シスコの Platform Exchange Grid（pxGrid）を使用すると、セキュリティ モニターリングとネットワーク検出システム、ID とアクセス管理プラットフォームなど、ネットワーク インフラストラクチャのコンポーネントを連携させることができます。これらのコンポーネントは pxGrid を使用して、パブリッシュまたはサブスクライブ メソッドにより情報を交換します。

以下の 3 つの主要 pxGrid コンポーネントがあります：pxGrid パブリッシャ、pxGrid クライアント、pxGrid コントローラ。

• pxGrid パブリッシャ：pxGrid クライアントの情報を提供します。

• pxGrid クライアント：パブリッシュされた情報をサブスクライブする任意のシステム（ Secure Web Applianceなど）。パブリッシュされる情報には、セキュリティグループタグ（SGT）、Active Directory グループ、ユーザーグループおよびプロファイルの情報が含まれます。

• pxGrid コントローラ：クライアントの登録/管理およびトピック/サブスクリプション プロセスを制御する ISE/ISE-PIC pxGrid ノードが該当します。

各コンポーネントには信頼できる証明書が必要です。これらの証明書は各ホスト プラットフォームにインストールしておく必要があります。

単一の ISE/ISE-PIC ノードのセットアップはスタンドアロン展開と呼ばれ、この 1 つのノードによって、管理およびポリシー サービスが実行されます。フェールオーバーをサポートし、パフォーマンスを向上させるには、複数の ISE/ISE-PIC ノードを分散展開でセットアップする必要があります。 Secure Web Applianceで ISE/ISE-PIC フェールオーバーをサポートするために必要な最小限の分散 ISE/ISE-PIC 構成は以下のとおりです。

• 2 つの pxGrid ノード

• 2 つの管理ノード

• 1 つのポリシー サービス ノード

この構成は、『Cisco Identity Services Engine Hardware Installation Guide』では「中規模ネットワーク展開」と呼ばれています。詳細については、『Installation Guide』のネットワーク展開に関する項を参照してください。

自己署名証明書が ISE/ISE-PIC サーバーで使用される場合は、ISE/ISE-PIC サーバーで開発された ISE/ISE-PIC pxGrid 証明書、 Secure Web Applianceで開発された Web Appliance クライアント証明書を、ISE/ISE-PIC サーバー上の信頼できる証明書ストアに追加する必要があります（ISE の場合は [管理（Administration）] > [証明書（Certificates）] > [信頼できる証明書（Trusted Certificates）] > [インポート（Import）]、ISE-PIC の場合は [証明書（Certificates）] > [信頼できる証明書（Trusted Certificates）] > [インポート（Import）]）。

注意	認証に自己署名証明書を使用するのは、他の認証方法ほど安全ではないためお勧めしません。また、自己署名証明書は失効ポリシーをサポートしていません。

CA 署名付き証明書の場合：

• ISE/ISE-PIC サーバーで、Web Appliance クライアント証明書に適した CA ルート証明書が信頼できる証明書ストアにあることを確認します（[管理（Administration）] > [証明書（Certificates）] > [信頼できる証明書（Trusted Certificates）]）。

• Secure Web Applianceで、適切な CA ルート証明書が信頼できる証明書リストにあることを確認します（[ネットワーク（Network）] > [証明書管理（Certificate Management）] > [信頼できるルート証明書の管理（Manage Trusted Root Certificates）]）。

• [Identity Services Engine] ページ（[ネットワーク（Network）] > [Identity Services Engine]）で、ISE/ISE-PIC pxGrid 証明書用の CA ルート証明書がアップロードされていることを確認します。

• ISE

  • 識別トピックサブスクライバ（ Secure Web Applianceなど）がリアルタイムでセッションコンテキストを取得できるように、各 ISE サーバーを設定する必要があります。

    1. [管理（Administration）] > [pxGridサービス（pxGrid Services）] > [設定（Settings）] > [pxGridの設定（pxGrid Settings）] を選択します。

