はじめに
このドキュメントでは、2022年7月31日にIPレイヤの適用が終了したというCisco Umbrellaの発表について説明します。
概要
IPレイヤの適用は、クライアントのローミングを行うためのオプションの機能であり、選択したCisco Umbrellaパッケージ用のUmbrellaインテリジェントプロキシで使用できます。
2021年8月31日以降にお客様から注文されたCisco Umbrellaパッケージには、IPレイヤの適用は含まれなくなりました。以前にIP Layer Enforcementオプションを含むパッケージを注文したお客様の場合、この機能は2022年7月31日まで引き続き動作します。2022年7月31日に、IPレイヤ適用の運用に必要なクラウド側のサービスがシャットダウンされます。
Cisco Umbrella DNS EssentialsおよびDNS Advantageパッケージは、導入が簡単で管理が容易な、強力なDNSセキュリティソリューションです。これらのDNSパッケージは、(DNSレイヤの適用を通じて)Umbrella DNS要求で始まる、すべての接続(悪意のあるIPアドレスに解決される未知のカテゴリ化されていないドメインも含む)に対して、悪意のあるサーバからDNSサブスクライバを保護し続けます。
Cisco Umbrella Secure Internet Gateway(SIG)パッケージには、すべてのトラフィック(DNS、IP、Webなど)に対してより高度なセキュリティカバレッジが含まれています。 SIGには、Webポート(IPまたはドメインの宛先)上のすべてのトラフィックを分析するセキュアWebゲートウェイ(「SWG」)、およびSWGに加えてクラウドベースのファイアウォール上に階層化されたクラウド配信ファイアウォール(「CDFW」)が含まれます。これにより、シスコのクラウドセキュリティのポートフォリオは、IPレイヤの適用を伴うDNSだけでなく、DNS以上の保護を提供するエンドポイントソフトウェアの要件もさらに強化されます。DNS以外のカバレッジを必要とするユーザには、Umbrella SIGパッケージを検討することをお勧めします。
Cisco Umbrellaでネットワークスタックを保護しましょう。また、Cisco Secure Internet Gatewayソリューションの詳細については、Cisco Umbrellaのアカウントマネージャにお問い合わせください。
補足情報
AnyConnectバージョンのサポート
IPレイヤの適用は、IPレイヤの適用の終了日まで、AnyConnectバージョン4.xでサポートされます。バージョン5.xでは、IPレイヤの適用はサポートされていません。Cisco Secure Clientブランドのクライアントには、IPレイヤの適用のサポートは含まれません。既存のAnyConnectユーザがIPレイヤ適用終了日までIPレイヤ適用機能を利用するには、AnyConnect 4.xクライアントを引き続き使用する必要があります。
シスコの代替
Cisco Secure Endpoint(旧称AMP)は、IPに対する直接的な脅威に対するデバイス上の保護を提供します。これには、新しいプロセスの新しい接続を評価する「DFC」と呼ばれる機能が含まれます。この機能は、Umbrella IPLEの機能にさらに取って代わるために拡張される予定です。ELAへのCisco Secure Endpointの追加については、アカウントマネージャにお問い合わせください。
SIGは、SWG上のすべてのWebトラフィックと、クラウドファイアウォールを使用するすべてのパブリックインターネットトラフィックをカバーします。IPLEブロックの95 %以上がSWGでカバーされるWebトラフィックです。(TCP 443および80経由のWebトラフィック)。 この機能はSWGによって提供され、IPLEによる電源供給は受けません。
組織のIPLE付加価値の表示
組織の現在のIPレイヤ適用ブロックを100万行のログ行ごとに計算するには、次の手順を実行します。
- Umbrellaダッシュボードにログインし、アクティビティ検索レポートを開きます。
- ログタイプ「IP Layer Enforcement」に移動します(「All」から変更)。
- 1,000,000行のCSVをエクスポートし、エクスポートしたレポートをダウンロードします。
- 「マルウェア」または「ボットネット」のカテゴリを含まないすべての行をフィルタで除外します。
- 「Unauthorized IP Tunnel Traffic」を除外します。 このカテゴリは、エンフォースメントリストではないIPSecトンネルに到達するトラフィックです。サービスから自動的に削除されます。
- トラフィックポートに注意してください。ポート443および80は、SIG Essentialsパッケージで完全にカバーされています。
- ブロックの総数は、組織のブロック数です。これを「Total Requests」レポート内のDNS要求の合計と比較して、有効性のパーセンテージを計算します。