バージョン 24.06
バージョン 24.06-08-a1(2025 年 1 月 16 日)
これはホットフィックスです。
修正
このホットフィックスには、次の修正が含まれています。
-
転送ポリシーが TLS Client Hello メッセージからサービス名指定(SNI)を取得できず、ゲートウェイが TCP RST との接続を閉じる原因となる問題を修正します。これは、2024 年 4 月に Chrome でポスト量子暗号に移行する変更が行われたことが原因です。この変更により、Client Hello は 1415 バイトより大きくなり、ドメインで照合またはフィルタリングするためにポリシーで使用される SNI を取得できなくなる可能性があります。この修正により、転送ポリシーが 1415 バイトを超える Client Hello サイズをサポートできるようになります。
バージョン 24.06-08(2024 年 1 月 16 日)(推奨)
拡張機能
このリリースには、次の機能拡張が含まれています。
-
追加の暗号スイートが含まれ、これは復号プロファイルの一部として設定でき、TLS ネゴシエーションの転送プロキシまたはリバースプロキシポリシーで使用できます。
-
Nginx トレースをオンまたはオフにできる高度なトラブルシューティング設定を提供します。以前のリリースでは、Nginx トレースは、高度なデバッグ設定を介してのみ有効になり、Nginx トレースよりもはるかに多くキャプチャされていました。この設定では、有効にすると Nginx トレースのみが収集されます。この設定は、シスコサポートまたはシスコエンジニアリングによってのみ有効にでき、プロキシのトラブルシューティングで必要な場合に有効にするように意図されています。トレースが収集されると、診断バンドルの Multicloud Defense Controller に送信されます。
修正
このリリースには、次の修正が含まれています。
-
除外されたアドレスオブジェクトで指定された IP/CIDR が Multicloud Defense Gateway ポリシーに適切に適用されなかったグループ アドレス オブジェクトの除外リストの問題を修正します。これにより、包含されたアドレスオブジェクトと除外されたアドレスオブジェクトの両方が適切なトラフィック照合に適用されるようになります。
バージョン 24.06-07-a1(2024 年 12 月 18 日)
このリリースはホットフィックスです。
修正
このホットフィックスには、次の修正が含まれています。
-
転送ポリシーが TLS Client Hello メッセージからサービス名指定(SNI)を取得できず、ゲートウェイが TCP RST との接続を閉じる原因となる問題を修正します。これは、2024 年 4 月に Chrome でポスト量子暗号に移行する変更が行われたことが原因です。この変更により、Client Hello は 1415 バイトより大きくなり、ドメインで照合またはフィルタリングするためにポリシーで使用される SNI を取得できなくなる可能性があります。この修正により、転送ポリシーが 1415 バイトを超える Client Hello サイズをサポートできるようになります
バージョン 24.06-07(2024 年 12 月 18 日)
修正
このリリースには、次の修正が含まれています。
-
ルールセットの変更によって、新しいルールセットのゲートウェイへの適用で問題が発生する可能性がある、新しい Talos ルールセットに関連する問題を修正します。ゲートウェイは、ポリシールールセットのステータスが「
Updating...
