クラウド提供型 Firewall Management Center を使用した Secure Firewall Threat Defense Virtual の管理

この章では、クラウド提供型 Firewall Management Center を使用して管理される Threat Defense Virtual デバイスを展開する方法について説明します。

導入準備の概要

クラウド提供型 Firewall Management Center は、Cisco Secure Firewall バージョン 7.0.3、7.2.0 以降を実行している Threat Defense Virtual デバイスでサポートされています。サポートされているすべてのバージョンと製品の互換性を確認するには、『Cisco Secure Firewall Threat Defense Compatibility Guide』を参照してください。

クラウド提供型 Firewall Management Center に Threat Defense Virtual デバイスをオンボーディングするシナリオには、次の 3 種類があります。

  • 新しい Threat Defense Virtual デバイスのオンボーディング。

  • 現在 Device Manager によって管理されている Threat Defense Virtual デバイスのオンボーディング。


    (注)  

    Device Manager によって管理されるデバイスを クラウド提供型 Firewall Management Center にオンボードすると、そのデバイスを Device Manager で管理できなくなります。

  • 現在オンプレミス Management Center によって管理されている Threat Defense Virtual デバイスのオンボーディング。詳細については、「Migrate Secure Firewall Threat Defense to Cloud」を参照してください。


    (注)  

    デバイスをクラウド提供型 Firewall Management Center に移動または移行すると、次のシナリオが発生します。

    • クラウド提供型 Firewall Management Center にオンボードするためにオンプレミス Management Center または Cisco Secure Firewall Threat Defense Device Manager からデバイスを削除すると、マネージャの変更により、オンプレミス Management Center を介して設定されたポリシーがすべて消去されます。

    • オンプレミス Management Center から クラウド提供型 Firewall Management Center にデバイスを移行する場合、そのデバイスは、以前に設定されたポリシーの大部分を保持します。

    デバイスが別のマネージャによってすでに管理されているかどうかがわからない場合は、CLI で show managers コマンドを使用します。

このガイドでは、クラウド提供型 Firewall Management Center を使用した Threat Defense Virtual の管理の基本について説明します。Security Cloud Controlの詳細については、Cisco Security Cloud Controlを参照してください。

デバイスを クラウド提供型 Firewall Management Center にオンボーディングするための前提条件

オンボーディングの制限事項および要件

クラウド提供型 Firewall Management Center にデバイスをオンボーディングするときは、次の制限事項に注意してください。

  • デバイスは、バージョン 7.0.3 またはバージョン 7.2 以降を実行している必要があります。バージョン 7.2 以降を強くお勧めします。

  • オンプレミス Firewall Management Center によって管理されている HA ペアを移行するには、「Migrate FTD to Cloud-Delivered Firewall Management Center」のプロセスに従います。移行する前に、両方のピアが正常な状態であることを確認します。

  • ローカル管理用に設定され、Device Manager によって管理されるデバイスのみが、シリアル番号と ゼロタッチプロビジョニング の方法でオンボーディングできます。

  • デバイスがオンプレミス Management Center によって管理されている場合、デバイスをクラウド提供型 Firewall Management Center に導入準備するか、デバイスを移行することができます。移行すると、既存のポリシーとオブジェクトが保持されますが、デバイスをオンボーディングすると、ほとんどのポリシーとすべてのオブジェクトが削除されます。詳細については、「Migrate FTD to Cloud-Delivered Firewall Management Center」を参照してください。

  • デバイスが現在 Device Manager によって管理されている場合は、デバイスを導入準備する前に、すべてのスマートライセンスを登録解除します。デバイス管理を切り替えても、Cisco Smart Software Manager はスマートライセンスを保持します。

  • 以前に Device Manager によって管理されていたデバイスをオンボーディングし、クラウド管理のために再度オンボーディングする目的でそのデバイスを Security Cloud Control から削除した場合は、デバイスを削除した後に、必ず Security Services Exchange クラウドに Device Manager を登録してください。『Firepower and Cisco SecureX Threat Response Integration Guide』の「Access Security Services Exchange」の章を参照してください。


