ダイナミックファイアウォールの設定

ダイナミックファイアウォールの設定方法

このトピックは、「ダイナミックファイアウォールについて」で説明されているダイナミックファイアウォールを設定するための概念とオプションを理解するのに役立ちます。

Summary

ダイナミックファイアウォールは、Cisco Secure Firewall Management Center にユーザー信頼情報を提供する Cisco Identity Intelligence と（Cisco ISE などの）アイデンティティソースを統合します。

ユーザー信頼情報を収集するように Cisco Identity Intelligence を設定します。
サポートされている Cisco Secure Firewall Management Center アイデンティティソースを設定します。
サポートされているアイデンティティレルムを設定します。
動的属性コネクタをイネーブルにします。
ダイナミックファイアウォールを設定します。

Workflow

次に、ダイナミックファイアウォールを設定する方法の概要を示します。

所有者ロールを持つ Duo ユーザーとして、Cisco アイデンティティインテリジェンステナントをプロビジョニングします。 Cisco Identity Intelligence テナントのプロビジョニングで説明されているように、Duo Advantage からテナントをプロビジョニングできます。
Cisco アイデンティティインテリジェンスで、API 統合を作成し、その情報を使用してダイナミックファイアウォールをセットアップします。シスコでは、Cisco アイデンティティインテリジェンスを使用してネットワーク内のユーザーおよびデバイスリスク情報を特定しています。 Cisco アイデンティティインテリジェンスの詳細については、ハウツーガイドを参照してください。このタスクの詳細については、「アイデンティティインテリジェンスの必要な情報の取得」を参照してください。
（Microsoft Azure AD レルムのみ）アイデンティティインテリジェンスで、Microsoft Entra ID 統合を作成します。詳細については、『Microsoft Entra ID (Azure AD) Data Integration』を参照してください。
アイデンティティソースを作成します（アイデンティティソースがすでにある場合は、次のステップに進みます）。これは、次のいずれかの方法で実行できます。
- [ダイナミックファイアウォールの設定（Configure Dynamic Firewall）] ダイアログボックスに、アイデンティティソースの設定を開始するための [設定（Configure）] リンクが表示されます。
- [システム（System）]（） > [統合（Integration）] > [アイデンティティソース（Identity Sources）] をクリックします。
アイデンティティソースの詳細については、以下を参照してください。
アイデンティティレルムを作成します。次のレルムをサポートしています。
- LDAP レルムまたは Active Directory レルムおよびレルムディレクトリの作成 Microsoft AD のみがサポートされています。LDAP レルムはサポートされていません。
- パッシブ認証用の Azure AD（SAML）レルムの作成
動的属性コネクタをイネーブルにします。動的属性コネクタは、ダイナミックファイアウォールを使用するために必要です。これにより、アイデンティティソースをアイデンティティインテリジェンスと統合して、ユーザーアクティビティに関する洞察を強化できます。「ダイナミック属性コネクタの有効化」を参照してください。
ダイナミックファイアウォールインスタンスを作成します（ダイナミックファイアウォールインスタンスがすでにある場合は、次のステップに進みます）。 [統合（Integration）] > [ダイナミック属性コネクタ（Dynamic Attributes Connector）] の順にクリックし、[ダイナミックファイアウォールの設定（Configure Dynamic Firewall）] をクリックします。ダイナミックファイアウォールインスタンスを作成します。を参照してください。
アイデンティティソースを Cisco アイデンティティインテリジェンスに関連付けます。アイデンティティインテリジェンスとアイデンティティソースとの関連付けを参照してください。
システム定義フィルタを表示します。ダイナミック属性フィルタは以下を区別するために作成します。
- 信頼できないデバイス
- 信頼できるデバイス
- 信頼できないユーザー
- 疑わしいユーザー
「ダイナミック属性フィルタの作成」で説明されているように、これらのダイナミック属性フィルタを編集または置換できます。
システム定義のアクセス制御ルールを表示します。次のルールを使用して、Dynamic Firewall Policy という（または同様の）名前のアクセスコントロールポリシーを作成します。
- 任意の送信元ネットワークから任意の宛先ネットワークへの信頼できないユーザーをブロックします。
- 任意の送信元ネットワークから任意の宛先ネットワークへの疑わしいユーザーを監視します。
- 任意の送信元ネットワークから任意の宛先ネットワークへの信頼できないデバイスをブロックします。
「システム作成のアクセスコントロールポリシーの表示と編集」で説明されているように、アクセスコントロールポリシーとアクセス制御ルールを編集または削除します。

動的属性コネクタの有効化

このタスクでは、Cisco Secure Firewall Management Center で動的属性コネクタを有効にする方法について説明します。動的属性コネクタは、クラウドネットワーキング製品のオブジェクトを Cisco Secure Firewall Management Center のアクセス制御のルールで使用できるようにする統合です。

