 |
||
|
|
概要
CiscoWorks VPN/Security Management Solution
バージョン 2.2
CiscoWorks VPN/Security Management Solution(VMS)は、シスコシステムズが提供する最高峰の統合型セキュリティ管理ソリューションです。CiscoWorks VMS は、企業 VPN、ファイアウォール、ネットワークベース Intrusion Detection System(IDS; 侵入検知システム)、およびホストベース Intrusion Prevention System(IPS; 侵入防御システム)の設定、監視、トラブルシューティングを行うためのさまざまな Web ベース ツールで構成され、生産性を向上させ、運用コストの節減を可能にします。 CiscoWorks VMS は、Cisco® SAFE Blueprint によるネットワーク セキュリティの確保に欠かせない要素であり、小規模または大規模な VPN およびセキュリティ環境のニーズを満たす業界初の強固でスケーラブルな機能を提供します。
今日の企業 のセキュリティを確保するには、ただ単に数多くのデバイスをサポートするだけでは不十分です。多くの企業では、限られた人員で、さまざまな種類のセキュリティ デバイスを管理する必要に迫られています。 このような企業では、セキュリティとネットワークのインフラストラクチャを管理して、リモート デバイスを頻繁にアップデートする必要があり、ポリシーの定義と運用に複数のグループが関係している場合は変更管理と監査を実施する必要もあります。また、スタッフの増員なしでセキュリティを強化したり、全従業員へのリモート アクセス VPN の展開や、VPN サービスの監視を行う必要もあります。
CiscoWorks VMS を導入すれば、次の強力な機能を使用することにより、小規模環境から大規模環境まで、あらゆる規模のセキュリティ インフラストラクチャを実装することができます。
CiscoWorks VMS は、ファイアウォール、VPN、ネットワーク IDS、ホスト IPS などの SAFE Blueprint コンポーネントを独自の方法で管理します。 効果的な管理に必要な作業は、デバイスの設定だけではありません。CiscoWorks VMS には、設定、監視、トラブルシューティングといったすべての機能が用意されています。 CiscoWorks VMS はセキュリティ インフラストラクチャだけでなく、ネットワーク インフラストラクチャも管理します。 これらのコンポーネントを 1 つのソリューションで管理できるということは大きな利点となります。 CiscoWorks VMS では、イベントを相互に関連付けることによって、Cisco PIX® ファイアウォール、Cisco IOS® ソフトウェア、ネットワークベース IDS、およびホストベース IPS を総合的に監視できます。
CiscoWorks VMS は、数多くのデバイスを簡単に管理するための基盤となります。 CiscoWorks VMS の利点としては、短時間で習得できる一貫した GUI、ワークフローによる複数の管理者の共同作業、Access Control Server(ACS)の統合による正確なアクセス制御、Windows および Solaris プラットフォームのサポート、堅牢なデータベース エンジン、簡単なインストール、などが挙げられます。 この基盤には自動アップデートという画期的な機能があり、多数のデバイスを迅速かつ容易にアップデートすることができます。 自動アップデートでは、デバイス(リモート デバイスや動的にアドレスを付与されたデバイスを含む)が定期的にアップデート サーバに問い合せ、最新のセキュリティ設定や Cisco PIX オペレーティング システムを取得(プル)します。 自動アップデート機能は、常時接続でないリンクや動的アドレスを介してリモート オフィスのファイアウォール実装を効果的に拡張するために必要となります。 これまでのポリシー アップデート方法は「プッシュ」モデルに依存していました。 このモデルは既知のデバイスに対しては有効ですが、アドレスがわからないリモート デバイスや常にアクティブではないデバイスに対してはうまく機能しません。 自動アップデートがなければ、各リモート デバイスをアップデートするためにより多くの手動プロセスが必要となります。 数多くのリモートおよびローカル ロケーションにデバイスを導入したいと考えている組織では、自動アップデート機能を利用することでスケーラビリティを大幅に向上させることができます。
CiscoWorks VMS を使用すると、複数の場所で簡単に企業セキュリティ ポリシーを実装できます。 たとえば、Smart Rules 機能を使用すれば、New York 営業所に対してデバイス グループを定義し、同じポリシーを他のすべての営業所に一貫して迅速に展開できます。 自動アップデートを使用すると、ポリシーをすばやく簡単にアップデートできるだけでなく、リモート デバイスに展開されるポリシーの一貫性を確保することができます。 Command and Control Workflow 機能は変更管理と監査を行うための機能で、ネットワーク運用グループとセキュリティ運用グループが異なる場合に特に重要になります。 このソリューションには、設定の生成、承認、および展開を行うためのワークフロー プロセスが含まれています。 これにより、複数の管理者にタスクを委任した場合でも、チームとして作業を進めることが容易になります。 変更の監査を管理することもできます。
