変更管理

変更を展開する前の監査追跡や正式な承認など、設定変更に関してより正式なプロセスを実装する必要がある組織の場合は、変更管理を有効にできます。

変更管理について

一部の組織では、設定変更を展開するための正式な手順を実行する必要があります。これには多くの監査や、デバイスの設定変更の前に実行する必要がある正式な承認プロセスが含まれる場合があります。

組織が正式な設定変更プロセスを採用している場合は、変更管理を有効にしてプロセスを適用できます。変更管理では、管理者は設定を変更する前にチケットをオープンする必要があります。変更が完了したら、提案した変更を適用する前に、チケットを送信して承認を受ける必要があります。これにより、正式な承認プロセスを適用し、適切な従業員が最終決定を行うことができます。

変更管理を使用すると、管理者はチケット内の自分の変更を確認できますが、他のユーザーがチケット内で行った変更は確認できません。ユーザーがチケット内で変更を行うとポリシーがロックされるため、ユーザーが干渉する変更を行うことはできません。ただし、別のユーザーが変更を行い、承認保留中の間は、ユーザーは変更を加えることができません。

単一のチケットには論理的に関連するポリシー変更のみを追加するために、管理者は複数のチケットを作成できます。範囲が限定されたチケットは、容易に評価と承認が可能です。

次のトピックでは、変更管理ワークフローと、チケット発行および承認プロセスの対象となるポリシーとオブジェクトについて説明します。

変更管理ワークフローにデバイスを設定する方法

変更管理を有効にした場合、デバイスを設定したユーザーはアプローチを少し変更する必要があります。設定スペシャリストは、サポート対象のポリシーとオブジェクトの設定を変更するときに、以下のアプローチを取る必要があります。

手順


ステップ 1

チケットを作成します。

ステップ 2

チケットを開きます。

ステップ 3

設定を変更します。

オンラインヘルプとユーザーガイドで説明されている手順は、変更管理がアクティブではないことを前提としており、チケットを作成、オープン、または送信する手順を省略していることに注意してください。

ステップ 4

必要に応じてチケットをプレビューして検証し、変更が完全で正しいことを確認します。

ステップ 5

チケットを送信します。この時点で、承認者はチケットを承認または拒否できます。

  • チケットが承認されたら、変更を展開します。

  • チケットが拒否された場合は、問題に対処し、チケットを再送信します。


個別の承認者と設定ロールの作成

一部のシステム定義ロールには、チケットを変更(作成/オープン/破棄)およびレビュー(承認/拒否)する権限があります。

  • チケットの変更とレビューの両方を行うには:

    • 管理者

    • ネットワーク管理者

  • チケットの変更のみを行うには:

    • アクセス管理者

    • 侵入管理者

  • チケットのレビューのみを行うには:

    • セキュリティ承認者

組織の要件によりこれらのアクティビティを分離するより詳細なロールが必要な場合は、個別のロールを作成して、変更を承認する組織権限を持つユーザーにのみチケット承認が割り当てられるようにすることができます。新しいユーザーロールを作成するには、[システム(System)] > [ユーザー(Users)] に移動し、[ユーザーロール(User Roles)] タブを選択します。

チケットの使用と承認に関連する、[システム(System)] > [変更管理(Change Management)] フォルダの権限は次のとおりです。これらの権限は、変更管理を有効にした後にのみ使用できることに注意してください。

  • [チケットの変更(Modify Tickets)]:チケット(自分用)を作成し、設定変更用にチケットを使用し、チケットを破棄できます。

  • [チケットのレビュー(Review Tickets)]:チケットを承認または拒否できます。

  • [チケットの変更およびレビュー(Both Modify and Review Tickets)]:自分と他のユーザーのチケットを作成し、チケットを使用し、チケットを承認/拒否できます。

実行するアプローチは、優先する要件に応じて異なります。次に例を示します。

  • 承認者にも設定の変更を許可するには、単に管理者などのシステム定義のロールを承認者に割り当てるだけです。次に、同じ権限を含むものの、[チケットのレビュー(Review Tickets)] 権限を含まないカスタムの設定専用ロールを作成します。

