Cisco ASA 5500シリーズ

Cisco ASA Software リリース 9.0

Q&A





Cisco ASA Software リリース 9.0



Q. Cisco ASA Software リリース 9.0 とは何ですか。
A. Cisco® Adaptive Security Appliance(ASA)Software リリース 9.0 は、Cisco ASA ファミリを動作させるソフトウェアの最新リリースです。同じコア ASA コードを使用しており、広範なスタンドアロン アプライアンス、組織の既存のネットワーク インフラストラクチャに統合されるハードウェア ブレード、パブリック クラウドおよびプライベート クラウドの安全性確保と保護を行うソフトウェアなど、さまざまなフォーム ファクタの ASA デバイス向けにエンタープライズクラスのセキュリティ機能を提供します。

Q. Cisco ASA Software リリース 9.0 の新機能は何ですか。
A. ASA Software リリース 9.0 では、いくつかの機能が強化されています。このリリースの主な新機能は次のとおりです。
  • 最大 8 つの Cisco ASA 5585-X または 5580 シリーズ適応型セキュリティ アプライアンスを 1 つのクラスタに接続することによって、線形的で予測可能なパフォーマンスの向上を実現し、常時接続が必要とされるデータセンターの高可用性を実現
  • Cisco クラウド Web セキュリティ(以前の ScanSafe)との統合により、企業内でのきめ細かい Web アクセス権限と Web アプリケーション ポリシーの適用を可能にしつつ、ウイルスやマルウェアからの保護を実現
  • Cisco TrustSec® Security Group Tag(SGT)により、セキュリティをネットワーク ファブリックに統合して ASA プラットフォーム上のポリシー構造を拡張
  • 暗号化アルゴリズム Suite B セットなどの次世代暗号化技術を採用することで、機密性を大幅に向上
  • IPv6(IPv4 から IPv6 への必須変換機能を含む)により、IPv4/IPv6 混在環境への ASA の導入が可能
  • コンテキスト単位のダイナミック ルーティングおよびサイト間 VPN により、部門間または顧客間のセグメンテーションを大幅に強化
Q. ASA 9.0 では、どの Cisco ASA モデルがサポートされていますか。
A. Cisco ASA 9.0 は、Cisco ASA 5500 シリーズ、ASA 5500-X シリーズおよび Cisco Catalyst® 6500 シリーズ ASA サービス モジュールを含む ASA 製品ライン全体でサポートされます。

クラスタリング


Q. ASA 9.0 はクラスタリングをサポートしていますか。
A. はい。Cisco ASA リリース 9.0 では、最大 8 つの Cisco ASA 5585-X または 5580 適応型セキュリティ アプライアンス ファイアウォール モジュールを 1 つのクラスタに接続して、最大 128 Gbps(最大 300 Gbps)のマルチプロトコル スループットおよび 5000 万を超える同時接続を処理できます。また、個々の ASA 5585-X のスロット 1 に統合侵入防御システム(IPS)モジュールを装着して、最大 60 Gbps の IPS スループットを処理することもできます。

Q. Cisco ASA リリース 9.0 のクラスタリング アーキテクチャの主な機能は何ですか。
A. ASA 9.0 のクラスタリング アーキテクチャの中核をなすのは、特許申請中の Cisco Cluster Link Aggregation Control Protocol(cLACP)です。このプロトコルは、マルチユニット ASA クラスタを 1 つのエンティティとして機能させ、管理することを可能にし、バックアップ ユニットを識別し、セッションのバックアップを作成します。クラスタにプッシュされたポリシーはクラスタ内のすべてのユニットで複製され、1 台の管理コンソールからクラスタ全体およびクラスタ内の個別のユニットの状態、パフォーマンス、容量に関する統計情報を評価できます。

Q. クラスタリングをサポートしている ASA モデルはどれですか。
A. 最初の Cisco ASA Software リリース 9.0 では、ASA 5580 および 5585-X 適応型セキュリティ アプライアンス上でクラスタリングを行うことができます。