手順

ステップ 1	Cisco Secure Firewall Management Center にログインしていない場合は、ログインします。
ステップ 2	[統合（Integration）] > [ダイナミック属性コネクタ（Dynamic Attributes Connector）] をクリックします。
ステップ 3	[有効（Enabled）] にスライドします。
ステップ 4	動的属性コネクタが有効になっている間、メッセージが表示されます。エラーが発生した場合は、再試行してください。エラーが続く場合には、Cisco TAC に連絡してください。

アイデンティティインテリジェンスの必要な情報の取得

このタスクでは、ダイナミックファイアウォールでアイデンティティインテリジェンスをセットアップするために必要なすべての情報を提供する API クライアントの作成方法について説明します。

すでに API クライアントがあり、次のすべての値がわかっている場合は、この手順をスキップして「」に進むことができます。

Client ID
API URL
トークン URL
クライアントのシークレット（Client Secret）

始める前に

ダイナミックファイアウォールと統合するには、アイデンティティインテリジェンスで API クライアント統合を作成する必要があります。

API クライアント統合について知っておく必要がある値の中に、クライアントシークレットがあります。これは、API クライアントを作成するときにのみ表示されます。このため、最初に API 統合を作成する必要があります。

API クライアント統合の作成の詳細については、「Public API」を参照してください。

手順

ステップ 1	アイデンティティインテリジェンステナントにログインします。
ステップ 2	（[統合（Integrations）]）をクリックします。
ステップ 3	[統合の追加（Add Integration）] をクリックします。
ステップ 4	次のページの [APIクライアント（API Clients）] で、[APIクライアントの追加（Add API Client）] をクリックします。
ステップ 5	[名前（Name）] とオプションの [説明（Description）] を入力します。
ステップ 6	[保存してログイン情報を生成（Save and Generate Credentials）] をクリックします。次の図は例を示しています。
ステップ 7	次の図に示すように、次のページで [すべてコピー（Copy all）] をクリックします。
ステップ 8	後で使用できるようにログイン情報を保存します。
ステップ 9	[終了（Finish）] をクリックします。

ダイナミックファイアウォールのアイデンティティソースおよびレルムの作成

ダイナミックファイアウォールを設定する前に、サポートされているアイデンティティレルムとアイデンティティソースを設定する必要があります。

アイデンティティレルムの設定

次のアイデンティティレルムがサポートされています。

LDAP レルムまたは Active Directory レルムおよびレルムディレクトリの作成

Microsoft AD のみがサポートされています。LDAP レルムはサポートされていません。
パッシブ認証用の Azure AD（SAML）レルムの作成

アイデンティティソースの設定

次のアイデンティティソースがサポートされています。

オンプレミスの Cisco ISE：Cisco Identity Services Engine（Cisco ISE）のアイデンティティソースの設定方法
単一または複数の Cisco ISE クラスター：
- pxGrid クラウドアイデンティティソースの設定方法（ISE 3.3 以前）
- pxGrid クラウドアイデンティティソースの設定方法（ISE 3.4 以降）

ダイナミックファイアウォールインスタンスを作成します。

このタスクでは、アイデンティティソースとアイデンティティインテリジェンス間の関連付けであるダイナミックファイアウォールの新しいインスタンスを作成する方法について説明します。

始める前に

次のことをすべて行います。

「」の説明に従って動的属性コネクタを有効にします。
アイデンティティソースを作成します。
- オンプレミスの Cisco ISE：Cisco Identity Services Engine（Cisco ISE）のアイデンティティソースの設定方法
- 単一または複数の Cisco ISE クラスター：
  - pxGrid クラウドアイデンティティソースの設定方法（ISE 3.3 以前）
  - pxGrid クラウドアイデンティティソースの設定方法（ISE 3.4 以降）

手順

ステップ 1

まだログインしていない場合は、Cisco Secure Firewall Management Center にログインします。

ステップ 2

[統合（Integrations）] > [ダイナミック属性コネクタ（Dynamic Attributes Connector）]の順にクリックします。

ステップ 3

アイデンティティソースの名前の横にあるをクリックし、ダイナミックファイアウォールを追加します。

次の図は例を示しています。

（注）

アイデンティティソースが表示されない場合は、続行する前に作成します。

ステップ 4

[ダイナミックファイアウォールの作成（Create Dynamic Firewall）] をクリックします。

ステップ 5

「アイデンティティソースとアイデンティティインテリジェンスの関連付け」に進みます。

アイデンティティインテリジェンスとアイデンティティソースとの関連付け

このタスクでは、ユーザーとデバイスの信頼評価を Cisco Secure Firewall Management Center に提供するアイデンティティインテリジェンスにアイデンティティソースを関連付ける方法について説明します。