    2. [新しい証明書ベースのアカウントを自動的に承認する（Automatically approve new certificate-based accounts）] がオンになっていることを確認します。

    ISE/ISE-PIC での認証に関与しない、設定済みの古い Secure Web Applianceをすべて削除します。

    ISE サーバーのフッターが緑で、「pxGrid に接続されました（Connected to pxGrid）」 と表示されていることを確認します。

• ISE-PIC

  • 識別トピックサブスクライバ（ Secure Web Applianceなど）がリアルタイムでセッションコンテキストを取得できるように、各 ISE-PIC サーバーを設定する必要があります。

    1. [サブスクライバ（Subscribers）] > [設定（Settings）] を選択します。

    2. [新しい証明書ベースのアカウントを自動的に承認する（Automatically approve new certificate-based accounts）] がオンになっていることを確認します。

    ISE/ISE-PIC での認証に関与しない、設定済みの古い Secure Web Applianceをすべて削除します。

    ISE サーバーのフッターが緑で、「pxGrid に接続されました（Connected to pxGrid）」 と表示されていることを確認します。

詳細については、Cisco Identity Services Engine のドキュメントを参照してください。

基本的な手順は以下のとおりです。

• ISE 管理ノード

  • [管理（Administration）] > [証明書（Certificates）] > [証明書の管理（Certificate Management）] > [信頼できる証明書（Trusted Certificates）] > [インポート（Import）] の順に選択します。

  次のオプションがオンになっていることを確認してください。

  • [ISE内の認証用に信頼する（Trust for authentication within ISE）]

  • [クライアント認証およびsyslog用に信頼する（Trust for client authentication and Syslog）]

  • [シスコサービスの認証用に信頼する（Trust for authentication of Cisco Services）]

• ISE-PIC 管理ノード

  • [証明書（Certificates）] > [証明書の管理（Certificate Management）] > [信頼できる証明書（Trusted Certificates）] > [インポート（Import）] の順に選択します。

    次のオプションがオンになっていることを確認してください。

    • [ISE内の認証用に信頼する（Trust for authentication within ISE）]

    • [クライアント認証およびsyslog用に信頼する（Trust for client authentication and Syslog）]

    • [シスコサービスの認証用に信頼する（Trust for authentication of Cisco Services）]

詳細については、Cisco Identity Services Engine のドキュメントを参照してください。

• 認証メカニズムをログ記録するために、アクセスログにカスタムフィールド %m を追加します（アクセス ログのカスタマイズ）。

• ISE/ISE-PIC サービスログが作成されていることを確認します。作成されていない場合は作成します（ログ サブスクリプションの追加および編集）。

• ユーザーの識別と認証のために ISE/ISE-PIC にアクセスする識別プロファイルを定義します（「ユーザーおよびクライアントソフトウェアの分類」、117 ページ）。

• ISE/ISE-PIC ID を使用して、ユーザー要求の条件とアクションを定義するアクセスポリシーを設定します（「ポリシーの設定」、191 ページ）。

• ISE/ISE-PIC で Cisco ISE の REST API（API で HTTPS ポート 9060 を使用）を有効にします。

  （注）	グループに基づいてセキュリティポリシーを設定するには、 Secure Web Applianceで ISE 外部 RESTful サービス（ERS）を有効にする必要があります（[ネットワーク（Network）] > [Identity Services Engine]）。これは、バージョン 11.7 以降に適用されます。

  • ISE

    • [管理（Administration）] > [設定（Settings）] > [ERS設定（ERS Settings）] > [プライマリ管理ノードのERS設定（ERS settings for primary admin node）] > [ERSを有効化する（Enable ERS）] を選択します。

      セカンダリ ノードがある場合は、[その他すべてのノードの読み取り用ERS（ERS for Read for All Other Nodes）] を有効にします。

  • ISE-PIC

    • [設定（Settings）] > [ERS設定（ERS Settings）] > [ERSを有効化する（Enable ERS）] を選択します。

• 正しい外部 RESTful サービス グループで ISE 管理者を作成していることを確認します。外部 RESTful サービス管理者グループには、ERS API へのフル アクセス（GET、POST、DELETE、PUT）が含まれています。このユーザーは、ERS API 要求を作成、読み取り、更新、および削除できます。外部 RESTful サービス オペレータ：読み取り専用アクセス（GET 要求のみ）。

