Cisco Secure Access Control System

Cisco Secure Access Control System 5.4

Q&A





Cisco Secure Access Control System 5.4



Cisco Secure Access Control System の概要


Q. Cisco® Secure Access Control System とは何ですか。
A. Cisco Secure Access Control System(ACS)は、企業のネットワーク アクセス ポリシーとアイデンティティ戦略を結び付ける、中央集中型のアイデンティティおよびアクセス ポリシー ソリューションです。Cisco Secure ACS は、RADIUS および TACACS+ サーバとして機能し、ユーザ認証、ユーザと管理者のデバイス アクセス制御、ポリシー制御を 1 つの集中管理型アイデンティティ ネットワーキング ソリューションに統合します

Q. なぜ Cisco Secure ACS が必要なのですか。
A. ビジネス ダイナミクスや規制要件の変化、そしてセキュリティの脅威の増大に伴い、アクセス コントロールの管理に関して新たな需要が生じてきました。IEEE 802.1x のようなテクノロジーが普及し、堅牢なアクセス ポリシーと可視化機能へのニーズが高まるにつれ、アクセス ポリシーとアイデンティティをネットワークに統合する新たなソリューションが求められるようになりました。Cisco Secure ACS を使用すれば、使いやすい軽量の GUI を通じて強力なポリシー ルールを柔軟に設定し、高度なエンタープライズ ポリシーを適用できます。このシステムには、統合管理機能や高度なモニタリング、レポーティング、トラブルシューティングの機能があるので、アクセス制御やデバイス管理のポリシーや処理をネットワーク全体で可視化し、強力に制御できます。

新機能


Q. Cisco Secure ACS 5.4 で新たに導入された機能は何ですか。
A. Cisco Secure ACS 5.4 は、ポリシー アドミニストレーション ポイント(PAP)およびポリシー デシジョン ポイント(PDP)として機能し、ポリシーベースのネットワーク デバイスのアクセス制御を実現し、以下のような多数のアイデンティティ管理機能を提供します。
  • 標準のコンプライアンスに必要とされる監査およびレポート機能が完備したユニークなデバイス管理機能:IPv4 と IPv6 のネットワークでデバイスをきめ細かく柔軟に管理できます
  • 複雑なポリシー要求に柔軟に対応する、属性主体でルールベースの強力なポリシー モデル
  • 直感的なナビゲーションとワークフローを実現する軽量な Web ベースの GUI:IPv4 と IPv6 のいずれのクライアントからもアクセスできます
  • 最大のコントロールと可視性を可能にする、統合された高度なモニタリング、報告、トラブルシューティング機能
  • 外部アイデンティティおよびポリシー データベース(Windows Active Directory および軽量ディレクトリ アクセス プロトコル(LDAP)でアクセス可能なデータベースなど)との統合性の向上により、ポリシー構成とメンテナンスが簡素化
  • 大規模な展開を可能にし、可用性の高いソリューションを提供する分散型展開モデル
機能に関する詳細情報、発注および導入に関するガイドなど、Cisco Secure ACS 5.4 に関するその他の資料については、
http://www.cisco.com/cisco/web/portal/support/products/home.html?cid=282372752&locale=ja_JP をご覧ください

