Firepower システムのスマート ライセンス
Cisco Smart Licensing によって、ライセンスを購入し、ライセンスのプールを一元管理することができます。製品認証キー(PAK)ライセンスとは異なり、スマート ライセンスは特定のシリアル番号またはライセンス キーに関連付けられません。スマート ライセンスを使用すると、ライセンスの使用状況と要件をひと目で確認できます。
また、スマート ライセンスでは、まだ購入していない製品の機能を使用できます。Cisco Smart Software Manager に登録すると、すぐにライセンスの使用を開始できます。また、後でライセンスを購入することもできます。これによって、機能の展開および使用が可能になり、発注書の承認による遅延がなくなります。
Cisco Smart Software Manager
Firepower Threat Defense デバイスの 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager(https://software.cisco.com/#SmartLicensing-Inventory)で管理します。Cisco Smart Software Manager では、組織のマスター アカウントを作成できます。
デフォルトでは、ライセンスはマスター アカウントの下のデフォルトの仮想アカウントに割り当てられます。アカウントの管理者として、たとえば、地域、部門、または子会社ごとに、追加の仮想アカウントを作成できます。複数の仮想アカウントを使用することで、多数のライセンスおよびアプライアンスの管理を行うことができます。
ライセンスとアプライアンスは仮想アカウントごとに管理されます。つまり、その仮想アカウントのアプライアンスのみが、そのアカウントに割り当てられたライセンスを使用できます。追加のライセンスが必要な場合は、別の仮想アカウントから未使用のライセンスを転用できます。また、仮想アカウント間でのアプライアンスの譲渡も可能です。
Cisco Smart Software Manager にデバイスを登録するとき、そのマネージャで製品インスタンス登録トークンを作成し、Firepower Device Manager にそのトークンを入力します。登録済みデバイスが、使用されているトークンに基づいて仮想アカウントに関連付けられます。
Cisco Smart Software Manager の詳細については、マネージャのオンライン ヘルプを参照してください。
ライセンス認証局との定期通信
Firepower Threat Defense デバイスの登録に製品インスタンス登録トークンを使用すると、デバイスはシスコのライセンス認証局に登録されます。ライセンス認証局は、デバイスとライセンス認証局の間の通信用に ID 証明書を発行します。この証明書の有効期間は 1 年ですが、6 ヵ月ごとに更新されます。ID 証明書の期限が切れた場合(通常は、9 ヵ月または 1 年間通信がない状態)、デバイスは登録が解除された状態になり、ライセンスされた機能は使用停止になります。
デバイスは、定期的にライセンス認証局と通信します。Cisco Smart Software Manager に変更を加えた場合は、すぐに変更が有効になるようにデバイス上で認証を更新できます。また、スケジュールどおりにデバイスが通信するのを待つこともできます。通常のライセンス通信は 30 日ごとに行われますが、これには猶予期間があり、デバイスはホームをコールすることなく最大で 90 日間は動作します。90 日が経過する前にライセンス認証局と連絡を取る必要があります。
スマート ライセンスのタイプ
次の表に、Firepower Threat Defense デバイスで使用可能なライセンスを示します。
Firepower Threat Defense デバイスを購入すると、自動的に基本ライセンスが含まれます。すべての追加ライセンスはオプションです。
ライセンス |
期間 |
付与される機能 |
---|---|---|
基本(自動的に含まれる) |
永久 |
オプションのターム ライセンスでカバーされないすべての機能。 [このトークンに登録した製品でエクスポート制御機能を許可する(Allow export-controlled functionality on the products registered with this token)] かどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化や、高度な暗号化を必要とする機能の使用を制御します。 |
脅威 |
ターム ベース |
[侵入検知および防御(Intrusion detection and prevention)]:侵入ポリシーが侵入とエクスプロイトを検出するためネットワーク トラフィックを分析し、またオプションで違反パケットをドロップします。 [ファイル制御(File control)]:ファイル ポリシーが特定タイプのファイルを検出し、オプションでこれらのファイルのアップロード(送信)またはダウンロード(受信)をブロックできます。マルウェア ライセンスが必要な AMP for Firepower を使用すると、マルウェアを含むファイルのインスペクションを実行してブロックできます。どのタイプのファイル ポリシーを使用する場合でも、脅威ライセンスが必要です。 [セキュリティ インテリジェンス フィルタ(Security Intelligence filtering)]:トラフィックがアクセス制御ルールによって分析を受ける前に、選択されたトラフィックをドロップします。ダイナミック フィードにより、最新の情報に基づいて接続をただちにドロップできます。 |
