サービス モジュール

Virtual Security Gateway 導入ガイド

導入ガイド





Virtual Security Gateway 導入ガイド



はじめに
利点
    動的な(仮想化に対応した)運用
    中断を発生させない運用モデル
    マルチテナント
ソリューション アーキテクチャ
    ソリューションのコンポーネント
    VNMC-to-vCenter 通信
    VNMC-to-VSG 通信
    VNMC-to-VSM 通信
    VSG-to-VEM(vPath)通信
    VSM-to-VEM 通信
導入に関する考慮事項
    Cisco Nexus 1000V シリーズ インフラストラクチャ要件
    セットアップ要件
    インストールおよび初期設定
    ファイアウォールの有効化
    ライセンス要件
    ネットワークの分割
    サービス VLAN の MTU サイズ
    High Availability(HA; ハイ アベイラビリティ)
    テナント管理
    セキュリティ ポリシー管理
    デバイス ポリシー管理
    スケーラビリティ
VSG 導入のユース ケース
    ネットワーク ベース ポリシーを使用した 3 層のアクセス コントロール
      セキュリティ管理者の作業
      ネットワーク管理者の作業
      サーバ管理者の作業
    VM 属性ベース ポリシーを使用した 3 層のアクセス コントロール
      セキュリティ管理者の作業
      ネットワーク管理者の作業
      サーバ管理者の作業
    カスタム属性ベース ポリシーを使用した 3 層のアクセス コントロール
      セキュリティ管理者の作業
      ネットワーク管理者の作業
      サーバ管理者の作業
Syslog サーバの設定
まとめ
用語集


はじめに


Cisco® Virtual Security Gateway(VSG)は、仮想コンピューティング環境のためにセキュリティとコンプライアンスを提供する Cisco Nexus® 1000V シリーズ スイッチ向けの仮想ファイアウォールです。Cisco VSG は、Cisco Nexus 1000V シリーズ Virtual Ethernet Module(VEM; 仮想イーサネット モジュール)に組み込まれた Virtual Network Service Data Path(vPath; 仮想ネットワーク サービス データ パス)テクノロジーを使用し、透過的な導入および効率的な展開を提供します。VSG ソリューションは、IT セキュリティ、ネットワーク、サーバの各チームのコラボレーションを可能にすると同時に、管理区分を利用して規制と監査の要件を満たし、管理に関わるエラーを削減できます。VSG では、Cisco Virtual Network Management Center(VNMC)も採用されています。VNMC は、マルチテナント環境で VSG の管理に使用されます。

利点


VSG は、コンテキストをベースとしたポリシーを適用できるように、Virtual Machine(VM; 仮想マシン)の属性を使用して、VM レベルでの制御を提供します。これらのポリシーは、VLAN に依存せず、仮想マシンのゾーンに適用できます。このため、トポロジが変化しない、ポリシー主導のセキュリティ制御を提供できます。VM から VM へのトラフィックだけでなく、外部ソースから VM へのトラフィックも保護することができます。仮想化環境で VSG を導入する主な利点の一部を次に説明します。

動的な(仮想化に対応した)運用

非常に動的な仮想化を実現できます。仮想マシン上で追加、削除、変更などの操作を頻繁に行うことができます。仮想マシンのライブ マイグレーションは、手動またはプログラムされた VMware vMotion イベントによって実行されます。

Cisco VSG は、Cisco Nexus 1000V シリーズ(および vPath)と連携して動作し、動的な仮想化をサポートします。Cisco VSG および Cisco VNMC により、業務部門またはテナントごとに、信頼ゾーンおよび関連するセキュリティ プロファイルが作成されます。セキュリティ プロファイルは、Cisco Nexus 1000V シリーズ ポート プロファイルにバインドされます(Cisco Nexus 1000V シリーズ Virtual Supervisor Module(VSM; 仮想スーパーバイザ モジュール)で作成され、VMware vCenter に発行されます)。新しい仮想マシンがインスタンス化されると、サーバ管理者は適切なポート プロファイルを、その仮想マシンの仮想イーサネット ポートに割り当てます。ポート プロファイルとセキュリティ プロファイル、および仮想マシンのゾーン メンバーシップがすぐに適用されます。仮想マシンは、別のポート プロファイルとセキュリティ プロファイルを割り当てるだけで、簡単に別の用途に利用できます。

中断を発生させない運用モデル

Cisco Nexus 1000V シリーズの導入と同様、Cisco VSG は、VMWare vCenter とのシームレスな統合を提供します。セキュリティ管理者がセキュリティ ルールとセキュリティ ポリシーを定義し、ネットワーク管理者がそれらのポリシーを管理し、特定のポート プロファイルに関連付け、また ESX サーバ管理者が、特定の VM に対し適切なポート グループ(Nexus 1000V 相当のポート プロファイル)を選択する運用モデルはそのまま維持されます。図 1 に、この運用モデルを示します。

