AWS クラウドへの ASAv の導入

Amazon Web Services(AWS)クラウドに ASAv を導入できます。


重要

9.13(1) 以降では、サポートされているすべての ASAv vCPU/メモリ構成ですべての ASAv ライセンスを使用できるようになりました。これにより、ASAv を使用しているお客様は、さまざまな VM リソースフットプリントで実行できるようになります。また、サポート対象の AWS インスタンスタイプの数も増えます。

概要

ASAv は、物理 ASA と同じソフトウェアを実行して、仮想フォームファクタにおいて実証済みのセキュリティ機能を提供します。ASAv は、パブリック AWS クラウドに導入できます。その後設定を行うことで、時間の経過とともにロケーションを展開、契約、またはシフトする仮想および物理データセンターのワークロードを保護できます。

ASAv は、次の AWS インスタンスタイプをサポートしています。

表 1. AWS でサポートされているインスタンス タイプ

インスタンス

属性

インターフェイスの最大数

vCPU

メモリ(GB)

c3.large

2

3.75

3

c3.xlarge

4

7.5

4

c3.2xlarge

8

15

4

c4.large

2

3.75

3

c4.xlarge

4

7.5

4

c4.2xlarge

8

15

4

c5.large

2

4

3

c5.xlarge

4

8

4

c5.2xlarge

8

16

4

c5.4xlarge

16

32

8

c5n.large

2

5.3

3

c5n.xlarge

4

10.5

4

c5n.2xlarge

8

21

4

c5n.4xlarge

16

54

8

m4.large

2

8

2

m4.xlarge

4

16

4

m4.2xlarge

8

32

4

ヒント

C4 インスタンスタイプを使用している場合は、パフォーマンスを向上させるために、Nitro ハイパーバイザと Elastic Network Adapter(ENA)インターフェイスドライバを使用する C5 インスタンスタイプに移行することを推奨します。
表 2. ASAv 権限付与に基づくライセンス機能の制限

パフォーマンス階層

インスタンスタイプ(コア/RAM)

レート制限(Rate Limit)

RA VPN セッション制限

ASAv5

c5.large

2 コア/4 GB

100 Mbps

50

ASAv10

c5.large

2 コア/4 GB

1 Gbps

250

ASAv30

c5.xlarge

4 コア/8 GB

[2 Gbps]

750

ASAv50

c5.2xlarge

8 コア/16 GB

10 Gbps

10,000

ASAv100

c5n.4xlarge

16 コア/42 GB

16 Gbps

20,000

AWS にアカウントを作成し、AWS ウィザードを使用して ASAv をセットアップして、Amazon Machine Image(AMI)を選択します。AMI はインスタンスを起動するために必要なソフトウェア構成を含むテンプレートです。


重要

AMI イメージは AWS 環境の外部ではダウンロードできません。

前提条件

  • aws.amazon.com でアカウントを作成します。

  • ASAv へのライセンス付与。ASAv にライセンスを付与するまでは、100 回の接続と 100 Kbps のスループットのみが許可される縮退モードで実行されます。「ASAv のライセンス」を参照してください。

  • インターフェイスの要件:

    • 管理インターフェイス

    • 内部および外部インターフェイス

    • (任意)追加のサブネット(DMZ)

  • 通信パス:

    • 管理インターフェイス:ASDM に ASAv を接続するために使用され、トラフィックの通過には使用できません。

    • 内部インターフェイス(必須):内部ホストに ASAv を接続するために使用されます。

    • 外部インターフェイス(必須):ASAv をパブリック ネットワークに接続するために使用されます。

    • DMZ インターフェイス(任意):c3.xlarge インターフェイスを使用する場合、DMZ ネットワークに ASAv を接続するために使用されます。

  • ASAv システム要件については、Cisco ASA の互換性 [英語] を参照してください。

注意事項と制約事項

サポートされる機能

AWS 上の ASAv は、次の機能をサポートしています。

  • 次世代の Amazon EC2 Compute Optimized インスタンスファミリである Amazon EC2 C5 インスタンスのサポート

  • 仮想プライベート クラウド(VPC)への導入

  • 拡張ネットワーク(SR-IOV)(使用可能な場合)

