |
必要なディスク領域の確保に適した HDD の組み合わせ(以下を参照)を使用します。
パフォーマンス向上のために、RAID 10 の使用を推奨します。必要ならば、RAID 5 も使用できます。シーケンシャルな動作を行う場合は(ほとんどのケースではそうなりません)、書き込みポリシーをライトバックに設定します。そうでない場合は、書き込みポリシーを常にライトスルーに設定します。書き込みポリシーをライトスルーに設定すると、パフォーマンスも向上します。 ヒント 連続 10,000 イベント/秒(EPS)の場合は、1 日に約 86 GB の圧縮ディスクスペースが消費されます。イベントストア(プライマリ/セカンダリ)に割り当てられたディスク領域の 90 % がいっぱいになった段階でログロールオーバーが発生します。ディスクのサイズが小さいほど、ロールオーバーの発生が早くなります。予想 EPS レートとロールオーバー要件に基づいて、イベント管理の使用時に最小ディスク サイズを増減できます。 |
||||
|
[ネットワークアダプタ(Network adapter)] |
1 Gbps |
||||
|
オペレーティングシステム |
次のいずれかが必要です。
|
||||
|
推奨されるサイジング |
|||||
|
デバイスの最大数 |
最大 100 台 |
||||
|
サポートされる最大累積 EPS |
ASA syslog の 1 秒あたり 5,000 件のイベント |
||||
|
最大同時利用者数 |
同時利用者は多くても 4 人(コンフィギュレーションのみのユーザが 2 人と、イベント画面およびレポーティング画面を使用するユーザが 2 人) |
||||
VMware ESXi 5.1U2 および ESXi 7.0 までの VMware ESXi バージョンを使用した中規模な企業での展開
VMware ESX 5.1U2 および ESXi 7.0 までの VMware ESXi バージョンを使用した中規模な展開で推奨される Cisco Security Manager の仕様は、表 6 に示してあります。
|
|||||
|---|---|---|---|---|---|
|
推奨されるホスト サーバ |
Cisco UCS C220 M3 の同等品 |
||||
|
仮想 CPU |
12 vCPU。vCPU を増やすと、パフォーマンスが向上します。 |
||||
|
メモリ(RAM) |
|
||||
|
ハードドライブスペース |
必要なディスク領域の確保に適した HDD の組み合わせ(以下を参照)を使用します。
パフォーマンス向上のために、RAID 10 の使用を推奨します。必要ならば、RAID 5 も使用できます。シーケンシャルな動作を行う場合は(ほとんどのケースではそうなりません)、書き込みポリシーをライトバックに設定します。そうでない場合は、書き込みポリシーを常にライトスルーに設定します。書き込みポリシーをライトスルーに設定すると、パフォーマンスも向上します。 ヒント 連続 10,000 イベント/秒(EPS)の場合は、1 日に約 86 GB の圧縮ディスク スペースが消費されます。イベントストア(プライマリ/セカンダリ)に割り当てられたディスク領域の 90 % がいっぱいになった段階でログロールオーバーが発生します。ディスクのサイズが小さいほど、ロールオーバーの発生が早くなります。予想 EPS レートとロールオーバー要件に基づいて、イベント管理の使用時に最小ディスク サイズを増減できます。 |
||||
|
ホストサーバの HDD RAID |
Hyper-V 内の RAID は、基礎となるホストシステムの HDD 構成に加えて、仮想化されたファイルシステムが使用されるため、当てはまりません。また、ソフトウェアベースの RAID は、VMware ESX VM では使用できません。詳細については、VMware, Inc. 発行のマニュアルを参照してください。 |
||||
|
ネットワークアダプタ(Network adapter) |
1 Gbps |
||||
|
オペレーティングシステム |
次のいずれかが必要です。
|
||||
|
推奨されるサイジング |
|||||
|
デバイスの最大数 |
最大 200 台 |
||||
|
サポートされる最大累積 EPS |
ASA syslog の 1 秒あたり 10,000 件のイベント |
||||
|
最大同時利用者数 |
同時利用者は多くても 2 人(コンフィギュレーションのみのユーザが 1 人と、イベント画面およびレポーティング画面を使用するユーザが 1 人) |
||||
中規模な企業での展開
表 7 に、中規模な企業での展開用に推奨される Cisco Security Manager サーバーの仕様を示します。
|
推奨サーバ |
Cisco UCS C220 M3 の同等品 |
||||
|---|---|---|---|---|---|
|
[CPU(CPU)] |
1 x Hex Core(X5670 または同等シリーズを推奨) |
||||
|
メモリ(RAM) |
|
||||
|
ハードドライブスペース |
