|
ネットワーク・ポリシーを作成または変更したときは必ず、その変更内容に対するデバイス固有のコマンド・セットを生成および発行して、Policy Enforcement Pointで有効になるようにする必要があります。
Cisco Secure Policy Managerは、Network Topologyツリーに含まれているネットワーク・トポロジとルーティング情報とともに、Security Policy Enforcementブランチ内のオブジェクトに適用されているポリシーを使用して、デバイス固有のコマンドを生成します。 さらに、Prologueコマンド(生成したコマンドの送信前にデバイスに送信されます)またはEpilogueコマンド(生成したコマンドの送信後にデバイスに送信されます)として追加コマンドをデバイスに対して定義し発行することができます。
Cisco Secure Policy Managerのインストール時に、コマンド・セットを発行するデフォルトの方法には、「手動」がセットされています。これは、各デバイス用に生成したコマンド・セットをデバイスに発行する前に、承認が必要なことを意味します。 このデフォルト設定は、生成とともにコマンド・セットが自動発行されるように変更することができます。 ただし、この自動発行オプションは、最も基本的なネットワーク・トポロジ以外には推奨されません。 詳細については、 Policy Distribution Pointの詳細を参照してください。 デフォルトのコマンド発行は、デバイスごとに無効にすることもできます。
次のチェックリストに、コマンド・セットの生成、検証、発行プロセスの概要を示します。 コマンド・セットを実際に発行する前に、次に説明するステップとそれを実行するためのさまざまなオプションについて理解しておく必要があります。
各ステップは、「ステップ」欄で説明してあり、複数のサブステップを含むものは記載順に実行する必要があります。 各ステップの実行に使用する特定の手順の参照先は、「参照」欄に記載してあります。
|
1. Policy Distribution Pointと発行順序の制約を理解する Policy Enforcement Pointに対応するPolicy Distribution Pointの選択が、ネットワーク・トポロジの構成によって制約を受ける場合があります。 デバイスに発行する前に、選択したPolicy Distribution Pointが有効であることを確認する必要があります。 さらに、ネットワーク上のさまざまなPolicy Enforcement Pointに対してコマンド・セットを発行する順序によっては、生成したコマンド・セットのすべてを正常に発行することができない場合があります。 したがって、コマンド配布を中断させる共通の事例を調査して、Policy Enforcement Pointすべてに発行する機能を絶対に中断しないような順序で、生成したコマンド・セットを発行する必要があります。 |
|
|
ネットワーク・トポロジとCisco Secure Policy Managerを使用して管理するPolicy Enforcement Pointの数に従って、生成したコマンド・セットを自動的に発行するか手作業で発行するか決定する必要があります。 Cisco Secure Policy Managerでは、発行方法を選択する上で、2通りの設定値が提供されています。その1つは、新規作成のPolicy Enforcement Pointのすべてに適用されるグローバルのデフォルト値であり、もう1つは、Commandパネル上で使用されるPolicy Enforcement Pointごとの設定値です。 |
コマンド・セット承認方法の指定.(デバイスごと) |
|
Cisco Secure Policy Managerが、Policy Enforcement Pointの管理を実際に開始する前に、FileメニューのSave and Updateコマンドを使用してコマンドを生成しておく必要があります。 Save and Update操作を実行するたびに、Cisco Secure Policy Managerが、Network Topologyツリーに定義されている各Policy Enforcement Pointに対して新しいコマンド・セットを生成します 結果のコマンド・セットは、各Policy Enforcement PointのCommandパネルにあるPending Commandsに表示されます。 |
|
|
Save and Update操作を実行したときに、Cisco Secure Policy Managerによるコマンド・セットの自動発行を設定していない場合は、Policy Enforcement Pointに実際に送信される前に、コマンド・セットを確認することができます。 コマンド・セットは、各Policy Enforcement PointのCommand PanelにあるPending Commandsフィールドに置かれます。 |
|
|
