ASA CX および Cisco Prime Security Manager 9.1 ユーザ ガイド
概要
概要
発行日;2013/02/21   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

概要

Cisco ASA CX Context-Aware Security は、ネットワークを通過するトラフィックについて、ネットワークに接続するユーザ、使用されているデバイス、およびアクセスするアプリケーションや Web サイトなどの可視性と制御をセキュリティ管理者に提供します。 従来の IP アドレスとサービス(プロトコル/ポート)に加えて、アプリケーションの使用、ユーザ ID、Web アドレス、ユーザ エージェント、およびユーザの場所に基づいてアクセスを制御できます。

Cisco Prime Security ManagerPRSM)は、ASA デバイスと CX デバイスにマルチデバイス管理を提供します。

コンテキスト対応セキュリティと PRSM:全体像

ファイアウォールは、長い間、企業の防御の支柱でした。 今日の脅威を撃退するには、ファイアウォールを「コンテキスト認識」にする必要があります。つまり、ユーザやアプリケーションの身元確認、アクセスの発生元およびアクセスに使用されているデバイスのタイプを抽出し、これらの属性に基づき、設定済みポリシーに従ってアクセスを許可または拒否する必要があります。 加えて、ファイアウォールは新たに発生する脅威を検出し、そのような脅威から守ることができなければなりません。

これらはコンテキスト対応セキュリティが提供する機能です。 ASA CX などのコンテキスト対応デバイス(CX デバイス)を使用することで、状況の完全なコンテキストに基づいてセキュリティを適用できます。 このコンテキストには、ユーザのアイデンティティ(誰が)、ユーザがアクセスを試みているアプリケーションまたは Web サイト(何を)、アクセス試行の発生元(どこで)、アクセス試行の時間(いつ)、およびアクセスに使用されているデバイスのプロパティ(どのように)が含まれます。 ASA CX では、フローの完全なコンテキストを抽出し、Facebook へのアクセスを許可するが Facebook でのゲームへのアクセスは拒否する、あるいは企業の機密データベースへの財務担当者によるアクセスを許可するが他の社員には同じことを拒否するなど、きめ細かいポリシーを実施できます。

ファイアウォールは、ネットワークを通過するトラフィックのフル コンテキストを取得する最適な場所です。 すでにファイアウォールは、企業ネットワークと世界全体の間の信頼境界を越えるすべてのトラフィックを認識しています。

次の図に示すように、CX デバイスは、自分のネットワークと保護が必要なインターネットまたはその他のネットワークとの間の境界に位置します。 このデバイスが Cisco Security Intelligence Operations センターから定期的にアプリケーションおよび URL カテゴリのシグニチャ更新をダウンロードし、ユーザ アイデンティティに Active Directory や OpenLDAP のディレクトリを使用します。 必要に応じて Cisco AD エージェントを使用してユーザ識別を強化できます(図示されていません)。 デバイスを設定するには、Web ブラウザ(ポリシー設定時)あるいは SSH またはコンソール クライアント(デバイス設定時または基本的なシステム トラブルシューティング時)を使用してデバイスにログインします。

図 1. ネットワークでのコンテキスト対応セキュリティ



Cisco Prime Security ManagerPRSM)は、複数の CX デバイスを管理する場合に向いています。 CX デバイスを PRSM インベントリに追加することにより、一貫したポリシーをデバイス間に適用できます。 PRSM の Web インターフェイスおよび CLI インターフェイスは、単一の CX デバイスの各インターフェイスとよく似ていて、マルチデバイス管理機能が加わったものであるため、単一デバイス管理について学んだ内容を複数のデバイスにすぐに適用できます。

次の図に示すように、複数のデバイスを PRSM で管理する場合には、個々のデバイスではなく PRSM にログインします。 すべての設定を PRSM により行って管理対象デバイスに展開し、管理対象デバイスによって生成されるすべてのイベントが PRSM に表示されます。 また、CX デバイスと PRSM はどちらもアプリケーションおよび URL カテゴリのシグニチャを Cisco Security Intelligence Operations センターからダウンロードし、AD/LDAP ディレクトリと必要に応じて AD エージェント(図示されていません)と対話します。 その状態でも CX CLI が使用可能であるため、基本的なデバイスレベルのトラブルシューティングを行うことができますが、先に PRSM インベントリからデバイスを削除しなければ、CX Web インターフェイスを使用してデバイス設定を変更することはできません。