CiscoWorks VMS では、RBAC を使用してグループごとに各種デバイスやアプリケーションへのアクセス権を設定できるので、正確で安全なアクセス制御が可能になります。
CiscoWorks VMS の機能
CiscoWorks VMS は CiscoWorks ダッシュボードから起動でき、次の 7 つの機能領域に区分されています。
図 1 では、CiscoWorks VMS が CiscoWorks ダッシュボードの「引出し」として表示されています。
ファイアウォール管理
CiscoWorks VMS は次のような機能により、Cisco PIX ファイアウォールの大規模な展開を実現します。
- Smart Rules 階層と継承
- ユーザ定義のデバイス グループとカスタマー グループ(ネストも可)
- デバイスおよびカスタマー グループごとに管理者特権を設定でき、他の CiscoWorks 製品および Cisco Secure ACS と共通するグローバル ロールベース アクセス
- 必須およびデフォルトのデバイス設定の継承
- デバイス、ディレクトリ、または自動アップデート サーバへのワークフローの展開
- Cisco PIX Device Manager と同じルックアンドフィールでありながら、数千台の PIX ファイアウォールに対応するスケーラビリティ
- 他の CiscoWorks ネットワーク管理用ソフトウェアとの連携
- アクセス コントロール、VPN、IDS、Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)など、SAFE Blueprint に完全に準拠した Cisco PIX ファイアウォールの集中管理
Smart Rules 機能は、アクセス ルールや設定などの共通情報をデバイスまたはカスタマー グループ内のすべてのファイアウォールに継承する機能です。 Smart Rules を使用すれば共通ルールを一度定義するだけで済むため、デバイスの設定に要する時間が短縮され、管理上のエラーが少なくなり、デバイスのスケーラビリティが向上します。 Smart Rules で(すべての HTTP トラフィックを許可するといった)共通ルールを一度設定すれば、そのルールをすべてのファイアウォールに適用できます。 デバイスまたはカスタマー グループ単位で Smart Rules を定義することも可能です。 CiscoWorks のファイアウォール管理の詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/cscowork/ps3992/
ファイアウォール管理用の自動アップデート サーバ
CiscoWorks VMS は、セキュリティと Cisco PIX オペレーティング システムの管理に「プル」モデルを導入する業界初のファイアウォール自動アップデート サーバを備えています。 自動アップデート サーバは、リモート ファイアウォール ネットワークにかつてないレベルのスケーラビリティをもたらします。 Cisco PIX ファイアウォールは定期的または自動的にアップデート サーバに問い合せて、セキュリティ設定、Cisco PIX オペレーティング システム、および PIX Device Manager のアップデートの有無を確認します。 自動アップデート サーバがサポートする機能は次のとおりです。
自動アップデート サーバは、リモートまたはローカルのすべてのファイアウォールを新しいオペレーティング システム リリースで自動的にアップデートする便利なソリューションであり、リモートの Cisco PIX ファイアウォールを大規模に展開する場合に欠かせないコンポーネントです。 シスコはセキュリティ ポリシーとオペレーティング システムの管理に業界で初めてプル モデルを採用しました。 CiscoWorks VMS の自動アップデート サーバ コンポーネントの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/cscowork/ps3993/
ネットワークベース IDS 管理
管理者は CiscoWorks VMS を使用して、ネットワークおよびスイッチの IDS センサーを設定できます。 グループ プロファイルによって数多くのセンサーを迅速に設定することが可能です。 また、検出の精度と明確性を向上させるために、強力なシグニチャ管理機能が組み込まれています。 主な機能は次のとおりです。
CiscoWorks VMS のネットワークベース IDS 管理コンポーネントの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/cscowork/ps3990/
ホストベース IPS 管理
CiscoWorks VMS は、サーバおよびデスクトップ コンピューティング システム(「エンドポイント」とも呼びます)をセキュリティ上の脅威から保護します。 CiscoWorks VMS には、悪意のある動作を未然に識別し防御するという、これまでのエンドポイント セキュリティ ソリューションには見られない機能があり、既知であるか未知であるかを問わず、企業のネットワークおよびアプリケーションの脅威となりうるセキュリティ リスクを排除します。 CiscoWorks VMS はシグニチャに依存するのではなく、動作を解析するため、堅牢なセキュリティ保護を低コストで実現できます。 ホストベース IPS 管理の機能は次のとおりです。
