Cisco Unity Connection の拡張セキュリティ モード

Cisco Unity Connection の拡張セキュリティ モード

概要

Unity Connection が EnhancedSecurityMode で動作するように有効になっている場合、システムはシステムの展開を保護する一連の厳格なセキュリティおよびリスク管理制御を実装します。

EnhancedSecurityMode には次の機能が含まれます。

  • 厳格なパスワード要件: 新しいユーザー パスワードと、変更される既存のパスワードに対して、厳格な資格情報ポリシーが実装されています。 [信用証明書ポリシー(Credential Policy)]のセクションを参照してください。

  • リモート監査ログ: すべての監査ログとイベント Syslog は、ローカルに保存されるだけでなく、リモート Syslog サーバーにも保存されます。

    リモート監査のログ記録のセクションを参照してください。

  • システム ログ: CLI ログインや誤ったパスワードの試行などのすべてのシステム イベントがログに記録され、保存されます。

  • ログオンの制限: インターフェースの同時セッションの最大数を設定できます。 設定された最大制限を超える新しいセッションは切断されます。 拡張セキュリティ モードでは、 テレフォニー インターフェイスの最大同時セッション数 (ユーザーごと) のデフォルト値は 2、 IMAP インターフェイスの最大同時セッション数 (ユーザーごと) のデフォルト値は 5 です。詳細については、「 パスワード、PIN、および認証ルールの管理 」の章を参照してください。

  • 非アクティブなユーザーを無効にする: ユーザーの非アクティブ タイムアウトの日数を設定できます。 設定された日数内にユーザーがボイスメール アカウントにログインしない場合、アカウントは無効になり、それ以降のアクセスは拒否されます。

    拡張セキュリティモードでは、 ユーザー非アクティブタイムアウト(日数) のデフォルト値は 90 です。詳細については、 パスワード、PIN、および認証ルールの管理を参照してください。

ロールベースのアクセス

EnhancedSecurityMode では、カスタム ロール ページの権限リストに新しい権限「スーパー カスタム管理者」が追加されます。 システム管理者は、「スーパーカスタム管理者」権限を利用して、システム内に 2 レベルの管理者階層を作成できます。

[信用証明書ポリシー(Credential Policy)]

EnhancedSecurityMode を有効にすると、プラットフォーム管理者に対して新しいパスワードとパスワードの変更に関する厳格な資格情報ポリシーを実装できます。 このポリシーは、パスワードに対して次のデフォルト要件を適用します。

  • 資格情報の長さは 14 文字から 127 文字の範囲にする必要があります。
  • パスワードには、少なくとも 1 つの小文字、1 つの大文字、1 つの数字、および 1 つの特殊文字が含まれている必要があります。
  • 保存されている以前の認証情報の数は 24 個で、以前の 24 個のパスワードはいずれも再利用できません。
  • 資格情報は、最短で 1 日、最長で 60 日後に期限切れになります。
  • 連続する認証情報間の文字変更の最小数は少なくとも 4 である必要があります。

EnhancedSecurityMode を有効にした後、管理者は認証ルールを使用してパスワード要件を変更し、すべてのパスワード変更に対して厳格なパスワード ポリシーを適用できます。 資格情報ポリシーの詳細については、「パスワード、PIN、および認証ルールの管理 」の章を参照してください。

リモート監査のログ記録

セキュリティ要件に準拠するには、Unity Connection でリモート監査ログを設定する必要があります。

EnhancedSecurityMode では、システムは TCP をデフォルトのプロトコルとして使用し、監査イベントとアラームをリモート syslog サーバーに送信します。 システムが通常の動作モードにあるとき使用される UDP とは異なり、TCP にはすべてのパケットの配信を保証するメカニズムが含まれています。 ただし、必要に応じて、このモードで UDP を使用するようにシステムを再構成することもできます。

