Cisco DNA Center Cisco DNA Center は、次の 2 つの方法で Software-Defined Access を実装します。
グループベースのアクセス コントロール ポリシーメ ニューを使用すると、スケーラブルグループアクセスポリシーを監視および管理できます。それらのポリシーには、次の利点があります。
-
ネットワークの自動化とアシュアランスの利点を備えた、豊富なアイデンティティベースのアクセスコントロール機能。
-
きめ細かいアクセス制御。
-
スケーラブルグループは、すべての仮想ネットワークに適用されるため、ポリシー管理が簡素化されます。
-
ポリシービューは、全体的なポリシー構造を理解し、必要なアクセス コントロール ポリシーを作成または更新するのに役立ちます。
-
さまざまなアプリケーションを切り替えてスケーラブルグループを管理し、保護される資産を定義する必要がなくなります。
-
エンタープライズ全体のアクセス コントロール ポリシーを展開するための拡張機能を提供します。
-
アイデンティティまたはネットワーク アドミッション コントロール(NAC)アプリケーションが配置される前に、ランサムウェアなどの脅威のラテラルムーブメントを制限します。
-
サードパーティのアイデンティティ アプリケーションを使用しているが Cisco ISE 移動する必要があるユーザに対して、Cisco Identity Services Engine(Cisco ISE)への簡単な移行パスを提供します。
Cisco DNA Center での IP プール、サイト、および仮想ネットワークの作成方法については、Cisco Digital Network Architecture Center ユーザガイド [英語] を参照してください。
Cisco DNA Center for Cisco ISE のインストールと設定の詳細については Cisco Digital Network Architecture Center 設置ガイド [英語] を参照してください。
Cisco ISE for Cisco DNA Center の設定の詳細については、Cisco Identity Services Engine 管理者ガイド [英語] を参照してください。
まず、スケーラブルグループと契約を定義してから、アクセス コントロール ポリシーを作成します。アクセス コントロール ポリシーでは、送信元スケーラブルグループから宛先スケーラブルグループに渡すことができるネットワークトラフィックを定義します。
-
スケーラブルグループ:ユーザ、ネットワークデバイス、またはリソースを割り当てることができる分類カテゴリ。スケーラブルグループは、アクセス コントロール ポリシーで使用されます。組織のネットワーク設定、アクセス要件、および制限に基づいて、スケーラブルグループを仮想ネットワークに関連付けることができます。
-
契約:アクセス契約は、送信元と宛先のスケーラブルグループ間の通過を許可されるネットワークトラフィックのタイプを制御する一連のルールです。つまり、契約はトラフィックフィルタの定義です。アクセス契約は、トラフィックがネットワーク アプリケーション、プロトコル、およびポートに一致したときに実行されるアクション(許可または拒否)を定義します。他のルールが一致しない場合、デフォルトアクションでは
Catch All ルールが使用されます。
-
グループベースのアクセス コントロール ポリシー:グループベースのアクセス コントロール ポリシーは、特定の送信元と宛先グループのペアを識別し、アクセス契約を関連付けます。アクセス契約では、送信元グループと宛先グループの間で許可または拒否されるトラフィックのタイプを指定します。これらのポリシーは一方向だけに作用します。
スケーラブルグループおよびアクセス契約は、アクセス コントロール ポリシーの基本的な構成要素です。アクセス コントロール ポリシーを作成する際には、前に作成したスケーラブルグループと契約を使用したり、ポリシーの作成時に新しいスケーラブルグループと契約を作成したりできます。特定の送信元グループからアクセスできるネットワークリソースを指定する場合は、1つの送信元グループと複数の宛先グループを含むアクセス
コントロール ポリシーを作成できます。一方、特定のネットワークリソースへのアクセスが許可されている送信元グループを指定する場合は、1 つの宛先グループと複数の送信元グループを含むアクセス コントロール ポリシーを作成できます。たとえば、「請負業者」送信元スケーラブルグループに関連付けられたユーザがアクセスできるネットワークリソースを指定する場合は、1
つの送信元グループと複数の宛先グループを含むアクセス コントロール ポリシーを作成できます。「財務サーバ」宛先スケーラブルグループへのアクセスが許可されている送信元グループを指定する場合は、1 つの宛先グループと複数の送信元グループを含むアクセス
コントロール ポリシーを作成できます。
送信元と宛先のスケーラブルグループの組み合わせに契約が指定されていない場合に使用するデフォルトポリシーを指定できます。デフォルトポリシーは [Permit] です。必要に応じて、このポリシーを [Deny]]、[Permit_IP_Log]、または [Deny_IP_Log] に変更できます。ネットワークタイプ、オープンネットワーク、またはクローズネットワークに基づいて、デフォルトポリシーを設定できます。
(注) |