  • ISE

    • [管理（Administration）] > [システム（System）] > [管理者アクセス（Admin Access）] > [管理者（Administrators）] > [管理者ユーザー（Admin Users）] を選択します。

  • ISE-PIC

    • [管理（Administration）] > [管理者アクセス（Admin Access）] > [管理者ユーザー（Admin Users）] を選択します。

ERS サービスが ISE/ISE-PIC pxGrid ノードではなく別のサーバーで使用可能な場合は、プライマリおよびセカンダリ（設定されている場合）サーバーのホスト名または IPv4 アドレスが必要です。

詳細については、Cisco Identity Services Engine のドキュメントを参照してください。

SGT Exchange Protocol（SXP）は、ネットワークデバイス間で IP-SGT バインディングを伝播するために開発されたプロトコルです。セキュリティ グループ タグ（SGT）は、信頼ネットワーク内のトラフィックの送信元の権限を指定します。

Cisco Identity Services Engine（ISE）の展開を Cisco Secure Web Applianceと統合して、パッシブ認証に使用できます。 Secure Web Applianceは、ISE から SXP マッピングをサブスクライブできます。ISE は SXP を使用して、SGT から IP へのアドレス マッピング データベースを管理対象デバイスに伝播します。ISE サーバーを使用するように Secure Web Appliance を設定する場合は、ISE から SXP トピックをリッスンするオプションを有効にします。これにより、 Secure Web Applianceは ISE から直接 SGT と IP アドレスマッピングについて学習します。

Secure Web Applianceは、ダミーのユーザー認証 IP アドレスを生成します。これには、ISE クラスタの IP アドレスとクライアントの IP アドレスが含まれます。したがって、複数のクライアント IP アドレスをクラスタ IP アドレスで認証できます。

SGT から IP アドレスへのマッピングの ISE-SXP プロトコルに関するガイドラインと制限は次のとおりです。

• IPv6 対応のエンドポイントは、 Secure Web Appliance リリース 14.5 ではサポートされません。

• Secure Web Appliance リリース 14.5 では、ユーザー名とグループマッピングは、SGT から IP アドレスへのマッピングでは使用できません。したがって、管理者は Secure Web Applianceの ISE ユーザーおよびグループに基づいてポリシーを作成することはできません。ただし、SGT を使用してポリシーを作成できます。

• 一括ダウンロードプロセスの再起動タイムスタンプをスケジュールするには、ised プロセスを再起動する時刻を HH::MM 形式（24 時間）で設定する必要があります。

  （注）	ユーザー認証プロセスが示される時刻は 1 日の中で短時間に設定することをお勧めします。たとえば、00:00 時に設定します。

Cisco Secure Web Appliance で以下を実行します。

• Cisco Umbrella に正しく接続するには、Cert バンドル（シスコの信頼できるルート証明書バンドル：2.2）を更新します。

• Cisco Umbrella からの変換されたポリシーを正常に設定するには、コンテンツカテゴリ（107）を更新します。

• Cisco Umbrella のルールセットで HTTPS インスペクションが有効になっている場合は、Cisco Secure Web Appliance で HTTPS プロキシを手動で有効にします。

• Cisco Umbrella のルールで選択したアプリケーション設定を正常に変換するには、Cisco Secure Web Appliance で[セキュリティサービス（Security Services）] > [使用許可コントロール（Acceptable Use Controls）]に移動し、[アプリケーションの検出と制御（ADC）（Application Discovery and Control (ADC)）] を有効にします。

• AD が Cisco Umbrella に統合されている場合は、Cisco Secure Web Appliance で Active Directory（AD）レルムを設定します。正常な AD コネクタとドメインコントローラを使用することをお勧めします。

