Cisco ASA 1000V クラウド ファイアウォール

Cisco ASA 1000V クラウド ファイアウォール Q&A

Q&A





Cisco ASA 1000V クラウド ファイアウォール



一般的な質問


Q. Cisco® ASA 1000V クラウド ファイアウォールとはどのようなものですか。
A. Cisco® ASA 1000V クラウド ファイアウォールは、マルチテナントのプライベートおよびパブリック クラウドの導入環境でテナントのエッジを保護する仮想セキュリティ アプライアンスです。Cisco ASA 1000V は、この特定の用途のために最適化された実績のある Cisco 適応型セキュリティ アプライアンス(ASA)セキュリティ テクノロジーを利用しています。デフォルト ゲートウェイ(レイヤ 3 ファイアウォール)として機能し、エッジ機能を提供して、ネットワーク ベースの攻撃を防ぎます。Cisco Nexus® 1000V シリーズ スイッチと統合されているため、柔軟な導入が可能です。

Q. Cisco ASA 1000V クラウド ファイアウォールは Cisco Virtual Security Gateway(VSG)とどのように違いますか。
A. Cisco ASA 1000V クラウド ファイアウォールは強力なテナント エッジ セキュリティを提供しますが、Virtual Security Gateway(VSG)はテナント内のトラフィックを保護します(仮想マシン(VM)間のトラフィックに対するテナント内セキュリティ)。
2 つの製品の主な違いを表 1 にまとめます。

表 1 Cisco ASA 1000V クラウド ファイアウォールと Cisco Virtual Security Gateway の相違点

Cisco ASA 1000V クラウド ファイアウォール Cisco Virtual Security Gateway
テナント エッジを保護 テナント内(VM 間)トラフィックを保護
デフォルト ゲートウェイ(すべてのパケットが Cisco ASA 1000V を通過) VSG はパフォーマンス高速化のためにトラフィックを vPath にオフロードし、最初のパケットだけが VSG を通過
レイヤ 3 ファイアウォール(垂直方向のトラフィック) レイヤ 2 ファイアウォール(水平方向のトラフィック)
ネットワーク属性ベースのアクセス コントロール リスト(ACL)、サイト間 VPN、ネットワーク アドレス変換(NAT)、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)、ステートフル インスペクション、IP 監査、TCP インターセプト、認証、許可、およびアカウンティング(AAA)などのエッジ ファイアウォール機能 ネットワーク属性と仮想マシン属性に基づくポリシー

これら 2 つの製品は相互に補完し合って、プライベート クラウドとパブリック クラウドに対する強力なエンドツーエンドのセキュリティを提供します。お客様がよりフラットなネットワークに移行すると、Cisco ASA 1000V クラウド ファイアウォールは VLAN に依存しないソリューションを提供して、テナントのエッジを保護します。VSG を使用すると、テナント内のフラットなネットワークを分割して保護できます。

Q. Cisco ASA 1000V と共に Cisco VSG を実行する必要がありますか。
A. いいえ。Cisco ASA 1000V と Cisco VSG は相補的な機能を提供しますが、これらは異なる製品であり、相互に独立して実行できます。お客様の環境によっては、ASA 1000V と VSG を共存させて、プライベート クラウドやパブリック クラウドにエンドツーエンド(テナント内とテナント エッジ)のセキュリティを提供できます。ただし、Cisco VSG は、Cisco ASA 1000V の必須コンポーネントではありません。

