Cisco Application Policy Infrastructure Controller エンタープライズ モジュール リリース 1.2.x 導入ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Application Policy Infrastructure Controller エンタープライズ モジュール リリース 1.2.x 導入ガイド

Chapter Title

Cisco APIC-EM セキュリティ

検索結果

Updated:
2017年6月20日

章のタイトル: Cisco APIC-EM セキュリティ

Cisco APIC-EM セキュリティ

Cisco APIC-EMのセキュリティについて

Cisco APIC-EMでは基本機能をサポートするためにマルチレイヤ アーキテクチャが必要です。マルチレイヤ アーキテクチャは、次のコンポーネントで構成されています。

  • 外部ネットワーク:外部ネットワークは、ネットワークの一方の管理者とアプリケーション、もう一方の内部ネットワーク内またはクラウドのGrapevine rootとクライアント間に存在します。管理者とアプリケーションの両方がこの外部ネットワークを使用して Grapevine rootとクライアントにアクセスします。

  • 内部ネットワーク:内部ネットワークは Grapevine rootおよびクライアント両方で構成されます。

  • デバイス管理ネットワーク:このネットワークは、コントローラで管理および監視されるデバイスで構成されています。デバイス管理ネットワークは上記の外部ネットワークと基本的に同じであることに注意してください。これは管理者またはノースバウンド アプリケーションから物理的または論理的にセグメント化される可能性があります。

重要:

あらゆるレイヤ間通信およびレイヤ内通信では、暗号化、認証およびセグメント化による保護が必要です。


(注)  

内部ネットワーク内のクライアントで動作するさまざまなサービスについては、第 3 章「Cisco APIC-EMのサービス」を参照してください。

外部ネットワーク セキュリティ

Cisco APIC-EMは、HTTPS を介してサービスを提供し、外部インターフェイス(eth0、eth1、eth2 など)のいずれかに到達するクライアント通信に X.509 サーバ パブリック証明書を示します。外部クライアント(たとえば、ノースバウンド REST API コンシューマ アプリケーション、コントローラからファイルのダウンロードを実行するデバイス、DMVPN 証明書の更新、または証明書失効リスト(CRL)など)は、コントローラに NAT やプロキシ ゲートウェイを介して到達するか、または直接到達できます。

コントローラによって提供された外部 X.509 証明書は、コントローラ自体によって動的に生成され、自己署名されたものであるか、または GUI を使用して秘密キーでコントローラにインポートされた(ユーザの X.509 証明書)ものです。コントローラから自己署名された X.509 証明書を使用するか、または自身の X.509 証明書と秘密キーをインポートして使用するかのオプションがあります。デフォルトでは、API 要求に対して提示された自己署名された X.509 証明書が Grapevine の内部認証局(CA)によって署名されます。この自己署名された X.509 証明書が、ホストにより認識および許容されないことがあります。API 要求を続行するには、警告を無視し、続行するための証明書を信頼する必要があります。


(注)  

自己署名証明書をコントローラで使用したり、コントローラにインポートすることはお勧めしません。既知の認証局(CA)から有効な X.509 証明書をインポートすることをお勧めします。

外部ネットワークからCisco APIC-EMへのノースバウンド REST API 要求は、Transport Layer Security(TLS)プロトコルを使用して安全に行われます。コントローラは複数の TLS バージョンをサポートしていますが、コントローラのデフォルト設定は TLS バージョン 1.0 です。CLI を使用して、TLS サポートをそれ以降のより安全なバージョンに制限できます。詳細については、CLI を使用した TLS バージョンの設定を参照してください。

関連タスク
CLI を使用した TLS バージョンの設定

内部ネットワーク セキュリティ

HTTP を使用するいくつかの重要な Grapevine 間通信は、内部公開キー インフラストラクチャ(PKI)を使用して SSL を介して送信されます。すべての内部 Grapevine サービス、データベース サーバと Cisco APIC-EMサービス自体は、これらのサービスのセグメント化と安全を維持するために内部ネットワークでのみリッスンします。

関連タスク
複数ホストの通信のための IPSec トンネリングの設定

デバイス管理ネットワーク セキュリティ

デバイス管理ネットワーク セキュリティでは、コントローラ側が開始した通信とデバイス側が開始した通信の両方が対象になります。

コントローラ側が開始した通信(ディスカバリまたはデバイスへのポリシーのプッシュ)の場合、Cisco APIC-EMは次のプロトコルを使用してネットワーク デバイスにアクセスして、プログラミングを行います。

  • SSH バージョン 2

  • Telnet

  • SNMP バージョン 2c および 3


(注)  

ネットワーク デバイスでサポートされている場合は、認証とプライバシーが有効になっている状態で SNMP バージョン v3c を使用することを強く推奨します。コントローラは、SSH バージョン 1 のデバイスには接続されません。HTTP および HTTPS は、コントローラによるデバイス検出ではサポートされていません。

