Cisco ASA のルートベースのサイト間 VPN サポート

Cisco Defense Orchestrator を使用して、仮想トンネルインターフェイスが設定されているピア間にサイト間 VPN トンネルを作成できるようになりました。これは、各トンネルの終端に IPsec プロファイルが付加されたルート ベースの VPN をサポートします。IPSec トンネルにルーティングされるトラフィックはすべて、送信元/接続先のサブネットに関係なく暗号化されます。

VTI ベースの VPN は、次の間で作成できます。

• CDO 管理対象の Cisco ASA およびルートベースの VPN 対応デバイス。

• 2 つの CDO 管理対象 ASA。

詳細については、「Site-to-Site Virtual Private Network」[英語] を参照してください。

グローバル検索

CDO でグローバル検索機能を使用すると、CDO の管理対象デバイスを検索してナビゲートできます。この機能により、クラウド提供型 Firewall Management Center で管理されているデバイスの検索機能を、CDO ユーザーインターフェイスからサポートできるようになりました。検索結果から、クラウド提供型 Firewall Management Center 内の対応するページに移動できます。

詳細については、「Global Search」[英語] を参照してください。

Duo Admin Panel のオンボーディングと多要素認証ロギング

CDO は Duo Admin Panel をオンボードして、ログを MFA イベントとしてダッシュボードに表形式で表示できるようになりました。また、1 つ以上のデバイスの MFA セッションをコンマ区切り値（.csv）を含むファイルにエクスポートできます。

Duo Admin Panel には、ユーザーの二要素認証の成功や失敗に関する情報を含む多要素認証（MFA）ログが記録されます。

詳細については、Cisco Defense Orchestrator ガイド [英語] の「Onboard Duo Admin Panel」および「Monitor Multi-Factor Authentication Events」を参照してください。

Cisco ASA のポリシーベースのサイト間 VPN ウィザード

CDO で、2 つのピア間にポリシーのベースサイト間 VPN トンネルを設定できるようになりました。これは、IPSec トンネルにルーティングされるトラフィックはすべて、送信元/接続先のサブネットに関係なく暗号化されることを意味します。

ポリシーベースのサイト間 VPN を設定するには、次のいずれかの条件を満たす必要があります。

• 両方のピアが CDO 管理対象の Cisco ASA である。

• ピアの 1 つは CDO 管理対象の Cisco ASA で、もう 1 つはポリシーベースの VPN 対応デバイスである。

詳細については、「Site-to-Site Virtual Private Network」[英語] を参照してください。

CDO が FDM による管理 デバイスのバージョン 7.2 をサポート

CDO は、FDM による管理 デバイスのバージョン 7.2 をサポートするようになりました。CDO が提供するサポートの側面は次のとおりです。

• バージョン 7.2 を実行しているサポート対象の物理または仮想 FDM による管理 デバイスの CDO へのオンボード。

• バージョン 6.4 以降からバージョン 7.2 への FDM による管理 デバイスのアップグレード。

• 既存の Cisco Secure Firewall Threat Defense 機能のサポート。

• バージョン 7.2 を実行している、サポート対象の物理または仮想デバイスの クラウド提供型 Firewall Management Center への導入準備。

（注）	CDO は、バージョン 7.2 リリースで導入された機能をサポートしていません。

Cisco Secure Firewall 移行ツールが Cisco Secure Firewall Threat Defense への移行をサポート

Cisco Secure Firewall 移行ツールを使用すると、Cisco Secure Firewall ASA の設定を Cisco Secure Firewall Threat Defense に移行し、オンプレミスまたは仮想の Cisco Secure Firewall Management Center、あるいは Cisco Defense Orchestrator の新しいクラウド提供型 Firewall Management Center で管理できます。このデスクトップツールは、サードパーティベンダーの Check Point、Palo Alto Networks、および FortiNet からの移行もサポートしています。

Cisco Secure Firewall 移行ツールバージョン 3.0 は、Threat Defense ソフトウェアバージョン 7.2 を実行する Cisco Secure Firewall Threat Defense デバイスへの移行をサポートします。このバージョンの Threat Defense ソフトウェアは、CDO 上のクラウド提供型 Firewall Management Center で管理できます。移行プロセスは CDO の一部であり、CDO ライセンス以外の特定のライセンスは必要ありません。

Cisco Secure Firewall 移行ツールは、ソフトウェアのダウンロードページからダウンロードできます。

CDO には、以下に示す ASA の実行構成の要素を Threat Defense のテンプレートに移行するためのウィザードが用意されています。

• アクセス制御ルール（ACL）

• インターフェイス

• ネットワークアドレス変換（NAT）ルール

• ネットワークオブジェクトとネットワーク グループ オブジェクト

• ルート

ASA 実行構成のこれらの要素が移行されると、新しい脅威防御デバイスに構成を展開し、CDO のクラウド提供型 Firewall Management Center で管理できます。

詳細については、『Migrating ASA Firewall to Cisco Secure Firewall Threat Defense with the Cisco Secure Firewall Migration Tool』[英語] を参照してください。

クラウド提供型 Firewall Management Center による Cisco Secure Firewall Threat Defense デバイスの管理

