Secure Web Applianceのリリース変更について

・ システムCPU、メモリ要件を12.0リリース以降から変更

– デフォルトでは、アプライアンスでTLSv1.3が有効になっています。

– デフォルトの暗号リストに暗号「_AES_256_GCM_SHA384」を追加

- Cisco AsyncOS 12.0リリースは、プラットフォームS680、S690、およびS695に高性能(HP)のWebセキュリティアプライアンスを提供します。 

– 新しいサブコマンドhighperformanceがメインのadvancedproxyconfigコマンドの下に追加され、ハイパフォーマンスモードが有効または無効になります。

- SWAとCisco Threat Response(CTR)ポータルの統合

– アプライアンスはTLSv1.3バージョンをサポートしています。

– コンフィギュレーションファイルのバックアップ機能が、サブメニューのLog SubscriptionsからSystem Administrationの下のConfiguration Fileに移動します。

– アプライアンスは、HTTPSプロキシのECDSA証明書のアップロードをサポートするようになりました。

- 新しい診断CLI(psca)のproxyscannermapサブコマンドがdiagnostic > proxyの下に追加されました。各プロキシと対応するスキャナプロセス間のPIDマッピングを表示する。

– 新しいオプション searchdetailsがCLIコマンドauthcacheの下に追加されました。

– 新しいサブコマンドCTROBSERVABLEがCLIコマンドreportingconfigの下に追加され、CTR監視可能ベースインデックスを有効または無効にします。

– 新しいサブコマンドスキャナがメインのadvancedproxyconfigコマンドの下に追加され、AMPエンジンでスキャンされるMIMEタイプを除外します。

- TLS 1.2以降のバージョンを使用して、アプライアンスをAMPファイルレピュテーションサーバに接続します。

- AMERICAS（レガシー）cloud-sa.amp.sourcefire.comは、アプライアンスでは設定できません。

- AMPでサポートされる同時スキャンの数を入力する新しいオプションが、メインのCLIコマンドadvancedproxyconfig > scanners > AMPに追加されました。

メインのCLIコマンドadvancedproxyconfig > scannersの新しいCLIサブコマンドevictionから、長時間実行スキャンの削除のデフォルトのスキャン不能の判定をタイムアウトに、またはその逆に変更できます。 

– アプライアンスのWebユーザインターフェイスでアラートメッセージがトリガーされるのは、プロキシのMallocメモリがプロキシのMallocメモリ制限の90 %を超えたときで、「Webプロキシ」の重大なアラートを受信するように設定されたすべての「アラート受信者」に電子メール通知が送信されます。

– 新しいWebインターフェイスでは、モニタリングレポートとトラッキングWebサービスの外観が一新されました。

– 新しいURLカテゴリの更新通知

- TLSv1.2は、アプライアンス管理Webユーザーインターフェイスではデフォルトで有効になっています。

- Session Resumptionはデフォルトで無効になっています。

- CDAのサポート終了を示すメッセージがCDA設定セクションに追加されます。

- デフォルトでは、Cisco Success Network機能はアプライアンスで有効になっています。 

  – これらのログは、詳細を含むように変更されています。

認証が失敗すると、アクセスログにユーザ名が表示されるようになりました。

認証フレームワークのログに、NTLM、BASIC、SSO（透過）などの失敗した認証プロトコルのクライアントIPアドレスが表示されるようになりました。

- Cisco AsyncOS 12.5リリースは、プラットフォームS680、S690、およびS695に高性能(HP)のWebセキュリティアプライアンスを提供します。これにより、現在のハイエンドアプライアンスのトラフィックパフォーマンスが向上します。

– アプライアンスで次の機能を有効にしている場合でも、12.5バージョンにアップグレードして、モデル（S680、S690、S695、S680F、S690F、およびS695F）でハイパフォーマンスモードを使用できるようになりました。

• Webトラフィックタップ
• ボリュームと時間クォータ
• 全体の帯域幅制限

 - IPスプーフィングプロファイルを作成してルーティングポリシーに追加することで、WebプロキシのIPスプーフィングを設定できるようになりました。 

- YouTubeのカスタムURLカテゴリを作成し、YouTubeのカスタムカテゴリにポリシーを設定して、セキュアなアクセスコントロールを実現できるようになりました。

