ASA CX および Cisco Prime Security Manager 9.3 ユーザ ガイド
概要
概要

概要

Cisco ASA CX Context-Aware Security とも呼ばれる Cisco ASA Next-Generation Firewall Services は、ネットワークを通過するトラフィックについて、ネットワークに接続するユーザ、使用されているデバイス、およびアクセスするアプリケーションや Web サイトなどの可視性と制御をセキュリティ管理者に提供します。 従来の IP アドレスとサービス(プロトコル/ポート)に加えて、アプリケーションの使用、ユーザ ID、Web アドレス、ユーザ エージェント、およびユーザの場所に基づいてアクセスを制御できます。

Cisco Prime Security ManagerPRSM)は、ASA デバイスと CX デバイスにマルチデバイス管理を提供します。

コンテキスト対応セキュリティと PRSM:全体像

ファイアウォールは、長い間、企業の防御の支柱でした。 今日の脅威を撃退するには、ファイアウォールを「コンテキスト認識」にする必要があります。つまり、ユーザやアプリケーションの身元確認、アクセスの発生元およびアクセスに使用されているデバイスのタイプを抽出し、これらの属性に基づき、設定済みポリシーに従ってアクセスを許可または拒否する必要があります。 加えて、ファイアウォールは新たに発生する脅威を検出し、そのような脅威から守ることができなければなりません。

これらはコンテキスト対応セキュリティが提供する機能です。 ASA CX などのコンテキスト対応デバイス(CX デバイス)を使用することで、状況の完全なコンテキストに基づいてセキュリティを適用できます。 このコンテキストには、ユーザのアイデンティティ(誰が)、ユーザがアクセスを試みているアプリケーションまたは Web サイト(何を)、アクセス試行の発生元(どこで)、およびアクセスに使用されているデバイスのプロパティ(どのように)が含まれます。 ASA CX では、フローの完全なコンテキストを抽出し、Facebook へのアクセスを許可するが Facebook でのゲームへのアクセスは拒否する、あるいは企業の機密データベースへの財務担当者によるアクセスを許可するが他の社員には同じことを拒否するなど、きめ細かいポリシーを実施できます。

ファイアウォールは、ネットワークを通過するトラフィックのフル コンテキストを取得する最適な場所です。 すでにファイアウォールは、企業ネットワークと世界全体の間の信頼境界を越えるすべてのトラフィックを認識しています。

次の図に示すように、CX デバイスは、自分のネットワークと保護が必要なインターネットまたはその他のネットワークとの間の境界に位置します。 このデバイスが Cisco Security Intelligence Operations センターから定期的にシグニチャとエンジンの更新をダウンロードし、ユーザ アイデンティティに Active Directory や OpenLDAP のディレクトリを使用します。 必要に応じて Cisco Context Directory Agent(CDA)または Cisco AD エージェントを使用してユーザ識別を強化できます(図示されていません)。 デバイスを設定するには、Web ブラウザ(ポリシー設定時)あるいは SSH またはコンソール クライアント(デバイス設定時または基本的なシステム トラブルシューティング時)を使用してデバイスにログインします。

図 1. ネットワークでのコンテキスト対応セキュリティ



Cisco Prime Security ManagerPRSM)は、複数の CX デバイスを管理する場合に向いています。 CX デバイスを PRSM インベントリに追加することにより、一貫したポリシーをデバイス間に適用できます。 PRSM の Web インターフェイスおよび CLI インターフェイスは、単一の CX デバイスの各インターフェイスとよく似ていて、マルチデバイス管理機能が加わったものであるため、単一デバイス管理について学んだ内容を複数のデバイスにすぐに適用できます。

次の図に示すように、複数のデバイスを PRSM で管理する場合には、個々のデバイスではなく PRSM にログインします。 すべての設定を PRSM により行って管理対象デバイスに展開し、管理対象デバイスによって生成されるすべてのイベントが PRSM に表示されます。 また、CX デバイスと PRSM はどちらもシグニチャとエンジンの更新を Cisco Security Intelligence Operations センターからダウンロードし、AD/LDAP ディレクトリと必要に応じて CDA または AD エージェント(図示されていません)と対話します。 その状態でも CX CLI が使用可能であるため、基本的なデバイスレベルのトラブルシューティングを行うことができますが、先に PRSM インベントリからデバイスを削除しなければ、CX Web インターフェイスを使用してデバイス設定を変更することはできません。

