Cisco Tetration Analytics アプリケーション セグメンテーション
Cisco Tetration Analytics™ プラットフォームを利用することで、アプリケーションの依存関係とやり取りを詳細に把握でき、信頼性が向上するとともに、ゼロトラスト運用が簡素化されます。オンプレミス データセンター、およびプライベート クラウドとパブリック クラウドの環境全体で一貫性のあるポリシー適用を使用して、効果的なアプリケーション セグメンテーションを実現します。
製品概要
Cisco Tetration Analytics プラットフォームを利用することで、データセンター管理者やセキュリティ運用管理者は、アプリケーション向けに安全なインフラストラクチャを構築できます。アプリケーション セグメンテーションを使用すると、高度に分散されたハイブリッド環境に、一貫性のあるゼロトラスト モデルを実装できます。
アプリケーション セグメンテーションにより、データセンター管理者およびセキュリティ運用管理者は、ベアメタルおよび仮想マシンの両方で動作するミッション クリティカルなアプリケーションに対する、独自性の高いネットワーク セグメンテーション ポリシーの適用を自動化できます。このモデルでは、オンプレミスのデータセンターと、パブリック クラウドおよびプライベート クラウドにわたって一貫性のあるポリシーを適用することで、攻撃を受けやすいデータセンターの攻撃対象範囲を縮小します。また、データセンターのセキュリティに関する定期タスクの自動化によって運用効率が向上します。このようなタスクには、アプリケーション セグメントのディスカバリと定義、より広範な組織のビジネス ポリシーと調整のとれたポリシーの定義、これらのポリシーの自動適用によるセグメントの保護があります。さらに、プラットフォームは、アプリケーションの動作の逸脱を自動的に特定し、ポリシー更新の適切なワークフローを開始します。
Cisco Tetration Analytics プラットフォームでのアプリケーション セグメンテーションは、アセット タギング、ワークフローとワークスペース、ワンクリックでのポリシー適用という独自性の高い 3 つの機能により実現しています(図 1)。
アセット タギングにより、お客様は、テレメトリ データとワークロードの特性を表す追加情報を注釈として付与することができます。このタギングにより、アプリケーション セグメンテーションに含めるリソースの特定が、インターネット検索と同程度に簡単になります。管理者は、強力なキーワードのボキャブラリ、および Boolean 演算子を適切に使用して、特定のワークロード特性を制御されるポリシーを定義できます。たとえば、実稼働データベース サーバをインターネットと通信させないよう指定するポリシーを定義できます。
アプリケーション ワークスペースにより、特定の関係者を犠牲にすることなく、組織の境界を越えたコラボレーションが可能になります。これらのワークスペースでは、複数のリソース プールはそれぞれ互いに分離されます。アプリケーションのセグメンテーション ポリシーは、複数のワークスペースにまたがって適用可能です。Cisco Tetration Analytics プラットフォームは、階層的な方法で透過的にポリシーをマージします。
Cisco Tetration Analytics プラットフォームでは、絶対ポリシー(これは企業ポリシーの一部である場合もあります)を、アプリケーション ワークスペースを通じて生成される自動ポリシーとマージできます。アプリケーション セグメンテーションを制御するポリシー セットが確定すると、その適用はクリック 1 回でトリガーされます。自動化されたポリシー適用は、ワークロード上で動作する Cisco Tetration Analytics ソフトウェア センサーを通じて実行されます。ソフトウェア センサーは、ワークロードのオペレーティング システム機能を使用して適用を調整します。このアプローチにより、ハイブリッド データセンター全体の異種混在のリソース プールに対して効果的なアプリケーション セグメンテーションを実現できます。
機能と利点
表 1 に、Cisco Tetration Analytics アプリケーション セグメンテーションの主な機能と利点を示します。
表 1. 主な機能と利点
| 機能 |
利点 |
| ゼロデイ攻撃に対する準備 |
ゼロデイ攻撃に対する脆弱性を排除します。 Cisco Tetration Analytics プラットフォームから適用されるポリシーにより、必要なトラフィックのみが許可され、その他のすべてのトラフィックはブロックされます。このアプローチにより、永続的な脅威がゼロデイに新たな脆弱性を挿入したり探索したりするのを防止します。 |
| 分散型の導入アーキテクチャ |
