オペレーティング システムとセキュリティ強化

セキュリティの強化

Unified Communications Manager 12.5SU3 のセキュリティ機能の概要を以下に示します。 以下の一部の項目は、Cisco の標準製品マニュアルの更新が予定される前に提供されています。

Unified Communications Manager VMware vSphere ESXi に基づく仮想ハードウェア上で仮想マシンとして実行されます。 従来のサーバベースの製品とは異なり、 Unified Communications Manager は、クローズドシステムの、即時使用可能な「アプライアンス」ワークロードとして配布されるソフトウェア製品であり、次の機能を備えています:

  • 攻撃対象領域を減らす

  • より安定した、より高性能な構成を提供

  • 構成エラーによる脆弱性を回避

  • 管理と修正メンテナンスを簡素化、OS / DB のスキル セットを必要とせずに

Unified Communications Manager ワークロードレイヤー強化のハイライトには以下のようなものがあります:

  • Unified Communications Manager 汎用 / オープンシステムのワークロードではありません。

    • 汎用 OS ディストリビューションは使用しません。

      • 未使用のモジュールはイメージから除外され、未使用のサービスは無効化/削除されます。

      • 特定のモジュールに独自の強化変更を加えます (たとえば、OpenSSL は Cisco の Security and Trust Organization によって強化され、その結果として得られる CiscoSSL は製品に組み込まれています)。

    • ゲスト OS、データベース、ランタイム、その他のワークロード ソフトウェア コンポーネントへのネイティブ インターフェイスは公開されません。

      • それらは削除されるか、非表示になってロックダウンされます。

      • アクセスは、Cisco が提供するブラウザベースの GUI、CLI、または API を通じてのみ行われます。これらのインターフェイスをセキュリティ保護するためのさまざまなメカニズムがあります (例: SSH 経由の CLI、またはセキュア FTP 経由のワークロードへのファイルの取り込み)。

    • 製品は、アプリケーションの操作、保守、セキュリティ保護、管理に必要なすべてのソフトウェアを含む、慎重に制御されたスタックで構成されています。 Cisco が提供し、デジタル署名したイメージを使用して、このソフトウェアのすべてを指定、インストール、更新します。

    • 上記のすべての情報は、Cisco セキュア製品ライフサイクル開発アプローチの開発およびテスト プロセスの対象となります。次を参照: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-secure-development-lifecycle.pdf

  • Unified Communications Manager ワークロードレイヤーは、Cisco 以外のソフトウェアの挿入、および上記の管理対象 Cisco が提供するインタフェース以外のソフトウェアの更新/変更をサポートしていません。

    • ワークロード内のすべてのソフトウェアは Cisco により提供され、デジタル署名され、一枚岩のイメージ (.ISO ファイル) として配信されます。

    • ソフトウェアをインストール、アップグレード、および更新する唯一の方法は、Cisco が提供する .ISO または .COP ファイルを使用することです。

    • .ISO ファイルは、Cisco イメージ中のソフトウェア要素の 1 つ、一部、またはすべてをインストールまたは更新します。.COP ファイルは、単一の要素 (一般的にはユーザ ロケールと電話ファームウェアの更新) の更新に使用されます。

    • 以下は有効になっていない、または可能ではありません。

      • アンチウイルスクライアント、UPS エージェント、管理エージェントなどのオンボードエージェント。

      • 顧客がアップロード可能なソフトウェアまたは外部からアップロード可能なソフトウェア。

      • サードパーティのアプリケーション。

  • ワークロード内のゲスト OS への「ルート アクセス」が有効になっていません。

    • 顧客は Cisco が提供する GUI、CLI、および/または API で認証を使用します。

    • ワークロードに公開されるすべてのインターフェイスはセキュリティ保護されています (例えば、パスワード複雑度ルールの強制、telnet の代わりの SSH、構成可能な最小バージョンの TLS 1.2 など)。

