Cisco ASA 5500シリーズ

データセンターでの Cisco ASA 5585-X

設計ガイド





データセンターでの Cisco ASA 5585-X



Cisco® ASA 5500 シリーズ適応型セキュリティ アプライアンスは、高度なステートフル ファイアウォールと VPN コンセントレータ機能を 1 台のデバイスに統合したものです。このアプライアンスには、マルチ セキュリティ コンテキスト(仮想ファイアウォールと同様)、トランスペアレント(レイヤ 2)ファイアウォール、ルーテッド(レイヤ 3)ファイアウォール、高度インスペクション エンジン、侵入防御、IPsec および WebVPN のサポートなど、数多くの高度な機能が搭載されています。


データセンター


ここでは、データセンターへのファイアウォールの導入に関連したビジネス ニーズと、提案するソリューションの要件について説明します。また、ソリューションに組み込まれているさまざまな ASA テクノロジーの概要についても説明します。

ビジネス ニーズ:データセンターへのファイアウォールの導入


データセンターは、企業にとってかつてないほど重要なものとなっています。データセンターへのデータ サービスの集中が増すのに伴い、高パフォーマンスでスケーラブルなネットワーク セキュリティのニーズが高まっています。こうしたニーズに対応するために、シスコは ASA 5580 を導入しました。これは、キャンパスやデータセンターで必要とされる 5 Gbps または 10 Gbps に対応するアプライアンスです。シスコは ASA ポートフォリオをより一層充実させています。次世代 ASA 5585-X アプライアンスは、ASA 5500 シリーズのパフォーマンスを拡大し、2 〜 20 Gbps の HTTP トラフィック(実測値)と 35 Gbps の大容量パケット トラフィックを実現します。Cisco ASA 5585-X は、1 秒あたり最大 35 万の接続と、初期には最大 200 万の同時接続をサポートしています。今後のリリースでは、最大 800 万の同時接続をサポートする予定です。

Web 2.0 アプリケーションの登場により、新しいデバイスの種類が増えるとともに、複雑なコンテンツが幅広く使用されるようになり、既存のセキュリティ インフラストラクチャに過大な負荷がかかっています。現在のセキュリティ システムでは、こうした環境に必要な高トランザクション レートや詳細なセキュリティ ポリシーに対応できない場合も少なくありません。そのため IT スタッフは、基本的なセキュリティ サービスを提供し、必要なモニタリングや監査および準拠用のシステムで生成されるセキュリティ イベントの規模に対応しようと奮闘しています。

Cisco ASA 5585-X アプライアンスは、エンタープライズ データセンターのメディア リッチで高トランザクション型、かつ遅延の影響を受けやすいアプリケーションを保護するよう設計されています。市場トップ クラスのスループット、業界最高レベルの接続レート、大規模ポリシー構成、超低遅延を実現する ASA 5585-X は、音声、ビデオ、データ バックアップ、科学計算、グリッド コンピューティング、金融取引システムなどの最も要求の厳しいアプリケーションを持つ組織のセキュリティ ニーズに最適です。

ソリューションの要件


Cisco ASA 5585-X アプライアンスは、ユーザと管理者が組織内で異なるポリシーを持つセキュリティ ドメインを構築できる、柔軟でコスト効率の高い、パフォーマンス ベースのソリューションです。ユーザは、VLAN 別に適切なポリシーを設定できる機能を必要としています。データセンターには、悪意のあるトラフィックをフィルタリングし、DeMilitarized Zone(DMZ; 非武装地帯)やエクストラネット サーバ ファームのデータを保護すると同時に、最小限のコストでマルチギガビットのパフォーマンスを実現するステートフル ファイアウォール セキュリティ ソリューションが必要です。

Cisco ASA 5585-X アプライアンスは、アクティブ/アクティブまたはアクティブ/スタンバイのトポロジに導入可能で、インターフェイス冗長性などの追加機能を利用して復元力を向上させることができます。また、耐障害性用とリンク用に異なるリンクを使用することもできます。

Cisco ASA 5585-X アプライアンスは、大企業、データセンター、およびサービス プロバイダーのネットワーク向けにマルチギガビットのセキュリティ サービスを提供します。このアプライアンスは、ファスト イーサネットから 10 ギガビット イーサネットまで拡張可能な高密度の銅線および光ファイバ インターフェイスを備えているため、きわめて柔軟性の高いセキュリティと配置が可能です。こうした高密度の設計により、マネージド セキュリティおよびインフラストラクチャ統合アプリケーションに必要な物理的なセグメント化を維持しながら、セキュリティを仮想化することができます。

