Cisco Security Cloud Control を使用した Umbrella の管理
Umbrella は、シスコのクラウドベース Secure Internet Gateway(SIG)プラットフォームです。インターネットベースの脅威に対する防御を複数のレベルで提供します。Umbrella は、セキュア Web ゲートウェイ、ファイアウォール、DNS レイヤセキュリティ、およびクラウド アクセス セキュリティ ブローカ(CASB)機能を統合して、システムを脅威から保護します。SIG および DNS 保護を利用することにより、ASA デバイスは、デバイスのローカル DNS インスペクションポリシーと Umbrella クラウドベースの DNS インスペクションポリシーの両方を使用して保護されます。Umbrella は、着信トラフィックを検査および検出するいくつかの方法を提供することにより、ASA デバイスを FTD 次世代ファイアウォール(NGFW)に匹敵するものにします。
現時点では、Security Cloud Control は Umbrella 組織との ASA の統合のみをサポートしています。
SASE を使用したブリッジの構築
セキュア アクセス サービス エッジ(SASE)は、ネットワーキング機能とセキュリティ機能を単一のサービスに統合する先進的なフレームワークであり、クラウドエッジで動作して保護と優れたパフォーマンスを実現します。この取り組みにより、場所に関係なくサービスを安全かつ確実に統合する方法が提供され、組織の規模にかかわりなくネットワークを制御および管理できるようになります。複雑さが軽減され、管理が俊敏になれば、展開がシンプル、スケーラブルかつ安全になります。
Umbrella 組織とは
Umbrella 組織は、1 つのライセンスキーに関連付けられたさまざまなユーザーロールを持つユーザーのグループです。 1 人のユーザーが複数の Umbrella 組織にアクセスできます。すべての Umbrella 組織は、Umbrella の個別のインスタンスであり、独自のダッシュボードを持ちます。組織は名前と組織 ID によって識別されます。組織 ID により組織が識別され、仮想アプライアンスなどのコンポーネントの展開に使用されます。また、サポートに組織 ID が必要となる場合があります。
SIG トンネルとは
セキュア インターネット ゲートウェイ(SIG)トンネルは、ASA と Umbrella の間で生成される SIG IPSec(インターネット プロトコル セキュリティ)トンネルのインスタンスであり、インターネットに向かうすべてのトラフィックは Umbrella SIG に転送され、検査およびフィルタリングされます。このソリューションは、セキュリティの中央管理を実現するため、ネットワーク管理者は各ブランチのセキュリティ設定を個別に管理する必要がありません。
トンネルが設定されている Umbrella 組織をオンボーディングすると、これらのトンネルは Security Cloud Control のサイト間 VPN ページに一覧表示されます。Security Cloud Control UI から Umbrella 組織の SASE トンネルを作成するには、「Umbrella 用の SASE トンネルの設定」を参照してください。
 (注) |
Umbrella 組織とそのピアデバイスをオンボーディングした場合、サイト間 VPN ページで、その組織に関連付けられているトンネルに接続するすべてのデバイスが 1 つのエントリにまとめられます。[トンネル(Tunnels)] ページを手動で更新し、Umbrella ダッシュボードから加えられた変更を読み取るには、「Umbrella のトンネル設定の読み取り」を参照してください。 |
Security Cloud Control と Umbrella の通信方法
Umbrella 組織と、その組織に関連付けられている ASA デバイスをオンボーディングする必要があります。
ASA デバイスが Umbrella クラウドに関連付けられている場合、その接続には、デバイスとクラウドの間に安全な接続を作成するためのサイト間 VPN SIG トンネルが必要です。Security Cloud Control は、Umbrella 組織と ASA デバイスの両方と通信します。このデュアル通信方式により、Security Cloud Control は設定の変更またはトンネルの変更を即座に検出し、Umbrella、ASA、およびトンネルのアウトオブバンドの変更、エラー、または異常な状態についてすぐに警告します。
Umbrella 組織を Security Cloud Control にオンボーディングする場合、組織の API キーとシークレットを使用してオンボーディングします。どちらも組織とその組織に関連付けられている Cisco ASA デバイスに固有です。Security Cloud Control は、組織のオンボーディングに使用された API キーとシークレットを使用して、Umbrella API を使用して Umbrella クラウドと通信し、Cisco ASA デバイスに関する情報を要求および送信します。このレベルの通信で、ASA と Umbrella クラウドの間に存在する SIG トンネルが危険にさらされることはありません。
