ポスチャ サービス
ポスチャは、Cisco Identity Services Engine(ISE)のサービスです。ポスチャを使用すると、ネットワークに接続されているすべてのエンドポイントの企業セキュリティ ポリシーとのコンプライアンスに関するステート(ポスチャとも呼ばれる)をチェックできます。これにより、ネットワークの防護領域にアクセスするクライアントを制御できます。
クライアントは、エンドポイントの AnyConnect ISE ポスチャ エージェントまたはネットワーク アドミッション コントロール(NAC)を介してポスチャ サービスと相互作用して、セキュリティ ポリシーを適用し、コンプライアンスを満たし、エンドポイントから保護されたネットワークへのアクセスを可能にします。クライアント プロビジョニングは、エンドポイントが適切なポスチャ エージェントを受信できるようにします。
Cisco ISE の ISE ポスチャ エージェントでは、ネイティブ サプリカントを使用する場合は Windows のユーザの簡易切り替え機能がサポートされません。これは、古いユーザの切断が明確にならないためです。新しいユーザが送信されると、古いユーザのプロセスとセッション ID がエージェントによってハングされるため、新しいポスチャ セッションを実行できません。Microsoft のセキュリティ ポリシーに従い、ユーザの簡易切り替え機能を無効にすることを推奨します。
Configure ISE 2.1 and AnyConnect 4.3 Posture USB Check How To Configure Posture with AnyConnect Compliance Module and ISE 2.0 |
ポスチャ サービスのコンポーネント
Cisco ISE ポスチャ サービスには、主にポスチャ管理サービスとポスチャ ランタイム サービスが含まれます。
ポスチャ管理サービス
Cisco ISE に APeX ライセンスをインストールしていない場合、ポスチャ管理サービス オプションは管理者ポータルから使用できません。
管理サービスは、ポスチャ サービス用に設定された要件および許可ポリシーに関連付けられた、ポスチャ固有のカスタム条件および修復アクションに対するバックエンド サポートを提供します。
ポスチャ ランタイム サービス
ポスチャ ランタイム サービスでは、ポスチャ評価およびクライアントの修復のためにクライアント エージェントと Cisco ISE サーバの間で実行されるすべての相互作用をカプセル化します。
ポスチャ ランタイム サービスは検出フェーズから開始します。エンドポイント セッションは、エンドポイントが 802.1x 認証に成功した後に作成されます。クライアント エージェントは、次の順序で各種の方式によって検出パケットを送信して Cisco ISE ノードへの接続を試行します。
- HTTP 経由で Cisco ISE サーバのポート 80 へ(設定されている場合)
- HTTPS 経由で Cisco ISE サーバのポート 8905 へ(設定されている場合)
- HTTP 経由でデフォルト ゲートウェイのポート 80 へ
- HTTPS 経由でポート 8905 からそれぞれ前にアクセスしたサーバへ
- HTTP 経由で enroll.cisco.com のポート 80 へ
ポスチャ フェーズは、利用規定(存在する場合)が受け入れられると開始されます。Cisco ISE ノードはクライアント エージェントにポスチャ ドメインのポスチャ トークンを発行します。ポスチャ トークンにより、エンドポイントではポスチャ プロセスを再度実行せずにネットワークに再接続できます。これには、エージェント GUID、利用規定のステータス、エンドポイントのオペレーティング システム情報などの情報が含まれています。
ポスチャ フェーズで使用されるメッセージは、NEA PB/PA 形式(RFC5792)です。
ポスチャおよびクライアント プロビジョニング ポリシー ワークフロー
ポスチャ サービス ライセンス
Cisco ISE は、Base ライセンス、Plus ライセンス、APeX ライセンスの 3 種類のライセンスを提供します。プライマリ PAN で APeX ライセンスをインストールしないと、ポスチャ要求は Cisco ISE で実行されません。Cisco ISE のポスチャ サービスは、1 つのノードまたは複数のノードで実行できます。
ポスチャ サービス展開
Cisco ISE は、スタンドアロン環境(単一ノード)または分散環境(複数ノード)に展開できます。
スタンドアロン Cisco ISE 展開では、単一のノードをすべての管理サービス、モニタリングとトラブルシューティング サービス、およびポリシー実行時サービスに設定できます。
分散 Cisco ISE 展開では、各ノードを、管理サービス、モニタリングとトラブルシューティング サービス、およびポリシー実行時サービスの Cisco ISE ノードとして設定できます。管理サービスを実行しているノードは、Cisco ISE 展開内のプライマリ ノードです。他のサービスを実行している他のノードは、互いのバックアップ サービス用に設定できるセカンダリ ノードです。
Cisco ISE でのポスチャ セッション サービスの有効化
始める前に
- クライアントから受信したすべてのポスチャ要求に対応するには、Cisco ISE でセッション サービスを有効にし、拡張ライセンス パッケージをインストールする必要があります。
-
分散展開に複数のノードを登録している場合は、登録したすべてのノードがプライマリ ノードとは別に [展開ノード(Deployment Nodes)] ページに表示されます。各ノードを Cisco ISE ノード(管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナ)として設定できます。
-
ポスチャ サービスは、ポリシー サービス ペルソナを担当する Cisco ISE ノードでのみ実行され、分散展開で管理ペルソナとモニタリング ペルソナを担当する Cisco ISE ノードでは実行されません。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[展開ノード(Deployment Nodes)] ウィンドウから Cisco ISE ノードを選択します。 |
ステップ 3 |
[編集(Edit)] をクリックします。 |
ステップ 4 |
[全般設定(General Settings)] タブで [ポリシーサービス(Policy Service)] チェックボックスをオンにします。 [ポリシー サービス(Policy Service)] チェックボックスがオフになっている場合は、セッション サービスとプロファイリング サービスの両方のチェックボックスが無効になります。 |
ステップ 5 |
ポリシー サービス ペルソナでネットワーク アクセス、ポスチャ、ゲスト、およびクライアント プロビジョニングのセッション サービスを実行するには、[セッション サービスの有効化(Enable Session Services)] チェックボックスをオンにします。セッション サービスを停止するには、このチェックボックスをオフにします。 |
ステップ 6 |
[保存(Save)] をクリックします。 |
ポスチャ評価レポートの実行
ポスチャの詳細な評価を実行して、ポスチャ評価中に使用されるポスチャ ポリシーに対するクライアントのコンプライアンスの詳細なステータスを生成できます。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[時間範囲(Time Range)] ドロップダウン リストから特定の期間を選択します。 |
ステップ 3 |
[実行(Run)] をクリックして、選択した期間中にアクティブだったすべてのエンド ポイントの概要を表示します。 |