Megaport への Threat Defense Virtual の展開

このガイドでは、Threat Defense Virtual を Megaport Virtual Edge(MVE)として展開することによる Cisco Secure Threat Defense Virtual と Megaport の統合について説明します。

概要

ビジネスクリティカルなデータは、複数のパブリッククラウド、プライベートクラウド、および内部サーバーからリモートの従業員のデバイスにいたるまで、さまざまな送信元から発信されます。すべてのデータポイント間でコンプライアンスが確保されているわけではないため、各データエンティティを個別に保護することは、時間がかかり、困難です。このようなユースケースの増加にともない、拡張性と柔軟性を提供する方法で、ネットワークエッジにファイアウォールを迅速かつセキュアに展開するできる必要があります。

Megaport Virtual Edge(MVE)は、Megaport のソフトウェア定義型ネットワーク(SDN)におけるオンデマンドのネットワーク機能仮想化(NFV)サービスであり、280 を超えるクラウドオンランプと 800 を超えるデータセンターにグローバルに到達できます。MVE を使用すると、プライベートネットワーク、専用帯域幅を持つレイヤ 2 ネットワーク、および低遅延ネットワークを介した、ブランチとクラウド間、クラウド間、およびブランチ間の接続を保護できます。Megaport ポータルから、ネットワークエッジに SD-WAN ゲートウェイ、仮想ルータ、トランジットゲートウェイ、および仮想ファイアウォールを展開できます。

Cisco Secure Firewall バージョン 7.2.8 以降では、Threat Defense Virtual を MVE として展開するできます。これにより、ハイブリッドおよびマルチクラウドのワークフローでセキュリティ サービス チェーンを作成できます。また、個人デバイス、データセンター、およびクラウドプラットフォーム(AWS、Azure、GCP など)の最も近い可用性ゾーン向けのシングル ポイント ソリューションを展開できます。この統合により、セキュアではない可能性のあるネットワークを介したデータ転送が減少し、堅牢性と拡張性の問題を心配することなく、セキュリティソリューションをシームレスに実装できます。

Megaport ポータルを使用して、Threat Defense Virtual を展開し、すべてのデータセンターを一箇所でマルチクラウド アプリケーションに接続します。すべてのデータパケットは、Megaport のプライベート グローバル ネットワークを使用してルーティングされます。展開後、Threat Defense Virtual は、オンボックスの Firewall Device Manager、クラウド提供型の Firewall Management Center、またはオンプレミスの Firewall Management Center のいずれかで管理できます。

図 1. トポロジの例の概要

Threat Defense Virtual を Megaport Virtual Edge として展開するための注意事項と制約事項

  • 次の MVE コンピューティングサイズがサポートされています。

    • 4/16:4 CPU、16 GB RAM

    • 8/32:8 CPU、32 GB RAM

    • 12/48:12 CPU、48 GB RAM

  • 最小 4 つ、最大 5 つのインターフェイスがサポートされています。

  • 高可用性(HA)がサポートされています。詳細については、「高可用性(フェールオーバー)の設定」を参照してください。

  • 問題が発生した場合の初期障害対応については、expert コマンドで Threat Defense Virtual エキスパートモードを開始することによって初期起動ログを参照してから、cat firstboot.S96ovf-data.pl コマンドを使用します。

  • CLI を使用して Threat Defense Virtual インスタンスを再起動します。Megaport ポータルから Threat Defense Virtual インスタンスを再起動するオプションはありません。

  • 展開後にインターフェイスを削除することはできません。無効にすることだけが可能です。

  • DHCP IPv6 アドレッシングはサポートされていません。

  • クラスタリングはサポートされません。

Threat Defense Virtual を Megaport Virtual Edge として展開するための前提条件

  • MVE を作成するには、適切な権限を持つ Megaport ポータルのアカウントが必要です。詳細については、「アカウントの作成」を参照してください。

  • (オプション)必要に応じて、スマートライセンスを選択し、ファイアウォールを登録することができます。詳細については、[Cisco ソフトウェアライセンシングとスマートアカウント(Cisco Software Licensing and Smart Accounts)]https://www.cisco.com/c/en/us/buy/licensing.htmlをクリックしてください。


    (注)  

    ライセンスがない場合は、Cisco Secure Firewall Management Center または Device Manager で [評価(Evaluation)] モードを有効にする必要があります。

Threat Defense Virtual の Megaport Virtual Edge としての展開

Cisco Secure Firewall Threat Defense Virtual を Megaport Virtual Edge として展開するには、次の手順を実行します。

手順

ステップ 1

Megaport ポータルを開き、[サービス(Services)] をクリックします。

ステップ 2

[MVE の作成(Create MVE)] をクリックします。

ステップ 3

必要な [MVE のロケーション(MVE Location)] を選択します。地理的にエンドターゲットに近いロケーションを選択することをお勧めします。

必ず、ロケーションのダイバーシティゾーンの色を書き留めてください。手順の後半で説明する他の必要なコネクタは、同じダイバーシティゾーンに展開することをお勧めします。