• AsyncOS バージョン 15.1 にアップグレードするには、スマートライセンスをアクティブにする必要があります。

• 内部ネットワークがパブリックネットワークに関連付けられていること、または Active Directory が Cisco Umbrella と統合されていることを確認します。

Cisco Umbrella で以下を実行します。

Cisco Umbrella の [キースコープ（Key Scopes）] を使用して、[APIキー（API Key）] と [キーシークレット（Key Secret）] を生成します。キーの生成手順については『Cisco Umbrella SIG User Guide』を参照してください。

（注）

[APIキー（API Key）] と [キーシークレット（Key Secret）]（[管理（Admin）] > [APIキー（API Keys）]）を生成する際に、特定の組織について、[認証（Auth）]（読み取り専用）として [キースコープ（Key Scope）] を選択し、[展開または登録済みアプライアンス（Deployments/Registered Appliances）]（読み取りまたは書き込み）として [登録済みアプライアンス（Registered Appliances）] を選択していることを確認します。 [登録済みアプライアンス（Registered Appliance）] ページは、有効なサブスクリプションでのみ表示できます。

Cisco Umbrella から Cisco Secure Web Appliance ポリシーを設定および管理できます。

Cisco Umbrella で、[展開（Deployments）] > [コアアイデンティティ（Core Identities）] > [登録済みのアプライアンス（Registered Appliances）]ページに移動し、Cisco Umbrella に登録されている Cisco Secure Web Appliance デバイスを表示します。

（注）

登録済みの Cisco Secure Web Appliance のステータスは、Cisco Secure Web Appliance の [Umbrella設定（Umbrella Settings）] ページで [ハイブリッドポリシー（Hybrid Policy）] チェックボックスをオンにした場合にのみ、アクティブになります。それ以外の場合、Cisco Secure Web Appliance デバイスのステータスはオフラインです。 Cisco Secure Web Appliance の [Umbrella設定（Umbrella Settings）] ページで [ハイブリッドポリシー（Hybrid Policy）] と [ハイブリッドレポート（Hybrid Reporting）] のチェックボックスをオンにした場合、Cisco Umbrella のハイブリッドレポートのステータスはアクティブになります。 ポリシー同期のステータスが失敗の場合、ステータスにカーソルを合わせるとエラーメッセージが表示されます。 ポリシー同期のステータスが警告アイコンの付いた成功である場合、ステータスにカーソルを合わせると次の警告メッセージが表示されます：「一部のユーザー/グループが正常な状態でない AD コネクタまたはドメインコントローラのルール/ルールセットで選択されている場合は、[展開（Deployments）] > [設定（Configuration）] > [サイトとActive Directory（Sites and Active Directory）] に移動してエラーの詳細を確認し、修正してください。（If a few users/groups have been selected in rules/rulesets from AD Connectors or Domain Controllers which are not in a healthy state, navigate to Deployments > Configuration > Sites and Active Directory to see the error details and fix it.）」AD の詳細と選択されたユーザー/グループの情報も、警告メッセージで確認できます。

Cisco Umbrella UI の [登録済みアプライアンス（Registered Appliances）] ページにある [ポリシーのプッシュ（Policy Push）] オプションを使用すると、設定した Web ポリシーを選択した Cisco Secure Web Appliance にプッシュできます。

Cisco Secure Web Appliance は、Cisco Umbrella が設定したポリシー レポーティング データを Cisco Umbrella ダッシュボードに送信します。このレポーティングデータを Cisco Umbrella で表示するには、[レポーティング（Reporting）] > [アクティビティ検索（Activity Search）]に移動し、[IDタイプ（Identity Type）] として [Cisco Secure Web Appliance（Secure Web Appliance）] を選択します。

認証オプション（AD が Cisco Umbrella に統合されている場合）または認証を免除オプション（AD が Cisco Umbrella に統合されていない場合）を持つグローバル識別プロファイルは 1 つだけです。