転送失敗が発生した場合、TCPRemoteSyslogDeliveryFailed アラームとアラートがトリガーされ、管理者に TCP 転送失敗が通知されます。 スロットリングメカニズムにより、1 時間あたりに送信されるアラームとアラートの数は 1 以下に制限されます。 これにより、管理者が同一のアラームやアラートに殺到されることがなくなります。 通信が再確立されている間、管理者はローカル監査ログをバックアップとして使用できます。

強化セキュリティモードの前提条件

  • FIPS 140-2 モードの設定: 拡張セキュリティ モードを有効にする前に、FIPS モードを有効にする必要があります。 FIPS モードがまだ有効になっていない場合は、EnhancedSecurityMode を有効にしようとすると、FIPS モードを有効にするように求められます。

  • リモート syslog サーバーをセットアップし、Unity Connection とリモート サーバー間(間にあるゲートウェイを含む)に IPSec を設定します。

  • スマートホストを設定し、Unity Connection と Exchange の間に IPSec を設定します。ここで、Exchange は、その間のゲートウェイを含め、スマートホストとして機能します。 IPsec 設定の詳細については、『Cisco Unified Communications Operating System Administration Guide for Cisco Unity Connection Release 15』の「セキュリティ」の章の「IPSEC 管理」セクションを参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/os_administration/guide/b_15cucosagx.html

  • Unity Connection サーバーで拡張セキュリティ モードを有効にする前に、セキュリティ パスワードの長さが 14 文字以上であることを確認してください。 Unity Connection をアップグレードする場合、以前のバージョンで EnhancedSecurityMode が有効になっていた場合はパスワードを更新する必要があります。

拡張セキュリティモードでの構成タスクフロー

手順

ステップ 1

Unity Connection で EnhancedSecurityMode を有効にします。 拡張セキュリティモードの設定のセクションを参照してください。

ステップ 2

システム資格情報ポリシーがセキュリティ ガイドラインを満たしていることを確認します。 資格情報ポリシーの構成のセクションを参照してください。

ステップ 3

モードの監査フレームワークを構成します。

Unity Connection の監査ログフレームワークを設定します。これには、すべての監査ログとアラーム用のリモート syslog サーバーの設定が含まれます。 監査フレームワークの構成のセクションを参照してください。

拡張セキュリティモードの設定

EnhancedSecurityMode を有効または無効にするには、次の手順に従います。 ただし、 EnhancedSecurityMode を有効にする前に FIPS モードを有効にする必要があります。

手順

ステップ 1

コマンドライン インターフェイスにログインします。

ステップ 2

utils EnhancedSecurityModestatus コマンドを実行して、モード ステータスが有効に設定されているか無効に設定されているかを確認します。

ステップ 3

モードが無効になっている場合は、次のコマンドを実行して、 EnhancedSecurityMode を有効にします。 

utils EnhancedSecurityMode enable
同様に、 utils EnhancedSecurityMode disable コマンドを実行してモードを無効にすることもできます。

ステップ 4

Cisco Unity Connection のすべてのノードに対してこの手順を繰り返します。

資格情報ポリシーの構成

システム資格情報ポリシーを更新するには、次の手順に従います。

手順

ステップ 1

Cisco Unity Connection Administration にログインします。

ステップ 2

[認証ルール(Authentication Rules)] > [認証ルールの編集(Edit Authentication Rule)] を選択します。

ステップ 3

要件に応じて認証ルールを更新します。

ステップ 4

[保存] をクリックします。

資格情報ポリシーの詳細については、「パスワード、PIN、および認証ルールの管理」の章を参照してください。

監査フレームワークの構成

Unity Connection の EnhancedSecurityMode の監査要件を設定するには、次のタスクを完了します。

手順

ステップ 1

リモート監査ログを構成します。

リモート監査ログ用の監査ログ構成を設定します。

ステップ 2

リモート監査ログ転送プロトコルを構成します。

(オプション)EnhancedSecurityMode が有効になっている場合、デフォルトでは、システムはリモート監査ログの転送プロトコルとして TCP を使用します。 この手順を使用して、UDP を使用するようにシステムを再構成できます。