  • 承認者と設定変更者を完全に分離する必要がある場合は、両方のカスタムロールを作成し、[チケットの変更(Modify Tickets)] または [チケットのレビュー(Review Tickets)] 権限のいずれかと、サポート対象のポリシーとオブジェクトを表示または変更するために必要なその他すべての権限にロールを制限します。

変更管理をサポートするポリシーとオブジェクト

ポリシーまたはオブジェクトが変更管理ワークフローをサポートしている場合、デバイスへのポリシーの割り当てを含むポリシーまたはオブジェクトの作成、編集、または削除は、オープンチケットで実行する必要があります。

変更管理ワークフローをサポートしていないアクション、ポリシー、またはオブジェクトは、オープンチケットなしで作成、編集、削除などを行うことができます。チケットがオープンであっても、サポートされていないポリシーに加えられた変更はチケットが発行された変更には含まれず、すぐに展開できます。

以下のリストに、サポートされているポリシーとオブジェクトを示します。リストにない場合はサポートされていません。

サポートされるポリシー

  • ルール、他のポリシーへの参照、および継承設定を含むアクセス制御。

  • デバイス設定ポリシー:

    • インターフェイス

    • インラインセット

    • DHCP

    • VTEP

    • すべてのルーティング

  • FlexConfig

  • 侵入ポリシーとネットワーク分析ポリシー(NAP)、Snort 3 のみ。

  • Network Address Translation(NAT)

  • プラットフォーム設定

  • プレフィルタ

  • QoS

  • Umbrella SASE トポロジ

  • VPN ポリシー(サイト間およびリモートアクセスの両方)

  • Zero Trust アクセス

サポートされるオブジェクト

  • AAA Server

  • アクセス リスト(Access List)

  • アドレス プール

  • AS パス(AS Path)

  • コミュニティ リスト

  • DHCP IPv6 プール

  • DNS サーバ グループ

  • FlexConfig オブジェクト

  • グループ ポリシー

  • Interface

  • キーチェーン

  • ネットワーク

  • ポリシー リスト

  • ポート

  • プレフィックス リスト

  • ルート マップ

  • SLA モニタ

  • 時間範囲

  • タイム ゾーン

  • トンネル ゾーン

  • URL

  • 変数セット

  • VLAN タグ

  • VPN オブジェクト(IKEv1、IKEv2 IPSec およびポリシー、PKI 登録、証明書マップ)

変更管理の要件と前提条件

モデルのサポート

Management Center

サポートされるドメイン

任意

ユーザの役割

  • 変更管理を有効または無効にするには:管理者

  • チケットの変更とレビューの両方を行うには:

    • 管理者

    • ネットワーク管理者

  • チケットの変更のみを行うには:

    • アクセス管理者

    • 侵入管理者

  • チケットのレビューのみを行うには:

    • セキュリティ承認者

変更管理の注意事項と制約事項

  • 変更管理モードで動作している場合、ユーザーはサポートされているポリシーを変更できますが、変更を保存することはできません。たとえば、オープンチケットなしでダイアログボックスを使用して新しいプラットフォーム設定ポリシーを作成できますが、実際にポリシーを作成するために [OK] をクリックすると、エラーが発生してポリシーは作成されません。

  • バックアップ/復元、ドメイン間でのデバイスの移動、Management Center のアップグレードのアクティビティでは、すべてのチケットが終了状態(承認または破棄)である必要があります。

  • インベントリからデバイスを削除するには、そのデバイスに関連するすべてのチケットを承認または破棄する必要があります。

  • 展開やバックアップ/復元などの一部のプロセスでは、変更管理モードを変更できません。モードを変更するには、プロセスが完了するまで待ってください。

  • 機能の設定中にオブジェクトを作成できるかどうかは、機能とオブジェクトがすべて変更管理でサポートされているかどうかに基づいて制限されます。たとえば、設定のインポートは変更管理ではサポートされていません。したがって、サポートされているセキュリティゾーン オブジェクトの作成は、インポート中には実行できません。一方、アクセス制御ルールの設定中に新しいオブジェクトを作成することは可能です。これは、両方がサポートされているためです。