-新しいWebインターフェイスでは、アプライアンスの現在のステータスと設定を表示する新しいページ(Monitoring > System Status)がアプライアンスに表示されます。

- Cisco Success Network(CSN)機能を使用すると、アプライアンスの機能使用状況に関するテレメトリ情報を収集できます。

- ネットワーク、ログサブスクリプション、およびその他の設定用のREST API。

- TLS 1.0/1.1の廃止

• TLS 1.2以降のバージョンを使用して、アプライアンスをAMPファイルレピュテーションサーバに接続します。北中南米（レガシー）:
• cloud-sa.amp.sourcefire.comはAMPファイルレピュテーションサーバリストから削除されるため、AMERICAS（レガシー）となります。
• アプライアンスでcloud-sa.amp.sourcefire.comを設定することはできません。

– 認証用のキャッシュサイズの設定(Network > Authentication > Authentication Settings > Credential Cache Options)は、AsyncOS 12.5.1-035以降のバージョンではサポートされていません。

– アラートメッセージは、アプライアンスのWebユーザインターフェイスに表示されます(System Administration > Alerts > View Top Alerts

• プロキシmallocメモリがプロキシmallocメモリ制限の90%を超えた場合。
• mallocメモリの100 %でプロキシが再起動したとき

どちらの場合も、Webプロキシの重大なアラートを受信するように設定されているすべてのアラート受信者に電子メール通知が送信されます。

– 新しいURL Categories Update通知がバナーに導入されました。また、今後のURLカテゴリの更新に関する電子メール通知もユーザに送信されます。

- Cisco AsyncOS 12.5.4バージョン以降では、アプライアンス管理Webユーザインターフェイスに対してTLSv1.2がデフォルトで有効になっています。

- Cisco AsyncOS 12.5.4バージョンへのアップグレード後、セッション再開はデフォルトでディセーブルになっています。

  – メッセージが追加され、CDA設定セクションでCDAのサポートが終了したことが示されます。

- Cisco AsyncOS 12.5へのアップグレード後、networktuningコマンドを初めて実行するときに、プロキシプロセスを再起動するように求めるプロンプトが表示されます。

MD

– デフォルトでは、HTTP 2.0機能は無効になっています。この機能を有効にするには、<HTTP2>コマンドを使用します。

- AsyncOS 14.0 for Cisco Web Security Applianceは、クライアントとサーバでTLSv1.3セッション再開をサポートします。

– これらの証明書の有効期間が変更されます。

• HTTPS
• ISE
• SAAS
• アプライアンス証明書
• デモ/管理証明書

  – ログサブスクリプションで無効なログ名とファイル名が原因でアップグレードが失敗すると、アプライアンスのCLIおよびGUIにメッセージが表示されるようになりました。

– デフォルトでは、ポーリング間隔は24時間に設定されています。

– このリリースにアップグレードした後、ベースDN（ベース識別名）フィールド(Network > Authentication > Add Realm)が空の場合、LDAP認証のStart Testを実行できません。

- Cisco Webセキュリティアプライアンスは、Cisco SecureXとの統合をサポートするようになりました。

- HTTP要求用のカスタムヘッダープロファイルを設定し、ヘッダー書き換えプロファイルの下に複数のヘッダーを作成できます。 

- Active Directoryのヘッダーベースの認証スキームを構成できるようになりました。クライアントとWebセキュリティアプライアンスは、ユーザが認証済みと見なすため、認証やユーザクレデンシャルの入力を再度求めることはありません。X認証機能は、Webセキュリティアプライアンスがアップストリームデバイスとして機能する場合に機能します。

– アプライアンスのシステムステータスダッシュボードが拡張されました。

• Capacityタブ：時間範囲、システムCPUとメモリの使用量、帯域幅とRPS、機能別のCPU使用量、クライアント接続またはサーバ接続に関する詳細情報を提供するタブ。

