FMCでのセキュアなダイナミック属性コネクタの展開

ダウンロード オプション

  • PDF     (1.3 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.0 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (816.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 7 月 25 日
Document ID:222101

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

内容

はじめに
背景 – 問題
ソリューション(概要)
FMCでの動的属性コネクタの概要
導入例
オンプレミスCSDAC
問題
オプション1: FMC内部に構築された動的属性コネクタを使用する
オプション2:クラウド提供のDynamic Attributes ConnectorをCDOで使用する
前提条件、サポートされるプラットフォーム、ライセンス
サポートされる最低限のソフトウェアおよびハードウェアプラットフォーム
使用するコンポーネント
機能の詳細
スタンドアロンCSDACの概要(現在リリースされている – 7.4)
CDOのCSDACの概要(現在リリースされている – 7.4)
FMCでのCSDAC
仕組み
コネクタの設定
FMCでのCSDAC
動的オブジェクト
ACポリシー
設定:アクセスポリシー
プラットフォームの制限
トラブルシューティング/診断
コネクタの確認
[コネクタ]タブからコネクタを表示する
属性フィルタの確認
FMCのUIでダイナミックオブジェクトを確認する
CSDACヘルスアラート
CSDACのトラブルシューティング
CSDACの生成のトラブルシューティング
CLIのトラブルシューティング
CSDACデバッグモード
デバッグ付きのログメッセージ
トラブルシューティングのウォークスルーの問題例
問題とトラブルシューティングの概要
問題:
トラブルシューティング:
トラブルシューティングバンドルの準備
IPのタグ属性を確認する
チェックの要約
Q&A

    はじめに

    このドキュメントでは、FMCのCisco Secure Dynamic Attribute Connector(DYNAMIC ATTRIBUTE CONNECTOR)について説明します。

    背景 – 問題 

    CSDAC(Cisco Secure Dynamic Attributes Connector)をFMC(Firepower Management Center)に統合すると、スタンドアロンのCSDACアプリケーションおよびCDOのCSDACと同じレベルの機能を提供できます。スタンドアロンCSDACの場合は、CSDAC用の個別のマシンを管理および保守するオーバーヘッドから顧客を解放します。ネットワーク管理者として、プログラマティックインターフェイスを統合し、外部のダイナミック環境プロバイダーの変更に合わせて最新の状態を維持しやすくしたいと考えています。この統合により、ポリシーを導入することなく、動的に変化するクラウド環境から属性を収集するという問題が解決されます。

    ソリューション(概要)

    FMCでCSDACを構成して、Azure、vCenter、AWS、GCP、Office 365、およびAzure Service Tagsからタグ属性を取得できるようになりました。これにより、CDOのスタンドアロンCSDACおよびCSDACと同等の機能が提供されます。

    • を使用するように選択できます。 
      • FMCのCSDAC (または) 
      • CDOのCSDAC (または)
      • スタンドアロンCSDAC
    • ターゲット市場:エンタープライズ、サービスプロバイダー

    FMCでの動的属性コネクタの概要

    FMC動的属性コネクタ:

    • 動的属性コネクタ機能を構築および操作するためのダッシュボード画面。
    • ソースワークロードコネクタ(AWS、Azure、vCenter、Office 365、GCP)を構成するためのFMC UI
    • ダイナミックオブジェクトを作成するダイナミック属性フィルタを定義するFMC UI

    導入例

    オンプレミスCSDAC

    昨年、AWSおよびAzureアカウントから属性を収集するために、CSDAC専用のVMをデプロイしました。

    問題

    現在、組織はクラウドに移行しており、環境内にCSDAC専用の仮想マシンを導入して管理することができません。

    Cloud Transition Challenges

    オプション1: FMC内部に構築された動的属性コネクタを使用する

    この問題は、FMC内に組み込まれたダイナミック属性コネクタ(DAC)を使用して修正できます。これによって作成された動的オブジェクトは、アクセスポリシーで使用できます。

    オプション2:クラウド提供のDynamic Attributes ConnectorをCDOで使用する

    この問題は、CDOでDynamic Attributes Connectorを使用して修正できます。作成された動的オブジェクトは、 

    • CDOクラウド提供FMC
    • CDOオンプレミスFMC

    前提条件、サポートされるプラットフォーム、ライセンス

    サポートされる最低限のソフトウェアおよびハードウェアプラットフォーム

    サポートされるマネージャの最小バージョン

    管理対象デバイス

    サポートされる管理対象デバイスの最小バージョンが必要

    注意事項

    FMC 7.4

    サポートされる任意のFTD

    任意の7.0以降のFTD

    * 動的属性コネクタは、FDM管理対象デバイスではサポートされません

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
    ・ 7.4を実行するCisco Firewall Management Center
    ・ 7.4以降を実行するCisco Firepower Threat Defense
    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    機能の詳細

