Cisco ISE はポリシー ベースのネットワーク アクセス制御ソリューションで、ネットワーク アクセス、ゲスト、ポスチャ、クライアント プロビジョニング、プロファイラの各種サービスを提供します。Cisco ISE の設定時に、認証、許可、ゲスト、ポスチャ、およびプロファイラのポリシーを作成します。ポリシー条件は、ポリシーの基本的な構成要素です。ポリシー条件には、単純条件と複合条件の 2 種類のポリシー条件があります。
この章では、ポリシー条件と、Cisco ISE が提供するさまざまなサービス用にこれらを作成する方法について説明します。
Cisco ISE は、ネットワーク アクセス、プロファイラ、ポスチャ、ゲスト サービスを提供するために、ルールベースのポリシーを使用します。これらのルールベースのポリシーは、条件で構成されたルールで構成されます。Cisco ISE では、個別の再利用可能なポリシー要素として条件を作成でき、これらの条件は別のルールベースのポリシーから参照することが可能です。条件には次の 2 種類があります。
単純条件:単純条件は、オペランド(属性)、演算子(equal to、not equal to、greater than など)、および値で構成されています。単純条件を保存して、他のルールベースのポリシーで使用できます。
単純条件は、A オペランド B の形式をとります。ここで、A は Cisco ISE ディクショナリ内の任意の属性とすることができ、B は属性 A がとり得るいずれかの値とすることができます。デバイス タイプは、すべてのネットワーク デバイスの属性として使用され、値としてすべてのデバイス タイプを含めることができます。次の形式で、A Equals B を意味します。
複合条件:複合条件は、1 つ以上の単純条件で構成され、AND または OR 演算子で接続されます。複合条件は、単純条件に基づいて構成されます。複合条件を保存して、他のルールベースのポリシーで再利用できます。
通常、ポリシーはルールで構成され、各ルールは満たされるべき条件で構成され、この条件によって、ネットワーク リソースへのアクセスなどのアクションの実行が許可されます。ルールベースの条件は、ポリシーの基盤、つまり要求を評価するときに使用するルールのセットを形成します。
実行時に、Cisco ISE はポリシー条件を評価し、ポリシー評価が true または false 値のどちらを返すかに応じて、定義されている結果を適用します。
ポリシー条件の評価時に、Cisco ISE は属性と値を比較します。ポリシー条件で指定された属性に、要求内で割り当てられた値が含まれていない場合があります。このとき、比較に使用されている演算子が「not equal to」である場合、この条件は true と評価されます。その他の場合、この条件は false と評価されます。
たとえば、「Radius.Calling_Station_ID Not Equal to 1.1.1.1」という条件で RADIUS 要求に Calling Station ID が存在しない場合、この条件は true と評価されます。この評価は RADIUS ディクショナリに特有なものではなく、「Not Equal to」演算子の使用に起因して発生します。
プロファイラ条件はポリシー要素であり、他の条件とほとんど同じです。ただし、認証、許可、およびゲスト条件とは異なり、プロファイリング条件は限られた数の属性に基づいています。[プロファイラ条件(Profiler Conditions)] ページに Cisco ISE で使用できる属性とその説明が表示されます。
シスコ提供:Cisco ISE には展開時に事前定義されたプロファイリング条件が含まれており、[プロファイラ条件(Profiler Conditions)] ページでシスコ提供の条件として識別されます。シスコ提供のプロファイリング条件を削除することはできません。
[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [ディクショナリ(Dictionaries)] > [システム(System)] からアクセスできる場所にあるシステム プロファイラ ディクショナリにもシスコ提供条件があります。
たとえば、MAC ディクショナリです。一部の製品では、OUI(固有識別子情報)がデバイスの製造組織を識別するために最初に使用できる固有属性です。これはデバイスの MAC アドレスのコンポーネントです。MAC ディクショナリには、MACAddress および OUI 属性が含まれています。
管理者作成:ユーザが Cisco ISE の管理者として作成するプロファイラ条件、複製された事前定義済みのプロファイリング条件は管理者作成として識別されます。[プロファイラ条件(Profiler Conditions)] ページでプロファイラ ディクショナリを使用して、DHCP、MAC、SNMP、IP、RADIUS、NetFlow、CDP、LLDP、および NMAP タイプのプロファイラ条件を作成できます。
プロファイリング ポリシーの数の推奨上限は 1000 ですが、最高 2000 までプロファイリング ポリシーを拡張できます。
Cisco ISE のエンドポイント プロファイリング ポリシーを使用すると、ネットワーク上で検出されたエンドポイントを分類し、特定のエンドポイント ID グループに割り当てることができます。これらのエンドポイント プロファイリング ポリシーは、エンドポイントを分類し、グループ化するために Cisco ISE が評価するプロファイリング条件から構成されます。
ステップ 1 | を選択します。 |