デバイス側が開始した通信の場合、ネットワーク デバイスは次のプロトコルを使用して、コントローラと通信してやりとりすることができます。

  • HTTP

  • HTTPS

  • SNMP バージョン 2c

HTTP または HTTPS の使用はデバイス自体が決めるものではありません。デバイスがコールしている NB REST API によって決定されます。HTTP は機密性の低い通信用にサポートされます。

関連タスク
CLI を使用した TLS バージョンの設定

PKI の概要

Cisco APIC-EMは公開キー インフラストラクチャ(PKI)を基盤としてセキュアな通信を提供しています。PKI は、認証局、デジタル証明書、公開キーと秘密キーで構成されます。

証明機関(CA)は証明書要求を管理して、ホスト、ネットワーク デバイス、ユーザなどの参加エンティティにデジタル証明書を発行します。CA は参加エンティティに対して集中型のキー管理を行います。

デジタル署名は、公開キー暗号化に基づいて、ホスト、デバイスや個々のユーザをデジタル的に認証します。RSA 暗号化システムなどの公開キー暗号化では、各エンティティはキー ペアを持ち、これには秘密キーと公開キーが含まれています。秘密キーは秘密裡に保管し、これを知っているのは所有するホスト、デバイスまたはユーザだけです。一方、公開キーは誰もが知っているものです。これらのキーの一方で暗号化されたものは、他方のキーで復号化できます。署名は、送信者の秘密キーを使用してデータを暗号化したときに作成されます。受信側は、送信側の公開キーを使用してメッセージを復号化することで、署名を検証します。このプロセスは、受信者が送信者の公開キーのコピーを持っていて、これが本当に送信者のものであり、送信者を騙る他人のものではないことを高い確実性を持って知っていることを基盤としています。

デジタル証明書は、デジタル署名と送信者を結び付けるものです。デジタル証明書には、名前、シリアル番号、企業、部署または IP アドレスなど、ユーザまたはデバイスを特定する情報を含んでいます。また、エンティティの公開キーのコピーも含まれています。証明書に署名する CA は、受信者が明示的に信頼する第三者機関であり、アイデンティティの正当性を立証し、デジタル証明書を作成します。

CA の署名を検証するには、受信者は、CA の公開キーを認識している必要があります。一般的にはこのプロセスはアウト オブ バンドか、インストール時に行われる操作によって処理されます。たとえば、通常の Web ブラウザでは、デフォルトで、複数の CA の公開キーが設定されています。

サポートされる Cisco APIC-EM PKI プレーン

Cisco APIC-EMでは、証明書、キーまたは CA を共有しない 2 つの独立した PKI プレーンを維持します。各 PKI プレーンは接続の特定のセットを保護します。

  • コントローラの接続

    コントローラのサーバ証明書はクライアント側開始のコントローラへの接続(通信)を保護します。

    コントローラは、NB REST API を使用してコントローラと通信しているサードパーティ アプリケーションなどの、NB REST API の発信者からの HTTPS 接続要求に応じてサーバ証明書を示します。さらに、NB REST API を呼び出すか、ファイル(デバイス イメージ、設定など)をダウンロードするために、ルータ、スイッチ、またはその他のコントロール プレーン デバイスがコントローラへの HTTPS 接続を開始するときに、サーバは接続を要求したデバイスに証明書を示します。

    REST 発信者に代わってコントローラが実行するアクション(デバイスの検出、タグの管理またはポリシーのデバイスへのプッシュなど)を含む、コントローラにより起動されるデバイス インタラクションは、現在 HTTPS を使用しません。


    (注)  

    この導入ガイドのセキュリティ コンテンツと説明では、この特定の PKI プレーンのみを扱います。

  • デバイスからデバイスへの DMVPN 接続

    IWAN 管理対象デバイスは、IWAN QoS ポリシーを実現するためにデバイス間のダイナミック マルチポイント VPN(DMVPN)接続を確立します。Cisco APIC-EMの組み込みプライベート CA は、これらの DMVPN 接続を保護する証明書およびキーをプロビジョニングします。Cisco APIC-EM に組み込まれた PKI ブローカは、IWAN GUI または pki ブローカ NB REST API を使用する REST 発信者の管理者の指示に従って、これらの証明書とキーを管理します。外部 CA はこれらの証明書とキーを管理できません。

    現在、IWAN アプリケーションおよび DMVPN 接続のみ内部 CA 発行の証明書を使用します。将来は、Cisco APIC-EMの内部 CA から証明書を入手する他のサービスが存在する可能性があります。


    (注)  

    この導入ガイドでは、IWAN ダイナミック マルチポイント VPN(DMVPN)の接続については説明しません。このトピックの詳細は、適切な Cisco IWAN のドキュメントを参照してください。