SecureX を使用した オンプレミス Management Center の導入準備

SecureX アカウントにすでに関連付けられているオンプレミス Management Center がある場合は、SecureX を介して Management Center を CDO にオンボードできます。SecureX を介して導入準備したデバイスには、従来の方法で導入準備した Management Center と同等の機能や機能サポートがあります。SecureX を介して Management Center を CDO に導入準備するには、「Onboard an On-Prem FMC with SecureX」[英語] を参照してください。

（注）	Management Center アカウントが SecureX に関連付けられている場合でも、Management Center をオンボードする前に、CDO アカウントを SecureX にマージすることを強く推奨します。詳細については、「CDO アカウントと SecureX アカウントのマージ」を参照してください。

ASA ポリシーで IPv6 をサポート

ASA アクセスポリシーと NAT 設定が、IPv6 アドレスを含むネットワークオブジェクトやネットワークグループを使用したルールをサポートするようになりました。これらのルールでは、ICMP および ICMPv6 プロトコルを指定することもできます。さらに、ASA は IPv6 アドレスを含む AnyConnect 接続プロファイルをサポートするようになりました。詳細については、「ASA Network Policies」[英語] を参照してください。

[セキュアコネクタ（Secure Connectors）] ページへのアクセス

[セキュアコネクタ（Secure Connectors）] ページには、CDO メニューバーからアクセスできます。[セキュアコネクタ（Secure Connectors）] ページを表示するには、[管理（Admin）] > [セキュアコネクタ（Secure Connectors）] の順に選択します。

AWS Transit Gateway を使用して AWS VPC トンネルを監視する

CDO が AWS Transit Gateway を使用して AWS VPC トンネルを監視できるようになりました。詳細については、「Monitor AWS VPC tunnels using AWS Transit Gateway」[英語] を参照してください。

[グローバル検索（Global Search）]

グローバル検索機能を使用すると、CDO 内で使用可能なすべての導入準備済みデバイスと関連オブジェクトを検索できます。検索結果から対応するデバイスやオブジェクトのページに移動できます。

現在、CDO は ASA、Firepower Management Center、Secure Firewall Threat Defense、および Cisco Meraki デバイスのグローバル検索をサポートしています。

詳細については、次のドキュメントの「Global Search」を参照してください。

• Cisco Defense Orchestrator による ASA の管理

• Cisco Defense Orchestrator を使用した FMC の管理

• Cisco Defense Orchestrator を使用した FTD の管理

• Cisco Defense Orchestrator で Meraki を管理する

Cisco Secure Firewall 3100 のサポート

Cisco Defense Orchestrator は、新しい Cisco Secure Firewall 3100 シリーズ デバイス上で動作する ASA および Secure Firewall Threat Defense デバイスのオンボードをサポートしています。

Secure Firewall Threat Defense デバイスは、ゼロタッチプロビジョニングを使用するか、登録キーまたはシリアル番号を使用してオンボードできます。

ユーザー管理の Active Directory（AD）グループ

CDO でユーザーを管理する簡単な方法として、個々のユーザーを管理する代わりに、CDO で Active Directory（AD）グループをマップできるようになりました。新しいユーザーの追加、既存のユーザーの削除、ロールの変更などのユーザーの変更は、CDO 内で何も変更せずに Active Directory で実行できるようになりました。CDO は、AD を使用してユーザーごとに複数のロールもサポートするようになりました。詳細については、デバイスの構成ガイドの「User Management」の章の「Active Directory Groups in User Management」セクションを参照してください。

アクティブなリモートアクセス VPN セッションのチャートビューの改善

CDO は、アクティブな RA VPN セッションの新しい改善されたチャートビューを提供するようになりました。すでにおなじみのチャートに加えて、CDO は RA VPN ヘッドエンドに接続されているユーザーの場所のヒートマップを表示するようになりました。このマップはライブビューでのみ表示されます。

新しいチャートビューを表示するには、[RA VPN監視（RA VPN Monitoring）] ページで、画面の右上隅に表示される [チャートビューを表示（Show Charts View）] アイコンをクリックします。

詳細については、使用しているファイアウォールに応じて、『Cisco Defense Orchestrator での FTD の管理』、『Cisco Defense Orchestrator による ASA の管理』の「Monitoring Remote Access Virtual Private Network Sessions」を参照してください。

リモートアクセス VPN ユーザーの位置情報

リモートアクセス VPN モニタリングページに、VPN ヘッドエンドに接続しているすべてのユーザーの場所が表示されるようになりました。CDO は、ユーザーのパブリック IP アドレスを地理的に特定することによって、この情報を取得します。この情報は、ライブビューと履歴ビューで利用できます。左ペインの [ユーザーの詳細（User Details）] エリアで場所をクリックすると、ユーザーの正確な場所が地図上に表示されます。

（注）	この情報は、新しい CDO の展開後に確立されたユーザーセッションで利用でき、既存のユーザーセッションでは利用できません。

[デバイスとサービス（Devices & Services）] ページの名前を [インベントリ（Inventory）] に変更

[デバイスとサービス（Devices & Services）] ページの名前が「インベントリ（Inventory）」に変更されました。Inventory テーブルには、CDO で管理するすべてのデバイスとサービスが一覧表示されます。名前の変更の結果として追加または削除された機能はありません。

強化された [デバイスとサービス（Devices & Services）] インターフェイス

CDO [デバイスとサービス（Devices & Services）] インターフェイスは、デバイスとテンプレートをそのタイプに基づいて分類し、各デバイスタイプ専用の対応するタブに表示するようになりました。