Q. Cisco ASA 1000V は、シスコの大局的なネットワーク仮想化のビジョンにどのように適合しますか。
A. シスコのビジョンは、コンポーネントと「標準」を物理環境から仮想環境へと広げつつ、仮想化の作り出す死角とセキュリティ ホールに対処することです。
  • Cisco ASA 1000V クラウド ファイアウォールは、Cisco Nexus 1000V シリーズ スイッチを使用して、シスコの定評あるネットワーク コンポーネントを仮想化環境やクラウド環境でも利用できるようにします。
  • Cisco ASA 1000V は、十分に実績のあるセキュリティ コンポーネントを、物理環境だけでなくプライベート クラウドおよびパブリック クラウドの環境にも展開することで、セキュリティを強化します。Cisco ASA 1000V は、Cisco Nexus 1000V シリーズ スイッチの内蔵コンポーネントである vPath と統合されています。vPath は、Cisco ASA 1000V、Cisco VSG、Cisco Virtual Wide Area Application Services(vWAAS)などの仮想サービス ノードに対する単一のインテリジェントなデータ プレーンとして機能します。この統合ポイントにより、Cisco ASA 1000V はハイパーバイザに対するフックと可視性を利用することができます。この点は、シスコが拡張が容易で異種混合ハイパーバイザ環境をサポートするアーキテクチャを構築する上でも役立っています。
  • Cisco ASA 1000V は、セキュリティ チーム、ネットワーク チーム、サーバ チームに対してそれぞれ異なる管理制御ポイントを維持することで、現在の運用ワークフローが中断しないようにします。Cisco Virtual Network Management Center(VNMC)は、Cisco VSG と Cisco ASA 1000V を含むシスコの仮想セキュリティ サービスに対する単一の管理ポイントとして機能します。
Q. Cisco ASA 1000V は、シスコの大局的なセキュリティ戦略にどのように適合しますか。
A. Cisco ASA 1000V は、既存の Cisco 適応型セキュリティ アプライアンス(ASA)インフラストラクチャを使用します。このインフラストラクチャは、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスや Cisco Catalyst® 6500 シリーズ ASA サービス モジュールなどの他の ASA フォーム ファクタとの整合性を維持しつつ、クラウド固有の用途のために最適化されています。お客様は、ネットワーク インフラストラクチャと導入要件に最も適した ASA フォーム ファクタを柔軟に選択しつつ、統合されたクラス最高のセキュリティ フレームワークを作成できます。このアプローチは、物理、仮想、クラウドのハイブリッド インフラストラクチャを一貫して保護するというシスコの独自性を表わしています。

Q. Cisco ASA 1000V クラウド ファイアウォールは、ASA の物理的な導入環境を置き換えるものですか。
A. いいえ。Cisco ASA 1000V は新しい用途をターゲットにしています。ASA 1000V は、柔軟な拡張と簡単な導入を必要とするマルチテナントのプライベートおよびパブリックのクラウド インフラストラクチャ内のテナント エッジを保護します。

物理的な ASA アプライアンスは、パフォーマンスが重視されるインターネット エッジの導入環境に適しています。


Q. Cisco ASA 1000V クラウド ファイアウォールとマルチコンテキスト ライセンスの物理 ASA アプライアンスはどのように違いますか。
A. どちらも、マルチテナントのプライベートおよびパブリック クラウドを分割して保護するための有効なオプションです。最も適切なオプションは、お客様の環境と要件によって異なります。Cisco ASA 1000V クラウド ファイアウォールは、迅速な導入と柔軟な拡張に加えて、(物理的なセキュリティ アプライアンスにトラフィックを U ターンさせる代わりに)仮想化環境に近い位置で適用されるセキュリティ機能や、VLAN に依存しないソリューション、さらに、仮想ソリューションによる全体的な柔軟性の高さを必要とする環境に最も適しています。

セクション 2:機能と利点


Q. Cisco ASA 1000V Cloud Builder はどのような機能をサポートしますか。
A. Cisco ASA 1000V は ASA インフラストラクチャを使用します。最初のリリースの機能セットは、テナント エッジの保護という目的のために最適化されています。具体的には、マルチテナントのエッジ セキュリティ、デフォルト ゲートウェイの機能、ネットワークベースの攻撃からの保護といった機能があります。Cisco ASA 1000V には次のような特徴があります。
  • 広く導入されているセキュアな接続ソリューションを採用して、IT インフラストラクチャの範囲をクラウドまで拡大し、ミッション クリティカルなワークロードを離れた場所にも安全に転送します。
  • 既存の物理インフラストラクチャと拡張されたクラウド インフラストラクチャの間、またはクラウド インフラストラクチャ内の複数のテナントの間で一貫したアドレス空間を使用できるオプションがあるため、運用効率が向上します。
  • 複数の仮想マシン(VM)を急いでプロビジョニングする場合に、各 VM に IP アドレスを自動的にプロビジョニングすることで、完全に機能する VM の導入にかかる時間を短縮します。
  • ネットワークベースの攻撃からクラウドの境界を保護します。
  • Virtual Extensible LAN(VXLAN)ゲートウェイとして機能し、インフラストラクチャのセグメンテーションを拡張性の高い方法で実現できます。
Q. Cisco ASA 1000V クラウド ファイアウォールがサポートする機能と物理 ASA の機能はどのように違いますか。
A. ASA 1000V の機能セットは、テナント エッジの保護という特定の用途に合わせて最適化されています。したがって、デフォルト ゲートウェイ(レイヤ 3 ファイアウォール)として機能し、ネットワーク属性に基づく ACL や、サイト間 VPN、NAT、DHCP、インスペクション、TCP インターセプト、IP 監査などのエッジ ファイアウォール機能を提供します。また、Cisco ASA 1000V は、vMotion や VMware ハイ アベイラビリティ(HA)などの仮想化特有の追加機能も提供します。詳細については、Cisco ASA Software Release 8.7 のリリース ノートを参照してください。