重要:

Cisco APIC-EM に組み込まれた内部 CA は、外部 CA へのサブ/中間 CA にはできません。Cisco APIC-EM がそのようなサポートを追加するまで、これら 2 つの PKI プレーン(1 つはコントローラの接続用、もう 1 つはデバイス間の DMVPN 接続用)はお互いに完全に独立しています。現在のリリースでは、IWAN デバイスの相互対話の証明書は Cisco APIC-EM に組み込まれた CA でのみ管理されます。外部 CA はデバイスが DMVPN トンネル作成および関連操作で互いに示す IWAN 特定の証明書を管理できません。

PKI デバイス通知

Cisco APIC-EMは、ユーザのトラブルシューティングとサービサビリティの両方に役立つ PKI デバイス通知を提供します。

重要:

このセクションで説明する PKI デバイス通知は、コントローラ接続ではなく、デバイス間の DMVPN 接続からのみアクティブになります。

次の PKI デバイス通知を使用できます。

  • システム通知:ユーザ アクションが必要であることを示す通知。これらの通知は、GUI の [Global]ツールバーからアクセス可能な [Systems Notifications] ビューに表示されます。

  • 監査ログ通知:コントローラの [Audit Log]GUI を使用して表示できるシステム ログの通知。

次の PKI システム通知タイプがサポートされています。

  • Information

    • 新しいトラスト ポイント作成

    • 新しい PKCS12 ファイルの作成

    • デバイス証明書の登録の完了

    • デバイス証明書の更新の完了

    • デバイス証明書の失効

  • Warning

    • 部分的な失効:到達不能なデバイスまたはトラスト ポイントが使用中

    • 証明書の有効期間の 80 パーセントが経過した登録の遅延

    • サービス起動の遅延

  • Critical

    • 認証局ハンドシェイクの失敗

    • 登録の失敗

    • 失効の失敗

    • 更新の失敗

次の監査ログ通知は、システム ログで確認できます。

  • デバイス登録

  • デバイスへの証明書のプッシュ

  • デバイス証明書の更新

  • デバイス証明書の失効

Cisco APIC-EM証明書および秘密キーのサポート

Cisco APIC-EMはセッション(HTTPS)の認証に使用される PKI 証明書管理機能をサポートします。これらのセッションでは、認証局(CA)と呼ばれる一般に認められた信頼されたエージェントを使用します。Cisco APIC-EMは PKI 証明書管理機能を使用して、既知の CA から X.509 証明書をインポートし、保存して管理します。インポートされた証明書はコントローラ自体の ID 証明書になり、コントローラは認証用にクライアントにこの証明書を示します。クライアントは、NB API のアプリケーションやネットワーク デバイスです。

Cisco APIC-EMはコントローラの GUI を使用して次のファイル(PEM または PKCS ファイル形式)をインポートできます。

  • X.509 証明書

  • 秘密キー


(注)  

秘密キーに対し、Cisco APIC-EMは RSA キーのインポートをサポートします。DSA、DH、ECDH および ECDSA キーをインポートしないでください。サポートされません。 また、独自のキー管理システムで秘密キーを安全に保つ必要があります。

インポート前に、既知の、認証局(CA)から有効な X.509 証明書と秘密キーを取得し、自分の自己署名証明書を作成する必要があります。インポートした後、X.509 証明書および秘密キーに基づいたセキュリティ機能が自動的に有効化されます。Cisco APIC-EMはこの証明書を要求するデバイスやアプリケーションに証明書を提供します。ノースバウンド API アプリケーションおよびネットワーク デバイスのどちらも、コントローラとの信頼関係の確立にこれらのクレデンシャルを使用できます。

IWAN の設定およびネットワーク PnP 機能では、ネットワーク内のデバイス間の信頼性を確保するために、PKI の trustpool を含む追加手順が使用されます。この手順については次の「Cisco APIC-EMTrustpool サポート」セクションを参照してください。


(注)  

自己署名証明書をコントローラで使用したり、コントローラにインポートすることはお勧めしません。既知の認証局(CA)から有効な X.509 証明書をインポートすることをお勧めします。さらに、自己署名証明書(デフォルトで Cisco APIC-EMにインストールされた)を、ネットワーク PnP 機能が正しく動作するように、既知の認証局により署名された証明書に置き換える必要があります。

Cisco APIC-EMは一度にインポートされた 1 つの X.509 証明書と秘密キーのみサポートします。2 番目の証明書および秘密キーのインポート時に、最初に(既存の)インポートされた証明書および秘密キー値が上書きされます。


(注)  

外部 IP アドレスがコントローラに対し何らかの理由で変更される場合、変更された、または新しい IP アドレスを含む新しい証明書をインポートし直す必要があります。