• StatusタブのProxy Traffic Characteristicsには、クライアントとサーバの接続に関する詳細情報が表示されます。

• サービス応答時間に、棒グラフの詳細と以前の日付の凡例データが含まれるようになりました。

– 構成情報を取得し、アプライアンスの構成データに対して変更（現在の情報の変更、新しい情報の追加、エントリの削除など）を行うことができます。管理ポリシー、アクセスポリシー、およびバイパスポリシーにはREST APIを使用します。

- Cisco AsyncOS 14.0バージョンは、TLSを介したWeb要求および応答に対してHTTP 2.0をサポートします。HTTP 2.0のサポートには、TLS 1.2バージョン以降からのみ使用可能なTLS ALPNベースのネゴシエーションが必要です。

このリリースでは、HTTPS 2.0は次の機能ではサポートされていません。

• Webトラフィックタップ
• 外部DLP
• 全体の帯域幅とアプリケーションの帯域幅

- HTTP 2.0設定を有効または無効にするための新しいCLIコマンド<HTTP2>が導入されました。アプライアンスのWebユーザインターフェイスからHTTP 2.0を有効または無効にしたり、HTTP 2.0のドメインを制限したりすることはできません。

- HTTP 2.0の設定は、Cisco Secure Email and Web Manageではサポートされていません。

- CLIでは、次のいずれかの機能のデフォルトの証明書を使用しようとすると、新しい警告メッセージが表示されます。

• アプライアンス証明書(Webユーザインターフェイスで、Network > Certificate Management > Appliance Certificateの順に選択します)
• クレデンシャル暗号化証明書(Webユーザインターフェイスで、Network > Authentication > Edit Settings > Advancedセクションに移動します)
• HTTPS管理UI(UI)証明書(コマンドラインインターフェイスでcertconfig > SETUPを使用)

– 新しいサブコマンドOCSPVALIDATION_FOR_SERVER_CERTがcertconfigの下に追加されました。この新しいサブコマンドを使用すると、LDAPおよびUpdaterサーバ証明書のOCSP検証を有効にできます。証明書の検証が有効な場合、通信に含まれる証明書が失効するとアラートを受信できます。

– アプライアンスと認証サーバ間のポーリング機能を設定するために、新しいCLIコマンドgathereredconfigが追加されました。

– アプライアンスでスマートライセンス機能を設定しながら、管理インターフェイスとデータインターフェイスのいずれかを選択できるようになりました。

– スマートソフトウェアライセンスを有効にし、WebセキュリティアプライアンスをCisco Smart Software Managerに登録すると、シスコクラウドサービスが

(Network > Cloud Service Settings)を選択すると、Cisco Cloud Services Portal経由でセキュアWebアプライアンスが自動的に有効になり、登録されます。

– スマートライセンスがアプライアンスに登録されている場合、Cisco Cloud Serviceを無効にしたり、登録解除したりすることはできません。

– アプライアンスをCisco Smart Software Managerに登録済みで、Cisco Cloud Servicesを設定していない場合、AsyncOS 14.0.1-040にアップグレードすると、Cisco Cloud Servicesは自動的に有効になります。デフォルトでは、地域は南北アメリカとして登録されており、必要に応じて地域（ヨーロッパおよびAPJC）を変更できます。

– アプライアンスにスマートライセンスが登録されている場合、Cisco Cloud Serviceを無効にしたり、登録を解除したりすることはできません。

- Cisco Smart Software Managerポータルで作成されたスマートアカウントの詳細は、CLIのsmartaccountinfoコマンドで表示できます。

– シスコクラウドサービスの証明書が期限切れになったか、期限切れになりそうであれば、AsyncOS 14.0.1-040へのアップグレード後にシスコクラウドサービスが証明書を自動更新します。

- Cisco Cloud Services証明書が期限切れになった場合、CLIのcloudserviceconfig > fetchcertificateサブコマンドからCisco Talos Intelligence Servicesポータルに新しい証明書をダウンロードできます。

- Cisco Cloud Service PortalにWeb Security Applianceを自動登録できます(CLIでcloudserviceconfig > autoregisterサブコマンドを使用)。