Cisco Umbrella でルールセット アイデンティティを作成するには、[Webポリシー（Web Policy）] に移動し、ルールセット アイデンティティとして [ネットワーク（Networks）] または [ADユーザー（AD Users）] または [ADグループ（AD Groups）] を選択します。詳細については、https://docs.umbrella.com/umbrella-user-guide/docs/add-a-rules-based-policy#setupを参照してください。

（注）	ネットワーク アイデンティティに関連付けられた内部ネットワークがあることを確認してください。

Cisco Umbrella で内部ネットワークを作成し（[展開（Deployments）] > [設定（Configuration）] > [内部ネットワーク（Internal Networks）]）、パブリックネットワークに関連付けることができます。内部ネットワークは、Cisco Secure Web Appliance のアクセスポリシーおよび復号ポリシーでサブネットとして変換されます。

Cisco Umbrella の接続先リストは、Cisco Secure Web Appliance のカスタムおよび外部 URL カテゴリとして変換されます（[Webセキュリティマネージャ（Web Security Manager）] > [カスタムおよび外部URLカテゴリ（Custom and External URL Categories）]）。

Cisco Umbrella で接続先リストを作成し（[ポリシー（Policy）] > [ポリシーコンポーネント（Policy Components）] > [接続先リスト（Destination Lists）]）、Web ポリシーに関連付けます。詳細については、https://docs.umbrella.com/umbrella-user-guide/docs/add-a-destination-listを参照してください。

Cisco Umbrella の Web ポリシー（規則）は、Cisco Secure Web Appliance のアクセスポリシーとして変換されます。

パブリックネットワーク（内部ネットワークが関連付けられている）、内部ネットワーク、AD ユーザー、およびルールアイデンティティとして設定された AD グループを使用して、Cisco Umbrella でルールを作成します。[コンテンツカテゴリ（Content Categories）] または [接続先リスト（Destination Lists）] を使用して接続先を設定します。

詳細については、https://docs.umbrella.com/umbrella-user-guide/docs/add-rules-to-a-ruleset#procedureを参照してください。

変換されたルールを Cisco Secure Web Appliance で表示できます（[Webセキュリティマネージャ（Web Security Manager）] > [アクセスポリシー] > [URLフィルタリング（URL Filtering）]）。

アクセスポリシーについて、[Umbrellaルール（Umbrella Rules）] から選択した [コンテンツカテゴリ（Content Categories）] を [URLフィルタリング（URL Filtering）] > [定義済みURLカテゴリフィルタリング（Predefined URL Category Filtering）] で表示できます。また、[接続先リスト（Destination lists）] を [URLフィルタリング（URL Filtering）] > [カスタムおよび外部URLカテゴリフィルタリング（Custom and External URL Category Filtering）] で表示できます。

ルールセットで選択したアイデンティティに基づいて、すべての接続先をモニターする追加のアクセスポリシーが作成されます。

（注）	変換するアイデンティティの選択に基づいて、Cisco Umbrella ルールから Cisco Secure Web Appliance アクセスポリシーへの 1 対 1 のマッピングまたは 1 対多のマッピングが作成されます。 ルールセットで選択したアイデンティティに基づいて、すべての接続先をモニターする追加のアクセスポリシーが作成されます。

Cisco Umbrella の [HTTPSインスペクション（HTTPS Inspection）] ポリシーは、アイデンティティとともに使用できるように、Cisco Secure Web Appliance の [復号ポリシー（Decryption policies）] として変換されます。

（注）	Cisco Secure Web Appliance で [HTTPSプロキシ（HTTPS Proxy）] が有効になっている場合にのみ、Cisco Umbrella から復号ポリシーを設定できます。

Cisco Umbrella で HTTPS インスペクションを有効にします（[ポリシー（Policies）] > [管理（Management）] > [Webポリシー（Web Policy）] > [ルールセット設定（Ruleset Settings）] > [HTTPSインスペクション設定（HTTPS Inspection Settings）]）。

[選択的復号リスト（Selective Decrpytion List）] で [なし（None）] を選択すると、すべての事前定義されたコンテンツカテゴリが復号されます。ドロップダウンから選択的復号リストを選択して、HTTPS インスペクションをバイパスします。

Cisco Umbrella の [選択的復号リスト（Selective Decryption List）] からの変換されたコンテンツカテゴリは、[URLフィルタリング（URL Filtering）] > [事前定義されたURLカテゴリフィルタリング（Predefined URL Category Filtering）] に表示され、Cisco Umbrella の [選択的復号リスト（Selective Decrpytion List）] からのドメインは、復号ポリシーの [URLフィルタリング（URL Filtering）] > [カスタムおよび外部URLカテゴリフィルタリング（Category Filtering）] に表示されます。

Cisco Umbrella の HTTPS インスペクション設定は、次のように Cisco Secure Web Appliance に変換されます。

• 有効にすると、[ドメイン（Domains）] と、[選択的復号リスト（Selective Decryption List）] の [コンテンツカテゴリ（Content Categories）] は、Cisco Secure Web Appliance で [パススルー（Passthrough）] に設定され、残りのカテゴリは [復号する（Decrypt）] に設定されます。

• 無効にすると、[復号ポリシー（Decryption Policies）] は、すべての事前定義された URL カテゴリフィルタリングが [モニター（Monitor）] として、Cisco Secure Web Appliance に表示されます。

• [HTTPS経由でブロックされているページを表示（Display Block Page Over HTTPS）] が選択されている場合、[復号ポリシー（Decryption Policies）] は、すべての事前定義された URL カテゴリフィルタリングが [モニター（Monitor）] として、Cisco Secure Web Appliance に表示されます。

詳細については、「Add a Ruleset to the WebPolicy」を参照してください。

（注）

Cisco Umbrella の [選択的復号リスト（Selective Decryption List）] の [アプリケーション（Applications）] を Cisco Secure Web Appliance の [復号ポリシー（Decryption Policies）] に変換することはサポートされていません。 ルールセット アイデンティティでネットワークとともに AD ユーザーまたは AD グループが選択されると、追加の復号ポリシーが作成されます。 Cisco Umbrella から変換された復号ポリシーのデフォルトアクションは、[復号する（Decrypt）] に設定されます。 Cisco Secure Web Appliance では、Cisco Umbrella から変換された [復号ポリシー（Decryption Policies）] に対して WBRS が無効になっています。

Cisco Umbrella で CASI とも呼ばれる [アプリケーション設定（Application Settings）] は、Cisco Secure Web Appliance のアクセスポリシーで [ADCアプリケーション（ADC Applications）] として変換されます。

Cisco Umbrella ルールでアプリケーションカテゴリまたは特定のアプリケーションを選択でき、Cisco Secure Web Appliance でアクセスポリシーのアプリケーションに同じルールアクションが適用されます。ルール内で選択されていないアプリケーションはグローバル設定を継承します。

選択したアプリケーションのドメインで構成されるカスタム URL カテゴリが作成され、Cisco Secure Web Appliance にプッシュされます。これを表示するには、[URLフィルタリング（URL Filtering）] > [カスタムおよび外部URLカテゴリのフィルタリング（Custom and External URL Category Filtering）] に移動し、アクセスポリシーの [URLフィルタリング（URL Filtering）] セクションで [アクション（Action）] を [モニター（Monitor）] として選択します。

詳細については、「Manage Application Settings on Umbrella」を参照してください。

これらのルールは、Cisco Secure Web Appliance に変換されると、[Webセキュリティマネージャ（Web Security Manager）] > [アクセスポリシー（Access Policies）] > [アプリケーション（Applications）]に移動して表示できます。

重要選択したアプリケーションを含むアプリケーションルールを Cisco Umbrella から Cisco Secure Web Appliance に正常に変換するには、[アプリケーションの検出および制御（ADC）（Application Discovery and Control (ADC)）] を有効にする必要があります。

詳細については、「AVC または ADC エンジンを有効にする」を参照してください。

（注）	Cisco Umbrella のアプリケーションポリシーは、Cisco Secure Web Appliance で復号ポリシーとして変換されません。