- ホストへの侵入の防御、分散ファイアウォール、悪質なモバイル コードからの保護、オペレーティング システムの完全性の保証、および監査ログの統合をすべて 1 つのエージェントで提供することにより、複数のエンドポイント セキュリティ機能を集約し、拡張します。
- ポート スキャン、バッファ オーバーフロー、トロイの木馬、不正パケット、電子メール型ワームなど、あらゆる種類の攻撃を予防します。
- 既知および未知の攻撃に対する「アップデートなしの」防御を実現します。
- お客様独自の計画に従って Unix/Windows サーバおよび Windows デスクトップにパッチを追加できる、業界随一の保護を実現します。
- 拡張可能なオープン アーキテクチャにより、企業のポリシーに従ってセキュリティを定義し、実施できます。
- 1 つのマネージャにつき数千台のエージェントに対応するスケーラビリティがあり、企業での大規模な展開をサポートします。
CiscoWorks VMS のホストベース IPS 管理コンポーネントの詳細については、次の URL にある Management Center for Cisco Security Agents データ シートを参照してください。
http://www.cisco.com/en/US/products/sw/cscowork/ps5212/
VPN ルータ管理
CiscoWorks VMS には VPN 接続の大規模な実装を設定およびメンテナンスするための機能があり、ユーザはポイントアンドクリック式のインターフェイスで接続の設定と実装を行うことができます。 このコンポーネントはハブ & スポーク トポロジにおけるサイト間 VPN 接続のスケーラブルな設定を対象としており、VPN ルータ上の Internet Key Exchange(IKE)および IP Security(IPSec)トンネリング ポリシーのマルチデバイス設定および実装を集中管理します。
- ウィザードベースのインターフェイスによる IKE および VPN トンネリング ポリシーの作成
- 階層的な継承と Smart Rules によるデバイスの共通設定の組織的な反映と、デバイス管理の簡素化
- Open Shortest Path First(OSPF)と Enhanced Interior Gateway Routing Protocol(EIGRP)を使用した IKE Keepalive(IKE-KA; IKE キープアライブ)または Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)によるフェールオーバー ルーティング シナリオへの対応
- 中央集中型の RBAC モデルによるユーザとアカウントの集中管理
CiscoWorks VMS の VPN ルータ管理コンポーネントの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/cscowork/ps3994/
セキュリティ モニタリング
CiscoWorks VMS は統合モニタリング機能により、セキュリティ モニタリング コンソールの数と監視対象のイベントの数を減らし、セキュリティ ステータスを示す広範なビューを提供します。
- 統合モニタリングは、シスコのネットワークベース IDS、スイッチベース IDS、ホストベース IPS、ファイアウォール、ルータなど、SAFE Blueprint に含まれる各種デバイスのイベントのキャプチャ、保存、表示、関連付け、およびレポート作成に使用されます。
- イベントの関連付けは、1 つのイベントからは容易に認識できない攻撃を識別するために使用されます。 柔軟な通知方式と重要なイベントへの自動応答も迅速なアクションに役立ちます。
- イベント ビューアはリアルタイム イベントと履歴イベントをどちらも表示できます。
- イベントは色分けされているため、管理者は問題を迅速に識別できます。 また、通知を送信するルールのしきい値と周期を定義することもできます。
- 継続的なモニタリングのためにオンデマンド レポート機能とレポートのスケジューリング機能があります。
CiscoWorks VMS のセキュリティ モニタリング コンポーネントの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/cscowork/ps3991/
パフォーマンスのモニタリング
CiscoWorks VMS には、企業ネットワークのセキュリティに関連するサービスのパフォーマンスをモニタし、トラブルシューティングを行うための機能が導入されています。 これらの機能は次の目的に使用できます。
CiscoWorks VMS のパフォーマンス モニタリング コンポーネントの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/cscowork/ps5387/
VPN モニタリング
CiscoWorks VMS には Web ベースの管理ツールが用意されており、ネットワーク管理者はこのツールを使用して、リモートアクセス VPN またはサイト間 VPN の終端における IPSec VPN 接続の情報を収集、保存し、表示できます。 Web ブラウザを使用して設定する使いやすいダッシュボードには複数のデバイスを表示できます。 このダッシュボードには次の機能があります。
- リアルタイムのメモリ使用状況、デバイスごとの CPU 使用率、およびアクティブなトンネルとアクティブなセッションに関するシステム リソース データを提供します。 このデータにより、パフォーマンス上の問題が生じるおそれのあるデバイスや、最も使用率の高いデバイスを容易に特定できます。