ヒント

デバイスをクラウド提供型 Firewall Management Center に導入準備すると、以前のマネージャで構成されたポリシーとほとんどのオブジェクトが削除されます。デバイスが現在オンプレミス Management Center によって管理されている場合、デバイスを移行して、ポリシーとオブジェクトを保持することができます。詳細については、「Migrate FTD to Cloud-Delivered Firewall Management Center」を参照してください。

ネットワークの要件

デバイスを導入準備する前に、次のポートに外部および発信アクセスがあることを確認してください。デバイスの次のポートが許可されていることを確認します。通信ポートがファイアウォールの背後でブロックされている場合、デバイスの導入準備が失敗する可能性があります。


(注)  

Security Cloud Control UI ではこれらのポートを構成できません。デバイスの SSH を介してこれらのポートを有効にする必要があります。

表 1. デバイスのポート要件

[ポート(Port)]

 プロトコル/機能

詳細

443/tcp

HTTPS

インターネットからデータを送受信します。

443

HTTPS

AMP クラウドとの通信(パブリックまたはプライベート)

8305/tcp

アプライアンス通信

展開におけるアプライアンス間で安全に通信します。

管理インターフェイスとデータインターフェイス

デバイスが管理インターフェイスまたはデータインターフェイスで正しく設定されていることを確認します。

Security Cloud Control テナントの作成

新しい Security Cloud Control テナントをプロビジョニングして、デバイスをオンボーディングおよび管理できます。オンプレミス Firewall Management Center バージョン 7.2 以降を使用していて、Cisco Security Cloud と統合する場合は、統合ワークフローの一部として Security Cloud Control テナントを作成することもできます。

手順

  1. https://us.manage.security.cisco.com/provisionに進みます。

  2. Security Cloud Control テナントをプロビジョニングするリージョンを選択して、[サインアップ(Sign Up)] をクリックします。

  3. [Security Cloud Sign On] ページで、ログイン情報を入力します。

  4. Security Cloud Sign On アカウントをお持ちでなく、作成する場合は、[今すぐサインアップ(Sign up now)] をクリックします。

    1. アカウントを作成するための情報を入力します。

      次にいくつかのヒントを示します。

      • [電子メール(Email)]:Security Cloud Control へのログインに最終的に使用する電子メールアドレスを入力します。

      • [パスワード(Password)]:強力なパスワードを入力します。

    2. [サインイン(Sign up)] をクリックします。その後、登録したアドレスに確認メールが送信されます。

    3. E メールを開き、E メールと [Security Cloudサインオン(Security Cloud Sign On)] ページの両方で [アカウントのアクティブ化(Activate account)] をクリックします。

    4. 任意のデバイスで Duo を使用して多要素認証を設定し、[Duo でログイン(Log in with Duo)] と [終了(Finish)] をクリックします。


      (注)  

      Duo Security アプリケーションを携帯電話にインストールすることをお勧めします。Duo のインストールについてご質問がある場合は、『Duo Guide to Two Factor Authentication:Enrollment Guide』を参照してください。

  5. テナントの名前を入力し、[新しいアカウントの作成(Create new account)] をクリックします。

  6. 選択したリージョンに新しい Security Cloud Control テナントが作成されます。また、作成中の Security Cloud Control テナントに関する詳細が記載された電子メールが届きます。すでに複数の Security Cloud Control テナントに関連付けられている場合は、[テナントの選択(Choose a tenant)] ページで、作成したテナントを選択してログインします。新しい Security Cloud Control テナントを初めて作成した場合は、そのテナントに直接ログインします。

CLI 登録キーを使用したデバイスの導入準備

以下の手順に従い、CLI 登録キーを使用してクラウド提供型 Firewall Management Center 用にデバイスを導入準備します。


(注)  

デバイスが現在オンプレミス Management Center によって管理されている場合、デバイスの導入準備は失敗します。オンプレミス Management Center からデバイスを削除し、ポリシーまたはオブジェクトのないフレッシュな新しいデバイスとして導入準備するか、デバイスを移行して既存のポリシーとオブジェクトを保持することができます。詳細については、「Migrate FTD to Cloud-Delivered Firewall Management Center」を参照してください。

