Nutanix への Threat Defense Virtual の展開

この章では、Threat Defense Virtual を Nutanix 環境に展開する際の手順について説明します。

概要

Cisco Secure Firewall Threat Defense Virtual(旧称 Firepower Threat Defense Virtual)は、Cisco Secure Firewall 機能を仮想化環境にもたらします。物理環境、仮想環境、クラウド環境全体を通して、またクラウド間で一貫性のあるセキュリティポリシーを実現し、ワークロードをサポートします。

この章では、AHV ハイパーバイザを含む Nutanix 環境内における Threat Defense Virtual の機能について解説し、機能のサポート、システム要件、ガイドライン、制限事項などを説明します。また、この章では Threat Defense Virtual を管理するためのオプションについても説明します。

展開を開始する前に、管理オプションを理解しておくことが重要です。Threat Defense Virtual の管理と監視には Secure Firewall Management Center を使用できます。(旧 Firepower Management Center)

Nutanix への Threat Defense Virtual の展開について

Nutanix Enterprise Cloud Platform は、仮想マシンのホスティングと格納用に構築された、統合型のスケールアウト対応コンピューティングおよびストレージシステムです。Nutanix AHV を使用して、修正されていない Threat Defense Virtual の OS イメージを実行している複数の仮想マシンを実行できます。各仮想マシンには、ネットワーク カード、ディスク、グラフィック アダプタなどのプライベートな仮想化ハードウェアが搭載されています。

エンドツーエンドの手順

次のフローチャートは、Day 0 の構成ファイルを使用して Nutanix プラットフォームに Threat Defense Virtual を展開する際のワークフローを示しています。

ワークスペース

手順

Linux ホスト

Nutanix への Threat Defense Virtual の展開:Threat Defense Virtual の qcow2 ファイルをダウンロードして保存します。

Linux ホスト

Nutanix への Threat Defense Virtual の展開:qcow2 ファイルを Nutanix 環境にアップロードします。

Nutanix Prism Web コンソール

Nutanix への Threat Defense Virtual の展開:Day-0 構成ファイルを準備します(テキストファイル > 構成の詳細を入力 > day0-config.txt のファイル名で保存)。

Nutanix Prism Web コンソール

Nutanix への Threat Defense Virtual の展開:Nutanix に Threat Defense Virtual を展開します。

Management Center

Threat Defense Virtual の管理:

次のフローチャートは、Day 0 の構成ファイルを使用せずに Nutanix プラットフォームに Threat Defense Virtual を展開する際のワークフローを示しています。

ワークスペース

手順

Linux ホスト

Nutanix への Threat Defense Virtual の展開:Threat Defense Virtual の qcow2 ファイルをダウンロードして保存します。

Nutanix Prism Web コンソール

Nutanix への Threat Defense Virtual の展開:qcow2 ファイルを Nutanix 環境にアップロードします。

Nutanix Prism Web コンソール

Nutanix への Threat Defense Virtual の展開:Nutanix に Threat Defense Virtual を展開します。

Management Center

Threat Defense Virtual の管理:

システム要件

バージョン

マネージャバージョン デバイスバージョン
Management Center 7.0 Threat Defense 7.0

Threat Defense Virtual のハイパーバイザのサポートに関する最新情報については、『Cisco Secure Firewall Threat Defense Compatibility Guide』を参照してください。

Threat Defense Virtual のメモリ、vCPU、およびディスクのサイジング

Threat Defense Virtual の導入に使用される特定のハードウェアは、導入されるインスタンスの数や使用要件によって異なります。Threat Defense Virtual の各インスタンスには、サーバー上での最小リソース割り当て(メモリ容量、CPU 数、およびディスク容量)が必要です。

設定

パフォーマンス階層

バージョン 7.0 以降

Threat Defense Virtual は、導入要件に基づいて異なるスループットレベルと VPN 接続制限を提供するパフォーマンス階層型ライセンスをサポートしています。

  • FTDv5 4vCPU/8GB(100 Mbps)

  • FTDv10 4vCPU/8GB(1 Gbps)

  • FTDv20 4vCPU/8GB(3 Gbps)

  • FTDv30 8vCPU/16GB(5 Gbps)

  • FTDv50 12vCPU/24GB(10 Gbps)