Q. Cisco Secure ACS 5.3 で新たに使用可能となった機能にはどのようなものがありますか。
A. Cisco Secure ACS 5.3 では、次の機能のサポートが追加されました。
  • バージョン 5.1 および 5.2 からのアップグレード時にポリシー設定の再イメージ、バックアップ、リストアを必要としない
  • プログラマティック インターフェイスによってユーザ オブジェクトに対する作成、読み取り、アップデート、削除(CRUD)の操作が可能
  • TACACS+ シェル プロファイルで動的属性を使用できる(属性置換)
  • Cisco Secure ACS のインスタンスごとに全ユーザまたはユーザ グループ単位の最大同時セッション数を設定できる
  • 内部ユーザのパスワードを外部 ID ストアから取得して検証できる
  • 試行の失敗回数と期限(固定日または特定の日数)またはそのいずれかに基づいて、ユーザ アカウントを無効にできる
  • ID ストア シーケンスを使用している場合、現在の ID ストアへのアクセスが何らかの理由で失敗しても、次の ID ストアに進むオプションがある
  • TACACS+ プロキシ サーバとして機能できる
  • ホスト MAC アドレスのワイルドカードをサポート
  • IP アドレス範囲を使用してネットワークデバイスを追加できる
  • IP アドレスでデバイスを検索できる
  • CHAP/MSCHAP を使用した TACACS+ 認証が可能
  • ID と許可のポリシーで任意の 2 つの属性値を比較できる
  • ユーザの Active Directory アカウントのダイヤルイン属性をチェックする機能をサポート
  • シークレットのない RSA ノードを表示できる
  • PEAP-TLS プロトコルをサポート
  • ローカル サーバがリモートのログ コレクタである Secure ACS デバイスに再接続した場合、ログがリカバリされる
Q. Cisco Secure ACS 5.4 で使用可能となった新機能にはどのようなものがありますか。
A. Cisco Secure ACS 5.4 では、新たに次の機能がサポートされています。
  • 新しい Cisco UCS C220 M3 ハードウェア プラットフォーム(ACS/ISE/NAC アプリケーションに対応した SNS-3415-K9 アプライアンス)をサポート
  • IPv6 ネットワークで TACACS+ ベースのデバイス管理と HTTPS/SSH ベースの ACS 管理アクセスが可能
  • 500 GB 未満のハード ディスクで ACS on VMware をサポート
  • 複数のイーサネット インターフェイスをサポート
  • 同じ ACS クラスタ内のさまざまなノード(インスタンス)を異なる AD ドメインに接続できる
  • Active Directory/LDAP を通じた管理者認証
  • デバイスおよびホストでの作成、読み取り、更新、削除(CRUD)操作用 API をサポート
  • Online Certificate Status Protocol(OCSP)をサポート
  • 管理者のログイン前とログイン後に設定可能なコピーライト バナーを表示
  • VMware ツールをサポート
  • 1 つの ACS クラスタで最大 20 のインスタンスをサポート
  • プロキシされる AAA リクエストに RADIUS 属性を挿入できる
  • 同じクラスタ内のすべての ACS インスタンス間で MAR キャッシュが同期される
  • LDAP ユーザの新しいメンバー属性として、Distinguished Name(DN)に加えて Common Name(CN)を追加
  • LDAP の PAP 変更パスワード(T+ および EAP-GTC 用)をサポート
  • 内部ユーザに対するユーザ単位のアカウント有効期限をサポート
  • ACS ポリシー ルールの Certificate Dictionary に Certificate Issuer フィールドを追加
  • Authenticated NTP をサポート
Q. Cisco Secure ACS 5.4 には、Cisco Secure ACS 4.2 の全機能とのフィーチャ パリティがありますか。
A. いいえ。Cisco Secure ACS 5.4 は、リリース 4.2 の機能のほとんどをサポートしているので、ポリシーベースのデバイス管理や、有線、無線、またはリモートのアクセス制御を必要とする現在の環境の多くに適しています。リリース 5.4 にないリリース 4.2 の機能には、ODBC による認証、RDBMS データベースとの同期、RBAC サポートを目的とした CiscoWorks Common Services との統合などがあります。最後の 2 つの機能は、ユーザ、ホスト、ネットワーク デバイスの追加、削除、または変更に REST API を使用するなど、有効な対策があるので、今後の Cisco Secure ACS リリースでもサポートは計画されていません

Q. Cisco Secure ACS 5.4 はソフトウェア製品ですか、それともハードウェア製品ですか。
A. Cisco Secure ACS 5.4 は、ハードウェア アプライアンスとしても、ソフトウェアとしても提供されています。
  • 1 ラック ユニット(1 RU)のセキュリティ強化型専用 Linux アプライアンス(CSACS-1121-K9 または CSACS-3415-K9):基本の Cisco Secure ACS ソフトウェアがプリインストール
  • ソフトウェアのみのイメージ(アプリケーションおよびオペレーティング システム):VMware ESX/ESXi ハイパーバイザへのインストール用
詳細な仕様については、次のリンク先で Cisco Secure ACS のデータ シートをご覧ください。
http://www.cisco.com/web/JP/product/hs/security/acs/acs/ds_list.html