目的


このドキュメントでは、Cisco ASA 5585-X アプライアンスを使用してデータセンターにファイアウォール サービスを導入する場合の、設計上の考慮事項と導入ガイドラインについて説明します。

Cisco ASA の技術概念


セキュリティ ポリシー

ファイアウォールは、外部ネットワークのユーザによる不正アクセスから内部ネットワークを保護します。また、ファイアウォールによって人事ネットワークをユーザ ネットワークから分離させることなどにより、内部ネットワークを互いに保護することもできます。Cisco ASA アプライアンスには、マルチ セキュリティ コンテキスト、トランスペアレント(レイヤ 2)ファイアウォール、ルーテッド(レイヤ 3)ファイアウォール、数百のインターフェイスなど、数多くの高度な機能が搭載されています。ファイアウォールに接続されているネットワークについて言えば、外部ネットワークがファイアウォールの前にあり、内部ネットワークがファイアウォール内で保護されています。セキュリティ ポリシーは、ファイアウォールを通過して他のネットワークにアクセスできるトラフィックの種類を決定するものであり、一般的には、セキュリティで明示的に許可されていない限り、どのトラフィックもファイアウォールを通過することはできません。

シスコの侵入防御サービス

Cisco Advanced Inspection and Prevention セキュリティ サービス プロセッサ(AIP SSP)は、インライン侵入防御サービスと革新的なテクノロジーを組み合わせることで精度を向上させます。SSP を Cisco ASA 5585-X アプライアンス内に配置すれば、他のネットワーク セキュリティ リソースと連携し、ネットワークを事前予防的に保護することによって、IPv6 および IPv4 ネットワークの包括的な保護を実現できます。

Cisco AIP SSP は、次の機能を通じて、より一層確実に脅威から保護します。

  • 幅広い IPS 機能:Cisco AIP SSP は、Cisco IPS 4200 シリーズ センサーが持つすべての IPS 機能を備えており、トラフィック パスにインラインで導入することも、無差別モードで導入することもできます。
  • グローバル コリレーション:Cisco AIP SSP は、レピュテーション分析の追加、セキュリティの脅威にさらされる機会の削減、継続的なフィードバックを提供し、境界の外側にあるグローバルな脅威環境に関するリアルタイムの最新情報を提供します。
  • 攻撃からの包括的かつタイムリーな保護:Cisco AIP SSP は、専用の IPS 検出エンジンと数千のシグニチャを使用し、数万もの既知の攻撃と何百万以上に及ぶ潜在的な未知の亜種による攻撃に対する保護を提供します。
  • ゼロデイ攻撃からの保護:シスコ アノーマリ検知は、ネットワーク上の正常な動作を学習し、ネットワーク内で異常な活動を検出すると警告を発することによって、シグニチャが利用可能になる前でも新たな脅威から保護することができます。

IPS を ASA アプライアンス内のトラフィック フローに導入すれば、ASA アプライアンスの冗長性機能がすべて自動的に継承されます。

ハイ アベイラビリティ

Cisco ASA セキュリティ アプライアンスは、業界屈指の復元力と包括性を備えたハイ アベイラビリティ ソリューションです。お客様は、1 秒以下のフェールオーバーやインターフェイス冗長性などの機能を使用して、フルメッシュのアクティブ/スタンバイおよびアクティブ/アクティブ フェールオーバー構成など、高度なハイ アベイラビリティ環境を導入できます。これにより、お客様をネットワーク ベースの攻撃から継続的に保護し、現在のビジネス要件を満たすセキュアな接続を確立します。

アクティブ/アクティブ フェールオーバーでは、両ユニットでネットワーク トラフィックを転送できます。この構成では、ネットワークでトラフィック シェアリングを設定できます。アクティブ/アクティブ フェールオーバーは、「マルチ」コンテキスト モードで実行されているユニットでのみ利用できます。アクティブ/スタンバイ フェールオーバーでは、一方のユニットでトラフィックを転送し、もう一方のユニットはスタンバイ状態で待機します。アクティブ/スタンバイ フェールオーバーは、「シングル」コンテキスト モードまたは「マルチ」コンテキスト モードのどちらかで実行されているユニットで利用できます。どちらのフェールオーバー構成も、ステートフル フェールオーバーまたはステートレス フェールオーバーをサポートしています。

次のイベントのいずれかが発生すると、ユニットに障害が発生する可能性があります。

  • ユニットでハードウェア障害または電源障害が発生した場合。
  • ユニットでソフトウェア障害が発生した場合。
  • 監視されているインターフェイスの多数で障害が発生した場合。
  • 管理者が「no failure active」という CLI コマンドを使用して、手動で障害を起動した場合。