始める前に

デバイスを導入準備する前に、次のタスクを完了してください。

  • クラウド提供型 Firewall Management Center がテナントに対して有効になっています。

  • デバイスは、バージョン 7.0.3 またはバージョン 7.2.0 以降を実行している必要があります。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

左側のペインで、[セキュリティデバイス(Security Devices)]をクリックします。

ステップ 3

右上隅にある [オンボード(Onboard)]()をクリックします。

ステップ 4

[FTD] タイルをクリックします。

ステップ 5

[管理モード(Management Mode)] で、[FTD] が選択されていることを確認します。[管理モード(Management Mode)] で [FTD] を選択すると、以前の管理プラットフォームを使用しているデバイスを管理できなくなります。インターフェイス構成を除くすべての既存のポリシー設定はリセットされます。デバイスを導入準備した後、ポリシーを再設定する必要があります。

ステップ 6

オンボーディング方法として [CLI登録キーを使用(Use CLI Registration Key)] を選択します。

ステップ 7

[デバイス名] フィールドにデバイス名を入力して、[次へ] をクリックします。

ステップ 8

[ポリシーの割り当て(Policy Assignment)] ステップで、ドロップダウンメニューを使用して、デバイスのオンボーディング後に展開するアクセス コントロール ポリシーを選択します。ポリシーが設定されていない場合は、[デフォルトのアクセスコントロールポリシー] を選択します。

ステップ 9

オンボーディングするデバイスが物理デバイスか仮想デバイスかを指定します。仮想デバイスを導入準備している場合は、ドロップダウンメニューからデバイスのパフォーマンス階層を選択する必要があります。

ステップ 10

デバイスに適用するサブスクリプション ライセンスを選択します。[次へ(Next)] をクリックします。

ステップ 11

Security Cloud Control が登録キーを使用してコマンドを生成します。SSH を使用して導入準備するデバイスに接続します。「admin」または同等の管理者権限を持つユーザーとしてログインし、登録キー全体をそのままデバイスの CLI に貼り付けます。

注:Firepower 1000Firepower 2100ISA 3000、および Threat Defense Virtual デバイスの場合は、デバイスへの SSH 接続を開き、admin としてログインします。登録コマンド全体をコピーし、プロンプトでデバイスの CLI インターフェイスに貼り付けます。CLI で、「Y」と入力して登録を完了します。デバイスが以前 Device Manager によって管理されていた場合は、「Yes」と入力して送信を確認します。

ステップ 12

Security Cloud Control 導入準備ウィザードで [次へ] をクリックします。

ステップ 13

(オプション)[セキュリティデバイス(Security Devices)] ページの並べ替えとフィルタ処理に役立つラベルをデバイスに追加します。ラベルを入力し、青いプラスボタンを選択します。ラベルは、Security Cloud Control への導入準備後にデバイスに適用されます。

次のタスク

デバイスが同期されたら、[セキュリティデバイス(Security Devices)] ページから導入準備したばかりのデバイスを選択し、右側にある [デバイス管理(Device Management)] ペインに一覧表示されているオプションのいずれかを選択します。次のアクションの実行を強く推奨します。

  • まだ作成していない場合、カスタム アクセス コントロール ポリシーを作成して、環境のセキュリティをカスタマイズします。詳細については、『Managing Firewall Threat Defense with Cloud-Delivered Firewall Management Center in Security Cloud Control のファイアウォール』 の「Access Control Overview」を参照してください。

  • Cisco Security Analytics and Logging(SAL)を有効にして、Security Cloud Control ダッシュボードでイベントを表示します。またはセキュリティ分析のためにデバイスを Secure Firewall Management Center に登録します。詳細については、『Managing Firewall Threat Defense with Cloud-Delivered Firewall Management Center in Security Cloud Control のファイアウォール』の「Cisco Security Analytics and Logging」を参照してください。