  • Amazon マーケットプレイスからの導入

  • L3 ネットワークのユーザー導入

  • ルーテッド モード(デフォルト)

  • Amazon CloudWatch

サポートされない機能

AWS 上の ASAv は、以下の機能をサポートしていません。

  • コンソール アクセス(管理は、ネットワーク インターフェイスを介して SSH または ASDM を使用して実行される)

  • VLAN

  • 無差別モード(スニファなし、またはトランスペアレント モードのファイアウォールのサポート)

  • マルチ コンテキスト モード

  • クラスタ

  • ASAv ネイティブ HA

  • EtherChannel は、ダイレクト物理インターフェイスのみでサポートされる

  • VM のインポート/エクスポート

  • ハイパーバイザに非依存のパッケージ

  • VMware ESXi

  • ブロードキャスト/マルチキャスト メッセージ

    これらのメッセージは AWS 内で伝播されないため、ブロードキャスト/マルチキャストを必要とするルーティング プロトコルは AWS で予期どおりに機能しません。VXLAN はスタティック ピアでのみ動作できます。

  • Gratuitous/非要請 ARP

    これらの ARPS は AWS 内では受け入れられないため、Gratuitous ARP または非要請 ARP を必要とする NAT 設定は期待どおりに機能しません。

  • IPv6

設定の移行と SSH 認証

SSH 公開キー認証使用時のアップグレードの影響:SSH 認証が更新されることにより、SSH 公開キー認証を有効にするための新たな設定が必要となります。そのため、アップグレード後は、公開キー認証を使用した既存の SSH 設定は機能しません。公開キー認証は、Amazon Web Services(AWS)の ASAv のデフォルトであるため、AWS ユーザーにはこの問題が表示されます。SSH 接続を失なう問題を避けるには、アップグレードの前に設定を更新します。または(ASDM アクセスが有効になっている場合)アップグレード後に ASDM を使用して設定を修正できます。

次は、ユーザー名「admin」の元の設定例です。


username admin nopassword privilege 15
username admin attributes
  ssh authentication publickey 55:06:47:eb:13:75:fc:5c:a8:c1:2c:bb:
  07:80:3a:fc:d9:08:a9:1f:34:76:31:ed:ab:bd:3a:9e:03:14:1e:1b hashed

ssh authentication コマンドを使用するには、アップグレードの前に次のコマンドを入力します。 


aaa authentication ssh console LOCAL
username admin password <password> privilege 15

nopassword キーワードが存在している場合、これを維持するのではなく、代わりにユーザー名に対応したパスワードを設定することを推奨します。nopassword キーワードは、パスワードは入力不可を意味するのではなく、任意のパスワードを入力できます。9.6(2) より前のバージョンでは、aaa コマンドは SSH 公開キー認証に必須ではありませんでした。このため、nopassword キーワードはトリガーされませんでした。9.6(2) では aaa コマンドが必須となり、password(または nopassword)キーワードが存在する場合、自動的に username の通常のパスワード認証を許可するようになりました。

アップグレード後は、 username コマンドに対する password または nopassword キーワードの指定は任意となり、ユーザーがパスワードを入力できなくするよう指定できるようになります。よって、公開キー認証のみを強制的に使用する場合は、username コマンドを入力しなおします。 


username admin privilege 15

ネットワークトポロジの例

次の図は、ASAv 用に AWS 内で設定された 4 つのサブネット(管理、内部、外部、および DMZ)を備えたルーテッド ファイアウォール モードの ASAv の推奨トポロジを示しています。

