Cisco Security Cloud Control を使用した AWS VPC の管理

Security Cloud Control は、Amazon Web Services（AWS）仮想プライベートクラウド（VPC）向けの簡素化された管理インターフェイスを提供します。他のデバイスを管理するのと同じインターフェースで AWS VPC とそのコンポーネントを管理できます。

Security Cloud Control を使用して、以下のタスクを実行します。

• AWS VPC のオンボーディング

• VPC の詳細を確認する

• セキュリティグループを操作する

• AWS オブジェクトを他の管理対象デバイスと共有する

• AWS のサイト間 VPN 接続を監視する

• AWS デバイスへの変更を監視する

• AWS のサイト間 VPN トンネルを表示する

以下は、Security Cloud Control で今後サポートされる予定の一般的な AWS の機能です。

• セキュリティグループに対するロードバランサー（エラスティック、ネットワーク、アプリケーション ロード バランサー）の関係を表示する

• セキュリティグループに対する自動スケーリンググループの関係を表示する

セキュリティグループの以下の側面は Security Cloud Control で管理できません。

• セキュリティグループを作成する

• セキュリティグループをインスタンスにリンクする

• セキュリティグループをロードバランサーに割り当てる

• VPC ピアリング

AWS VPC のオンボーディング

Security Cloud Control のオンボードウィザードを使用して、AWS VPC のオンボードを開始します。詳細については、AWS VPC のオンボーディングを参照してください。

AWS VPC にタグが含まれている場合、それらのタグは、デバイスのオンボード時に Security Cloud Control にインポートされます。Security Cloud Control では、タグはラベルとして表現されます。セキュリティ クラウド オブジェクトやルールとは異なり、ラベルは AWS VPC に自動的に同期されません。詳細については、『ラベルとフィルタリング』を参照してください。

Security Cloud Control コンソールを介して AWS VPC のログイン情報とアクセス許可を処理します。正確なログイン情報またはアクセス許可がない場合、Security Cloud Control は AWS VPC と通信できません。詳細については、AWS VPC 接続ログイン情報の更新 と『IAM ユーザーのアクセス許可の変更』を参照してください。

AWS VPC の詳細を表示する

AWS VPC がオンボーディングされると、AWS VPC の ID、リージョン、セキュリティグループ、セキュリティグループに割り当てられたルールとオブジェクトを表示できます。

セキュリティグループを操作する

セキュリティグループは、セキュリティグループに関連付けられているすべての AWS インスタンスおよびその他のエンティティへのインバウンドおよびアウトバウンドのネットワークトラフィックを管理するルールのコレクションです。AWS VPC を Security Cloud Control にオンボードすると、セキュリティグループはセキュリティ グループ オブジェクトとして Security Cloud Control に保存されます。

Security Cloud Control を使用して、次のタスクを実行できます。

• セキュリティグループに新しいルールを作成する

• セキュリティグループのルールの変更確認、編集、削除

現時点では、VPC に新しいセキュリティグループを作成することはできません。

詳細については、次のトピックを参照してください。

• AWS VPC セキュリティグループとインスタンス

• AWS VPC セキュリティグループのルールを管理する

• AWS と他の管理対象デバイス間でオブジェクトを共有する

AWS と他の管理対象デバイス間でオブジェクトを共有する

Security Cloud Control は、ルールでのオブジェクトの使用をサポートしています。オブジェクトは値のコンテナです。たとえば、リソースの IP アドレスを含むネットワークオブジェクトを作成し、意味のある名前を付けることができます。その後、アクセスルールでルールのソースまたは宛先の一部としてリソースのリテラル IP アドレスを使用するのではなく、そのオブジェクトを使用できます。また、そのオブジェクトを異なるルールで使用することもできます。オブジェクトの値を 1 回変更すると、そのオブジェクトを使用するすべてのルールが新しい値の使用を開始します。

AWS VPC のオンボード後、Security Cloud Control は AWS の概念を既存のセキュリティグループルールにあるセキュリティ グループ オブジェクト、ネットワークオブジェクト、サービスオブジェクトに変換します。

ネットワークオブジェクトとサービスオブジェクト（ポートオブジェクトとも呼ばれる）は、AWS VPC と、Security Cloud Control を使用して管理する他のデバイスとの間で共有できます。セキュリティ グループ オブジェクトは AWS に固有です。

詳細については、『AWS と他の管理対象デバイス間でオブジェクトを共有する』を参照してください。

AWS のサイト間 VPN 接続を監視する

AWS サイト間 VPN は、AWS VPC をセキュアなトンネルでエンタープライズ ネットワークに接続します。詳細については、『AWS サイト間 VPN の管理』を参照してください。

AWS VPC および AWS セキュリティグループへの変更を監視する

変更ログは、Security Cloud Control で行われた設定変更を継続的にキャプチャします。この単一のビューには、サポートされているすべてのデバイスとサービスにわたる変更が含まれます。変更ログの機能の一部を次に示します。

• デバイス構成に加えられた変更の対照比較。

• すべての変更ログエントリの平易な英語のラベル。

• デバイスのオンボーディングと削除を記録します。

• Security Cloud Control の外部で発生するポリシー変更の競合の検出。

• インシデントの調査またはトラブルシューティング中に、誰が、何を、いつを回答。

変更要求管理により、サードパーティのチケットシステムで開かれた変更要求とそのビジネス上の正当性を、変更ログのイベントに関連付けることができます。変更要求管理を使用して、Security Cloud Control で変更要求を作成し、作成した変更要求を一意の名前で識別し、変更の説明を入力して、変更要求を変更ログイベントに関連付けます。後で変更要求名を変更ログで検索できます。

一般的な管理タスクのサポート

Security Cloud Control は、以下の AWS セキュリティグループの一般的な管理タスクをサポートしています。

• デバイス設定の一括展開

• すべてのデバイス設定の読み取り

• アウトオブバンド変更の検出

• 競合検出

• 構成の競合の解決