基本的なセキュリティポリシーの設定

ここでは、次の設定を使用して基本的なセキュリティポリシーを設定する方法について説明します。

  • 内部インターフェイスと外部インターフェイス:内部インターフェイスにスタティック IP アドレスを割り当て、外部インターフェイスに DHCP を使用します。

  • DHCP サーバー:クライアントの内部インターフェイスで DHCP サーバーを使用します。

  • デフォルトルート:外部インターフェイスを介してデフォルトルートを追加します。

  • NAT:外部インターフェイスでインターフェイス PAT を使用します。

  • アクセスコントロール:内部から外部へのトラフィックを許可します。

手順

ステップ 1

インターフェイスの設定

ステップ 2

DHCP サーバーの設定

ステップ 3

デフォルトルートの追加

ステップ 4

NAT の設定

ステップ 5

アクセス制御の設定

ステップ 6

設定の展開

インターフェイスの設定

Threat Defense Virtual インターフェイスを有効にし、それらをセキュリティゾーンに割り当てて IP アドレスを設定します。通常は、システムで意味のあるトラフィックを通過させるように、少なくとも 2 つのインターフェイスを設定する必要があります。通常は、アップストリームルータまたはインターネットに面した外部インターフェイスと、組織のネットワークの 1 つ以上の内部インターフェイスを使用します。これらのインターフェイスの一部は、Web サーバーなどのパブリックアクセスが可能なアセットを配置する「緩衝地帯」(DMZ)となる場合があります。

一般的なエッジルーティングの状況は、内部インターフェイスでスタティックアドレスを定義すると同時に、ISP から DHCP を介して外部インターフェイスアドレスを取得することです。

次の例では、DHCP によるスタティックアドレスとルーテッドモードの外部インターフェイスを使用して、ルーテッドモードの内部インターフェイスを設定します。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択し、デバイス[編集(Edit)]編集アイコンをクリックします。

ステップ 2

[インターフェイス(Interfaces)] をクリックします。

ステップ 3

「内部」に使用するインターフェイス[編集(Edit)]編集アイコンをクリックします。

[全般(General)] タブが表示されます。

  1. 48 文字までの [名前(Name)] を入力します。

    たとえば、インターフェイスに inside という名前を付けます。

  2. [有効(Enabled)] チェックボックスをオンにします。

  3. [モード(Mode)] は [なし(None)] に設定したままにします。

  4. [セキュリティゾーン(Security Zone)] ドロップダウンリストから既存の内部セキュリティゾーンを選択するか、[新規(New)] をクリックして新しいセキュリティゾーンを追加します。

    たとえば、inside_zone という名前のゾーンを追加します。各インターフェイスは、セキュリティゾーンおよびインターフェイスグループに割り当てる必要があります。インターフェイスは、1 つのセキュリティゾーンにのみ属することも、複数のインターフェイスグループに属することもできます。ゾーンまたはグループに基づいてセキュリティポリシーを適用します。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。この場合、トラフィックが内部から外部に移動できるようにアクセス コントロール ポリシーを設定することはできますが、外部から内部に向けては設定できません。ほとんどのポリシーはセキュリティゾーンのみサポートしています。NAT ポリシー、プレフィルタ ポリシー、および QoS ポリシーで、ゾーンまたはインターフェイスグループを使用できます。

  5. [IPv4] タブ、または [IPv6] タブ、または両方のタブをクリックします。

    • [IPv4]:ドロップダウンリストから [スタティックIPを使用する(Use Static IP)] を選択し、IP アドレスとサブネットマスクをスラッシュ表記または DHCP オプションで入力します。

      たとえば、192.168.1.1/24 などと入力します。

    • [IPv6]:ステートレス自動設定を使用し、かつインターフェイスを有効にするために IPv6 DHCP または静的設定を使用する場合は、[自動設定(Autoconfiguration)] チェックボックスをオンにします。

  6. [OK] をクリックします。

ステップ 4

「外部」に使用するインターフェイス[編集(Edit)]編集アイコンをクリックします。

[全般(General)] タブが表示されます。

  1. 48 文字までの [名前(Name)] を入力します。

    たとえば、インターフェイスに「outside」という名前を付けます。

  2. [有効(Enabled)] チェックボックスをオンにします。

  3. [モード(Mode)] は [なし(None)] に設定したままにします。

  4. [セキュリティゾーン(Security Zone)] ドロップダウンリストから既存の外部セキュリティゾーンを選択するか、[新規(New)] をクリックして新しいセキュリティゾーンを追加します。