図 1. AWS への ASAv の導入例

ASAv の導入

次の手順は、ASAv で AWS をセットアップする手順の概略を示しています。詳細な手順については、『Getting Started with AWS』を参照してください。

手順

ステップ 1

aws.amazon.com にログインし、地域を選択します。

(注)  

 

AWS は互いに分かれた複数の地域に分割されています。地域は、ページの右上隅に表示されます。ある地域で利用可能なリソースは、別の地域には表示されません。目的の地域内に存在していることを定期的に確認してください。

ステップ 2

[マイアカウント(My Account)] > [AWS管理コンソール(AWS Management Console)] をクリックして [ネットワーキング(Networking)] [VPC] > [VPCウィザードの起動(Start VPC Wizard)] をクリックし、単一のパブリックサブネットを選択して VPC を作成し、次を設定します(特記のないかぎり、デフォルト設定を使用します)。

  • 内部および外部のサブネット:VPC およびサブネットの名前を入力します。

  • インターネットゲートウェイ:インターネットゲートウェイの名前を入力します。これにより、インターネットを介した直接接続が可能になります。

  • 外部テーブル:インターネットへの発信トラフィックを有効にするためのエントリを追加します(インターネットゲートウェイに 0.0.0.0/0 を追加します)。

ステップ 3

[My Account] > [AWS Management Console] > [EC2] をクリックし、さらに、[Create an Instance] をクリックします。

  • AMI(Ubuntu Server 14.04 LTS など)を選択します。

    イメージ配信通知で識別された AMI を使用します。

  • ASAv でサポートされるインスタンスタイプ(c3.large など)を選択します。

  • インスタンスを設定します(CPU とメモリは固定です)。

  • [高度な詳細(Advanced Details)] セクションを展開し、オプションの [ユーザーデータ(User data)] フィールドに第 0 日用構成を入力できます。これは、ASAv の起動時に適用される ASAv 構成を含むテキスト入力です。スマートライセンスなどの詳細情報を持つ第 0 日用構成の詳細については、「第 0 日のコンフィギュレーション ファイルの準備」を参照してください。

    • 管理インターフェイス:第 0 日用構成の詳細を指定することを選択する場合は、管理インターフェイスの詳細を指定する必要があります。これは DHCP を使用するように設定する必要があります。

    • データインターフェイス:データインターフェイスの IP アドレスは、その情報を第 0 日用構成の一部として指定した場合にのみ割り当てられ、設定されます。データインターフェイスは、DHCP を使用するように設定できます。または、接続するネットワーク インターフェイスがすでに作成されていて、IP アドレスがわかっている場合は、第 0 日用構成で IP アドレスの詳細を指定できます。

    • 第 0 日用構成なし:第 0 日用構成を指定せずASAv を導入すると、ASAv はデフォルトの ASAv 構成を適用し、AWS メタデータサーバーから接続されたインターフェイスの IP アドレスを取得し、IP アドレスを割り当てます(データインターフェイスに IP アドレスは割り当てられますが、ENI はダウンします)。Management0/0 インターフェイスが起動し、DHCP アドレスで設定された IP アドレスを取得します。Amazon EC2 および Amazon VPC の IP アドレッシングについては、「VPC での IP アドレッシング」を参照してください。

      第 0 日用構成の例

      
! ASA Version 9.x.1.200
!
interface management0/0
management-only
nameif management
security-level 100
ip address dhcp setroute

no shutdown
!


crypto key generate rsa modulus 2048
ssh 0 0 management
ssh ::/0 management
ssh timeout 60
ssh version 2
username admin password Q1w2e3r4 privilege 15
username admin attributes
service-type admin
aaa authentication ssh console LOCAL
!
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list allow-all extended permit ip any any
access-list allow-all extended permit ip any6 any6
access-group allow-all global
!
interface G0/0
nameif outside
ip address dhcp setroute

no shutdown
!
interface G0/1
nameif inside
ip address dhcp

no shutdown
!