Q. どの ASA モードがサポートされますか。
A. クラスタ化された ASA アプライアンスは、ルーテッド モード、トランスペアレント モードまたは混合モードで動作させることができます。クラスタのすべてのメンバーを同じモードで動作させる必要があります。

Q. クラスタリングを有効にするには、ライセンスを購入する必要がありますか。
A. はい。クラスタ ライセンスを購入し、有効にする必要があります。

Q. ASA アプライアンスがクラスタ化された場合、機能ライセンスはどのように動作しますか。
A. 表 1 に、主な機能の動作を示します。

表 1 Cisco ASA 機能ライセンス タイプ別のクラスタの動作

ライセンス タイプ クラスタでの動作
機能ライセンスの有効化/無効化 クラスタ内の 1 台のみがライセンスを持っていればよい。 Cisco ASA 5585-X 上の Security Plus:1 台でのみライセンスが必要とされる。
プラットフォームに依存しないライセンス クラスタの容量は、インストールされているすべてのライセンスの合計に等しい(ただし、個々のアプライアンスの合計容量を上限とする)。 例 1:
  • 4 ノード クラスタ
  • ノード 1 = 200 SC
  • ノード 2、3、4 = 0
  • 合計容量 = 200
例 2:
  • 4 ノード クラスタ
  • ノード 1 = 200 SC
  • ノード 2 = 100 SC
  • ノード 3 および 4 = 0
  • 合計容量 = 250 SC
時間ベースのライセンス ある機能が 1 台にインストールされている場合、その機能はクラスタ全体で自動的に有効になる。ライセンスの合計期間は、残っているすべてのライセンス期間の合計に等しい。 1 つのノードにボットネット トラフィック フィルタがインストールされていれば、クラスタ全体でそのフィルタを使用できるようになる。ノード 1 に 9 ヵ月残っていて、ノード 2 に 7 ヵ月残っている場合、ボットネット トラフィック フィルタ機能の残りの合計期間はクラスタ全体で 16 ヵ月になる。

「スケール係数」とはどういう意味ですか。
A. スケール係数は、クラスタ化環境で期待されるパフォーマンスとスケールの計測単位です。たとえば、4 ユニット クラスタが 20 Gbps のファイアウォールを使用してスケール係数 0.8 で設定されている場合、そのクラスタの期待されるパフォーマンスは 0.8 X 4 X 20 Gbps = 64 Gbps です。

Q. 2 ユニット クラスタ、4 ユニット クラスタ、8 ユニット クラスタの期待されるパフォーマンスと容量はどれだけですか。
A. シスコでは、現在、トラフィック プロファイルに応じて 0.7 から 1.0 のスケール係数を提供しています。表 2 は、マルチプロトコル トラフィック プロファイルを持つ 2 ユニット クラスタの期待されるパフォーマンスを示しています(2 ユニット クラスタの結果に 2 を掛けると 4 ユニット クラスタ、4 を掛けると 8 ユニット クラスタの期待されるパフォーマンスを算出できます)。

表 2 2 ノード クラスタのサンプル データ

プラットフォーム 1 ユニットのスループット 2 ユニット クラスタ
ASA5585-S10 2 G 3.2 G
ASA5585-S20 5 G 8 G
ASA5585-S40 10 G 16 G
ASA5585-S60 20 G 32 G

Q. クラスタ内の各ユニットのスロット 1 に統合 IPS モジュールを装着している場合、どのような動作が期待されますか。
A. クラスタ内のすべての IPS モジュールが独立した IPS として設定されるため、設定を同期化する必要はありません。ただし、Cisco Security Manager と Cisco IPS Manager Express を使用して、クラスタ内のすべての IPS モジュールにまたがる設定管理を簡素化できます。トラフィックがクラスタに入ると、1 つの特定のユニットがそのセッションの所有者になります。トラフィックをさらに分析するために IPS にリダイレクトするというポリシーが設定されている場合は、その「所有者」ユニットに物理的に関連付けられている IPS モジュールが使用されます。つまり、1 つのファイアウォールから送られたトラフィックを、クラスタ内の別のファイアウォールに統合されている IPS にリダイレクトすることはできません。