    たとえば、「outside_zone」という名前のゾーンを追加します。

  5. [IPv4] タブ、または [IPv6] タブ、または両方のタブをクリックします。

    • [IPv4]:[DHCPの使用(Use DHCP)] を選択し、次のオプションのパラメータを設定します。

      • [DHCP を使用してデフォルト ルートを取得(Obtain default route using DHCP)]:DHCP サーバーからデフォルト ルートを取得します。

      • [DHCPルートメトリック(DHCP route metric)]:アドミニストレーティブ ディスタンスを学習したルートに割り当てます(1 ~ 255)。学習したルートのデフォルトのアドミニストレーティブ ディスタンスは 1 です。

    • [IPv6]:ステートレス自動設定の場合は [自動設定(Autoconfiguration)] チェックボックスをオンにします。

  6. [OK] をクリックします。

ステップ 5

[保存(Save)] をクリックします。

DHCP サーバーの設定


(注)  

AWS、Azure、GCP、OCI などのパブリッククラウド環境に展開する場合は、この手順をスキップします。

クライアントで DHCP を使用して Threat Defense Virtual から IP アドレスを取得するようにする場合は、DHCP サーバーを有効にします。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択し、デバイス[編集(Edit)]編集アイコンをクリックします。

ステップ 2

[DHCP] > [DHCPサーバー(DHCP Server)] を選択します。

ステップ 3

[サーバー(Server)] ページで、[追加(Add)] をクリックして、次のオプションを設定します。

  • [インターフェイス(Interface)]:ドロップダウンリストからインターフェイスを選択します。

  • [アドレスプール(Address Pool)]:DHCP サーバーが使用する IP アドレスの最下位から最上位の間の範囲を設定します。IP アドレスの範囲は、選択したインターフェイスと同じサブネット上に存在する必要があり、インターフェイス自身の IP アドレスを含めることはできません。

  • [DHCPサーバーを有効にする(Enable DHCP Server)]:選択したインターフェイスの DHCP サーバーを有効にします。

ステップ 4

[OK] をクリックします。

ステップ 5

[保存(Save)] をクリックします。

デフォルトルートの追加

デフォルトルートは通常、外部インターフェイスから到達可能なアップストリームルータを指し示します。外部インターフェイスに DHCP を使用する場合は、デバイスがすでにデフォルトルートを受信している可能性があります。手動でルートを追加する必要がある場合は、次の手順を実行します。DHCP サーバーからデフォルトルートを受信した場合は、 [デバイス(Devices)] > [デバイス管理(Device Management)] > [ルーティング(Routing)] > [スタティックルート(Static Route)]ページの [IPv4ルート(IPv4 Routes)] または [IPv6ルート(IPv6 Routes)] テーブルに表示されます。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択し、デバイス[編集(Edit)]編集アイコンをクリックします。

ステップ 2

[ルーティング(Routing)] > [スタティックルート(Static route)] を選択し、[ルートを追加(Add route)] をクリックして、次のように設定します。

  • [タイプ(Type)]:追加するスタティックルートのタイプに応じて、[IPv4] または [IPv6] オプションボタンをクリックします。

  • [インターフェイス(Interface)]:出力インターフェイスを選択します。通常は外部インターフェイスです。

  • [使用可能なネットワーク(Available Network)]:IPv4 デフォルト ルートの場合は [any-ipv4]、IPv6 デフォルトルートの場合は [any-ipv6] を選択します。

  • [ゲートウェイ(Gateway)] または [IPv6ゲートウェイ(IPv6 Gateway)]:このルートのネクストホップであるゲートウェイルータを入力または選択します。IP アドレスまたはネットワーク/ホストオブジェクトを指定できます。

  • [メトリック(Metric)]:宛先ネットワークへのホップの数を入力します。有効値の範囲は 1 ~ 255 で、デフォルト値は 1 です。

ステップ 3

[OK] をクリックします。

ルートがスタティックルートテーブルに追加されます。

ステップ 4

[保存(Save)] をクリックします。

NAT の設定

一般的な NAT ルールでは、内部アドレスを外部インターフェイスの IP アドレスのポートに変換します。このタイプの NAT ルールのことをインターフェイス ポート アドレス変換(PAT)と呼びます。