  • FTDv100 16vCPU/32GB(16 Gbps)

Threat Defense Virtual デバイスのライセンスを取得する場合のガイドラインについては、『Cisco Secure Firewall Management Center Configuration』の「Licensing the System」の章を参照してください。

(注)  

 

vCPU/メモリの値を変更するには、最初に Threat Defense Virtual デバイスの電源をオフにする必要があります。

ストレージ

50 GB(調整可能)

  • virtio ブロック デバイスをサポート


(注)  


Threat Defense Virtual 向けネットワークのデータインターフェイスの最小数は 4 つ(管理、診断、外部、内部)です。


Threat Defense Virtual ライセンス

  • Management Center からセキュリティ サービスのすべてのライセンス資格を設定します。

  • ライセンスの管理方法の詳細については、『Cisco Secure Firewall Management Center Configuration Guide』の「Licensing the System」を参照してください。

Nutanix のコンポーネントとバージョン

コンポーネント バージョン
Nutanix Acropolis OS(AOS)

5.15.5 LTS 以降

Nutanix クラスタチェック(NCC)

4.0.0.1

Nutanix AHV

20201105.12 以降

Nutanix Prism Web コンソール

-

注意事項と制約事項

サポートされる機能

  • 展開モード:ルーテッド(スタンドアロン)、ルーテッド(HA)、インラインタップ、インライン、パッシブ、およびトランスペアレント

  • ライセンス:BYOL のみ

  • IPv6

  • Threat Defense Virtual ネイティブ HA

  • ジャンボフレーム

  • VirtIO

パフォーマンスの最適化

Threat Defense Virtual の最高のパフォーマンスを実現するために、VM とホストの両方を調整することができます。詳細については、「Nutanix での仮想化の調整と最適化」を参照してください。

Receive Side ScalingThreat Defense Virtual は Receive Side Scaling(RSS)をサポートしています。これは、ネットワークアダプタによって複数のプロセッサコアにネットワーク受信トラフィックを分散するために使用されるテクノロジーです。バージョン 7.0 以降でサポートされています。詳細については、「Receive Side Scaling(RSS)用の複数の RX キュー」を参照してください。

Snort

  • Snort のシャットダウンに時間がかかったり、VM が全体的に遅くなったりといった異常な動作が見られる場合や、特定のプロセスが実行されるときには、Threat Defense Virtual および VM ホストからログを収集します。全体的な CPU 使用率、メモリ、I/O 使用率、および読み取り/書き込み速度のログの収集は、問題のトラブルシューティングに役立ちます。

  • Snort のシャットダウン時には、CPU と I/O の使用率が高くなります。十分なメモリがなく、専用の CPU がない単一のホスト上に多数の Threat Defense Virtual インスタンスが作成されている場合は、Snort のシャットダウンに時間がかかって Snort コアが作成されます。

サポートされない機能

  • Nutanix AHV 上の Threat Defense Virtual は、インターフェイスのホットプラグをサポートしていません。Threat Defense Virtual の電源が入っているときに、インターフェイスの追加や削除を試みないでください。

  • Nutanix AHV は SR-IOV および DPDK-OVS をサポートしていません。


    (注)  


    Nutanix AHV は、VirtIO を使用したゲスト内 DPDK をサポートします。詳細については、「AHV での DPDK サポート」を参照してください。


一般的なガイドライン

  • ブートするには 2 つの管理インターフェイスと 2 つのデータ インターフェイスが必要合計 11 個のインターフェイスをサポート。


    (注)  


    • Threat Defense Virtual のデフォルト設定では、管理インターフェイス、診断インターフェイス、および内部インターフェイスは同じサブネットに配置されます。

    • ネットワーク インターフェイスを変更するときは、Threat Defense Virtual デバイスをオフにする必要があります。


  • Threat Defense Virtual のデフォルト設定では、管理インターフェイス(管理と診断)および内部インターフェイスが同じサブネット上にあり、管理アドレスはインターネットへのゲートウェイとして内部アドレスを使用すると仮定します(外部インターフェイス経由)。

  • Threat Defense Virtual は、少なくとも 4 つのインターフェイスを備え、firstboot で電源がオンになる必要があります。4 つのインターフェイスがなければ展開は実行されません。

