ASA CX および Cisco Prime Security Manager 9.0 ユーザ ガイド
概要
概要
発行日;2013/04/11   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

概要

Cisco ASA CX Context-Aware Security は、ネットワークを通過するトラフィックについて、ネットワークに接続するユーザ、使用されているデバイス、およびアクセスするアプリケーションや Web サイトなどの可視性と制御をセキュリティ管理者に提供します。 従来の IP アドレスとサービス(プロトコル/ポート)に加えて、アプリケーションの使用、Web アドレス、ユーザ エージェント、およびユーザの場所に基づいてアクセスを制御できます。 Cisco Prime Security ManagerPRSM)は、ASA デバイスと ASA CX デバイスにマルチデバイス管理を提供します。

ASA CX と PRSM:全体像

ファイアウォールは、長い間、企業の防衛線の支えとなっています。 今日の脅威を撃退するには、ファイアウォールを「コンテキスト認識」にする必要があります。つまり、ユーザやアプリケーションの身元確認、アクセスの発生元およびアクセスに使用されているデバイスのタイプを抽出し、これらの属性に基づき、設定済みポリシーに従ってアクセスを許可または拒否する必要があります。 加えて、ファイアウォールは新たに発生する脅威を検出し、そのような脅威から守ることができなければなりません。

これらの機能は ASA CX によって提供されます。 ASA CX を使用すると、ある状況の完全なコンテキストに基づいてセキュリティを実施できます。 このコンテキストには、ユーザのアイデンティティ(誰が)、ユーザがアクセスを試みているアプリケーションまたは Web サイト(何を)、アクセス試行の発生元(どこで)、アクセス試行の時間(いつ)、およびアクセスに使用されているデバイスのプロパティ(どのように)が含まれます。 ASA CX では、フローの完全なコンテキストを抽出し、Facebook へのアクセスを許可するが Facebook でのゲームへのアクセスは拒否する、あるいは企業の機密データベースへの財務担当者によるアクセスを許可するが他の社員には同じことを拒否するなど、きめ細かいポリシーを実施できます。

ファイアウォールは、ネットワークを通過するトラフィックのフル コンテキストを取得する最適な場所です。 すでにファイアウォールは、企業ネットワークと世界全体の間の信頼境界を越えるすべてのトラフィックを認識しています。

次の図に示すように、ASA CX は、ご利用のネットワークと保護が必要なインターネットまたはその他のネットワークとの間の境界に位置します。 ASA CX はアプリケーションおよび URL カテゴリのシグニチャ更新を Cisco Security Intelligence Operations センターから定期的にダウンロードし、Active Directory または OpenLDAP ディレクトリをユーザのアイデンティティに使用します。 必要に応じて Cisco AD エージェントを使用してユーザ識別を強化できます(図示されていません)。 デバイスを設定するには、Web ブラウザ(ポリシー設定時)あるいは SSH またはコンソール クライアント(デバイス設定時または基本的なシステム トラブルシューティング時)を使用してデバイスにログインします。

図 1. ネットワーク内の ASA CX



Cisco Prime Security ManagerPRSM)は、複数の ASA CX を管理する場合に向いています。 ASA CX デバイスを PRSM インベントリに追加することにより、一貫したポリシーをデバイス間に適用できます。 PRSM の Web インターフェイスおよび CLI インターフェイスは、単一 ASA CX の各インターフェイスとよく似ていて、マルチデバイス管理機能が加わったものであるため、単一デバイス管理について学んだ内容を複数のデバイスにすぐに適用できます。

次の図に示すように、複数のデバイスを PRSM で管理する場合には、個々のデバイスではなく PRSM にログインします。 すべての設定を PRSM により行って管理対象デバイスに展開し、管理対象デバイスによって生成されるすべてのイベントが PRSM に表示されます。 また、ASA CX デバイスと PRSM はどちらもアプリケーションおよび URL カテゴリのシグニチャを Cisco Security Intelligence Operations センターからダウンロードし、AD/LDAP ディレクトリと必要に応じて AD エージェント(図示されていません)と対話します。 その状態でも ASA CX CLI が使用可能であるため、基本的なデバイスレベルのトラブルシューティングを行うことができますが、先に PRSM インベントリからデバイスを削除しなければ、ASA CX Web インターフェイスを使用してデバイス設定を変更することはできません。