図 1 サーバ、ネットワーク、セキュリティそれぞれの管理者間の管理の分離

図 1 サーバ、ネットワーク、セキュリティそれぞれの管理者間の管理の分離


vCenter との緊密な統合により、仮想マシンに対するポート プロファイルおよびセキュリティ プロファイルのシームレスかつ動的なプロビジョニングが可能です。

マルチテナント

Cisco VNMC は、高密度なマルチテナント環境で Cisco VSG およびセキュリティ ポリシーを管理するように設計されているので、管理者はテナントの追加および削除、テナント別の設定およびセキュリティ ポリシーの更新を迅速に実行できます。図 2 に、VSG のマルチテナントを示します。図 2 に、VSG のマルチテナント機能を示します。この図に示すアーキテクチャでは、テナント A は VM のセキュリティ ポリシーを提供する独自の VSG を持っています。テナント B は、VM のセキュリティ ポリシーを管理する別の独自の VSG を持っています。

図 2 VSG ソリューションによるマルチテナント展開

図 2 VSG ソリューションによるマルチテナント展開


ソリューション アーキテクチャ


図 3 に、Cisco VSG ソリューションのアーキテクチャ全体と、ソリューションに必要なコンポーネントがどのように統合されるかを示します。このセクションでは、これらのコンポーネント間の通信の詳細について説明します。

図 3 VSG ソリューション アーキテクチャ

図 3 VSG ソリューション アーキテクチャ


ソリューションのコンポーネント

VSG 環境のセットアップに必要なコンポーネントには、次のものがあります。

Cisco Virtual Network Management Center(VNMC)

Cisco VNMC は、Cisco VSG のデバイス ポリシーおよびセキュリティ ポリシーの一元管理を提供する仮想アプライアンスです。

Cisco Virtual Security Gateway(VSG)

Cisco VSG は、VMware vSphere ハイパーバイザにおいて、Cisco Nexus 1000V シリーズの分散仮想スイッチとともに動作し、Nexus 1000V シリーズ VEM に組み込まれた vPath を使用します。

Cisco Nexus 1000V シリーズ スイッチ

Cisco Nexus 1000V シリーズ スイッチは、仮想マシン アクセス スイッチであり、Cisco NX-OS ソフトウェア オペレーティング システムを稼動している VMware vSphere 環境用のインテリジェントなソフトウェア スイッチの実装です。Cisco VSG ソリューションをサポートするには、Nexus 1000V は、バージョン 1.4 以降を実行している必要があります。

VMware vCenter

VMware vCenter Server は、vSphere 環境を管理し、単一コンソールからデータセンター内のすべてのホストおよび VM の統合管理を提供します。vCenter 4.0 および 4.1 の Enterprise Plus ライセンス付きが必要になります。

VNMC-to-vCenter 通信

VNMC は、VMware 環境に対して可視化するため vCenter に登録します。これにより、セキュリティ管理者は VMware VM 属性に基づいてポリシーを定義できます。VNMC は、XML プラグイン経由で統合します。プロセスは、Cisco Nexus 1000V VSM が vCenter と統合する方法に類似しています。VNMC と vCenter 間の通信は、ポート 443 上の Secure Sockets Layer(SSL)接続を通じて行われます(図 4 を参照してください)。VNMC と vCenter 間にファイアウォールがある場合に適切なポートが開いているという要件以外に、VNMC と vCenter 間の通信に対する特定のネットワークの制限はありません。

図 4 VNMC-to-vCenter 通信

図 4 VNMC-to-vCenter 通信


VNMC-to-VSG 通信

VSG は、VSG 上で行ったポリシー エージェント設定によって VNMC に登録します。登録すると、VNMC はセキュリティ ポリシーおよびデバイス ポリシーを VSG にプッシュします。VNMC に登録されると、ポリシー設定は VSG の Command-Line Interface(CLI; コマンドライン インターフェイス)経由で行われません。CLI は、モニタリングとトラブルシューティングの目的で管理者が使用できます。VSG と VNMC 間の通信は、ポート 443 上の SSL 接続を通じて行われます(図 5)。

図 5 VNMC-to-VSG 通信

図 5 VNMC-to-VSG 通信


VNMC-to-VSM 通信

VSM は、VSM 上で行ったポリシー エージェント設定によって VNMC に登録します。登録の手順は、VSG-to-VNMC 登録の手順に類似しています。登録すると、VSM は VNMC に IP-to-VM バインディングを送信できるようになります。IP-to-VM マッピングは、VM 属性に基づくポリシーの評価のために VSG に必要です。VSM は、VNMC を使用して security-profile-id の解決も行います。この security-profile-id は、すべての vPath パケット(次のセクションで説明します)で VSG に送信され、評価用のポリシーの識別に使用されます。VSG と VNMC 間の通信は、ポート 443 上の SSL 接続を通じて行われます(図 6)。

図 6 VNMC-to-VSM 通信

図 6 VNMC-to-VSM 通信


VSG-to-VEM(vPath)通信

VSG は、ポート プロファイルで保護が有効な場合、VEM からトラフィックを受信します。トラフィックのリダイレクトは、vPath 経由で行われます。vPath は、元のパケットを VSG の MAC アドレスとともにカプセル化して、VSG に送信します。VSG には、専用のインターフェイスがあります(データ 0)。VEM は、このインターフェイスを使用して、VSG の IP アドレスに対する Address Resolution Protocol(ARP; アドレス解決プロトコル)の実行によって、VSG の MAC アドレスを取得します。Cisco VSG は、vPath とレイヤ 2 隣接関係である必要があります。vPath と VSG 間の通信に使用されるメカニズムは、パケット VLAN 上の VEM と Cisco Nexus 1000V シリーズ間の通信に使用されるメカニズムと類似しています。VSGは、vPath によってリダイレクトされた各フローの最初のパケット上のポリシーを評価します。VSG は、次にポリシーの評価結果を vPath に送信します。vPath は、その結果をフロー テーブル内に保持します。フローのその後のパケットは、フロー テーブルにキャッシュされた結果に基づいて許可または拒否されます(図 7)。

