セキュリティ : Cisco Secure User Registration Tool

Cisco Security Manager 4.0 展開計画ガイド

Cisco Security Manager 4.0 展開計画ガイド
発行日;2012/01/21 | 英語版ドキュメント(2012/01/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco Security Manager 4.0 展開計画ガイド

はじめに

Cisco Security Manager 4.0 のアプリケーション

関連アプリケーション

ハードウェアおよびソフトウェアの最小要件

仮想マシンのハードウェアおよびソフトウェア要件

推奨されるハードウェアおよびソフトウェア仕様

VMware 仮想マシンでの小規模な展開

小規模な企業での展開

中規模な企業での展開

大規模な企業での展開

展開のシナリオ

アプリケーション パフォーマンスに影響を与える要因

単一サーバのインストール

複数サーバのインストール

VMware の仮想マシン環境でのインストール

ハイ アベイラビリティ/障害回復

インストールのガイドライン

インストール可能なモジュール

IP アドレス、ホスト名、および DNS 名

クライアントの展開

Security Manager サーバのチューニング

Windows オペレーティング システムのスワップ ファイル サイズ

Sybase データベースのレジストリ パラメータ

Security Manager のライセンスについて

ライセンスの概要

管理対象外のデバイス

アクティブ サーバとスタンバイ サーバ

RME および Performance Monitor のライセンス

ライセンスの例

Cisco Security Manager 4.0 展開計画ガイド

OL-23415-01-J

 

はじめに

本書では、Cisco Security Manager 4.0 サーバの展開計画に関するガイドラインについて説明します。このマニュアルは、推奨されるサーバ ハードウェア、クライアント ハードウェア、リファレンス ネットワークに基づいたサイジングおよびソフトウェア、Security Manager、Security Manager サーバの高度なチューニング オプションに含まれているアプリケーション セットの展開オプションとライセンシングに関する内容で構成されています。Security Manager のソフトウェア機能の詳細については、 http://www.cisco.com/go/csmanager の製品マニュアルを参照してください。

このマニュアルは、『 User Guide for Cisco Security Manager 4.0 』や『 Installation Guide for Cisco Security Manager 4.0 』など、Security Manager の他のユーザ マニュアルを補足するものです。

Cisco Security Manager 4.0 のアプリケーション

Cisco Security Manager 4.0 には、次のアプリケーションが含まれています。

Security Manager 4.0 Policy Configuration

Cisco Security Manager を使用すると、Cisco セキュリティ デバイス上でセキュリティ ポリシーを集中管理できます。Security Manager は、次の場所におけるファイアウォール、IPS、および VPN(サイト間、リモート アクセス、および SSL)のサービスの統合プロビジョニングをサポートしています。

Integrated Services Router(ISR)や Aggregation Services Router(ASR)などの Cisco IOS ルータ

Catalyst スイッチ

ASA および PIX セキュリティ アプライアンス

ファイアウォール、VPN、および IPS に関連する Catalyst Service Module

IPS アプライアンス、およびルータと ASA デバイスに関するさまざまなサービス モジュール

Security Manager でサポートしているデバイスおよび OS バージョンの詳細なリストについては、Cisco.com の『 Supported Devices and Software Versions for Cisco Security Manager 』を参照してください。

Security Manager 4.0 のイベント ビューア

新しい統合ツールを使用すると、IPS および ASA デバイスからイベントを集中的にモニタし、関連する設定ポリシーに相互に関連付けることができます。このことは、問題の特定、設定のトラブルシューティング、および設定の調整と展開を行ううえで役に立ちます。サポートしている情報、およびその他の情報については、Cisco.com で『 User Guide for Cisco Security Manager 』の「 Viewing Events 」を参照してください。

Common Services 3.3

Common Services は、データ ストレージ、ログイン、ユーザ ロールの定義、アクセス権限、セキュリティ プロトコル、およびナビゲーションに対するフレームワークを提供します。また、インストール、データ管理、イベントおよびメッセージの処理、ジョブおよびプロセスの管理に対するフレームワークもあります。Common Services には、アプリケーションにとって必要なサーバ側のコンポーネントが用意されています。具体的には次のものが含まれています。

SSL ライブラリ

組み込み SQL データベース(Sybase 10.0.1.3830)

Apache Web サーバ

Tomcat サーブレット エンジン

CiscoWorks ホーム ページ

バックアップおよび復元機能

Common Services は、Security Manager に含まれているすべてのアプリケーションにとって必要です。Common Services の詳細については、次の URL にあるマニュアルを参照してください。

http://www.cisco.com/en/US/products/sw/cscowork/ps3996/tsd_products_support_eol_series_home.html

Auto Update Server 4.0

AUS を使用して、自動アップデート機能を使用している PIX Security Appliance(PIX)および Adaptive Security Appliance(ASA)デバイス上のデバイス コンフィギュレーション ファイルおよびソフトウェア イメージをアップグレードすることができます。AUS は、デバイス コンフィギュレーション、コンフィギュレーションのアップデート、デバイス OS のアップデート、および設定の定期的な確認で使用できる、設定のプル モデルをサポートしています。また、サポートされているデバイスで、Auto Update 機能と組み合せてダイナミック IP アドレスを使用するものは、AUS を使用してコンフィギュレーション ファイルをアップグレードし、デバイスおよびステータスの情報を渡すことができます。