ハイブリッド データセンターに分散した異種混在のワークロード向けに、スケーラブルな導入アーキテクチャを導入します。 アプリケーション セグメンテーションは、2 つの主要コンポーネント(エンフォースメント ポイントとしてのソフトウェア センサーと、Tetration Analytics プラットフォーム)の導入によって実現します。センサーは、ベアメタル システムまたは仮想マシンのいずれかのワークロードに設置されます。バックエンドの Cisco Tetration Analytics プラットフォームは、ソフトウェア センサーを通じてポリシーを適用します。このプラットフォームには、複数のテナントとロールに拡張可能なワークロードをサポートする大規模なデータストアが含まれており、数千種類のアプリケーションにわたる多数のポリシーのライフサイクル管理に役立ちます。 |
| リアルタイムのアセット タギング |
アプリケーション セグメンテーションを目的とした、時間のかかるリソース リストの手動作成を排除します。アセット タグを使用して、セグメンテーションのデフォルト設定と絶対ポリシーを定義します。 セグメントに含めるリソースのコレクションを特定するには、インベントリ全体でユーザ定義の基準を検索するクエリを 1 つ以上実行します。クエリは、キーワードと Boolean 演算子の強力な組み合わせをサポートしており、最新のビッグデータ インフラストラクチャに実装され、1 秒以内の応答が実現しています。この機能により、データセンター管理者は、アプリケーションに対して一貫性のあるポリシーをすばやく設定できます。 |
| ワークフローとワークスペース |
組織の境界を越えてポリシーの定義と検証を共同作業化し、コラボレーションを促進します。クリック操作に対応した、トポロジ、ポリシー、リソースの多面的なビューを通じて、データセンターのセキュリティ ポリシー フレームワークの定義、検出、可視化、検証を行います。組み込みのワークフローを使用して、マイクロセグメントにまたがって適用するポリシー セットを、協力して定義します。 組み込みのワークフローに従って、適用するポリシー セットを定義するか、手始めのテンプレートとしてワークフローを使用し、編集してカスタマイズします。Application Dependency Mapping(ADM)およびフロー検索ツールを使用してワークフローをさらに微調整し、次のことを実現します。
● アプリケーション トポロジの可視化
● ポリシー マップの可視化
● クラスタ アプライアンスに保存された履歴データに対してポリシーをバックテスト
● クリック操作でフロー データまで進むことで、ポリシーのトラブルシューティングを実行。フロー全体の中で必要な詳細を見つけます
● スキーマベースまたはメタデータ タグベースのクエリを使用して数十億件の履歴レコードに対してクエリを実行し、1 秒以内に応答を受信
ワークフローのコラボレーション機能により、ロールベース アクセス コントロール(RBAC)とワークスペースを使用して組織全体で合意を形成します。その後で、バージョン管理されたテンプレートとしてポリシーを保存します |
| ハイブリッド データセンター全体の異種混在のワークロードに対してポリシーをワンクリックで適用 |
アプリケーション セグメンテーションを使用してセキュリティ フレームワークを適用し、攻撃を受けやすい攻撃対象範囲を縮小します。 クリック 1 回でポリシーを適用します。Linux 環境および Microsoft Windows 環境のメカニズムを使用して、セキュリティ ポリシーを適用します。Cisco Tetration Analytics プラットフォームでは、ポリシーが正規化されます。最終的なポリシー セットは、単一のテナントが所有するワークスペースにわたって、RBAC で承認されたユーザが設定した優先順位付けを継承します。 |
| カスタム アプリケーションを使用した、ユーザ定義の分析、レポート、アラート、ダッシュボード |
業界標準のノートブック アプリケーションを使用して、カスタムのライブ コンテンツを作成します。 カスタム アプリケーションは次の目的で使用します。
● ローカル データを外部インターネット ベースのコンテキスト情報と組み合わせて使用できる、ライブ レポートを作成
● カスタム アラートを作成し、アラート過多を回避
● オープン ソース ライブラリを使用してグラフィックによるダッシュボードを構築
|
効率を向上させる機能
アセット タギング、アプリケーション ワークスペース、自動ポリシー適用により、IT 管理者の運用効率を高め、Cisco Tetration Analytics プラットフォームの魅力を新たな関係者にも拡大します。効率性が、自動化と分析によって向上します。分析ベースの情報により、管理者はデータセンターの運用に関して独自の視点を獲得し、効率の向上を促進することができます。
