 |
||
|
|
データ シート
Cisco Adaptive Security Device Managerバージョン5.0
Cisco® Adaptive Security Device Managerは、直感的で使いやすいWebベースの管理インターフェイスを介して、世界クラスのセキュリティ管理およびモニタリング サービスを提供します。Cisco ASDMは、Cisco ASA 5500シリーズ適応型セキュリティ アプライアンス、Cisco PIXセキュリティ アプライアンスに付属しており、Ciscoセキュリティ アプライアンスの高度なセキュリティおよびネットワーキング機能を補完するインテリジェントなウィザード、安定した管理ツール、および多目的のモニタリング サービスを提供し、迅速なセキュリティ アプライアンスの展開を可能にします。セキュアなWebベース設計により、いつでも、どこからでもCisco ASA 5500シリーズ適応型セキュリティ アプライアンスやCisco PIXセキュリティ アプライアンスにアクセスできます。
統合された管理ソリューションが提供する柔軟なアクセス オプション
Cisco Adaptive Security Device Manager(ASDM) は、ネットワーク上のJavaプラグインに対応したPCからブラウザを使用して直接アクセスすることが可能です。これにより、セキュリティ管理者は、Cisco ASA 5500シリーズ適応型セキュリティ アプライアンスやCisco PIXセキュリティ アプライアンスに迅速かつ安全にアクセスできます。また、独自の管理者向けオプション機能として、セキュリティ アプライアンスから管理者のPCに直接ダウンロードできる、Microsoft Windowsベースのランチャー アプリケーションを提供しています。このアプリケーションは、Cisco ASDMの起動を高速化して、セキュリティ アプライアンスを効率的に管理できるようにします。複数のCisco ASDMランチャー アプリケーションを単一の管理ワークステーションで実行できるので、管理者は1カ所から複数のセキュリティ アプライアンスに接続でき、小規模のビジネス環境における管理が簡素化されます。
スタートアップ ウィザードによるセキュリティ アプライアンスの迅速な導入
Cisco ASDMは、セキュリティ アプライアンスの迅速な導入を補助するスタートアップ ウィザードを提供します。シンプルなステップ バイ ステップの設定パネルは、管理者がアプライアンスを導入する際の作業を迅速化し、トラフィックをネットワークに安全に送信するための設定を支援します。起動ウィザードでは、DHCPサーバの設定、NAT(ネットワーク アドレス変換)、管理アクセス、Auto Update(自動更新)などのオプション機能も設定できます。Auto Updateは、アプライアンスの設定とソフトウェア イメージを最新に保つための画期的かつセキュアなリモート管理機能です。
ダッシュボードから管理者に提供されるリアルタイムの重要なシステム ステータス情報
Cisco ASDM 5.0は、システムの包括的な概要とデバイスの正常性統計が一目でわかる、動的ダッシュボードを提供しています(図1)。設定したCiscoセキュリティ アプライアンスを自動的に検知し、デバイスごとに、ソフトウェアのバージョン、ライセンス情報、重要な統計情報を表示します。複雑なネットワーク環境において、リアルタイムのステータス インジケータを管理者に提供し、強力な分析ツールと高度なモニタリング機能のベースを提供します。たとえば、ネットワーク アドレス、ポート番号、ホスト名などに基づいてSyslogをフィルタリングするためのパターン照合機能を備えたリアルタイムのSyslogビューアなどがあります。このリリースでは、管理者が特定の機能を設定する場所を検索できる強力な検索エンジンが導入され、ポイント アンド クリックによって検索結果に簡単にアクセスできます。
図1 Cisco ASDMホームページ
安定したセキュリティ ポリシー管理による運用コストの削減