– 仮想アプライアンスおよびハードウェアアプライアンスの証明書は、CLIのupdateconfig > clientcertificateサブコマンドからロードできます。

– 新しいURL Categories Update通知がバナーに導入されました。

また、今後のURLカテゴリの更新に関する電子メール通知もユーザに送信されます。

HP

- Cisco AsyncOS 14.0.2バージョンでは、Appliance Management Web User InterfaceのSystem Administrator > SSL ConfigurationでTLSv1.2がデフォルトで有効になっています。

– セッション再開はデフォルトで無効になっています。

- CDAのサポート終了を示すメッセージがCDA設定セクションに追加されます。

- [テストインターフェイス]ドロップダウンリストから、スマートライセンス登録のデータまたは管理インターフェイスを選択できるようになりました。

- Cisco AsyncOS 14.0へのアップグレード後、networktuningコマンドを初めて実行するときに、プロキシプロセスを再起動するように求めるプロンプトが表示される。

HP

– セキュリティで保護されたWebアプライアンスが高パフォーマンスモードで動作している場合、ヒープ制限の枯渇によって高い遅延が無効になり、ハンドラが受け入れられます。これにより、接続数が少なくなります。

– 製品のブランド変更：

• エンドポイント用AMP、高度なマルウェア防御、およびAMPがセキュアエンドポイントに変更されました。
• スレッドグリッド（ファイル分析）がマルウェア分析に変更されました

– 誤分類の要求はHTTPS経由で送信されるため、セキュリティアラート通知を受信しません。

- Sambaバージョンがバージョン4.11.15にアップグレードされました。

- System Administrator > SSL Configurationで、アプライアンス管理Webユーザインターフェイスに対してTLSv1.2がデフォルトで有効になっています。

- AsyncOS 14.5の新規インストールでは、HTTPSプロキシページの期限切れおよび不一致ホスト名証明書設定値が、デフォルトでMonitorではなくDropとして選択されます。

- Secure Web Applianceは、DNSサーバから受信したDNS応答が暗号署名をサポートしていることを検証できるようになりました。

– セキュアWebアプライアンス(HTTPS)は、クライアントが開始する同時接続の数を設定値に制限します。

- AsyncOSリリース14.5では、Cisco WebセキュリティアプライアンスはCisco Secure Web Applianceにブランド変更されました。

– クライアントのWebブラウザにEUNページが表示されると、復号化ポリシーグループのアクセスログ決定タグにエンドユーザ通知(EUN)が付加されます。

– ポリシーの複製機能を使用すると、ポリシーの設定をコピーまたは複製したり、新しいポリシーを作成したりできます。

– クォータプロファイルで帯域幅の値を構成し、アクセスポリシーURLカテゴリまたは全体的なWebアクティビティクォータにクォータプロファイルをマッピングすることで、トラフィック帯域幅を管理できます。

- REST APIを使用して、管理ポリシー、復号化ポリシー、ルーティングポリシー、IPスプーフィングポリシー、マルウェア対策とレピュテーション、認証レルム、Cisco Smart Softwareライセンス、Cisco UmbrellaシームレスID、アイデンティティサービス、システムセットアップを設定できます。

- ISE-SXP導入とCisco Secure Web Applianceを統合してパッシブ認証を行うことができます。これにより、SXPを介して公開されるSGTからIPへのアドレスマッピングを含む、定義されたすべてのマッピングを取得できます。

- Cisco UmbrellaシームレスID機能を使用すると、アプライアンスは、認証が成功した後にユーザ識別情報をCisco UmbrellaセキュアWebゲートウェイ(SWG)に渡すことができます。

- CDAのサポート終了を示すメッセージがCDA設定セクションに追加されます。

- [テストインターフェイス]ドロップダウンリストから、スマートライセンス登録のデータまたは管理インターフェイスを選択できるようになりました。

- Cisco AsyncOS 14.5へのアップグレード後、networktuningコマンドを初めて実行するときに、プロキシプロセスを再起動するように求めるプロンプトが表示される。