この方法では、Security Manager は定期的な間隔、特定の日付と時間、およびオンデマンドのタイミングで、設定のアップデートを AUS サーバへ展開し、管理対象のデバイスは、新しい設定のアップデートをダウンロードするよう AUS サーバに連絡します。

AUS により、リモート セキュリティ ネットワークの拡張性が向上し、リモート セキュリティ ネットワークの保守に関するコストが低減し、対象のリモート ファイアウォールを動的に管理できるようになります。

AUS はブラウザベースのグラフィカル ユーザ インターフェイスを使用しており、Common Services 3.3 が必要です。AUS の詳細については、 http://www.cisco.com/go/csmanager のマニュアルを参照してください。

Resource Manager Essentials 4.3

RME はライフサイクル管理をサポートするために、デバイスのインベントリと監査変更、コンフィギュレーション ファイル、ソフトウェア イメージ、および(設定のアーカイブおよびトラッキングのための)基本的な syslog 分析を管理する機能を提供しています。RME はブラウザベースのグラフィカル ユーザ インターフェイスを使用します。RME は、CiscoWorks LAN Management Solution(LMS)にも含まれています。『CiscoWorks LAN Management Solution Deployment Guide』には、RME の展開に関する有用な情報が含まれていますが、いくつかの情報は、Security Manager にバンドルされている RME には当てはまらないことに注意してください。

RME の詳細については、次の URL にあるマニュアルを参照してください。

http://www.cisco.com/en/US/products/sw/cscowork/ps2073/tsd_products_support_eol_series_home.html

Performance Monitor 4.0

Performance Monitor は、セキュリティ デバイスおよびサービスに重点をおいた、ヘルス モニタリングおよびパフォーマンス モニタリングのアプリケーションです。Performance Monitor は、危険な状態になる前にネットワーク パフォーマンスの問題を事前に検出する機能をサポートしています。また、負荷がかかりすぎて、追加のリソースが必要になる可能性がある部分のネットワークを特定する、事後の調査および分析に対して豊富なヘルス情報およびパフォーマンス情報の履歴を提供する、といったことが可能です。Performance Monitor は、モニタリングのリモートアクセス VPN、サイト間 VPN、ファイアウォール、Web サーバ ロードバランシング、および SSL 終了をサポートしています。Performance Monitor はブラウザベースのグラフィカル ユーザ インターフェイスを使用しており、Common Services 3.3 が必要です。Performance Monitor の詳細については、 http://www.cisco.com/go/csmanager のマニュアルを参照してください。

Cisco CSA 5.2.0.282

これは、Security Manager サーバにインストールされる、スタンドアロンのホスト セキュリティ エージェント ソフトウェアです。このコンポーネントは、Windows 2003 の 32 ビット環境にのみインストールできます。Security Manager のインストールでは、自動的に OS を検出し、サポートされている場合はこのソフトウェアをインストールします。

関連アプリケーション

これら以外にも、Security Manager と統合して追加機能や利点を提供するアプリケーションとして、シスコから次のものを入手できます。

Cisco Security Monitoring Analysis and Response System(MARS)

Security Manager は、ファイアウォールおよび IPS について、MARS とのポリシー <> イベントのクロスリンケージをサポートしています。Security Manager のクライアントを使用する場合は、特定のファイアウォール ルールまたは IPS シグニチャを強調表示し、そのルールまたはシグニチャに関連するイベントをそれぞれ表示するよう要求します。MARS インターフェイスを使用すると、ファイアウォールまたは IPS イベントを選択し、Security Manager 内で一致するルールまたはシグニチャを表示するよう要求できます。これらのポリシー <> イベント クロスリンケージは、ネットワーク接続、ファイアウォール ルールのトラブルシューティング、未使用ルールの特定、およびシグニチャのチューニング アクティビティで特に有用です。ポリシー <> イベント クロスリンケージ機能については、『 User Guide for Cisco Security Manager 4.0 』に詳しい説明があります。MARS の詳細については、 http://www.cisco.com/go/mars を参照してください。

Cisco Secure Access Control Server(ACS)

Security Manager ユーザの認証および許可に対して ACS を使用するために、オプションで Security Manager を設定することができます。ACS は、Role Based Authorization Control(RBAC)、および特定のデバイス セットにユーザを制限する機能に基づいて、きめ細かいロールについてのカスタム ユーザ プロファイルの定義をサポートしています。Security Manager と ACS の統合の設定については、『 Installation Guide for Cisco Security Manager 4.0 』を参照してください。ACS の詳細については、 http://www.cisco.com/go/acs を参照してください。

Cisco CNS Configuration Engine

Security Manager は、デバイスの設定を展開するためのメカニズムとして、Cisco Configuration Engine 3.0 の使用をサポートしています。Security Manager は、差分コンフィギュレーション ファイルを Cisco Configuration Engine に展開します。ここでは、後でデバイスから取得するためにファイルが保存されます。Cisco IOS ルータ、および Dynamic Host Configuration Protocol(DHCP)サーバを使用する PIX ファイアウォールや ASA ファイアウォールなどのデバイスは、設定(およびイメージ)のアップデートについて Cisco Configuration Engine に通知します。Security Manager は、CNS コンフィギュレーション エンジンを介してスタティック IP アドレスを持っているデバイスの管理もサポートします。このような場合には、検出はライブで行われ、デバイスへの展開は CNS コンフィギュレーション エンジンを介して行われます。Configuration Engine の詳細については、 http://www.cisco.com/en/US/products/sw/netmgtsw/ps4617/index.html を参照してください。