Q. 仮想化されたインフラストラクチャでは、Cisco ASA 1000V は VM として実行しますか。
A. はい。

Q. Cisco ASA 1000V にはインターフェイスがいくつありますか。
A. Cisco ASA 1000V には、inside、outside、failover、management の 4 つのインターフェイスがあります。

ASA 1000V は、(仮想マシンのグループまたはカテゴリに基づいて)同じ VLAN およびサブネット上の異なる VM グループにそれぞれ異なるセキュリティ ポリシーを適用できるようにすることで、ポリシーの作成と適用の柔軟性と簡素化を実現します。ASA 1000V の各インスタンスでは、同じ VLAN およびサブネット上の異なる VM セットに関連付けられた、明確に定義されたセキュリティ ポリシーを持つ複数のエッジ プロファイルをサポートできます。

Cisco ASA 1000V ソリューションのコンポーネント


Q. Cisco ASA 1000V には Cisco Nexus 1000V シリーズ スイッチが必要ですか。
A. はい。ASA 1000V は Cisco Nexus 1000V シリーズ スイッチと緊密に統合されており、このスイッチによって、アーキテクチャ上のメリットとハイパーバイザへのフックが ASA 1000V に提供されます。vPath は、Cisco Nexus 1000V シリーズと統合されたすべての仮想サービスに対する単一のインテリジェントなデータ プレーンであり、これらの仮想サービス間でのインテリジェントなトラフィック ステアリングとサービス チェーンを可能にします。このソリューションの主な差別化要因を次に示します。

  • 単一の Cisco ASA 1000V インスタンスで複数の VMware ESX ホストを保護できるため、導入時の柔軟性が高まります。この特徴により、各ホストにインスタンスを導入する必要がなくなるので、リソースとコストを大きく最適化できます。また、このソリューションにより導入の柔軟性も大きく向上します。リソースの競合を防ぐために、お客様は Cisco ASA 1000V を導入するリソースと、ミッション クリティカルなアプリケーションを導入するリソースとを切り離すことができます。
  • 複数のハイパーバイザに対応可能なソリューションを構築できます。異種混合ハイパーバイザ環境に移行する際に、Cisco Nexus 1000V シリーズをさまざまなハイパーバイザの統合ポイントにすることができます。そのため、ハイパーバイザごとに Cisco ASA 1000V のような仮想サービスを独自に作成する必要はありません。
  • Cisco Nexus 1000V によって有効化された VXLAN ゲートウェイとして機能することにより、優れた拡張性を実現します。
Q. ASA 1000V はどのハイパーバイザをサポートしますか。
A. Cisco ASA 1000V の最初のリリースでは、VMware vSphere ハイパーバイザ 4.1 以降をサポートしています。

Q. Cisco ASA 1000V が他のハイパーバイザをサポートするようになるのはいつですか。
A. Cisco Nexus 1000V シリーズでは、ハイパーバイザについての可視性が提供されます。他の競合製品でこの可視性を得るためには、VMSafe などのハイパーバイザ ベンダーから提供される API が必要です。Cisco ASA 1000V は複数のハイパーバイザに対応しており、将来のバージョンで他のハイパーバイザに簡単に拡張できます。

Q. ASA 1000V は Cisco Nexus 1000V シリーズの機能ですか。
A. いいえ。Cisco ASA 1000V は独立した製品です。ただし、Cisco Nexus 1000V シリーズの導入環境を想定した設計になっています。