- 現在および長期間のパケット レートとパケット廃棄率を表示します。これは、利用可能な余剰キャパシティのある場所を探したり、ボトルネックやデバイスのスループットの問題を迅速に特定したりする場合に役立ちます。
- イベント ログ上の問題が最も長期にわたって継続しているデバイスを特定できます。重要なデバイスおよび VPN の統計は、グローバルおよびデバイス固有のしきい値と比較評価され、イベント ログに例外が記録されます。
- 重要な共通メトリックをグラフ化します。 デバイス パフォーマンス比較は VPN パフォーマンスの短期間のトレンドをグローバルに表示します。管理者はこの機能を使用することで、重大な障害が発生する前に問題領域を特定できます。
CiscoWorks VMS の VPN モニタリング コンポーネントの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/cscowork/ps2326/
運用管理
- CiscoWorks VMS にはネットワークの運用管理機能があり、ネットワーク管理者は次のことを実行できます。
- 完全なネットワーク インベントリの迅速な作成
- デバイス認定情報の管理
- ハードウェア、ソフトウェア、設定、およびインベントリ変更の監視とレポート作成
- 設定変更およびソフトウェア イメージ アップデートの管理と、複数のデバイスへの配布
- 重要な LAN および WAN リソースの監視とトラブルシューティング
- VPN 用に使用できるデバイスの迅速な特定(適切な Cisco IOS ソフトウェアにアップグレードした場合)
- ハードウェア暗号化モジュールを搭載している VPN デバイスの検出
- VPN デバイスの設定のグラフィカルな比較
- カスタマイズされた syslog レポートの実行による IPSec 関連の問題の切り分け
CiscoWorks VMS の運用管理コンポーネントの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/cscowork/ps2073/
サーバ仕様(最小要件)
サーバ ハードウェア
CiscoWorks VMS を使用するには次のいずれかのサーバが必要です。
サーバ ハードウェアには少なくとも次のリソースが搭載されている必要があります。
サーバ オペレーティング システム
CiscoWorks VMS を使用するには次のオペレーティング システムのいずれかが必要です。
Java 要件
クライアント要件
ハードウェア
CiscoWorks VMS を使用する場合、クライアント側では次のいずれかを使用する必要があります。
クライアント オペレーティング システム
CiscoWorks VMS を使用する場合、クライアント側では次のいずれかを使用する必要があります。
クライアント ブラウザ(英語版のみサポート)
すべての CiscoWorks VMS コンポーネントは、Windows プラットフォーム上の Internet Explorer 6.0(Service Pack 1 適用済み)をサポートしています。 表 1 に各コンポーネントによる Netscape Navigator のサポート状況を示します。これらの要件は、CiscoWorks VMS 全体の要件と異なります。
表 1 サポートされている Netscape ブラウザのバージョン
|
サービスとサポート
CiscoWorks 製品は Cisco Software Application Service(SAS)プログラムの対象範囲に含まれます。 このサービス プログラムは、契約に基づく Cisco Technical Assistance Center(TAC)への 24 時間アクセス、Cisco.com の全特権、およびソフトウェア メンテナンス アップデートをお客様に提供いたします。 Cisco SAS 契約では、新たにサポートされたデバイス パッケージ、パッチ、およびマイナー アップデートによってデバイスを最新の状態に保つため、お客様が必要な情報とサービスに容易にアクセスできることを保証します。 サービスとサポートの詳細については、最寄りの営業所にお問い合せください。
発注情報
CiscoWorks VMS は、全世界のシスコ販売業者を通じてご購入いただけます。 CiscoWorks VMS には、Microsoft Windows または Sun Solaris ワークステーション上での個別インストレーションに必要なすべてのコンポーネントが含まれています。
CiscoWorks VMS Basic の位置付け
Cisco IDS センサーなどの一部のシスコ セキュリティ ソリューションには CiscoWorks VMS Basic がバンドルされています。 CiscoWorks VMS 2.2 Basic ライセンスでは、次の分野を除いて、CiscoWorks VMS 2.2 制限付きライセンス ソフトウェアと同じ機能を使用できます。
6 ~ 20 台のデバイスを管理する必要がある場合は、VMS 制限付きライセンスをお勧めします。 20 台を超えるデバイスを管理する必要がある場合や、Solaris にインストールする必要がある場合は、VMS 無制限ライセンスをお勧めします。
詳細について
詳細については、ciscoworks@cisco.com に電子メールでお問い合せいただくか、次の URL を参照してください。
http://www.cisco.com/warp/public/cc/pd/wr2k/vpmnso/prodlit/