Q. セッション情報と設定情報はクラスタ メンバー間でどのように同期されますか。
A. Cisco ASA Software リリース 9.0 では、Cluster Control Link(CCL)を使用して、クラスタ全体にわたるすべてのステート情報を同期させます。

Q. クラスタはどのように管理されますか。
A. クラスタ化された ASA アプライアンスは 1 つのファイアウォール インスタンスとして動作するため、Cisco Application Security Device Manager(ASDM)の 1 つのインスタンスが、8 ユニット クラスタを 1 つの ASA ユニットとして管理できます。設定作業をシンプル化するために、ASDM High Availability and Scalability ウィザードにクラスタ設定手順が追加されています(図 1)。
図 1 ASDM High Availability and Scalability ウィザードのクラスタ設定手順

図 1 ASDM High Availability and Scalability ウィザードのクラスタ設定手順


クラスタが導入されると、ASDM Cluster Dashboard(図 2)の 1 つの画面にクラスタ全体が表示されます。このダッシュボードには次の情報が表示されます。
  • デバイス情報(IP アドレス、バージョン、ロールなど)
  • ヘルス ステータス:CPU およびメモリの使用率
  • クラスタ全体の平均的な CPU とメモリのステータス
  • 制御リンクの使用状況
  • パフォーマンス統計情報:1 秒あたりの接続数とスループット
  • 容量情報(接続数)
図 2 ASDM Cluster Dashboard

図 2 ASDM Cluster Dashboard


クラウド Web セキュリティの統合


Q. クラウド Web セキュリティがファイアウォールに統合されていることの利点は何ですか。
A. Cisco クラウド Web セキュリティが Cisco ASA Software リリース 9.0 に統合されたことにより、組織は集中型のコンテンツ セキュリティ ソリューションとローカライズされたネットワーク セキュリティを組み合わせて使用できます。Web セキュリティ サービスが有効になるとパフォーマンスが大幅に低下する Unified Threat Management(UTM)アプライアンスとは異なり、この構成では、コンテンツ スキャンは Cisco Web セキュリティ クラウドにオフロードされるため、ASA のパフォーマンスが影響を受けることはまったくないか、ほとんどありません。管理者は、ネットワーク アドレス、Microsoft Active Directory のユーザ名またはグループ名、または特定のセキュリティ コンテキスト内に存在するホストに基づき、トラフィックのサブセットに対するディープ コンテンツ スキャンを実行できます。

Q. Cisco ASA はどのようにしてトラフィックを Cisco クラウド Web セキュリティへリダイレクトしますか。
A. Cisco ASA モジュラー ポリシー フレームワーク(MPF)では、幅広いニーズを満たす柔軟なポリシーを作成できます。発信トラフィックはユーザ名、ユーザ グループ、送信元、宛先に基づいて分類できます。宛先はさらに 3 つのカテゴリに大まかに分類できます。
  • 承認されたトラフィック:会社のポリシーによって承認されている既知の安全な Web サイトから送信されるトラフィック
  • VPN トラフィック:サイト間 VPN トンネルを通過するトラフィック
  • Cisco クラウド Web セキュリティにリダイレクトされるトラフィック:URL フィルタリング、ウイルス対策スキャン、ScanSafe の「SCANLET」を利用した Web コンテンツ スキャン、Web アプリケーションの可視化と制御といった詳細な Web ポリシー コントロールを目的として、Cisco クラウド Web セキュリティに送られるトラフィック

トラフィックの分類基準を組み合わせて照合することもできます(たとえば、ゲスト、ベンダー、研修生などのユーザのグループを Cisco クラウド Web セキュリティによるインスペクションの対象として選択できます)。