図 2. ネットワーク内の PRSMCX



製品とマニュアルの概要

ASA CXCisco Prime Security ManagerPRSM、「プリズム」と発音)は、密接に関連しています。 同じユーザ インターフェイスを共有するため、CX デバイスを直接管理したときの経験は、Cisco Prime Security Manager でのマルチ デバイスの管理に応用できます。

そのため、このマニュアルでは、CX プラットフォームおよび Cisco Prime Security Manager デバイス管理ソフトウェアの両方と、ASA がサポートされる範囲の ASA デバイス設定を扱います。 マニュアルを読む際は、次の点に注意してください。
  • PRSM マルチ デバイス モードとは、マルチデバイス管理アプリケーションのことです。このアプリケーションを使用して複数の CX デバイスおよび ASA を管理できます。 機能がこのプラットフォームのみに当てはまる場合は、マルチ デバイス モード用であることを明示的に記載します。
  • ASA CXのみ、シングル デバイス モード、または PRSM シングル デバイス モードとは、CX デバイス自体にホストされている管理アプリケーションを指します。 このアプリケーションを使用して、その単一デバイスのみを設定できます。 したがって、デバイス インベントリなど、複数デバイスの管理に関係する機能は示してありません。

以降のトピックでは、製品についてさらに詳しく説明します。

ASA CX の機能

ASA CX は、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの一部のモデルで利用可能な Security Services Processor(SSP)です。 SSP は 5585-X のようなハードウェア モジュールでも、5545-X のようなソフトウェア モジュールでもかまいません。 親 ASA を設定して、トラフィックが ASA CX SSP にリダイレクトされるようにします。リダイレクト先でポリシーが適用されます。


ヒント


Cisco ASA 5585-X CX Security Services Processor にはギガビット イーサネット ネットワーク インターフェイスが含まれていますが、これらのインターフェイスは、ASA SSP によって制御され、ASA に論理的に属します。 ASA CX SSP は、これらのインターフェイスを通過するトラフィックを直接処理しません。 ASA CX SSP によって直接管理されるのはコンソール ポートおよび 2 つの管理インターフェイスのみです。


ASA CX ソフトウェア には、次の機能があります。

  • ポリシー設定用の Web インターフェイス。 CLI を使用してポリシーを設定することはできません。CLI が提供するのは基本的な設定とトラブルシューティングの機能のみです。
  • アドレスを使用するすべてのポリシーにおける IPv4 アドレスと IPv6 アドレス両方のサポート。 Web レピュテーションなどいくつかの機能では、IPv4 がインターネットでより広く使用されているというだけの理由により、IPv6 に使用可能なサービスが IPv4 に使用可能なサービスよりも相当に数が少ない可能性があることに注意してください。
  • アイデンティティと認証、復号化、およびアクセス コントロールを提供するコンテキスト認識ファイアウォール ポリシー。 IP アドレス、プロトコル、およびポート(5 タプル)の従来のトラフィック一致基準に加えて、次の一致基準を定義できます。
    • Active Directory および OpenLDAP を含む LDAP AAA サーバに定義されているユーザ名とユーザ グループ。
    • トラフィック フローに使用されるポートにかかわらず特定のアプリケーションに関係するトラフィックを識別できるアプリケーション シグニチャ。
    • 個々の URL に加えて Web サイトのタイプに基づいてポリシーを定義できる URL カテゴリ(たとえば、ギャンブル)。
    • Web サイトのアクセスに使用されるユーザ エージェント。
    • ネットワークとのリモート アクセス VPN 接続を行うために使用されるクライアント タイプ。

    (注)  


    特別な処理を提供する対象トラフィックを正確に識別するため、トラフィック照合提案は非常に複雑になる可能性があります。 ほとんどのポリシー オブジェクトに、包含リストおよび除外リストの両方があります。除外リストは、包含リストに指定されている項目に対する例外を定義するために使用します。 送信元オブジェクト グループ、宛先オブジェクト グループ、またはアプリケーション サービス オブジェクトなど、特定のポリシー オブジェクトを使用する場合は、対象とするトラフィックを正確に定義するために、AND 演算を行った条件の OR リストを作成できます。