Q. 新しい Cisco Secure ACS 5.4 のポリシー モデルがこれまでのリリースと異なるのはどのような点ですか。
A. Cisco Secure ACS 5.4 には、これまでのリリースでサポートされていたグループベースのポリシーモデルではなく、ルールベースのポリシー モデルが導入されています。この新しいモデルは、高度な機能と柔軟性により、アクセス権限を付与する際にユーザの ID だけでなく多様な属性や条件の評価を必要とするような複雑なセキュリティ ポリシーにも対応できます。

新しい ポリシー モデルの特長をいくつか紹介します。
  • ポリシーのロジックがユーザやグループと切り離されています。権限や許可を割り当てても、Cisco Secure ACS のユーザやユーザ グループに直接定義されることはありません。許可ルールを通じて定義されます。
  • Cisco Secure ACS の許可ルールで、1 つの許可決定結果に複数の許可プロファイルを指定できます(優先順位によって衝突を回避)。これによって必要な許可プロファイルの全体数が減り、ポリシーの変更が簡便になります。
  • ネットワーク デバイスを、地理的な場所や組織などに基づいて、複数のデバイス グループに分類できます。これにより、グループの階層に基づいてルールを定義できます。
  • リリース 5.4 では、外部ディレクトリやアイデンティティ レポジトリの利用可能な情報(グループ メンバーシップまたはアイデンティティの属性など)に基づいて、ユーザやホストをルールベースで強力かつ柔軟にマッピングできます。
  • リリース 5.4 のアクセス制御ポリシーは非常に柔軟性が高く、許可プロトコルの要件、デバイス制限、時間帯制限、ポスチャ検証、ダウンロード可能アクセス コントロール リスト(dACL)、VLAN 割り当て、およびその他の許可パラメータに対応できます。
Q. Cisco Secure ACS の GUI にはどのような新機能が追加されましたか。
A. リリース 5.4 は、セキュアで使いやすく直感的に操作できる Web ベースの軽量な GUI を特長としています。GUI アクセスのためにクライアント ソフトウェアを追加する必要がありません。リリース 5.4 の GUI には、ポリシー管理とプロビジョニングに加え、モニタリングとレポーティングの統合機能があるので、ネットワークをきめ細かく可視化し、制御できます

Q. 新しい GUI のモニタリングおよび報告機能について教えてください。
A. Web ベースの GUI からアクセス可能な、モニタリング/報告/トラブルシューティングの統合コンポーネントが含まれています。このツールを使うと、構成されたポリシーおよび認証/許可アクティビティに対する可視性が、ネットワーク全体にわたり最大化されます。ログは、他のシステムでも使用できるよう表示およびエクスポートが可能です

Q. Cisco Secure ACS 5.4 はどのような方法で外部データベースと統合されるのですか。
A. リリース 5.4 は、Microsoft Active Directory や LDAP アクセス可能なデータベースなど、外部のアイデンティティおよびポリシー データベースと柔軟に統合できます。外部データベースの情報は、ポリシー ルールで直接参照できます。また、ポリシー条件や許可結果を設定する際に、ユーザまたはグループの属性を取得し、参照できます。そのため、グループ マッピングを使用した許可よりも、きめ細かくポリシーを定義できます

Q. Cisco Secure ACS 5.4 アプライアンスを使用するにはリモート エージェントの稼働が必要ですか。
A. いいえ。これまでの Cisco Secure ACS アプライアンスでは、Microsoft Windows 認証の信頼ドメインのメンバー上に Cisco Secure ACS Remote Agent for Windows ソフトウェアをインストールすることが必要でした。リリース 5.4 アプライアンスは Active Directory のネイティブの統合をサポートしているので、リモート エージェントは必要ありません。