ステップ 4

[次へ(Next)] をクリックします。

ステップ 5

[MVE の設定(MVE Configuration)] で、ベンダーのリストから必要なバージョンの Cisco Secure Firewall Threat Defense Virtual を選択します。

(注)  

 

必ず、使用する Firewall Management Center と互換性のあるバージョンを選択してください。Firewall Management Center のバージョンは、Cisco Threat Defense Virtual のバージョン以降である必要があります。FMC のバージョンを確認するには、「Firepower ソフトウェアバージョンの確認」を参照してください。

ステップ 6

[Cisco Secure Firewall Threat Defense Virtual サービスの詳細(Cisco Secure Firewall Threat Defense Virtual Service Details)] を入力します。

  1. [MVE 名(MVE Name)] フィールドにファイアウォールの名前を入力します。

  2. 必要なスループットに応じて、ドロップダウンリストから、CPU/RAM 形式で表示される [サイズ(Size)] を選択します。詳細については、『Cisco Secure Firewall Threat Defense Virtual Data Sheet』を参照してください。

  3. (任意) [サービスレベル参照(Service level reference)] フィールドに、請求目的の識別子を入力します。

  4. [管理者パスワード(Admin Password)] フィールドにファイアウォールのパスワードを入力します。

  5. オンボックスの Device Manager を使用する場合は、[ローカルで管理(Manage Locally)] チェックボックスをオンにします。

  6. Management Center(仮想またはオンプレミス)を使用する場合は、[FMC のIP アドレス(FMC IP Address)] フィールドに IP アドレスまたはドメイン名を入力します。

  7. デバイス登録用の [FMC 登録キー(FMC Registration Key)] を入力します。このキーは、共有秘密の英数字(2 ~ 36 文字)です。英数字、ハイフン(-)、下線(_)、およびピリオド(.)のみを使用できます。

  8. (任意) [NAT ID] を入力します。これは、一方が IP アドレスを指定しない場合に Management Center とデバイスが登録プロセス中に使用する英数字文字列です。Management Center で、同じ NAT ID を指定する必要があります。

  9. 必要なすべての仮想インターフェイスを追加して名前を付けます。デフォルトでは、Threat Defense Virtual には 1 つの管理インターフェイス、1 つの診断インターフェイス、および 2 つのデータインターフェイスがセットアップされています。[+ 追加(+Add)] をクリックして、最大 5 つの vNIC を Megaport の MVE に追加します。つまり、必要に応じてデータインターフェイスをもう 1 つ追加できます。

    (注)  

     

    展開後にこの MVE の vNIC の数を増減する場合は、MVE 全体を削除して再作成する必要があります。すでに展開されている MVE で vNIC を追加または削除することはできません。

  10. セキュリティのニーズと予算に基づいて、必要な [最小期間(Minimum Term)] を選択します。

ステップ 7

[次へ(Next)] をクリックします。

ステップ 8

[サマリー(Summary)] ウィンドウで、すべての詳細情報を確認します。vNIC が正しく表示されていることを確認してください。展開後に vNIC を変更することはできません。

ステップ 9

[MVE の追加(Add MVE)] をクリックします。

次のタスク

Megaport インターネット接続の作成

Megaport インターネット接続の作成

MVE が追加されると、Megaport インターネット接続の作成を提案するポップアップウィンドウが表示されます。MVE の Megaport インターネット接続を作成して、展開された Threat Defense Virtual を Management Center に接続するか、オンボックス FDM を使用することをお勧めします。

手順

ステップ 1

[Megaport インターネットの作成(Create Megaport Internet)] をクリックします。

また、後で Threat Defense Virtual の [接続(Connections)] オプションを使用し、[Megaport インターネット(Megaport Internet)] を選択することで、Megaport インターネットを作成することもできます。

ステップ 2

ダイバーシティゾーンとターゲットポートを選択します。MVE の作成時と同じリージョンおよびダイバーシティゾーンの色を選択することをお勧めします。

ステップ 3

必要な接続の詳細情報を入力します。

  1. この接続の [接続名(Connection Name)] を入力します。

  2. この接続に適用する [レート制限(Rate Limit)] を指定します。より高い速度を選択すると、コストも高くなります。

  3. [VXC 状態(VXC State)] は、接続の初期状態を定義します。デフォルトで、この設定は [有効(Enabled)] になっています。これを変更しないでください。

  4. [A エンド vNIC(A-End vNIC)]:これは、Megaport インターネットの一方の端が終端するインターフェイスです。ドロップダウンリストから管理インターフェイス(vNIC-0)を選択します。

  5. デフォルトでは、[優先 A エンド VLAN(Preferred A-End VLAN)] は [タグ解除(Untag)] に設定されています。そのままにすることも、一意のカスタム VLAN ID を使用することもできます。

