SASE を使用したブリッジの構築

セキュア アクセス サービス エッジ（SASE）は、ネットワーキング機能とセキュリティ機能を単一のサービスに統合する先進的なフレームワークであり、クラウドエッジで動作して保護と優れたパフォーマンスを実現します。この取り組みにより、場所に関係なくサービスを安全かつ確実に統合する方法が提供され、組織の規模にかかわりなくネットワークを制御および管理できるようになります。複雑さが軽減され、管理が俊敏になれば、展開がシンプル、スケーラブルかつ安全になります。

Umbrella 組織とは

Umbrella 組織は、1 つのライセンスキーに関連付けられたさまざまなユーザーロールを持つユーザーのグループです。 1 人のユーザーが複数の Umbrella 組織にアクセスできます。すべての Umbrella 組織は、Umbrella の個別のインスタンスであり、独自のダッシュボードを持ちます。組織は名前と組織 ID によって識別されます。組織 ID により組織が識別され、仮想アプライアンスなどのコンポーネントの展開に使用されます。また、サポートに組織 ID が必要となる場合があります。

SIG トンネルとは

セキュア インターネット ゲートウェイ（SIG）トンネルは、ASA と Umbrella の間で生成される SIG IPSec（インターネット プロトコル セキュリティ）トンネルのインスタンスであり、インターネットに向かうすべてのトラフィックは Umbrella SIG に転送され、検査およびフィルタリングされます。このソリューションは、セキュリティの中央管理を実現するため、ネットワーク管理者は各ブランチのセキュリティ設定を個別に管理する必要がありません。

トンネルが設定されている Umbrella 組織を導入準備すると、これらのトンネルは CDO のサイト間 VPN ページに一覧表示されます。CDO UI から Umbrella 組織の SASE トンネルを作成するには、「Umbrella 用の SASE トンネルの設定」を参照してください。

（注）	Umbrella 組織とそのピアデバイスを導入準備した場合、サイト間 VPN ページで、その組織に関連付けられているトンネルに接続するすべてのデバイスが 1 つのエントリにまとめられます。[トンネル（Tunnels）] ページを手動で更新し、Umbrella ダッシュボードから加えられた変更を読み取るには、「Umbrella のトンネル設定の読み取り」を参照してください。

CDO と Umbrella の通信方法

Umbrella 組織と、その組織に関連付けられている ASA デバイスを導入準備する必要があります。

ASA デバイスが Umbrella クラウドに関連付けられている場合、その接続には、デバイスとクラウドの間に安全な接続を作成するためのサイト間 VPN SIG トンネルが必要です。CDO は、Umbrella 組織と ASA デバイスの両方と通信します。このデュアル通信方式により、CDO は設定の変更またはトンネルの変更を即座に検出し、Umbrella、ASA、およびトンネルのアウトオブバンドの変更、エラー、または異常な状態について時を移さず警告します。

Umbrella 組織を CDO に導入準備する場合、組織の API キーと秘密を使用して導入準備します。どちらも組織とその組織に関連付けられている ASA デバイスに固有のものを使用します。CDO は Umbrella API を使用して Umbrella クラウドと通信し、組織の導入準備に使用された API キーと秘密を使用して、ASA デバイスに関する情報を要求および送信します。このレベルの通信で、ASA と Umbrella クラウドの間に存在する SIG トンネルが危険にさらされることはありません。

Umbrella 組織が導入準備されると、[デバイスとサービス] ページに、組織に関連付けられている検出済みの ASA デバイスが「ピア」として表示され、デバイスが CDO に導入準備されているかどうかが示されます。ピアデバイスがまだ導入準備されていない場合は、[デバイスの導入準備] をクリックして、そのページから直接導入準備することも可能です。Umbrella 組織に関連付けられている ASA デバイスが CDO に導入準備されると、[デバイスとサービス] ページにその関係が表示され、[VPNトンネル（VPN Tunnels）] ページにデバイスと組織間のトンネルが表示されます。組織に関連付けられている ASA デバイスが CDO に導入準備されていない場合、デバイスに関連付けられているトンネルが [VPNトンネル（VPN Tunnels）] に表示されるので、このページから直接デバイスを導入準備することができます。