関連タスク
証明書のインポート

Cisco APIC-EM証明書チェーンのサポート

Cisco APIC-EMは GUI を介してコントローラに証明書および秘密キーをインポートできます。Cisco APIC-EMは、下位認証局(CA)から GUI を通じての下位証明書(中間証明書)のインポートもサポートします。

コントローラ(コントローラ証明書)にインポートされた証明書につながる証明書チェーンに関連する下位証明書がある場合、これらの下位 CA の下位証明書とルート証明書の両方はインポートされる単一のファイルに一緒に追加される必要があります。これらの証明書を追加する場合は、認定の実際のチェーンと同じ順序で追加する必要があります。

たとえば、ルート証明書(ルート CA)で既知の信頼できる CA が中間 CA 証明書(CA1)に署名したと仮定します。次に、この証明書 CA1 が別の中間 CA 証明書(CA2)に署名するとします。最後に CA 証明書(CA2)がコントローラ証明書(Controller_Certificate)に署名した CA であると仮定します。この例では、コントローラに作成およびインポートする必要のある PEM ファイルは、次のファイルの上部(最初)からファイルの下部(最後)までの順序である必要があります。

  1. Controller_Certificate(ファイルの上部)

  2. CA2 証明書

  3. CA1 証明書

単一ファイルの作成のためにコントローラの証明書にルートおよび下位証明書を追加する要件は、PEM ファイルにのみ適用されます。インポートのためにルート証明書にルートおよび中間証明書を追加する要件は、PKCS ファイルには必要ありません。

関連タスク
証明書のインポート

Cisco APIC-EMTrustpool のサポート

Cisco APIC-EMおよび Cisco IOS デバイスは trustpool と呼ばれる特別な PKI 証明書ストアをサポートします。trustpool は信頼できる認証局(CA)を特定する X.509 証明書を保持します。Cisco APIC-EMおよびネットワークのデバイスは trustpool バンドルを使用して、相互の、およびこれらの CA との信頼関係を制御します。コントローラは、プールの証明書が失効予定、再発行される、またはその他の理由で変更する必要がある場合に、GUI を通じて、この PKI 証明書ストアを制御し、これを更新することができます。


(注)  

Cisco APIC-EMはまた trustpool 機能を使用して、GUI でアップロードする証明書ファイルが有効な CA 署名付き証明書であるかどうかを判別します。

Cisco APIC-EMにはインストール済みのデフォルトの、ios.p7b という名前のシスコの署名付き trustpool バンドルが含まれます。この trustpool バンドルは、シスコのデジタル署名証明書で署名されているので、サポートされているシスコのネットワーク デバイスによりネイティブで信頼されます。この trustpool バンドルは、シスコのネットワーク デバイスが純正のアプリケーションおよびサービスとの信頼性を確立するのに重要です。この Cisco PKI の trustpool バンドル ファイルは、シスコの Web サイト(Cisco InfoSec)にあります。

リンクは次の場所にあります。http:/​/​www.cisco.com/​security/​pki/​

コントローラのネットワーク PnP 機能のために、コントローラにより制御および監視されているサポート対象のシスコ デバイスは、このファイルをインポートする必要があります。サポートされているシスコ デバイスは最初のブート時に、コントローラにこのファイルをインポートするようにコンタクトします。


(注)  

時々、trustpool の証明書の期限切れ、再発行、またはその他の理由で、この trustpool バンドルを新しいバージョンに更新する必要があります。コントローラに存在する trustpool バンドルを更新する必要があるたびに、コントローラの GUI を使用して更新できます。コントローラは Cisco Cloud(シスコ認定の trustpool バンドルが含まれている)にアクセスして最新の trustpool バンドルをダウンロードできます。ダウンロード後に、コントローラは、現在の古い trustpool バンドル ファイルを上書きします。実際には、[Certificate]ウィンドウまたは [Proxy Gateway Certificate] ウィンドウを使用して、CA からの新しい証明書がインポートされる前、または [Update] ボタンがアクティブでグレーでなければいつでも、trustpool バンドルを更新できます。

Cisco APIC-EMtrustpool の管理機能は次のように動作します。

  1. ネットワーク PnP 機能をサポートするネットワーク内のシスコ デバイスをブートします。

    すべてのシスコ デバイスがネットワーク PnP 機能をサポートするわけではないことに注意してください。サポート対象のシスコ デバイスのリストについては、『Release Notes for Cisco Network Plug and Play』を参照してください。

  2. PnP の最初のフローの一部として、これらのサポート対象のシスコ デバイスは、HTTP を使用して trustpool バンドルを Cisco APIC-EMから直接ダウンロードします。

  3. シスコ デバイスは、詳細なデバイス設定およびネットワーク PnP トラフィック フローごとのプロビジョニングを取得するために Cisco APIC-EMと通信する準備ができました。

    重要:

    HTTP プロキシ ゲートウェイがコントローラとこれらのシスコ デバイスの間に存在する場合、コントローラにプロキシ ゲートウェイの証明書をインポートするための追加の手順を実行します。プロキシ ゲートウェイ証明書のインポートを参照してください。

関連タスク
Trustpool バンドルのインポート

セキュリティおよびシスコ ネットワーク プラグ アンド プレイ

シスコ ネットワーク プラグ アンド プレイ(PnP)アプリケーションを使用して、Cisco APIC-EMはサポート対象のシスコ ネットワーク デバイスからの HTTPS 要求に応答し、これらのデバイスがイメージおよび目的の設定をダウンロードしてインストールすることを許可します。デバイスでコントローラからこれらのファイルをダウンロードできるようにするには、コントローラとデバイス間の最初のインタラクションで信頼関係を確立する必要があります。

PnP 対応デバイスとの最初のインタラクションでは、PnP 対応デバイスは、CA ルート証明書のバンドルまたは少なくともサーバ側の証明書を発行した CA の証明書が含まれる信頼情報を含むコントローラによってプロビジョニングされます。後者の場合は、CA が既知の CA になる場合もあればならない場合もあることに注意してください。

一部のシスコ ネットワーク プラグ アンド プレイのシナリオでは、ネットワーク設定でコントローラと PnP 対応デバイス間にプロキシ ゲートウェイを配置することができます。たとえば、IWAN 展開では、ブランチ ルータは最初のプロビジョニング時に DMZ でプロキシ ゲートウェイを通じてCisco APIC-EMと通信できます。プロキシ ゲートウェイが存在するかどうかに応じて、デバイスとの最初のトランザクション時にコントローラによって提供された信頼情報はプロキシ ゲートウェイまたはコントローラの証明書発行者に対応できます(対応するサーバ証明書が有効な CA 署名付きでない場合)。一方、プロキシまたは非プロキシのケースでは、証明書が単に自己署名証明書である場合は、その証明書はデバイスによって信頼ストアにダウンロードされます。


(注)  

Cisco APIC-EMまたはプロキシ ゲートウェイに自己署名証明書を使用することは決して推奨しません。公的に検証可能な CA 発行の証明書を使用して、コントローラとプロキシ ゲートウェイ(存在する場合)にインストールすることを強く推奨します。

コントローラまたはプロキシ ゲートウェイ(存在する場合)に有効な CA 発行の証明書を使用すると、PnP 対応デバイスはすべての既知の CA ルート証明書を含む trustpool バンドル(ios.p7b)をダウンロードできます。これにより、デバイスはコントローラまたはプロキシ ゲートウェイへのセキュアな接続を確立でき、それらのデバイスのさらなるプロビジョニングと操作が可能になります。このような証明書に有効な CA 署名または自己署名がされていない場合、コントローラまたはコントローラの前にあるプロキシ ゲートウェイへのセキュアな接続を先に進めるために、デバイスは発行元の CA の証明書または自己署名証明書をダウンロードする必要があります。インストールされる証明書の特性に応じて、Cisco APIC-EMは、関連する信頼できる証明書のデバイスへの自動ダウンロードを促進します。ただし、プロキシ ゲートウェイが存在する場合は、コントローラによって同様の事前プロビジョニングを促進するためのプロビジョニング GUI が提供されます。

関連タスク
プロキシ ゲートウェイ証明書のインポート

CLI を使用した TLS バージョンの設定

外部ネットワークからCisco APIC-EMへの(HTTPS を使用してコントローラに接続したノースバウンド REST API ベースのアプリケーション、ブラウザ、ネットワーク デバイスからの)ノースバウンド REST API 要求は、Transport Layer Security(TLS)プロトコルを使用して安全に行われます。Cisco APIC-EM は、TLS バージョン 1.0、1.1、および 1.2 をサポートします。

クライアント(コントローラ GUI ブラウザなどノースバウンド アプリケーション クライアント、またはネットワーク デバイス)がコントローラと通信できる最小の TLS バージョンは、デフォルトで TLS 1.0 です。ネットワーク デバイスの IOS/XE バージョンが TLS 1.0 以降のバージョンをサポートできる場合は、コントローラの最小 TLS バージョンをより大きなバージョンに設定することを強くお勧めします(Cisco APIC-EM 制御下にあるすべてのネットワーク デバイスがその TLS バージョンをサポートできることを確認してください)。


(注)  

TLS 1.0 未満のバージョン(SSLv3 や SSLv2 など)は、Cisco APIC-EM でサポートされません。

重要:

コントローラの TLS バージョンが 1.2 に設定されている場合、TLS バージョン 1.0 または 1.1 接続を開始したクライアントは拒否され、このクライアントからの通信はすべて失敗します。コントローラの TLS バージョンが 1.0 に設定されている場合、TLS バージョン 1.1 または 1.2 接続を開始したクライアントは許可されます。