必要なディスク領域の確保に適した HDD の組み合わせ(以下を参照)を使用します。
パフォーマンス向上のために、RAID 10 の使用を推奨します。必要ならば、RAID 5 も使用できます。シーケンシャルな動作を行う場合は(ほとんどのケースではそうなりません)、書き込みポリシーをライトバックに設定します。そうでない場合は、書き込みポリシーを常にライトスルーに設定します。書き込みポリシーをライトスルーに設定すると、パフォーマンスも向上します。 ヒント 連続 10,000 イベント/秒(EPS)の場合は、1 日に約 86 GB の圧縮ディスク スペースが消費されます。イベントストア(プライマリ/セカンダリ)に割り当てられたディスク領域の 90 % がいっぱいになった段階でログ ロールオーバーが発生します。ディスクのサイズが小さいほど、ロールオーバーの発生が早くなります。予想 EPS レートとロールオーバー要件に基づいて、イベント管理の使用時に最小ディスク サイズを増減できます。 |
||||
|
[ネットワークアダプタ(Network adapter)] |
1 Gbps |
||||
|
オペレーティングシステム |
次のいずれかが必要です。
|
||||
|
推奨されるサイジング |
|||||
|
デバイスの最大数 |
最大 200 台 |
||||
|
サポートされる最大累積 EPS |
ASA syslog の 1 秒あたり 10,000 件のイベント |
||||
|
最大同時利用者数 |
同時利用者は多くても 7 人(コンフィギュレーションのみのユーザが 5 人と、イベント画面およびレポーティング画面を使用するユーザが 2 人) |
||||
大規模な企業での展開
表 8 に、大規模な企業での展開用に推奨される Cisco Security Manager サーバーの仕様を示します。
|
推奨サーバ |
Cisco UCS C220 M3 の同等品 |
||||
|---|---|---|---|---|---|
|
[CPU(CPU)] |
2 x Hex Core(X5670 または同等シリーズを推奨) |
||||
|
メモリ(RAM) |
|
||||
|
ハードドライブスペース |
必要なディスク領域の確保に適した HDD の組み合わせ(以下を参照)を使用します。
パフォーマンス向上のために、RAID 10 の使用を推奨します。必要ならば、RAID 5 も使用できます。シーケンシャルな動作を行う場合は(ほとんどのケースではそうなりません)、書き込みポリシーをライトバックに設定します。そうでない場合は、書き込みポリシーを常にライトスルーに設定します。書き込みポリシーをライトスルーに設定すると、パフォーマンスも向上します。 ヒント 連続 10,000 イベント/秒(EPS)の場合は、1 日に約 86 GB の圧縮ディスクスペースが消費されます。イベントストア(プライマリ/セカンダリ)に割り当てられたディスク領域の 90 % がいっぱいになった段階でログロールオーバーが発生します。ディスクのサイズが小さいほど、ロールオーバーの発生が早くなります。予想 EPS レートとロールオーバー要件に基づいて、イベント管理の使用時に最小ディスクサイズを増減できます。 |
||||
|
[ネットワークアダプタ(Network adapter)] |
1 Gbps |
||||
|
オペレーティングシステム |
次のいずれかが必要です。
|
||||
|
推奨されるサイジング |
|||||
|
デバイスの最大数 |
最大 500 台 |
||||
|
サポートされる最大累積 EPS |
ASA syslog の 1 秒あたり 10,000 件のイベント |
||||
|
最大同時利用者数 |
同時利用者は多くても 10 人(コンフィギュレーションのみのユーザが 5 人と、イベント画面およびレポーティング画面を使用するユーザが 5 人) |
||||
(注) |
イベント記録を有効にする場合は、プライマリストアと同サイズまたはそれ以上の追加のストレージ容量が必要です。 |
(注) |
上記のサイジングのガイドラインは、平均 3000 ~ 5000 のルールを持つファイアウォールデバイスに基づいています。ルール数がこれよりも大幅に多い場合は、展開でサポートされるデバイスの数を減らすか、すぐ上のハードウェアを考慮する必要があります。 |
大規模な小売店舗での展開
表 9 に、大規模な小売店舗での展開用に推奨される Cisco Security Manager サーバーの仕様を示します。
|
推奨サーバ |
Cisco UCS C460 M2 の同等品 |
||||
|---|---|---|---|---|---|
|
[CPU(CPU)] |
4 x 8 コア |
||||
|
メモリ(RAM) |
64 GB(すべての場合の最小)。 |
||||
|
ハードドライブスペース |
必要なディスク領域の確保に適した HDD の組み合わせ(以下を参照)を使用します。