  • Threat Defense Virtual では、合計で 11 個のインターフェイスをサポートします(管理インターフェイス X 1 個、診断インターフェイス X 1 個、データトラフィック用ネットワーク インターフェイス X 最大 9 個)。ネットワークへのインターフェイスの割り当ては、次の順番であることが必要です。

    1. 管理インターフェイス(必須)

    2. 診断インターフェイス(必須)

    3. 外部インターフェイス(必須)

    4. 内部インターフェイス(必須)

    5. 5 ~ 11 個のデータインターフェイス(オプション)


    (注)  


    Threat Defense Virtual 向けネットワークのデータインターフェイスの最小数は 3 つです。


  • コンソールアクセスの場合、ターミナルサーバーは telnet を介してサポートされます。

  • サポートされている vCPU とメモリのパラメータは次のとおりです。

    CPU

    メモリ

    Threat Defense Virtual プラットフォームのサイズ

    4

    8 GB

    4vCPU/8GB(デフォルト)

    8

    16 GB

    8vCPU/16GB

    12

    24 GB

    12 vCPU/24 GB

    16

    32 GB

    16vCPU/32GB

  • Threat Defense Virtual インターフェイスのネットワークアダプタ、送信元ネットワーク、宛先ネットワークに関する以下の用語索引を参照してください。

    ネットワーク アダプタ

    送信元ネットワーク

    宛先ネットワーク

    機能

    vnic0*

    Management0-0

    Management0/0

    管理

    vnic1

    診断

    診断

    診断

    vnic2*

    GigabitEthernet0-0

    GigabitEthernet 0/0

    外部

    vnic3*

    GigabitEthernet0-1

    GigabitEthernet 0/1

    内部

    * 同じサブネットに接続します。

関連資料

Secure Firewall Threat Defense Virtual デバイスの管理方法

次を使用して Secure Firewall Threat Defense Virtual デバイスを管理できます。

Secure Firewall Management Center

多数のデバイスを管理している場合、または Threat Defense で許可される、より複雑な機能や設定を使用したい場合は、Management Center を使用してデバイスを設定します。

Nutanix に Threat Defense Virtual を展開する方法

手順

タスク

詳細情報

1

前提条件を確認します。 Nutanix に展開するための前提条件

2

Threat Defense Virtual qcow2 ファイルを Nutanix 環境にアップロードします。 Threat Defense Virtual QCOW2 ファイルを Nutanix にアップロード

3

(オプション)仮想マシンの展開時に適用される初期設定データを含む第 0 日の構成ファイルを準備します。 第 0 日のコンフィギュレーション ファイルの準備

4

Threat Defense Virtual を Nutanix 環境に展開します。

Threat Defense Virtual の導入

5

(任意)Threat Defense Virtual のセットアップに Day 0 の構成ファイルを使用しなかった場合は、CLI にログインして、セットアップを完了します。

Threat Defense Virtual のセットアップの完了

Threat Defense Virtual QCOW2 ファイルを Nutanix にアップロード

Threat Defense Virtual を Nutanix 環境に展開するには、Prism Web コンソールで Threat Defense Virtual qcow2 ディスクファイルからイメージを作成する必要があります。

始める前に

Cisco.com から Threat Defense Virtual qcow2 ディスクファイルをダウンロードします(https://software.cisco.com/download/navigator.html)。

手順


ステップ 1

Nutanix Prism Web コンソールにログインします。

ステップ 2

歯車アイコンをクリックして [設定(Settings)] ページを開きます。

ステップ 3

左側のペインで [イメージの設定(Image Configuration)] をクリックします。

ステップ 4

[Upload Image] をクリックします。

ステップ 5

イメージを作成します。

  1. イメージの名前を入力します。

  2. [イメージタイプ(Image Type)] ドロップダウンリストから、[ディスク(DISK)] を選択します。

  3. [ストレージコンテナ(Storage Container)] ドロップダウンリストから、目的のコンテナを選択します。

  4. Threat Defense Virtual qcow2 ディスクファイルの場所を指定します。

    URL を指定して Web サーバーからファイルをインポートすることも、ワークステーションからファイルをアップロードすることもできます。

  5. [保存(Save)] をクリックします。

ステップ 6

[イメージの設定(Image Configuration)] ページに新しいイメージが表示されるまで待ちます。


第 0 日のコンフィギュレーション ファイルの準備

Threat Defense Virtual を展開する前に、Day 0 の構成ファイルを準備できます。このファイルは、仮想マシンの導入時に適用される初期設定データを含むテキスト ファイルです。

