この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Cisco NX-OS ソフトウェアがサポートするセキュリティ機能を利用すると、ネットワークをパフォーマンスの劣化や障害から保護するだけでなく、故意に行われる攻撃や、善意のネットワーク ユーザの意図しない危険な間違いにより生ずるデータの紛失または毀損に対しても保護できます。
この章は、次の項で構成されています。
Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)は、3 つの独立したセキュリティ機能をまとめて一貫性のあるモジュラ形式で設定するためのアーキテクチャ フレームワークです。
RADIUS や TACACS+ などのリモート セキュリティ サーバでは、権限が定義された属性値(AV)のペアを、対象のユーザに関連付けることで、ユーザに対して特定の権限を許可します。 AAA 許可は、ユーザに許可されている操作を示す一連の属性を組み合わせて実行します。 これらの属性とデータベースに格納されているユーザの情報とが比較され、その結果が AAA に返されてユーザの実際の権限と制約事項が決定されます。
(注) |
認証は AAA と別個に設定することができます。 ただし RADIUS または TACACS+ を使用する場合や、バックアップの認証方式を設定する場合は、AAA を設定する必要があります。 |
AAA は、セキュリティ機能の管理にセキュリティ プロトコルを使用します。 ルータまたはアクセス サーバがネットワーク アクセス サーバとして動作している場合は、ネットワーク アクセス サーバと RADIUS または TACACS+ セキュリティ サーバとの間の通信を確立する手段に、AAA が使用されます。
このマニュアルでは、次のセキュリティ サーバ プロトコルを設定する手順を説明します。
Lightweight Directory Access Protocol(LDAP)は、Cisco NX-OS デバイスにアクセスしようとするユーザの検証を集中的に行います。 LDAP では、1 台のアクセス コントロール サーバ(LDAP デーモン)で認証と認可を個別に提供できます。
セキュア シェル(SSH)サーバを使用すると、SSH クライアントは、Cisco NX-OS デバイスとの間でセキュアな暗号化された接続を確立できます。 SSH は強化暗号化を使用して認証を行います。 Cisco NX-OS ソフトウェアの SSH サーバは、市販の一般的な SSH クライアントと相互運用ができます。
Cisco NX-OS ソフトウェアの SSH クライアントは、無償あるいは商用の SSH サーバと連係して動作します。
Telnet プロトコルは、ホストとの TCP/IP 接続を確立します。 Telnet を使用すると、あるサイトのユーザが別のサイトのログイン サーバと TCP 接続を確立し、キーストロークをデバイス間でやり取りできます。 Telnet は、リモート デバイス アドレスとして IP アドレスまたはドメイン名のいずれかを受け入れます。
ユーザ アカウントを作成して管理し、Cisco NX-OS デバイス上で行える操作を制限するロールを割り当てることができます。 Role-Based Access Control(RBAC; ロールベース アクセス コントロール)を使用すると、割り当てたロールにルールを定義して、ユーザが行える管理操作の権限を制限できます。
IP ACL は、トラフィックをパケットのレイヤ 3 ヘッダーの IPv4 情報に基づいてフィルタリングするために使用できるルールの順序セットです。 各ルールには、パケットがルールに一致するために満たさなければならない条件のセットが規定されています。 Cisco NX-OS ソフトウェアは、ある IP ACL がパケットに適用されると判断すると、そのすべてのルールの条件にパケットを照合し、テストします。 最初の一致によってパケットを許可するか拒否するか判定します。一致するものがない場合、Cisco NX-OS ソフトウェアは適切なデフォルト ルールを適用します。 Cisco NX-OS ソフトウェアは、許可されたパケットについては処理を続行し、拒否されたパケットはドロップします。
高度暗号化規格(AES)パスワード暗号化機能では、サポートするアプリケーション(現在は RADIUS および TACACS+)のすべての既存および新規に作成されたクリア テキスト パスワードを、堅牢でリバーシブルのタイプ 6 暗号化形式で保存します。 マスター暗号キーは、パスワードを暗号化および復号化するために使用されます。 また、この機能を使用して、暗号化が脆弱な既存のすべてのパスワードをタイプ 6 暗号化パスワードに変換することもできます。
キーチェーン管理を使用すると、キーチェーンの作成と管理を行えます。キーチェーンはキーのシーケンスを意味します(共有秘密ともいいます)。 キーチェーンは、他のデバイスとの通信をキーベース認証を使用して保護する機能と合わせて使用できます。 デバイスでは複数のキーチェーンを設定できます。
キーベース認証をサポートするルーティング プロトコルの中には、キーチェーンを使用してヒットレス キー ロールオーバーによる認証を実装できるものがあります。
Cisco NX-OS デバイスは、DoS 攻撃によるパフォーマンスへの影響を防ぐために CoPP を備えています。 Cisco NX-OS デバイスのスーパーバイザ モジュールには、マネージメント プレーンとコントロール プレーンの両方が搭載され、ネットワークの運用にクリティカルなモジュールです。 スーパーバイザ モジュールの動作が途絶するような場合には、重大なネットワークの停止につながります。 スーパーバイザに過剰なトラフィックが加わると、スーパーバイザ モジュールが過負荷になり、Cisco NX-OS デバイス全体のパフォーマンスが低下する可能性があります。 スーパーバイザ モジュールへの攻撃には、DoS 攻撃のようにコントロール プレーンを流れる IP トラフィック ストリームが非常に高いレートで発生するものなど、さまざまな種類があります。 攻撃によってコントロール プレーンはこれらのパケットの処理に大量の時間を費やしてしまい、本来のトラフィック処理が不可能になります。
レート制限を行うことで、出力例外のリダイレクト パケットにより、Cisco NX-OS デバイス上のスーパーバイザ モジュールに過剰な負荷がかかるのを回避できます。
Cisco NX-OS オペレーティング システムをロードするのに必要なソフトウェア イメージは 1 つだけ(nx-os と呼ばれる)です。 このイメージは、すべての Cisco Nexus 9000 シリーズ スイッチで実行されます。
Cisco NX-OS では、仮想デバイスをエミュレートする Virtual Device Context(VDCs)に、OS およびハードウェア リソースを分割できます。 Cisco Nexus 9000 シリーズ スイッチは、現在のところ、複数の VDC をサポートしていません。 すべてのスイッチ リソースはデフォルト VDC で管理されます。