  • クラウド提供型 Firewall Management Center を使用する場合、Cisco Defense Orchestrator で定義されたユーザーは、ユーザーが cdFMC を少なくとも 1 回相互起動した後にのみチケットを割り当てることができます。最初の相互起動まで、ユーザーは cdFMC に存在しません。

変更管理の有効化または無効化

デフォルトでは、変更管理ワークフローは無効になっています。ユーザーは、設定を変更するときにチケットをオープンして承認を得る必要はありません。変更管理ワークフローを適用する場合は、システムに対してグローバルに有効にする必要があります。

始める前に

変更管理の有効化/無効化を妨げるシステムプロセスがいくつかあります。次のいずれかが処理中の場合は、これらの設定を変更する前に、それらが完了するまで待つ必要があります:バックアップ/復元、インポート/エクスポート、ドメインの移動、アップグレード、Flexconfig の移行、デバイスの登録、高可用性の登録/作成/解除/切り替え、クラスタノードの作成/登録/解除/編集/追加/削除、EPM のブレークアウト/参加。

これらの設定を変更した場合、アクセス コントロール ポリシーをロックすることはできません。ポリシーがロックされている場合は、この機能を有効または無効にする前に、ロックが解除されるまで待つ必要があります。

手順


ステップ 1

[システム(System)]システム歯車アイコン > [構成(Configuration)]を選択します。

ステップ 2

[変更管理(Change Management)] をクリックします。

ステップ 3

[変更管理の有効化(Enable Change Management)] を選択します。

この機能を無効にするには、オプションをオフにします。変更管理を無効にするには、すべてのチケットを承認または破棄する必要があります。いずれかのチケットが [処理中(In Progress)]、[保留中(On Hold)]、[拒否(Rejected)]、または [承認保留中(Pending Approval)] 状態になっている場合は、変更管理を無効にできません。

ステップ 4

[必要な承認の数(Number of approvals required)] を選択します。これは、チケットを承認して展開可能にするために、変更を承認する必要がある管理者の人数です。デフォルトは 1 人ですが、チケットごとに最大 5 人の承認者を要求できます。ユーザーは、チケットの作成時にこの数を上書きできます。

ステップ 5

[チケットの消去期間(Ticket Purge Duration)] を選択します。これは、承認されたチケットを保持する日数(1 ~ 100 日)です。デフォルトは 5 日間です。

ステップ 6

(オプション)[返信先アドレス(Reply to Address)] と、[承認者アドレスのリスト(List of Approver Addresses)] の電子メールアドレスを入力します。電子メールを機能させるには、電子メール通知のシステム設定も指定する必要があります。

ステップ 7

[Save(保存)] をクリックします。

[チケット(Ticket)][チケット(Ticket)] アイコン ショートカットがメニューバーに追加され、[システム(System)]システム歯車アイコン > 変更管理のワークフロー コマンドが追加されます。ユーザーは、これらの方法を使用してチケットを管理できます。


チケットの管理

変更管理を有効にする場合、サポート対象ポリシーの構成変更はチケットのコンテキスト内で行う必要があります。チケットを開き、変更を加えてから、チケットを送信して承認を受けます。

[変更管理(Change Management)] ページまたはクイックアクセスメニューの [チケット(Ticket)] から、チケットのリストの表示や新しいチケットの作成ができます。すべてのチケットの変更は各メニューで同期されるため、好みの方法を自由に切り替えることができます。


(注)  


チケットを開いてサポート対象ポリシーに変更を加えると、そのポリシーは他のユーザーや他のチケットによって変更されないようにロックされます。チケットが承認または破棄されるまで、ポリシーはロックされたままになります。


手順


ステップ 1

次のいずれかを実行します。

  • [システム(System)]システム歯車アイコン > 変更管理のワークフロー を選択して、既存のチケットを表示するページを開きます。

  • クイックアクセスメニュー [チケット(Ticket)][チケット(Ticket)] アイコン をクリックします。アイコンには、[チケットを選択(Select a Ticket)](チケットが開かれていない場合)、チケットが開かれている場合はチケット名、チケットが存在しない場合は名前なしのいずれかが表示されます。

両方のページは同じように構成されています。[チケット(Ticket)] タブにはすべてのチケットが一覧表示され、[レビュー(Review)] タブには承認のために送信されたチケットが一覧表示されます。デフォルトビューには、自分のチケットのみが表示されます。

