Cisco Security Cloud Control を使用した AWS の管理
Cisco Security Cloud Control を使用した AWS VPC の管理
Security Cloud Control は、Amazon Web Services(AWS)仮想プライベートクラウド(VPC)向けの簡素化された管理インターフェイスを提供します。他のデバイスを管理するのと同じインターフェースで AWS VPC とそのコンポーネントを管理できます。
Security Cloud Control を使用して、以下のタスクを実行します。
以下は、Security Cloud Control で今後サポートされる予定の一般的な AWS の機能です。
-
セキュリティグループに対するロードバランサー(エラスティック、ネットワーク、アプリケーション ロード バランサー)の関係を表示する
-
セキュリティグループに対する自動スケーリンググループの関係を表示する
セキュリティグループの以下の側面は Security Cloud Control で管理できません。
-
セキュリティグループを作成する
-
セキュリティグループをインスタンスにリンクする
-
セキュリティグループをロードバランサーに割り当てる
-
VPC ピアリング
AWS VPC のオンボーディング
Security Cloud Control のオンボードウィザードを使用して、AWS VPC のオンボードを開始します。詳細については、AWS VPC のオンボーディングを参照してください。
AWS VPC にタグが含まれている場合、それらのタグは、デバイスのオンボード時に Security Cloud Control にインポートされます。Security Cloud Control では、タグはラベルとして表現されます。セキュリティ クラウド オブジェクトやルールとは異なり、ラベルは AWS VPC に自動的に同期されません。詳細については、『ラベルとフィルタリング』を参照してください。
Security Cloud Control コンソールを介して AWS VPC のログイン情報とアクセス許可を処理します。正確なログイン情報またはアクセス許可がない場合、Security Cloud Control は AWS VPC と通信できません。詳細については、AWS VPC 接続ログイン情報の更新 と『IAM ユーザーのアクセス許可の変更』を参照してください。
AWS VPC の詳細を表示する
AWS VPC がオンボーディングされると、AWS VPC の ID、リージョン、セキュリティグループ、セキュリティグループに割り当てられたルールとオブジェクトを表示できます。
セキュリティグループを操作する
セキュリティグループは、セキュリティグループに関連付けられているすべての AWS インスタンスおよびその他のエンティティへのインバウンドおよびアウトバウンドのネットワークトラフィックを管理するルールのコレクションです。AWS VPC を Security Cloud Control にオンボードすると、セキュリティグループはセキュリティ グループ オブジェクトとして Security Cloud Control に保存されます。
Security Cloud Control を使用して、次のタスクを実行できます。
現時点では、VPC に新しいセキュリティグループを作成することはできません。
詳細については、次のトピックを参照してください。
AWS と他の管理対象デバイス間でオブジェクトを共有する
Security Cloud Control は、ルールでのオブジェクトの使用をサポートしています。オブジェクトは値のコンテナです。たとえば、リソースの IP アドレスを含むネットワークオブジェクトを作成し、意味のある名前を付けることができます。その後、アクセスルールでルールのソースまたは宛先の一部としてリソースのリテラル IP アドレスを使用するのではなく、そのオブジェクトを使用できます。また、そのオブジェクトを異なるルールで使用することもできます。オブジェクトの値を 1 回変更すると、そのオブジェクトを使用するすべてのルールが新しい値の使用を開始します。
AWS VPC のオンボード後、Security Cloud Control は AWS の概念を既存のセキュリティグループルールにあるセキュリティ グループ オブジェクト、ネットワークオブジェクト、サービスオブジェクトに変換します。
ネットワークオブジェクトとサービスオブジェクト(ポートオブジェクトとも呼ばれる)は、AWS VPC と、Security Cloud Control を使用して管理する他のデバイスとの間で共有できます。セキュリティ グループ オブジェクトは AWS に固有です。
詳細については、『AWS と他の管理対象デバイス間でオブジェクトを共有する』を参照してください。
AWS のサイト間 VPN 接続を監視する
AWS サイト間 VPN は、AWS VPC をセキュアなトンネルでエンタープライズ ネットワークに接続します。詳細については、『AWS サイト間 VPN の管理』を参照してください。
AWS VPC および AWS セキュリティグループへの変更を監視する
変更ログ変更ログは、Security Cloud Control で行われた設定変更を継続的にキャプチャします。この単一のビューには、サポートされているすべてのデバイスとサービスにわたる変更が含まれます。変更ログの機能の一部を次に示します。
-
デバイス構成に加えられた変更の対照比較。
-
すべての変更ログエントリの平易な英語のラベル。
-
デバイスのオンボーディングと削除を記録します。
-
Security Cloud Control の外部で発生するポリシー変更の競合の検出。
-
インシデントの調査またはトラブルシューティング中に、誰が、何を、いつを回答。
変更要求管理により、サードパーティのチケットシステムで開かれた変更要求とそのビジネス上の正当性を、変更ログのイベントに関連付けることができます。変更要求管理を使用して、Security Cloud Control で変更要求を作成し、作成した変更要求を一意の名前で識別し、変更の説明を入力して、変更要求を変更ログイベントに関連付けます。後で変更要求名を変更ログで検索できます。
一般的な管理タスクのサポート
Security Cloud Control は、以下の AWS セキュリティグループの一般的な管理タスクをサポートしています。