図 2. ネットワーク内の PRSMCX



製品とマニュアルの概要

CX および Cisco Prime Security ManagerPRSM、「プリズム」と読みます)は密接に関係しています。 同じユーザ インターフェイスを共有するため、CX デバイスを直接管理したときの経験は、Cisco Prime Security Manager でのマルチ デバイスの管理に応用できます。

そのため、このマニュアルでは、CX プラットフォームおよび Cisco Prime Security Manager デバイス管理ソフトウェアの両方と、ASA がサポートされる範囲の ASA デバイス設定を扱います。 マニュアルを読む際は、次の点に注意してください。
  • PRSM マルチ デバイス モードとは、マルチデバイス管理アプリケーションのことです。このアプリケーションを使用して複数の CX デバイスおよび ASA を管理できます。 機能がこのプラットフォームのみに当てはまる場合は、マルチ デバイス モード用であることを明示的に記載します。

  • ASA CX(または CX)のみ、シングル デバイス モード、または PRSM シングル デバイス モード とは、CX デバイス自体にホストされている管理アプリケーションを指します。 このアプリケーションを使用して、その単一デバイスのみを設定できます。 したがって、デバイス インベントリなど、複数デバイスの管理に関係する機能は示してありません。

以降のトピックでは、製品についてさらに詳しく説明します。

ASA CX の機能

ASA CX は、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの一部のモデルで利用可能な Security Services Processor(SSP)です。 SSP は 5585-X のようなハードウェア モジュールでも、5545-X のようなソフトウェア モジュールでもかまいません。 親 ASA を設定して、トラフィックが ASA CX SSP にリダイレクトされるようにします。リダイレクト先でポリシーが適用されます。


ヒント


Cisco ASA 5585-X CX Security Services Processor にはギガビット イーサネット ネットワーク インターフェイスが含まれていますが、これらのインターフェイスは、ASA SSP によって制御され、ASA に論理的に属します。 ASA CX SSP は、これらのインターフェイスを通過するトラフィックを直接処理しません。 ASA CX SSP によって直接管理されるのはコンソール ポートおよび 2 つの管理インターフェイスのみです。


CX ソフトウェア には、次の機能があります。

  • ポリシー設定用の Web インターフェイス。 CLI を使用してポリシーを設定することはできません。CLI が提供するのは基本的な設定とトラブルシューティングの機能のみです。

  • アドレスを使用するすべてのポリシーにおける IPv4 アドレスと IPv6 アドレス両方のサポート。 Web レピュテーションなどいくつかの機能では、IPv4 がインターネットでより広く使用されているというだけの理由により、IPv6 に使用可能なサービスが IPv4 に使用可能なサービスよりも相当に数が少ない可能性があることに注意してください。

  • アイデンティティと認証、復号化、およびアクセス コントロールを提供するコンテキスト認識ファイアウォール ポリシー。 IP アドレス、プロトコル、およびポート(5 タプル)の従来のトラフィック一致基準に加えて、次の一致基準を定義できます。
    • Active Directory および OpenLDAP を含む LDAP AAA サーバに定義されているユーザ名とユーザ グループ。

    • トラフィック フローに使用されるポートにかかわらず特定のアプリケーションに関係するトラフィックを識別できるアプリケーション シグニチャ。

    • 個々の URL に加えて Web サイトのタイプに基づいてポリシーを定義できる URL カテゴリ(たとえば、ギャンブル)。

    • Web サイトのアクセスに使用されるユーザ エージェント。

    • ネットワークとのリモート アクセス VPN 接続を行うために使用されるクライアント タイプ。


    (注)  


    特別な処理を提供する対象トラフィックを正確に識別するため、トラフィック照合提案は非常に複雑になる可能性があります。 ほとんどのポリシー オブジェクトに、包含リストおよび除外リストの両方があります。除外リストは、包含リストに指定されている項目に対する例外を定義するために使用します。 送信元オブジェクト グループ、宛先オブジェクト グループ、またはアプリケーション サービス オブジェクトなど、特定のポリシー オブジェクトを使用する場合は、対象とするトラフィックを正確に定義するために、AND 演算を行った条件の OR リストを作成できます。