ステップ 2

[チケット(Ticket)] タブで、次のいずれかのアクションを実行します。

  • 新しいチケットを作成するには、[チケットの追加(Add Ticket)] をクリックします。

  • チケットの詳細を表示するには、チケット名の横にある [>] をクリックします。[詳細(Details)] ページには、UUID、名前、説明、ユーザー、最終変更日、コメントが表示されます。[履歴(History)] ページには、チケットのステータス変更情報が表示されます。上部の画像は、ワークフロー全体におけるチケットの位置を示しています。

  • オープンチケットの構成変更をプレビューするには、[プレビュー(Preview)][プレビュー(Preview)] アイコン をクリックします。

  • オープンチケットの構成変更を検証するには、[検証(Validate)][チケットの検証(Validate ticket)] アイコン または [その他(More)]([その他(More)] アイコン > [検証(Validate)]をクリックします。検証エラーがある場合は、ダイアログボックスが開き、エラー、警告、情報メッセージが表示されます。

  • チケットを開くには、[開く(Open)][チケットを開く(open ticket)] アイコン または [その他(More)]([その他(More)] アイコン > [開く(Open)]をクリックします。

  • オープンチケットを閉じるには、[チケットを保留にする(X)(Put Ticket on Hold (X))] または [その他(More)]([その他(More)] アイコン > [チケットを保留にする(Put Ticket on Hold)]をクリックします。チケットを閉じても、レビューのために送信されたり、編集されたポリシーに設定されているロックが解除されたりすることはありません。

  • レビューと承認のためにオープンチケットを送信するには、[承認のための送信(Submit for Approval)][承認のための送信(Submit for Approval)] アイコン または [その他(More)]([その他(More)] アイコン > [承認のために送信(Submit for Approval)]をクリックします。送信するには、チケットをオープンする必要があります。

  • チケットを破棄するには、[破棄(Discard)][チケットの破棄(discard ticket)] アイコン または [その他(More)]([その他(More)] アイコン > [破棄(Discard)]をクリックします。

  • チケットを検索するには、検索ボックスに文字列を入力します。検索では、チケット名、説明、および担当ユーザーが検索されます。

  • チケットステータスでリストをフィルタリングするには([変更管理ワークフロー(Change Management Workflow)] ページ)、リストの上にあるステータスをクリックします:[新規(New)]、[オープン(Open)]、[保留中(On Hold)](チケットがクローズされている状態)、[拒否(Rejected)]、[承認保留(Pending Approval)]、[承認済み(Approved)]。各ステータスには、そのステータスのチケットの数が表示されます。デフォルトに戻してすべてのチケットを表示するには、[マイチケット(My Tickets)] の下にある [ すべて(All)] をクリックします。または、すべてのチケットを表示するには、[システムのチケット(Tickets in System)] の下にある [すべて(All)] をクリックします。

ステップ 3

[レビュー( Reviews )] タブで、送信されたチケットに対して次のいずれかのアクションを実行します。送信されたチケットがない場合、リストは空です。また、チケットのレビュー権限を持つユーザーのみがこのタブを表示できます。

  • チケットの構成変更をプレビューするには、[プレビュー(Preview)][プレビュー(Preview)] アイコン をクリックします。

  • オープンチケットの構成変更を検証するには、[検証(Validate)][チケットの検証(Validate ticket)] アイコン または [その他(More)]([その他(More)] アイコン > [検証(Validate)]をクリックします。

  • チケットを承認するには、[承認(Approve)][チケットアイコンの承認(Approve ticket icon)] アイコン または [その他(More)]([その他(More)] アイコン > [承認(Approve)]をクリックします。

  • チケットを却下にするには、[拒否(Reject)][チケットの拒否(Reject ticket)] アイコン または [その他(More)]([その他(More)] アイコン > [拒否(Reject)]をクリックします。


変更管理チケットの作成

変更管理ワークフローを使用する場合は、オープンチケットのコンテキスト内ですべての設定変更を行う必要があります。チケットがまだない場合は、新しいチケットを作成する必要があります。