リアルタイムのアセット タギング
ワークフローとワークスペースは、運用を抽象化するものですが、効率性を実現するための詳細さとコンテキストが犠牲になることはありません。タグを使用することで、エンドユーザが高度にカスタマイズすることができます。すべてのアセットには複数(最大 32 個)のタグを設定でき、アセットのアイデンティティに対する組織上および運用上のセマンティックを追加できます。これらのタグは、CMDB などの外部システムから API を介してインポートすることも、Web ユーザ インターフェイスを介してアップロードすることもできます。
アセットはこれらのタグで参照することができ、タグを参照として使用することで複雑なクエリを作成できます。クリック操作によるドリルダウン分析も、ネットワーク アイデンティティに加えてタグに対応しています。この機能により、このプラットフォームでは IT レベルの専門知識を前提条件としないクエリに簡単に応答できるため、IT 管理者に加えてビジネス アナリストやデータ サイエンティストなどの関係者にとっても、Cisco Tetration Analytics プラットフォームの魅力が高まります。
ワークフローとワークスペース
データセンター セキュリティ フレームワークの作成における課題は、異種環境の大量のワークロード全体に適用できる最終的なポリシー セットを作成することです。従来のインフラストラクチャとツールを使用したポリシー定義は、時間がかかる手作業のプロセスであり、現代のアプリケーションの動的な要件に対応できません。その結果、ポリシー セットは静的で、現代のアプリケーションを保護するには不十分であり、あるアプリケーションのニーズに偏向することで、それ以外の特定の利害を犠牲にするものになります。
Cisco Tetration Analytics プラットフォームは、最新のビッグデータ テクノロジーを使用して、ワークフローやワークスペースなど、組織で使い慣れた表現を提供します。IT 管理者は、アセットの所有権を反映するワークスペースを作成することや、組織構造を細かく反映して RBAC で定義された役割と責任範囲を使用してアクセスを制御することができます。また、組織のビジネス プロセスをワークフローに取り込み、一般的なタスクを自動化することもできます。
ワークスペースは、トポロジ表示、アセット インベントリ、ポリシーのコレクションであり、スナップショットとして保存され、バージョン管理をサポートしています。バージョン管理により、以前に確認されたスナップショットの状態にワークスペースを復元するためのロールバックが可能になります。複数のワークスペースを 1 つのテナントが所有することが可能であり、組織の構造とプロセスを反映したワークフローに含めることができます。ワークスペースは 1 つのテナント内で共有でき、ワークフローとの連携が可能です。ワークフローにより、ディスカバリ段階から最終のコミット段階までのポリシー、インベントリ、トポロジを含む、データセンターのセキュリティ フレームワークの発展が加速されます。このアプローチを使用することで、セグメンテーション ポリシーには、Cisco Tetration Analytics アプリケーション情報の一部として生成されたホワイトリスト ポリシーや、セキュリティ運用のような高レベルのエンティティによる定義済みポリシーが組み込まれます。Cisco Tetration Analytics プラットフォームは、このポリシーを適用する前に、優先度と階層に基づいてポリシーを正規化します。
ポリシーの適用とコンプライアンス
セグメンテーション ポリシーは、異種混在のインフラストラクチャ全体および大規模でのソフトウェア センサーのエンフォースメント ポイントを通じて適用されます。適用はネイティブのオペレーティング システム機能を使用して実行されるため、センサーをデータ パスに配置する必要性がなく、フェールセーフなオプションが提供されます。さらに、仮想化環境では、このメカニズムによってセグメンテーション ポリシーが確実にワークロードとともに移動するため、インフラストラクチャ固有のセグメンテーション ポリシーについて懸念することなくアプリケーションのモビリティを高めることができます。アプリケーションの依存関係や通信パターンが変化すると、プラットフォームによって自動的にポリシーが更新されます(図 2)。
ライセンス
ポリシーのエンフォースメントおよびアプリケーション セグメンテーションは、その機能を有効にしたソフトウェア センサーの数に基づくアドオン ライセンスです。ソフトウェア センサーは、テレメトリ専用として、またはテレメトリとエンフォースメントについて有効化できます。エンフォースメントのアドオン ライセンスが必要なのは、エンフォースメント ポイントとしても機能するソフトウェア センサー数のみです。