Q. 統合 Cisco クラウド Web セキュリティは、他のファイアウォール ベンダーが標準で提供している Web セキュリティ機能と比較してどこが優れていますか。
A. オールインワン型のセキュリティ ソリューションの主な課題は、ファイアウォール、ネットワーク アクセス コントロール、Web、ウイルス対策、VPN などのすべてのセキュリティ機能が、限られた計算リソース(たとえば、CPU、正規表現、暗号処理リソース)を奪い合って競合することです。その結果、有効化するサービスが増えるにつれてパフォーマンスが大幅に低下することがあります。それに比べて、ASA 9.0 に統合された Cisco クラウド Web セキュリティでは、ウイルス対策と Web セキュリティのコンポーネントは拡張性の高い Cisco クラウド Web セキュリティ クラウド上で実行され、ネットワーク セキュリティ コンポーネントは Cisco ASA 上で実行されます。その結果、パフォーマンスにまったく、あるいはほとんど影響を及ぼすことなく、両方のサービスを適用してセキュリティの有効性を最大限に発揮することができます。

Q. 私の導入環境では、アイデンティティ認証の準備ができていません。それでも Cisco ASA Software リリース 9.0 で Cisco クラウド Web セキュリティ コネクタを使用できますか。
A. はい。5 つのタプルに基づいて、または Cisco ASA でカットスルー プロキシとローカル データベース ユーザを使用することによって、トラフィックを Cisco クラウド Web セキュリティにリダイレクトできます。ただし、どちらの方法でも、ASA と Cisco クラウド Web セキュリティの両方で、ユーザ レベル レポート、グループ レベル レポート、およびポリシー コントロールは使用できなくなります。

Q. Cisco ASA アプライアンスがマルチコンテキスト モードに設定されている場合、Cisco クラウド Web セキュリティを使用できますか。
A. はい。ASA がマルチコンテキスト モードに設定されている場合、マネージド セキュリティ プロバイダーはコンテキスト単位で Cisco クラウド Web セキュリティを有効にできます。ただし、Cisco ASA がトランスペアレント モードに設定されている場合、Cisco クラウド Web セキュリティはサポートされないことに注意してください。

Q. Cisco クラウド Web セキュリティを Cisco ASA に統合するときに必要な設定手順を教えてください。
A. Cisco ASA は、Cisco クラウド Web セキュリティ情報とトラフィック分類という 2 つの大きなコンポーネントから構成されています。トラフィック分類は Cisco ASA モジュラー ポリシー フレームワーク(MPF)を使用して実行されますが、Cisco クラウド Web セキュリティ分類では次の情報が必要とされます。
  • Cisco クラウド Web セキュリティ タワー(プライマリとバックアップ)の IP アドレス
  • 有効なライセンス
  • タワーを「デッド」と宣言するまでの指定された「リトライ回数」
Q. 私の組織では従業員の最大 10 % がリモート ユーザです。これらのリモート ユーザに Cisco クラウド Web セキュリティの機能を適用するにはどうすればよいですか。
A. Cisco クラウド Web セキュリティの機能は、Cisco AnyConnect® Secure Mobility Client を介してリモート ユーザに適用されます。AnyConnect クライアントが Web トラフィックと VPN トラフィックのスプリット トンネリングを実行することによって、インターネット トラフィックを本社にバックホールする必要がなくなるため、リモート アクセスの複雑な使い方が可能になります。たとえば、ユーザが米国から日本へ出張しているときは、VPN トンネルが米国の本社の所在地で終端していても、AnyConnect は日本国内の最も近い Cisco クラウド Web セキュリティ タワーを自動的に見つけます。

Q. 携帯端末(iPhone および iPad)で Web 2.0 ポリシーを適用するにはどうすればよいですか。
A. まず、Cisco AnyConnect Secure Mobility Client が Cisco ASA ヘッドエンドへのトンネルを起動します。ASA は、トンネル トラフィックの一部(ポート 80 およびポート 443)を Cisco Web セキュリティ クラウドにリダイレクトして、Web 2.0 アプリケーションを適用します。この処理全体が、エンドユーザに対して透過的に行われます。