    • フィールドでの通常の GUI/CLI/API では修正できない緊急事態の場合、顧客は一時的な「リモートアカウント」をセットアップして、Cisco Technical Assistance Center (TAC) エキスパートがルートアクセスを取得できるようにすることができます。 顧客は制御を維持し、自動期限付きアカウントをオンまたはオフにすることができます。 TACによって実行され、記録されるすべてのアクションを通じて、顧客はTAC担当者が何を行っているかを確認することができます。

  • 組み込みの侵入防御機能:

    • SELinux 保護モード。ホストベースの侵入防御を提供します。

      • SELinux 保護モードはデフォルトで有効になっています。 このモードは、アプリケーション、デーモンなどをジョブ実行に必要な「最小限の権限」に制限する必須のアクセス制御を実施します。

    • IPtables ホストベースのファイアウォール:

      • IPtables はデフォルトで有効になっています。

      • ルールは Cisco Service Activation によって調整され、適切なポートを開くようにし、そのサーバで使用されているサービスの適切なレート制限が適用されます。

      • IPtable ルールは次のコマンドを使用して表示できます:

        • utils ファイアウォール ipv4 リスト

        • utils ファイアウォール ipv6 リスト

上記の強化機能に加えて、 Unified Communications Manager システムは OS、DB、アプリケーションソフトウェアのセキュリティ監査ログを行います。 3 つのセキュリティ監査ログが含まれます:

  • Linux の監査ログ。

  • Unified CM アプリケーション監査ログ。

  • Informix データベース監査ログ。

組織の情報セキュリティ要件に準拠するようにシステムを構成することが可能な構成設定もあります。 システム管理者による構成が可能なセキュリティ設定およびユーティリティには以下が含まれます:

  • パスワードポリシーを定義する。 すべてのパスワードと PIN はハッシュ化または暗号化され、クリア テキストでは保存されません。

  • アカウントのロックアウト設定と資格情報ポリシー。

  • 警告バナーテキスト。

  • シグナリングとメディアの TLS/SRTP を有効にします。

  • 電話堅牢化の設定。

  • TLS を使用しない接続を保護するための IPSec。

  • 自己署名 PKI 証明書を CA 署名に変更する。

  • FIPS モードまたは Common Criteria モードを有効にする。

  • スマートカードまたは生体認証リーダーのサポートを含む SAML シングルサインオンを有効にする。

  • すべてのネットワーク接続、プロセス、アクティブなパッケージを表示します。

    • 「show ネットワーク ステータス 詳細 nodns すべて」開いているポートの詳細を取得します。「netstat -an」Unix コマンドと同等です。

    • 「show process list detail」すべてのプロセスのリストと各プロセスに関する重要な情報を取得します。「ps -ef」Unix コマンドと同等です。

    • "show packages active" インストールされているアクティブなパッケージの名前とバージョンを表示します。

構成可能なセキュリティオプションの詳細については、『Cisco Unified Communications Manager セキュリティガイド』を参照してください。

Cisco の UC 製品は、定期的にテストおよび検証されており、以下を含むさまざまな政府認証に準拠しています。

  • 米国国防総省情報ネットワーク承認製品リスト (DoDIN APL)

  • FIPS 140-2 レベル 1

  • FedRAMP

  • コモン クライテリア

  • 適用可能な米国国防総省セキュリティ技術導入ガイド (STIGs)

Cisco 政府認証の詳細については、次を参照してください。 https://www.cisco.com/c/en/us/solutions/industries/government/global-government-certifications.html

セキュリティの脆弱性の警告と管理に関する全作業は、Cisco Product Security Incident Response Team (PSIRT) の管轄下にあります。 Unified Communications Manager Cisco PSIRT は、Cisco 製品に関連するセキュリティの脆弱性と問題に関する情報の受領、調査、公開レポートを管理する専任のグローバル チームです。 次のことを行ってください:

  • Cisco セキュリティ勧告と警告ページ (https://tools.cisco.com/security/center/publicationListing.x) で、展開に影響する可能性があるセキュリティ問題に関する警告を監視してください。

  • 特定の PSIRT の Cisco.com セキュリティ アドバイザリ ページを見て、影響を受ける製品、回避策、恒久的な修正を確認してください。

詳細については、次を参照してください。 https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html