次の点を考慮してください。

  • 導入時に Day 0 の構成ファイルを使用すると、導入プロセスで Threat Defense Virtual アプライアンスの初期設定をすべて実行できます。

  • 導入時に Day 0 の構成ファイルを使用しない場合は、起動後にシステムの必須設定を指定する必要があります。詳細については、「Threat Defense Virtual のセットアップの完了」を参照してください。

次を指定することができます。

  • エンド ユーザー ライセンス契約書(EULA)の承認。

  • システムのホスト名。

  • 管理者アカウントの新しい管理者パスワード。

  • 最初のファイアウォール モード。最初のファイアウォール モード(ルーテッドまたはトランスペアレント)を設定します。

    ローカルの Device Manager を使用して展開を管理する予定の場合は、ファイアウォールモードにルーテッドのみ設定できます。Device Manager を使用してトランスペアレント ファイアウォール モードのインターフェイスは設定できません。

  • 管理モード。Secure Firewall Threat Defense Virtual デバイスの管理方法を参照してください。

    Management Center フィールド([FmcIp]、[FmcRegKey]、[FmcNatId])に情報を入力します。

  • アプライアンスが管理ネットワークで通信することを許可するネットワーク設定。

手順


ステップ 1

任意のテキストエディタを使用して、新しいテキストファイルを作成します。

ステップ 2

次の例に示すように、テキストファイルに構成の詳細を入力します。

例:

#Firepower Threat Defense
{
    "EULA": "accept",
    "Hostname": "ftdv-production",
    "AdminPassword": "Admin123",
    "FirewallMode": "routed",
    "DNS1": "1.1.1.1",
    "DNS2": "1.1.1.2",
    "DNS3": "",
    "IPv4Mode": "manual",
    "IPv4Addr": "10.12.129.44",
    "IPv4Mask": "255.255.0.0",
    "IPv4Gw": "10.12.0.1",
    "IPv6Mode": "disabled",
    "IPv6Addr": "",
    "IPv6Mask": "",
    "IPv6Gw": "", 
    "FmcIp": "",
    "FmcRegKey": "",
    "FmcNatId": "",
    "ManageLocally":"No"
}

(注)  

 

第 0 日の構成ファイルの内容は、JSON 形式である必要があります。JSON 検証ツールを使用してテキストを検証する必要があります。

ステップ 3

ファイルを「day0-config.txt」として保存します。

ステップ 4

ステップ 1 ~ 3 を繰り返して、展開する Threat Defense Virtual ごとに一意のデフォルト構成ファイルを作成します。


Threat Defense Virtual の導入

始める前に

展開する Threat Defense Virtual のイメージが [イメージの設定(Image Configuration)] ページに表示されていることを確認します。

手順


ステップ 1

Nutanix Prism Web コンソールにログインします。

ステップ 2

メインメニューバーで、表示ドロップダウンリストをクリックし、[VM] を選択します。

ステップ 3

VM ダッシュボードで、[VMの作成(Create VM)] をクリックします。

ステップ 4

次の手順を実行します。

  1. Threat Defense Virtual インスタンスの名前を入力します。

  2. 必要に応じて、Threat Defense Virtual インスタンスの説明を入力します。

  3. Threat Defense Virtual インスタンスで使用するタイムゾーンを選択します。

ステップ 5

コンピューティングの詳細を入力します。

  1. Threat Defense Virtual インスタンスに割り当てる仮想 CPU の数を入力します。

  2. 各仮想 CPU に割り当てる必要があるコアの数を入力します。

  3. Threat Defense Virtual インスタンスに割り当てるメモリの量(GB)を入力します。

ステップ 6

Threat Defense Virtual インスタンスにディスクを接続します。

  1. [ディスク(Disks)] で、[新しいディスクの追加(Add New Disk)] をクリックします。

  2. [タイプ(Type)] ドロップダウンリストから、[ディスク(DISK)] を選択します。

  3. [操作(Operation)] ドロップダウンリストから、[イメージサービスから複製(Clone from Image Service)] を選択します。

  4. [バスタイプ(Bus Type)] ドロップダウンリストから、[PCI] または [SCSI] を選択します。

  5. [イメージ(Image)] ドロップダウンリストから、使用するイメージを選択します。

  6. [追加(Add)] をクリックします。

ステップ 7

少なくとも 4 つの仮想ネットワーク インターフェイスを設定します。

[ネットワークアダプタ(NIC)(Network Adapters (NIC))] で、[新しいNIC の追加(Add New NIC)] をクリックし、ネットワークを選択して、[追加(Add)] をクリックします。