マルウェア(Malware) |
ターム ベース |
マルウェアを確認するポリシーであり、Cisco Advanced Malware Protection(AMP)と一緒に AMP for Firepower (ネットワークベースの高度なマルウェア保護)とCisco Threat Grid を使用します。 ファイル ポリシーは、ネットワーク上で伝送されるファイルに存在するマルウェアを検出してブロックできます。ファイルを保存するようにファイル ポリシーを設定する場合は、マルウェア ライセンスも必要です。詳細については、ファイル ポリシーのライセンス要件を参照してください。 |
URL フィルタリング |
ターム ベース |
カテゴリとレピュテーションに基づく URL フィルタリング。 このライセンスなしでも、個々の URL で URL フィルタリングを実行できます。 |
RA VPN:
|
ライセンス タイプに基づきタームベースまたは永久 |
リモート アクセス VPN の設定。RA VPN を設定するには、基本ライセンスによるエクスポート制御機能を許可する必要があります。デバイスを登録するときに、エクスポート要件を満たすかどうかを選択します。 Firepower Device Manager は、AnyConnect の任意の有効なライセンスを使用できます。使用できる機能はライセンス タイプによって異なります。まだ購入していない場合は、リモート アクセス VPN のライセンス要件を参照してください。 『Cisco AnyConnect Ordering Guide』(http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf)も参照してください。 |
ファイル ポリシーのライセンス要件
次の表では、ファイル ポリシーを実装する際に必要なライセンスについて説明します。要件は、選択するアクションとオプションによって異なります。
アクション |
[ファイルの保存(Store Files)] オプションの選択 |
ライセンス要件 |
---|---|---|
許可 ブロック ブロック(リセットあり) |
なし |
脅威 |
許可 ブロック ブロック(リセットあり) |
あり |
脅威 + マルウェア |
マルウェア クラウド ルックアップ マルウェア ブロック マルウェア ブロック(リセットあり) |
「あり」または「なし」のいずれか |
脅威 + マルウェア |
期限切れまたは無効なオプション ライセンスの影響
オプションのライセンスが期限切れになっても、そのライセンスを必要とする機能を使用し続けることはできます。ただし、ライセンスは非準拠とマークされます。ライセンスを準拠状態に戻すには、ライセンスを購入してアカウントに追加する必要があります。
オプションのライセンスを無効にすると、システムは次のように反応します。
-
[マルウェアライセンス(Malware license)]:システムは AMP クラウドへの問い合わせを停止し、AMP レトロスペクション クラウドから送信されたレトロスペクティブ イベントの認証も停止します。既存のアクセス コントロール ポリシーにマルウェア検出を適応するファイル ポリシーが含まれている場合、このアクセス コントロール ポリシーを再展開することはできません。マルウェア ライセンスが無効にされた後、システムが既存のキャッシュ ファイルの性質を使用できるのは極めて短時間のみであることに注意してください。この時間枠の経過後、システムは Unavailable という性質をこれらのファイルに割り当てます。
-
[脅威(Threat)]:システムは侵入またはファイル制御ポリシーを適用しなくなります。セキュリティ インテリジェンス ポリシーの場合、システムはこのポリシーを適用せず、フィード更新のダウンロードを停止します。ライセンスを必要とする既存のポリシーを再展開することはできません。
-
[URLフィルタリング(URL Filtering)]:URL カテゴリ条件が指定されたアクセス コントロール ルールは URL のフィルタリングをただちに停止し、システムは URL データへの更新をダウンロードしなくなります。既存のアクセス コントロール ポリシーに、カテゴリ ベースまたはレピュテーション ベースの URL 条件を含むルールが含まれている場合は、それらのポリシーを再展開することができません。
-
[RA VPN]:リモート アクセス VPN 設定は編集できませんが、削除は可能です。ユーザは引き続き RA VPN 設定を使用して接続できます。ただし、デバイスの登録を変更してシステムがエクスポートに準拠しなくなると、リモート アクセス VPN 設定はただちに停止し、リモート ユーザは VPN に接続できなくなります。