Cisco Identity Services Engine 管理者ガイド リリース 1.3
ポリシー条件の設定
ポリシー条件の設定

ポリシー条件の設定

ポリシー条件

Cisco ISE はポリシー ベースのネットワーク アクセス制御ソリューションで、ネットワーク アクセス、ゲスト、ポスチャ、クライアント プロビジョニング、プロファイラの各種サービスを提供します。 Cisco ISE の設定時に、認証、許可、ゲスト、ポスチャ、およびプロファイラのポリシーを作成します。 ポリシー条件は、ポリシーの基本的な構成要素です。 ポリシー条件には、単純条件と複合条件の 2 種類のポリシー条件があります。

この章では、ポリシー条件と、Cisco ISE が提供するさまざまなサービス用にこれらを作成する方法について説明します。

単純条件と複合条件

Cisco ISE は、ネットワーク アクセス、プロファイラ、ポスチャ、ゲスト サービスを提供するために、ルールベースのポリシーを使用します。 これらのルールベースのポリシーは、条件で構成されたルールで構成されます。 Cisco ISE では、個別の再利用可能なポリシー要素として条件を作成でき、これらの条件は別のルールベースのポリシーから参照することが可能です。 条件には次の 2 種類があります。

  • 単純条件:単純条件は、オペランド(属性)、演算子(equal to、not equal to、greater than など)、および値で構成されています。 単純条件を保存して、他のルールベースのポリシーで使用できます。

    単純条件は、A オペランド B の形式をとります。ここで、A は Cisco ISE ディクショナリ内の任意の属性とすることができ、B は属性 A がとり得るいずれかの値とすることができます。 デバイス タイプは、すべてのネットワーク デバイスの属性として使用され、値としてすべてのデバイス タイプを含めることができます。次の形式で、A Equals B を意味します。

    DEVICE:Device Type Equals All Device Types

  • 複合条件:複合条件は、1 つ以上の単純条件で構成され、AND または OR 演算子で接続されます。 複合条件は、単純条件に基づいて構成されます。 複合条件を保存して、他のルールベースのポリシーで再利用できます。

    複合条件は、次のいずれかの形式にできます。

    • (X オペランド Y)AND(A オペランド B)AND(X オペランド Z)AND(以下同様)

    • (X オペランド Y)OR(A オペランド B)OR(X オペランド Z)OR(以下同様)

      ここで、X および A はユーザ名やデバイス タイプなどの Cisco ISE ディクショナリの属性です。

      次に、複合条件の例を示します。

      DEVICE:Model Name Matches Catalyst6K AND Network Access:Use Case Equals Host Lookup

      ポリシーで使用されているか、または複合条件の一部である条件を削除できません。

ポリシー評価

通常、ポリシーはルールで構成され、各ルールは満たされるべき条件で構成され、この条件によって、ネットワーク リソースへのアクセスなどのアクションの実行が許可されます。 ルールベースの条件は、ポリシーの基盤、つまり要求を評価するときに使用するルールのセットを形成します。

実行時に、Cisco ISE はポリシー条件を評価し、ポリシー評価が true または false 値のどちらを返すかに応じて、定義されている結果を適用します。

ポリシー条件の評価時に、Cisco ISE は属性と値を比較します。 ポリシー条件で指定された属性に、要求内で割り当てられた値が含まれていない場合があります。 このとき、比較に使用されている演算子が「not equal to」である場合、この条件は true と評価されます。 その他の場合、この条件は false と評価されます。

たとえば、「Radius.Calling_Station_ID Not Equal to 1.1.1.1」という条件で RADIUS 要求に Calling Station ID が存在しない場合、この条件は true と評価されます。 この評価は RADIUS ディクショナリに特有なものではなく、「Not Equal to」演算子の使用に起因して発生します。

単純条件の作成

単純条件を作成し、認証ポリシー、許可ポリシー、またはゲスト ポリシーの定義時に再利用できます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはポリシー管理者である必要があります。

