この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、DIA、Cisco Umbrella 自動トンネル、および DVTI の使用の実践的な応用について詳しく説明します。この使用例では、シームレスな導入のためのシナリオ、ネットワークトポロジ、およびエンドツーエンドの手順について詳しく説明します。
今日の相互接続されたリモートワーク環境では、組織は、分散型ワークフォースにシームレスな接続、セキュアなアクセス、および最適化されたパフォーマンスを提供するという課題に直面しています。この使用例では、ネットワーク接続の問題を解決し、コラボレーションを強化し、機密情報を保護し、リモートユーザーがどこからでも効率的に作業できるようにするための、DIA(ダイレクト インターネット アクセス)、Cisco Umbrella SASE 自動トンネル、および DVTI(ダイナミック仮想トンネルインターフェイス)テクノロジーの導入について説明します。
この使用例の対象者は、ネットワーク インフラストラクチャの管理と保護を担当する IT プロフェッショナル、ネットワーク管理者、および意思決定者と、リモートワークフォースの接続とセキュリティの最適化を試みている組織です。DIA、Cisco Umbrella SASE 自動トンネル、および DVTI テクノロジーの導入に関するインサイトを提供し、リモートワーカーが直面する課題に対処する際にもたらされる利点をハイライトします。
Sally は、リアルタイムのコラボレーションとデータアクセスに大きく依存するグローバル企業のリモート営業担当者として働いています。さまざまなクライアントの場所に頻繁に出張していますが、販売データへのアクセスや同僚とのコミュニケーションに課題があります。
リスクがあるもの
会社の既存のネットワーク インフラストラクチャでは、複数の場所にシームレスな接続性とセキュアなアクセスを提供できないため、遅延、データの不整合、および通信の中断が発生しています。
ハブアンドスポークトポロジの DIA、Cisco Umbrella 自動トンネル、および DVTI で構成されるソリューションによる問題の解決方法
Sally のようなリモートワーカーが直面する課題に対処するために、彼女の会社は、DIA、Cisco Umbrella SASE 自動トンネル、および DVTI を使用した包括的なソリューションを導入します。
DIA:DIA を使用することで、Sally は企業のネットワークを経由せずにインターネットに直接接続できます。これにより、より高速で信頼性の高いインターネットアクセスが提供され、クラウドベースのアプリケーションおよびサービスにすばやくアクセスできます。これにより、企業のネットワークからネットワークトラフィックがオフロードされ、輻輳が軽減され、パフォーマンスが最適化されます。
Cisco Umbrella 自動トンネル:Cisco Umbrella 自動トンネルの設定を活用することで、Sally の会社は、Sally がリモートで接続されているか、ブランチファイアウォールの背後にあるかに関係なく、統一されたセキュリティポリシーがトラフィックに適用されるようにします。これにより、VPN 接続を手動で設定する必要がなくなり、従来のトンネル設定に関連する複雑さと潜在的なエラーが軽減されます。このテクノロジーは、Sally と組織内のその他のリモートワーカーに、シンプルさ、利便性、および強化されたセキュリティを提供します
DVTI:ハブアンドスポークトポロジの DVTI により、分散拠点と企業のネットワークの間にセキュアな IPsec トンネルを動的に作成できます。このトンネルではデータ伝送が暗号化され、リモートで作業する際に企業のリソースへのセキュアなアクセスが確保されます。また、DVTI は、最も効率的なパスを介してトラフィックをインテリジェントにルーティングし、接続が中断されないようにするための冗長性を提供することで、ネットワークパフォーマンスを最適化します。
DIA、Cisco Umbrella SASE 自動トンネル、および DVTI を組み合わせることで、Sally の会社は、彼女のリモートワーカーとしての接続性、セキュリティ、および生産性を向上させています。彼女はクラウドアプリケーションにすばやくアクセスし、同僚とシームレスにコラボレーションし、企業のリソースへのセキュアで信頼性の高い接続をどこからでも利用することができます。IT チームには、一元化されたセキュリティ管理、ネットワークの複雑さの軽減、リモートワーカーのアクティビティの可視性の向上などの利点があります。
このトポロジでは、内部クライアントまたはブランチワークステーションが WKST BR としてラベル付けされ、NGFWBR1 としてラベル付けされたブランチの Threat Defense に接続されます。本社の Threat Defense には NGFW1 というラベルが付けられています。企業のネットワークは NGFW1 を介して到達可能です。NGFWBR1 の入力インターフェイスには inside という名前が付けられ、出力インターフェイスにはそれぞれ outside、outside2、および outside3 という名前が付けられています。
NGFWBR1 と Cisco Umbrella の間に Cisco Umbrella 自動トンネルが設定されています。
すべての DNS および Web トラフィックは、Cisco Umbrella 自動トンネルを介して Cisco Umbrella に送信され、Cisco Umbrella の DNS および Web ポリシーに基づいて許可またはブロックされます。これにより、2 つの保護層が提供されます。1 つは Cisco Secure Threat Defense によってローカルに適用され、もう 1 つは Cisco Umbrella によってクラウドで提供されます。
ハブスポーク設定の場合、VPN トンネルは NGFWBR1 と NGFW1 の間に設定されます。リンクの冗長性と VPN トラフィックのロードバランシングのために、ブランチノードのプライマリおよびセカンダリのスタティック VTI インターフェイスで ECMP ゾーンが設定されます。
DIA、Cisco Umbrella SASE 自動トンネル、および DVTI を使用したソリューションを設定するには、次の手順を実行します。
ダイレクト インターネット アクセスの設定:パスモニタリングを使用した DIA の設定のエンドツーエンドの手順
Cisco Umbrella SIG 自動トンネルの設定:Cisco Umbrella 自動トンネルを設定するためのエンドツーエンドの手順
DVTI ハブアンドスポークトポロジの設定:ルートベース VPN(ハブアンドスポークトポロジ)を設定するためのエンドツーエンドの手順
|
リソース |
URL |
|---|---|
|
Cisco Secure Firewall Threat Defense リリースノート |
https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-release-notes-list.html |
|
すべての新機能と廃止された機能 |
http://www.cisco.com/go/whatsnew-fmc |
|
Cisco.com の Cisco Secure Firewall |
|
|
YouTube 上の Cisco Secure Firewall |
|
|
Cisco Secure Firewall Essentials |
フィードバック