パフォーマンス向上のために、RAID 10 の使用を推奨します。必要ならば、RAID 5 も使用できます。シーケンシャルな動作を行う場合は(ほとんどのケースではそうなりません)、書き込みポリシーをライトバックに設定します。そうでない場合は、書き込みポリシーを常にライトスルーに設定します。書き込みポリシーをライトスルーに設定すると、パフォーマンスも向上します。 アプリケーション パーティションには、RAID 1/0 を使用します。 ヒント 連続 10,000 イベント/秒(EPS)の場合は、1 日に約 86 GB の圧縮ディスク スペースが消費されます。イベントストア(プライマリ/セカンダリ)に割り当てられたディスク領域の 90 % がいっぱいになった段階でログ ロールオーバーが発生します。ディスクのサイズが小さいほど、ロールオーバーの発生が早くなります。予想 EPS レートとロールオーバー要件に基づいて、イベント管理の使用時に最小ディスク サイズを増減できます。 |
||||
|
[ネットワークアダプタ(Network adapter)] |
1 Gbps |
||||
|
オペレーティングシステム |
次のいずれかが必要です。
|
||||
|
推奨されるサイジング |
|||||
|
デバイスの最大数 |
最大 2,500 のリテール ブランチ ファイアウォール |
||||
|
サポートされる最大累積 EPS |
ASA syslog の 1 秒あたり 15,000 件のイベント |
||||
|
最大同時利用者数 |
同時利用者は多くても 5 人(コンフィギュレーションのみのユーザと、イベント画面およびレポーティング画面を使用するユーザから成る) |
||||
(注) |
イベント記録を有効にする場合は、プライマリストアと同サイズまたはそれ以上の追加のストレージ容量が必要です。 |
(注) |
1)上記のサイジングのガイドラインは、平均 600 個のルールを持ち、合計で約 20,000 個のオブジェクトが関連付けられたファイアウォールデバイスに基づいています。ルール数がこれよりも大幅に多い場合は、展開でサポートされるデバイスの数を減らすか、デバイス管理を複数のサーバに分割することを検討します。 2)設定変更の展開を 1 つのジョブで多数のデバイスに対して実行した場合、展開の合計時間は実際のデバイスの応答(つまり、Cisco Security Manager がデバイスに接続し、最新の設定を取得するためなどに要する時間)に依存することに注意してください。したがって、展開ジョブのジョブあたりのデバイスの数が 100 未満になるよう検討することをお勧めします。 3)展開の更新を並行して実行できるデバイスの総数を増やすために Cisco Security Manager サーバーを調整することもできます。これは、インベントリ内のデバイスの設定サイズ、デバイスの応答時間や場所などによって異なります。大規模な小売環境向けにそれらのパラメータを調整するには、Cisco Technical Assistance Center(TAC)にお問い合わせください。 |
導入シナリオ
Cisco Security Manager アプリケーションについては、さまざまな展開が考えられます。展開のシナリオを決定する場合には、システムのパフォーマンスに影響を与える可能性のある、次の重要な要因について考慮する必要があります。
Cisco Security Manager で管理するデバイスの数はいくつありますか。
各 Cisco Security Manager のインストールには、管理するデバイスの数にハードリミットはありませんが、Cisco Security Manager サーバーごとに 500 エンタープライズクラス ファイアウォールまたは 2,500 リテールブランチ ファイアウォール未満にすることを推奨します(推奨されるハードウェアとソフトウェアを使用している場合)。1 台のサーバ当たりの適切なデバイス数を管理するには、前の項に記載されている推奨仕様に従う必要があります。管理対象デバイスが非常に大きな構成になっている場合には、デバイスの数は少なくなることがあります。たとえば、多数のファイアウォールデバイスが 20,000 ~ 50,000 のルールを持つ場合、または数千の支店で大規模かつ複雑な VPN ポリシーを持つ場合には、Cisco Security Manager の実行で実現できるパフォーマンスが準最適を下回ることがあります。多数のデバイスおよびネットワークを管理するには、必要に応じて複数の Cisco Security Manager サーバーを展開する必要があります。
複数の Cisco Security Manager サーバーにわたって、ポリシー、オブジェクト、およびデバイスをどのように管理できますか。
共有されているポリシー、オブジェクト、およびデバイスは、Policy Export/Import 機能を使用して、ある Security Manager サーバーから別の Cisco Security Manager サーバーにエクスポート/インポートできます。この機能を使用すると、共有されているポリシーやオブジェクトを複数のサーバにわたって簡単に同期できます。また、必要に応じて、管理対象デバイスをあるサーバから別のサーバに移行(移動)するのにも使用できます。
