Cisco Secure Access Control System

Cisco Secure Access Control System 5.4

データ シート





Cisco Secure Access Control System 5.4



Cisco® Secure Access Control System(ACS)は、企業のネットワーク アクセス ポリシーとアイデンティティ戦略を結び付けます。Cisco Secure ACS は世界で非常に高い信頼を得ている企業ネットワーク アクセスおよびポリシー プラットフォームであり、Fortune 500 企業のほぼ 80 % に導入されています。


Cisco TrustSec® ソリューションの主要コンポーネントの 1 つである Cisco Secure ACS は、RADIUS および TACACS+ サービスを提供する非常に高度化されたポリシー プラットフォームです。アクセス コントロール管理とコンプライアンスに関する今日の新たな要求を満たすために必要な、ますます複雑化するポリシーに対応します。Cisco Secure ACS により、デバイス管理と無線/有線 802.1x、およびリモート(VPN)ネットワーク アクセス向けのアクセス ポリシーの集中管理が可能になります。図 1 は、Cisco UCS C220 M3 プラットフォームを基盤とした、新しい Cisco 3415 Secure Access Control System アプライアンスです。Cisco Secure ACS 5.4 は、Cisco 3415 と 1121 の Secure Access Control System アプライアンスをサポートしています。

図 1 Cisco 3415 Secure Access Control System

図 1 Cisco 3415 Secure Access Control System


製品概要


日常業務の遂行において、企業ネットワークへの依存度はますます高まっています。また、ネットワークにアクセスできる方法が増加するに伴い、企業においてはセキュリティ違反や不正なユーザ アクセスが重大な問題になっています。ネットワーク セキュリティの責任者と管理者は、ユーザ ID だけではなく、ネットワーク アクセス タイプ、アクセスが必要な使用時間帯、ネットワークへのアクセスに使用するマシンのセキュリティなどのコンテキストにも関連付けられた柔軟な認証/許可ポリシーに対応できるソリューションを必要としています。さらに、ネットワーク デバイスの使用を効果的に監査し、企業の準拠性に対してデバイス管理のアクティビティを監視するとともに、ネットワーク全体にデバイス アクセス ポリシーのより広範な可視性と制御を提供する必要性がますます高まっています。

Cisco Secure ACS は、スケーラビリティとパフォーマンスに優れたアクセス ポリシー システムです。デバイス管理、認証、ユーザ アクセス ポリシーなどの機能を集中管理し、これらの機能の管理やサポートの負担を軽減します。

機能と利点


Cisco Secure ACS 5.4 は、ポリシー アドミニストレーション ポイント(PAP)およびポリシー デシジョン ポイント(PDP)として機能し、ポリシーベースのネットワーク デバイスのアクセス制御を実現し、以下のような多数のアイデンティティ管理機能を提供します。

  • 標準のコンプライアンスに必要とされる監査機能とレポート機能を完備した、IPv4 および IPv6 ネットワークにおける比類のない、柔軟で詳細なデバイス管理
  • 複雑なポリシー要求に柔軟に対応する、属性主体でルールベースの強力なポリシー モデル
  • 直感的なナビゲーションと、IPv4/IPv6 両クライアントからアクセス可能なワークフローを実現する、軽量な Web ベースのグラフィカル ユーザ インターフェイス(GUI)
  • 最大のコントロールと可視性を可能にする、統合された高度なモニタリング、報告、トラブルシューティング機能
  • 外部アイデンティティおよびポリシー データベース(Windows Active Directory および軽量ディレクトリ アクセス プロトコル(LDAP)でアクセス可能なデータベースなど)との統合性の向上により、ポリシー構成とメンテナンスが簡素化
  • 大規模な展開を可能にし、可用性の高いソリューションを提供する分散型展開モデル