ステートフル フェールオーバーが有効になっている場合でも、デバイス間のフェールオーバーでサービスが中断される可能性があります。たとえば、次のような場合です。

  • 不完全な TCP 3 ウェイ ハンドシェイクの再起動が必要な場合。
  • Cisco ASA ソフトウェア リリース 8.3 以前で、Open Shortest Path First(OSPF)ルートがアクティブ ユニットからスタンバイ ユニットに複製されない場合。フェールオーバー時に、OSPF の隣接関係の再構築とルートの再学習が必要な場合。
  • ほとんどのインスペクション エンジンのステータスがフェールオーバー ピア ユニットに同期されない場合。ピア デバイスへのフェールオーバー時に、インスペクション エンジンのステータスが失われます。

アクティブ/スタンバイ フェールオーバー

アクティブ/スタンバイ フェールオーバーでは、スタンバイ セキュリティ アプライアンスを使用して、障害が発生したユニットの機能を引き継ぐことができます。アクティブ ユニットに障害が発生すると、アクティブ ユニットがスタンバイ状態に、スタンバイ ユニットがアクティブ状態にそれぞれ切り替わります。アクティブ状態になったユニットは、障害が発生したユニットの IP アドレス(トランスペアレント ファイアウォールの場合は管理 IP アドレス)と MAC アドレスを引き継ぎ、トラフィックの転送を開始します。スタンバイ状態になったユニットは、スタンバイの IP アドレスと MAC アドレスを引き継ぎます。ネットワーク デバイスの MAC と IP アドレスのペアは変更されないため、ネットワーク上で Address Resolution Protocol(ARP; アドレス解決プロトコル)エントリの変更やタイムアウトは発生しません。

アクティブ/スタンバイ フェールオーバーでは、物理ユニット単位でフェールオーバーが実行され、コンテキスト単位のマルチ コンテキスト モードでは実行されません。アクティブ/スタンバイ フェールオーバーは、ASA プラットフォームに導入される最も一般的なハイ アベイラビリティ実現方法です。

アクティブ/アクティブ フェールオーバー

アクティブ/アクティブ フェールオーバーは、「マルチ」コンテキスト モードのセキュリティ アプライアンスに使用できます。両セキュリティ アプライアンスは、ネットワーク トラフィックを同時転送可能で、非対称のデータ フローを処理できるよう配置できます。セキュリティ アプライアンスのセキュリティ コンテキストは、フェールオーバー グループに分割できます。フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストで構成される論理グループです。セキュリティ アプライアンスには、最大 2 つのフェールオーバー グループを作成できます。

フェールオーバー グループは、アクティブ/アクティブ フェールオーバーで実行されるフェールオーバーのベース ユニットとなります。インターフェイス障害監視、フェールオーバー、アクティブ/スタンバイ状態はすべて、物理ユニットではなくフェールオーバー グループの属性です。アクティブ フェールオーバー グループに障害が発生すると、アクティブ フェールオーバー グループがスタンバイ状態に、スタンバイ フェールオーバー グループがアクティブ状態にそれぞれ切り替わります。アクティブ状態になったフェールオーバー グループ内のインターフェイスは、障害が発生したフェールオーバー グループ内のインターフェイスの MAC アドレスと IP アドレスを引き継ぎます。スタンバイ状態になったフェールオーバー グループ内のインターフェイスは、スタンバイの MAC アドレスと IP アドレスを引き継ぎます。これは、物理的なアクティブ/スタンバイ フェールオーバーで見られる動作と同じです。

冗長インターフェイス

インターフェイス レベルの冗長性は、論理インターフェイス(冗長インターフェイス)を ASA アプライアンスの 2 つの物理インターフェイス上に構成可能であるという概念を中心に展開されています。この機能は、Cisco ASA ソフトウェア リリース 8.0 で導入されました。

一方のインターフェイスは、トラフィックを転送するアクティブ インターフェイスとして機能します。もう一方のインターフェイスは、スタンバイ状態のままとなります。アクティブ インターフェイスに障害が発生すると、全トラフィックがスタンバイ インターフェイスにフェールオーバーされます。この機能の主な利点は、フェールオーバーが同一物理デバイス内で発生するため、不要なデバイス レベルのフェールオーバーの発生を防げることです。この冗長インターフェイスは、設定後は物理インターフェイスと同様に扱われます。

アクティブ デバイスでリンク障害が発生すると、デバイス レベルのフェールオーバーが発生しますが、冗長インターフェイスでは発生しません。データセンター環境では、冗長インターフェイスを使用してフルメッシュ型のトポロジを構築することにより、次のような利点を得られます。