詳細については、『User Trust Level』を参照してください。

始める前に

手順を開始する前に、次の点を確認してください。

「ダイナミックファイアウォールについて」に記載されている、アイデンティティレルム、アイデンティティソース、およびアイデンティティインテリジェンスが連携する仕組みを理解している。
「ダイナミックファイアウォールインスタンスを作成します。」で説明されているタスクを完了している。

手順

ステップ 1	ダイナミックファイアウォールインスタンスの作成から開始します。
ステップ 2	次のページの左列で、アイデンティティソースをクリックします。右列で [Cisco Identity Intelligence] チェックボックスをオンにして、ユーザーとデバイスのリスクを含むユーザーインテリジェンスを追加します。次の図は例を示しています。
ステップ 3	[Next] をクリックします。
ステップ 4	アイデンティティインテリジェンスの設定に進みます。

アイデンティティインテリジェンスの設定

このタスクでは、ユーザーとデバイスのリスクレーティングを Cisco Secure Firewall Management Center に提供するアイデンティティインテリジェンスにアイデンティティソースを関連付ける方法について説明します。

始める前に

「アイデンティティインテリジェンスとアイデンティティソースとの関連付け」で説明されているタスクを完了します。

手順

ステップ 1	「アイデンティティインテリジェンスとアイデンティティソースとの関連付け」で説明されているタスクを完了します。
ステップ 2	[Cisco Identity Intelligence] チェックボックスをオンにした場合は、「アイデンティティインテリジェンスの必要な情報の取得」の説明に従って、アイデンティティインテリジェンスについて見つけた情報を入力します。次の図は例を示しています。
ステップ 3	（オプション）アイデンティティインテリジェンスに対し、特定のユーザーセットを信頼できるとみなす場合は、[除外リスト（Exclusion List）] を [有効なスライダ（Slider enabled）]（）にスライドします。 username@domain.com 形式で 1 行に 1 つのユーザー名を入力します。このリストのユーザーは、アイデンティティインテリジェンスによって信頼できるとみなされます。
ステップ 4	[テスト（Test）] をクリックします。テストが成功した場合にのみ、次の手順に進みます。エラーが表示された場合は、アイデンティティインテリジェンスのすべての値を確認して再試行します。
ステップ 5	[Next] をクリックします。
ステップ 6	システム定義フィルタの表示に進みます。

システム定義フィルタの表示

このタスクでは、ユーザーとデバイスのリスクレーティングを Cisco Secure Firewall Management Center に提供する Cisco アイデンティティインテリジェンスにアイデンティティソースを関連付ける方法について説明します。

始める前に

「アイデンティティインテリジェンスの設定」を参照してください。

手順

ステップ 1	次の図に示すように、システムにはシステム定義のダイナミック属性フィルタのセットが表示されます。
ステップ 2	システムが作成したフィルタを表示します。任意の行のをクリックしてフィルタを展開すると、フィルタを表示して詳細を確認できます。
ステップ 3	[Next] をクリックします。
ステップ 4	システム定義のアクセス制御ルールの表示に進みます。

システム定義のアクセス制御ルールの表示

このタスクでは、ダイナミックファイアウォールによって作成されたアクセス制御ルールについて説明します。

始める前に

システム定義フィルタの表示を参照してください。

手順

ステップ 1

システムで作成されたアクセス制御ルールを表示します。

次の図は例を示しています。

ステップ 2

次のオプションのいずれかを選択します。

これらのアクセス制御ルールの作成をスキップするには、 [スキップ（Skip）] をクリックします。独自の設定はいつでも作成できます。
[次へ（Next）] をクリックし、前の図に示すルールを使用して Dynamic Firewall Policy という名前のアクセスコントロールポリシーを作成します。
システムが作成したフィルタに戻るには、[戻る（Back）] をクリックします。

ステップ 3

アクセス制御ルールの作成が成功した場合、 [次へ（Next）] をクリックすると次のページが表示されます。

ユーザー除外リストの編集

（オプション）アイデンティティインテリジェンスに対し、特定のユーザーを信頼できるユーザーとして扱うように指示できます。

始める前に

「ダイナミックファイアウォールインスタンスを作成します。」の説明に従ってダイナミックファイアウォールを設定します。

手順

ステップ 1	まだ Cisco Secure Firewall Management Center にログインしていない場合は、ログインします。
ステップ 2	[統合（Integration）] > [ダイナミック属性コネクタ（Dynamic Attributes Connector）] をクリックします。
ステップ 3	アイデンティティソースの名前の横にあるをクリックします。
ステップ 4	[CII除外リストの編集（Edit CII Exclusion List）] をクリックします。次のダイアログボックスが表示されます。
ステップ 5	指定のフィールドに、`username@domain.com` の形式で 1 行に 1 つのユーザー名を入力して Enter を押し、別のユーザー名を入力します。各ユーザー名はアイデンティティインテリジェンスによって信頼できるとみなされます。