手順


ステップ 1

[システム(System)]システム歯車アイコン > 変更管理のワークフロー を選択するか、[チケット(Ticket)][チケット(Ticket)] アイコン ショートカットメニューをクリックします。

ステップ 2

[チケットの追加(Add Ticket)] をクリックします。

ステップ 3

チケットオプションを設定します。

  • [名前(Name)]:チケットの名前。名前には、文字、数字、スペース、および特殊文字(#-_!)を使用できます。

  • [説明(Description)]:このチケットを使用して設定する内容の説明(任意)。たとえば、このチケットを使用して修正する内容に関連するケース番号がある場合、その情報を説明に含めることができます。

  • [承認者数(Number of Approvers)]:チケットを承認して展開可能にするために、変更を承認する必要がある管理者の人数。1 ~ 5 を指定できます。

  • [割り当て先(Assign to)]:チケットを所有し、変更の適用を担当するユーザーを選択します。自分自身に割り当てるには、[自分(self)] を選択します。

ステップ 4

次のいずれかをクリックします。

  • [作成(Create)]:チケットはチケットのリストに追加されますが、オープンされません。チケットのコンテキスト内で作業する前に、チケットを開く必要があります。

  • [作成して開く(Create and Open)]:チケットがチケットのリストに追加され、オープンされます。


設定変更のためのチケットのオープン

チケット内で変更を加える前に、チケットをオープンする必要があります。

別のチケットがオープンしている場合、システムは新しいチケットをオープンする前にそのチケットを保留(クローズ)にします。

手順


ステップ 1

[システム(System)]システム歯車アイコン > 変更管理のワークフロー を選択するか、[チケット(Ticket)][チケット(Ticket)] アイコン ショートカットメニューをクリックします。

ステップ 2

[チケット(Tickets)] タブで、チケットの [開く(Open)][チケットを開く(open ticket)] アイコン または [その他(More)]([その他(More)] アイコン [オープン(Open)] をクリックします。

ステップ 3

必要に応じて、アクションのコメントを入力します。

ステップ 4

[Open] をクリックします。

これで、設定の変更を開始できます。チケットアイコンの名前がオープンチケットの名前に変わります。


チケットのプレビュー

設定の変更中、または承認前にチケットをプレビューできます。プレビューには、チケットのコンテキスト内で行われたすべての設定変更が表示されます。

手順


ステップ 1

[システム(System)]システム歯車アイコン > 変更管理のワークフロー を選択するか、[チケット(Ticket)][チケット(Ticket)] アイコン ショートカットメニューをクリックします。

ステップ 2

チケットの [プレビュー(Preview)][プレビュー(Preview)] アイコン をクリックします。

[プレビュー(Preview)] ダイアログボックスが開きます。変更内容は、ダイアログボックスの上部にある凡例に従って色分けされます。

ステップ 3

[変更されたポリシー(Changed Policies)] リストで、変更を表示するポリシーを選択します。

Secure Firewall Management Center で定義されているポリシーの現在のバージョン(左側)と、チケット内で定義されている変更の提案の両方が表示されます。

[プラットフォーム設定(Platform Settings)] などのページを含むポリシーの場合、ポリシー全体を選択してすべての変更を表示するか、[変更されたポリシー(Changed Policies)] リストでポリシー内の特定のページを選択できます。

プレビュー内から変更を修正することはできません。何かを変更する必要がある場合は、プレビューを閉じて、変更するポリシーに戻る必要があります。

ステップ 4

必要に応じて [PDFとしてダウンロード(Download as PDF)] をクリックして、オンライン表示やアーカイブのためにプレビューを PDF ファイルに保存できます。

ステップ 5

[OK] をクリックします。


チケットの送信

チケットに必要な変更が完了したら、変更をプレビューして検証できます。変更に問題がなければ、レビューと承認のためにチケットを送信します。

チケット内で行われた変更は、チケットを送信し、チケットが承認されるまで適用されません。承認されるまで、チケット内で変更されたすべてのポリシーはそのチケットにロックされ、他のユーザーが変更することはできません。

手順


ステップ 1

[システム(System)]システム歯車アイコン > 変更管理のワークフローを選択するか、ショートカットメニュー [チケット(Ticket)][チケット(Ticket)] アイコン をクリックします。