手順

ステップ 1

[デバイス(Devices)] > [NAT] をクリックし、[新しいポリシー(New Policy)] > [Threat Defense NAT] をクリックします。

ステップ 2

ポリシーに名前を付け、ポリシーを使用するデバイスを選択し、[保存(Save)] をクリックします。

ポリシーが Management Center に追加されます。引き続き、ポリシーにルールを追加する必要があります。

ステップ 3

[ルールの追加(Add Rule)] をクリックします。

[NATルールの追加(Add NAT Rule)] ダイアログボックスが表示されます。

ステップ 4

基本ルールのオプションを設定します。

  • [NATルール(NAT Rule)]:[自動NATルール(Auto NAT Rule)] を選択します。

  • [タイプ(Type)]:[ダイナミック(Dynamic)] を選択します。

ステップ 5

[インターフェイスオブジェクト(Interface objects)] ページで、[使用可能なインターフェイスオブジェクト(Available Interface Objects)] 領域から [宛先インターフェイスオブジェクト(Destination Interface Objects)] 領域に外部ゾーンを追加します。

ステップ 6

[変換(Translation)] ページで、次のオプションを設定します。

  • [元の送信元(Original Source)]:をクリックして、すべての IPv4 トラフィック(0.0.0.0/0)のネットワークオブジェクトを追加します。

    (注)  

     

    自動 NAT ルールはオブジェクト定義の一部として NAT を追加するため、システム定義の any-ipv4 オブジェクトを使用することはできません。また、システム定義のオブジェクトを編集することはできません。

    同様に、すべての IPv6 トラフィックに対してデフォルトのホストネットワーク [::/0] を使用して NAT ポリシーを作成できます。

  • [変換済みの送信元(Translated Source)]:[宛先インターフェイスIP(Destination Interface IP)] を選択します。

ステップ 7

[保存(Save)] をクリックしてルールを追加します。

ルールが [ルール(Rules)] テーブルに保存されます。

ステップ 8

NAT ページで [保存(Save)] をクリックして変更を保存します。

アクセス制御の設定

Threat Defense VirtualManagement Center に登録したときに、基本の [すべてのトラフィックをブロック(Block all traffic)] アクセス コントロール ポリシーを作成した場合は、デバイスを通過するトラフィックを許可するためにポリシーにルールを追加する必要があります。次の手順では、内部ゾーンから外部ゾーンへのトラフィックを許可するルールを追加します。他にゾーンがある場合は、適切なネットワークへのトラフィックを許可するルールを追加してください。

より高度なセキュリティ設定とルールを設定する場合は、『Firewall Management Center Configuration Guide』のコンフィギュレーション ガイドを参照してください。

手順

ステップ 1

[ポリシー(Policy)] > [アクセスポリシー(Access Policy)] > [アクセスポリシー(Access Policy)]を選択し、Threat Defense に割り当てられているアクセス コントロール ポリシーの [編集(Edit)]編集アイコン をクリックします。

ステップ 2

[ルールを追加(Add Rule)] をクリックし、次のパラメータを設定します。

  • [名前(Name)]:このルールに名前を付けます(たとえば、inside_to_outside)。

  • [送信元ゾーン(Source Zones)]:[使用可能なゾーン(Available Zones)] から内部ゾーンを選択し、[送信元に追加(Add to Source)] をクリックします。

  • [宛先ゾーン(Destination Zones)]:[使用可能なゾーン(Available Zones)] から外部ゾーンを選択し、[宛先に追加(Add to Destination)] をクリックします。

他の設定はそのままにしておきます。

ステップ 3

[追加(Add)] をクリックします。

ルールが [ルール(Rules)] テーブルに追加されます。

ステップ 4

[保存(Save)] をクリックします。

設定の展開

設定の変更を Threat Defense Virtual に展開します。変更を展開するまでは、デバイス上でどの変更もアクティブになりません。

手順

ステップ 1

右上の [展開(Deploy)] をクリックします。

ステップ 2

[ポリシーの展開(Deploy Policies)] ダイアログボックスでデバイスを選択し、[展開(Deploy)] をクリックします。

ステップ 3

展開が成功したことを確認します。展開のステータスを表示するには、メニューバーの [展開(Deploy)] ボタンの右側にあるアイコンをクリックします。