Cisco ASDMバージョン5.0は、強力な管理サービス セットを備えており、セキュリティ管理者は、再利用可能なネットワークやサービス オブジェクト グループ、複数のセキュリティ ポリシーから参照できる検査ポリシー マップを作成できるようになります。これにより、セキュリティ ポリシーの定義と継続的なポリシーのメンテナンスが簡素化されます。また、ユーザおよびグループ ベースのアクセス リスト、時間ベースのアクセス リスト、インバウンド/アウトバウンド アクセス リストなど、Cisco ASAソフトウェア バージョン7.0およびCisco PIXセキュリティ アプライアンス ソフトウェア バージョン7.0で提供されるさまざまなアクセス制御機能もサポートしています。Cisco ASDMバージョン5.0では、これらのソフトウェア バージョンがサポートする、新しいモジュラ ポリシー フレームワークにも対応しています。この強力で柔軟性の高いフレームワークにより、管理者はさまざまな条件に基づいてネットワーク フローまたはトラフィック クラスを識別し、カスタマイズ可能な検査サービス、Quality of Service(QoS;サービス品質)サービス、各フローまたはトラフィック クラスへの接続サービスなどを設定できます。これらの高度なアクセス制御およびアプリケーション検査機能に、使いやすく継続的なポリシー管理サービスを組み合わせることで、すべての規模の企業に対して安定かつ柔軟なセキュリティ プロファイルの提供を行います。
安全なロールベースの管理アクセスを使用したビジネス クラスのセキュリティ サービス
Cisco ASDMバージョン5.0は、堅牢なセキュリティ サービスを複数統合して、デバイスへの不正な管理アクセスを阻止します。また、Cisco ASA 5500シリーズ適応型セキュリティ アプライアンスやCisco PIXセキュリティ アプライアンス上のローカル認証データベース、またはRADIUS/TACACSサーバを含む、さまざまな管理者認証方式をサポートしています。Cisco ASDM(管理者のPCで稼働)とセキュリティ アプライアンス間の通信はすべて、56ビットのデータ暗号化規格(DES)またはより安全な168ビットのTriple DES(3DES)アルゴリズムによって、SSLを使用して暗号化されます。Cisco ASDMは、最大16レベルのカスタマイズ可能な管理アクセスをサポートしており、管理者とオペレータには、管理対象となるそれぞれのCiscoセキュリティ アプライアンスに対する適切な権限レベルが付与されます(モニタリングのみ、設定の読み取りアクセスなど)。
豊富なVPN管理によるビジネス パートナーとリモート サイトへの安全な接続の拡張
Cisco ASDMバージョン5.0は、サイト間VPNに必要なIKEおよびIPSecポリシーの設定の簡素化を実現するインテリジェントなVPNウィザードを含めた、VPN設定機能を提供します。また、Cisco ASDMは、Cisco Easy VPNリモート アクセス コンセントレータ サービスの包括的な管理機能をサポートし、VPNクライアントに対するセキュリティ要件の適用、自動ソフトウェア アップグレード、VPNクラスタリングなどの設定に対応しています。Cisco ASA 5500シリーズにおいては、Cisco WebVPNの包括的な管理にも対応し、管理者は、さまざまなウェブ ブラウザからのSSL暗号化による接続を迅速に設定および有効にすることができます(図2)。Cisco ASDMは先進のVPNモニタリング機能も搭載しており、セッション持続時間、データ転送量などの各種情報を、統計やグラフによって管理者に提供します。
図2 WebVPNによる設定
包括的な管理サービスによる高度なアプリケーション検査の補完
Cisco ASAソフトウェア バージョン7.0およびCisco PIXセキュリティ アプライアンス ソフトウェア バージョン7.0には、HTTP(図3)、FTP(ファイル転送プロトコル)、Sun Remote Procedure Call(SunRPC)、H.323、SIPなどのさまざまなプロトコルで駆動する最新のアプリケーションに対応した、30以上の専用検査エンジンが組み込まれています。Cisco ASDMバージョン5.0は、アプリケーションごとにインテリジェントなデフォルト設定を行っているほか、ポイント アンド クリックによるカスタマイズ機能を提供しています。これにより、アプリケーションの悪用やトンネリング攻撃からミッションクリティカルなアプリケーションとリソースを保護する、安定したセキュリティ プロファイルを迅速に設定できます。きめ細かなフローベースの制御を実行して検査サービスを定義し、アプリケーションを精密に制御できるエンタープライズ クラスのツールを管理者に提供します。
図3 高度なHTTP検査サービスの設定
インテリジェントなユーザ インターフェイスによる複雑なネットワーク環境への統合の簡素化