ステップ 2 | エンドポイント プロファイリング ポリシーの設定の説明に従って、フィールドに値を入力します。 |
ステップ 3 | [送信(Submit)] をクリックして、プロファイラ条件を保存します。 |
ステップ 4 | さらに多くの条件を作成するには、この手順を繰り返します。 |
ポスチャ条件は次の単純条件のいずれかになります。ファイル、レジストリ、アプリケーション、サービス、またはディクショナリ条件。これらの単純条件のうちの 1 つ以上の条件によって複合条件が形成され、複合条件はポスチャ要件と関連付けることができます。
ネットワークに Cisco ISE を初めて展開する場合は、Web からポスチャ更新をダウンロードできます。このプロセスは、初期ポスチャ更新と呼ばれます。
初期ポスチャ更新の後、Cisco ISE はシスコ定義の単純および複合条件も作成します。シスコ定義の単純条件はプレフィクスとして pc_ が付けられ、複合条件はプレフィクスとして pr_ が付けられています。
ダイナミック ポスチャ更新の結果としてシスコ定義の条件を Web を介してダウンロードするように Cisco ISE を設定することもできます。シスコ定義のポスチャ条件を削除または編集することはできません。
ポスチャ ポリシーまたは他の複合条件で使用できる、ファイル、レジストリ、アプリケーション、サービス、およびディクショナリ単純条件を作成できます。
複合条件は、1 つ以上の単純条件、または複合条件で構成されます。ポスチャ ポリシーを定義する場合、次の複合条件を使用できます。
pr_AutoUpdateCheck_Rule はシスコによって事前定義された条件であり、[複合条件(Compound Conditions)] ページにダウンロードされます。この条件を使用すると、Windows クライアント上で自動アップデート機能が有効になっているかどうかを確認することができます。Windows クライアントがこの要件を満たさない場合、ネットワーク アクセス コントロール(NAC)エージェントによって、Windows クライアントの自動アップデート機能が強制的に有効になります(修復)。この修復後、Windows クライアントはポスチャ準拠になります。自動アップデート機能が Windows クライアント上で有効になっていない場合は、ポスチャ ポリシーで関連付けた Windows Update 修復で Windows 管理者設定を上書きします。
Cisco ISE の [AV 複合条件(AV Compound Condition)] および [AS 複合条件(AS Compound Condition)] ページには、アンチウイルスとアンチスパイウェアの事前設定済みの複合条件がロードされます。これらの条件は、Windows および Macintosh オペレーティング システムのアンチウイルスおよびアンチスパイウェア サポート表で定義されます。これらの複合条件では、指定されたアンチウイルスとアンチスパイウェア製品がすべてのクライアント上に存在するかどうかを確認できます。Cisco ISE で新しいアンチウイルスとアンチスパイウェアの複合条件を作成することもできます。
Cisco ISE は、各ベンダー製品の最新バージョンおよび定義ファイルの日付を提供するアンチウイルスとアンチスパイウェア サポート表を使用します。ユーザは頻繁にアンチウイルスとアンチスパイウェア サポート表をポーリングする必要があります。アンチウイルスとアンチスパイウェアのベンダーはアンチウイルスとアンチスパイウェア定義ファイルを頻繁に更新するため、各ベンダー製品の最新バージョンおよび定義ファイルの日付を検索します。
新しいアンチウイルスとアンチスパイウェアのベンダー、製品、リリースのサポートを反映するようにアンチウイルスとアンチスパイウェア サポート表が更新されるたびに、NAC Agent は新しいアンチウイルスとアンチスパイウェア ライブラリを受け取ります。これは、NAC Agent がより新しい追加機能をサポートするのに役立ちます。NAC Agent がこのサポート情報を取得すると、定期的に更新される se-checks.xml ファイル(se-templates.tar.gz アーカイブで se-rules.xml ファイルとともに公開される)で最新の定義情報をチェックし、クライアントがポスチャ ポリシーに準拠しているかどうかを決定します。特定のアンチウイルスまたはアンチスパイウェア製品のアンチウイルスとアンチスパイウェア ライブラリによってサポートされている機能に応じて、適切な要件が NAC Agent に送信され、ポスチャ検証中にクライアント上でそれらの存在、および特定のアンチウイルスおよびアンチスパイウェア製品のステータスが検証されます。
アンチウイルスとアンチスパイウェア サポート表は、Cisco.com で参照できます。
選択したベンダーのパッチ管理製品のステータスを確認するポリシーを作成できます。
![]() (注) |
エンド ポイントが指定されたデータ暗号化ソフトウェアに準拠しているかどうかを確認するポリシーを作成できます。
たとえば、C: ドライブがエンド ポイントで暗号化されているかどうかを確認する条件を作成できます。C: ドライブが暗号化されていない場合、エンド ポイントはコンプライアンス違反通知を受信し、ISE はメッセージをログに記録します。
次のタスクを実行するには、スーパー管理者またはポリシー管理者である必要があります。AnyConnect ISE ポスチャ エージェントを使用している場合にのみ、ポスチャ要件とディスク暗号化条件を関連付けることができます。
時刻と日付の条件によって、Cisco ISE システム リソースにアクセスするための権限を制限または拡張することができます。