導入モデルと規模
Cisco Tetration Analytics プラットフォームは、アプライアンスと同様の操作性を備えています。データセンターの規模、および導入先が物理ハードウェアかパブリック クラウドかに応じて、柔軟な導入オプションが用意されています。現在、次の 3 つの導入オプションが用意されています。
● Cisco Tetration Analytics プラットフォーム大型フォーム ファクタ:この導入オプションは、サーバ 36 台と Cisco Nexus® 9300 プラットフォーム スイッチ 3 台で構成されます。サーバ(仮想マシンまたはベア メタル)1,000 台超をホストするデータセンターに適しています。表 2 に、検証済みのサポートされる規模を示します。また、表 3 に、大型フォーム ファクタ オプションの電力および冷却の要件を示します。
表 2. Tetration Analytics 大型フォーム ファクタ プラットフォーム規模
| プラットフォームの特性 |
値 |
| テレメトリ データを分析できる同時サーバ数(仮想マシンまたはベア メタル) |
10,000 以下 |
| 1 秒あたりの処理可能フロー イベント数 |
1 秒あたり 200 万 |
表 3. 大型フォーム ファクタの電力および冷却の仕様
| プラットフォーム要件 |
Cisco Tetration Analytics プラットフォーム |
| Cisco Tetration Analytics プラットフォーム大型フォーム ファクタのピーク電力(39 ラックユニット [39 RU] シングルラック オプション)* |
22.5 kW |
| Cisco Tetration Analytics プラットフォーム大型フォーム ファクタの最大冷却要件(39 RU シングルラック オプション)* |
50,000 BTU/時 |
| Cisco Tetration Analytics プラットフォーム大型フォーム ファクタの総重量(39 RU シングルラック オプション) |
1800 ポンド |
| Cisco Tetration Analytics プラットフォーム大型フォーム ファクタのピーク電力(39 RU デュアルラック オプション) |
1 ラックあたり 11.25 kW(合計 22.5 kW) |
| Cisco Tetration Analytics プラットフォーム大型フォーム ファクタの最大冷却要件(39 RU デュアルラック オプション) |
1 ラックあたり 25,000 BTU/時 |
| Cisco Tetration Analytics プラットフォーム大型フォーム ファクタの総重量(39 RU デュアルラック オプション) |
ラックあたり 900 ポンド |
● Cisco Tetration-M(小型フォーム ファクタ):この導入オプションは、サーバ 6 台と Cisco Nexus 9300 プラットフォーム スイッチ 2 台で構成されます。サーバ(仮想マシンまたはベア メタル)1,000 台未満のデータセンターに適しています。表 4 に、検証済みのサポートされる規模を示します。また、表 5 に、Cisco Tetration-M プラットフォームの電力および冷却の要件を示します。
表 4. Cisco Tetration-M 規模
| プラットフォームの特性 |
数量 |
| テレメトリ データを分析できる同時サーバ数(仮想マシンまたはベア メタル) |
最大 1000 |
| 1 秒あたりの処理可能フロー イベント数 |
200,000/秒 |
表 5. Cisco Tetration-M の電力および冷却の仕様
| プラットフォーム要件 |
Cisco Tetration Analytics プラットフォーム |
| Cisco Tetration-M(8RU)のピーク電力 |
5.5 kW |
| Cisco Tetration-M(8RU)の最大冷却要件 |
4000 BTU/時 |
● Cisco Tetration Cloud(Amazon Web Services [AWS] パブリック クラウド):この導入オプションでは、Cisco Tetration Analytics ソフトウェアを AWS インスタンスで実行できます。Cisco Tetration Analytics 用の AWS インスタンスはお客様が所有します。このオプションは、サーバ(仮想マシンまたはベア メタル)1000 台未満のデータセンターに適しています。プライベート クラウドまたはオンプレミスで実行されるワークロードにソフトウェア センサーを導入する場合は、Cisco Tetration Cloud に接続するために AWS Direct Connect が必要です。