コントローラの TLS バージョンを設定するには、ホスト(物理または仮想)にログインして CLI を使用します。


(注)  
このセキュリティ機能は、Cisco APIC-EMのポート 443 にのみ適用されます。
はじめる前に

Cisco APIC-EMが正常に導入され、動作している必要があります。

この手順を実行するには、Grapevine への SSH アクセス権限が必要です。

    ステップ 1   セキュア シェル(SSH)クライアントを使用し、設定ウィザードを使用して指定した IP アドレスでホスト(物理または仮想)にログインします。
    (注)     

    SSH クライアントで入力する IP アドレスは、ネットワーク アダプタ用に設定した IP アドレスです。この IP アドレスは、ホストを外部ネットワークに接続します。

    ステップ 2   プロンプトが表示されたら、Linux のユーザ名(「grapevine」)と SSH アクセス用のパスワードを入力します。
    ステップ 3   プロンプトに grape config display コマンドを入力して、デフォルトの最小 TLS バージョンを表示します。 
    $ grape config display

PROPERTY                         VALUE
----------------------------------------------------------------------
client_grow_timeout              150
client_heartbeat_timeout         120
client_idle_timeout              60
enable_policy                    True
enable_secure_tunnel             True
enable_service_rollback          False
host_cpu_threshold               0.9
host_datastore_threshold         1.0
host_heartbeat_timeout           120
host_memory_threshold            0.00999999977648
https_proxy
https_proxy_password
https_proxy_username
load_multiplier                  1.0
max_spare_capacity               1
policy_startup_delay             120
tls_minimum                      1_0

(grapevine)
    ステップ 4   プロンプトに grape config update tls_minimum 1_2 コマンドを入力して、TLS バージョン 1.2 に更新します。 
    $ grape config update tls_minimum 1_2
Config updated successfully

(grapevine)
    ステップ 5   プロンプトに再度 grape config display コマンドを入力して、新しい最小 TLS バージョンを表示します。 
    $ grape config display

PROPERTY                         VALUE
----------------------------------------------------------------------
client_grow_timeout              150
client_heartbeat_timeout         120
client_idle_timeout              60
enable_policy                    True
enable_secure_tunnel             True
enable_service_rollback          False
host_cpu_threshold               0.9
host_datastore_threshold         1.0
host_heartbeat_timeout           120
host_memory_threshold            0.00999999977648
https_proxy
https_proxy_password
https_proxy_username
load_multiplier                  1.0
max_spare_capacity               1
policy_startup_delay             120
tls_minimum                      1_2

(grapevine)

    最小 TLS バージョンは、TLS 1.2 バージョンを示す 1_2 と表示されます。

    関連コンセプト
    外部ネットワーク セキュリティ
    デバイス管理ネットワーク セキュリティ

    複数ホストの通信のための IPSec トンネリングの設定

    複数ホスト クラスタでのホスト間通信に使用されるデフォルトのトンネリング プロトコルは、Generic Routing Encapsulation(GRE)です。複数ホスト クラスタ内のホスト間の通信は、インターネット プロトコル セキュリティ(IPsec)を使用してより安全に行うことができます。この手順の説明に従って、設定ウィザードを使用して Cisco APIC-EM 用の IPSec による安全なトンネリングを有効にできます。

    重要:

    以前の Cisco APIC-EM リリース バージョンからリリース バージョン 1.2.x にアップグレードしている場合は、『Release Notes for the Cisco Application Policy Infrastructure Controller Enterprise Module, Release 1.2.0.x』で説明されているアップグレード手順に従います。この手順では、新しくインストールされた 1.2.x 複数ホスト クラスタで IPSec トンネリングを設定するプロセスについて説明します。

    ホスト間の通信のセキュリティを強化するには、次に示す手順に従います。手順の概要は次のとおりです。

    1. 複数ホスト クラスタからホストを削除します(ステップ 1 ~ 5)。

    2. クラスタの最後のホストで IPSec トンネリングを有効にします(ステップ 6 ~ 10)。

    3. IPSec トンネリングを有効にしたホスト以外のホストを複数ホスト クラスタに追加します(ステップ 10 ~ 20)。


    (注)  

    Cisco APIC-EM が複数ホスト クラスタ内にある間に、セキュア トンネル モード(IPSec トンネリング)を有効または無効にしないでください。設定ウィザードは、複数ホスト クラスタ内にある間のそのような変更をサポートしていません。