」の状態でスタックします。この問題は、新しい Talos ルールセットが公開される前に検出されました。この更新で問題が解決され、新しい Talos ルールセットを正常に適用できるようになりました。 -
データパスが一時的にスタックし、healthcheck を含むトラフィック処理の問題を引き起こす可能性がある問題を修正します。これが発生すると、ゲートウェイは正常と異常の間で切り替わります。これは一連のシステムログメッセージで確認できます。通常、スタック状態は、コントローラがインスタンスを置換対象としてマークするほど長くは続きません。
-
最終的にデータパスの再起動を引き起こす可能性のある特定の UDP セッションの動作が原因で発生する UDP 接続プールのリークに関連する問題を修正します。データパスの再起動が発生すると、再起動中、インスタンスは異常な状態になります。その異常な期間が十分に長い場合、コントローラはインスタンスを置換対象としてマークします。
バージョン 24.06-06-a1(2024 年 11 月 28 日)
このリリースはホットフィックスです。
修正
このホットフィックスには、次の修正が含まれています。
-
転送ポリシーが TLS Client Hello メッセージからサービス名指定(SNI)を取得できず、ゲートウェイが TCP RST との接続を閉じる原因となる問題を修正します。これは、2024 年 4 月に Chrome でポスト量子暗号に移行する変更が行われたことが原因です。この変更により、Client Hello は 1415 バイトより大きくなり、ドメインで照合またはフィルタリングするためにポリシーで使用される SNI を取得できなくなる可能性があります。この修正により、転送ポリシーが 1415 バイトを超える Client Hello サイズをサポートできるようになります。
バージョン 24.06-06(2024 年 11 月 26 日)
修正
このリリースには、次の修正が含まれています。
-
新しいゲートウェイインスタンスがアクティブになったときに Azure イングレスゲートウェイがクラッシュする可能性がある問題を修正します。
バージョン 24.06-05(2024 年 11 月 22 日)
拡張機能
このリリースには、次の機能拡張が含まれています。
-
FIPS テレポートエージェントをゲートウェイに統合して、FIPS(FedRAMP)環境と非 FIPS(商用)環境の両方に対応します。テレポートはデフォルトでは無効になっています。このオプションは、お客様がシスコサポートと連携して高度なトラブルシューティングを行う場合にのみ有効にできます。
修正
このリリースには、次の修正が含まれています。
-
イングレスゲートウェイでのトラフィック処理により CPU 使用率が高くなり、不要な自動スケーリングが発生する可能性がある問題を修正します。CPU 使用率が高くなるのは、最初に暗号化されていない HTTP プロキシを使用して接続を処理するポリシーから、HTTP リダイレクションのために暗号化された TCP プロキシに移動した結果です。
-
出力ゲートウェイ転送プロキシポリシーが、トラフィックを適切なポリシー規則に一致させようとして、スタックする可能性がある問題を修正します。
-
長時間のアクティブな接続の一部が適切にアクティブにリセット(TCP RST を送信)されない問題を修正します。
-
イングレスゲートウェイのリバースプロキシポリシーでのマルウェアの検出に起因するゲートウェイのクラッシュを修正します。
-
UDP セッションが適切にカウントされていなかったアクティブ接続と接続レートに関連する統計の記録を修正します。
バージョン 24.06-04(2024 年 10 月 25 日)
修正
このリリースには、次の修正が含まれています。
-
バックエンド接続が応答せず、トラフィックの処理で遅延が発生するプロキシシナリオで、ゲートウェイが不必要に CPU を消費する可能性がある問題を修正します。
バージョン 24.06-03(2024 年 10 月 20 日)
拡張機能
このリリースには、次の機能拡張が含まれています。
-
FedRamp 環境に展開されたゲートウェイで使用するために必要な BoringCrypto をサポートする拡張ゲートウェイイメージを提供します。これは Multicloud Defense の FedRamp 準拠に向けた継続的な取り組みです。
-
テレポートを介してゲートウェイへの SSH セッションが確立された場合に表示されるカスタムバナーのサポートが追加されます。
修正
このリリースには、次の修正が含まれています。
-
Kyber 暗号スイートを含む TLS セッションにより、CPU 使用率が増加し、トラフィックを処理できなくなる可能性がある問題を修正します。
-
ゲートウェイインスタンスが置換されたときに、接続ドレイン時間が適用されなかった問題を修正します。
-
ポリシーの変更またはゲートウェイインスタンスの置換中にプロキシセッションがアクティブに終了したときに、ゲートウェイのデータパスが自己修復する可能性がある、安定性の問題を修正します。