    スタンドアロンCSDACの概要(現在リリースされている – 7.4)

    Cisco Secure Dynamic Attributes Connectorを使用すると、Firewall Management Center(FMC)アクセスコントロールルールのさまざまなクラウドサービスプラットフォームのタグを使用できます。

    オンプレミスCSDACはLinuxマシンにインストール可能で、以下からの属性の取得をサポートします。

    • AWS、Azure、VMware vCenterおよびNSX-T、Office 365、Azureサービスタグ、GCP、GitHub。

    CDOのCSDACの概要(現在リリースされている – 7.4)

    専用アプリケーションのインストールとメンテナンスを必要とせずに、オンプレミスCSDACと同じ機能をサポートします。

    vCenterコネクタは、現在CDOではサポートされていません。

    CDOのクラウド配信FMCおよびオンプレミスFMCへの受信属性の送信をサポートします。

    FMCでのCSDAC

    専用アプリケーションをインストールして維持する必要がなく、スタンドアロンCSDACと同じ機能をサポートします。

    FMCのCSDACは次からの属性の取得をサポートしています:

    • AWS、Azure、VMware vCenterおよびNSX-T、Office 365、Azureサービスタグ、GCP、GitHub

    FMCに対してローカルであるため、明示的なアダプタ設定はありません。

    仕組み

    コネクタは、AWS、Azure、o365、vCenterから属性を取得するために使用されます。

    次に、ローカルアダプタを使用して、これらの合理化された属性とそのIPマッピングをFMCにダイナミックオブジェクトとして保存します。

    FMCはマッピングをリアルタイムでFTDに送信します(展開なし)。

    CSDAC Workflow

    FMCでCSDACを有効にします

    「統合」>「動的属性コネクタ」にナビゲートします。

    コネクタを有効にするには、[切り替え]ボタンを使用します。

    FMCでは、Dockerイメージとコンテナをダウンロードして起動するのに数分かかります。

    これは、FMCグローバルドメインでのみ設定できます。

    Enable CSDAC in FMC

    CSDACダッシュボード


    CSDACを有効にすると、CSDACダッシュボードページが表示されます。ダッシュボードは、統合コネクタとフィルタの設定と表示の両方に使用されます。

    CSDAC Dashboard

    コネクタの設定

    ダッシュボードからのコネクタの追加

    ダッシュボードで、目的のコネクタのアイコンをクリックして追加します。

    Add Connectors from Dashboard

    コネクタが設定された周期を持つプロバイダから情報をプルできるように、時間間隔(Pull Intervalフィールド)を設定します。

    プロバイダーの資格情報を入力して、タグ属性を取得します。コネクタを設定したら、「テスト」ボタンをクリックしてコネクタをテストできます。

    Configure time interval

    フィルタの設定

    「動的属性コネクタ」メニューの「動的属性フィルタ」タブをクリックして、「動的属性フィルタ」ページに移動します。

    Dynamic Attribute Filters tab

    フィルタの追加

    +ボタンをクリックして、属性コネクタのフィルタを作成します。

    Add Plus button to create

    AWSタグの追加

    たとえば、AWSワークロードのキー「HR」と値「App」に関心があると仮定できます。

    これはAWSで見た場合と同じです。

    AWS tags in AWS Workload

    FMCでのCSDAC

    「+」ボタンをクリックすると、「HR equals App」ルールを作成できます。

    ローカルFMCアダプタは、一致するIPアドレスをダイナミックオブジェクトマッピングとしてFMCに送信します

    Create Rule in ACP

    プレビュー

    [表示|プレビューの非表示]ボタンをクリックすると、特定の属性ルールの一致するIPアドレスを表示することもできます。

    check preview

    動的オブジェクト

    FMCのObjects > External Attributes, Dynamic ObjectでCSDACにより作成された動的オブジェクトを表示

    View dynamic objects in Objects

    ACポリシー

    設定:アクセスポリシー

    FMCで、ダイナミック属性コネクタから受信したダイナミックオブジェクトを許可またはブロックするアクセスポリシーを追加します。

    add rule from Access Policy

    プラットフォームの制限

    • コネクタの制限は、使用可能なFMCメモリに基づいています。
    • vFMCでは、5つのコネクタをサポートするために追加の1 GBメモリが必要です
    • Azure AD領域もCSDACコンテナーであるため、制限に含まれています。