Cisco Secure Policy Managerを使用すると、デバイスごとにカスタム・コマンドを追加することができます。 カスタム・コマンドによって、Cisco Secure Policy Managerが直接制御しない機能を Prologueコマンドは、システム生成コマンドの送信前に、Policy Enforcement Pointに送信されるコマンドです。 Epilogueコマンドは、システム生成コマンドの送信後に、Policy Enforcement Pointに送信されるコマンドです。 |
|
|
6. デバイスをIPSecコマンド発行に対してブートストラップする Policy Enforcement Pointにコマンド・セットを発行するのにIPSecトンネルを使用する場合は、コマンド・セットの発行前に適切なIPSec設定値によってPolicy Enforcement Pointをブートストラップする必要があります。 |
|
|
Save and Update操作によるコマンドの自動的に発行するように設定していない場合は、各デバイスに対してコマンド・セットを手動で承認し、発行する必要があります。 |
|
|
コマンド・セットを承認し、発行プロセスを起動した後、
コマンド・セットの発行に関係する最後のステップは、 |
Cisco Secure Policy Managerシステム内で、Policy Distribution Pointは重大な役割を受け持っています。 このコンポーネントは、次の作業を実行してください。
このコマンド・セットは、PIX Secure Telnetなどの安全なプロトコルを使用して安全に発行することも、Policy Distribution Pointが、IPSecトンネルを使用して、自分の制御下にあるPolicy Enforcement Pointに安全にコマンドを発行することもできます。
各種類のPolicy Enforcement Pointは、Policy Distribution Pointコンポーネント内に各自の制御エージェントを持っているため、Policy Distribution Pointは、数種類のPolicy Enforcement Pointと特定種類の複数のPolicy Enforcement Pointを制御することができます。 たとえば、1つのPolicy Distribution Pointは、適切に設定することにより、3台のIOSルータと4台のPIX Firewallを制御することができます。 しかし、1つのPolicy Distribution Pointが複数のPolicy Enforcement Pointを制御する事例では、Policy Distribution Pointが常駐するプライマリ・サーバまたはセカンダリ・サーバの配置を、Policy Distribution Pointが制御するPolicy Enforcement Pointに応じて検討することが必要です。 さらに、一部のPolicy Enforcement Pointには、その設定に使用できるデバイスのインターフェイスに関して制限があります。 制限がある場合、Policy Enforcement Pointの制限事項を考慮することも、ネットワーク上のPolicy Distribution Pointの正しい配置を決めるのに有効です。
Policy Distribution Pointコンポーネントは、すべてのCisco Secure Policy Managerホスト上にインストールされるため、分散セキュリティ・システムを設定する方法をいつでも変更することができます セキュリティ・システムの設定時の有効なオプションとして使用できるように、Policy Monitor Pointをイネーブルまたはディセーブルにできるのとまったく同様にして、Policy Distribution Pointをイネーブルまたはディセーブルにすることができます。Cisco Secure Policy Managerは、Policy Distribution Pointの選択を利用して、選択したPolicy Distribution Pointとそれが制御するPolicy Enforcement Point間の通信が必ず許可されるようにします。 上記の通信をイネーブルにするセキュリティ・ポリシーとIPSec Tunnel Groupは、Cisco Secure Policy Managerにより自動的に生成、保持されています。
セキュリティ・システムの展開を設計するときは、ネットワーク上に常駐するPolicy Enforcement Pointに対するコマンド・セットの生成、発行に要する時間を短縮することを重視する必要があります。これは、発行動作によりPolicy Enforcement Pointが一時的にトラフィックの通過を妨げられるためです。 さらに、その設計では、ネットワーク・アクティビティに関するデータ・ストリームを迅速にモニタリングして、潜在的なセキュリティ問題を検出して、適切な担当者に通知することも重視する必要があります。