ハードウェアおよびソフトウェアの最小要件

Cisco Security Manager サーバの各インストールでは、ポリシー管理とイベント管理の両方について 1 つの物理サーバが必要です。Auto Update Server、Performance Monitor、Resources Manager Essentials などのオプションのコンポーネントは、同じシステムにインストールすることも、別のシステムにインストールすることもできます。

次の表は、Cisco Security Manager サーバのソフトウェア、およびその他のオプション モジュールのインストールに対するハードウェアおよびソフトウェアの最小仕様を示しています。Security Manager ソフトウェアは、最小仕様を備えたシステムにインストールできますが、この場合のパフォーマンスと容量は、より小規模な展開(最大 5 つのデバイス)に制限されます。規模の大きい展開については、 「推奨されるハードウェアおよびソフトウェア仕様」 で推奨される仕様に従う必要があります。

 

表 1 Security Manager サーバの最小ハードウェアとソフトウェア

コンポーネント
要件

推奨サーバ

Cisco UCS C200 M1 または同等品

CPU

1 x Intel Xeon Four-core 5500 シリーズ

メモリ

4 GB(ポリシー管理のみ)、8 GB(ポリシーおよびイベント管理)

HDD

100 GB(アプリケーション)、1 TB(イベント ストレージ)

サポートされるデバイス数

最大 10 台

ネットワーク アダプタ

1 Gbps

オペレーティング システム

Microsoft Windows 2003 Enterprise Server R2 または Windows 2008 Enterprise 32 ビット版

次の表は、Cisco Security Manager 4.0 クライアント ソフトウェアのインストールに対するハードウェアおよびソフトウェアの最小仕様を示しています。Security Manager クライアント ソフトウェアは個別のマシンにインストールすることをお勧めします。

 

表 2 Security Manager クライアントの最小ハードウェアとソフトウェア

コンポーネント
要件

CPU

デュアルコア 2.0 GHz 以上

メモリ

2 GB 以上推奨

HDD

10 GB の空き容量

ディスプレイ

1280 x 1024

ネットワーク アダプタ

1 Gbps

オペレーティング システム

Windows XP SP3、Windows Vista SP2、Windows 2003/2008 Enterprise Server SP2

ブラウザ

Microsoft Internet Explorer 6、7、8、または Firefox 2.x、3.x

仮想マシンのハードウェアおよびソフトウェア要件

VMWare ESX 仮想マシン上での Cisco Security Manager のインストールについては、ソフトウェア要件は 「ハードウェアおよびソフトウェアの最小要件」 に記載されている内容と同じです。ただし、仮想化された CPU およびメモリはパフォーマンスが制限されるため、VMware 環境ではイベント管理機能をオフにしておくことをお勧めします。イベント管理機能では、記載されている最小仕様を備えた 1 台の物理サーバが必要になります。Cisco Security Manager のインストールは、VMware ESX 3.5 with Update 4 でサポートされています。

推奨されるハードウェアおよびソフトウェア仕様

単一プロセッサ(コア)から複数プロセッサ(コア)サーバへ移行する場合には、Security Manager を使用するとパフォーマンスの改善が見られます。イベント管理の新機能、およびこのリリースのその他の新機能では、最適なパフォーマンスを得るために、適切なハードウェアおよびソフトウェアの仕様に従うことをお勧めします。

最適なパフォーマンスを得るためには、最小要件として、2.66Mhz Intel Xeon クアッドコア プロセッサ(Hyper-Threading 機能あり)以上のものを備えた Security Manager サーバが推奨されます。イベント管理を使用する場合には、Security Manager アプリケーションに対して専用のハードディスクまたはストレージ ボリュームを用意すること、およびイベント ストレージに対して専用のディスクまたはボリュームを用意することを強くお勧めします。Security Manager クライアント システムでは、 「ハードウェアおよびソフトウェアの最小要件」 に記載されている最小のハードウェア仕様を使用できます。

さまざまな規模の配布に対して Security Manager サーバで推奨される仕様を次に示します。これらの仕様は、デバイス数に基づいてこのような配布をサポートするための、適切なハードウェアおよびソフトウェアの一般的なガイドラインです。 「展開のシナリオ」 で説明している他の要因によってはパフォーマンスの結果が異なる場合があります。Security Manager に対するこれらのハードウェアおよびソフトウェア要件は、Security Manager を新しくインストールする場合、または Security Manager の古いバージョンからバージョン 4.0 へアップグレードする場合についても同じです。

「VMware 仮想マシンでの小規模な展開」

「小規模な企業での展開」

「中規模な企業での展開」

「大規模な企業での展開」

VMware 仮想マシンでの小規模な展開

次の表は、VMware 仮想マシンを使用している小規模な展開において、推奨される構成です。

 

表 3 VMware 仮想マシンでの小規模な展開

コンポーネント
要件

推奨サーバ

Cisco UCS C210 M2 または同等品

UCS 部品番号

R210-2121605W

CPU

2 x Intel Xeon Quad-Core E5600 シリーズ

メモリ

8 GB(最小)

HDD

100 GB(最小)

HDD RAID

ハードウェア RAID 0 または 10

1 秒間のイベント数

推奨されない。ポリシー設定のみ実行。

サポートされるデバイス数

最大 10 台

同時ユーザの最大数

1 ~ 2 人

ネットワーク アダプタ

1 Gbps

オペレーティング システム

Microsoft Windows 2008 Enterprise Server 64 ビット版

小規模な企業での展開

次の表は、小規模な企業の展開において推奨される構成です。

 