図 2. ネットワーク内の PRSMASA CX



製品とマニュアルの概要

ASA CX および Cisco Prime Security ManagerPRSM、「プリズム」と読みます)は密接に関係しています。 同じユーザ インターフェイスを共有するため、ASA CX を直接管理したときの経験は、Cisco Prime Security Manager でのマルチ デバイスの管理に応用できます。

そのため、このマニュアルでは、ASA CX プラットフォームおよび Cisco Prime Security Manager デバイス管理ソフトウェアの両方と、ASA がサポートされる範囲の ASA デバイス設定を扱います。 マニュアルを読む際は、次の点に注意してください。
  • PRSM マルチ デバイス モードとは、マルチデバイス管理アプリケーションのことです。このアプリケーションを使用して複数の ASA CX および ASA を管理できます。 機能がこのプラットフォームのみに当てはまる場合は、マルチ デバイス モード用であることを明示的に記載します。
  • ASA CX のみ、シングル デバイス モード、または PRSM シングル デバイス モードとは、ASA CX 自体にホストされている管理アプリケーションのことです。 このアプリケーションを使用して、その単一デバイスのみを設定できます。 したがって、デバイス インベントリなど、複数デバイスの管理に関係する機能は示してありません。

以降のトピックでは、製品についてさらに詳しく説明します。

ASA CX の機能

ASA CX は、Cisco ASA-5585-X シリーズ適応型セキュリティ アプライアンス用の Security Services Processor(SSP)です。 親 ASA を設定して、トラフィックが ASA CX SSP にリダイレクトされるようにします。リダイレクト先でポリシーが適用されます。


ヒント


SSP は GigabitEthernet ネットワーク インターフェイスを含みますが、これらのインターフェイスは ASA SSP によって制御され、論理的に ASA に属します。 ASA CX SSP は、これらのインターフェイスを通過するトラフィックを直接処理しません。 ASA CX SSP によって直接管理されるのはコンソール ポートおよび 2 つの管理インターフェイスのみです。


ASA CX ソフトウェアには、次の機能があります。

  • ポリシー設定用の Web インターフェイス。 CLI を使用してポリシーを設定することはできません。CLI が提供するのは基本的な設定とトラブルシューティングの機能のみです。
  • アドレスを使用するすべてのポリシーにおける IPv4 アドレスと IPv6 アドレス両方のサポート。 Web レピュテーションなどいくつかの機能では、IPv4 がインターネットでより広く使用されているというだけの理由により、IPv6 に使用可能なサービスが IPv4 に使用可能なサービスよりも相当に数が少ない可能性があることに注意してください。
  • アイデンティティと認証、復号化、およびアクセス コントロールを提供するコンテキスト認識ファイアウォール ポリシー。 IP アドレス、プロトコル、およびポート(5 タプル)の従来のトラフィック一致基準に加えて、次の一致基準を定義できます。
    • Active Directory および OpenLDAP を含む LDAP AAA サーバに定義されているユーザ名とユーザ グループ。
    • トラフィック フローに使用されるポートにかかわらず特定のアプリケーションに関係するトラフィックを識別できるアプリケーション シグニチャ。
    • 個々の URL に加えて Web サイトのタイプに基づいてポリシーを定義できる URL カテゴリ(たとえば、ギャンブル)。
    • Web サイトのアクセスに使用されるユーザ エージェント。
    • ネットワークとのリモート アクセス VPN 接続を行うために使用されるクライアント タイプ。

    (注)  


    特別な処理を提供する対象トラフィックを正確に識別するため、トラフィック照合提案は非常に複雑になる可能性があります。 ほとんどのポリシー オブジェクトに、包含リストおよび除外リストの両方があります。除外リストは、包含リストに指定されている項目に対する例外を定義するために使用します。 送信元オブジェクト グループ、宛先オブジェクト グループ、またはアプリケーション サービス オブジェクトなど、特定のポリシー オブジェクトを使用する場合は、対象とするトラフィックを正確に定義するために、AND 演算を行った条件の OR リストを作成できます。


