Cisco Firepower Management Center Virtual クイック スタート ガイド(AWS クラウド向け)
Table of Contents
Cisco Firepower Management Center Virtual クイック スタート ガイド(AWS ク ラウド向け)
仮想 Firepower Management Center の前提条件
仮想 Firepower Management Center のインスタンスの展開
Cisco Firepower Management Center Virtual クイック スタート ガイド(AWS クラウド向け)
Amazon Virtual Private Cloud(VPC)は、お客様が定義する仮想ネットワークで Amazon Web Services(AWS)のリソースを起動できるようにします。この仮想ネットワークは、お客様自身のデータセンターで運用されている可能性がある従来型のネットワークとよく似ているだけでなく、AWS のスケーラブルなインフラストラクチャを活用するというメリットがあります。
このドキュメントでは、AWS に Firepower Management Center Virtual および Firepower Threat Defense Virtual を展開する方法について説明します。
AWS クラウドへの展開の概要
AWS は、プライベート Xen ハイパーバイザを使用するパブリック クラウド環境です。仮想 Firepower Management Center は Xen ハイパーバイザの AWS 環境内でゲストとして実行されます。
AWS の仮想 Firepower Management Center は、次のインスタンス タイプをサポートします。
- c3.xlarge と c4.xlarge:4 つの vCPU、7.5 GB、2 つのインターフェイス、1 つの管理インターフェイス
- c3.2xlarge と c4.2xlarge:8 つの vCPU、15 GB、3 つのインターフェイス、1 つの管理インターフェイス
(注
) 仮想 Firepower Management Center は、AWS 環境以外の Xen ハイパーバイザをサポートしていません。
AWS ソリューションの概要
AWS は、Amazon.com によって提供されるリモート コンピューティング サービスの集合で、Web サービスとも呼ばれており、クラウド コンピューティング プラットフォームを構成します。これらのサービスは、世界の 11 の地理的地域で運用されます。通常、仮想 Firepower Management Center を展開する際には、以下の AWS サービスに精通している必要があります。
- Amazon Elastic Compute Cloud(EC2):仮想コンピュータをレンタルして、お客様独自のアプリケーションおよびサービス(ファイアウォールなど)を Amazon のデータセンターで起動および管理できるようにする Web サービス。
- Amazon Virtual Private Cloud(VPC):Amazon パブリック クラウド内の隔離されたプライベート ネットワークを設定できるようにする Web サービス。EC2 インスタンスは VPC 内で実行されます。
- Amazon Simple Storage Service(S3):データ ストレージ インフラストラクチャを提供する Web サービス。
AWS でアカウントを作成し、VPC および EC2 コンポーネントを(AWS ウィザードまたは手動設定のいずれかを使用して)設定し、Amazon Machine Image(AMI)インスタンスを選択します。AMI は、インスタンスを起動するために必要なソフトウェア構成を含むテンプレートです。
仮想 Firepower Management Center の前提条件
- Amazon アカウント。 Aws.amazon.com [英語] で作成できます。
- Cisco スマート アカウント。Cisco Software Central( https://software.cisco.com/ [英語])で作成できます。
- 仮想 Firepower Management Center のライセンスを付与します。仮想 Firepower Management Center にライセンスを付与するまでは、100 の接続と 100 Kbps のスループットのみが許可される縮退モードで実行されます。
–ライセンスを管理する方法の詳細については、『Firepower Management Center Configuration Guide』の「Licensing the Firepower System」を参照してください。
–仮想 Firepower Management Center にアクセスするためのパブリック IP/Elastic IP。
- Firepower Threat Defense Virtual と Firepower System の互換性については、『 Cisco Firepower Threat Defense Virtual Compatibility 』を参照してください。
サポートされる機能およびコンポーネント
- 仮想プライベート クラウド(VPC)への展開
- 拡張ネットワーク(SR-IOV)(使用可能な場合)
- Amazon マーケットプレイスからの展開
- インスタンスあたり最大 4 つの vCPU
- L3 ネットワークのユーザ展開
仮想 Firepower Management Center の制約事項
- Cisco Firepower Management Center Virtual のアプライアンスにシリアル番号はありません。[システム(System)] の [設定(Configuration)] ページには、仮想プラットフォームに応じて、[なし(None)] または [未指定(Not Specified)] のいずれかが表示されます。