サポートされているオペレーティング システム
表 6 に、自動ポリシー適用がサポートされるオペレーティング システムを示します。
表 6. ポリシー適用がサポートされるオペレーティング システム
| サーバ モード |
オペレーティング システム |
配布とリリース |
| 仮想マシンとベアメタル サーバ |
Linux |
● Red Hat Enterprise Linux リリース 6.x
● CentOS リリース 6.x
|
| Microsoft Windows Server |
● Microsoft Windows Server 2012 Standard、Enterprise、Essentials、Datacenter の各エディション
|
発注情報
表 7 と表 8 に、Cisco Tetration Analytics 大型フォーム ファクタおよび Tetration-M フォーム ファクタ向けのハードウェアおよびソフトウェア バンドルの製品番号を示します。
表 7. Cisco Tetration Analytics プラットフォーム大型フォーム ファクタ向けのハードウェアおよびサブスクリプション ソフトウェア バンドル
| バンドル型番 |
バンドルに含まれる製品番号 |
説明 |
| C1-TETRATION |
TA-CL-G1-39-K9 |
ハードウェア、ソフトウェア サブスクリプション ライセンス、および導入に関するシスコ アドバンスド サービス固定料金(AS-Fixed)を含む、Cisco Tetration Analytics バンドルの製品番号。AS-Fixed は追加料金なしで含まれます。 |
| 最大 10,000 台のサーバ(仮想マシンまたはベア メタル)からの Cisco Tetration Analytics テレメトリ データの処理をサポートする、サーバ 36 台とスイッチ 3 台で構成される Cisco Tetration Analytics ハードウェア プラットフォーム。 |
||
| C1-TA-SW-K9 |
Cisco Tetration Analytics ソフトウェア サブスクリプション ライセンスのバンドル製品番号。詳細については、表 12 を参照してください。 |
|
| ASF-DCV1-TA-QS-M |
Cisco Tetration Analytics 導入サービスの AS-Fixed 製品番号。 |
表 8. Cisco Tetration-M のハードウェアおよびサブスクリプション ソフトウェア バンドル
| バンドル型番 |
バンドルに含まれる製品番号 |
説明 |
| C1-TETRATION-SM* |
TA-CL-G1-SFF8-K9* |
ハードウェア、ソフトウェア サブスクリプション ライセンス、および導入に関するシスコ アドバンスド サービス固定料金(AS-Fixed)を含む、Cisco Tetration Analytics バンドルの製品番号。AS-Fixed は追加料金なしで含まれます。 |
| サーバ 6 台とスイッチ 2 台で構成される Cisco Tetration Analytics ハードウェア プラットフォームは、Cisco Tetration-M に必須です。 |
||
| C1-TA-SW-K9 |
Cisco Tetration Analytics ソフトウェア サブスクリプション ライセンスのバンドル製品番号。 |
|
| ASF-DCV1-TA-QS-M |
Cisco Tetration Analytics 導入サービスの AS-Fixed 製品番号。 |
表 9. Cisco Tetration Analytics 大型フォーム ファクタおよび Tetration-M 向けのサブスクリプション ソフトウェア ライセンス
| バンドル型番 |
バンドルに含まれる製品番号 |
説明 |
| C1-TA-SW-K9 |
C1-TA-BASE-1K-K9 |
Cisco Tetration Analytics ソフトウェア サブスクリプション ライセンスのバンドル製品番号。 |
| サーバ(仮想マシンまたはベア メタル)1000 台単位で提供される Cisco Tetration Analytics サブスクリプション ソフトウェア ライセンス。1 から 10 までの値を選択してください。たとえば、数量 5 は、ソフトウェア センサー インスタンス最大 5000 まで対応するライセンス価格となります。 |
||
| C1-TA-ENF-1K-K9* |