Cisco ASDMバージョン5.0は、Cisco ASA 5500シリーズ適応型セキュリティ アプライアンスおよびCisco PIXセキュリティ アプライアンスの豊富なネットワーク統合機能を、簡単かつ適切に管理します。仮想化によって、単一のCisco PIXセキュリティ アプライアンス内に複数のセキュリティ コンテキスト(仮想ファイアウォール)を作成し、各コンテキストに独自のセキュリティ ポリシー、論理インターフェイス、および管理ドメインを設定できます。Cisco ASDMは、インテリジェントな仮想化システム管理機能を使用して、セントラル システムの管理者が、仮想ファイアウォールおよびシステム上の各機能のすべてを詳細に表示できるようにします(図4)。個別のコンテキスト ユーザは、Cisco ASDMと同じ外観と操作性、および豊富な管理とモニタリング機能を利用できます。ただし、設定と機能へのアクセスは、割り当て済みのコンテキスト内に制限され、セントラル システムの管理者によって指定されます。個別のコンテキスト ユーザは、管理者が作成したセキュリティ ポリシーを踏まえ、Cisco ASDMを使用して仮想ファイアウォール用の設定をカスタマイズできます。
図4 セキュリティ コンテキストのシステム管理者ビュー
Cisco ASDMは、PIM等のマルチキャスト ルーティング、OSPFによる、ダイナミック ルーティング(図5)、IEEE 802.1qベースのVLANインターフェイス、QoSメカニズムなどの包括的な制御機能を管理者に提供します。初級ユーザの場合、Cisco ASDMのインテリジェントなデフォルト設定と詳細なオンライン ヘルプを組み合わせて、ネットワーク サービスの設定を簡素化できます。上級ユーザは、幅広い機能のサポートを活用して、Ciscoセキュリティ アプライアンスを複雑なルーティングおよびスイッチング環境に組み込むことができます。
図5 高度なOSPF設定
独自のセキュリティ管理インターフェイスによる一貫性のある管理サービス
Cisco ASDMバージョン5.0は、Cisco ASA 5500シリーズ適応型セキュリティ アプライアンスおよびCisco PIXセキュリティ アプライアンスの、設定、管理、モニタリングを統合的に提供するソリューションです。セキュリティおよびVPNサービスに対する豊富な設定、管理機能に加え、Cisco ASA 5500シリーズがサポートする適応型セキュリティ サービスへのビジネス クラスの管理ソリューションも提供します。
Cisco ASDMは、運用コストを削減しつつ、ネットワークのセキュリティ レベルの向上を可能にします。これは、Cisco Advanced Inspection and Protection Security Services Module(AIP-SSM)のさまざまなAnti-X防御機能に対して、透過的な管理機能を提供することによって実現されています。これらのサービスは、不正侵入、ネットワーク攻撃、DoS攻撃、ワームやネットワーク ウィルス、トロイの木馬、スパイウェア、アドウェア等の悪意をもったソフトウェアなどに対する防御機能を提供します。Cisco ASDMは、管理者が、これらのサービスを迅速に設定することを可能にします。Traffic Risk Rating(トラフィック リスク評価)、Meta Event Generator(メタ イベント ジェネレータ)など、シスコが独自に開発した正確な防御テクノロジーにも対応しています(図6)。Cisco ASDMは、正常なネットワーク トラフィックを破棄するリスクを回避しつつ、さまざまな脅威からネットワークを保護するという行為を、企業が大きな自信を持って実現できる環境を提供します。
図6 AIP-SSMのイベント アクション設定
高度なモニタリング ツールおよびレポート ツールによるビジネスクリティカルな分析
モニタリング ツール
Cisco ASDMバージョン5.0は、ホームページ上にわかりやすく配置されたモニタリング機能に加え、より詳細なモニタリングおよびレポート サービスを提供しています(図7)。多目的分析ツールにより、リアルタイムでの使用状況、セキュリティ イベント、ネットワーク アクティビティ等を表示するグラフィカルなサマリー レポートが作成されます。それぞれのグラフィカル レポートのデータは、単位をカスタマイズした表示に対応しています。たとえば、ユーザは、時系列を延長して10秒のスナップショットまたは分析を選択できます。複数グラフの同時表示にも対応しており、ユーザは詳細な評価を並列して行えます。グラフには便利なブックマーク機能があり、データを将来のアクセス用にエクスポートできます。
図7 モニタリング
システム グラフ:使用中のブロック、空きブロック、現在のメモリ使用率、CPU使用率など、Cisco ASA 5500シリーズ適応型セキュリティ アプライアンスおよびCisco PIXセキュリティ アプライアンスに関する詳細なステータス情報を提供します。
