ネットワーク可視性モジュールについて
ユーザが管理対象外デバイスを使用する状況が増加しているため、企業内管理者はネットワーク内外の状況を把握しにくくなっています。ネットワークの可視性モジュール(NVM)は、オンプレミスまたはオフプレミスのエンドポイントから豊富なフロー コンテキストを収集するもので、Stealthwatch などのシスコ ソリューションまたは Splunk などのサードパーティ ソリューションと併用すると、ネットワークに接続されたデバイスおよびユーザの動作に対する可視性を提供します。これにより、企業内管理者は、キャパシティとサービスの計画、監査、コンプライアンス、およびセキュリティ分析を実行することができます。NVM は次のサービスを提供します。
-
ネットワーク設計を情報に基づいてより適切に改善する(VzFlow プロトコル仕様の IPFIX コレクタ要素の拡張)ために、アプリケーションの使用状況をモニタする。
-
アプリケーション、ユーザ、またはエンドポイントを論理グループに分類する。
-
企業の資産を追跡し、移行アクティビティを計画するため、潜在的な異常を洗い出す。
この機能により、インフラストラクチャ導入環境全体ではなく、テレメトリを対象とするかどうかを選択できます。NVM は、次の情報に対するより正確な可視性を得るため、エンドポイント テレメトリを収集します。
-
デバイス:エンドポイント(場所に関係なく)
-
ユーザ:エンドポイントにログインしているユーザ
-
アプリケーション:トラフィックを生成するアプリケーション
-
場所:トラフィックが生成されるネットワークの場所
-
宛先:このトラフィックの宛先の実際の FQDN
信頼ネットワークでは、AnyConnect NVM はフロー レコードをコレクタ(Cisco Stealthwatch、または LiveAction などのサードパーティ ベンダー)にエクスポートし、このコレクタがファイル分析を実行し、UI インターフェイスを提供します。フロー レコードはユーザの機能に関する情報を提供するもので、値は ID(たとえば、LoggedInUserAccountType は 12361、ProcessUserAccountType は 12362、ParentProcessUserAccountType は 12363)とともにエクスポートされます。Splunk などのサードパーティ ベンダーも、レポートを表示するための UI インターフェイスを提供します。ほとんどの企業内 IT 管理者は、データを使用して独自の可視化テンプレートを作成することを望むため、シスコは Splunk アプリケーション プラグインを介していくつかのサンプル ベース テンプレートを提供しています。
デスクトップ AnyConnect での NVM
従来、フロー コレクタにはスイッチまたはルータのインターフェイスに入る時点またはインターフェイスから出る時点で IP ネットワーク トラフィックを収集できる機能がありました。ネットワーク内の輻輳の原因とフロー パスを特定できましたが、それ以外は特定できませんでした。エンドポイントで NVM を使用すると、デバイスのタイプ、ユーザ、アプリケーションなどの豊富なエンドポイント コンテキストによってフローが拡張されます。これにより、収集プラットフォームの機能に応じてフロー レコードがより実用的になります。IPFIX 経由で NVM によって提供されるエクスポート データは、Cisco NetFlow コレクタだけでなく、Splunk、IBM Qradar、LiveAction などの他のサードパーティ フロー収集プラットフォームと互換性があります。追加情報については、各プラットフォームの統合ドキュメントを参照してください。たとえば、Splunk 統合については、https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200600-Install-and-Configure-Cisco-Network-Visi.html で確認できます。
ネットワーク可視性モジュールのインストールを選択すると、AnyConnect Secure Mobility Client UI の [バージョン情報(About)] 画面に、このモジュールがインストール済みとしてリストされます。NVM の実行中、AnyConnect UI に他の表示はありません。
NVM の AnyConnect プロファイルは、ISE または ASA ヘッドエンドからプッシュされます(この機能が有効な場合)。ISE ヘッドエンドでは、スタンドアロン プロファイル エディタを使用し、NVM サービス プロファイル XML を生成して ISE にアップロードし、新しい NVM モジュールに対してマップできます。これは、Web セキュリティ、ネットワーク アクセス マネージャなどでの操作と同様です。ASA ヘッドエンドでは、スタンドアロン プロファイル エディタまたは ASDM プロファイル エディタのいずれかを使用できます。
VPN の状態が接続済みに変更した時点と、エンドポイントが信頼ネットワーク内にある場合に、NVM に通知が送信されます。
(注) |
NVM を Linux で使用する場合は、必ず、Linux 上での NVM の使用に記載されている準備手順を事前に完了してください。 |
モバイル AnyConnect での NVM
ネットワーク可視性モジュール(NVM)は、Google Play ストアで入手可能な Android 用の Cisco AnyConnect セキュア モビリティ クライアントの最新バージョン(リリース 4.0.09xxx)に含まれています。NVM は、Samsung Knox バージョン 2.8 以降を実行している Samsung のデバイスでサポートされています。その他のモバイル デバイスは、現在サポートされていません。モバイル NVM の詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.0』の「AnyConnect on Mobile Devices」の章に記載の手順、「Configure NVM for Mobile」を参照してください。
Android のネットワーク可視性は、サービス プロファイル設定の一部です。Android 上で NVM を設定するためには、AnyConnect NVM プロファイル エディタによって AnyConnect NVM プロファイルが生成され、モバイル デバイス マネジメント(MDM)を使用して Samsung のモバイル デバイスにプッシュされます。NVM をモバイル デバイス用に設定するには、AnyConnect リリース 4.4.3 以降の AnyConnect NVM プロファイル エディタが必要です。
ガイドライン
-
NVM は、Samsung Knox バージョン 2.8 以降を実行している Samsung のデバイスでサポートされています。その他のモバイル デバイスは、現在サポートされていません。
-
モバイル デバイスでは、コレクタへの接続は、IPv4 でのみサポートされています。IPv6 はサポートされていません。
-
Java ベースのアプリケーションでのデータ収集はサポートされていません。