表 4 小規模な企業での展開

コンポーネント
要件

推奨サーバ

Cisco UCS C210 M2 または同等品

UCS 部品番号

R210-2121605W

CPU

2 x Intel Xeon Quad-Core E5600 シリーズ

メモリ

8 GB(最小)、16 GB(推奨)

HDD

100 GB(アプリケーション)、1 TB(イベント ストレージ)

ヒント 1 秒間のイベント数が 2,500 で、1 つのイベントの圧縮サイズが平均 250 バイトの場合、1 TB のディスクに格納できるのは 8 週間分未満です。

HDD RAID

ハードウェア RAID 0 または 10

サポートされるデバイス数

最大 25 台

同時ユーザの最大数

1 ~ 5 人

ネットワーク アダプタ

1 Gbps

オペレーティング システム

Microsoft Windows 2008 Enterprise Server 64 ビット版

中規模な企業での展開

次の表は、中規模な企業の展開において推奨される構成です。

 

表 5 中規模な企業での展開

コンポーネント
要件

推奨サーバ

Cisco UCS C250 M2 または同等品

UCS 部品番号

R250-2480805W

CPU

2 x Intel Xeon Six-Core X5600 シリーズ

メモリ

16 GB(最小)

HDD

100 GB(アプリケーション)、2 TB(イベント ストレージ)

ヒント 1 秒間のイベント数が 5,000 で、1 つのイベントの圧縮サイズが平均 250 バイトの場合、2 TB のディスクに格納できるのは 8 週間分未満です。

HDD RAID

ハードウェア RAID 0 または 10

サポートされるデバイス数

最大 100 台

同時ユーザの最大数

5 ~ 10 人

ネットワーク アダプタ

1 Gbps

オペレーティング システム

Microsoft Windows 2008 Enterprise Server 64 ビット版

大規模な企業での展開

次の表は、大規模な企業の展開において推奨される構成です。

 

表 6 大規模な企業での展開

コンポーネント
要件

推奨サーバ

Cisco UCS C460 M1 または同等品

UCS 部品番号

R460-4640810

CPU

4 x Intel Xeon Six-Core X7500 シリーズ

メモリ

32 GB(最小)

HDD

100 GB(アプリケーション)、4 TB(イベント ストレージ)

ヒント 1 秒間のイベント数が 10,000 で、1 つのイベントの圧縮サイズがを平均 250 バイトの場合、4 TB のディスクに格納できるのは 8 週間分未満です。

HDD RAID

ハードウェア RAID 0 または 10

サポートされるデバイス数

最大 500 台

同時ユーザの最大数

10 ~15 人

ネットワーク アダプタ

1 Gbps

オペレーティング システム

Microsoft Windows 2008 Enterprise Server 64 ビット版

展開のシナリオ

Security Manager アプリケーションについては、さまざまな展開が考えられます。展開のシナリオを決定する場合には、システムのパフォーマンスに影響を与える可能性のある、次の重要な要因について考慮する必要があります。

Security Manager は何台のデバイスを管理できますか。

Security Manager には、管理するデバイスの数について決まった制限はありませんが、推奨されるハードウェアおよびソフトウェアを備えた 1 台の Security Manager サーバで対象とするデバイスは 500 を超えないようにすることをお勧めします。1 台のサーバあたりの適切なデバイス数を管理するには、 「推奨されるハードウェアおよびソフトウェア仕様」 に記載されている推奨仕様に従う必要があります。管理されるデバイスが非常に大きな構成になっている場合には、デバイスの数は少なくなることがあります。たとえば、多数のファイアウォール デバイスが 20,000 ~ 50,000 のアクセス ルールを持つ場合、大量の IPS シグニチャ セットを持つ場合、または数千の支店で大規模かつ複雑な VPN ポリシーを持つ場合には、Security Manager の実行で最適なパフォーマンスを実現できないことがあります。管理されるデバイスの数は、Security Manager を実行しているハードウェアおよびオペレーティング システムによっても異なります。多数のデバイスおよび台規模なネットワークを管理するには、必要に応じて複数の Security Manager サーバを展開しなければなりません。

Security Manager では、どのようなタイプのデバイスが管理されますか。デバイスのタイプによってパフォーマンスも変わりますか。

デバイスのタイプによっては、他のものよりも頻繁に変更が必要なものがあります。ファイアウォールや IPS センサーなどのデバイスでは、より多くのポリシーの変更が必要になるため、VPN デバイスよりも多くのリソースが必要です。一般的に Security Manager は、ファイアウォールや IPS センサーよりも、VPN 環境の方がより多くのデバイスを管理できます。

構成の一般的なサイズはどのくらいですか。

小規模の環境では、一般的なサイズは数百から数千の回線になります。中規模の環境では、一般的なサイズは 1,000 から 5,000 の ACL ですが、大規模な環境では、5,000 から 50,000 以上の ACL になることがあります。より規模の大きい環境では、将来的な成長に対して十分な余裕を確保しておくために、1 台の Security Manager サーバあたりのデバイス数を減らすことを考慮する必要があります。