ネットワーク・セキュリティ・ポリシーをPolicy Enforcement Pointに展開する場合に、その実行能力に影響を与える問題が多数ありますが、ネットワーク内のPolicy Distribution Pointの配置を慎重に計画することにより解決することができます。 慎重な計画と配置による利点には、次のようなものがあります。
ネットワーク上に複数のPolicy Distribution Pointを配置できるため、Policy Enforcement PointごとにPolicy Distribution Pointの選択を考慮する必要があります。 この選択を行う最も適切な方法は、コマンド配布に関して問題を起こす可能性のある事例を理解し、初期配置後に行うデバイス固有の変更の影響を把握することです。
Policy Enforcement Pointを制御するPolicy Distribution Pointは、自由に選択してはいけません。 グローバル・ネットワーク・ポリシーを定義する場合は、複数のPolicy Enforcement Pointを制御して変更を行う場合、その変更でPolicy Distribution Pointとそれが制御する1つ以上のPolicy Enforcement Point間に必要な通信が一時的にディセーブルになる状況が生じる可能性があります。
Policy Distribution Pointの選択時に最初に決定することは、そのPolicy Distribution Pointとそれが制御するすべてのPolicy Enforcement Point間に発生する通信のトラフィック・フローです。 次に、ネットワーク上の残りのPolicy Distribution PointとそのPolicy Distribution Pointの所要トラフィック・フローを検討する必要があります。 この2種類のトラフィック・フローは絶対に妨害を起こさないようにすることが必要です。
トラフィック・フローの妨害が発生するのは、ゲートウェイ・オブジェクトに限られます。そのようなゲートウェイ・オブジェクトを、これ以降、集中ゲートウェイ・オブジェクトと呼びます。 その集中ゲートウェイ・オブジェクトが管理対象ゲートウェイ・オブジェクトである場合は、このゲートウェイ・オブジェクトを管理するポリシーも変更される可能性があるため、そのゲートウェイ・オブジェクトはコマンド・セットの発行における障害の可能性があるポイントと認識されます。 集中ゲートウェイ・オブジェクトは、1つ以上のPolicy Enforcement Pointと1つのPolicy Distribution Point間のパスに沿ったポイントを表すため、それより遠方にあるPolicy Enforcement Pointに集中ゲートウェイ・オブジェクト上の変更を反映するコマンド・セットが届く前に、集中ゲートウェイ・オブジェクトがアップデートされる可能性があります。 このような事態は、Optionsダイアログ・ボックス(Toolsメニューに提供されている)または特定のPolicy Enforcement PointのCommandパネルで、Command Approvalの下にあるAutomaticを選択してコマンド・セットの自動発行をイネーブルにしてある場合に最も発生する可能性が高くなります。
トラフィック・フローに妨害が発生しているPolicy Distribution Point.に、1つのPolicy Distribution Pointからのトラフィック・フローに妨害が発生していることが分かる簡単なトポロジを示します。
この例では、Policy Distribution PointがサイトAまたはサイトBのルータに対して、生成されたコマンド・セットを発行しようとしているときに、本社(HQ)のルータが、集中ゲートウェイ・オブジェクトとなります。したがって、サイトAルータとサイトBルータへのトラフィック・フローが中断されないように保証するただ一つの方法は、最も遠い管理対象ゲートウェイ・オブジェクトに発行した後で、本社のルータに発行することです。
トラフィック・フローに妨害が発生している複数のPolicy Distribution Point.に示すように、複数のPolicy Distribution Pointが存在するトポロジの場合にも、トラフィック・フローに妨害が発生することがあります。
この場合、中断されないように保護する必要のあるトラフィック・フローは、Cisco Secure Policy Managerのプライマリ・サーバとセカンダリ・サーバ間のトラフィック・フローです。 この問題は、分散インストール型のCisco Secure Policy Managerを使用している場合に限り発生します。
サポートされてない3番目のトラフィック・フロー妨害にも、分散インストールの場合が含まれます。 この場合は、複数のPolicy Distribution Pointが異なるPolicy Enforcement Pointに発行し、管理対象Policy Enforcement Pointの1つが集中ゲートウェイ・オブジェクトとなります。 異なるPolicy Enforcement Pointに対するトラフィック・フロー妨害.に、このトラフィック・フロー妨害を示します。