手順
    ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] を選択します。
    ステップ 2   [認証(Authentication)]、[許可(Authorization)]、または [ゲスト(Guest)] の隣の矢印をクリックして、[単純条件(Simple Conditions)] をクリックします。
    ステップ 3   [追加(Add)] をクリックします。
    ステップ 4   [名前(Name)]、[説明(Description)]、[属性(Attribute)]、[演算子(Operator)]、および [値(Value)] フィールドに適切な値を入力します。

    単純条件で ID グループを指定した場合、これらを次のように FQDN 形式で表記していることを確認してください。

    
    (InternalUser:IdentityGroup) : Equal : (UserIdentityGroups: Identity Group Name)
    

    Cisco ISE では、(InternalUser:IdentityGroup) : Equal : (Identity Group Name) 形式の ID グループ エントリを正確に解決できません。

    ステップ 5   [送信(Submit)] をクリックして、条件を保存します。

    複合条件の作成

    複合条件を作成し、認証ポリシーの定義時に再利用できます。

    はじめる前に
    • Cisco ISE には、最も一般的な使用例の一部に関する事前定義された複合条件が含まれています。 これらの事前定義された条件を要件に合わせて編集できます。

    • 次のタスクを実行するには、スーパー管理者またはポリシー管理者である必要があります。

    手順
      ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] を選択します。
      ステップ 2   [認証(Authentication)]、[許可(Authorization)]、または [ゲスト(Guest)] の隣の矢印をクリックして、[複合条件(Compound Conditions)] をクリックします。
      ステップ 3   [追加(Add)] をクリックします。
      ステップ 4   複合条件の名前を入力します。 任意で説明を入力できます。
      ステップ 5   [既存の条件をライブラリから選択(Select Existing Condition from Library)] をクリックして既存の単純条件を選択するか、[新しい条件の作成(Create New Condition)] をクリックして、式ビルダーから属性、演算子、および値を選択します。
      ステップ 6   条件をさらに追加するには、この行の末尾の [操作(action)] アイコンをクリックします。
      ステップ 7   [属性/値の追加(Add Attribute/Value)] をクリックして新しい条件を作成するか、[条件をライブラリから追加(Add Condition from Library)] をクリックして既存の単純条件を追加します。
      ステップ 8   ドロップダウン リストから、オペランドを選択します。 [AND] または [OR] を選択できます。この複合条件のすべての条件間で同じオペランドが使用されます。
      ステップ 9   [送信(Submit)] をクリックして複合条件を作成します。

      プロファイラ条件

      プロファイラ条件はポリシー要素であり、他の条件とほとんど同じです。 ただし、認証、許可、およびゲスト条件とは異なり、プロファイリング条件は限られた数の属性に基づいています。 [プロファイラ条件(Profiler Conditions)] ページに Cisco ISE で使用できる属性とその説明が表示されます。

      プロファイラ条件は次のとおりです。

      • シスコ提供:Cisco ISE には展開時に事前定義されたプロファイリング条件が含まれており、[プロファイラ条件(Profiler Conditions)] ページでシスコ提供の条件として識別されます。 シスコ提供のプロファイリング条件を削除することはできません。

        [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [ディクショナリ(Dictionaries)] > [システム(System)] からアクセスできる場所にあるシステム プロファイラ ディクショナリにもシスコ提供条件があります。

        たとえば、MAC ディクショナリです。 一部の製品では、OUI(固有識別子情報)がデバイスの製造組織を識別するために最初に使用できる固有属性です。 これはデバイスの MAC アドレスのコンポーネントです。 MAC ディクショナリには、MACAddress および OUI 属性が含まれています。

      • 管理者作成:ユーザが Cisco ISE の管理者として作成するプロファイラ条件、複製された事前定義済みのプロファイリング条件は管理者作成として識別されます。 [プロファイラ条件(Profiler Conditions)] ページでプロファイラ ディクショナリを使用して、DHCP、MAC、SNMP、IP、RADIUS、NetFlow、CDP、LLDP、および NMAP タイプのプロファイラ条件を作成できます。

      プロファイラ条件の作成

      Cisco ISE のエンドポイント プロファイリング ポリシーを使用すると、ネットワーク上で検出されたエンドポイントを分類し、特定のエンドポイント ID グループに割り当てることができます。 これらのエンドポイント プロファイリング ポリシーは、エンドポイントを分類し、グループ化するために Cisco ISE が評価するプロファイリング条件から構成されます。