Security Manager はいくつのイベントを管理できますか。ファイアウォールおよび IPS ロギングの正しい設定はどのようなものですか。

イベント管理は、多数のユーザおよびデバイスを持つ大規模な環境において、特に大量のシステム リソースを消費することがあります。適切なハードウェアおよびソフトウェアの仕様を備えた 1 つの Security Manager サーバでは、1 秒間に最大 10,000 のイベントを管理できますが、運用に必要な重要ログを送信するようデバイスを設定することをお勧めします。ファイアウォール デバイスで推奨されるロギング レベルは 0(緊急)~5(通知)です。0 では、Security Manager に送信されるログの量が最小になります。追加のロギングについては、トラブルシューティングおよびデバッグの目的で必要なときのために、1 つのデバイスに対して常に有効にしておくことができます。ロギングのレベルで 7(デバッグ)または 6(情報)を使用する場合は注意してください。これらのレベルは、必要なときにデバイスのコンソールまたは Device Manager でのみ有効にし、使用したら無効にしておく必要があります。IPS デバイスでは、シグニチャの設定を、Low(低)、Medium(中)、High(高)、または Informational(情報)から調整できます。これらの設定は環境によって異なり、システム パフォーマンスに影響を与えることがあります。詳細については、IPS コンフィギュレーション ガイドを参照してください。

何人のユーザがこれらのアプリケーションを使用しますか。

アクティブなユーザ セッションはサーバに負荷をかけるため、展開のサイズを決定する場合には、要因として考慮する必要があります。たとえば、あるアプリケーションではデバイス数が上限に達することはないが、同時ユーザ セッション数のために最大負荷近くなることがある場合は、1 台のサーバをそのアプリケーション専用にすることが妥当です。

Security Manager に含まれているアプリケーションのうち、どのアプリケーションを展開する必要がありますか。

(Auto Update Server や RME などの)アプリケーションは、サイトの障害または機能停止の場合でも、可用性を高くしておいたり、運用を継続させたりする必要がありますか。専用サーバにインストールされている特定のアプリケーションで、規模の制限に達した場合には、複数のアプリケーション インスタンスを異なるサーバへ展開することを考慮する必要があります。

アプリケーション パフォーマンスに影響を与える要因

アプリケーションのパフォーマンスに影響を与える要因には、多くのものがあります。具体的には次のものがありますが、これ以外にも考えられます。

サーバおよびクライアントのハードウェア(プロセッサ、メモリ、ストレージのテクノロジーなど)。

管理されるデバイスの数、およびデバイスのタイプ、デバイスの複雑さ、構成のサイズ(ACL の数の大きさ)。

管理デバイスおよびそれらのロギング レベルでレポートされる、イベント管理エンジンとイベント ボリューム。

ポリシー オブジェクトの数と複雑さ。

同時ユーザの数と、それらのユーザが実行している特別なアクティビティ。

デバイスの数が多い場合の、コンフィギュレーションの展開頻度、または IPS シグニチャのアップデート頻度。

ネットワークの帯域幅と遅延(Security Manager クライアントとサーバ間、サーバと管理デバイス間など)。

VMware などの仮想テクノロジーの使用。

AAA サービスに対する ACS サーバの使用。

展開ジョブ内のデバイスの数。

Security Manager クライアントとサーバが地理的にかなり離れていると、遅延が生じて、クライアントの応答性が低下することがあります。たとえば、カリフォルニアにあるサーバで、インドにあるクライアントを使用することは、大きな遅延が生じるため推奨されません。このような場合には、リモート デスクトップまたはターミナル サーバの配置を使用します。このような配置では、実行中のクライアントはサーバと同じデータセンターに配置するか、または少なくとも近くに配置します。

単一サーバのインストール

単一サーバは、最も簡単な展開シナリオで、Security Manager の対象のアプリケーションをすべて同じサーバにインストールします。ネットワークのセキュリティ管理者が 1 人、または 2 人の小規模なセキュリティ環境では、通常は単一サーバの展開で十分です。

複数サーバのインストール

デバイスが数百台または数千台あるような大規模な環境では、単一サーバですべてのデバイスを効率よく管理できないことがあります。パフォーマンス上の理由から、Security Manager の対象のアプリケーションを複数のサーバ間に展開することを選択できます。アプリケーション配布の例としては、たとえば次のようになります。

サーバ A:ファイアウォール ポリシーおよびデバイス管理

Common Services

Security Manager

イベント/ログ モニタリング

Auto Update Server(オプション)

サーバ B:IPS ポリシーおよびデバイス管理

Common Services

Security Manager

イベント/ログ モニタリング

サーバ C:VPN ポリシーおよびデバイス管理

Common Services

Security Manager

イベント/ログ モニタリング

サーバ A は、すべての ASA/PIX/FWSM ファイアウォール デバイスのコンフィグレーションおよびイベント管理専用です。サーバ B は、すべての IPS デバイスのコンフィグレーションおよびイベント管理専用となり、サーバ C は、ASA/IOS/ISR VPN デバイスの VPN ポリシー管理専用となります。複数のサーバを展開する場合には、Security Manager サーバ間でポリシー データを共有できないことに注意してください。たとえば、サーバ A のファイアウォール ポリシーとポリシー オブジェクトは、他のサーバでは共有できません。この展開方法では、各サーバはそれ自身の中ではほとんど同じポリシー データしか使用しないため、サーバ間でポリシー データを共有する必要性はほとんどありません。ただし、Security Manager サーバと管理デバイスが非常に離れた場所に展開されているようなネットワークでは、この展開は適していません。このようにすると、モニタリング、設定の検出、および展開に影響を与えることがあります。

