CDO へのオンボーディングと Threat Defense のアップグレード

追加のデバイスサポートとオンボーディング

クラスタ化されたデバイス、AWS VPC 環境、および Azure VNet 環境を クラウド提供型 Firewall Management Center にオンボードできるようになりました。現在、これらのデバイスのオンボーディングにはログイン情報が必要です。クラスタ化されたデバイスは、指定された管理プラットフォームですでに形成されている必要があります。詳細については、https://docs.defenseorchestrator.com で次のトピックを参照してください。

• クラスタのオンボード

• AWS VPC に関連付けられたデバイスをオンボードします。

• Azure VNet 環境のオンボード

Threat Defense の無人アップグレード

脅威に対する防御 アップグレードウィザードは、新しい [無人モード（Unattended Mode）] メニューを使用して無人アップグレードをサポートするようになりました。アップグレードするターゲットバージョンとデバイスを選択し、いくつかのアップグレードオプションを指定して、その場から離れるだけです。ログアウトしたり、ブラウザを閉じたりすることもできます。

無人アップグレードを使用すると、システムは自動的に必要なアップグレードパッケージをデバイスにコピーし、互換性チェックと準備状況チェックを実行してアップグレードを開始します。ウィザードを手動でステップ実行する場合と同様に、アップグレードのステージに「合格」しなかったデバイス（たとえば、チェックの失敗）は、次のステージに含まれません。アップグレードが完了したら、検証とアップグレード後のタスクを開始します。

コピーフェーズとチェックフェーズの間に無人モードを一時停止して再開できます。ただし、無人モードを一時停止しても、進行中のタスクは停止しません。開始されたコピーとチェックは完了するまで実行されます。同様に、無人モードを停止して進行中のアップグレードをキャンセルすることはできません。アップグレードをキャンセルするには、[デバイス管理（Device Management）] ページの [アップグレード（Upgrade）] タブおよびメッセージセンターからアクセスできる [アップグレードステータス（Upgrade Status）] ポップアップを使用します。

Management Center 用 Cisco Secure Firewall Threat Defense アップグレードガイド [英語] の「Upgrade Threat Defense」を参照してください。

Snort 3 への自動アップグレード

脅威に対する防御 をバージョン 7.3 以降にアップグレードすると、[Snort 2からSnort 3にアップグレードする（Upgrade Snort 2 to Snort 3）] オプションは無効化できなくなります。ソフトウェアのアップグレード後、設定を展開すると、対象となるすべてのデバイスが Snort 2 から Snort 3 にアップグレードされます。個々のデバイスを元に戻すことはできますが、Snort 2 は将来のリリースで非推奨になるため、今すぐ使用を停止することを強く推奨します。

カスタム侵入ポリシーやネットワーク分析ポリシーを使用しているためにデバイスが自動アップグレード対象外になる場合は、検出とパフォーマンスを向上させるために、手動で Snort 3 にアップグレードすることを強く推奨します。

移行のサポートについては、 Cisco Secure Firewall Management Center Snort 3 コンフィギュレーション ガイド [英語] を参照してください。

Firepower 4100/9300 の CDO 管理対象 Cisco Secure Firewall Threat Defense デバイス

Firepower 4100/9300 は柔軟なセキュリティ プラットフォームで、1 つ以上の論理デバイスをインストールできます。Threat Defense を Management Center に追加する前に、Cisco Secure Firewall シャーシマネージャまたは FXOS CLI を使用して、シャーシインターフェイスを設定し、論理デバイスを追加し、Firepower 4100/9300 シャーシ上のデバイスにインターフェイスを割り当てる必要があります。

インターフェイス

IPv6 DHCP の機能拡張

Dynamic Host Configuration Protocol（DHCP）は、IP アドレスなどのネットワーク設定パラメータを DHCP クライアントに提供します。Threat Defense デバイスは、Threat Defense デバイスインターフェイスに接続されている DHCP クライアントに DHCP サーバーを提供できます。DHCP サーバは、ネットワーク構成パラメータを DHCP クライアントに直接提供します。

クラウド提供型 Firewall Management Center で Cisco Secure Firewall Threat Defense デバイスに対する IPv6 アドレッシングの次の機能がサポートされるようになりました。

• DHCPv6 アドレスクライアント：Threat Defense は、DHCPv6 サーバーから IPv6 グローバルアドレスとオプションのデフォルトルートを取得します。

• DHCPv6 プレフィックス委任クライアント：Threat Defense は DHCPv6 サーバーから委任プレフィックスを取得します。また、取得したプレフィックスを使用して他の Threat Defense インターフェイスのアドレスを設定し、ステートレスアドレス自動設定（SLAAC）クライアントが同じネットワーク上で IPv6 アドレスを自動設定できるようにします。