    モデル

    サポートされるコネクタの数

    プラットフォーム

    メモリに基づく制限

    基本

    Azure ADのみ

    1,600

    32 GB

    5

    vFMC

    32 GB超

    中間

    10

    vFMC 300、2600

    >= 64 GB

    20

    4600

    >= 128 GB

    トラブルシューティング/診断

    トラブルシューティングは、FMCでCSDACコネクタからDynamics属性への動的オブジェクトをトレースすることによって実行するのが最適です。多くの内部ログでは、この機能を「マスター」と呼んでいます。問題を切り分けるために、ブロードキャストチェーンに沿ってシステム状態を確認できます。CSDACはDockerコンテナを使用します。  ログやその他のファイルのメッセージと名前は「docker」と呼ぶ必要があります。

    Workflow to troubleshoot

    コネクタの確認

    最初に、コネクタがvCenter、AWS、またはAzureサーバーに接続できることを確認します。

    コネクタが正しく設定されていない場合、ダウンストリームプロセスはタグ情報を取得できません。

    [コネクタ]タブからコネクタを表示する

    コネクタステータスはステータスフィールドに表示され、15秒ごとに更新されます。

    ここで、コネクタが指定された資格情報を使用して認証できなかったことがわかります。

    View connectors

    属性フィルタの確認

    ルールプレビューに、クエリ条件に一致するIPアドレスが表示されていることを確認します。

    一致するIPアドレスがない場合、FMCはダイナミックオブジェクトマッピングを取得できません。

    属性フィルタのチェック

    プレビューでダイナミック属性IPマッピングが使用可能であることを確認します。「プレビューを表示」ボタンは、ダイナミックアトリビュートフィルタの編集ポップアップで使用できます。

    check attribute filters

    FMCのUIでダイナミックオブジェクトを確認する 

    まず、FMCサーバに必要なバインディングが含まれていることを確認します。

    • [オブジェクト管理]の[外部オブジェクト]タブで、[ダイナミックオブジェクトのバインド]をオンにします。
    • FMCがバインディングを取得しない場合、FTDはバインディングを取得できません。

    FMCヘルスモニタとCSDACヘルスアラート通知を確認します。

    動的オブジェクトのチェック

    FMC Object Managerを使用すると、現在のDynamic Object IPアドレスをダウンロードできます。

    Check Dynamic Objects Object Manager

    CSDACヘルスアラート

    Dynamic Attributes Connectorなどのコアサービスがダウンした場合、FMCのタスクマネージャにヘルスアラートが表示されます。  アラートには、サービス名とステータスに関する情報が含まれます。

    note-icon

    :いくつかの通知には「マスター」という名前が残っています。ここでは、詳細情報のサービス名を指定する必要があります。

    CSDAC Health Alerts Task Manager

    ここでは、muster-beeとmuster-local-fmc-adapterが「異常」であることが確認できます。

    「error」がコアサービスのいずれかを示す場合は、デバッグのためにトラブルシューティングログを収集する必要があります。

    Check Muster-bee Health Alerts

    CSDACのトラブルシューティング

    CSDACの生成のトラブルシューティング

    • FMCのトラブルシューティングの生成中に、CSDACログが自動的に収集されます。バンドルには、Dockerのステータス、ログ、および問題をオフラインでデバッグするために必要なデータが含まれています。 
    • トラブルシューティングのログが収集されたエラーを再現する前に、CSDACデバッグモードを有効にすることをお勧めします(推奨)。 

    /usr/local/sf/csdacから。/muster-cli debug-onを呼び出します。

    次のフォルダにあるuntarredのTroubleshootでCSDACログを探します。

    /results-XX/command-outputs/csdac_troubleshoot/info

    これには、etcdデータベースに保存されているデータが含まれています。

    /results-XX/command-outputs/csdac_troubleshoot /log

    これには、Dockerコンテナからのログが含まれます。

    /results-XX/command-outputs/csdac_troubleshoot/status.log

    コンテナのステータス、バージョン、およびDockerイメージの詳細が表示されます。

    CLIのトラブルシューティング

    muster-cliスクリプトを使用して、FMC CLIからCSDACのステータスを確認できます。

    サービスのステータスが「Exited」であるか、または「Up」と異なる場合は、まずそのコンテナのログを確認します。

    ログを取得するにはコンテナ名が必要です。出力から取得できます。

    muster-cli script for CLI

    CSDACデバッグモード

    デバッグログのオンとオフを切り替えるには、'muster-cli'スクリプトを使用できます。デフォルトでは、コンテナはINFO level.INFOに記録され、DEBUGのみがサポートされているレベルです。