  6. セキュリティのニーズと予算に基づいて、必要な [最小期間(Minimum Term)] を選択します。

ステップ 4

[次へ(Next)] をクリックします。

ステップ 5

接続の概要で詳細を確認し、[VXC の追加(Add VXC)] をクリックします。

ステップ 6

(任意) 手順 1 ~ 5 を繰り返して、外部インターフェイスのインターネットアクセスをセットアップします。

ステップ 7

左側のペインで、[注文(Order)] をクリックし、[今すぐ注文(Order Now)] をクリックします。

(注)  

 

Cisco Threat Defense Virtual の初期化と起動には 10 ~ 20 分かかる場合があります。

Threat Defense Virtual の Management Center または Device Manager への接続

Threat Defense Virtual を展開したら、Megaport インターネットコネクタのパブリック IP アドレスを使用して、Cisco Secure Firewall Management Center に登録するかオンボックスの Cisco Secure Firewall Device Manager にアクセスします。

コネクタのパブリック IP アドレスを確認するには、次の手順を実行します。

手順

ステップ 1

Megaport ポータルで、[サービス(Services)] タブをクリックします。

ステップ 2

フィルタバーで Threat Defense Virtual インスタンスの名前を検索します。

ステップ 3

Threat Defense Virtual インスタンスの下にある Megaport インターネットコネクタの横の歯車アイコンをクリックします。

ステップ 4

トップメニューで [詳細(Details)] をクリックします。

ステップ 5

[接続の詳細(Connection Details)] ページに、Threat Defense Virtual を Management Center または Device Manager に接続するために使用できるパブリック IPv4 および IPv6 アドレスが表示されます。

Threat Defense Virtual のパブリッククラウド プラットフォームへの接続

マルチクラウドまたはハイブリッドクラウド展開を保護するには、新しく展開された Threat Defense Virtual とパブリッククラウド プラットフォーム間の接続をセットアップします。これを行うには、仮想クロスコネクト(VXC)を作成します。

VXC を作成するには、次の手順を実行します。

手順

ステップ 1

Megaport ポータルで、[サービス(Services)] タブをクリックします。

ステップ 2

パブリッククラウドに接続する必要がある Threat Defense Virtual インスタンスの [+ 接続(+ Connection)] をクリックします。

ステップ 3

Megaport のセキュアな接続を使用してクラウドアーキテクチャを Threat Defense Virtual に接続するには、[宛先タイプ(Destination Type)] として [クラウド(Cloud)] を選択します。

ステップ 4

[次へ(Next)] をクリックします。

ステップ 5

Threat Defense Virtual に接続する必要があるパブリック クラウド プロバイダーを [プロバイダー(Provider)] から選択し、必要な詳細情報を入力します。

ステップ 6

[次へ(Next)] をクリックし、[接続の詳細(Connection Details)] に必要な詳細情報を入力します。

高可用性(フェールオーバー)の設定

Cisco Secure Firewall Threat Defense Virtual は、一方の装置がアクティブ装置としてトラフィックを通過させるアクティブ/スタンバイフェールオーバーをサポートします。スタンバイ装置は、アクティブにトラフィックを通過させることはありませんが、設定やその他の状態情報をアクティブ装置と同期しています。フェールオーバーが発生すると、アクティブ装置がスタンバイ装置にフェールオーバーし、そのスタンバイ装置がアクティブになります。

Megaport で高可用性を設定するには、2 つの同一の Threat Defense Virtual インスタンスを MVE として展開します。Cisco Threat Defense Virtual で HA を設定するための他のハードウェアおよびソフトウェア要件については、「High Availability」を参照してください。

HA を設定した後、両方の Threat Defense Virtual インスタンスの間にプライベート VXC を作成します。この接続は、フェールオーバーリンクが機能するために必要です。プライベート VXC を作成するには、次の手順を実行します。

手順

ステップ 1

プライマリ Threat Defense Virtual で、[+ 接続(+Connection)] アイコンをクリックし、[プライベート VXC(Private VXC)] 宛先タイプをクリックします。

ステップ 2

[宛先ポート(Destination Port)] リストからセカンダリ Threat Defense Virtual を選択します。

ステップ 3

必要な接続の詳細情報を入力します。

  1. 接続の [接続名(Connection Name)] を入力します。

  2. この接続に適用する [レート制限(Rate Limit)] を指定します。より高い速度を選択すると、コストも高くなります。

  3. [VXC 状態(VXC State)] は、接続の初期状態を定義します。デフォルトで、この設定は [有効(enabled)] になっています。これを変更しないでください。

  4. [A エンド vNIC(A-End vNIC)] および [B エンド vNIC(B-End vNIC)] について、両方の Threat Defense Virtual インスタンスから必要なインターフェイスを選択します。これら 2 つのインターフェイス間の接続は、フェールオーバーリンクとして機能します。

  5. (任意) 使用しているトポロジの一意の VLAN ID を入力します。

  6. [次へ(Next)] をクリックします。

  7. [VXC の追加(Add VXC)] をクリックします。

  8. 左側のペインで注文を確定します。

Management Center または Device Manager を使用した Threat Defense Virtual での HA の設定の詳細については、次のガイドを参照してください。