• 委任プレフィックスの BGP ルータアドバタイズメント。

• DHCPv6 ステートレスサーバー：SLAAC クライアントが Threat Defense に情報要求（IR）パケットを送信すると、Threat Defense はドメイン名などの他の情報を SLAAC クライアントに提供します。Threat Defense は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。

詳細については、Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Configure IPv6 Addressing」を参照してください。

ループバック インターフェイスのサポート

ループバック インターフェイスは、物理インターフェイスをエミュレートするソフトウェア インターフェイスであり、IPv4 および IPv6 アドレスを持つ複数の物理インターフェイスを介して到達できます。

静的および動的 VTI VPN トンネルの冗長性のためにループバック インターフェイスを設定できます。Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Regular Firewall Interfaces」を参照してください。

Azure ゲートウェイロードバランサの Threat Defense Virtual のペアプロキシ VXLAN

Azure ゲートウェイ ロードバランサ（GWLB）で使用するために、Azure の 脅威に対する防御 Virtual のペアプロキシモード VXLAN インターフェイスを設定できます。脅威に対する防御 Virtual は、ペアプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。

詳細については、Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Clustering for Threat Defense Virtual in a Public Cloud」を参照してください。

冗長マネージャ アクセス データ インターフェイス

マネージャアクセスにデータインターフェイスを使用しているときに、プライマリインターフェイスがダウンした場合に管理機能を引き継ぐようにセカンダリ データ インターフェイスを設定できるようになりました。デバイスは、SLA モニタリングを使用して、スタティックルートの実行可能性と、両方のインターフェイスを含む等コストマルチパス（ECMP）ゾーンを追跡し、管理トラフィックが両方のインターフェイスを使用できるようにします。詳細については、Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Configure a Redundant Manager Access Data Interface」を参照してください。

リモートアクセス VPN

リモートアクセス VPN の TLS 1.3

TLS 1.3 を使用して、リモートアクセス VPN 接続を暗号化できます。デバイスがリモートアクセス VPN サーバーとして機能する場合、Threat Defense プラットフォーム設定を使用して、そのデバイスでは TLS 1.3 プロトコルを使用する必要があることを指定します。Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Platform Settings」を参照してください。

サイト間 VPN

ダイナミック仮想トンネルインターフェイスのサポート

ダイナミック VTI を作成し、それを使用して、ハブアンドスポークトポロジでルートベースのサイト間 VPN を設定できます。以前は、スタティック VTI のみを使用して、ハブアンドスポークトポロジでルートベースのサイト間 VPN を設定できました。

ダイナミック VTI は、大規模な企業向けハブアンドスポーク展開でのピアの構成を容易にします。ハブの複数のスタティック VTI 構成を単一の ダイナミック VTI に置き換えることができます。ハブの構成を変更せずに、新しいスポークをハブに追加できます。Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Site-to-Site VPNs for Cisco Secure Firewall Threat Defense」を参照してください。

ルーティング

クラウド提供型 Firewall Management Center は、Cisco Secure Firewall Threat Defense で Bidirectional Forwarding Detection（BFD）設定をサポートするようになりました。BFD は、2 つのシステム間の転送データ プロトコルすべてに加えて、ユニキャストのポイントツーポイント モードで動作します。ただし、Threat Defense では、BFD は BGP プロトコルでのみサポートされます。デバイスの BFD 設定には、テンプレートとポリシーの作成と、BGP ネイバー設定での BFD サポートの有効化が含まれます。

詳細については、Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Bidirectional Forwarding Detection Routing」を参照してください。

仮想トンネルインターフェイスでの EIGRP（IPv4）ルーティングのサポート

EIGRP（IPv4）ルーティングが仮想トンネルインターフェイスでサポートされるようになりました。EIGRP（IPv4）を使用して、ルーティング情報を共有し、ピア間の VTI ベースの VPN トンネルを介してトラフィックフローをルーティングできます。Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Additional Configurations for VTI」を参照してください。

IPv4 または IPv6 OSPF は、Threat Defense デバイスの VTI インターフェイスで設定できます。OSPF を使用してルーティング情報を共有し、デバイス間の VTI ベースの VPN トンネルを介してトラフィックをルーティングできます。Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Site-to-Site VPNs for Secure Firewall Threat Defense」を参照してください。

アクセス制御と脅威検出

復号ポリシー

機能をより適切に反映するために、機能の名前が SSL ポリシーから復号ポリシーに変更されました。1 つ以上の [復号-再署名（Decrypt - Resign）] または [復号-既知のキー（Decrypt - Known Key）] ルールを同時に使用して復号ポリシーを設定できるようになりました。

まず、[ポリシー（Policies）] > [アクセス制御（Access Control）] 見出し > [復号（Decryption）] に移動します。

[復号ポリシーの作成（Create Decryption Policy）] ダイアログボックスには、[アウトバウンド接続（Outbound Connections）] と [インバウンド接続（Inbound Connections）] の 2 つのタブページが追加されました。

