統合脅威防御(UTD)のマルチテナントに関する情報
Snort IPS および Web フィルタリングのマルチテナントを使用すると、1 つの Cisco CSR 1000v のインスタンスで 1 つ以上のテナントのポリシーを定義できます。この機能は、Cisco IOS XE Everest 16.6.1 で導入されました。
各テナントは、1 つ以上の VPN ルーティングおよび転送テーブル(VRF)を持つ VPN ルーティングおよび転送インスタンスです。統合脅威防御(UTD)のポリシーは、脅威検知プロファイルと Web フィルタリングプロファイルに関連付けられています。複数のテナントが UTD ポリシーを共有できます。
システムログには、テナントごとの統計情報の生成を可能にする VRF の名前が含まれます。
マルチテナントモードで使用する CLI コマンドは、シングルテナントモードで使用するものと似ています(Snort IPS および Web フィルタリング を参照)。マルチテナントでは、サブモードである utd engine standard multi-tenancy
に入り、UTD ポリシー、Web フィルタリング、および脅威検知プロファイルを設定します。utd engine standard multi-tenancy
のサブモードを終了すると、UTD ポリシーが適用されます。
Web フィルタリングと脅威検知(Snort IPS または IDS)の利点については、次の項で説明します。
Web フィルタリングの概要
Web フィルタリングにより、URL ベースのポリシーとフィルタを設定することで、インターネットへのアクセスを制御できます。Web フィルタリングは、悪意のあるもしくは不要な Web サイトをブロックし、ネットワークのセキュリティを強化することで、Web サイトへのアクセスの制御に役立ちます。個々の URL またはドメイン名をブロックリストに載せ、それらに対して許可リストポリシーを設定できます。レピュテーションまたはカテゴリに基づいて URL を許可またはブロックするようにプロビジョニングすることもできます。
Snort IPS の概要
Snort IPS 機能は、Cisco 4000 シリーズサービス統合型ルータおよび Cisco クラウドサービスルータ 1000v シリーズのブランチオフィスで侵入防止システム(IPS)または侵入検知システム(IDS)を実現します。この機能は、Snort エンジンを使用して IPS および IDS 機能を実現します。
Snort は、リアルタイムでトラフィック分析を行い、IP ネットワークで脅威が検出されたときにアラートを生成するオープンソースのネットワーク IPS です。また、プロトコル分析、コンテンツ検索またはマッチングを実行し、バッファオーバーフロー、ステルスポートスキャンなどのさまざまな攻撃やプローブを検出することもできます。Snort エンジンは、Cisco 4000 シリーズサービス統合型ルータおよび Cisco クラウドサービスルータ 1000v シリーズで仮想コンテナサービスとして実行されます。
Snort IPS 機能は、IPS または IDS 機能を提供するネットワーク侵入検知および防止モードで動作します。ネットワーク侵入検知および防止モードでは、Snort は次のアクションを実行します。
-
ネットワークトラフィックをモニタし、定義されたルールセットに照らしあわせて分析します。
-
攻撃の分類を行います。
-
一致したルールに照らしあわせてアクションを呼び出します。
要件に応じて、IPS または IDS モードで Snort を有効にできます。IDS モードでは、Snort はトラフィックを検査し、アラートを報告しますが、攻撃を防ぐためのアクションは実行しません。IPS モードでは、侵入検知に加えて、攻撃を防ぐためのアクションを実行します。
Snort IPS はトラフィックをモニタし、イベントを外部ログサーバまたは IOS syslog に報告します。IOS syslog へのロギングを有効にすると、ログメッセージが大量に発生する可能性があるため、パフォーマンスに影響する場合があります。Snort ログに対応する外部のサードパーティ製のモニタリングツールを、ログの収集と分析に使用できます。
Snort IPS ソリューション
Snort IPS ソリューションは、次のエンティティで構成されています。
-
Snort センサー:トラフィックをモニタして、設定されたセキュリティポリシー(署名、統計情報、プロトコル分析など)に基づいて異常を検出し、アラートサーバまたはレポートサーバにアラートメッセージを送信します。Snort センサーは、仮想コンテナサービスとしてルータに導入されます。
-
署名ストア:定期的に更新される Cisco 署名パッケージをホストします。これらの署名パッケージは、定期的にもしくはオンデマンドで Snort センサーにダウンロードされます。検証済みの署名パッケージは Cisco.com に掲載されます。設定に基づいて、署名パッケージを Cisco.com またはローカルサーバからダウンロードできます。
次のドメインは、次の cisco.com から署名パッケージをダウンロードするプロセスにおいてルータによってアクセスされます。
-
api.cisco.com
-
apx.cisco.com
-
cloudsso.cisco.com
-
cloudsso-test.cisco.com
-
cloudsso-test3.cisco.com
-
cloudsso-test4.cisco.com
-
cloudsso-test5.cisco.com
-
cloudsso-test6.cisco.com
-
cloudsso.cisco.com
-
download-ssc.cisco.com
-
dl.cisco.com
-
resolver1.opendns.com
-
resolver2.opendns.com
(注)
署名パッケージを保持するためにローカルサーバから署名パッケージをダウンロードする場合は、HTTP のみに対応します。
Snort センサーが署名パッケージを取得するには、Cisco.com の認証情報を使用して、署名パッケージを Cisco.com からローカルサーバに手動でダウンロードする必要があります。
URL が IP アドレスとして指定されていない場合、Snort コンテナは(ルータに設定された DNS サーバ上で)ドメイン名ルックアップを実行して、Cisco.com によるまたはローカルサーバ上の自動署名更新の場所を解決します 。
-
-
アラートまたはレポートサーバ:Snort センサーからアラートイベントを受信します。Snort センサーによって生成されたアラートイベントは、IOS syslog または外部 syslog サーバ、もしくは IOS syslog と外部 syslog サーバの両方に送信できます。Snort IPS ソリューションに付属している外部ログサーバはありません。
-
管理:Snort IPS ソリューションを管理します。管理は、IOS CLI を使用して設定します。Snort センサーには直接アクセスできず、すべての設定は IOS CLI を使用してのみ行えます。