- Secure Web Appliance(CWA)のクローンオプションを使用するこれらのポリシーは、Cisco Secure Email and Web Manager(SMA)でも管理できます。

• アクセスポリシー
• 識別プロファイル
• 復号化ポリシー
• ルーティングポリシー

HP

致死量

- AsyncOS 14.6は、Cisco UmbrellaとCisco Secure Web Appliance(SWA)をサポートします。 UmbrellaとSecure Web Applianceを統合することで、UmbrellaからSecure Web Applianceへの共通のWebポリシーの導入が容易になります。

- FreeBSDバージョンがFreeBSD 13.0にアップグレードされました。

- Cisco SSLバージョン1.0.2からCisco SSLバージョン1.1.1:

• AVC、WBRSD、DCA、BeakerなどのTalosエンジンがアップグレードされました。
• WebrootやMcAfeeなどのスキャナエンジンがアップグレードされました。

- Smart Software Licensing機能に対する次の機能拡張

• ライセンス予約
• デバイス主導の変換：Secure Web Applianceをスマートライセンスで登録すると、現在の有効な従来のライセンスがすべてDLC（デバイス主導の変換）プロセスによってスマートライセンスに自動的に変換されます。変換されたライセンスは、CSSMポータルの仮想アカウントで更新されます。

– クォータプロファイルの帯域幅の値を構成してトラフィック帯域幅を管理し、クォータプロファイルを復号化ポリシーとアクセスポリシー、URLカテゴリ、または全体的なWebアクティビティクォータにマッピングできます。

– ポリシーの複製機能を使用すると、ポリシーの設定をコピーまたは複製したり、新しいポリシーを作成したりできます。

– アプリケーション検出および制御(ADC)エンジン： 

アクセプタブルユースポリシー(aup)のコンポーネント。Webトラフィックを検査して、アプリケーションに使用されるWebトラフィックをより深く理解し、制御します。

AsyncOS 15.0では、AVCまたはADCエンジンを使用してWebトラフィックを監視できます。デフォルトでは、AVCは有効になっています。ADCエンジンは高性能モードをサポートします。

- ADC設定用のREST API

– 管理者は、デフォルトのユーザ名v3get以外のカスタムSNMPv3ユーザ名の設定を選択できます。

– カスタムヘッダーの最大長は16kです。

– セキュアトンネルインターフェイスとリモートアクセス接続を選択するオプション。

GD

- デバイス主導の変換：Secure Web Applianceをスマートライセンスに登録すると、現在の有効な従来のライセンスがすべてDLC（デバイス主導の変換）プロセスによって自動的にスマートライセンスに変換されます。変換されたライセンスは、CSSMポータルの仮想アカウントで更新されます。

  – デフォルトでは、AVCは有効になっています。 

- Cisco SSLバージョン1.0.2からCisco SSLバージョン1.1.1:

• AVC、WBRSD、DCA、BeakerなどのTalosエンジンがアップグレードされました。
• WebrootやMcAfeeなどのスキャナエンジンがアップグレードされました。
• FreeBSD 13.0はCisco SSLバージョン1.1.1とのみ互換性があります。

- FreeBSD 13.0へのSSH接続でサポートできるのは、Cisco SSH互換の暗号、MAC、およびKEXアルゴリズムのみです。

- AsyncOS15.0 GDリリースの一部で、Secure Web Appliance(CWA)のDCA機能が無効になっています。 したがって、有効にすることは推奨されません。

- プロキシMallocメモリのSNMP OIDに対するSNMPWALK/SNMPGET操作は、マルチプロキシSWA(S690、S695、S1000V)ではサポートされません。

– ライセンスの予約：Cisco Smart Software Manager(CSSM)ポータルに接続せずに、Secure Web Appliance(CWS)で有効になっている機能のライセンスを予約できます。これは主に、インターネットや外部デバイスと通信せずに、セキュリティの高いネットワーク環境にセキュアなWebアプライアンスを導入するユーザにとって有益です。