Cisco Security Manager では、どのようなタイプのデバイスが管理されますか。デバイスのタイプによってパフォーマンスも変わりますか。
多くのタイプのデバイスを Cisco Security Manager で管理できますが、最も多く見られるのはファイアウォールと VPN デバイスで、この種のデバイスは、さまざまなタイプのデバイスでパフォーマンスがどのように異なるかを示す良い例となります。
他のタイプのデバイスよりもポリシー変更が頻繁に必要なタイプのデバイスもあります。たとえば、ファイアウォールなどのデバイスでは、VPN デバイスよりもポリシー変更が頻繁に必要です。したがって、ファイアウォールには VPN デバイスよりもはるかに多くのリソースが必要です。そのため、通常、Cisco Security Manager はファイアウォール環境よりも VPN 環境でより多くのデバイスを管理できます。
構成の一般的なサイズはどのくらいですか。
小規模な環境では、一般的なサイズは 100 ~数千行です。中規模な環境では、一般的なサイズは 1000 ~ 5000 の ACL ですが、大規模な環境では、5000 ~ 50,000 以上の ACL になることがあります。より規模の大きい環境では、将来的な成長に対して十分な余裕を確保しておくために、1 台の Cisco Security Manager サーバー当たりのデバイス数を減らすことを考慮する必要があります。
Cisco Security Manager はいくつのイベントを管理できますか。ファイアウォールの正しい設定はどのようなものですか。
イベント管理は、多数のユーザおよびデバイスを持つ大規模な環境において、特に大量のシステム リソースを消費することがあります。適切なハードウェアおよびソフトウェアの仕様を備えた 1 つの Cisco Security Manager サーバーでは、1 秒間に最大 10,000 のイベントを管理できますが、運用に必要な重要ログだけを送信するようにデバイスを設定することをお勧めします。ファイアウォールデバイスで推奨されるロギングレベルは 0(緊急)~5(通知)です。0 では、Cisco Security Manager に送信されるログの量が最小になります。追加のロギングについては、トラブルシューティングおよびデバッグの目的で必要なときのために、1 つのデバイスに対して常に有効にしておくことができます。ロギングのレベルで 7(デバッグ)または 6(情報)を使用する場合は注意してください。これらは、必要に応じてデバイスのコンソールまたは Device Manager のみでオンにして、使用後はオフにする必要があります。
何人のユーザがこれらのアプリケーションを使用しますか。
アクティブなユーザ セッションはサーバに負荷をかけるため、展開のサイズを決定する場合には、要因として考慮する必要があります。たとえば、あるアプリケーションではデバイス数が上限に達することはありませんが、同時ユーザ セッション数のために最大負荷近くなることがある場合は、1 台のサーバをそのアプリケーション専用にすることが妥当です。Cisco Security Manager は 5 人を超える同時ユーザーをサポートしますが、ユーザーはイベントビューア内の最大 5 つのリアルタイムイベントビューをいつでも開くことができます。Event Server は、自身に接続している Event Viewer のインスタンスの数を制限しませんが、アクティブなすべての Event Viewer にわたる同時リアルタイムイベントビューの数に 5 というハードリミットを設定します。
Cisco Security Manager は IPv6 デバイスをサポートしていますか。
Cisco Security Manager 4.12 より前は、Cisco Security Manager サーバーは IPv4 アドレスを介してのみ管理対象デバイスと通信していました。バージョン 4.12 以降、Cisco Security Manager は、IPv6 アドレスまたは IPv4 アドレスを介した Cisco Security Manager サーバーと管理対象デバイス間の通信をサポートします。この機能は、ASA または FWSM ファイアウォールデバイスでのみ使用できます。IPv6 アドレスを介した通信を有効にするには、最初に Cisco Security Manager サーバーで IPv6 アドレスを有効にする必要があります。詳細については、『User Guide for Cisco Security Manager 4.27』の「Getting Started with Cisco Security Manager」の章 [英語] を参照してください。
Cisco Security Manager は IPv6 デバイスをサポートするようになりましたが、ASA デバイスは IPv6 Syslog サーバーをサポートしません。このシナリオでイベントマネージャはどのように機能しますか。
Cisco Security Manager 4.12 以降では、IPv6 アドレスを使用して追加されたデバイスには、デバイスインベントリに IPv6 アドレスのみがあります。デバイスがデュアルスタックで設定されている場合、Security Manger は IPv6 アドレスでデバイスと通信しますが、デバイスは引き続き管理 IPv4 アドレスを使用して syslog パケットを転送します。
イベントマネージャは、デバイスの管理 IPv4 アドレスをその [検出の詳細(Discovery Details)] から内部で取得します。デバイスから([IPv4アドレス(IPv4 Address)] で)syslog を受信するたびに、対応する IPv6 デバイスの表示名と自動的に照合し、イベントマネージャの UI に表示します。
(注) |
Cisco Security Manager から IPv6 アドレスを介してのみ到達可能なファイアウォールデバイスがある場合、これらのデバイスは Cisco Security Manager で管理できますが、IPv6 アドレスを介して syslog を送信できないため、これらのデバイスでイベントマネージャは使用できません。 |
アプリケーション パフォーマンスに影響を与える要因
アプリケーションのパフォーマンスに影響を与える要因には、多くのものがあります。具体的には次のものがありますが、これ以外にも考えられます。
-
サーバおよびクライアントのハードウェア(プロセッサ、メモリ、ストレージのテクノロジーなど)。
-
管理対象デバイスの数、およびデバイスのタイプ、デバイスの複雑さ、構成のサイズ(多数の ACL など)。
-
イベント管理エンジン、管理デバイスによって報告されるイベントボリューム、およびログレベル。
-
ポリシーオブジェクトの数と複雑さ。
-
同時ユーザの数と、それらのユーザが実行している特定のアクティビティ。
-
デバイスの数が多い場合の、コンフィギュレーションの展開頻度、または IPS シグニチャのアップデート頻度。
-
展開ジョブ内のデバイスの数。
-
ネットワークの帯域幅と遅延(Cisco Security Manager クライアントとサーバー間、サーバーと管理対象デバイス間など)。
-
VMware ESX などの仮想テクノロジーの使用。
-
AAA サービスでの ISE サーバーの使用
-
スケジュール済みレポートの数。
-
レポーティングエンジン、管理対象デバイスによって報告されるイベント ボリューム、およびイベント集約。
Cisco Security Manager クライアントとサーバーが地理的にかなり離れていると、遅延が生じて、クライアントの応答性が低下することがあります。たとえば、カリフォルニアにあるサーバで、インドにあるクライアントを使用することは、大きな遅延が生じるため推奨されません。このような場合には、クライアントがサーバと同じデータセンター内(または、少なくとも近隣)に設置される、リモートデスクトップまたはターミナルサーバ配置を採用することをお勧めします。
単一サーバのインストール
単一サーバーは、最も簡単な展開シナリオで、Cisco Security Manager の対象のアプリケーションをすべて同じサーバーにインストールします。ネットワークのセキュリティ管理者が 1 人、または 2 人の小規模なセキュリティ環境では、通常は単一サーバの展開で十分です。
複数サーバのインストール
デバイスが数百台または数千台あるような大規模な環境では、単一サーバですべてのデバイスを効率よく管理できないことがあります。パフォーマンス上の理由から、Cisco Security Manager の対象のアプリケーションを複数のサーバー間に展開することを選択できます。アプリケーション配布の例としては、たとえば次のようになります。
サーバ A:ファイアウォールポリシーおよびデバイス管理
-
Common Services
-
セキュリティマネージャ
-
Event/Log Monitoring
-
Report Manager
-
Image Manager
サーバー B:VPN ポリシーおよびデバイス管理
-
Common Services
-
セキュリティマネージャ
-
Event/Log Monitoring
-
Report Manager
-
Health and Performance Monitor
サーバー A は、すべての ASA ファイアウォールデバイスのコンフィグレーションおよびイベント管理専用です。サーバー B は、ASA VPN デバイスの VPN ポリシー管理専用です。ファイアウォールデバイスは VPN トポロジの一部であるため、サーバー C はファイアウォールデバイスの管理も行います。この展開方法では、各サーバはそれ自身の中ではほとんど同じポリシー データしか使用しないため、サーバ間でポリシー データを共有する必要性はほとんどありません。ただし、Cisco Security Manager サーバーと管理デバイスが非常に離れた場所に展開されているようなネットワークでは、この展開は適していません。このようにすると、モニタリング、設定の検出、および展開に影響を与えることがあります。
もうひとつの方法として、地域ごとにデバイスを分けて、各 Cisco Security Manager は、地域内(米国西部、米国中部、米国東部、ヨーロッパ、アジアなど)の少数のデバイスのみを管理する、というものがあります。この方法では、管理コンソール、イベント モニタリング、および管理デバイスの設定展開について、ローカルな Security Manager サーバから最適なパフォーマンスを提供できます。
複数のサーバ展開では、ポリシーのインポート/エクスポート機能を使用して、共有ポリシーおよびオブジェクトを異なるサーバ間でエクスポートおよびインポートできます。ポリシーのインポート/エクスポートを使用して、デバイスを別のサーバに移行(移動)することもできます。これは、さまざまなサーバの多数のデバイスにわたってポリシーとオブジェクトの同期を保持しながら、管理をスケールアップするのに役立ちます。
VMware の仮想マシン環境でのインストール
Cisco Security Manager は、VMware ESXi 5.1U2 および ESXi 7.0 までの VMware ESXi バージョンでの実行をサポートしています。VMware Server や VMware Workstation などの VMware の他の環境はサポートしていません。
VMware のゲスト オペレーティング システムとして、Cisco Security Manager でサポートされている任意のサーバー オペレーティング システムを使用できます。VMware の認定作業では、通常の仮想化されていないサーバー上で稼働している Cisco Security Manager で実行されたものと同じパフォーマンステストおよび耐久性テストを行う必要がありました。テスト結果として、VMware ESX Server 4.0 で Cisco Security Manager を実行すると、イベント管理機能をオンにしない場合、アプリケーション パフォーマンスが少し低下することがわかりました。これは、関連するリファレンスネットワークのサイズや、特定のテストケースによって異なります。VMware 環境で Cisco Security Manager を展開することは、小さいサイズのネットワークにのみ適しています。
パフォーマンスが常に大きく低下するようなエリアでは、多数の ASA デバイスへの展開を行っていたり、または多数(約 5,000 ~ 50,000)のルールを使用するデバイスへの展開を行っていました。このような場合には、展開にかかる時間が、容認できる範囲を超えてしまいます。VMware のパフォーマンスのベストプラクティスについては、次のマニュアル(http://www.vmware.com/pdf/Perf_Best_Practices_vSphere4.1.pdf [英語])を参照してください。
ただし、通常、デフォルトの値または設定は最適になっているため、詳細な VMware パラメータは調整すべきではありません。
また、仮想化の効率を向上させることに特化して設計されたテクノロジーが含まれているプロセッサを使用した、最新世代のサーバを使用することが推奨されます。たとえば、Intel® Virtualization Technology(IVT)が含まれている Intel® Xeon® X5500 シリーズの Quad-core プロセッサ上で、VMware ESX Server 4.0 で実行している Cisco Security Manager をテストした場合には、良好な結果が得られました。AMD は、仮想化の機能拡張に対して 64 ビット x86 アーキテクチャプロセッサを提供しており、これは AMD Virtualization(AMD-V)と呼ばれます。
仮想マシンのハードウェア要件およびソフトウェア要件については、表 3:推奨される VMware ESXi バージョン別 OS のサポートを参照してください。
ハイ アベイラビリティ/ディザスタ リカバリ
Cisco Security Manager をハイアベイラビリティまたはディザスタリカバリの構成に展開して、サーバー、ストレージ、ネットワーク、またはサイトの障害時にアプリケーションの可用性および存続可能性を大幅に向上させることができます。これらの展開オプションについては、適用可能な Cisco Security Manager ハイアベイラビリティに関するマニュアル(http:// www.cisco.com/c/en/us/support/security/security-manager/products-installation-guides-list.html)[英語] に詳しい説明が記載されています。
(注) |
VMware HA/DR シナリオで Cisco Security Manager を使用するには、Cisco Security Manager の単一ライセンスで十分です。 |
設置に関するガイドライン
Cisco Security Manager のインストールの詳細については、『Installation Guide for Cisco Security Manager 4.27』[英語] を参照してください。