ステップ 3

RTMT で、電子メールアラート用の電子メールサーバーをセットアップします。

ステップ 4

TCPRemoteSyslogDeliveryFailed アラートの電子メール通知を設定します。

リモート監査ログの構成

EnhancedSecurityMode で実行されている Unity Connection システムのリモート監査ログを設定する前に、次の点を確認してください。

  • リモート syslog サーバーをすでにセットアップしておく必要があります。

  • また、各クラスタ ノードとリモート Syslog サーバー間(間にあるゲートウェイを含む)に IPSec を構成する必要があります。

    IPSec 設定の詳細については、https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/os_administration/guide/b_15cucosagx.html の『Cisco Unified Communications Operating System Administration Guide for Cisco Unity Connection Release 15』の「Security」の章の「IPSEC Management」セクションを参照してください。

手順

ステップ 1

Cisco Unified Serviceability で、[ツール] > [監査ログ設定] を選択します

ステップ 2

[サーバー] ドロップダウン メニューから、パブリッシャー ノード以外のクラスター内の任意のサーバーを選択し、 [Go] をクリックします。

ステップ 3

[すべてのノードに適用(Apply to All Nodes)] チェックボックスをオンにします。

ステップ 4

[サーバー名(Server Name)] フィールドに、リモート syslog サーバーの IP アドレスまたは完全修飾ドメイン名を入力します。

ステップ 5

[監査ログ設定(Audit Log Configuration)] ウィンドウの残りのフィールドに値を入力します。 フィールドとその説明を含むヘルプについては、オンライン ヘルプを参照してください。

ステップ 6

[保存] をクリックします。

リモート監査ログ転送プロトコルの構成

リモート監査ログの転送プロトコルを構成するには、次の手順に従います。 EnhancedSecurityModeでは、デフォルト設定は TCP です。

手順

ステップ 1

コマンドライン インターフェイスにログインします。

ステップ 2

設定されているプロトコルを確認するには、 utils remotesyslog show protocol コマンドを実行します。

ステップ 3

プロトコルを変更する必要がある場合は、次の手順を実行します。

TCP を設定するには、utils remotesyslog set protocol tcp コマンドを実行します。
UDP を設定するには、utils remotesyslog set protocol udp コマンドを実行します。

ステップ 4

ノードを再起動します。

ステップ 5

すべての Unity Connection クラスタ ノードに対してこの手順を繰り返します。

アラート通知用の電子メールサーバーの構成

アラート通知用の電子メール サーバーを設定するには、次の手順に従います。

手順

ステップ 1

Real-Time Monitoring Tool のシステム ウィンドウで、[アラート セントラル(Alert Central)]をクリックします。

ステップ 2

[システム(System)] > [ツール(Tools)] > [アラート(Alert)] > [電子メールサーバーの設定(Config Email Server)] を選択します。

ステップ 3

[メールサーバー設定(Mail Server Configuration)] ポップアップで、メールサーバーの詳細を入力します。

ステップ 4

OKをクリックします。

メールアラートを有効にする

TCPRemoteSyslogDeliveryFailed アラームの電子メール アラートを設定するには、次の手順に従います。

手順

ステップ 1

リアルタイム監視ツールのシステム領域で、 [アラート セントラル] をクリックします。

ステップ 2

Alert Central ウィンドウで、 TCPRemoteSyslogDeliveryFailed を選択します。

ステップ 3

システム > ツール > アラート > アラートアクションの設定を選択します。

ステップ 4

アラートアクションポップアップで、 デフォルト を選択し、 編集をクリックします。

ステップ 5

アラートアクションポップアップで、 受信者を追加します。

ステップ 6

ポップアップ ウィンドウで、電子メール アラートを送信するアドレスを入力して、[OK]をクリックします。

ステップ 7

アラート アクション ポップアップで、 受信者 の下にアドレスが表示され、 有効 チェック ボックスがオンになっていることを確認します。

ステップ 8

OKをクリックします。