      はじめる前に

      次のタスクを実行するには、スーパー管理者またはポリシー管理者である必要があります。

      手順
        ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [プロファイリング(Profiling)] > [追加(Add)] を選択します。
        ステップ 2   エンドポイント プロファイリング ポリシーの設定の説明に従って、フィールドに値を入力します。
        ステップ 3   [送信(Submit)] をクリックして、プロファイラ条件を保存します。
        ステップ 4   さらに多くの条件を作成するには、この手順を繰り返します。

        ポスチャ条件

        ポスチャ条件は次の単純条件のいずれかになります。ファイル、レジストリ、アプリケーション、サービス、またはディクショナリ条件。 これらの単純条件のうちの 1 つ以上の条件によって複合条件が形成され、複合条件はポスチャ要件と関連付けることができます。

        ネットワークに Cisco ISE を初めて展開する場合は、Web からポスチャ更新をダウンロードできます。 このプロセスは、初期ポスチャ更新と呼ばれます。

        初期ポスチャ更新の後、Cisco ISE はシスコ定義の単純および複合条件も作成します。 シスコ定義の単純条件はプレフィクスとして pc_ が付けられ、複合条件はプレフィクスとして pr_ が付けられています。

        ダイナミック ポスチャ更新の結果としてシスコ定義の条件を Web を介してダウンロードするように Cisco ISE を設定することもできます。 シスコ定義のポスチャ条件を削除または編集することはできません。

        ユーザ定義の条件やシスコ定義の条件には、単純条件と複合条件の両方が含まれます。

        単純ポスチャ条件

        ポスチャ ナビゲーション ペインを使用して、次の単純条件を管理できます。

        • ファイル条件:ファイルの存在、ファイルの日付、およびクライアントのファイル バージョンを確認する条件。

        • レジストリ条件:レジストリ キーの存在またはクライアントのレジストリ キーの値を確認する条件。

        • アプリケーション条件:アプリケーション(プロセス)がクライアント上で実行されているかまたは実行されていないかを確認する条件。

        • サービス条件:サービスがクライアント上で実行されているかまたは実行されていないかを確認する条件。

        • ディクショナリ条件:ディクショナリ属性と値を確認する条件。

        単純ポスチャ条件の作成

        ポスチャ ポリシーまたは他の複合条件で使用できる、ファイル、レジストリ、アプリケーション、サービス、およびディクショナリ単純条件を作成できます。

        はじめる前に

        次のタスクを実行するには、スーパー管理者またはポリシー管理者である必要があります。

        手順
          ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] を選択します。
          ステップ 2   [ファイル(File)]、[レジストリ(Registry)]、[アプリケーション(Application)]、[サービス(Service)]、または [ディクショナリ単純条件(Dictionary Simple Condition)] のいずれかを選択します。
          ステップ 3   [追加(Add)] をクリックします。
          ステップ 4   フィールドに適切な値を入力します。
          ステップ 5   [送信(Submit)] をクリックします。

          複合ポスチャ条件

          複合条件は、1 つ以上の単純条件、または複合条件で構成されます。 ポスチャ ポリシーを定義する場合、次の複合条件を使用できます。

          • 複合条件:1 つ以上の単純条件、またはタイプがファイル、レジストリ、アプリケーション、またはサービス条件の複合条件が含まれます

          • アンチウイルス複合条件:1 つ以上の AV 条件、または AV 複合条件が含まれます

          • アンチスパイウェア複合条件:1 つ以上の AS 条件、または AS 複合条件が含まれます

          • ディクショナリ複合条件:1 つ以上のディクショナリ単純条件またはディクショナリ複合条件が含まれます

          Windows クライアントでの自動アップデートを有効にするためのシスコ事前定義の条件

          pr_AutoUpdateCheck_Rule はシスコによって事前定義された条件であり、[複合条件(Compound Conditions)] ページにダウンロードされます。 この条件を使用すると、Windows クライアント上で自動アップデート機能が有効になっているかどうかを確認することができます。 Windows クライアントがこの要件を満たさない場合、ネットワーク アクセス コントロール(NAC)エージェントによって、Windows クライアントの自動アップデート機能が強制的に有効になります(修復)。 この修復後、Windows クライアントはポスチャ準拠になります。 自動アップデート機能が Windows クライアント上で有効になっていない場合は、ポスチャ ポリシーで関連付けた Windows Update 修復で Windows 管理者設定を上書きします。