  • インターフェイス レベルのフェールオーバーが発生した場合に、不完全な TCP 3 ウェイ ハンドシェイクの再起動が不要です。
  • ASA アプライアンスでダイナミック ルーティング プロトコルを使用する場合に、ルーティングの隣接関係の再構築とルートの再学習が不要です。
  • ほとんどのインスペクション エンジンのステータスは、インターフェイス レベルのフェールオーバーでは失われませんが、デバイス レベルのフェールオーバーでは失われます。

ASA のステートフル フェールオーバーでは、一部のセッションのデータが複製されないため、エンド ユーザへの影響が抑制されます。たとえば、一部の音声プロトコル(Media Gateway Control Protocol [MGCP; メディア ゲートウェイ コントロール プロトコル] など)の制御セッションは複製されず、フェールオーバーでそれらのセッションを中断できます。

インターフェイス冗長性機能では、基盤となる物理インターフェイスの両方に障害が発生した場合にのみ、(冗長)インターフェイスに障害が発生したと見なされます。

インターフェイス レベルの冗長性の主な利点は、次のとおりです。

  • フェールオーバー環境でのデバイス レベルのフェールオーバー発生率を減らすことにより、ネットワーク/ファイアウォールのアベイラビリティが向上し、不要なサービス/ネットワークの中断をなくすことができます。
  • フルメッシュ型のファイアウォール アーキテクチャを構築し、スループットとアベイラビリティを向上させることができます。

図 1 に、インターフェイス冗長性を有効にし、デバイス レベル(A/S または A/A)のフェールオーバーを無効にした ASA アプライアンスのシンプルな導入シナリオを示します。

このシナリオでは、ASA インターフェイスに障害が発生すると、冗長インターフェイスのスタンバイ物理インターフェイスがアクティブ インターフェイスとして処理を引き継ぐため、セキュリティ アプライアンスでトラフィックの転送が継続されます。

この設計は、シングル コンテキスト モード、マルチ コンテキスト モード、ルーテッド ファイアウォール モード、トランスペアレント ファイアウォール モードでサポートされています。

図 1 障害発生前と発生後の冗長インターフェイス使用イメージ。物理インターフェイスの障害が発生し、冗長インターフェイスの障害は発生しません。

図 1 障害発生前と発生後の冗長インターフェイス使用イメージ。物理インターフェイスの障害が発生し、冗長インターフェイスの障害は発生しません。


Cisco ASA 5585-X アプライアンスは、図 2 に示すような標準的なデータセンター設計に適しています。VLAN は物理スイッチから外部 ASA アプライアンスに拡張され、それぞれのスイッチに専用の冗長フェールオーバー リンクとステート リンクが接続されます。これまでに説明したテクノロジーを組み合わせることで、高冗長ネットワーク設計を構築します。ASA アプライアンスでは、次の 3 つの主要機能を使用します。

  • 冗長インターフェイス
  • アクティブ/アクティブ フェールオーバー
  • トランスペアレント モード

1 台の ASA アプライアンスを、複数の仮想デバイス(セキュリティ コンテキスト)に分割できます。「マルチ」コンテキスト モードでは、ASA アプライアンスに、セキュリティ ポリシー、インターフェイス、およびスタンドアロン デバイスに設定可能なほぼすべてのオプションを識別する各コンテキストが設定されます。このシステム設定は、ASA の基本設定を識別しますが、ネットワーク インターフェイスやネットワーク設定は含みません。「管理」コンテキストは、他のすべてのコンテキストと同様に機能しますが、ユーザが「管理」コンテキストにログインすると、そのユーザにシステム管理者権限が付与され、「システム」とその他すべてのコンテキストにアクセスできるという点のみが異なっています。

アーキテクチャの概要


図 2 標準的なデータセンター アーキテクチャ

図 2 標準的なデータセンター アーキテクチャ

図 2 標準的なデータセンター アーキテクチャ


IPS サービスは、設計内の各 ASA アプライアンスに統合可能です。または、スタンドアロンの IPS/IDS を使用することもできます。ASA アプライアンスに IPS サービスを実装する利点は、きめ細かな制御を行って、IPS サービスがインスペクションを実行するトラフィックを分類できることです。

ASA 5585-X は、VLAN(ファイアウォールで保護)を伝送するトランク ポートを接続することによって、アグリゲーション レイヤでアーキテクチャに統合されます。必要な場合は、アグリゲーション レイヤに冗長リンクを構成して、さらに高いレベルのアベイラビリティを提供することもできます(図 3)。アクティブ デバイスでリンク障害が発生すると、デバイス レベルのフェールオーバーが発生しますが、冗長インターフェイスでは発生しません。