ルールベースのポリシー モデル Cisco Secure ACS 5.4 は、多様な条件下のさまざまな許可規則の適用に対応します。そのため、ポリシーはコンテキスト対応型で、1 つのグループ メンバーシップによって定義される許可に限定されることはありません。新しい統合機能により、外部データベースの情報をアクセス ポリシー ルールで直接参照でき、属性をポリシー条件と許可規則の両方で使用することができます。

Cisco Secure ACS 5.4 はアクティビティおよびシステム ヘルス情報の収集と報告を集中管理し、分散型展開の最大限の管理容易性を実現します。モニタリングや診断などの事前対応型の動作、および報告やトラブルシューティングなどの事後対応型の動作にも対応しています。展開全体にわたるセッション監視、しきい値ベースの通知、エンタイトルメント レポート、診断ツールなどの高度な機能を搭載しています。

表 1 に、Cisco Secure ACS 5.4 の主な機能と利点を示します。

表 1 Cisco Secure ACS 5.4 の主な機能と利点

特長 利点
アクセス コントロールおよび機密保持における完全なソリューション ポリシー コンポーネント、インフラストラクチャ適用コンポーネント、エンドポイント コンポーネント、プロフェッショナル サービスなどの、その他の Cisco TrustSec コンポーネントと ACS を併用できます。
AAA プロトコル Cisco Secure ACS 5.4 は 認証、許可、およびアカウンティング(AAA)の 2 つの異なるプロトコルをサポートします。Cisco Secure ACS 5.4 は、ネットワーク アクセス制御用の RADIUS と、デバイス アクセス制御用の TACACS+ をサポートします。Cisco Secure ACS は、ネットワーク全体にアクセス ポリシーを適用する単一のシステムです。PCI などの標準のコンプライアンスに必要とされるネットワーク デバイス構成と変更管理を強化します。Cisco Secure ACS 5.4 の AAA 機能は、IPv4 と IPv6 の両方のネットワークで TACACS+ ベースのデバイス管理に対応できます。
データベース オプション Windows Active Directory、LDAP サーバ、RSA トークン サーバなど既存の外部アイデンティティ リポジトリとの統合サポートに加え、統合型ユーザ リポジトリをサポートします。これには、ACS クラスタに対する複数の LDAP サーバの使用のほか、異なる AD ドメインへの各 ACS ノード(インスタンス)の接続が含まれます。複数のデータベースを同時に使用し、識別ストア シーケンスで柔軟にアクセス ポリシーを適用できます。さらに、外部 AD と LDAP データベースに ACS 管理者を追加し、Cisco Secure ACS 5.4 の識別ストアを介して認証できます。
認証プロトコル あらゆる認証要件をサポートできるように、PAP、MS-CHAP、拡張認証プロトコル(EAP)-MD5、Protected EAP(PEAP)、EAP-Flexible-セキュア トンネリングを介したフレキシブル認証(FAST)、EAP-Transport-トランスポート レイヤ セキュリティ(TLS)、PEAP-TLS などのさまざまな認証プロトコルをサポートします。また、CHAP/MSCHAP プロトコルでの TACACS+ 認証、LDAP サーバで TACACS+ と EAP-GTC を使用する際の PAP ベースのパスワード変更をサポートします。さらに、Cisco Secure ACS 5.4 には、記載されたプロトコル(EAP-TLS など)の一部で使用されている証明書が無効にされているか、まだ有効であるかを確認するためのオンライン認証ステータス プロトコル(OCSP)のサポートが追加されています。
アクセス ポリシー ルールベースの属性主体ポリシー モデルをサポートしており、認証プロトコル要件、デバイス制限、時間帯による制限、ポスチャ検証、およびその他のアクセス要件などを含むアクセス ポリシー コントロールに、大幅に強化された能力と柔軟性を発揮します。Cisco Secure ACS は、ダウンロード可能アクセス コントロール リスト(dACL)、VLAN 割り当て、およびその他の許可パラメータを適用できます。バージョン 5.4 は、ユーザ単位の期限に基づいた内部データベース内のユーザ アカウントを無効にすることもできます。さらに、アイデンティティ、グループ マッピング、および許可ポリシーのルールに、Cisco Secure ACS で使用可能な任意の 2 種類の属性値の比較を利用できます。
中央集中型の管理 完全に再設計された軽くて使いやすい Web ベースの GUI を装備しています。効率的な増分レプリケーション方式により、変更をプライマリ システムからセカンダリ システムに迅速に反映し、分散型展開の全体にわたって中央集中型の管理を実現します。ソフトウェア アップグレードも GUI で管理でき、プライマリ システムによってセカンダリ インスタンスへ配布できます。
規模の大きい ACS 導入に対するサポート Cisco Secure ACS 5.4 は、以前のソフトウェア バージョンで公式にサポートされている 10 インスタンスと比較して、1 つの ACS クラスタで最大 21 のインスタンス(1 プライマリおよび 20 セカンダリ)をサポートします。
プログラマチック インターフェイス Cisco Secure ACS 5.4 は、内部データベース内のユーザとアイデンティティ グループ、ネットワーク デバイス、およびホスト(エンドポイント)の Create/Read/Update/Delete 操作に対するプログラマチック インターフェイスをサポートします。
モニタリングとトラブルシューティング Web ベースの GUI からアクセス可能な、モニタリング/報告/トラブルシューティングの統合コンポーネントが含まれています。このツールを使うと、構成されたポリシーおよび認証/許可アクティビティに対する可視性が、ネットワーク全体にわたり最大化されます。ログは、他のシステムでも使用できるよう表示およびエクスポートが可能です。
プロキシ サービス Cisco Secure ACS 5.4 は、ネットワーク アクセス デバイス(NAD)から外部サーバに着信 AAA リクエストを転送し、このようなリクエストを開始した NAD にそのサーバからの応答を戻すことによって、外部 AAA サーバの RADIUS または TACACS+ プロキシとして機能できます。Cisco Secure ACS 5.4 では、外部 AAA サーバに送信されたプロキシされている AAA リクエスト内の RADIUS 属性を追加および/または上書きする機能が追加されています。
プラットフォーム オプション Cisco Secure ACS 5.4 はクローズドの、強化された Linux ベースのアプライアンス、または VMware ESX/ESXi 5.0 用ソフトウェア オペレーティング システム イメージとして利用できます。