    同様に、コンテキスト認識アクセス ポリシーは、許可するトラフィック フローをきめ細かく制御します。 許可するトラフィック フローでは、次の内容に基づいてトラフィック フローの一部を選択的に拒否できます。
    • Web レピュテーション スコア。 Web サイトのカテゴリに関係なく、Web サイトのパブリック レピュテーションに基づいて Web トラフィック フローを選択的に制御できます。 たとえば、高レピュテーション送信元からのアドバタイズメントを許可しながら、低レピュテーション送信元からのものを遮断できます。 レピュテーション スコアの範囲は -10(最低)から 10(最高)です。
    • ファイルのアップロード、ダウンロード。 ファイルの MIME タイプに基づいて、ファイルのアップロードまたはダウンロードを選択的に拒否できます。
    • アプリケーション動作。 Facebook や LinkedIn などいくつかのアプリケーション タイプには、別々に制御可能な複数のアプリケーション動作があります。 そのアプリケーション タイプを全般的に許可しながら、不要な動作を許可しないことができます。 たとえば、Facebook への投稿をユーザに許可する一方で、Facebook メッセージへの添付ファイルのアップロードは許可しない場合があります。
  • 提案基準を定義できるポリシー オブジェクト。同じ基準を異なるポリシーで簡単に再利用できるようになります。 ポリシー オブジェクトを更新すると、そのオブジェクトを使用するすべてのポリシーが自動的に更新されます。
  • HTTP トラフィックの自動ディープ インスペクション。アクセス ルールを定義するときにディープ基準を使用できるようになります。 アクセスでインスペクションを区別する別個のインスペクション ポリシーは存在しないため、アクセス ポリシーの設定が簡略化されます。
  • ユーザ、Web レピュテーション、ポリシー、URL カテゴリ、Web サイト DNS 名(ドメイン)、アプリケーション、およびリモート アクセス VPN クライアントのオペレーティング システムなど、多数の基準で情報を表示できるダッシュボード。
  • トラフィック フローおよびシステム イベントを表示する Event Viewer。
  • アプリケーション、Web カテゴリ、および Web レピュテーションの動的に更新されたシグニチャ。 これらの更新に時間枠を設定できます。

Cisco Prime Security Manager の機能

PRSM はネットワーク セキュリティ管理アプリケーションです。 これを使用すると、次のことが可能になります。
  • 複数の ASA デバイスと ASA CX デバイスを管理する。
  • 管理対象デバイスのシステム ヘルスおよびパフォーマンスを監視する。
  • 管理対象デバイスによって生成されるトラフィック イベントを監視する。
  • 共有ポリシー(デバイス グループと呼ばれる)のテンプレートを作成してデバイスに適用し、ネットワーク内で同じロールを実行するデバイスに単純で一貫したポリシーを約束する。
  • すべての CX 機能を設定する。
  • CX ポリシーで ASA に定義されているネットワーク、ネットワーク グループ、サービス、およびサービス グループのオブジェクトを再利用する。
  • 次の機能を ASA デバイスに設定する。
    • ASA CX へのトラフィック リダイレクション。
    • ロギングや syslog サーバなどの各種プラットフォーム ポリシー。
  • ユーザを定義し、ロールベース アクセス コントロール(RBAC)と呼ばれるセキュリティ ロールを関連付けることによって、PRSM へのアクセスを制御する。

サポートされるデバイスとソフトウェア バージョン

PRSM マルチ デバイス モードを使用して、次の表にリストされているデバイスおよび最低ソフトウェア バージョンを管理できます。

すべての ASA デバイスとソフトウェア バージョンが次の制限を受けます。
  • サポートされる設定は、シングル コンテキスト モード(ルーテッドまたはトランスペアレント)だけです。 マルチ コンテキスト モードは使用できません。
  • デバイスに、ASA CX モジュールを含める必要があります。
  • Auto Update Server または Configuration Engine を使用してデバイスへの設定の展開を管理することはできません。

デバイス タイプ

サポートされるモデル

サポートされるソフトウェア バージョン

Cisco ASA-5500 シリーズ適応型セキュリティ アプライアンス

5585-X(SSP-10、SSP-20)

5512-X

5515-X

5525-X

5545-X

5555-X

ASA ソフトウェア リリース 9.1(1)

Cisco ASA 5585-X CX Security Services Processor

CX SSP-10、CX SSP-20

ASA CX ソフトウェア 9.1(1)

Cisco ASA 5500-X CX Security Services Processor

ASA 5512-X CX SSP

ASA 5515-X CX SSP

ASA 5525-X CX SSP

ASA 5545-X CX SSP

ASA 5555-X CX SSP

ASA CX ソフトウェア 9.1(1)