CDO から Umbrella クラウドへのアクセス方法

Umbrella 組織が CDO に正常に導入準備されると、CDO UI から組織のダッシュボードまたは [Umbrellaトンネル（Umbrella Tunnels）] ページをクロス起動できます。

CDO UI から Umbrella クラウドにアクセスするには、「Umbrella ダッシュボードのクロス起動」と「[Cisco Umbrellaトンネル（Umbrella Tunnels）] ページのクロス起動」を参照してください。

前提条件

サポート対象ハードウェアおよびソフトウェア

Umbrella 組織はクラウドベースであるため、バージョンがありません。Umbrella 組織を CDO に導入準備する際、その組織を関連付けることができるのは 1 台の ASA デバイスのみであることに注意してください。

Umbrella 統合の場合、CDO は 9.1.2 以降を実行する ASA デバイスをサポートします。CDO がサポートする ASA デバイスモデルとソフトウェアのリストについては、「クラウドデバイスのサポートの詳細」を参照してください。

ライセンス要件

Umbrella 組織を CDO に正常に導入準備するには、次のいずれかのライセンスパッケージを選択する必要があります。

• Umbrella SIG Essentials

• SIG Advantage

オンボーディング

Umbrella アカウントを正常に管理するには、Umbrella 組織とそれに関連付けられている ASA デバイスの両方を導入準備する必要があります。Umbrella 組織を導入準備すると、CDO は組織に関連付けられた既存の ASA トンネルを読み取り、これらのトンネルと、作成して組織に関連付けた追加のトンネルの正常性ステータスを監視します。Umbrella 組織を導入準備する前に、一般的なデバイス要件と導入準備の前提条件を確認してください。

Umbrella 組織に関連付けられた ASA デバイスを導入準備する前に、その組織を導入準備した場合は、[サイト間VPN] ページから ASA ピアを表示して、VPN ページからデバイスを導入準備できます。

（注）	フェールオーバー用に設定された ASA ペアがある場合は、2 つのピアのうちアクティブデバイスのみを導入準備する必要があります。アクティブデバイスとスタンバイデバイスの両方を CDO に導入準備すると、Umbrella ですでに設定されている SASE トンネルと重複するトンネル情報が生成される場合があります。

ネットワークのモニタリング

CDO は、セキュリティポリシーの影響を要約したレポートを発行し、セキュリティポリシーによってトリガーされた重要なイベントの表示方法を提供します。また CDO は、デバイスに加えた変更をログに記録し、それらの変更にラベルを付ける方法を提供します。これにより、CDO で確定した操作をヘルプチケットやその他の操作要求に関連付けることができます。

ログの変更

変更ログは、CDO で行われた設定変更を継続的にキャプチャします。この単一のビューには、サポートされているすべてのデバイスとサービスにおける変更が含まれます。Umbrella はクラウドベースの製品であるため、変更は即座に展開されます。

変更ログの機能の一部を次に示します。

• デバイス構成に加えられた変更の対照比較。

• すべての変更ログエントリの平易な英語のラベル。

• デバイスの導入準備と削除の記録。

• CDO の外部で発生するポリシー変更の競合の検出。

• インシデントの調査またはトラブルシューティング中に、誰が、何を、いつを回答。

• 完全な変更ログまたは一部のみを CSV ファイルとしてダウンロード可能。

（注）	Umbrella 組織に関連付けられた SASE トンネルを作成、編集、または削除すると、Umbrella 組織とそれに関連付けられている ASA デバイスの要求と設定の変更が表示されることに注意してください。

Umbrella ドキュメント

• Umbrella ヘルプ

• Umbrella と Cisco ASA の設定

• トンネル経由での Cisco Umbrella への接続

• Cisco Umbrella API