システム要件


Cisco Secure ACS 5.4 は、セキュリティ機能が強化された 1 ラック ユニット(1 RU)の Linux アプライアンスとして提供されます。これは、新しい Cisco 3415 Secure ACS アプライアンスおよび以前の Cisco 1121 Secure ACS アプライアンスに Cisco Secure ACS ソフトウェアをプリインストールしたものです。また、VMware ESX/ESXi 4.1 または ESXi 5.0 の仮想マシンへのインストール用に、ソフトウェア オペレーティング システム イメージとしても提供されています。表 2 と 3 にそれぞれ、Cisco 1121 と 3415 の Secure ACS アプライアンスのシステム仕様を示します。VMware ESX システム要件については、表 4 を参照してください。ACS 5.4 では VMware Tools に対するサポートが追加されている点に注意してください。

表 2 Cisco 1121 Secure ACS Appliance 仕様

コンポーネント 仕様
CPU Intel® Xeon® 2.66-GHz Q9400(クアッド コア)
システム メモリ 4 GB DDR II ECC
ハード ディスク ドライブ 2 X 250 GB 7.2K RPM 3.5 インチ SATA
光学式ストレージ DVD-ROM
ネットワーク接続 4 10/100/1000、RJ-45 インターフェイス
注:Ethernet0 のみを管理機能に使用できます。4 つすべてのインターフェイスが AAA リクエストをリッスンします。
I/O ポート シリアル ポート X 1、USB 2.0 X 4(前面 X 2、背面 X 2)、SVGA Video
ラックマウント 4 ポスト(キット付属)
寸法(1 RU)(幅 X 奥行 X 高さ)
  • 44.0 X 55.9 X 4.45 cm
  • 17.3 X 22.0 X 1.75 インチ
重量 11.0(最小)〜 12.7 kg(最大)(24.25 〜 28.0 ポンド)