    はじめる前に

    Cisco APIC-EMが正常に導入され、動作している必要があります。

    この手順を実行するには、Grapevine への SSH アクセス権限が必要です。

      ステップ 1   Secure Shell(SSH)クライアントを使用して、クラスタ内の 1 つのホストにログインします。

      プロンプトが表示されたら、Linux のユーザ名(「grapevine」)と SSH アクセス用のパスワードを入力します。

      ステップ 2   次のコマンドを入力して設定ウィザードにアクセスします。 
      $ config_wizard
      ステップ 3   [Welcome to the APIC-EM Configuration Wizard!]画面を確認し、クラスタからホストを削除するオプションを選択します。

      • [Remove this host from its APIC-EM cluster]

      ステップ 4   オプション [proceed]とともにメッセージが表示されるので、クラスタからこのホストを削除します。 開始するには、[proceed>>]を選択します。[proceed>>]を選択した後、設定ウィザードはクラスタからのこのホストの削除を開始します。

      このプロセスの最後に、このホストはクラスタから削除されます。

      ステップ 5   クラスタの 2 番目のホストで上記の手順(ステップ 1 ~ 4)を繰り返します。
      (注)     

      複数ホスト クラスタからすべてのホストを削除するまで、クラスタの各ホストで上記の手順を繰り返す必要があります。

      重要:

      最後に削除したクラスタ内の最後のホストをメモします。そのホストで以降の手順(IPSec トンネリングの有効化)を実行する必要があります。たとえば、クラスタに 3 つのホスト(A、B、C)があり、最初にホスト A を削除して、次にホスト B を削除する場合は、ホスト C で IPSec を有効にする必要があります。

      ステップ 6   Secure Shell(SSH)クライアントを使用して、クラスタの最後のホストにログインし、config_wizard コマンドを実行します。 
      $ config_wizard
      ステップ 7   [INTER-HOST COMMUNICATION]画面にアクセスするまで、設定ウィザードの現在の設定値を確認して、[next>>] をクリックします。
      ステップ 8   [yes]を選択して、複数ホスト クラスタ内のホスト間の通信用に IPSec トンネリングを設定します。

      複数ホスト クラスタでのホスト間通信に使用されるデフォルトのトンネリング プロトコルは、Generic Routing Encapsulation(GRE)です。「yes」と入力すると、このステップで IPSec トンネリングを設定することになります。

      ステップ 9   設定ウィザード プロセスの最後のステップに到達するまで [next>>]をクリックします。
      ステップ 10   [proceed>>]をクリックして、設定ウィザードによって Cisco APIC-EM の導入に対する設定変更を保存および適用します。

      設定プロセスの最後に、「CONFIGURATION SUCCEEDED!」というメッセージが表示されます。

      次に、以前に複数ホスト クラスタ内にあった他のホストにログインし、設定ウィザードを使用して、クラスタを再構成します(ホスト間に設定された IPSec トンネリングを使用します)。

      ステップ 11   Secure Shell(SSH)クライアントを使用して、クラスタ内の他のホストの 1 つにログインします。

      プロンプトが表示されたら、Linux のユーザ名(「grapevine」)と SSH アクセス用のパスワードを入力します。

      ステップ 12   次のコマンドを入力して設定ウィザードにアクセスします。 
      $ config_wizard
      ステップ 13   [Welcome to the APIC-EM Configuration Wizard!]画面を確認し、[Create a new APIC-EM cluster] オプションを選択します。
      (注)     

      他の(2 番目の)ホストを IPSec トンネリングが有効なホストに参加させると、他の(2 番目の)ホストで IPSec トンネリングが自動的に設定されます。

      ステップ 14   設定ウィザードを使用してクラスタの再作成に進みます。

      この手順とプロセスに関する詳細情報については、ウィザードを使用した複数のホスト クラスタとしての Cisco APIC-EMの設定を参照してください。

      ステップ 15   設定プロセスの最後で、[proceed>>]をクリックして、設定ウィザードで設定の変更を保存して適用します。

      「CONFIGURATIONSUCCEEDED!」というメッセージが表示されます。

      ステップ 16   Secure Shell(SSH)クライアントを使用して、3 番目のホストにログインし、設定ウィザードを使用して、新しい複数ホスト クラスタに参加します。

      プロンプトが表示されたら、Linux のユーザ名(「grapevine」)と SSH アクセス用のパスワードを入力します。

      ステップ 17   次のコマンドを入力して設定ウィザードにアクセスします。 
      $ config_wizard
      ステップ 18   [Welcome to the APIC-EM Configuration Wizard!]画面を確認し、[Add this host to an existing APIC-EM cluster] オプションを選択します。
      (注)     