 - トラフィックの帯域幅を管理するには、クォータプロファイルで帯域幅の値を構成し、復号ポリシーおよびアクセスポリシーURLカテゴリまたは全体的なWebアクティビティクォータでクォータプロファイルをマッピングします。

 - クローンポリシー機能を使用すると、ポリシーの設定をコピーまたはクローンし、新しいポリシーを作成できます。

- Application Discovery and Control(ADC)エンジンをサポートします。これは、アクセプタブルユースポリシーコンポーネントであり、Webトラフィックを検査して、アプリケーションに使用されるWebトラフィックをより深く理解して制御します。

avcまたはADCエンジンを使用してWebトラフィックを監視できるようになりました。

- ADCエンジンは高性能モードをサポートします。

- REST APIを使用して、アプライアンスのアクセスポリシー設定データに対して設定情報を取得したり、変更（現在の情報の変更、新しい情報の追加、エントリの削除など）を行うことができます。

- 管理者は、デフォルトのユーザ名v3get以外のカスタムSNMPv3ユーザ名の設定を選択できます。

- Web要求に対するカスタムヘッダーの最大長は16kです。

- セキュアトンネルインターフェイスとリモートアクセス接続を選択するオプション

HP

次の不具合に対して修正されています。

• Cisco Bug ID CSCvz26149
• Cisco Bug ID CSCwf78874
• Cisco Bug ID CSCwf84371
• Cisco Bug ID CSCwh31573
• Cisco Bug ID CSCwh37834
• Cisco Bug ID CSCwh41379
• Cisco Bug ID CSCwh48523
• Cisco Bug ID CSCwh71926

致死量

- AsyncOS 15.1以降のリリースでは、スマートソフトウェアライセンスが必須です。

- Cisco UmbrellaとCisco Secure Web Applianceを統合することで、UmbrellaからSecure Web Applianceに共通のWebポリシーを容易に導入できます。また、Umbrellaダッシュボードを使用してポリシーを設定し、ログを表示することもできます。

GD

- Secure Web ApplianceをAsyncOS 15.2にアップグレードする前に、スマートライセンスを有効にする必要があります。

– デフォルトでは、Secure Web Appliance Umbrella設定の送信元インターフェイスはManagementに設定されています。

- Secure Web Applianceでは、エンドユーザ通知ページが常にグローバル設定として有効になっています。

- セキュアWebアプライアンスの必須スマートライセンス：

• AsyncOS 15.2以降のリリースでは、従来のライセンスコマンドとUIオプションはサポートされていません。
• AsyncOS 15.2は連邦情報処理標準(FIPS)モードをサポートしていません。
• Cisco SecureX、Cisco Cognitive Threat Analysis(CTA)、およびCisco Cloudlockは、AsyncOS 15.2から廃止されました。
• AsyncOS 15.2にアップグレードするとこれらの機能が無効になり、Secure Web Appliance GUIからこれらの機能を有効にすることはできません

- SWA S396モデルのHigh Performanceモードでは、SWA S696モデルのプロキシインスタンスが3から5に増加します。

– このスキャンエンジンは、アプライアンスがハイパフォーマンスモードの間、S396モデルでは2つのインスタンス、S696モデルでは5つのインスタンスとしてレプリケートされます。

• ソフォス

• マカフィー

• マーリン

• AVC

• アーカイブスキャン

• AMP

- データ1およびデータ2インターフェイスはサポートされていません。代わりに、P1インターフェイスまたはP2インターフェイス、あるいはその両方を使用できます。M2、データ1、およびデータ2のインターフェイスオプションは、etherconfig CLIでは使用できません。

– ハイブリッドポリシーでは、ルールのアクションであるAllow、Block、およびWarnの変換がサポートされます。

– コンテンツカテゴリ、宛先リスト、およびアプリケーションの翻訳がサポートされています。

- AsyncOS 15.2リリースでは、Cisco Secure Webアプライアンス用のM6ハードウェアが導入されています。サポートされているハードウェアモデルは次のとおりです。

• S196

• S396

• S696

• S696F

MD

- SecureXからXDRへの移行：SWAはXDR統合をサポートします。

バージョン

freebsd