    同様に、コンテキスト認識アクセス ポリシーは、許可するトラフィック フローをきめ細かく制御します。 許可するトラフィック フローでは、次の内容に基づいてトラフィック フローの一部を選択的に拒否できます。
    • Web レピュテーション スコア。 Web サイトのカテゴリに関係なく、Web サイトのパブリック レピュテーションに基づいて Web トラフィック フローを選択的に制御できます。 たとえば、高レピュテーション送信元からのアドバタイズメントを許可しながら、低レピュテーション送信元からのものを遮断できます。 レピュテーション スコアの範囲は -10(最低)から 10(最高)です。
    • ファイルのアップロード、ダウンロード。 ファイルの MIME タイプに基づいて、ファイルのアップロードまたはダウンロードを選択的に拒否できます。
    • アプリケーション動作。 Facebook や LinkedIn などいくつかのアプリケーション タイプには、別々に制御可能な複数のアプリケーション動作があります。 そのアプリケーション タイプを全般的に許可しながら、不要な動作を許可しないことができます。 たとえば、Facebook への投稿をユーザに許可する一方で、Facebook メッセージへの添付ファイルのアップロードは許可しない場合があります。
  • 提案基準を定義できるポリシー オブジェクト。同じ基準を異なるポリシーで簡単に再利用できるようになります。 ポリシー オブジェクトを更新すると、そのオブジェクトを使用するすべてのポリシーが自動的に更新されます。
  • HTTP トラフィックの自動ディープ インスペクション。アクセス ルールを定義するときにディープ基準を使用できるようになります。 アクセスでインスペクションを区別する別個のインスペクション ポリシーは存在しないため、アクセス ポリシーの設定が簡略化されます。
  • ユーザ、Web レピュテーション、ポリシー、URL カテゴリ、Web サイト DNS 名(ドメイン)、アプリケーション、およびリモート アクセス VPN クライアントのオペレーティング システムなど、多数の基準で情報を表示できるレポート機能。
  • トラフィック フローおよびシステム イベントを表示するイベント ビューア。
  • アプリケーション、Web カテゴリ、および Web レピュテーションの動的に更新されたシグニチャ。 これらの更新に時間枠を設定できます。

Cisco Prime Security Manager の機能

PRSM はネットワーク セキュリティ管理アプリケーションです。 これを使用すると、次のことが可能になります。
  • 複数の ASA デバイスと ASA CX デバイスを管理する。
  • 管理対象デバイスのシステム ヘルスおよびパフォーマンスを監視する。
  • 管理対象デバイスによって生成されるトラフィック イベントを監視する。
  • 共有ポリシー(デバイス グループと呼ばれる)のテンプレートを作成してデバイスに適用し、ネットワーク内で同じロールを実行するデバイスに単純で一貫したポリシーを約束する。
  • すべての ASA CX 機能を設定する。
  • ASA CX ポリシーで ASA に定義されているネットワーク、ネットワーク グループ、サービス、およびサービス グループのオブジェクトを再利用する。
  • 次の機能を ASA デバイスに設定する。
    • ASA CX へのトラフィック リダイレクション。
    • ロギングや syslog サーバなどの各種プラットフォーム ポリシー。
  • ユーザを定義し、ロールベース アクセス コントロール(RBAC)と呼ばれるセキュリティ ロールを関連付けることによって、PRSM へのアクセスを制御する。

サポートされるデバイスとソフトウェア バージョン

PRSM マルチ デバイス モードを使用して、次の表にリストされているデバイスおよび最低ソフトウェア バージョンを管理できます。

すべての ASA デバイスとソフトウェア バージョンが次の制限を受けます。
  • サポートされる設定は、シングル コンテキスト モード(ルーテッドまたはトランスペアレント)だけです。 マルチ コンテキスト モードは使用できません。
  • Auto Update Server または Configuration Engine を使用してデバイスへの設定の展開を管理することはできません。

デバイス タイプ

サポートされるモデル

サポートされるソフトウェア バージョン

Cisco ASA-5500 シリーズ適応型セキュリティ アプライアンス

  • 5585-X(SSP-10、SSP-20)
  • 8.4(4+)

Cisco ASA 5585-X CX Security Services Processor

すべて