接続グラフ:接続数、アドレス変換テーブル、Authentication, Authorization, and accounting(AAA;認証、許可、アカウンティング)トランザクション、URLフィルタリング要求など、リアルタイムのセッションおよびパフォーマンス モニタリング データを秒単位で追跡します。接続グラフは、管理者に、ネットワーク接続およびアクティビティに関する包括的な情報を提供します。
攻撃防御システム グラフ:潜在的な不正アクティビティを表示するために、16種類のグラフを使用できます。攻撃シグニチャ情報には、IP、ICMP、UDP、TCP攻撃、Portmap要求などのアクティビティが表示されます。これらのグラフは、Cisco AIP-SSMに対しては、攻撃者のリスト、イベント リスト、システム統計、システム診断など、より詳細な情報を提供します。
インターフェイス グラフ:セキュリティ アプライアンス上の各インターフェイスについて、帯域幅の使用状況をリアルタイムでモニタリングします。帯域幅の使用状況は、受信および送信について表示されます。ユーザは、パケット レート、カウント、エラー数、およびビット、バイト、コリジョン数などを表示できます。
VPN統計および接続グラフ:トンネル稼働時間、転送されたバイト数/パケット数など、Cisco IPSec Flow Monitoring MIBのサポートによって、トンネルごとの詳細な統計とともにVPN接続に関する情報を表示します。
表1に、Cisco ASDMバージョン5.0の機能と利点を示します。
表1 新機能と利点の概要
|
ライセンス
Cisco Adaptive Security Device Managerは、Cisco ASAソフトウェア バージョン7.0(1)およびCisco PIXセキュリティ アプライアンス ソフトウェア バージョン7.0(1)以上に付属しています。Cisco PIX Device Managerバージョン2.xは、Cisco PIXセキュリティ アプライアンス ソフトウェア バージョン6.2に付属しています。Cisco PIX Device Managerバージョン3.xは、Cisco PIXセキュリティ アプライアンス ソフトウェア バージョン6.3に付属しています。
Cisco ASDMには個別のライセンスは不要ですが、ホスト側のCisco ASA 5500シリーズ適応型セキュリティ アプライアンスもしくはCisco PIXセキュリティ アプライアンスには、DESまたは3DESライセンスが必要です。現在、Cisco ASA 5500シリーズ適応型セキュリティ アプライアンスもしくはCisco PIXセキュリティ アプライアンスで暗号化を有効にしていないユーザは、無料のDES/3DESアクティベーション キーを請求できます。DESライセンスを3DESライセンスに無料でアップグレードすることもできます。以下のオンライン フォームに必要事項を記入してください。
http://www.cisco.com/pcgi-bin/Software/FormManager/formgenerator.pl
技術仕様
Cisco ASA 5500シリーズのシステム要件
ハードウェア
- プラットフォーム:Cisco ASA 5510 、5520、または5540適応型セキュリティ アプライアンス
- RAM:256 MB
- フラッシュ メモリ:64 MB
ソフトウェア
- Cisco ASAソフトウェア:バージョン7.0
- 暗号化:DESまたは3DESに対応
Cisco PIXセキュリティ アプライアンスのシステム要件
ハードウェア
- プラットフォーム:Cisco PIX 515/515E、525、または535セキュリティ アプライアンス(Cisco PIX 501および506/506E、セキュリティ アプライアンスは現在未サポート)
- RAM:64 MB
注: このリリースでは、以前のソフトウェア リリースよりもCisco PIX 515/515Eセキュリティ アプライアンスに多くのメモリが必要です。メモリのアップグレードが必要な場合もあります。
- フラッシュ メモリ:16 MB
- Cisco PIXセキュリティ アプライアンス ソフトウェア:バージョン7.0
- 暗号化:DESまたは3DESに対応
ユーザ システム要件
ハードウェア
- プロセッサ:Intel Pentium III 450 MHz、Pentium 4または同等製品の500 MHz(推奨)
- RAM:256 MB(最小値)
- ディスプレイの解像度:1024×768ピクセル(最小値)
- 表示色:256(16ビットHigh Colorを推奨)
表2に、Cisco ASDMバージョン5.0でサポートされるオペレーティング システムとWebブラウザを示します。
表2 サポートされるオペレーティング システムとWebブラウザ
|
ネットワーク接続
- 接続速度:56 Kbps(384 Kbps以上を推奨)