    デバッグレベルを有効にするには、./muster-cli debug-onを実行します。

    これにより、トラブルシューティングの生成に関する詳細情報とデバッグのヘルプが提供されます。このオプションは、問題を再現する際に有効にする必要があります。

    INFOレベルに戻るには、./muster-cli debug-offを使用します。

    root@firepower:/usr/local/sf/csdac# ./muster-cli debug-on
    Recreating muster-bee ...
    Recreating muster-bee ... done
    Recreating muster-user-analysis     ... done
    Recreating muster-local-fmc-adapter ... done
    Recreating muster-ui-backend        ... done

    デバッグ付きのログメッセージ

    デバッグモードを有効にすると、すべてのDockerコンテナログにもデバッグメッセージが含まれます

    dockerコマンドを使用してリアルタイムでログを取得する:docker logs -f <container_name>

    次の例では、デバッグメッセージによってgRPCエラーがトリガーされたものが示されています

    2022-12-12 14:33:29,649 [status_storage] DEBUG: Loading status from /app/status/aws.1_status.json...
    2022-12-12 14:33:29,650 [status_storage] DEBUG: Loading status from /app/status/gcp.1_status.json...
    2022-12-12 14:33:29,651 [status_storage] DEBUG: Loading status from /app/status/github.1_status.json...
    2022-12-12 14:33:29,651 [status_storage] DEBUG: Loading status from /app/status/o365.1_status.json...
    2022-12-12 14:33:43,279 [server] DEBUG: Got health status request.
    2022-12-12 14:33:43,280 [bee_api] WARNING: Got gRPC error from BEE: StatusCode.UNAVAILABLE failed to connect to all addresses; last error: UNKNOWN: Failed to connect to remote host: No route to host

    トラブルシューティングのウォークスルーの問題例

    問題とトラブルシューティングの概要

    問題:

    発生する最も一般的な問題は、FMCですべてのダイナミックオブジェクトマッピングが受信されないことです。 

    トラブルシューティング:

    問題のトラブルシューティングのために、

    • 「muster-cli」からのデバッグモードの有効化
    • FMC UIから生成されたトラブルシューティングファイル
    • トラブルシューティングで収集したCSDAC AWS Connectorのログを確認。
    • CSDAC AWS ConnectorがAWSインスタンスの最初のIPのみを照会したことを検出しました。

    トラブルシューティングバンドルの準備

    • FMCのCLIから。/muster-cli debug-onを使ってデバッグモードを有効にしました。 muster-cliツールは/usr/local/sf/csdacにあります。
    • コネクタのステータスがOKになるのを待ってから、ダイナミックアトリビュートフィルタをチェックして、問題を再作成。
    • FMC UIからトラブルシューティングログを収集し、抽出しました。AWS Connectorのログでスナップショットの内容を確認しました

    CSDAC Debug Mode

    IPのタグ属性を確認する

    特定のIPのタグ属性は、トラブルシューティングログに記録されます。AWS Connectorについては、muster-connector-aws.1.muster-docker.log.gzを参照してください。

    チェックの要約

    コネクタとアダプタのステータスは良好ですか。

          対応する「コネクタ」、「アダプタ」の各ページでステータスを確認します。

    コネクタはすべてのマッピングを取得しましたか。

          一致するIPアドレスのルールプレビューを確認します。

          Connector dockerログを調べて、マッピングのクエリーが正しく実行されているかどうかを確認します。

    RESTサーバはコネクタから動的タグマッピングを受信しましたか。

           FMCのダイナミックオブジェクトページを確認します。

           USMSログ(/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log内)を確認して、FMC RESTサーバがCSDACからのAPI要求を正しく処理したかどうかを確認します。

    Q&A

    Q:ISEコネクタをサポートするオンプレミスのCSDACのバージョンを教えてください。また、バージョン7.4.0(ビルド1494)でもそのようなコネクタは表示されません。

                A:これはスタンドアロンCSDACにあり、FMCやCDOにはありません。これをテストするには、CSDAC対応パッケージが必要です。

    Q:リリース時のオンプレミスCSDACのバージョンを教えてください。

                A:おそらく2.1.0でしょう。

    Q:APIが重なったギアの画面が表示されています。CSDACだと思いますが、どういう意味ですか。

                A:このCSDACにはAPIエクスプローラが組み込まれているため、そのページからCSDACをAPI呼び出すことができます。

    更新履歴

    改定 発行日 コメント
    1.0
    29-Jul-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • ナヴィンシンハ
      シスコTAC

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています