Cisco Secure Workload の設定の制限

この章では、Cisco Secure Workload 内の設定の制限について概説し、最適なセキュリティ管理を確保するためのリソース割り当て、ポリシーの適用、およびシステムパフォーマンスに関する制約を強調します。同時に管理できるワークロード、ポリシー、およびユーザーの数を含むさまざまなリソースの最大制限。ネットワークエンジニアがスケーラブルなアーキテクチャを設計するには、これらの制限を理解することが重要です。マイクロセグメンテーション ポリシーの最大数や、システムパフォーマンスに対するこれらの制限を超える場合の影響など、セキュリティポリシーに関する制約について詳しく説明します。

この章では、構成の制限に近づいた場合のパフォーマンス低下を防ぐために、システム パフォーマンス インジケータのモニタリングに関するガイドラインを提供します。また構成の制限に近づいた場合のパフォーマンスの低下を防ぐために、システムパフォーマンスのインジケータをモニタリングするためのガイドラインを提供します。

Secure Workload は、効果的な動作のしきい値を定義しています。これらのしきい値を超えると、パフォーマンスの低下やセキュリティの脆弱性につながる可能性があります。最適な運用パラメータを維持するために、構成を定期的にモニタリングし調整することを推奨します。

Secure Workload のさまざまな機能の制限は、バージョンとプラットフォームによって異なります。


注目

最近の GUI の更新により、ユーザーガイドで使用されているイメージやスクリーンショットの一部に、製品の現在の設計が完全に反映されていない可能性があります。最も正確に視覚的に参照するには、このガイドを最新バージョンのソフトウェアと組み合わせて使用することを推奨します。

Cloud Connector

Cloud Connector

メトリック

制限

規模

仮想ネットワーク

Kubernetes クラスタ

AWS コネクタ

AWS コネクタによってエクスポートされるフローの総数

毎秒 15000 フロー

コネクタあたり 5 アカウント

アカウントあたり 5

アカウントあたり 5

Azure コネクタ

Azure コネクタによってエクスポートされるフローの総数

毎秒 15000 フロー

コネクタあたり 5 サブスクリプション

サブスクリプションあたり 5

サブスクリプションあたり 5

Google Cloud Platform

GCP コネクタによってエクスポートされるフローの総数

毎秒 15000 フロー

コネクタあたり 5 プロジェクト

プロジェクトあたり 5

プロジェクトあたり 5

(注)  

  • クラスタ内ですべてのテナントに渡って、最大 50 個のコネクタ(クラウドコネクタを含む)を設定できます。

  • Cisco Secure Workload のクラウドコネクタによって管理されるワークロードにはワークロードライセンスが必要であるため、ワークロードの合計数がライセンスされていて、クラスタの制限内であることを確認します。

コネクタ


(注)  

  • クラスタ内ですべてのテナントに渡って、最大 50 個のコネクタ(クラウドコネクタを含む)を設定できます。

  • 個々のコネクタに適用される制限については、「コネクタとは」を参照してください。

コネクタ

メトリック

制限

AnyConnect コネクタ

1 つの AnyConnect コネクタでサポートされる AnyConnect エンドポイントの総数

5000 エンドポイント

(注)  

 

すべての AnyConnect プロキシセンサーにわたる AnyConnect エンドポイントの数は、Secure Workload アプライアンスでサポートされるセンサーの数によって制限されます。

AnyConnect コネクタ

AnyConnect エンドポイントのインベントリでラベル付けできる LDAP 属性の数

6 属性

AWS コネクタ

AWS コネクタによってエクスポートされるフローの総数

毎秒 15000 フロー

F5 コネクタ

F5 コネクタによってエクスポートされるフローの総数

毎秒 15000 フロー

NetFlow コネクタ

1 つの NetFlow コネクタによってエクスポートされるフローの総数

毎秒 15000 フロー

NetScaler コネクタ

NetScaler コネクタによってエクスポートされるフローの総数

毎秒 15000 フロー

ERSPAN コネクタ

ERSPAN コネクタによってエクスポートされるフローの総数

毎秒 15000 フロー

コネクタ用の Cisco Secure Workload 仮想アプライアンス

アプライアンス

メトリック

制限

Cisco Secure Workload Ingest アプライアンス

1 つのアプライアンスにおけるコネクタ数

3

ルート範囲ごとのアプライアンス数

100

クラスタごとのアプライアンス数

500

Cisco Secure Workload Edge アプライアンス

1 つのアプライアンスにおけるコネクタ数

6

ルート範囲ごとのアプライアンス数

1

クラスタごとのアプライアンス数

ルート範囲の数

ラベルの制限

表 1. SaaS

機能

メトリック

制限

ラベルの制限

テナントごとにラベル付けできる IP アドレスの最大数(CMDB のみ)。

6,000/100 ライセンス

テナントごとにラベル付けできるサブネットの最大数(CMDB のみ)。

120/100 ライセンス

ポリシーに関連する制限

機能

メトリック

制限

自動ポリシー検出(旧 ADM)

 単一範囲での自動ポリシー検出の実行で許可されるメンバーワークロード(エンドポイント)の最大数。

10,000
単一範囲での自動ポリシー検出の実行で許可されるカンバセーションの最大数。

10,000,000

範囲ツリーのブランチでの自動ポリシー検出の実行で許可されるメンバーワークロード(エンドポイント)の最大数。

37,500

範囲ツリーのブランチでの自動ポリシー検出の実行で許可されるカンバセーションの最大数。

20,000,000

自動ポリシー検出の実行で許可される合計固有ワークロード(エンドポイント)の最大数。

15,000,000

デフォルトポリシー検出設定の除外フィルタの最大数。

100

ワークスペースごとに許可される除外フィルタの最大数。

100

自動ポリシーディスカバリで許可されるサブミッションの最大数。

5

具体的なポリシー

Kubernetes 以外のワークロードにインストールされたエージェントでのポリシーの合計サイズ。

2.5 MB

(複雑さに応じて、約 2000 個のポリシー)

Kubernetes ノードにインストールされたエージェントでのポリシーの合計サイズ。

7.5 MB

(複雑さに応じて、約 6000 個のポリシー)

追加機能

機能

メトリック

制限

Alerts

ルート範囲内のサポートされるインスタンス数

256

ルート範囲内のサポートされるインスタンス数

1024

ルート範囲ごとに表示される最新のアラートの数(ACTIVE、SNOOZED、MUTED、CLOSED のステータスカテゴリごと)

5000

UI でプレビューする最大アラートレート

1 分あたり 60 件。

(注)  

 

1 分あたり 60 件を超えるアラートが送信される場合、UI には、アラートがデータタップに送信されたが UI で抑制されていることを示す概要メッセージが表示されます。1 分あたり 60 件のアラートは、アラートがデータタップに送信されるレートに適用され、アラート時間やイベント時間には適用されず、特定のデータバッチとは関係がないことに注意してください。

ルート範囲ごとに設定されたアラートの数(モーダル経由)

[1000]

1 分あたりのアラートアプリによってバッチ処理されるアラートの最大数

20000

コンプライアンス アプリ

サポートされるワークスペースの数

128

データインまたはデータアウト

機能

メトリック

制限

8RU/39RU/SaaS/-

データタップ

アプライアンスごとにサポートされるデータタップの数

10

-