サーバ(仮想マシンまたはベア メタル)1000 台単位で提供される Cisco Tetration Analytics サブスクリプション ソフトウェア適用アドオン ライセンス。1 から 10 までの値を選択してください。たとえば、数量 5 は、ソフトウェア センサー インスタンス最大 5000 まで対応するライセンス価格となります。 |
また、ソフトウェア サブスクリプション ライセンスの製品番号に関する以下の追加情報も念頭に置いてください。
● サブスクリプション期間は 1 年、3 年、5 年から選択できます。
● サブスクリプション価格にはソフトウェア サポートが含まれます。
● サブスクリプション階層は、入力された数量に基づいて自動的に選択されます。
● サブスクリプションは、期間終了時に自動更新するよう設定されます。
● 年額課金オプションまたは期間全体の前払いを選択できます。
● ソフトウェア センサー インスタンスのライセンスをさらに追加できます。
表 10. Cisco Tetration Cloud 向けソフトウェア バンドル
| バンドル型番 |
バンドルに含まれる製品番号 |
説明 |
| C1-TETRATION-V* |
C1-TA-V-SW-K9* |
仮想フォーム ファクタ向けのソフトウェア サブスクリプション ライセンスを含む Cisco Tetration Analytics バンドルの製品番号。 |
| Cisco Tetration Analytics ソフトウェア サブスクリプション ライセンスのバンドル製品番号。 |
表 11. Cisco Tetration Cloud 向けサブスクリプション ソフトウェア ライセンス
| バンドル型番 |
バンドルに含まれる製品番号 |
説明 |
| C1-TA-V-SW-K9* |
C1-TA-BASE100-K9* |
Cisco Tetration Cloud でのみ利用可能な、Cisco Tetration Analytics ソフトウェア サブスクリプション ライセンスのバンドル製品番号。 |
| サーバ(仮想マシンまたはベア メタル)100 台単位で提供される Cisco Tetration Analytics サブスクリプション ソフトウェア ライセンス。1 から 10 までの値を選択してください。たとえば、数量 5 は、ソフトウェア センサー インスタンス最大 500 まで対応するライセンス価格となります。 |
||
| C1-TA-ENF100-K9* |
サーバ(仮想マシンまたはベア メタル)100 台単位で提供される Cisco Tetration Analytics サブスクリプション ソフトウェア適用アドオン ライセンス。1 から 10 までの値を選択してください。たとえば、数量 5 は、ソフトウェア センサー インスタンス最大 500 まで対応するライセンス価格となります。 |
シスコの専門知識を活かして成功を導く
シスコは、組織が Cisco Tetration Analytics プラットフォームを最大限に活用できるよう、プロフェッショナル サービスおよびサポート サービスを提供します。シスコ サービスのエキスパートが、お客様の実稼働データセンター環境にこのプラットフォームを統合し、お客様のビジネス目標に適したユース ケースを定義します。また、機械学習を調整し、ポリシーとコンプライアンスを検証して、アプリケーションと運用のパフォーマンスを向上させます。Cisco Tetration Analytics 向け Cisco Solution Support が、ハードウェア、ソフトウェア、ソリューション レベルのサポートを提供します。
1 つの年間契約で、すべてのサポート ニーズに対応します。Cisco Tetration Analytics Services の専門知識を活用することで、投資を早期回収し、お客様の環境への導入を普及させ、ポリシーおよびアプリケーション パフォーマンスが最適化され、ソリューション全体のサポートを受けられます。
目標の達成を支援するシスコ キャピタル ファイナンス プログラム
シスコ キャピタル® は、目的達成と競争力の維持に必要なテクノロジーの調達をサポートします。設備投資(CapEx)の削減、企業の成長促進、投資と ROI の最適化を支援します。Cisco Capital のファイナンス プログラムにより、ハードウェア、ソフトウェア、サービス、および関連するサードパーティ製機器を柔軟に購入することができます。また、それらの購入を 1 つにまとめた計画的なお支払い方法をご用意しています。Cisco Capital ファイナンスは、世界 100 ヵ国以上でご利用いただけます。詳細はこちら。
関連情報
Cisco Tetration Analytics プラットフォームの詳細については、http://www.cisco.com/jp/go/tetration を参照するか、最寄りのシスコ代理店にお問い合わせください。
フィードバック