AWS は、すべての Cisco SD-WAN 実稼働ファブリックで有効になっている DDoS 保護シールドを含むネットワークレベルの保護を提供します。これらの保護は、大量のアプリケーションレイヤ攻撃を軽減するのに役立ちます。さらに、AWS セキュリティグループ（ホワイトリスト）によって、クラウドリソースへのユーザーアクセスが制御されます。

不正な IP からのブルートフォース攻撃は、クラウドプロバイダーのセキュリティ モニタリング システムによって検出されます。検出されると、即時のアクションのためにアラートが Cisco SD-WAN CloudOps チームに送信されます。このプロアクティブなモニタリングにより、不正アクセスが防止され、SD-WAN Manager コントローラの完全性が保護されます。

多くのお客様が SSO なしで SD-WAN Manager にグローバルにアクセスしていますが、これまでにセキュリティの問題は確認されていません。セキュリティを強化するために、SD-WAN Cloud（旧 CDCS）を除くすべてのモデルでサポートされている SSO を採用することをお勧めします。SSO を使用しないお客様には、クラウドホスト型コントローラのプライベート IP インターフェイスをオンプレミスネットワーク内に配置するカスタム VPC オプションを提供します。この方法により、パブリック IP の公開をバイパスして、TACACS、RADIUS、または AAA サーバーを介したセキュアなアクセスが可能になります。

Web アプリケーション ファイアウォール（WAF）やアプリケーションレベルの DDoS 保護など、複数のセキュリティレイヤを採用しています。転送中と保存中の両方のデータが保護されます。パブリックにアクセス可能な SD-WAN モデルは、WAF および統合された DDoS 保護によって保護され、攻撃や不正アクセスを防止します。

はい。クラウドプロバイダーはセキュリティ侵害や不審なアクティビティを 24 時間 365 日監視します。侵害またはブルートフォース試行が検出されると、Cisco CloudOps への通知がトリガーされます。CloudOps はインシデント管理プロトコルに従って対応します。また、Security and Trust Organization（STO）は、実稼働環境に対して定期的な脆弱性スキャンを実行し、Cisco Trust Portal でレポートを公開しています。基本的な DDoS 保護と WAF は、クラウド展開およびパブリックにアクセス可能なポータル 1 ではデフォルトで有効になっています。

アクセスは、承認されたお客様と Cisco SD-WAN サポートチームに制限されます。認証と承認は、デイゼロサーバー、SD-WAN Validator、および SD-WAN Manager などの複数のコンポーネントにまたがっています。ロールベースのアクセス制御とアクセス制御リスト（ACL）は、セキュアなアクセスを確保するために SD-WAN Manager とクラウド環境の両方に適用されます。

• AWS：AWS のペネトレーションテスト ポリシー（https://aws.amazon.com/security/penetration-testing/）に従って、AWS でホストされている Cisco SD-WAN オーバーレイコントローラ上で独自のペネトレーションテストを事前承認なしで実行できます。

• Azure：同様に、Microsoft のエンゲージメントルール（https://www.microsoft.com/en-us/msrc/pentest-rules-of-engagement）に従って、Azure でホストされるコントローラ上でペネトレーションテストを承認なしで実行できます。

はい。シスコでは、セキュリティ コンプライアンス ドキュメント、業界認定（SOC、ISO、FedRAMP、PCI DSS など）、プライバシーデータシート、ペネトレーションテスト構成証明、ホワイトペーパーを含む、Cisco Trust Portal への直接アクセスを提供しています。NDA で保護されたコンテンツについては、アクセスを登録できます。Trust Portal の対象外の質問については、Customer Information Clearinghouse（CIC）チームが検証済みの回答を提供します。CIC には、Salesforce の CIC リクエストツール（http://go2.cisco.com/stocic）を通じて問い合わせることができます。