ネットワーク・トポロジを定義し、そのネットワーク上のPolicy Enforcement Pointを修正する場合は、トラフィック・フローに影響するデバイス固有の設定も考慮する必要があります。 次に挙げるデバイス固有の設定が特に重要です。
Cisco Secure Policy ManagerがPolicy Enforcement Pointにコマンドを発行するために使用しているIPアドレス(Enforcementパネルのアドレス)をどうしても変更する場合、または特定のPolicy Enforcement Pointを管理するため別のPolicy Distribution Pointを選択する場合は、Enforcementパネルで選択されているネットワーク・サービスが、新旧両方のIPアドレスをイネーブルにできるようにする中間セキュリティ・ポリシーを定義する必要があります。 イネーブルにしていない場合は、Policy Distribution Pointが、元のアドレスから新しいアドレスに変更するコマンド・セットを発行している間、Policy Enforcement Pointに対する接続が切断されます。
Network Topologyツリー定義内のPolicy Enforcement PointとPolicy Distribution Pointの間に常駐する管理外のゲートウェイ・オブジェクトでは、そのゲートウェイ・オブジェクトの上流にPolicy Enforcement PointまたはPolicy Distribution Pointが常駐する場合は、そのゲートウェイ・オブジェクトで実行されるアドレス変換はどのような形式であってもそのデバイス上に置くことはできません。 この設定に一致する管理外のゲートウェイ・オブジェクトでは、Cisco Secure Policy Managerの管理下にあるゲートウェイ・オブジェクト用に導出された生成コマンド・セットは正しくないことが確実です。 この種のネットワーク・サービスには、Policy Distribution PointとPolicy Enforcement Pointの間の通信に必要なネットワーク・サービスも含まれます。
ネットワーク・トポロジは、コマンド自動配布を使用しないように構築することができます。 問題は、さまざまなPolicy Enforcement Pointへのコマンド・セットのダウンロード順序にあります。この問題は、Cisco Secure Policy Managerサーバが、サーバの実アドレスを変換する内部Policy Enforcement Pointの背後から外部Policy Enforcement Pointにコマンド・セットを発行しようとするときに発生します。 場合により、自動ダウンロードされたコマンド・セットが失敗し、生成したコマンド・セットがトポロジ内の一部のPolicy Enforcement Pointにダウンロードできなくなることがあります。
順序の制限を示すネットワーク例.では、ネットワーク・トポロジに3台のCisco Secure PIX Firewall (この例では、Outside Gw、Middle Gw、Inside Gwと呼ぶ)が定義されており、この各Policy Enforcement Pointにコマンド・セットを配布するCisco Secure Policy Managerホスト(PDP)が、Inside Gwの上流に常駐していると仮定されています。 ここで、PDPのアドレスに対して1対1スタティック変換を行うMiddle GwまたはInside Gwのどちらかにマッピング規則を定義しているとします。
この例では、Outside Gwにコマンドを配布する前にInside GwまたはMiddle Gwにコマンドを配布すると、Outside Gwが、PDPから到達不能になります。Outside Gw用に生成したコマンド・セットがスタティック変換規則を理解できる場合でも、置き換えられる前のコマンド・セットはその規則を理解できません。 したがって、Outside Gwは、変換後のPDPアドレスからの管理アップデートを許可することを知ることができません。
ここの例では、PDPのアドレスが、どのPolicy Enforcement Pointでも変換されないかOutside Gw上だけで変換されるとすると、この場合、順序が問題にならないので、自動更新が順調に機能します。
自動的にまたは手作業でポリシー・アップデート・デフォルトを指定することができます。
ポリシー・アップデート・デフォルトを指定するには、次の作業を実行します。
Commandパネルから、Cisco Secure Policy Managerが生成したコマンド・セットを承認するときに使用する方法を指定することができます。 生成したコマンド・セットの承認は、対応するPolicy Enforcement Pointへのコマンド発行に先行する手順です。 この機能によって、発行順序が正しいことを保証する方法を選択することができるだけでなく、組織のセキュリティ・ポリシーのニーズに合った管理ポリシーに従うこともできるようになります。