  • ストレージ:デフォルト値を保持します。

  • タグインスタンス:デバイスを分類するため、多数のタグを作成できます。デバイスに名前を付けると、デバイスを容易に特定できます。

  • セキュリティグループ:セキュリティグループを作成して名前を付けます。セキュリティ グループは、着信および発信トラフィックを制御するためのインスタンスの仮想ファイアウォールです。

    デフォルトでは、セキュリティ グループはすべてのアドレスに対して開かれています。ASAv のアクセスに使用するアドレスからの SSH 接続だけを許可するように、ルールを変更します。

    セキュリティグループでトラフィックを制御する方法については、AWS のドキュメント『Control traffic to your AWS resources using security groups』を参照してください。

  • [高度な詳細(Advanced Details)] セクションを導入し、[ユーザーデータ(User data)] フィールドに、オプションで第 0 日用構成を入力できます。これは、ASAv の起動時に適用される ASAv 構成を含むテキスト入力です。第 0 日用構成にスマート ライセンスなどの詳細情報を設定する方法の詳細については、「第 0 日のコンフィギュレーション ファイルの準備」を参照してください。

    • 管理インターフェイス:第 0 日用構成を選択する場合は、管理インターフェイスの詳細を指定する必要があります。これは DHCP を使用するように設定する必要があります。

    • データインターフェイス:データインターフェイスの IP アドレスは、その情報を第 0 日用構成の一部として指定した場合にのみ割り当てられ、設定されます。データインターフェイスは、DHCP を使用するように設定できます。または、接続するネットワーク インターフェイスがすでに作成されていて、IP アドレスがわかっている場合は、第 0 日用構成で IP の詳細を指定できます。

    • 第 0 日用構成なし:第 0 日用構成を指定せずASAv を導入すると、ASAv はデフォルトの ASAv 構成を適用し、AWS メタデータサーバーから接続されたインターフェイスの IP を取得し、IP アドレスを割り当てます(データインターフェイスに IP は割り当てられますが、ENI はダウンします)。Management0/0 インターフェイスが起動し、DHCP アドレスで設定された IP を取得します。Amazon EC2 および Amazon VPC の IP アドレッシングについては、「VPC での IP アドレッシング」を参照してください。

  • 設定を確認し、[Launch] をクリックします。

ステップ 4

キー ペアを作成します。

注意    

 

キー ペアにわかりやすい名前を付け、キーを安全な場所にダウンロードします。再度、ダウンロードすることはできません。キー ペアを失った場合は、インスタンスを破棄し、それらを再度導入する必要があります。

ステップ 5

[インスタンスの起動(Launch Instance)] をクリックして、ASAv を導入します。

ステップ 6

[My Account] > [AWS Management Console] > [EC2] > [Launch an Instance] > [My AMIs] をクリックします。

ステップ 7

ASAv のインターフェイスごとに [送信元または宛先の確認(Source/Destination Check)] が無効になっていることを確認します。

AWS のデフォルト設定では、インスタンスはその IP アドレス(IPv4)のトラフィックのみを受信でき、インスタンスは独自の IP アドレス(IPv4)からのみトラフィックを送信できます。ASAv のルーテッドホップとしての動作を有効にするには、ASAv の各トラフィック インターフェイス(内部、外部、および DMZ)の [送信元または宛先の確認(Source/Destination Check)] を無効にする必要があります。

パフォーマンスの調整

VPN の最適化

AWS c5 インスタンスは、以前の c3、c4、および m4 インスタンスよりもはるかに高いパフォーマンスを提供します。c5 インスタンスファミリでのおおよその RA VPN スループット(AES-CBC 暗号化による 450B TCP トラフィックを使用する DTLS)は、以下のようである必要があります。

  • 0.5 Gbps(c5.large)

  • 1 Gbps(c5.xlarge)

  • 2 Gbps(c5.2xlarge)