- IP アドレス設定は(CLI から設定したものでも Firepower Management Center から設定したものでも)AWS コンソールで作成されたものと一致する必要があります。展開時に設定を書き留めてください。
- IPv6 は現時点でサポートされていません。
- ブート後にインターフェイスを追加することはできません。
- 複製/スナップショットは現時点でサポートされていません。
- ハイ アベイラビリティはサポートされません。
AWS 環境の設定
仮想 Firepower Management Center を AWS に展開するには、展開に固有の要件および設定を使用して Amazon VPC を設定する必要があります。ほとんどの環境では、セットアップ ウィザードに従ってセットアップを実行できます。AWS では、概要から詳細機能に至るまで、サービスに関する有用な情報を扱ったオンライン ドキュメントを提供しています。詳細については、AWS の使用開始ドキュメントを参照してください。
AWS のセットアップを適切に制御するために、続くセクションでは、仮想 Firepower Management Center の起動前の VPC および EC2 構成について説明します。
VPC の作成
仮想プライベート クラウド(VPC)は、AWS アカウント専用の仮想ネットワークです。これは、AWS クラウド内の他の仮想ネットワークから論理的に分離されています。仮想 Firepower Management Center のインスタンスなどの AWS リソースを VPC で起動できます。VPC を設定できます。さらに、その IP アドレス範囲を選択し、サブネットを作成し、ルート テーブル、ネットワーク ゲートウェイ、およびセキュリティ設定を作成できます。
1. Aws.amazon.com [英語] にログインし、地域を選択します。
AWS は互いに分かれた複数の地域に分割されています。地域は、画面の右上隅に表示されます。ある地域内のリソースは、別の地域には表示されません。目的の地域内に存在していることを定期的に確認してください。
2. [サービス(Services)] > [VPC] の順にクリックします。
3. [VPCダッシュボード(VPC Dashboard)] > [使用する VPC(Your VPCs)] の順にクリックします。
4. [VPC の作成(Create VPC)] をクリックします。
5. [VPC の作成(Create VPC)] ダイアログボックスで、次のものを入力します。
a. VPC を識別するユーザ定義の [Name タグ(Name tag)]。
b. IP アドレスの [CIDR ブロック(CIDR block)]。CIDR(クラスレス ドメイン間ルーティング)の表記法は、IP アドレスとそれに関連付けられているルーティング プレフィクスのコンパクトな表現です。たとえば、「10.0.0.0/24」と入力します。
c. [デフォルト(Default)] の [テナント(Tenancy)] 設定。この VPC で起動されたインスタンスが、起動時に指定されたテナント属性を使用するようにします。
インターネット ゲートウェイの追加
VPC をインターネットに接続するために、インターネット ゲートウェイを追加できます。VPC の外部の IP アドレスのトラフィックをインターネット ゲートウェイにルーティングできます。
1. [サービス(Services)] > [VPC] の順にクリックします。
2. [VPCダッシュボード(VPC Dashboard)] > [インターネット ゲートウェイ(Internet Gateway)] の順にクリックしてから、[インターネット ゲートウェイの作成(Create Internet Gateway)] をクリックします。
3. ユーザ定義の [Name タグ(Name tag)] を入力してゲートウェイを特定し、[はい、作成します(Yes, Create)] をクリックしてゲートウェイを作成します。
5. [VPC に接続(Attach to VPC)] をクリックして、以前に作成した VPC を選択します。
6. [はい、接続します(Yes, Attach)] をクリックして、ゲートウェイを VPC に追加します。
デフォルトでは、ゲートウェイが作成されて VPC に接続されるまで、VPC で起動されたインスタンスはインターネットと通信できません。
サブネットの追加
仮想 Firepower Management Center のインスタンスが接続できる VPC の IP アドレス範囲をセグメント化することができます。セキュリティおよび運用のニーズに応じて、インスタンスをグループ化するためのサブネットを作成できます。Firepower Threat Defense Virtual の場合、管理用のサブネットとトラフィック用のサブネットを作成する必要があります。
1. [サービス(Services)] > [VPC] の順にクリックします。
2. [VPCダッシュボード(VPC Dashboard)] > [サブネット(Subnets)] の順にクリックして、[サブネットの作成(Create Subnet)] をクリックします。
3. [サブネットの作成(Create Subnet)] ダイアログボックスで、次のものを入力します。
a. サブネットを識別するユーザ定義の [Name タグ(Name tag)]。
c. このサブネットが存在する [可用性ゾーン(Availability Zone)]。[設定なし(No Preference)] を選択して、Amazon が選択するゾーンを選びます。
d. IP アドレスの [CIDR ブロック(CIDR block)]。サブネットの IP アドレスの範囲は、VPC の IP アドレス範囲のサブセットである必要があります。ブロック サイズは、/16 ネットワーク マスクから /28 ネットワーク マスクの範囲で指定する必要があります。サブネットのサイズは VPC のサイズと同じにすることができます。
4. [はい、作成します(Yes, Create)] をクリックして、サブネットを作成します。
5. 必要な数のサブネットについて、手順を繰り返します。管理トラフィックには別のサブネットを作成し、データ トラフィックに必要な数のサブネットを作成します。
