アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Cisco ACI + Firepower Threat Defense でアプリケーション セキュリティをシンプルに

 

公開:2020 年 7 月

シスコ IT は、2016 年に Application-Centric Infrastructure(ACI)への移行を開始した時点で、ネットワークベースのアプリケーション セキュリティをより細かく制御できるようになりました。それまでは、同じサブネット上のすべてのエンドポイントが相互に通信できていました。現在は、ACI の「コントラクト」を設定することで、特定のエンドポイントだけがサブネット内で相互に通信するよう制御できるようになっています。

目標:セキュリティの強化、管理のシンプル化、Nexus スイッチリソースの解放

現在シスコ IT では、ネットワークベースのセキュリティが管理しやすくなり、Nexus スイッチの負担が軽減されています。以前と変わったのは、Firepower Threat Defense(FTD)ソフトウェアを実行する Cisco Firepower 次世代ファイアウォールで ACI を補完していることです。

シスコ IT の DC ワークロードの約 20%(合計 5,000 のうち約 1,000)には、ネットワークベースのセキュリティが必要です。実稼働している各データセンターには、Cisco Nexus 7000 スイッチのペアが 1 つ以上あります。これまでは、保護対象の各アプリケーションに対する個別の VLAN がスイッチペア上に構築されていて、各 VLAN にはそれぞれのアクセスコントロールリスト(ACL)が設定されていました。

この設計には 2 つの問題がありました。ネットワークアーキテクトの Ben Kelly は次のように述べています。「問題の 1 つは規模です。Nexus スイッチの各ペアは限られた数のワークロードしかサポートできず、また、使用率の高いスイッチペアから使用率の低いペアにワークロードを簡単に移行することもできませんでした。もう 1 つの問題は、各 VLAN の ACL を手動で維持するのに非常に時間がかかるということでした。アクセスコントロールリストに何千ものエントリがある VLAN がいくつかありました」

Firepower Threat Defense でデータセンタースイッチのリソースを解放

FTD ソフトウェアを使用することでこれらの問題を克服できました。FTD ソフトウェアによってネットワークベースのセキュリティが強化されて管理が容易になるだけでなく、ACI リーフスイッチのリソースも解放されます。

その仕組みを説明しましょう。ACI Virtual Routing Forwarding(VRF)コンテキストを使用して、ネットワーク セキュリティ ゾーン(Protected DMZ、Protected Internal、Internal)を作成します。各ワークロードは 1 つのゾーンに割り当てられます。通常、サプライチェーンなどの標準的な 3 層アプリケーションでは、Web サーバは Protected DMZ ゾーンに割り当てられ、アプリケーションサーバとデータベースサーバは Protected Internal ゾーンに割り当てられます。

ネットワークエンジニアの Christopher Stokes は、「同じネットワーク セキュリティ ゾーン内のワークロード間のトラフィックは、ACI リーフスイッチを通過します。このとき、コントラクトによってセキュリティポリシーが適用されます。ネットワーク セキュリティ ゾーン間を移動するトラフィックは FTD を通過する必要があります。その際 FTD がアクセス コントロール ポリシーのルールに基づいてセキュリティポリシーを適用することで、ACI リーフスイッチの重要なリソースを節約できるのです」と述べています。

シスコは、2020 年 5 月時点で、FTD の内側に約 1,000 のワークロード(100 アプリケーション)を移行していました。図 1 にこの導入環境を示します。

図 1 Firepower Threat Defense と ACI を使用した、ワークロードのセキュアなセグメンテーション

自動化を進めて管理をシンプルに

Firepower Management Center(FMC)コントローラは、同じ場所にあるすべての Firepower ファイアウォールに対して一元的にコマンドアンドコントロールを行います。FTD がトラフィックを検査する際の遅延を最小限に抑えるために、シスコ IT では FMC を使用してプレフィルタポリシーを作成しました。FastPath と呼ばれる機能が外部ヘッダーを調べ(内部ヘッダーを調べるよりも短時間ですみます)、フローが信頼できるかどうかを判断します。信頼できると判断された場合、トラフィックは詳細な検査なしでパススルーされます。

ACL を維持する時間を短縮するために、シスコ IT ではソフトウェア開発アプローチに移行しています。ACL コードがチェックインされるたび、フォーマットルールに準拠しているかどうかが自動的に検証されます。オープンソースのバージョン管理システムである Git を活用することで、ACL の変更に関する完全な監査証跡が得られます。また、Git では承認ワークフローが自動化されているため、シスコ IT から InfoSec チームに変更要求が自動的に転送されて、承認が求められます。「FTD と Git を活用したことで、四半期ごとに何百時間も短縮できました」と Kelly は述べています。

次のステップ

まず、FTD を使用して高速パケットフィルタリングを実現します。次に新たな FTD 機能を追加します。検討中の計画は次のとおりです。

  • 侵入検知(Snort)
  • セキュリティ インテリジェンス
  • コードがすべてのチェックをパスした場合に新しい ACL を FTD アプライアンスに自動的に導入する
  • Cisco Tetration Analytics のアプリケーション依存関係マッピング(ADM)機能を使用し、同じゾーン内に存在する必要があるエンドポイントグループ(EPG)を自動的に作成する

詳細については、以下を参照してください

Cisco Firepower 次世代ファイアウォール

Cisco Firepower Management Center

その他さまざまなビジネスソリューションに関するシスコ IT のケーススタディについては、『Cisco on Cisco: Inside Cisco IT』を参照してください。