Q. すべての Cisco ASA プラットフォームで Cisco クラウド Web セキュリティ統合を利用できますか。
A. はい。Cisco クラウド Web セキュリティ統合は、Cisco ASA 5500 シリーズ、Cisco ASA 5500-X シリーズ、Cisco Catalyst 6500 シリーズ ASA サービス モジュールを含む、現在出荷されているすべての Cisco ASA アプライアンス プラットフォームで利用できます。Cisco ASA 1000V クラウド ファイアウォールでは、まだ利用できません。

Q. この統合ソリューションでは、どのようにして高可用性を実現していますか。
A. 高可用性(HA)技術として、Cisco クラウド Web セキュリティ タワー HA と Cisco ASA HA の 2 つを使用しています。Cisco クラウド Web セキュリティ タワー情報を設定するときには、プライマリ タワーが故障したときに Web トラフィックを自動的にセカンダリ タワーにリダイレクトするバックアップの Cisco クラウド Web セキュリティ タワーを設定できます。Cisco ASA HA を使用している場合は、ASA と Cisco クラウド Web セキュリティ タワーを含むシステム全体がアクティブ/パッシブ モードまたはアクティブ/アクティブ モードのいずれかで完全冗長性を確保できます。例外的な環境で、(インターネット接続を失ったなどの理由で)両方の Cisco クラウド Web セキュリティ タワーが使用できなくなった場合は、ASA がフェールオープンまたはフェールクローズするように設定できます。

Q. 統合 Cisco クラウド Web セキュリティの詳細はどこで調べることができますか。
A. Cisco クラウド Web セキュリティの Web AVC に関する詳細は、「Application Visibility and Control now available in Cisco Cloud Web Security」に記載されています。

セキュアなリモート アクセス


Q. ASA は IPv6 リモート アクセス接続をサポートしていますか。
A. はい。ASA 8.4 以降、IPv4/IPv6 デュアル スタックは SSL トンネル内でサポートされています。ASA 9.0 ではこのサポートを拡張して、Cisco AnyConnect 3.1 以降と組み合わせて使用した場合に、パブリック インターフェイス上で IPv4 と IPv6 を有効にします。ASA 9.0 では、IPv6 クライアントレス サポートも有効になります。

Q. ASA 9.0 は Suite B 暗号化標準をサポートしていますか。
A. はい。ASA 9.0 は、IPSec トンネルを使用したリモート アクセス接続や、サイト間接続用の Suite B 暗号化標準など、包括的な次世代暗号化機能を備えています。詳細については、この文書の「AnyConnect VPN - Next Generation Encryption」のセクションを参照してください。

Q. すべての ASA プラットフォームで次世代暗号化機能を利用できますか。
A. いいえ。次世代暗号化機能は、ASA 5585-X、5500-X シリーズおよび 5580、Catalyst 6500 シリーズ ASA サービス モジュールで完全にサポートされています。ハードウェアの制約により、ASA 5505、5510、5520、5540、5550 では部分的にしかサポートされていません。次世代暗号化機能をリモート アクセス接続で使用するには、AnyConnect 3.1 以降および AnyConnect Premium ライセンスも必要です。

Q. Cisco AnyConnect Secure Mobility Client を ASA 9.0 と組み合わせて使用できますか。
A. はい。Cisco AnyConnect Secure Mobility Client は ASA 9.0 で完全にサポートされています。できるだけ早く、VPN リモート アクセス用の AnyConnect へ移行することをお勧めします。

Q. ASA 9.0 は仮想デスクトップ インフラストラクチャ(VDI)をサポートしていますか。
A. はい。ASA 9.0 では、Citrix VDI 導入用に ASA ネイティブ クライアントレス サポートがアップデートされており、XenApp 6.5 と、ノート PC、デスクトップおよびモバイル デバイス(Citrix Mobile Receiver)の最新バージョンの XenDesktop(5.5 以前)が含まれています。VMware VDI 導入のサポートも、(SmartTunnels を介して)提供されています。過去のリリースと同様に、Cisco AnyConnect は Citrix と VMWare VDI の導入をサポートしています。