図 3 冗長リンク接続

図 3 冗長リンク接続


トランスペアレント ファイアウォール モードまたはルーテッド ファイアウォール モード

Cisco ASA 5585-X は、ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの 2 種類のファイアウォール モードをサポートしています。ルーテッド ファイアウォール モードでは、ASA アプライアンスはネットワーク内のルータ ホップと見なされます。トランスペアレント ファイアウォール モードでは、ASA アプライアンスは「ステルス ファイアウォール」と同様に機能し、ルータ ホップとは見なされません。ASA アプライアンスは、内部および外部インターフェイス上の同一ネットワークに接続されます。トランスペアレント モードは、攻撃者に対してファイアウォールを隠したい場合に便利です。このデータセンター設計では、トランスペアレント モードを使用して ASA アプライアンスのアクティブ/アクティブ アーキテクチャをサポートしています。

表 1 に、2 つの導入タイプの機能を示します。

表 1 ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの比較

ルーテッド トランスペアレント
NAT の全種類を利用可能
データ トラフィックをルート
マルチキャスト トラフィックの転送不可
コンテキスト間でインターフェイスを共有可能
1 コンテキストにつき 2 つのインターフェイス
トランスペアレント モードで NAT をサポート
データ トラフィックをブリッジング
マルチキャスト トラフィックの転送可能
共有インターフェイスなし


トランスペアレント モードでは、Cisco ASA 5585-X アプライアンスはルータ ホップとして機能しません。ASA アプライアンスは、内部および外部ポート上で同一ネットワークに接続されますが、各ポートを異なる VLAN 上に配置する必要があります。ASA アプライアンスでは、ダイナミック ルーティング プロトコルや NAT は不要です。図 4 に、データセンターのトランスペアレント モードのその他の利点を示します。

図 4 データセンターのトランスペアレント ファイアウォール モード

図 4 データセンターのトランスペアレント ファイアウォール モード


  • ルータによって、ファイアウォールを通してルーティング プロトコルの隣接関係を構築できます。
  • Hot Standby Router Protocol(HSRP; ホット スタンバイ ルータ プロトコル)、Virtual Router Redundancy Protocol(VRRP; 仮想ルータ冗長プロトコル)、Gateway Load Balancing Protocol(GLBP; ゲートウェイ ロード バランシング プロトコル)などのプロトコルがファイアウォールを通過できます。マルチキャスト ストリームもファイアウォールを通過できます。
  • 非 IP トラフィックを許可できます(事前設定されているタイプは IPX、MPLS、BPDU)。ただし、イーサネット V2/DIX のカプセル化の使用が必要です(インスペクション不可、ブリッジングのみ可)。

パフォーマンスとスケーラビリティ


これまで、ファイアウォールのパフォーマンスを決定する主な要因は、Mbps 単位のスループットでした。しかし、アプリケーションの要求がより一層厳しくなり、アプリケーションの接続を長時間オープンにする(ファイル共有やマルチメディアで使用される持続的な接続)か、多数の短時間接続をオープンにする(Facebook などの共通 Web サイトで使用)かのどちらかが行われています。

スループットは依然として重要ですが、等しく重要なのは、同時接続の機能を拡張し、新しい接続を迅速にオープンにできる機能を備えた新しいアプリケーションへの対応です。Cisco ASA 5585-X はこれらの機能を拡張すると同時に、1 秒あたりの接続レートと同時接続数で優れたパフォーマンスを実現するよう、特別な注意が払われています。Cisco ASA 5585-X は、超低遅延の高速スイッチ バックプレーンと並列 CPU アーキテクチャを活用することで、こうしたパフォーマンス要件に対応します。

まとめ


このドキュメントでは、一般的なデータセンターのニーズを踏まえ、データセンター設計における Cisco ASA 5585-X アプライアンスの活用方法について説明しました。ASA 5585-X は、高冗長ネットワーク設計とのハイ アベイラビリティ機能を使用することにより、中断による影響を最小限に抑える設計としてデータセンターに導入されています。

関連情報


Cisco ASA 5500 シリーズ アプライアンスの詳細については、http://www.cisco.com/jp/go/asa/ を参照するか、最寄りのシスコ代理店にお問い合わせください。

シスコのサポート終了ポリシーに関する詳細情報は、http://www.cisco.com/en/US/products/prod_end_of_life.html [英語] を参照してください。

サポート終了/販売終了情報を受領するには、 http://www.cisco.com/cgi-bin/Support/FieldNoticeTool/field-notice [英語] を参照してください。