Cisco Secure Policy Managerが生成するコマンド・セットに対する承認方法 を指定するには、次の作業を実行します。
結果: Network Topologyツリーが、Navigatorペインに表示されます。
現在の変更を保存し、アクティブとなっているネットワーク・ポリシーをアップデートするには、次の作業を実行します。
Automatic Checkingに対しては、次の3つのオプションから選択することができます。
Disabledを選択した場合は、ダイアログ・ボックスが、システムの整合性およびシステム・セキュリティが、この選択によって損なわれる可能性のあることを通知するメッセージを表示します。 Yesをクリックして、選択を承認します。
GUIクライアントの現在の設定が、一貫性に誤りがないかチェックされます。 誤りが検出されると、Save and Update操作は中止されます。 誤りが検出されなかった場合は、現在のコンフィギュレーションがPrimary Policy Databaseに保存され、ネットワーク・ポリシーが更新され、ネットワークで適用されます。
Command パネルから、Cisco Secure Policy Managerが、選択したPolicy Enforcement Pointに対して生成したコマンド・セットを再検討することができます。 この機能によって、選択したPolicy Enforcement Pointに対する発行前に、生成したコマンド・セットを再検討し、修正することが可能になります。
選択したPolicy Enforcement Pointに対して生成されているコマンド・セットの再検討を行うには、次の作業を実行します。
結果: Network Topologyツリーが、Navigatorペインに表示されます。
結果: 選択したPolicy Enforcement Pointに対してCisco Secure Policy Managerが生成したコマンド・セットが、Commands/Messagesボックスに表示されます。 コマンドを再検討して、コマンドが組織のセキュリティ・ポリシーを満たしているかどうか確認します。 スクロール・バーを使用して、コマンド・セット全体を再検討することができます。
Commandパネルから、Policy Enforcement Pointに対して、コマンドを手動で入力することができます。 そのコマンドによって、Cisco Secure Policy Managerが制御しないPolicy Enforcement Point設定値を設定することができます(Cisco Secure Policy Managerは、セキュリティとその関連の設定値だけを制御します)。
Prologueコマンドは、Cisco Secure Policy Managerの生成するコマンドの前に、Policy Enforcement Pointに送信されるコマンドです。 Epilogueコマンドは、Cisco Secure Policy Managerの生成するコマンドの後に、Policy Enforcement Pointに送信されるコマンドです。 各Policy Enforcement Pointに対して、少なくとも一方の種類のコマンドを指定することができます。
選択したPolicy Enforcement Pointに対するPrologueコマンドまたはEpilogueコマンドを入力するには、次の作業を実行します。
結果: Network Topologyツリーが、Navigatorペインに表示されます。
ツリー構造は、次に挙げる2通りの方法のどちらかの方法で展開するか、または縮小することができます。
結果: Commandパネルが、Viewペインに表示されます。
選択したPolicy Enforcement Pointに対して、PrologueコマンドまたはEpilogueコマンドが既に指定されている場合は、この指定されているコマンドが、Commands/Messagesボックスに表示されます。 選択したPolicy Enforcement Pointに対して、PrologueコマンドもEpilogueコマンドも入力していない場合は、Commands/Messagesボックスには、何も表示されません。
Enforcementパネルを使用して、Policy Distribution PointとPolicy Enforcement Pointの間にIPSec通信を使用するようにPolicy Enforcement Pointを設定した後、そのPolicy Enforcement Pointに対するコマンド・セットの発行前に、Policy Enforcement PointにIPSecコマンドを手作業で入力する必要があります。 Cisco Secure Policy Managerが、Policy Enforcement Pointについての必要なコマンドを生成しますが、生成したコマンドをPolicy Enforcement Pointに自動的の配布することはしません。それは、共有秘密情報が平文で送信されるためです。ブートストラップ・コマンドは、Policy Enforcement Pointに関連するCommandパネルの