    同様に、コンテキスト認識アクセス ポリシーは、許可するトラフィック フローをきめ細かく制御します。 許可するトラフィック フローでは、次の内容に基づいてトラフィック フローの一部を選択的に拒否できます。
    • Next Generation IPS フィルタリング。 既知の脅威に一致するトラフィックをドロップできます。

    • Web レピュテーション スコア。 Web サイトのカテゴリに関係なく、Web サイトのパブリック レピュテーションに基づいて Web トラフィック フローを選択的に制御できます。 たとえば、高レピュテーション送信元からのアドバタイズメントを許可しながら、低レピュテーション送信元からのものを遮断できます。 レピュテーション スコアの範囲は -10(最低)から 10(最高)です。

    • ファイルのアップロード、ダウンロード。 ファイルの MIME タイプに基づいて、ファイルのアップロードまたはダウンロードを選択的に拒否できます。

    • アプリケーション動作。 Facebook や LinkedIn などいくつかのアプリケーション タイプには、別々に制御可能な複数のアプリケーション動作があります。 そのアプリケーション タイプを全般的に許可しながら、不要な動作を許可しないことができます。 たとえば、Facebook への投稿をユーザに許可する一方で、Facebook メッセージへの添付ファイルのアップロードは許可しない場合があります。

    • レート制限。 帯域幅を過剰に使用するアプリケーションが使用できる帯域幅を制限し、そのレートを超えるパケットをドロップします。

    • セーフサーチの適用。 ユーザがフィルタリングされていない検索を実行できないようにするために、サポートされている検索エンジンのセーフサーチ設定を適用できます。 検索エンジンがサポートされていない場合は、これによってユーザはこれらの検索エンジンを使用できません。

  • 提案基準を定義できるポリシー オブジェクト。同じ基準を異なるポリシーで簡単に再利用できるようになります。 ポリシー オブジェクトを更新すると、そのオブジェクトを使用するすべてのポリシーが自動的に更新されます。

  • HTTP トラフィックの自動ディープ インスペクション。アクセス ルールを定義するときにディープ基準を使用できるようになります。 アクセスでインスペクションを区別する別個のインスペクション ポリシーは存在しないため、アクセス ポリシーの設定が簡略化されます。

  • ユーザ、Web レピュテーション、ポリシー、URL カテゴリ、Web サイト DNS 名(ドメイン)、アプリケーション、およびリモート アクセス VPN クライアントのオペレーティング システムなど、多数の基準で情報を表示できるダッシュボード。

  • トラフィック フローおよびシステム イベントを表示する Event Viewer。

  • アプリケーション、Web カテゴリ、Web レピュテーション、および IPS 脅威の動的に更新されたシグニチャ。 これらの更新に時間枠を設定できます。

Cisco Prime Security Manager の機能

PRSM はネットワーク セキュリティ管理アプリケーションです。 これを使用すると、次のことが可能になります。
  • 次のタイプの複数のデバイスを管理します。

    • ASA

    • ASA CX

  • 管理対象デバイスのシステム ヘルスおよびパフォーマンスを監視する。

  • 管理対象デバイスによって生成されるトラフィック イベントを監視する。

  • 共有ポリシーを作成してデバイスに適用し、ネットワーク内で同じロールを実行するデバイスに単純で一貫したポリシーを約束する。

  • すべての CX 機能を設定する。

  • CX ポリシーで ASA に定義されているネットワーク、ネットワーク グループ、サービス、およびサービス グループのオブジェクトを再利用する。

  • 次の機能を ASA デバイスに設定する。
    • アクセス ルールおよびそれに関連付けられたオブジェクト。

    • NAT ルールおよびそれに関連付けられたオブジェクト。

    • ASA ハイ アベイラビリティ設定。

    • ASA インターフェイスの設定。

    • ASA CX へのトラフィック リダイレクション。

    • ロギングや syslog サーバなどの各種プラットフォーム ポリシー。

  • ユーザを定義し、ロールベース アクセス コントロール(RBAC)と呼ばれるセキュリティ ロールを関連付けることによって、PRSM へのアクセスを制御する。

  • 管理対象の CX デバイスにアップグレードを適用する。