システム作成のアクセスコントロールポリシーの表示と編集

このトピックでは、システムで作成されたアクセス制御ルールとアクセスコントロールポリシーを編集する方法について説明します。最初は、ポリシーはデバイスに関連付けられていませんが、それを使用する場合は、デバイスの追加、ルールの変更、ルールの順序変更、またはルールの削除を行えます。

始める前に

「システム定義のアクセス制御ルールの表示」で説明されている操作を完了させます。

手順

ステップ 1	まだ Cisco Secure Firewall Management Center にログインしていない場合は、ログインします。
ステップ 2	[ポリシー（Policies）] > [アクセス制御（Access Control）] 見出し > [アクセス制御（Access Control）] をクリックします。
ステップ 3	[Dynamic Firewall Policy]（または同様の名前）という名前のポリシーの横にある [編集（Edit）]（）をクリックします。次の図に、サンプルのアクセスコントロールポリシーを示します。このアクセスコントロールポリシーでは、疑わしいユーザーを監視するルールセットのみがログに記録されることに注意してください。ロギング設定を調整するには、「アクセスコントロールポリシーのロギング設定」を参照してください。
ステップ 4	次のいずれかを実行します。デバイスでアクセスコントロールポリシーをターゲットにする：アクセスコントロールポリシーへのデバイスの割り当て。ポリシーを編集する（ロギングの追加など）：アクセスコントロールポリシーの管理。アクセス制御ルールを編集する：アクセス制御ルールの管理。詳細ポリシーオプションを設定する：アクセスコントロールポリシーの詳細設定。このアクセスコントロールポリシーに他のポリシーを関連付ける：アクセス制御への他のポリシーの関連付け。

ダイナミック属性フィルタの作成

を使用して定義する動的属性フィルタは、アクセスコントロールポリシーで使用できるダイナミックオブジェクトとして Cisco Secure Firewall Management Center で公開されます。たとえば、財務部門の AWS サーバーへのアクセスを、Microsoft Active Directory で定義された財務グループのメンバーのみに制限できます。

手順

ステップ 1

Cisco Secure Firewall Management Center にログインします。

ステップ 2

[統合（Integration）] > [ダイナミック属性コネクタ（Dynamic Attributes Connector）] > [コネクタ（Connectors）] をクリックします。

ステップ 3

次のいずれかを実行します。

新しいフィルタの追加：追加（）をクリックします。
フィルタの編集または削除：その他（）をクリックしてから、行の末尾にある [編集（Edit）] または [削除（Delete）] をクリックします。

ステップ 4

次の情報を入力します。

項目	説明
[名前（Name）]	アクセスコントロールポリシーおよび Cisco Secure Firewall Management Center オブジェクトマネージャ（[外部属性（External Attributes）] > [ダイナミックオブジェクト（Dynamic Object）]）で動的フィルタを（ダイナミックオブジェクトとして）識別するための一意の名前。
コネクタ（Connector）	リストから、使用するコネクタの名前をクリックします。
クエリ（Query）	[追加（Add）] をクリックします。

ステップ 5

クエリを追加するには、次の情報を入力します。

項目	説明
キー（Key）	リストからキーをクリックします。キーはコネクタから取得されます。
操作（Operation）	次のいずれかをクリックします。キーを値に正確に一致させるには、[等しい（Equals）]。値のいずれかの部分が一致する場合に、キーを値に一致させるには、[含む（Contains）]。
値（Value）	[任意（Any）] または [すべて（All）] をクリックし、リストから 1 つ以上の値をクリックします。[別の値を追加（Add another value）] をクリックして、クエリに値を追加します。

ステップ 6

[プレビューを表示（Show Preview）] をクリックして、クエリによって返されたネットワークまたは IP アドレスのリストを表示します。

ステップ 7

完了したら、[保存（Save）] をクリックします。

ステップ 8

（オプション）Cisco Secure Firewall Management Center のダイナミックオブジェクトを確認します。

最低限でもネットワーク管理者ロールを持つユーザーとして Cisco Secure Firewall Management Center にログインします。
[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [外部属性（External Attributes）] > [ダイナミックオブジェクト（Dynamic Objects）] をクリックします。

作成した動的属性クエリは、ダイナミックオブジェクトとして表示されます。

ダイナミック ファイアウォール ソリューション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ダイナミック ファイアウォール の設定

ダイナミック ファイアウォール の設定