ステップ 2

オープンチケットの [承認のための送信(Submit for Approval)][承認のための送信(Submit for Approval)] アイコン または[その他(More)]([その他(More)] アイコン [承認のために送信(Submit for Approval)] をクリックします。

ステップ 3

必要に応じて、アクションのコメントを入力します。

ステップ 4

[送信(Submit)] をクリックします。


チケットの破棄

変更を行うためにチケットを作成したものの、変更が必要がなくなった場合は、チケットを破棄できます。チケットを破棄すると、チケット内で行った変更はすべて削除されます。

このアクションを取り消して、変更されたチケットを再取得することはできません。必要な場合は、新しいチケットを作成して最初からやり直す必要があります。

送信後にチケットを破棄することはできません。ただし、承認者がチケットを拒否した場合は、チケットを破棄できます。


(注)  


チケットを変更する権限がある場合は、別のユーザーに属するチケットを破棄できます。これにより、管理者が休暇中など、処理中のチケットを管理できない状況に対処できます。


手順


ステップ 1

[システム(System)]システム歯車アイコン > 変更管理のワークフロー を選択するか、 [チケット(Ticket)][チケット(Ticket)] アイコン ショートカットメニューをクリックします。

ステップ 2

チケットの [破棄(Discard)][チケットの破棄(discard ticket)] アイコン または [その他(More)]([その他(More)] アイコン > [破棄(Discard)]をクリックします。

ステップ 3

必要に応じて、アクションのコメントを入力します。

ステップ 4

[破棄(Discard)] をクリックします。


チケットの承認または拒否

ユーザーがチケットを送信する場合、チケットがアクティブになり、展開できるようになるには、チケット内で行われた変更が承認される必要があります。

自身のチケットを承認できるかどうか、または別の承認者が必要かどうかは、管理ソフトウェアではなく、ワークプレイスのポリシーとユーザーロールの割り当て方法によって異なります。

[詳細(Details)] ビューには、チケットに必要な承認者の数と、これまでにチケットを承認したユーザーの概要が表示されます。

変更が不十分または望ましくない場合は、チケットを拒否できます。拒否されたチケットは送信者に戻され、送信者は追加の変更を行ってチケットを再送信するか、単にチケットとそれに含まれる設定変更を破棄できます。

手順


ステップ 1

[システム(System)]システム歯車アイコン > 変更管理のワークフロー を選択するか、[チケット(Ticket)][チケット(Ticket)] アイコン ショートカットメニューをクリックします。

ステップ 2

[レビュー(Review)] タブで、チケットの [プレビュー(Preview)][プレビュー(Preview)] アイコン をクリックし、提案された変更を評価します。

[検証(Validate)][チケットの検証(Validate ticket)] アイコン または [その他(More)]([その他(More)] アイコン > [検証(Validate)]をクリックして、エラーを確認することもできます。

ステップ 3

評価が完了したら、次のいずれかを実行します。

  • チケットを承認するには、[承認(Approve)][チケットアイコンの承認(Approve ticket icon)] アイコン または [その他(More)]([その他(More)] アイコン > [承認(Approve)]をクリックします。

  • チケットを却下にするには、[拒否(Reject)][チケットの拒否(Reject ticket)] アイコン または [その他(More)]([その他(More)] アイコン > [拒否(Reject)]をクリックします。

ステップ 4

必要に応じて、アクションのコメントを入力します。

ステップ 5

[承認(Approve)] または [却下(Reject)] を適宜クリックします。


変更管理の履歴

機能

最小 Management Center

最小 Threat Defense

詳細

変更管理。

7.4.1

任意(Any)

変更を展開する前の監査追跡や正式な承認など、設定変更に関してより正式なプロセスを実装する必要がある組織の場合は、変更管理を有効にできます。

この機能を有効にするための [システム(System)]システム歯車アイコン > [設定(Configuration)] > [変更管理(Change Management)] ページが追加されました。有効にすると、[システム(System)]システム歯車アイコン > 変更管理のワークフロー ページが表示され、メニューに新しい [チケット(Ticket)][チケット(Ticket)] アイコン クイックアクセスアイコンが表示されます。