図 7 VSG-to-VEM 通信

図 7 VSG-to-VEM 通信


vPath は、TCP フローのステートを維持します。TCP フローで RST フラグまたは FIN フラグが発生した場合、vPath はテーブルからそのフローのエントリを消去します。任意のフローの非アクティブも、フロー テーブルのエントリのクリアにつながります。

VSG は、FTP、Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)、Remote Shell(RSH; リモート シェル)などのステートフル プロトコルをサポートします。データセンター環境に最も関連性の高いものから始め、将来のバージョンでは、より多くのステートフル プロトコルをサポートします。

VSM-to-VEM 通信

VSM と VEM の接続には 2 通りの方法があります。

レイヤ 2 上:VSM と VEM が同じレイヤ 2 ドメインにある場合、両者を接続するには、レイヤ 2 接続モードを使用するのが最適の方法です。

レイヤ 3 上:VSM と VEM が異なるレイヤ 2 ドメインにある場合、レイヤ 3 接続モードを使用する必要があります。レイヤ 3 モードは、レイヤ 2 モードのパケットを Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)を使用してカプセル化します。

VSM と VEM の間のすべての通信は、128 ビット アルゴリズムを使用して暗号化されます。VSG の実装は、VSM-to-VEM 通信とは独立しています(レイヤ 2 モードかレイヤ 3 モードかにかかわりません)。

図 8 VSM-to-VEM 通信

図 8 VSM-to-VEM 通信


導入に関する考慮事項


ここでは、ユーザのネットワークに Cisco VSG ソリューションを導入する場合に、理解する必要がある導入のさまざまな側面について説明します。

Cisco Nexus 1000V シリーズ インフラストラクチャ要件

Cisco VSG をインストールする前に、Cisco Nexus 1000V ソフトウェア バージョン 4.2(1) SV1(4) をユーザの環境にインストールし、Nexus 1000V の基本的な設定をする必要があります。ここでは次のような作業を実施します。

  • Virtual Supervisor Module(VSM; 仮想スーパーバイザ モジュール)のインストールと設定
  • 共有ストレージへのアクセスの提供
  • 次の必要なポート プロファイルの作成
    • アップリンク ポート プロファイル
    • VMkernel ポート プロファイル
    • VM データ ポート プロファイル
  • vCenter への VSM の登録
  • 複数の Virtual Ethernet Module(VEM; 仮想イーサネット モジュール)のインストール
  • VSM に対する VEM の追加

この導入ガイドでは、Cisco Nexus 1000V シリーズのインストールおよび展開方法の詳細については説明しません。この情報については、『Cisco Nexus 1000V Deployment Guide』を参照してください。

注: vPath 機能は、VEM リリース 1.4 以降で使用可能です。

セットアップ要件

Cisco VSG は、3 つのネットワーク インターフェイスを次の順序で使用します。

  1. VSG Data インターフェイス
  2. VSG Management インターフェイス
  3. VSG High Availability(HA)インターフェイス

VSM で VSG Data および VSG HA 用の追加の VLAN を作成し、これらの VLAN がシステム アップリンクで転送できるようにする必要があります。アップストリーム スイッチでこれらの VLAN を作成します。Data インターフェイスの利用率によって、HA インターフェイスと Data インターフェイスの両方に同じ VLAN を使用できます。

セットアップ中の既存の管理 VLAN は、VSG を管理するのに使用できます。

VSG のインストールに Open Virtual Appliance(OVA)を使用することを推奨します。これにより、インストールの簡素化が可能です。VNMC は、VSG 用の中央集中型の管理センターであるため、ユーザの管理 VLAN 内に配置されます。VNMC のセットアップに特定のネットワーク要件はありません。VNMC を導入する手順については、クイック スタート ガイドを参照してください。

インストールおよび初期設定

『VSG/VNMC Installation Guide』のパート 1 を参照して、次の作業を実行してください(図 9)。

  1. VNMC を仮想アプライアンスとしてインストールします。
  2. VSG を仮想アプライアンスとしてインストールします。
  3. VSG を VNMC に登録します。
  4. VSM を VNMC に登録します。
  5. VNMC を vCenter に登録します。
図 9 VSG および VNMC の初期設定

図 9 VSG および VNMC の初期設定


これらの作業が完了すると、VSG に対するポリシーの定義および実装を開始できます。図 10 に、すべての必要なコンポーネントを VSG ソリューション用に適切に配置した標準的なネットワークを示します。

図 10 Cisco Nexus 1000V シリーズ、VSG、および VNMC を使用したネットワーク トポロジ

図 10 Cisco Nexus 1000V シリーズ、VSG、および VNMC を使用したネットワーク トポロジ


ファイアウォールの有効化

ネットワークにファイアウォールを挿入するには、セキュリティ プロファイルをポート プロファイルに割り当てる必要があります。ポート プロファイルに関連付けられた仮想ポートを通過するすべてのトラフィックは、ポリシーの評価を受けます。次の 2 つのコマンドにより、ポート プロファイルの下でファイアウォール機能をオンにします。