      このホストを IPSec トンネリングが有効な新しい複数ホスト クラスタに追加すると、このホストで IPSec トンネリングが自動的に設定されます。

      ステップ 19   設定ウィザードを使用して、クラスタへのこのホストの追加に進みます。

      この手順とプロセスに関する詳細情報については、ウィザードを使用した複数のホスト クラスタとしての Cisco APIC-EMの設定を参照してください。

      ステップ 20   設定プロセスの最後で、[proceed>>]をクリックして、設定ウィザードで設定の変更を保存して適用します。

      「CONFIGURATIONSUCCEEDED!」というメッセージが表示されます。

      この手順が終了すると、クラスタが更新され、IPSec トンネリングが設定されます。複数ホスト クラスタにさらにホストを追加するには、上記の手順を繰り返します。

      関連コンセプト
      内部ネットワーク セキュリティ

      パスワード要件

      Cisco APIC-EMのパスワード ポリシーは、コントローラ GUI へのログイン、Grapevine ルートへの SSH ログイン、ノースバウンド API 要求およびトラブルシューティングのための Grapevine コンソールへのログインでのパスワード値を管理します。Cisco APIC-EMはパスワード ポリシーに従わないパスワードを拒否します。パスワードが拒否されると、コントローラが拒否理由を説明するエラー メッセージを表示します。

      新規または変更されたパスワードは次の基準を満たす必要があります。

      • 長さが 8 文字以上である。

      • タブまたは改行を含まない。

      • 次の中から少なくとも 3 つのカテゴリの文字を含む。

        • 大文字のアルファベット

        • 小文字のアルファベット

        • 数字

        • 特殊文字

          特殊文字には、スペース文字、または以下のいずれかの文字(または文字の組み合わせ)が含まれます。

          ! @ # $ % ^ & * ( ) - =  + _ { } [ ] \\ | ; : " ' , < . > ? / 
:: #! ./ ;; >> << () **

      たとえば、Splunge! は、長さが 8 文字以上で、1 文字以上の大文字のアルファベット、1 文字以上の小文字のアルファベット、1 文字以上の特殊文字(!)が含まれているため、有効なパスワードです。

      関連タスク
      パスワード ポリシーの設定

      Cisco APIC-EM ポート リファレンス

      次の表に、着信トラフィックを許可する Cisco APIC-EMポートと、発信トラフィックに使用されるCisco APIC-EM ポートを示します。コントローラでこれらのポートが着信および発信の両方のトラフィック フローに対して開かれていることを確認する必要があります。

      次の表に、コントローラへの着信トラフィックを許可する Cisco APIC-EM ポートを示します。


      (注)  

      ネットワークでポート 22 および 14141 へのアクセスが適切に保護されていることを確認します。

      表 1 Cisco APIC-EM着信トラフィック ポート リファレンス

      ポート番号

      許可されるトラフィック

      プロトコル(TCP または UDP)

      22

      SSH

      TCP

      67

      bootps

      UDP

      80

      HTTP

      TCP

      123

      NTP

      UDP

      162

      SNMP

      UDP

      443

      1

      HTTPS

      TCP

      500

      ISAKMP

      特定の導入のファイアウォールで複数のホストを導入するためには、IPSec ISAKMP(Internet Security Association and Key Management Protocol)UDP ポート 500 を通過する必要があります。

      UDP

      14141

      Grapevine コンソール

      TCP

      16026

      SCEP

      TCP
      1 Cisco APIC-EM を使用してこのポート用の TLS バージョンを設定できます。詳細については、次のセクションを参照してください。 CLI を使用した TLS バージョンの設定

      次の表に、コントローラからの発信トラフィックに使用される Cisco APIC-EM ポートを示します。

      表 2 Cisco APIC-EM発信トラフィック ポート リファレンス

      ポート番号

      許可されるトラフィック

      プロトコル(TCP または UDP)

      22

      SSH(ネットワーク デバイスへ)

      TCP

      23

      Telnet(ネットワーク デバイスへ)

      TCP

      53

      DNS

      UDP

      80

      ポート 80 は出力プロキシ設定に使用できます。

      さらに、8080 など、その他の共通のポートもプロキシが Cisco APIC-EM 設定ウィザードで設定されているときに使用できます(プロキシがすでにネットワークで使用されている場合)。

      (注)     

      シスコでサポートしている証明書および trustpool にアクセスするには、次の URL でコントローラから Cisco アドレスへの出力 IP トラフィックを許可するようにネットワークを設定することができます。

      http:/​/​www.cisco.com/​security/​pki/​

      TCP

      123

      NTP

      UDP

      161

      SNMP エージェント

      UDP

      443

      2

      HTTPS

      TCP

      500

      ISAKMP

      特定の導入のファイアウォールで複数のホストを導入するためには、IPSec ISAKMP(Internet Security Association and Key Management Protocol)UDP ポート 500 を通過する必要があります。

      UDP
      2 Cisco APIC-EM を使用してこのポート用の TLS バージョンを設定できます。詳細については、次のセクションを参照してください。 CLI を使用した TLS バージョンの設定

      このドキュメントは役に立ちましたか?

      Feedbackフィードバック

      シスコに問い合わせ