-
診断バンドルの生成が失敗する可能性がある問題を修正します。
-
プロキシポリシーが TLS Client Hello メッセージから SNI を取得できず、ゲートウェイが TCP RST との接続を閉じる原因となる問題を修正します。これは、2024 年 4 月に Chrome でポスト量子暗号に移行する変更が行われたことが原因です。この変更により、Client Hello は 1415 バイトより大きくなり、発行する証明書を決定するためにプロキシで使用されるサーバー名指定(SNI)を取得できなくなる可能性があります。この修正により、プロキシポリシーが 1415 バイトを超える Client Hello サイズをサポートできるようになります。
-
FQDN ベースのアドレスオブジェクトで使用されるドメインの DNS への変更がゲートウェイ データパス エージェントによって受信されるが、データパスワーカーに適用されない問題を修正します。これにより、DNS の変更がアドレスオブジェクトの動的性質に適用されず、適切なトラフィック処理に影響を及ぼします。
-
デフォルト設定と異なる設定の復号プロファイルがゲートウェイに正しく適用されず、クライアントとゲートウェイ間の暗号スイートの不一致が原因で TLS ネゴシエーションが失敗する問題を修正します。
-
ゲートウェイ SSH セッションで使用されるゲートウェイ側の暗号スイートが、脆弱な暗号スイートとしてフラグ付けされている可能性がある問題を修正します。この修正は、最も安全な GCM ベースの暗号スイートにのみ対応します。
-
さまざまな安定性の問題を修正します。
バージョン 24.06-02-a2(2024 年 10 月 2 日)
このリリースはホットフィックスです。
修正
このホットフィックスには、次の修正が含まれています。
-
新しいゲートウェイイメージが展開されたときに Multicloud Defense Gateway が一時的にクラッシュする問題を修正します。
-
Multicloud Defense Gateway は、ゲートウェイインスタンスを終了するときに、Multicloud Defense Controller で設定されたドレイン時間値を適用するようになりました。
バージョン 24.06-02(2024 年 9 月 18 日)
拡張機能
このリリースには、次の機能拡張が含まれています。
-
FedRAMP CIS レベル 2 の強化に対応するために、ゲートウェイの機能拡張を継続しています。
修正
このリリースには、次の修正が含まれています。
-
空の FQDN/URL フィルタリングプロファイルがポリシー規則セットに割り当てられている場合に、ゲートウェイが自己修復する問題を修正します。
-
6 タプル一致としてのドメインの使用に関連する拒否ルールアクションの問題を修正します。最初のルール一致が 6 タプル一致(割り当てられた FQDN 一致プロファイルを含む)で、ポリシーアクションが拒否に設定されている場合、拒否アクションは 5 タプル一致に基づいて設定され、一致対象にドメインは含まれません。この修正により、ルールとそのアクションを評価するときに、6 つのタプルすべてが適用されるようになります。トラフィックが 6 タプル一致に基づくルールでは一致しない場合、トラフィックは後続のルールまで一致するようにして、一致したルールの設定に基づいてアクションを実行します。
-
ポリシーの更新が適用された後、Azure イングレスゲートウェイが
ヘルスチェックの保留
状態でスタックする問題を修正します。この問題には、新しいゲートウェイの展開も含まれます。 -
6 タプル一致としてのドメインの使用に関連する許可ルール一致の問題を修正します。最初のルール一致が 6 タプル一致(割り当てられた FQDN 一致プロファイルを含む)で、ポリシーアクションが許可に設定され、最初のルールの 5 タプル一致と整合性のある後続のルールがない場合、すべてのドメインは許可され、ドメインは拒否されます。この修正により、ルールに一致するドメインのみが許可され、他のすべてのドメインは拒否されるようになります
-
復号ベースの転送プロキシ(TLS、HTTPS、WebsocketS)を使用するイーグレスポリシーのルールセットが最初に 5 タプルで一致し、SNI からドメインを取得しても、6 番目のタプルに基づいて一致の絞り込みを実行せず、TLS エラーが発生する問題を修正します。この修正により、6 タプル一致の絞り込みが実行され、トラフィックが適切な復号ルールによって正常に処理されるようになります。
-
で SNI が記録されない、TLS ネゴシエーションエラーのあるセッションの問題を修正します。
-
転送プロキシのフル復号化セッションごとに複数の SNI イベントが記録されていた問題を修正します。
-
アドレスグループのサイズを超えると、サイズを超えるすべての IP/CIDR がアドレスグループに含まれなくなる可能性がある問題を修正します。アドレスグループのサイズが 20k の IP/CIDR に増加しました。