Commands/Messagesボックスで使用可能です。
Policy Enforcement Point をブートストラップするには、次の作業を実行します。
結果: Commandパネルが、Viewペインに表示されます。
結果: 生成されたが、選択したPolicy Enforcement Pointにまだ発行されていないコマンドのリストが、Commands/Messagesボックスに表示されます。
結果: コマンド・セットが、いつでも、Policy Enforcement Pointに入力できる状態になります。 GUIクライアントがインストールされていないワークステーションからPolicy Enforcement Pointにアクセスする場合は、Policy Enforcement Pointへのアクセス・ポイントからアクセスできる場所、たとえば、フロッピーディスクまたはftpサーバに保存する必要があります。
結果: Policy Enforcement Pointが、必要なコンフィギュレーション・モードに入ります。
結果: コマンドが、行ごとにPolicy Enforcement Pointに入力されます。 コマンド・セットが自動的に入力される各コマンドに対して、Policy Enforcement Pointを適切なコンフィギュレーション・モードに置きます。
Command パネルから、Cisco Secure Policy Managerが選択したPolicy Enforcement Point用に生成したコマンド・セットを、手作業で承認することができます。 この機能によって、選択したPolicy Enforcement Pointに発行する前に、生成したコマンド・セットを再検討し、修正することが可能になります。 さらに重要なのは、Cisco Secure Policy Managerを使用して、複数のPolicy Enforcement Pointを管理している場合に、発行順序の制御が可能になることです。 この機能が重要である理由は、1つのPolicy Enforcement Pointに発行されたコマンドが、ほかのPolicy Enforcement Point向けに必要な通信を拒否しないことを保証した後で、そのようなPolicy Enforcement Point用のコマンド・セットを承認し、発行できるようにするのに役立つからです。
選択したPolicy Enforcement Point用に生成したコマンド・セットを手作業で承認するには、次の作業を実行します。
結果: Network Topologyツリーが、Navigatorペインに表示されます。
結果: Commandパネルが、Viewペインに表示されます。
Cisco Secure Policy Managerが、選択されているPolicy Enforcement Point用に生成したコマンド・セットが、Commands/Messagesボックスに表示されます。 コマンドを再検討して、コマンドが組織のセキュリティ・ポリシーを満たしているかどうか確認します。 スクロール・バーを使用して、コマンド・セットの全体を再検討することができます。
Command パネルから、選択したPolicy Enforcement Pointへのコマンド・セットの発行ステータスを見ることができます。 この機能は、コマンド・セットがPolicy Enforcement Pointで動作していることを確認するのに役立つだけでなく、コマンド配布で発生した問題を検出できるようにします。
選択したPolicy Enforcement Point用に生成したコマンド・セットの発行ステータスを確認するには、次の作業を実行します。
結果: Network Topologyツリーが、Navigatorペインに表示されます。
結果: Commandパネルが、Viewペインに表示されます。
ステータス・ボックスには、接続試行、アップロード完了(エラーなし)などの発行段階に関するインタラクティブなメッセージが表示されます。警告またはメッセージが生成された場合は、そのメッセージをDistributions Statusメッセージ・ボックスで再検討することができます。
Distribution Statusメッセージが、Commands/Messageボックスに表示されます。 このメッセージは、現在、ロードされているコマンド・セットがPolicy Enforcement Pointに発行されたときに検出されたステータスとエラーを示します。 このステータスには、Cisco Secure Policy ManagerによりPolicy Enforcement Pointに発行された実際のコマンドとPolicy Enforcement Pointが返した応答が含まれます。 エラー・メッセージの例として、Could not connect to device. Device not responding: connection failed in 1 secondsがあります。
All contents copyright (C) 1992--2003 Cisco Systems K.K.