Umbrella 組織がオンボーディングされると、[インベントリ(Inventory)] ページに、組織に関連付けられている検出済みの ASA デバイスが「ピア」として表示され、デバイスの Security Cloud Control へのオンボーディングがされているかどうかが示されます。ピアデバイスがまだオンボーディングされていない場合は、[デバイスのオンボーディング(Onboard Device)] をクリックして、そのページから直接オンボーディングすることも可能です。Umbrella 組織に関連付けられている ASA デバイスの Security Cloud Control へのオンボーディングを行うと、[インベントリ(Inventory)] ページにその関係が表示され、[VPNトンネル(VPN Tunnels)] ページにデバイスと組織間のトンネルが表示されます。組織に関連付けられている ASA デバイスが Security Cloud Control にオンボーディングされていない場合、デバイスに関連付けられているトンネルが [VPNトンネル(VPN Tunnels)] に表示されるので、このページから直接デバイスをオンボーディングすることができます。
Security Cloud Control から Umbrella クラウドへのアクセス方法
Umbrella 組織が Security Cloud Control に正常にオンボーディングされると、Security Cloud Control UI から組織のダッシュボードまたは [Umbrellaトンネル(Umbrella Tunnels)] ページを相互起動できます。
Security Cloud Control UI から Umbrella クラウドにアクセスするには、「Umbrella ダッシュボードのクロス起動」と「[Cisco Umbrellaトンネル(Umbrella Tunnels)] ページのクロス起動」を参照してください。
前提条件
サポート対象ハードウェアおよびソフトウェア
Umbrella 組織はクラウドベースであるため、バージョンがありません。Umbrella 組織を Security Cloud Control にオンボーディングする際、その組織を関連付けることができるのは 1 台の ASA デバイスのみであることに注意してください。
Umbrella 統合の場合、Security Cloud Control は 9.1.2 以降を実行する ASA デバイスをサポートします。Security Cloud Control がサポートする ASA デバイスモデルとソフトウェアのリストについては、「クラウドデバイスのサポートの詳細」を参照してください。
ライセンス要件
Umbrella 組織を Security Cloud Control に正常にオンボーディングするには、次のいずれかのライセンスパッケージを選択する必要があります。
-
Umbrella SIG Essentials
-
SIG Advantage
オンボーディング
Umbrella アカウントを正常に管理するには、Umbrella 組織とそれに関連付けられている ASA デバイスの両方をオンボーディングする必要があります。Umbrella 組織をオンボーディングすると、Security Cloud Control は組織に関連付けられた既存の ASA トンネルを読み取り、これらのトンネルと、作成して組織に関連付けた追加のトンネルの正常性ステータスを監視します。Umbrella 組織をオンボーディングする前に、一般的なデバイス要件とオンボーディングの前提条件を確認してください。
Umbrella 組織に関連付けられた ASA デバイスをオンボーディングする前に、その組織をオンボーディングした場合は、[サイト間VPN(Site-to-site VPN)] ページから ASA ピアを表示して、VPN ページからデバイスをオンボーディングできます。
(注) |
フェールオーバー用に設定された ASA ペアがある場合は、2 つのピアのうちアクティブデバイスのみをオンボーディングする必要があります。アクティブデバイスとスタンバイデバイスの両方を Security Cloud Control にオンボーディングすると、Umbrella ですでに設定されている SASE トンネルと重複するトンネル情報が生成される場合があります。 |
ネットワークのモニタリング
Security Cloud Control は、セキュリティポリシーの影響をまとめたレポートと、そのセキュリティポリシーによってトリガーされる重要なイベントを表示する方法を提供します。Security Cloud Control は、デバイスへの変更をログに記録し、その変更にラベルを付ける方法も提供します。これにより、Security Cloud Control での作業をヘルプチケットなどの操作要求に関連付けできます。
ログの変更
変更ログは、Security Cloud Control で行われた設定変更を継続的にキャプチャします。この単一のビューには、サポートされているすべてのデバイスとサービスにわたる変更が含まれます。Umbrella はクラウドベースの製品であるため、変更は即座に展開されます。
変更ログの機能の一部を次に示します。
-
デバイス構成に加えられた変更の対照比較。
-
すべての変更ログエントリの平易な英語のラベル。
-
デバイスのオンボーディングと削除を記録します。
-
Security Cloud Control の外部で発生するポリシー変更の競合の検出。
-
インシデントの調査またはトラブルシューティング中に、誰が、何を、いつを回答。
-
完全な変更ログまたは一部のみを CSV ファイルとしてダウンロード可能。
(注) |
Umbrella 組織に関連付けられた SASE トンネルを作成、編集、または削除すると、Umbrella 組織とそれに関連付けられている ASA デバイスの要求と設定の変更が表示されることに注意してください。 |
フィードバック