ルート テーブルの追加
VPC 用に設定したゲートウェイにルート テーブルを接続できます。また、複数のサブネットを 1 つのルート テーブルに関連付けることができます。しかし、1 つのサブネットは一度に 1 つのルート テーブルにしか関連付けることができません。
1. [サービス(Services)] > [VPC] の順にクリックします。
2. [VPCダッシュボード(VPC Dashboard)] > [ルート テーブル(Route Tables)] の順にクリックしてから、[ルート テーブルの作成(Create Route Table)] をクリックします。
3. ルート テーブルを識別するユーザ定義の [Name タグ(Name tag)]。
4. このルート テーブルを使用する [VPC] をドロップダウン リストから選択します。
5. [はい、作成します(Yes, Create)] をクリックして、ルート テーブルを作成します。
7. [ルート(Routes)] タブをクリックして、詳細ペインにルート情報を表示します。
8. [編集(Edit)] をクリックして、[別のルートを追加(Add another route)] をクリックします。
a. [宛先(Destination)] 列に、0.0.0.0/0 を入力します。
b. [ターゲット(Target)] 列で、先ほど作成したインターネット ゲートウェイを選択します。
10. [サブネットアソシエーション(Subnet Associations)] タブをクリックし、[編集(Edit)] をクリックします。
11. Firepower Management Center の管理インターフェイスに使用されるサブネットの隣にあるチェックボックスを選択し、[保存(Save)] をクリックします。
セキュリティ グループの作成
許可されるプロトコル、ポート、送信元 IP 範囲を指定するルールを使用して、セキュリティ グループを作成できます。各インスタンスに割り当てることができる、さまざまな異なるルールを使用して、複数のセキュリティ グループを作成できます。AWS では、 セキュリティ グループ にまだ精通していないお客様のために、この機能に関する詳しい資料を用意しています。
1. [サービス(Services)] > [EC2] の順にクリックします。
2. [EC2 ダッシュボード(EC2 Dashboard)] > [セキュリティ グループ(Security Groups)] の順にクリックします。
3. [セキュリティ グループの作成(Create Security Group)] をクリックします。
4. [セキュリティ グループの作成(Create Security Group)] ダイアログボックスで、次のものを入力します。
a. セキュリティ グループを識別するユーザ定義の [セキュリティ グループ名(Security group name)]。
b. このセキュリティ グループの [説明(Description)]。
5. [セキュリティ グループ ルール(Security group rules)] を設定します。
a. [インバウンド(Inbound)] タブをクリックして、[ルールの追加(Add Rule)] をクリックします。
(注)Firepower Management Center Virtual を AWS の外部から管理するには、HTTPS および SSH アクセスが必要です。それに基づいて、送信元 IP アドレスを指定する必要があります。また、Firepower Management Center Virtual と Firepower Threat Defense Virtual の両方を AWS VPC 内で設定している場合、プライベート IP 管理サブネット アクセスを許可する必要があります。
b. [アウトバウンド(Outbound)] タブをクリックしてから、[ルールの追加(Add Rule)] をクリックして、アウトバウンド トラフィックのルールを追加するか、デフォルトの [すべてのトラフィック(All traffic)] ([タイプ(Type)] の場合)および [任意の宛先(Anywhere)] ([宛先(Destination)] の場合)のままにします。
ネットワーク インターフェイスの作成
静的 IP アドレスを使用して、仮想 Firepower Management Center のネットワーク インターフェイスを作成できます。具体的な展開の必要に応じてネットワーク インターフェイス(内部および外部)を作成します。
1. [サービス(Services)] > [EC2] の順にクリックします。
2. [EC2 ダッシュボード(EC2 Dashboard)] > [ネットワーク インターフェイス(Network Interfaces)] の順にクリックします。
3. [ネットワーク インターフェイスの作成(Create Network Interface)] をクリックします。
4. [ネットワーク インターフェイスの作成(Create Network Interface)] ダイアログボックスで、次のものを入力します。
a. ネットワーク インターフェイスに関するオプションのユーザ定義の [説明(Description)]。
b. ドロップダウン リストから [サブネット(Subnet)] を選択します。Firepower Threat Defense Virtual インスタンスを作成する VPC のサブネットが選択されていることを確認します。
c. [プライベート IP(Private IP)] アドレスを入力します。自動割り当てではなく、静的 IP アドレスを使用することが推奨されています。
d. [セキュリティ グループ(Security groups)] を 1 つ以上選択します。セキュリティ グループの必要なポートがすべて開いていることを確認します。
5. [はい、作成します(Yes, Create)] をクリックして、ネットワーク インターフェイスを作成します。
7. 右クリックして、[送信元/宛先の変更の確認(Change Source/Dest. Check)] を選択します。