インストール可能なモジュール
Cisco Security Manager サーバーのインストールは、複数の異なるコンポーネントに適用されます。コンポーネントのいくつかはオプションです。Cisco Security Manager のインストーラは、次のコンポーネントのインストールを行います。
-
Common Services 4.2.2(Cisco Security Manager 4.27 のインストールを選択するとデフォルトでインストールされる)
-
Security Manager 4.27 Server(必須)
-
Security Manager 4.27 Client(クライアントが専用クライアント マシンにインストールされている場合はオプション)
Cisco Security Manager クライアントは、スタンドアロンインストーラを使用してインストールできます。このインストーラにアクセスする最も一般的な方法は、Web ブラウザ(https://server_hostname_or_ip)を使用してサーバにログインし、クライアント インストーラをクリックする方法です。
Cisco Security Manager のインストーラ、および Cisco Security Manager クライアントインストーラの詳細な使用方法については、『Installation Guide for Cisco Security Manager 4.27』[英語] を参照してください。
IP アドレス、ホスト名、および DNS 名
Cisco Security Manager では、DHCP アドレスではなく、スタティック IP アドレスが必要です。Cisco Security Manager サーバーの IP アドレスは変更できます。変更後に、システムのリブートが必要です。Cisco Security Manager の TCP/IP 設定で DNS サーバーを設定する場合は、Cisco Security Manager サーバーのホスト名と DNS 名が同じで、設定されている DNS サーバーで解決可能であることを確認してください。Cisco Security Manager をインストールする前に、サーバーに対して永続的な DNS 名とコンピュータホスト名を選択する必要があります。これは、ホスト名と DNS 名はインストールの後に修正できないためです。インストール後に Cisco Security Manager サーバーのホスト名を変更すると、Cisco Security Manager の再インストールが必要になる場合があります。
(注) |
バージョン 4.12 以降、ASA デバイスに対する Cisco Security Manager サーバーからデバイスへの通信は、IPv6 アドレスまたは IPv4 アドレスのいずれかでサポートされます。IPv6 アドレスは 128 ビットの一意のアドレスです。IPv6 アドレスについては、スタティック IP タイプのみがサポートされています。ダイナミック IP タイプは、IPv6 アドレスではサポートされません。詳細については、『User Guide for Cisco Security Manager 4.27』の「Getting Started with Cisco Security Manager」の章 [英語] を参照してください。 |
クライアントの展開
推奨される通常の手順では、Cisco Security Manager クライアントを個別のクライアントマシンにインストールし、実行します。Cisco Security Manager では、特定のマシン上にクライアントのシングルバージョンをインストールすることのみサポートしています。そのため、同じマシン上で Cisco Security Manager 4.10 と 4.27 の両方のクライアントを持つことはできません。サーバにクライアントをインストールして使用することはできますが、これは、規模の小さいネットワークにのみ適しており、規模の大きい企業ネットワークにはお勧めできません。
アプリケーション パフォーマンスに影響を与える要因の項に記載されているように、エンドユーザーとサーバーの場所がかなり離れていて、相当な遅延が発生している場合(大陸間の距離がある場合)でも容認できるパフォーマンスを保持するために、サーバーに近い場所にあるターミナルサーバー上に、クライアントを展開することをお勧めします。
Cisco Security Manager サーバーのチューニング
Cisco Security Manager には、いくつかの詳細なパラメータが用意されています。このパラメータを修正して、アプリケーションのパフォーマンスを調整できます。50 以上のデバイスを管理する中規模および大規模な展開では、最適なパフォーマンスを得るために、Cisco Security Manager で次のパラメータを変更できます。
ディスクの最適化
最適なパフォーマンスのために、ディスクサイズの 50 GB 増加ごとにディスク フラグメンテーションを行うことを推奨します。
注意 |