Nexus1000V (config)# org root/TenantA
Nexus1000V (config)# vn-service ip-address VSG_Data_IP vlan VSG_Service_VLAN 
security-profile SecureTenantA

最初のコマンドは、ファイアウォールが有効な特定のテナントを指定します。2 番目のコマンドは、特定の VSG およびセキュリティ プロファイルをポート プロファイルにバインドします。これによって、vPath がトラフィックをサービス VLAN の VSG にリダイレクトできるようになります。

ライセンス要件

VSG のライセンスは CPU 単位で、Cisco Nexus 1000V シリーズと同じタイプです。CPU ごとに、1 ライセンスが必要です。CPU ごとのコア数の制限はありません。注意する主な点は、ライセンスを VSG ではなく、VSM にインストールする必要があることです。ライセンスは、物理的なホストのソケットに基づいているため、ライセンスを気にせずに VSG をスケールアウト モデルでインスタンス化できます。すべてのインストールされた CPU をカバーする十分なライセンス キャパシティを購入する必要があります。既存のライセンスがすべての CPU をカバーするキャパシティを持たない限り、ライセンスは VEM に適用されません。ライセンスをインストールするために実行する必要のある手順については、ライセンス ガイドを参照してください。

Cisco VSG のライセンスはフローティング ライセンスです。VSM にライセンスをインストールすると、それらのライセンスはデフォルトではすべての VEM には適用されません。VSG は、保護 VM をホスティングしている VEM だけにライセンスを適用します。Cisco Nexus 1000V シリーズ リリース 1.4 ソフトウェアには、VSG 用の 60 日間評価ライセンスが付いています。

ネットワークの分割

VSG は、レイヤ 2 に挿入され、「bump in the wire」として機能するトランスペアレント ファイアウォールです。接続デバイスへのレイヤ 3 ホップとは見なされません。ネットワークに Cisco VSG を挿入する際に、既存ネットワークを再構築する必要はありません。

VNMC は、マルチテナント環境のネットワーク空間の重複をサポートします。これは、重複した IP スペースを許可するネットワーク分割が実行されている場合(VRF LITE など)、VNMC は、ネットワークが重複しているテナントごとにポリシーを作成できることを意味します。

サービス VLAN の MTU サイズ

VSG は、VEM に対してレイヤ 2 隣接関係である必要があります。vPath は、フローの最初のパケットを代行受信し、元のパケットを追加の vPath ヘッダーとともにカプセル化します。これにより、Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズが 74 バイトずつ増加します。

通常、このオーバーヘッドは TCP フローに影響しません。すべての TCP フローの最初のパケットは、SYN パケットであるため、フラグメンテーションされません。このパケットは、vPath カプセル化後もフラグメンテーションされません。vPath により代行受信されたときに、パケットがすでに 1500 バイトである User Datagram Protocol(UDP; ユーザ データグラム プロトコル)のフローでは、フラグメンテーションが認められることがあります。このフラグメンテーションを避けるために、Cisco Nexus 1000V シリーズのアップリンク ポート プロファイル、および他の物理ホストが接続される任意のアップストリーム物理スイッチのアップリンク ポート プロファイルで、MTU サイズを 74 バイトずつ大きくできます。

High Availability(HA; ハイ アベイラビリティ)

ソリューションのさまざまなコンポーネントのハイ アベイラビリティ動作を、表 1 に説明します。Cisco VSG は、VSM と同様に HA を備えています。VMWare HA 機能、または VSG および VSM 用の耐障害性機能や DRS 機能を使用することは推奨されません。プライマリおよびスタンバイの VSG が両方とも vPath で使用できない場合、故障モードをフェール オープンまたはフェール クローズに設定できます。セキュリティ プロファイルをポート プロファイルの下で vn-service コマンドを使用して有効にするときに、この故障モードを設定できます。

表 1 ソリューション コンポーネントのハイ アベイラビリティ動作

ハイ アベイラビリティ(HA) 動作
VSG アクティブ スタンバイ スタンバイ VSG は、6 〜 8 秒以内に引き継ぎます。
VNMC VMware HA(VMware) ハードウェア障害のバックアップ。
VSM アクティブ スタンバイ スタンバイ VSM は、6 〜 8 秒以内に引き継ぎます。


注: 同じ管理 VLAN または HA VLAN を共有する複数の VSG HA ペアがある場合は、VSG ペアは、ペアで固有である必要がある HA-id を共有します。

テナント管理

Cisco VSG の複数のインスタンスは、テナントごとに導入されます。これにより、多くのテナントにわたるスケーラビリティの高い展開が可能です。テナントは互いに独立しています。そのため、トラフィックはテナントの境界を越えることはできません。テナントは、さらに次のレベルに分けられます。

  1. 仮想データセンター
  2. 仮想アプリケーション
  3. バーチャル層

テナント ツリーの各インスタンスは、組織として分類されます。使用状況に応じて、テナント レベル、Virtual Data Center(vDC; 仮想データセンター)レベル、または vApp レベルで Cisco VSG を導入できます。図 11 は、VNMC にテナント ツリー構造をどのように構築できるかを示します。

図 11 VNMC テナント管理 ビュー

図 11 VNMC テナント管理 ビュー
※画像をクリックすると、大きな画面で表示されますpopup_icon


セキュリティ ポリシー管理

VNMC のセキュリティ ポリシーでは、ネットワーク属性、VMware VM 属性、および VM カスタム属性を使用します。1 つのテナントに複数ポリシーを定義できます。すべてのポリシーは、セキュリティ プロファイル経由で VSG に発行されます。これらのポリシーを、テナント内の任意の組織レベルで適用できます。一般的なガイドラインでは、テナント階層のより高いレベルで、より汎用的なポリシーを適用します。一方、より具体的なポリシーは、テナント内の組織レベルのより近くにあり、そこではポリシーがより重要になります。図 12 で、VSG はテナント レベルに配置されていますが(テナント A)、ポリシーはテナント内の 2 つの異なるレベルに適用されています。ポリシー P1 は、データセンター DC2 全体を意味するデータセンター レベルで適用され、DC2 内のすべてのサブレベルは、P1 ポリシー評価を受けます。ポリシー P2 は、App2 だけに固有であり、組織レベルに配置されます。一般的なガイドラインでは、より汎用的なポリシーを組織構造のより高い位置に持ちますが、一方より具体的なポリシーは、ポリシーがより重要になる組織のより近くに配置されます。

図 12 テナント階層の VSG およびポリシー配置

図 12 テナント階層の VSG およびポリシー配置
※画像をクリックすると、大きな画面で表示されますpopup_icon


デバイス ポリシー管理

VSG の一般的な設定は、VNMC 経由でも行われます。設定には、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)、Syslog、Network Time Protocol(NTP; ネットワーク タイム プロトコル)、および障害ロギングがあります。これらすべての設定は、セキュリティ ポリシーとともに VSG に発行されるデバイス ポリシーの一部です。登録されたファイアウォールをテナントの VSG に割り当てるときに、デバイス ポリシーを定義しない場合は、これらの設定用にデフォルト ポリシーが VSG にプッシュされます。

スケーラビリティ

VSG は、スケーラビリティを備えるよう設計されています。仮想環境は、ビジネス ニーズに対応して成長するので、大規模な環境を保護するためにより多くの VSG をインスタンス化して、同じポリシーを適用できます。表 2 は、VSG と VNMC の両方の観点から、どのように拡張できるかを理解するうえで役立ちます。

表 2 VSG と VNMC の拡張

特長 VSG VNMC
最大同時接続数 256,000 N/A
秒単位の新規フロー 4,096 N/A
最大 VSG N/A 128
ゾーン数 32 4,096
ポリシー ルール 1024 8192
VSG でサポートされる最大フロー 256 K N/A
VSM N/A 4
vCenter N/A 2
テナント 1 128
VM 300 800 〜 1000
(1600 vNic)
Host(VEM) 12 N/A


現在、拡張するために追加の VSG を配置する必要がある場合に、1 つのポート プロファイルを 1 つの VSG に、別のポート プロファイルを別の VSG にバインドするのは、手動プロセスです。将来のバージョンでは、VSG は、複数の VSG で動的にロード バランシングを実行できるクラスタリング機能を提供します。

VSG 導入のユース ケース


図 13 は、VSG のサンプル導入に使用される物理トポロジおよびネットワーク構成を示します。

図 13 VSG のサンプル導入のトポロジ

図 13 VSG のサンプル導入のトポロジ


注: 独立した VLAN が管理に使用され、別の VLAN が制御とパケットの両方に使用される場合にも、Cisco Nexus 1000V シリーズ VSM 向けの標準的な方法が適用されます。これについては例で示されています。この構成は必須ではなく、ユーザは、3 つのトラフィック タイプすべてを同じ VLAN に用意するか、それぞれに独立した VLAN を用意するかを選択できます。

ネットワーク ベース ポリシーを使用した 3 層のアクセス コントロール

Cisco VSG は、セキュリティ ポリシーに使用できる、標準的な 5 個の要素からなるネットワーク属性を提供します。表 3 に、これらのサポートされる属性を示します。

表 3 VSG がサポートするネットワーク属性

名称 意味 値タイプ
src.net.ip-address 送信元 IP アドレス IP アドレス
src.net.port 送信元ポート 整数
dst.net.ip-address 宛先 IP アドレス IP アドレス
dst.net.port 宛先ポート 整数
net.protocol IP ヘッダーで指定されるプロトコル(TCP、UDP など) 文字列


次に、テナント A のコンテンツ ホスティング用のサンプル セキュリティ ポリシーを示します。このユース ケースに適用されます。

  • Web ゾーン内の仮想マシンにポート 80(HTTP)だけを許可
  • データベース ゾーンに属する仮想マシンにポート 22(SSH)を許可
  • Web サーバとデータベース サーバ間だけに通信を許可
  • アプリケーション サーバとデータベース サーバ間だけに通信を許可
  • ゾーンへのすべてのトラフィックを明示的に拒否
セキュリティ管理者の作業

セキュリティ管理者は、VNMC で次の手順を実行して、ネットワーク属性に基づいた条件を使用するポリシーを作成する必要があります。これらの手順は、サンプルの 3 層ユース ケース用のポリシーを作成します。

  • テナントの定義
  • ゾーンの定義
  • ポリシーの作成
  • ゾーンを使用して、ポリシー内のルールの定義
  • ポリシー セットの作成、およびポリシー セットへのポリシーの割り当て
  • テナント レベルでのセキュリティ プロファイルの作成
  • セキュリティ プロファイルへのポリシー セットのマッピング
  • VSG のテナントへの割り当て

テナントの定義

VNMC にログインして、[Tenant Management] セクションを選択します。[root] を右クリックして、テナントを作成します(図 14)。

図 14 テナントの作成

図 14 テナントの作成


テナントへのゾーンの追加

テナントを作成すると、[Policy Management] セクションに移動して、セキュリティ ポリシーを定義できるようになります。[Policy Management] > [Security Policies] > [Firewall Policy] > [Tenant A] > [Zones] の順に移動します(図 15)。

次の 3 つのゾーンを追加します。

  1. WebZone
  2. AppZone
  3. DBZone
図 15 テナントへのゾーンの追加

図 15 テナントへのゾーンの追加


ゾーンを定義した後、図 16 に示すように、[Conditions] タブを選択してゾーンを分類します。今回は、ネットワーク属性を使用してゾーンを分類します。

図 16 ゾーン分類の条件の追加

図 16 ゾーン分類の条件の追加


同様に、ネットワーク属性に基づいて他の 2 つのゾーンの条件を定義します。図 17 に示すように、3 つすべてのゾーンがサマリー タブに表示されます。

図 17 ポリシーに定義された 3 つのゾーン

図 17 ポリシーに定義された 3 つのゾーン


セキュリティ ポリシーの定義

事前定義されたゾーンを、このユース ケース用のセキュリティ ポリシーを定義するために使用します。

[Policy Management] > [Security Policies] > [Firewall Policy] > [Tenant A] > [Policies] の順に移動します。

新しいポリシーを追加します(図 18)。

図 18 テナントへのポリシーの追加

図 18 テナントへのポリシーの追加


ポリシーのルールの作成

ユース ケースで説明したポリシーの仕様は、図 19 に示すように、ルールをこのポリシーに追加することにより実装されます。

図 19 ポリシーへのルールの追加

図 19 ポリシーへのルールの追加


ポリシー セットの定義

次に、ポリシー セットを定義して、このポリシーをポリシー セットに追加する必要があります。ポリシー セットにより、将来既存のポリシーを変更することなく、新しいポリシーを柔軟に追加できるようになります(図 20)。

図 20 ポリシー セットへのポリシーの割り当て

図 20 ポリシー セットへのポリシーの割り当て


セキュリティ プロファイルへのポリシー セットのバインド

ポリシー作成の最後の手順では、セキュリティ プロファイルを作成して、ポリシー セットを割り当てます(図 21)。

図 21 セキュリティ プロファイル用のポリシー セットの選択

図 21 セキュリティ プロファイル用のポリシー セットの選択


テナントへの VSG の割り当て

登録されたすべての VSG が、[Resource Management] の下に表示されます。ポリシーを VSG にプッシュするには、VSG をテナントに割り当てる必要があります。割り当てると、すべてのポリシー(セキュリティ プロファイル)は、その VSG にプッシュされます。コンピューティング ファイアウォール オブジェクトをテナント レベルに直接追加することを推奨します。

[Navigation] ペインで、[Resource Management] タブをクリックします。

[Navigation] ペインで、[Managed Resources] サブタブをクリックします。

[Navigation] ペインで、[root] ノードを展開します。

コンピューティング ファイアウォールを追加する [Firewall Profiles] ノードをクリックします。

[Work] ペインで、[Add Compute Firewall] リンクをクリックします。

[Add Compute Firewall] ダイアログボックスで、次を実行します。

a) [General] タブ エリアで、ユーザ定義名および説明を追加します。

b) [Firewall Details] タブ エリアで、図 22 に示すように、Data VLAN IP アドレスを入力します。この IP アドレスは、セキュリティ プロファイルをポート プロファイルに割り当てるときに使用されます。

図 22 コンピューティング ファイアウォールのテナント レベルでの追加

図 22 コンピューティング ファイアウォールのテナント レベルでの追加


コンピューティング ファイアウォールがテナント レベルに追加されると、図 23 と図 24 に示すように、そのコンピューティング ファイアウォール オブジェクトを使用可能な VSG に割り当てられます。

図 23 コンピューティング ファイアウォール テンプレートの使用可能な VSG への割り当て

図 23 コンピューティング ファイアウォール テンプレートの使用可能な VSG への割り当て


図 24 ドロップダウン メニューからの VSG の選択

図 24 ドロップダウン メニューからの VSG の選択


コンピューティング ファイアウォール オブジェクトを VSG に割り当てた後、VSG の [Config State] を、「applied」にする必要があります(図 25)。

図 25 VSG 割り当てステータス

図 25 VSG 割り当てステータス


VSG CLI にログインして、ポリシーが VNMC によって正しくプッシュされていることを確認します(「show run policy」)(図 26)。

図 26 VSG CLI の使用によるセキュリティ ポリシーの確認

図 26 VSG CLI の使用によるセキュリティ ポリシーの確認


ネットワーク管理者の作業

ポート プロファイルへのセキュリティ プロファイルのバインド

ネットワーク管理者は、ポート プロファイルを作成して、セキュリティ プロファイルをこのポート プロファイルに対してもバインドできます。セキュリティ ポリシーの定義は、独立したポート プロファイルを必要としないため、単一のポート プロファイルをすべての仮想マシンに使用できます。図 27 のサンプル設定は、これがどのように実行されるかを示します。

図 27 ポート プロファイルへのセキュリティ プロファイルのバインド

図 27 ポート プロファイルへのセキュリティ プロファイルのバインド


サーバ管理者の作業

サーバ管理者は、仮想マシンのネットワーク設定を行い、ネットワーク管理者がセキュリティ プロファイルとともに作成したポート プロファイルを選択する必要があるだけです(図 28)。作成したネットワーク プロファイルおよびセキュリティ プロファイルは、仮想マシンがこのネットワーク ポート プロファイルを関連付けるときに動的にインスタンス化されます。

図 28 ファイアウォールが有効になっているポート グループの選択

図 28 ファイアウォールが有効になっているポート グループの選択


VM 属性ベース ポリシーを使用した 3 層のアクセス コントロール

セキュリティ管理者の作業

前のセクションのサンプル ユース ケースを拡張し、このセクションでは VM 属性に基づいたセキュリティ ポリシーを作成する方法について説明します。ゾーンを定義する方法を除き、ポリシーの構成要素は同じです。この例では、ゾーンを定義するのにネットワーク属性ではなく、VM 属性を使用します。

図 29 ゾーンのテナント レベルでの追加

図 29 ゾーンのテナント レベルでの追加


この例では、VM の名前属性を使用して、論理ゾーンの VM を割り当てるため名前付け規則内のキーワードを探します(図 30)。

図 30 VMware VM 属性に基づいた条件の追加

図 30 VMware VM 属性に基づいた条件の追加


同様に、DBZone および AppZone の使用によって、さらに 2 つのゾーンを定義します。3 つすべてのゾーンが [Zones] セクションに表示されます(図 31)。

図 31 定義したゾーンのリスト

図 31 定義したゾーンのリスト


表 4 に、使用できるその他の VM 属性のサンプルリストを示します。

表 4 VM 属性の例

名称 意味 ソース
vm.name この VM の名前 vCenter
vm.host-name この ESX-host の名前 vCenter
vm.os-fullname guest OS の名前 vCenter
vm.vapp-name 関連する vApp の名前 vCenter
vm.cluster-name クラスタの名前 vCenter
vm.portprofile-name ポート プロファイルの名前 ポート プロファイル


残りの手順は、「セキュリティ ポリシーの定義」のセクションで説明した内容と同じです。

ネットワーク管理者の作業

ネットワーク管理者の作業は、前の例と同じです。セキュリティ プロファイルを、保護を有効にする必要があるポート プロファイルとバインドする必要があります(図 32)。

図 32 ポート プロファイルでのセキュリティ プロファイルの有効化

図 32 ポート プロファイルでのセキュリティ プロファイルの有効化


サーバ管理者の作業

サーバ管理者の作業は、前の例と同じです。サーバ管理者は、仮想マシンのネットワーク設定を行い、ネットワーク管理者がセキュリティ プロファイルとともに作成したポート プロファイルを選択する必要があります(図 33)。

図 33 ファイアウォールが有効になっているポート グループの選択

図 33 ファイアウォールが有効になっているポート グループの選択


カスタム属性ベース ポリシーを使用した 3 層のアクセス コントロール

同じ 3 層のユース ケース用にカスタム属性を使用するには、前のセクションで説明した VM 属性とネットワーク属性を使用する手順に加えて、このセクションの手順に従います。このユース ケースを示す目的は、VMware VM 属性およびネットワーク属性で先に作成した、セキュリティ ポリシーの作成にカスタム属性をどのように使用できるかをより詳しく理解するのに役立てることです。

セキュリティ管理者の作業

ステップ 1. カスタム属性の定義

[Policy Management] > [Security Policies] > [Security Profile Dictionary] > [TenantA] の順に移動します。右クリックして、[Add Security Profile Dictionary] を選択します(図 34 から図 36)。

図 34 セキュリティ プロファイル ディクショナリの追加

図 34 セキュリティ プロファイル ディクショナリの追加


図 35 セキュリティ プロファイル ディクショナリの命名

図 35 セキュリティ プロファイル ディクショナリの命名


図 36 ディクショナリへのカスタム属性の追加

図 36 ディクショナリへのカスタム属性の追加


ステップ 2. カスタム属性に基づいたゾーンの定義

前の 2 つの例と同様に、3 つのゾーン、WebZone、AppZone、DBZone を追加します。唯一の違いは、ここでは、セキュリティ プロファイル ディクショナリ「ServerType」に追加されたカスタム属性を使用することです(図 37)。

図 37 カスタム属性に基づいたゾーン条件の追加

図 37 カスタム属性に基づいたゾーン条件の追加


AppZone および DBZone についても同じ手順に従います。

セキュリティ ポリシーの作成

ポリシー ルールは、ネットワーク属性と VM 属性に基づいてゾーンが追加された、前の 2 つの例と同じです。

セキュリティ プロファイルの作成

カスタム属性を使用するセキュリティ プロファイルの作成には、追加の手順があります。次のような 3 つのセキュリティ プロファイルを作成する必要があります。

  • Secure-Web
  • Secure-App
  • Secure-DB

各プロファイルについて、次の 2 つの手順を実行します。

  1. ポリシー セットをドロップダウン メニューから選択します(図 38)。
  2. [Attribute] タブでカスタム属性に値を入力します(図 39 および図 40)。

新しいプロファイルが、セキュリティ プロファイルのリストに表示されます(図 41)。

図 38 セキュリティ プロファイル用のポリシー セットの選択

図 38 セキュリティ プロファイル用のポリシー セットの選択


図 39 セキュリティ プロファイルへの属性の追加

図 39 セキュリティ プロファイルへの属性の追加


図 40 カスタム属性への値の割り当て

図 40 カスタム属性への値の割り当て


図 41 新しく作成されたセキュリティ プロファイルのリスト

図 41 新しく作成されたセキュリティ プロファイルのリスト


同じポリシー セットであるものの、異なるカスタム属性値を持つ 3 つのセキュリティ プロファイルを作成しました。ポリシー評価は、トラフィック フローに対してどのセキュリティ プロファイルが有効かによって異なります。

ネットワーク管理者の作業

Cisco Nexus 1000V シリーズ スイッチに次の 3 つのポート プロファイルを作成します。

  • TenantA_Web_Servers
  • TenantA_DB_Servers
  • TenantA_App_Servers

これらすべてのポート プロファイルは、同じテナントに所属して、同じ VLAN を共有しますが、異なるセキュリティ プロファイルを持ちます(図 42)。

図 42 3 つのポート プロファイルでの 3 つの異なるセキュリティ プロファイルの有効化

図 42 3 つのポート プロファイルでの 3 つの異なるセキュリティ プロファイルの有効化


サーバ管理者の作業

サーバ管理者は、VM が Web、App、または DB それぞれのポート グループに属しているかどうかに基づいて、3 つのポート グループを持ちます(図 43)。

図 43 サーバ タイプに基づいたポート グループの選択

図 43 サーバ タイプに基づいたポート グループの選択


Syslog サーバの設定


VSG 用のデバイス設定は、VNMC 経由でも行われます。これらの設定により、NTP、Syslog、および SNMP オプションの設定ができるようになります。[Device Policies] タブで使用可能なさまざまなオプションについては、『VNMC GUI Configuration Guide』のデバイス ポリシーの設定に関する情報を参照してください。デバイス ポリシーを定義した後に、[Resource Management] タブでこのポリシーを割り当てます。次に、ロギングの目的で VSG 用の Syslog サーバをセットアップするためのデバイス ポリシー の追加例を示します。

デバイス ポリシーの作成

[Policy Management] > [Device Policies] > [Tenant] > [Policies] > [Syslog Policies] の順に移動します。

Syslog ポリシーを追加します(図 44 および図 45)。

図 44 Syslog ポリシーの追加

図 44 Syslog ポリシーの追加


Syslog サーバへ送信される、適用されたセキュリティ ポリシーのロギングの重大度レベルを 6 に維持します(図 45)。

図 45 Syslog サーバ

図 45 Syslog サーバ


Syslog ポリシーを作成した後、このポリシーをテナント レベルでデバイス プロファイルに割り当てる必要があります。[Policy Management] > [Device Policies] > [Device Profile] > [Tenant] > [Profiles] の順に移動します。ファイアウォール デバイス プロファイルを追加します(図 46)。

図 46 ファイアウォール デバイス プロファイルの追加

図 46 ファイアウォール デバイス プロファイルの追加


Syslog ポリシーを新しく作成したデバイス プロファイルに割り当てます(図 47)。

図 47 デバイス プロファイルに割り当てられた Syslog ポリシー

図 47 デバイス プロファイルに割り当てられた Syslog ポリシー


デバイス プロファイルの VSG への割り当て

[Resource Management] > [Managed Resources] > [Tenant] > [Firewall Profiles] > [Firewall] の順に移動します。[Firewall Details] タブで、Syslog 用に作成したデバイス プロファイルを選択して、設定を保存します(図 48)。

図 48 デバイス プロファイルの VSG への割り当て

図 48 デバイス プロファイルの VSG への割り当て


まとめ


Cisco VSG は、Cisco Nexus 1000V シリーズ スイッチと統合して、仮想化環境にセキュリティ ポリシーを適用します。VNMC は、マルチテナント環境に対するポリシー管理を提供します。1 つ以上の VSG がテナントごとに必要です。VSG は、Cisco Nexus 1000V シリーズの Virtual Ethernet Module(VEM; 仮想イーサネット モジュール)の vPath インテリジェンスを使用して、セキュリティ ポリシーの適用を提供します。

用語集


VSM Cisco Nexus 1000V の仮想スーパーバイザ モジュール(Virtual Supervisor Module)
VEM Cisco Nexus 1000V の仮想イーサネット モジュール(Virtual Ethernet Module)
VSG Virtual Security Gateway
VNMC Virtual Network Management Center
VM 仮想マシン(Virtual Machine)
OVA Open Virtual Appliance
vCenter VMware vCenter
vPath Cisco Nexus 1000V の仮想ネットワーク サービス データ パス(Virtual Network Service Data Path)
サービス VLAN vPath はサービス VLAN 上で、トラフィックを VSG にリダイレクトします。
データ IP VSG の MAC アドレスを取得するため、VEM が使用する VSG の IP アドレス