もうひとつの方法として、地域ごとにデバイスを分けて、各 Security Manager サーバは、地域内(米国西部、米国中部、米国東部、ヨーロッパ、アジアなど)の少数のデバイスのみを管理する、というものがあります。この方法では、管理コンソール、イベント モニタリング、および管理デバイスの設定展開について、ローカルな Security Manager サーバから最適なパフォーマンスを提供できます。ただし、ポリシー データはサーバ間で共有できません。各サーバは自身のグローバル ポリシー セット、およびデバイスの同じグループのポリシー オブジェクトを管理します。この方法では、サーバ間でのポリシー データの手動複製が必要になることがあります。

Security Manager のイベント管理が必要ない環境(CS-MARS またはサードパーティのログ管理を使用)では、イベント管理エンジンをオフにすると、ポリシー管理のパフォーマンスを向上できます。VMware 仮想マシン上で実行されている Security Manager では、イベント管理機能をオフにすることをお勧めします。

VMware の仮想マシン環境でのインストール

Security Manager は、VMware ESX Server 3.5 Update 4 での実行をサポートしています。VMware Server や VMware Workstation などの VMware の他の環境はサポートしていません。VMware 環境に展開されている Security Manager に対しては、イベント管理機能をオフにしておくことをお勧めします。イベント管理機能を使用する必要がある場合は、適切なハードウェアおよびソフトウェア仕様を備えた、推奨される物理サーバを使用することを検討してください。

VMware のゲスト オペレーティング システムとして、Security Manager でサポートされている任意のサーバ オペレーティング システムを使用できます。VMware の認定作業では、通常の仮想化されていないサーバ上で稼動している Security Manager で実行されたものと同じパフォーマンス テストおよび耐久性テストを行う必要がありました。テスト結果として、VMware ESX Server 3.5 で Security Manager を実行すると、イベント管理機能をオンにしない場合、アプリケーション パフォーマンスが少し低下することがわかりました。これは、関連するリファレンス ネットワーク、および特定のテスト ケースによって異なります。VMware 環境で Security Manager を展開することは、小さいサイズのネットワークについてのみ適しています。

パフォーマンスが常に大きく低下するようなエリアでは、多数の(約 5,000 ~ 50,000 の)ルールを使用して、多数の PIX デバイス、ASA デバイス、またはデバイスへの展開を行っていました。このような場合には、展開にかかる時間が、容認できる範囲を超えてしまいます。すべてのリファレンス ネットワーク サイズでは、Security Manager で使用する仮想マシンに対して最低 8 GB の物理メモリを割り当てる必要があります。通常は、VMware のマニュアル『 Performance Tuning Best Practices for ESX Server 3 』に記載されているベスト プラクティスに従う必要があります。ただし、通常、デフォルトの値または設定は最適になっているため、詳細な VMware パラメータは調整すべきではありません。

また、仮想化の効率を向上させることに特化して設計されたテクノロジーが含まれているプロセッサを使用した、最新世代のサーバを使用することが推奨されます。たとえば、Intel®Virtualization Technology(IVT)が含まれている Intel®Xeon®X5500 シリーズの Quad-core プロセッサ上で、VMware ESX Server 3.5 で実行している Security Manager をテストした場合には、良好な結果が得られました。AMD は、仮想化の機能拡張に対して 64 ビット x86 アーキテクチャ プロセッサを提供しており、これは AMD Virtualization(AMD-V)と呼ばれます。

ハイ アベイラビリティ/障害回復

Security Manager をハイ アベイラビリティまたは障害回復の構成に展開して、サーバ、ストレージ、ネットワーク、またはサイトの障害時にアプリケーションの可用性および存続可能性を大幅に向上させることができます。これらの展開のオプションは、『 High Availability Installation Guide for Cisco Security Manager 4.0 』に詳しく記載されています。

インストールのガイドライン

Security Manager のインストールに関する手順の詳細については、『 Installation Guide for Cisco Security Manager 4.0 』を参照してください。

インストール可能なモジュール

Security Manager サーバのインストールには、さまざまなコンポーネントが含まれており、いくつかのコンポーネントはオプションになっています。Security Manager のインストーラは、次のコンポーネントのインストールを行います。

Common Services 3.3(必須)

Security Manager 4.0 Server(必須)

AUS 4.0(オプション)

Security Manager 4.0 Client(クライアントが専用クライアント マシンにインストールされている場合はオプション)

Cisco Security Agent 5.2.0.282(Windows 2003 32 ビット オペレーティング システムでのみインストール可能)

個別のインストーラを使用して、コンポーネントを個々にインストールできます。次にスタンドアロン インストーラを示します。

Security Manager クライアントのインストーラ。クライアントのスタンドアロン インストーラとしても使用できます。このインストーラにアクセスする最も一般的な方法は、Web ブラウザ(https://server_hostname_or_ip)を使用してサーバにログインし、クライアント インストーラをクリックする方法です。

RME インストーラ。RME のインストールを行います。このインストーラでは、Security Manager のインストーラを使用して、Common Services 3.3 を事前にインストールしておくことが必要です。

Performance Monitor のインストーラは個別のインストーラ モジュールで、Common Services 上で Performance Monitor のインストールを行います。このインストーラでは、Security Manager のインストーラを使用して、Common Services 3.3 を事前にインストールしておくことが必要です。

Security Manager のインストーラ、および RME と Performance Monitor のインストーラの詳細な使用方法は、『 Installation Guide for Cisco Security Manager 4.0 』に記載されています。