          シスコ事前設定済みアンチウイルスおよびアンチスパイウェア条件

          Cisco ISE の [AV 複合条件(AV Compound Condition)] および [AS 複合条件(AS Compound Condition)] ページには、アンチウイルスとアンチスパイウェアの事前設定済みの複合条件がロードされます。これらの条件は、Windows および Macintosh オペレーティング システムのアンチウイルスおよびアンチスパイウェア サポート表で定義されます。 これらの複合条件では、指定されたアンチウイルスとアンチスパイウェア製品がすべてのクライアント上に存在するかどうかを確認できます。 Cisco ISE で新しいアンチウイルスとアンチスパイウェアの複合条件を作成することもできます。

          アンチウイルスとアンチスパイウェア サポート表

          Cisco ISE は、各ベンダー製品の最新バージョンおよび定義ファイルの日付を提供するアンチウイルスとアンチスパイウェア サポート表を使用します。 ユーザは頻繁にアンチウイルスとアンチスパイウェア サポート表をポーリングする必要があります。 アンチウイルスとアンチスパイウェアのベンダーはアンチウイルスとアンチスパイウェア定義ファイルを頻繁に更新するため、各ベンダー製品の最新バージョンおよび定義ファイルの日付を検索します。

          新しいアンチウイルスとアンチスパイウェアのベンダー、製品、リリースのサポートを反映するようにアンチウイルスとアンチスパイウェア サポート表が更新されるたびに、NAC Agent は新しいアンチウイルスとアンチスパイウェア ライブラリを受け取ります。 これは、NAC Agent がより新しい追加機能をサポートするのに役立ちます。 NAC Agent がこのサポート情報を取得すると、定期的に更新される se-checks.xml ファイル(se-templates.tar.gz アーカイブで se-rules.xml ファイルとともに公開される)で最新の定義情報をチェックし、クライアントがポスチャ ポリシーに準拠しているかどうかを決定します。 特定のアンチウイルスまたはアンチスパイウェア製品のアンチウイルスとアンチスパイウェア ライブラリによってサポートされている機能に応じて、適切な要件が NAC Agent に送信され、ポスチャ検証中にクライアント上でそれらの存在、および特定のアンチウイルスおよびアンチスパイウェア製品のステータスが検証されます。

          アンチウイルスとアンチスパイウェア サポート表は、次の Cisco.com で参照できます。

          http:/​/​www.cisco.com/​en/​US/​docs/​security/​ise/​1.1/​release_notes/​win-avas-3-4-27-1.pdf

          複合ポスチャ条件の作成

          ポスチャ評価と検証のポスチャ ポリシーで使用できる複合条件を作成できます。

          はじめる前に

          次のタスクを実行するには、スーパー管理者またはポリシー管理者である必要があります。

          手順
            ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [複合条件(Compound Conditions)] > [追加(Add)] を選択します。
            ステップ 2   フィールドに適切な値を入力します。
            ステップ 3   条件を検証するために [式の確認(Validate Expression)] をクリックします。
            ステップ 4   [送信(Submit)] をクリックします。

            時刻と日付の条件の作成

            時刻と日付の条件によって、Cisco ISE システム リソースにアクセスするための権限を制限または拡張することができます。

            はじめる前に

            次のタスクを実行するには、スーパー管理者またはポリシー管理者である必要があります。

            手順
              ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [時刻と日付(Time and Date)] > [追加(Add)] を選択します。
              ステップ 2   フィールドに適切な値を入力します。
              • [標準設定(Standard Settings)] 領域で、アクセスを提供する日時を指定します。

              • [例外(Exceptions)] 領域で、アクセスを制限する日時の範囲を指定します。

              ステップ 3   [送信(Submit)] をクリックします。