拡張性


Q. Cisco Secure ACS 5.4 を大規模環境に導入するにはどうすればよいですか。
A. Cisco Secure ACS 5.4 は、分散構成をサポートしていますので、高い可用性と拡張性を提供できます。複数の ACS インスタンスで構成し、単一の分散環境で各インスタンスを管理できます。プライマリ システムを 1 つ指定して、そのシステムで設定を変更すれば、そこからセカンダリ インスタンスに伝播されます。最小規模は、冗長性を考慮して、プライマリ 1 つとセカンダリ インスタンス 2 つの構成を推奨します。大規模環境では、ネットワーク設計に応じてセカンダリ サーバを追加できます。リリース 5.4 は、単一クラスタで最大 21 のインスタンス(プライマリ X 1 とセカンダリ X 20、ログ コレクタを 1 つ含む)を公式にサポートしています。Cisco Secure ACS のインスタンスはいずれも実質的には同一であり、それぞれに完全な Cisco Secure ACS ソフトウェア バージョンがインストールされます。ただし、認証、許可、アカウンティング(AAA)、管理インターフェイス、モニタリングとレポーティングなどの一部の機能は、これらのインスタンスで無効にすることもできます。これを利用して、1 つの構成内で各 Cisco Secure ACS インスタンスに固有の役割をもたせることも可能です。

Cisco Secure ACS 5.4 には効率的な複製メカニズムがあり、これもシステム設定の簡易化に貢献しています。分散構成では、設定するのはプライマリの Cisco Secure ACS サーバだけで済みます。プライマリ サーバで設定を変更すると、その構成内の全セカンダリ サーバにその増分変更が伝播され、自動的に複製されます。また、プライマリ サーバの GUI で、関連付けられているすべてのセカンダリ サーバを監視し、その複製状況を把握できます

Q. Cisco Secure ACS 5.4 ではソフトウェアのアップデートはどのように処理されますか。
A. Cisco Secure ACS 5.4 では、ソフトウェア アップデートの集中管理機能(アップデートとパッチ)が改善されています。このプロセスはプライマリ ACS サーバの GUI で制御されます。アップデートは、同じ構成内の特定の ACS サーバに適用することも、また全サーバに適用することもできます。さらに、ソフトウェア アップデート ファイルは、リモートのリポジトリに置くことも、プライマリ サーバにアップロードすることも可能です。リリース 5.3 と 5.4 は、CLI による前リリースからの直接アップロードをサポートしているので、新しいソフトウェア イメージでの再イメージ処理は必要ありません(データベースのバックアップとリストアも必要ありません)。

発注情報


Q. Cisco Secure ACS 5.4 のライセンス モデルについて教えてください。
A. Cisco Secure ACS 5.4 のアプライアンスまたはソフトウェアの各パッケージには基本ライセンスが含まれています。稼働させる Cisco Secure ACS インスタンス各々に基本ライセンスが必要です。ネットワーク デバイス数が 500 を超える場合や高度な Security Group Access(SGA)機能を必要とする場合は、アドオン ライセンスをご利用いただけます。製品番号や詳細については、次のリンク先で Cisco Secure ACS 5.4 の発注ガイドをご覧ください。
http://www.cisco.com/en/US/prod/collateral/netmgtsw/ps5698/ps6767/ps9911/product_bulletin_c25-689829.html

Q. 現在、モニタリングとレポーティングに Cisco Secure ACS View 4.0 を使用しています。Cisco Secure ACS 5.4 にも、この製品が必要ですか。
A. いいえ。Cisco Secure ACS 5.4 を導入した場合、Cisco Secure ACS View 4.0 の代わりとして、Cisco Secure ACS 5.4 に統合されているモニタリングとレポーティングのコンポーネントを使用できます。ただし、ランタイム パフォーマンスへの影響を最小限に抑えるために、特定の Cisco Secure ACS 5.4 インスタンスをモニタリングとレポーティング専用とすることが必要になる場合もあります

Q. Cisco Secure ACS の評価用コピーは入手できますか。
A. はい。Cisco Secure ACS Base ライセンスの 90 日間試用バージョンを
https://tools.cisco.com/SWIFT/LicensingUI/loadDemoLicensee?FormId=310 からダウンロードいただけます。また、ACS の前リリースに対する有効な SAS 契約をお持ちであれば、Cisco.com から Cisco Secure ACS 5.4 ソフトウェアをダウンロードいただけます。いずれの場合も、評価を目的としたソフトウェア イメージ コピーの取得については、最寄りのシスコ代理店にお問い合わせください。

関連情報


Cisco Secure ACS についての詳細は、お住まいの地域のアカウント担当者にお問い合わせいただくか、acs-mkt@cisco.com までメールでご質問ください。