IP アドレス、ホスト名、および DNS 名

Cisco Security Manager では、DHCP アドレスではなく固定 IP アドレスが必要です。Security Manager サーバの IP アドレスは変更することが可能で、システムのリブートが必要です。Security Manager の TCP/IP 設定で DNS サーバを設定する場合は、Security Manager サーバのホスト名と DNS 名が同じで、設定されている DNS サーバによって名前解決可能であることを確認してください。Security Manager をインストールする前に、サーバに対して永続的な DNS およびコンピュータ ホスト名を選択する必要があります。ホスト名と DNS 名はインストールの後に修正できないためです。インストールの後で Security Manager サーバのホスト名を変更すると、製品の再インストールが必要になることがあります。

クライアントの展開

推奨される通常の手順では、Security Manager クライアントを個別のクライアント マシンにインストールし、実行します。Security Manager では、特定のマシン上にクライアントのシングル バージョンをインストールすることのみサポートしています。そのため、同じマシン上で Security Manager 3.3 と 4.0 の両方のクライアントを持つ、といったことはできません。サーバ上でクライアントをインストールして使用することはできますが、これは、規模の小さいネットワークにのみ適しており、規模の大きい企業のネットワークではお勧めできません。

「アプリケーション パフォーマンスに影響を与える要因」 に記載されているように、エンド ユーザとサーバの場所がかなり離れていて、相当な遅延が発生する場合(大陸間の距離がある場合)でも容認できるパフォーマンスを保持するために、サーバに近い場所にあるターミナル サーバ上に、クライアントを展開することをお勧めします。

Security Manager サーバのチューニング

Security Manager には、いくつかの詳細なパラメータが用意されています。このパラメータを修正して、アプリケーションのパフォーマンスを調整できます。16 GB 以上のメモリを搭載した Windows 2008 64 ビット サーバに、50 台以上のデバイスを備えた大規模な展開では、最適なパフォーマンスを得るために、以降のセクションに記載されているパラメータを修正できます。

「Windows オペレーティング システムのスワップ ファイル サイズ」

「Sybase データベースのレジストリ パラメータ」

Windows オペレーティング システムのスワップ ファイル サイズ

デフォルトの 4 GB 設定を使用します。Security Manager で管理するデバイスおよびポリシーが増えた場合、またはシステム メモリの使用率が高くなった場合は、この設定を増やしてください。一般的な Microsoft Windows サーバ オペレーティング システムのチューニングについては、Microsoft 社の Web サイトで詳しい説明を参照してください。

Sybase データベースのレジストリ パラメータ

中規模または大規模な展開では、最適なパフォーマンスと拡張性を実現するために、次の手順を使用してデータベース パラメータをチューニングしてください。


ステップ 1 Security Manager サーバで、テキスト エディタを使用して <NMSROOT>\databases\vms\orig\odbc.tmpl ファイルを編集し、次のパラメータを修正します。

パラメータ「___Cache=32」を「___Cache=512」に修正

パラメータ「___Switches」にキーワード -gb high を追加

次の図は変更の内容を示しています。

 

ステップ 2 Windows のコマンドラインに net stop crmdmgtd と入力して Security Manager をシャットダウンし、Security Manager が完全にシャットダウンしてから次のステップを実行します。

ステップ 3 <NMSROOT>\objects\db\conf にある perl ユーティリティを使用して、Windows レジストリにデータベース パラメータを再登録します。次に、コマンドおよび構文の例を示します。

perl configureDb.pl action=reg dsn=vms dmprefix=vms

次の図は、例を示しています。

 

ステップ 4 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vmsDbEngine\Parameters で Windows レジストリの設定をチェックして、パラメータが正しく再登録されていることを確認します。次の図に示すように、「-gb high -c 512M」というエントリがあるはずです。

 

ステップ 5 Windows のコマンドラインに net start crmdmgtd と入力して Security Manager を再起動し、Security Manager が完全に再起動してから使用します。


 

Security Manager のライセンスについて

管理対象のデバイスの数およびタイプについて、正しい基本ライセンスとデバイス ライセンス数を持つようにするには、Security Manager の展開を計画するときに、Security Manager のライセンスについて理解しておくことが重要です。このセクションでは、Security Manager のライセンスの概要について、およびいくつかの具体的なライセンス例について説明します。

ライセンスの概要

Cisco Security Manager 4.0 Enterprise Edition には、次のようにいくつかの基本バージョンがあります。

Standard 5 Device Limit

Standard 10 Device Limit

Standard 25 Device Limit

Professional 50 Device Limit

これらのバージョンは、それぞれ 5、10、25、および 50 台のデバイスを管理できます。Professional バージョンではデバイスの増分ライセンス パッケージをサポートしており、デバイスが 50、100、および 250 台増えたときに使用することができます。Professional バージョンには、Cisco Catalyst® 6500 シリーズのスイッチ、および関連するサービス モジュールの管理に対するサポートも含まれていますが、Standard バージョンには、これらのプラットフォームに対するサポートは含まれていません。

追加のデバイスについて、Standard から Professional へのアップグレード ライセンス、または増分デバイスのアップグレード ライセンスを注文することもできます。次に、このバージョンのアップグレードおよび増分デバイス ライセンスの一覧を示します。