このプロセスを繰り返して、ネットワーク インターフェイスをさらに追加します。

Nutanix 上の Threat Defense Virtual は、合計で 11 個のインターフェイスをサポートします(管理インターフェイス X 1 個、診断インターフェイス X 1 個、データトラフィック用ネットワーク インターフェイス X 最大 9 個)。ネットワークへのインターフェイスの割り当ては、次の順番であることが必要です。

  • vnic0:管理インターフェイス(必須)

  • vnic1:診断インターフェイス(必須)

  • vnic2:外部インターフェイス(必須)

  • vnic3:内部インターフェイス(必須)

  • vnic4 ~ 10:データインターフェイス(オプション)

ステップ 8

Threat Defense Virtual のアフィニティポリシーを設定します。

[VMホストアフィニティ(VM Host Affinity)] で、[アフィニティの設定(Set Affinity)] をクリックし、ホストを選択して、[保存(Save)] をクリックします。

ノードに障害が発生した場合でも Threat Defense Virtual を実行できるようにするには、1 つ以上のホストを選択します。

ステップ 9

第 0 日の構成ファイルを準備済みの場合は、次の手順を実行します。

  1. [カスタムスクリプト(Custom Script)] を選択します。

  2. [ファイルをアップロード(Upload A File)] をクリックし、第 0 日の構成ファイル(day0-config.txt)を選択します。

(注)  

 

他のすべてのカスタム スクリプト オプションは、このリリースではサポートされていません。

ステップ 10

[保存(Save)] をクリックして、Threat Defense Virtual を展開します。VM テーブルビューに Threat Defense Virtual インスタンスが表示されます。

ステップ 11

VM テーブルビューで、新しく作成した Threat Defense Virtual インスタンスを選択し、[電源オン(Power On)] をクリックします。


次のタスク

  • Day 0 構成ファイルを使用して Threat Defense Virtual をセットアップした場合、次の手順は選択した管理モードによって異なります。

  • Threat Defense Virtual のセットアップに Day 0 の構成ファイルを使用しなかった場合は、CLI にログインして、Threat Defense Virtual のセットアップを完了します。この説明については、Threat Defense Virtual のセットアップの完了 を参照してください。

Threat Defense Virtual のセットアップの完了

Threat Defense Virtual アプライアンスには Web インターフェイスがないため、 Day 0 の構成ファイルを使用せずに導入した場合には、CLI を使用して仮想デバイスを設定する必要があります。

手順


ステップ 1

Threat Defense Virtual でコンソールを開きます。

ステップ 2

[firepower ログイン(firepower login)] プロンプトで、ユーザー名 admin とパスワード Admin123 のデフォルトのクレデンシャルでログインします。

ステップ 3

Threat Defense Virtual システムが起動すると、セットアップウィザードでシステムの設定に必要な次の情報の入力が求められます。

  • 使用許諾契約の同意

  • 新しい管理者パスワード

  • IPv4 または IPv6 の構成

  • IPv4 または IPv6 の DHCP 設定

  • 管理ポートの IPv4 アドレスとサブネットマスク、または IPv6 アドレスとプレフィックス

  • システム名

  • デフォルトゲートウェイ

  • DNS セットアップ

  • HTTP プロキシ

  • 管理モード

ステップ 4

セットアップウィザードの設定を確認します。デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。

ステップ 5

プロンプトに従ってシステム設定を行います。

ステップ 6

コンソールが # プロンプトに戻るときに、設定が正常に行われたことを確認します。

ステップ 7

CLI を閉じます。


次のタスク

次の手順は、選択した管理モードによって異なります。

管理オプションの選択方法の概要については、「Secure Firewall Threat Defense Virtual デバイスの管理方法」を参照してください。