Q. Cisco ASA 1000V は Cisco Nexus 1010 仮想サービス アプライアンスでサポートされていますか。
A. いいえ、最初のリリースではサポートされていません。

Q. Cisco ASA 1000V はどのように管理するのですか。
A. Cisco Virtual Network Management Center(VNMC)が、Cisco ASA 1000V と Cisco Virtual Security Gateway(VSG)の両方に対する主要なマネージャとなります。さらに、Cisco Adaptive Security Device Manager(ASDM)でも Cisco ASA 1000V を管理できます。

Q. VNMC とはどのようなものですか。なぜ ASA 1000V に VNMC が必要なのですか。
A. Cisco Virtual Network Management Center(VNMC)は、Cisco ASA 1000V クラウド ファイアウォールや Cisco Virtual Security Gateway(VSG)といったシスコ仮想セキュリティ サービスのための、マルチテナント対応かつマルチデバイスのポリシー駆動型管理ソリューションであり、仮想インフラストラクチャとクラウド インフラストラクチャのエンドツーエンドのセキュリティを提供します。VNMC は仮想化特有のワークフローに合わせて作成されています。VNMC には次のような利点があります。

  • セキュリティ プロファイル ベースのテンプレートを利用した動的なポリシー管理により、迅速かつスケーラブルな導入が可能です。
  • VMware vCenter と統合され、仮想マシン属性を使用できます(仮想マシン属性に基づくポリシーに必要です)。
  • XML API を通じてサードパーティの管理ツールやオーケストレーション ツールをプログラム的に統合できるため、柔軟な管理が可能です。
  • ネットワーク管理者、サーバ管理者、およびセキュリティ管理者のためのロールベースの管理インターフェイスにより、コラボレーション ガバナンスを保証できます。
Q. Cisco Security Manager は Cisco ASA 1000V を管理しますか。
A. いいえ、ASA 1000V は Cisco Security Manager の管理対象ではありません。VNMC は、仮想化特有のワークフローに合わせてカスタムで作成されています。マルチテナント構造や、テンプレートによるポリシーの関連付けに加えて、vCenter との統合により仮想マシン属性についての可視性を提供します。これらは仮想セキュリティ アプライアンス マネージャにとって重要な機能です。

Q. Cisco ASA 1000V を Cisco Unified Computing System™ に導入する必要がありますか。
A. いいえ。Cisco ASA 1000V は、VMware がサポートする任意のハードウェア プラットフォームで実行できます。Cisco UCS® プラットフォームは、そうしたプラットフォームの 1 つにすぎません。

ライセンス、タイムライン、その他の詳細


Q. パフォーマンス メトリックはどのくらいですか。
A. Cisco ASA 1000V クラウド ファイアウォールのパフォーマンスは、それが動作している物理的なハードウェアと利用可能なリソースに依存します。

Q. Cisco ASA 1000V の 1 つのインスタンスはどのくらいのリソースを消費しますか。
A. ASA 1000V の 1 つのイメージは、1 つの vCPU と 1.5 GB の RAM を消費します。

Q. Cisco ASA 1000V のインスタンスに割り当てられるリソースを変更できますか。
A. いいえ。1 つのインスタンスに割り当てられるリソースを増やすと警告が発生します。規定の仕様よりリソースの割り当てを減らすと、ASA 1000V のパフォーマンスに影響があります。

Q. ASA 1000V はどのバージョンの ASA ソフトウェアをサポートしますか。
A. ASA 1000V は、Cisco ASA Software Release 8.4 をベースとする Cisco ASA Software Release 8.7 でサポートされます。

Q. Cisco ASA 1000V はアイデンティティ ファイアウォール機能をサポートしますか。
A. マルチテナント エッジの用途に特化しているため、最初のリリースではサポートしません。

Q. Cisco ASA 1000V は vBlock パッケージの一部として使用できるようになりますか。
A. はい。現在、シスコは vBlock チームと協力して、ASA 1000V を vBlock パッケージに組み込んでいます。近いうちに利用できるようになる見込みです。

Q. Cisco ASA 1000V クラウド ファイアウォールはどのようにライセンスされますか。
A. Cisco ASA 1000V は保護された CPU ソケットごとにライセンスされます。ライセンス モデルは、Cisco Nexus 1000V シリーズおよび Cisco VSG で使用されているものと似ています。Cisco ASA 1000V は保護された CPU ソケットごとにライセンスされます。