頻繁に最適化を行うことによって、最終的にディスク障害を引き起こす、不良セクタを防ぐこともできます。 |
Windows オペレーティングシステムのスワップファイルサイズ
仮想メモリ(ページングファイル)は、インストールされているメモリの 1.5 倍である必要があります。これは、Windows プラットフォームに関する Microsoft の推奨事項です。シスコの要件ではありません。メモリページングは、システムに搭載されたメモリが負荷を処理するのに足りない場合にのみ発生します。
注意 |
[すべてのドライブのページングファイルのサイズを自動的に管理する(Automatically manage paging file size for all drives)] チェックボックスをオフにする必要があります。このチェックボックスは、[コントロールパネル(Control Panel)] > [システム(System )] > [システムの詳細設定(Advanced System Settings)] > [パフォーマンス(Performance)] > [設定(Settings)] > [詳細設定(Advanced)] タブ > [仮想メモリ(Virtual Memory)] > [変更(Change)] にあります。 |
Cisco Security Manager のライセンスについて
Cisco Security Manager の展開を計画して、管理対象デバイスの数とタイプに応じた基本ライセンスとデバイスライセンスが揃っていることを保証するためには、Cisco Security Manager のライセンスについて理解しておくことが重要です。
重要なライセンシング情報については、次のマニュアルを参照してください。
-
『Installation Guide for Cisco Security Manager 4.27』
-
http://www.cisco.com/c/en/us/products/security/security-manager/bulletin-listing.html [英語] にある、Cisco Security Manager の最新メジャーリリースの製品速報
ライセンスの例
ここでは、Cisco Security Manager のライセンスを理解しやすいように、いくつかの代表的なライセンスの例を示します。
例 1
管理対象ネットワークの説明:フェールオーバーモードで動作する 250 の ASA ペアがある(500 台のデバイス)。
必要なライセンス:Professional-250 ライセンス。また、Professional-50 ライセンスまたは Professional-100 ライセンスを、適切な差分(「アドオン」)デバイスライセンスとともに注文することもできます。差分デバイスライセンスは、50、100、および 250 台単位でデバイス数を追加できます。
例 2
管理対象ネットワークの説明:Cisco Security Manager Standard-25 デバイスライセンスがあるが、追加で、シングルモードで稼働している 20 台の ASA デバイスを管理する必要がある。
必要なライセンス:Enterprise Standard-25 to Professional-50 Upgrade ライセンスが必要です。
例 3
管理対象ネットワークの説明:アクティブ/スタンバイ、またはアクティブ/アクティブのペアの組み合わせで展開されており、それぞれ 5 つのセキュリティコンテキストを持つ、10 ペアのフェールオーバー ASA デバイス(20 台のデバイス)。
必要なライセンス:Enterprise Professional-50、および Enterprise Professional Incremental 50 Device
冗長性を得るためフェールオーバーデバイスのペアを展開する場合は、Cisco Security Manager にアクティブデバイスおよびコンテキストを追加するだけで済みます。必要なデバイスのライセンス数は、(10 台のデバイス)×(5 つのコンテキスト)+(10 台のシャーシ)で、合計 60 個のデバイスライセンスになります。
(注) |
使用可能なライセンスの種類やサポートされているアップグレードパスに関する詳細の他、購入可能な Cisco Software Application Support サービス契約については、http://www.cisco.com/c/en/us/products/security/security-manager/bulletin-listing.html で Cisco Security Manager の最新メジャーリリースの製品速報 [英語] を参照してください。 |
(注) |
上記のすべての例では、Cisco Technical Assistance Center(TAC)およびアプリケーションのマイナー リリース アップデートを無料で使用できるようにするために、対応する Cisco Service Application Support(SAS)の注文を検討する必要があります。 |
フィードバック