電力 仕様
電源数 1
電源容量 351W 汎用、自動切り換え


環境 仕様
動作温度範囲 10 〜 35 °C(50 〜 95 °F)(最高 914.4 m/3000 フィート)
熱放射 341(最小)〜 1024(最大)BTU、100 〜 300 W
最高海抜 2133 m(7,000 フィート)


表 3 Cisco 3415 Secure ACS アプライアンスの仕様

コンポーネント 仕様
CPU 2.4 GHz Intel Sandy Bridge E5-2609/80W 4C/10MB キャッシュ/DDR3-1600-MHz
システム メモリ 合計 16 GB:4 GB DDR3-1600-MHz RDIMM X 4
ハード ディスク ドライブ 600 GB 6 Gbps SAS 10K RPM HDD(ホットスワップ可能)
SW RAID コントローラ あり
光学式ストレージ なし
ネットワーク接続 1 GB NIC インターフェイス X 4
注:管理機能に使用できるのは Ethernet0 のみ。すべてのインターフェイスが AAA リクエストをリッスンします。
I/O ポート 背面パネル:DB9 シリアル ポート X 1、USB 2.0 ポート X 2、DB15 VGA ポート X 1、NIC コネクタ
前面パネル:KVM コンソール コネクタ(USB X 2)、VGA X 1、シリアル ポート X 1 ラックマウント
4 ポスト 寸法(1 RU)
(幅 X 奥行 X 高さ)
  • 16.92 X 28.5 X 1.7 インチ
  • 43.0 X 72.4 X 4.32 cm
重量 12.2 kg(27.1 ポンド)


電力 仕様
電源数 1
電源容量 650 W 汎用(入力電圧:90 〜 260 V、47 〜 63 Hz)


環境 仕様
動作温度範囲 5 〜 40 °C(41 〜 104 °F):高度が 305 m(1000 フィート)上がるごとに最高温度は 1 °C 低下
動作高度 0 〜 3000 m(0 〜 10,000 フィート)


表 4 Cisco Secure ACS 5.4 VMware 要件

コンポーネント 仕様
VMware バージョン ESXi 5.0
CPU 2 CPU(デュアル CPU、Xeon、Core2 Duo、または 2 つのシングル CPU)
システム メモリ 4 GB RAM
ハード ディスク要件 60 〜 750 GB のユーザ設定が可能(150 GB 以上を推奨)
NIC ACS アプリケーションに使用できるネットワーク NIC(1 Gbps)


発注情報


Cisco Secure ACS 製品は、世界各国の正規のシスコ製品販売チャネルから購入できます。Cisco Secure ACS 5.4 の製品番号および発注情報については、Cisco Secure ACS 5.4 製品情報を参照してください。

シスコ製品の購入方法の詳細は、最寄りのシスコ代理店にお問い合わせいただくか、「購入案内」ホームページを参照してください。

サービスとサポート


シスコは、お客様の成功を支援する幅広いサービス プログラムを用意しています。これらのプログラムは、スタッフ、プロセス、ツール、パートナーを独自に組み合わせたかたちで提供され、お客様から高い評価を受けています。シスコは、お客様のネットワークへの投資を最大限に活用し、ネットワーク運用を最適化するとともに、最新アプリケーションに対応できるようにネットワークを整備し、よりインテリジェントなネットワークを構築することによって、お客様の事業拡大を支援しています。シスコ サービスの詳細については、シスコ テクニカル サポート サービスを参照してください。

関連情報


Cisco Secure ACS の最新情報は、
http://www.cisco.com/web/JP/product/hs/security/acs/acs/index.html をご覧ください。