すべてのネットワーク インフラストラクチャ デバイスに必要なネットワークトラフィックを許可する明示的なポリシーを作成した場合のみ、デフォルトポリシーを [Permit] から [Deny] に変更することをお勧めします。それ以外の場合に変更すると、すべてのネットワーク接続が失われる可能性があります。
|
リスト ビュー
[Group-Based Access Control] ウィンドウの右上にある [List] アイコンをクリックして、[List] ビューを起動します。
特定の送信元グループから使用可能な宛先グループを確認するには、[Source] ビューを使用します。特定の宛先グループへのアクセスが許可されている送信元グループを確認するには、[Destination] ビューを使用します。たとえば、「請負業者」送信元スケーラブルグループの一部であるユーザが使用できる宛先グループを確認するには、[Source] ビューを使用します。「財務サーバ」宛先スケーラブルグループにアクセスできる送信元グループを確認するには、[Destination] ビューを使用します。
[Deploy] をクリックして、更新されたポリシーをネットワークデバイスに展開します。[Deploy] をクリックすると、Cisco DNA Center は Cisco Identity Services Engine(Cisco ISE)に、ポリシーの変更に関する通知をネットワークデバイスに送信するように要求します。
マトリクス ビュー
[Group-Based Access Control] ウィンドウの右上にある [Grid] アイコンをクリックして、[Matrix] ビューを起動します。[Matrix] ビューはコアポリシービューであり、すべてのスケーラブルグループ(明示的またはデフォルトのいずれか)のすべてのポリシーの概要を提供します。[Matrix] ビューを使用して、すべての送信元と宛先のポリシーを表示し、全体的なポリシー構造を理解できます。[Matrix]
ビューからアクセス コントロール ポリシーを表示、作成、および更新できます。
[Matrix] ビューには、次の 2 つの軸があります。
特定の送信元スケーラブルグループと宛先スケーラブルグループのポリシーを表示するには、セルにカーソルを置きます。セルの色は、そのセルに適用されるポリシーに基づいています。次の色は、各セルに適用されるポリシーを示しています。
-
[Permit]:緑色
-
[Deny]:赤色
-
[Custom]:金色
-
[Default]:灰色
マトリックスの上部に表示される [Permit]、[Deny]、[Custom]、または [Default] アイコンにカーソルを置くと、そのポリシーが適用されているセルが表示されます。
セルをクリックすると、[Create Plicy] または [Edit Policy] スライドインペインが開き、選択したセルのポリシーを作成または編集できます。[Create Policy] スライドインペインには、送信元と宛先のスケーラブルグループが読み取り専用フィールドとして表示されます。ポリシーのステータスとアクセス契約を更新できます。
[Filter] オプションを使用して、選択した一連の送信元および宛先グループのポリシーマトリックスのサブセットを表示できます。フィルタを作成して、関心のあるポリシーだけに絞り込むことができます。フィルタを作成するには、含める送信元および宛先グループを選択します。
カーソルでマトリックスコンテンツ領域をドラッグするか、または水平および垂直スクロールバーを使用して、マトリックス内を移動できます。ミニマップを使用して、マトリックス内を移動することもできます。ミニマップを使用すると、マトリックスのサイズが大きく、画面サイズを超えている場合に、マトリックス内を簡単に移動できます。ミニマップは、画面上の任意の場所に動かして配置できます。ミニマップにはマトリックスビュー全体が表示されます。ミニマップの薄い灰色の部分は、画面に現在表示されているマトリックスの部分を表します。この領域をドラッグして、マトリックスをスクロールできます。
(注) |
ミニマップはデフォルトでは閉じられています。[Expand] アイコンをクリックして、ミニマップを展開して表示します。
|
セルを選択すると、[Matrix] ビューによってそのセルと対応する行(送信元スケーラブルグループ)と列(宛先スケーラブルグループ)が強調表示されます。選択したセルの座標(送信元および宛先スケーラブルグループ)がマトリックスコンテンツ領域の近くに表示されます。
[Deploy] をクリックして、更新されたポリシーをネットワークデバイスに展開します。[Deploy] をクリックすると、Cisco DNA Center は Cisco ISE に、ポリシーの変更に関する通知をネットワークデバイスに送信するように要求します。
Cisco DNA Center と Cisco ISE を統合します。Cisco ISE は、Cisco DNA Center の代わりにネットワークデバイスにポリシーをダウンロードするためのランタイム ポリシー プラットフォームを提供します。ポリシーの同期の問題を防ぐために、セキュリティグループ、セキュリティ グループ アクセス コントロール リスト(SGACL)、およびイーグレスポリシーの
[TrustSec Work Center] ユーザインターフェイス画面が Cisco ISE に読み取り専用モードで表示されます。