Enterprise Standard 25 to Professional 50 Upgrade

Enterprise Professional Incremental 50 Device

Enterprise Professional Incremental 100 Device

Enterprise Professional Incremental 250 Device

Security Manager では、次のものに対してデバイス ライセンスが消費されます。

追加された各物理デバイス

追加された各 Cisco Catalyst 6500 シリーズのサービス モジュール

各 Cisco Catalyst スイッチ

各セキュリティ コンテキスト

各仮想センサー

ホスト デバイスにインストールされている Advanced Inspection and Prevention Security Services Modules(AIP-SSM)、IDS Network Modules、および IPS Advanced Integration Modules(IPS AIM)はライセンスを消費しませんが、追加の(最初のセンサーの後に追加された)仮想センサーはライセンスを消費します。

Firewall Services Module(FWSM)の場合は、モジュール自身がライセンスを消費し、追加された各セキュリティ コンテキスト用に追加ライセンスを消費します。たとえば、2 つのセキュリティ コンテキストを持つ FSWM は 3 つのライセンスを消費します。1 つはモジュール用、2 つ目は管理コンテキスト用、および 3 つ目は 2 番目のセキュリティ コンテキスト用です。Cisco Security Manager に Cisco Catalyst のシャーシ自身が追加された場合も、追加のデバイス ライセンスを消費します。

ASA/PIX/FWSM デバイスのフェールオーバー ペアは、Security Manager では単一デバイスとしてカウントされます。これは、Security Manager はフェールオーバー ペアの中でアクティブなデバイスのみを管理しているため、単一デバイス分のライセンス数だけが消費されるからです。

管理対象外のデバイス

Security Manager では、管理対象外のデバイスをデバイス インベントリに追加することができます。管理対象外のデバイスは、[Device Properties] で [Manage in Cisco Security Manager] を選択解除したデバイスです。管理対象外のデバイスはライセンスを消費しません。

管理対象外のデバイスのもうひとつのクラスは、トポロジ マップに追加されたオブジェクトです。[Map] > [Add Map Object] を選択して、クラウド、ファイアウォール、ホスト、ネットワーク、ルータなどのさまざまなタイプのオブジェクトをマップ上に追加できます。これらのオブジェクトはデバイス インベントリには表示されず、デバイス ライセンスを消費しません。

アクティブ サーバとスタンバイ サーバ

ライセンス上は、単一サーバ上でソフトウェアを使用可能です。ハイアベイラビリティやディザスタ リカバリの構成で使用されるような、Cisco Security Manager のスタンバイ サーバでは、同時に 1 つのサーバのみアクティブにする場合は別のライセンスは必要ありません。

RME および Performance Monitor のライセンス

Cisco Security Manager には、RME および Performance Monitor に対する別のライセンスも含まれています。ユーザは、Cisco Security Manager に対して購入したデバイス数と同じ数のデバイスについて、これらのアプリケーションを使用することができます。Security Manager の基本製品を注文すると、RME および Performance Monitor のライセンスに対する 2 つ目の Product Authorization Key(PAK)を受け取ります。

ライセンスの例

ここでは、Security Manager のライセンスを理解しやすいように、いくつかの代表的なライセンスの例を示します。

例 1

管理対象のネットワークの説明:15 台の Cisco Integrated Services Router。

必要なライセンス:Enterprise Standard - 25 Device ライセンスが必要です。関連する Catalyst 6500 サービス モジュールがなく、デバイス数が 50 未満のため、Standard-25 ライセンスを注文します。

例 2

管理対象のネットワークの説明:5 台の IDSM-2 モジュールがあり、各モジュールには仮想センサーが 2 つずつある。

必要なライセンス:Enterprise Standard - 10 Device ライセンスが必要です(5 台のモジュールに 10 個の仮想センサーがあるため)。Standard-25 でも十分に思えますが、Catalyst 6500 サービス モジュールが含まれているため、Security Manager を使用して Catalyst 6500 スイッチを管理する必要がある場合は、最小でも Pro-50 ライセンスが必要です。

例 3

管理対象のネットワークの説明:シングルおよびフェールオーバー モードで動作する 250 の ASA ペアがある(500 台のデバイス)。

必要なライセンス:Enterprise Professional - 50 Device、および 2 つの Enterprise Incremental - 100 ライセンスが必要です。追加のデバイスの管理が必要な場合は、50、100、または 250 のデバイス単位で増分デバイス ライセンスを注文できます。

例 4

管理対象のネットワークの説明:Security Manager Standard Edition の 5 台のデバイスがあり、追加で、シングル モードで稼動している 20 台の ASA デバイスを管理する必要がある。

必要なライセンス:Enterprise Standard 25 to Professional 50 Upgrade ライセンスが必要です。

例 5

管理対象のネットワークの説明:アクティブ/スタンバイ、またはアクティブ/アクティブのペアの組み合せで展開されており、それぞれ 5 つのセキュリティ コンテキストを持つ、10 ペアのフェールオーバー ASA デバイス(20 台のデバイス)。

必要なライセンス:Enterprise Professional - 50、および Enterprise Professional Incremental 50 Device。

冗長性を得るためフェールオーバー デバイスのペアを展開する場合は、Security Manager にアクティブ デバイスおよびコンテキストを追加するだけで済みます。必要なデバイスのライセンス数は、(10 台のデバイス)×(5 つのコンテキスト)+(10 台のシャーシ)で、合計 60 個のデバイス ライセンスになります。

Security Manager のライセンスの詳細については、 http://www.cisco.com/go/csmanager で製品のホームページにアクセスして、データシートを参照してください。


) 上記のすべての例では、Cisco Technical Assistance Center(TAC)およびアプリケーションのマイナー リリース アップデートを追加料金なしで使用できるようにするために、対応する Cisco Service Application Support(SAS)の注文を検討する必要があります。