オブジェクト

AWS や GCP など、クラウドベースのマネージャがオンプレミスのデータセンターとやり取りする可能性がある環境では、環境を保護するためにポリシー内でオブジェクトを共有できることが非常に重要です。共有オブジェクトを使用すると、1 か所でオブジェクトを変更でき、その変更がそのオブジェクトを使用する他のすべてのポリシーに影響するため、ポリシーの維持が容易になります。共有オブジェクトを使用しない場合は、同じ変更が必要なすべてのポリシーを個別に変更する必要があります。

Multicloud Defense では、オブジェクトの要素の結合された、つまり「フラット化された」ビューが詳細ペインに表示されます。詳細ペインでは、ネットワーク要素が単純なリストにフラット化されており、名前付きオブジェクトに直接関連付けられていないことに注意してください。

オブジェクトの共有は、クラウドベースのデータセンターからのトラフィックを許可するアクセス制御ポリシーを展開する場合にのみサポートされることに注意してください。ポリシーに、サードパーティのデータセンターのインスタンスまたは属性が含まれていること、または除外されていることを確認します。

Multicloud Defense はデータセンターまたはクラウドプラットフォームと通信する機能を備えているため、セキュリティポリシーをどこでも管理できます。

静的オブジェクト

静的オブジェクトは、変更されない IP アドレス、サブネット、または特定のファイアウォールルールを指定して、コンプライアンスおよびセキュリティの目的において重要になり得る予測可能で安定した設定を提供します。クラウド環境では、これにより、ハイブリッド環境内で同じ IPアドレスまたは FQDN を維持するオブジェクトを作成および共有できます。

共有オブジェクトの削除を選択すると、Multicloud Defense はシステムからそのオブジェクトのみを削除します。オブジェクトは Security Cloud Control 内に存在し続けます。

動的オブジェクト

対照的に、ダイナミックオブジェクトでは IP アドレスを指定する必要はありません。ダイナミックオブジェクトは、さまざまな条件や環境に自動的に調整される適応型構成です。手動の介入を必要とせずに、ファイアウォールがリアルタイムイベントに応答できるようになります。

また、リソースにタグを付けて オブジェクトとして使用することにより、ポリシー内に、よりきめ細かいルールセットを作成することができます。クラウド環境内にこのレベルの柔軟性があるため、リアルタイムのデータに基づいてシステムを調整でき、メンテナンスを削減できます。

Security Cloud Control とのオブジェクトの共有

Security Cloud Control でオブジェクトを共有すると、それらは自動的にネットワークオブジェクトに変換されます。これは、Multicloud Defense 内のオブジェクトの元の状態には影響しません。

Multicloud DefenseSecurity Cloud Control の間でオブジェクト共有を設定するには、Security Cloud Control でコネクタを作成し、コネクタを適用可能なポリシーにアタッチしてこの機能を有効にしてから、オブジェクトをインポートして Multicloud Defense Controller で表示する必要があります。詳細については、Multicloud Defense コネクタについてを参照してください。

動的オブジェクトを共有する場合は、オーバーライド値を作成してオブジェクトの元の値を保持するオプションがあります。オブジェクトのオーバーライドを使用すると、特定のデバイス上の共有ネットワークオブジェクトの値をオーバーライドできます。詳細については、『Object Overrides』を参照してください。


(注)  


オブジェクトは クラウド提供型 Firewall Management Center と共有できません。


Multicloud Defense コネクタについて

オプションで、動的属性コネクタ を使用して、Cisco Multicloud Defense から設定された クラウド提供型 Firewall Management Center にアドレスオブジェクトを送信できます。コネクタは、ダイナミックデータ(IP アドレスなど)を収集し、そのデータを クラウド提供型 Firewall Management Center にストリーミングして、アクセス制御ポリシーで使用できるようにします。

Multicloud Defense のオブジェクトの詳細については、「Address Objects」の章、およびアドレスオブジェクト API のドキュメントを参照してください。

Multicloud Defense コネクタの詳細については、『Managing Firewall Threat Defense with Cloud-delivered Firewall Management Center in Security Cloud Control』を参照してください。

Security Cloud Control からのオブジェクトのインポート


(注)  


オブジェクトを Multicloud Defense にインポートするために、Security Cloud Control ダッシュボードのダイナミック共有を有効にする必要はありません。


Multicloud Defense Controller ダッシュボードを使用して Security Cloud Control オブジェクトを Multicloud Defense に手動でインポートするには、次の手順を実行します。

手順


ステップ 1

Security Cloud Control にログインし、左側のペインで Multicloud Defense をクリックします。

ステップ 2

右上にある Multicloud Defense Controller をクリックして、コントローラダッシュボードを相互起動します。

ステップ 3

に移動します。

ステップ 4

[オブジェクトのインポート(Import Objects)] をクリックします。

ステップ 5

Security Cloud Control オブジェクトのポップアップウィンドウから、スクロールまたは検索バーを使用して個々のオブジェクトを見つけます。

注:現時点で、Multicloud Defenseでは「.」を含む名前のオブジェクトはサポートされていません。名前にピリオドを含むオブジェクトを共有またはインポートしようとすると、エラーメッセージが表示されます。

ステップ 6

オブジェクトを選択して強調表示し、[インポート(Import)] をクリックします。任意の時点で [Cancel] をクリックし、アクションを取り消すことができます。


次のタスク

Multicloud DefenseSecurity Cloud Control と通信し、インポートしたオブジェクトが同期されるまで数分待ちます。Security Cloud Control ダッシュボードから、更新された共有オブジェクトの数を [Multicloud Defenseの共有オブジェクト(Multicloud Defense Shared Object)] ウィジェットで確認できます。