[アウトバウンド接続（Outbound Connections）] タブページを使用して、1 つ以上の復号ルールを [復号-再署名（Decrypt - Resign）] ルールアクションで構成します。(You can either upload or generate certificate authorities at the same time）. CA とネットワークおよびポートの組み合わせごとに、1 つの復号ルールが作成されます。

[インバウンド接続（Inbound Connections）] タブページを使用して、1 つ以上の復号ルールを [復号-既知のキー（Decrypt - Known Key）] ルールアクションで構成します。（同時にサーバーの証明書をアップロードできます。）サーバー証明書とネットワークおよびポートの組み合わせごとに、1 つの復号ルールが作成されます。

ヘルス モニタリング

CDO は、クラウド提供型 Firewall Management Center で実行された展開のステータスについて通知するようになりました。通知メッセージには、展開が成功したか、失敗したか、または進行中であるか、展開の日時、および クラウド提供型 Firewall Management Center の [展開履歴（Deployment History）] ページへのリンクが含まれます。詳細については、Cisco Defense Orchestrator での FDM デバイスの管理 [英語] の「Notifications」を参照してください。https://www.cisco.com/c/en/us/td/docs/security/cdo/managing-ftd-with-cdo/managing-ftd-with-cisco-defense-orchestrator.html

クラスタのヘルスモニターの設定

クラウド提供型 Firewall Management Center の Web インターフェイスでクラスタのヘルスモニターの設定を編集できるようになりました。以前のバージョンの FlexConfig を使用してこれらの設定を行う場合、展開は許可されますが、FlexConfig 設定が優先されるため、設定をやり直すように警告も表示されます。

詳細については、Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Edit Cluster Health Monitor Settings」を参照してください。

デバイスクラスタのヘルスモニタリングの改善

各クラスタのヘルスモニターを使用して、全体的なクラスタステータス、負荷分散メトリック、評価指標、クラスタ制御リンク（CCL）、およびデータスループットなどを表示できるようになりました。

詳細については、Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Cluster Health Monitor」を参照してください。

新しいヘルスモニタリングのアラート

クラウド提供型 Firewall Management Center には、Firepower 4100/9300 シャーシの温度と電源を監視するための新しいヘルスモジュールが用意されています。

新しい環境ステータスおよび電源ヘルスモジュールを使用して、カスタム ヘルス ダッシュボードを作成し、物理アプライアンスの温度と電源のしきい値を設定できます。詳細については、Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Health Monitor Alerts」を参照してください。

ライセンシング

キャリア ライセンス

シスコ スマート ライセンシングは、シスコ ポートフォリオ全体および組織全体でソフトウェアをより簡単かつ迅速に一貫して購入および管理できる柔軟なライセンス モデルです。クラウド提供型 Firewall Management Center は、既存のスマートライセンスに加えて、キャリアライセンスをサポートするようになりました。キャリアライセンスを使用すると、GTP/GPRS、Diameter、SCTP、および M3UA インスペクションを設定できます。Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Licenses」を参照してください。

ユーザビリティ、パフォーマンス、およびトラブルシューティング

コア割り当てのパフォーマンスプロファイル

Cisco Secure Firewall Threat Defense デバイスの CPU コアは、Lina と Snort の 2 つのメインシステムプロセスに割り当てられます。Lina は、VPN 接続、ルーティング、およびその他の基本的なレイヤ 3/4 処理を処理します。Snort は、侵入とマルウェアの防止、URL フィルタリング、アプリケーション フィルタリング、および詳細なパケットインスペクションを必要とするその他の機能を含む、高度なインスペクションを提供します。

パフォーマンスプロファイルを使用して、データプレーンと Snort に割り当てられるシステムコアの割合を調整して、システムパフォーマンスを調整できます。VPN および侵入ポリシーの相対的な使用に基づいて、必要なパフォーマンスプロファイルを選択できます。詳細については、Cisco Defense Orchestrator のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 [英語] の「Configure the Performance Profile」を参照してください。

ID（Identity）

プロキシシーケンス

プロキシシーケンスは、LDAP、Active Directory、または ISE/ISE-PIC サーバーとの通信に使用できる 1 台以上の管理対象デバイスです。Security Cloud Control が Active Directory か ISE/ISE-PIC サーバーと通信できない場合にのみ必要になります。（たとえば、Security Cloud Control がパブリッククラウドにある一方、Active Directory または ISE/ISE-PIC がプライベートクラウドにあるといったケースが考えられます）。

1 台の管理対象デバイスをプロキシシーケンスとして使用することはできますが、1 台の管理対象デバイスが Active Directory か ISE/ISE-PIC と通信できない場合に別の管理対象デバイスが引き継げるよう、2 台以上設定することを強くお勧めします。

[統合（Integration）] > [その他の統合（Other Integrations）] > [レルム（Realms）] > [プロキシシーケンス（Proxy Sequence）] の順に選択して、プロキシシーケンスを作成します。