-
ゲートウェイの GeoIP 制限を超えた場合にシステムログメッセージを追加します。
-
URL がキャッシュで見つからず、URL フィルタリングカテゴリを取得しようとしたときにタイムアウトが発生した場合、URL フィルタリングカテゴリの一致に対して誤ったアクションが実行される問題を修正します。
-
URL フィルタリングプロファイルを設定する管理者アクセス権を持つユーザーが、カスタム URL 応答を使用して Javascript を挿入できないようにします。この修正により、カスタム URL 応答に HTML エンコーディングが適用されます。
バージョン 24.06-01(2024 年 7 月 10 日)
拡張機能
このリリースには、次の機能拡張が含まれています。
-
ゲートウェイを通過する GRE トンネル内でコンテンツを検査するためのサポートが追加されます。ゲートウェイはトラフィックのカプセル化を解除し、適切なポリシーと保護を適用するためにカプセル化されたトラフィックに対する検査を実行してから、そのトラフィックを再カプセル化して GRE トンネルに戻します。
-
ゲートウェイのアップグレードおよびスケールインのシナリオ中に、アクティブな接続をリセットするためのサポートを追加します。これらのシナリオが発生し、ゲートウェイがクライアントまたはサーバーによって閉じられていない長時間接続を処理している場合、ゲートウェイは TCP RST を送信することで、古いインスタンスを獲得するときに接続をアクティブに閉じるようアクションを実行します。
-
テレポート(SSH アクセス)を介してゲートウェイインスタンスにログインするときに、カスタムバナーを指定する機能をサポートします。これは、SSH アクセスのいずれかの方法で顧客定義のバナーを表示する必要がある FedRamp 環境に展開されたゲートウェイの要件です。
修正
このリリースには、次の修正が含まれています。
-
復号プロファイルで「デフォルト」以外の証明書の検証アクションを指定すると、ゲートウェイが異常になる問題を修正します。
-
ゲートウェイが診断バンドルの生成と Multicloud Defense Controller への送信に失敗する、ユーザー生成の診断バンドルの問題を修正します。
-
GeoIP の使用に関する問題を修正します。多くのプロバイダーが存在する国では、アドバタイズされるプレフィックスの数が非常に多くなります。これらの国コードが GeoIP アドレスグループで使用されている場合、アドレスグループには多数の CIDR ブロックが含まれます。GeoIP アドレスグループは 64k CIDR に制限されており、この制限を超えると、部分的な CIDR セットがポリシーに適用されることになります。この修正により、CIDR の完全なセットがポリシーに適用されるように制限が緩和されます。GeoIP によって課される追加のメモリ要件があるため、8 コアインスタンスタイプを使用することをお勧めします。
-
Chrome ブラウザが TLS 1.3 を使用してゲートウェイに接続しているときに、ゲートウェイが誤った証明書を発行する可能性がある問題を修正します。これは、2024 年 4 月に Chrome でポスト量子暗号に移行する変更が行われたことが原因です。この変更により、Client Hello は 1415 バイトより大きくなり、発行する証明書を決定するためにプロキシで使用されるサーバー名指定(SNI)を取得できなくなる可能性があります。この修正により、プロキシが 1415 バイトを超える Client Hello サイズをサポートできるようになります。
-
ゲートウェイが
ページに表示する正しい統計を生成していた問題を修正します。 -
さまざまな安定性の問題を修正します。
-
青色/緑色ポリシーの変更に関連する問題を修正します。ポリシーの変更が発生し、新しいデータパスがアクティブになると、ゲートウェイは古いデータパスから現在のセッションのドレインを開始します。データパスがセッションを適切にドレインできない場合、データパスは異常として扱われ、データパスの再起動が行われます。これにより、古いデータパスと新しいデータパスの両方が終了し、古いセッションと新しいセッションの中断が発生する可能性があります。この修正により、セッションドレインが適切に完了し、データパスが異常と見なされる状況がなくなります。
-
トンネルの設定とネゴシエーションに関するトラブルシューティングとデバッグ情報を提供するシステムログメッセージが VPN トンネルの状態遷移で生成されなかった問題を修正します。
-
最終的にデータパスの自己修復を引き起こす、イングレスゲートウェイの低速メモリリークを修正します。メモリリークは、gzip 圧縮されたファイルを含むトラフィックに関連しています。
-
バックツーバック POST コマンドに 160k を超えるペイロードが含まれている場合に、イングレスゲートウェイが接続をドロップする可能性がある問題を修正します。