8. [無効(Disabled)] を選択し、[保存(Save)] をクリックします。作成したすべてのネットワーク インターフェイスについて、この操作を繰り返します。
Elastic IP の作成
インスタンスが作成されると、パブリック IP アドレスはそのインスタンスに関連付けられます。インスタンスを停止してから開始すると、そのパブリック IP アドレスは自動的に変更されます。この問題を解決するには、Elastic IP アドレッシングを使用して、永続的なパブリック IP アドレスをそのインスタンスに割り当てます。Elastic IP は、仮想 Firepower Management Center および他のインスタンスへのリモート アクセスに使用されるパブリック IP 用に予約されます。AWS では、 Elastic IP にまだ精通していないお客様のために、この機能に関する詳しい資料を用意しています。
(注) 少なくとも、仮想 Firepower Management Center に 1 つの Elastic IP アドレス、仮想 Firepower Threat Defense の管理および診断インターフェイスに 2 つの Elastic IP アドレスを作成します。
1. [サービス(Services)] > [EC2] の順にクリックします。
2. [EC2 ダッシュボード(EC2 Dashboard)] > [Elastic IP(Elastic IPs)] の順にクリックします。
3. [新規アドレスの割り当て(Allocate New Address)] をクリックします。
必要な数の Elastic IP およびパブリック IP について、この手順を繰り返します。
4. [はい、割り当てます(Yes, Allocate)] をクリックして、Elastic IP を作成します。
仮想 Firepower Management Center のインスタンスの展開
- AWS 環境の設定の説明に従って、AWS VPC および EC2 のエレメントを設定します。
- AMI が仮想 Firepower Management Center のインスタンスに使用できることを確認します。
1. https://aws.amazon.com/marketplace [英語] (Amazon マーケットプレイス)に移動して、サインインします。
2. Amazon マーケットプレイスにログインしたら、仮想 Firepower Management Center 用のリンクをクリックします。
(注) すでに AWS を使用していた場合、リンクを有効にするには、いったんサインアウトしてから、サインインし直す必要があります。
3. [続行(Continue)] をクリックしてから、[手動開始(Manual Launch)] タブをクリックします。
4. [条件に同意する(Accept Terms)] をクリックします。
5. [EC2 コンソールを使用して起動する(Launch with EC2 Console)] をクリックします。
6. 仮想 Firepower Management Center および仮想 Firepower Threat Defense でサポートされるインスタンス タイプを選択します。サポートされるインスタンス タイプについては、AWS クラウドへの展開の概要を参照してください。
7. 画面下部にある [次:インスタンスの詳細の設定(Next: Configure Instance Details)] ボタンをクリックします。
–前に作成した VPC に一致するように [ネットワーク(Network)] を変更します。
–前に作成した管理サブネットに一致するように [サブネット(Subnet)] を変更します。IP アドレスを指定するか、または自動生成を使用できます。
–[高度な詳細(Advanced Details)] の下で、デフォルトのログイン情報を追加します。(注)デバイス名とパスワードの要件に合わせて、以下の例を変更してください。
注意: [高度な詳細(Advanced Details)] フィールドにデータを入力する際には、プレーン テキストのみを使用してください。テキスト エディタからこの情報をコピーする場合、プレーン テキストとしてのみコピーしてください。[高度な詳細(Advanced Details)] フィールドに Unicode データ(空白を含む)をコピーする場合、インスタンスが破損する可能性があります。その場合、インスタンスを終了して、作成し直す必要があります。
8. [次:ストレージの追加(Next: Add Storage)] をクリックして、ストレージ デバイスの設定を構成します。
ルート ボリュームの設定を編集して、ボリュームの サイズ(GiB) を 250 GiB にします。
(注) 250 GiB 未満はイベント ストレージを制限し、サポートされません。
9. [次:タグ インスタンス(Next: Tag Instance)] をクリックします。
タグは大文字と小文字を区別するキーと値のペアで構成されます。たとえば、[キー(Key)] = 名前、[値(Value)] = 管理でタグを定義できます。
10. [次:セキュリティ グループの設定(Next: Configure Security Group)] を選択します。
11. [既存のセキュリティ グループを選択する(Select an existing Security Group)] をクリックして、以前に設定されたセキュリティ グループを選択するか、または新しいセキュリティ グループを作成できます。セキュリティ グループの作成の詳細については、AWS の資料を参照してください。
12. [確認して起動する(Review and Launch)] をクリックします。
14. 既存のキー ペアを選択するか、新しいキー ペアを作成します。
(注)既存のキー ペアを選択することも、新しいキー ペアを作成することもできます。キー ペアは、AWS が保存する公開キーと、ユーザが保存する秘密キー ファイルで構成されます。これらを一緒に使用すると、インスタンスに安全に接続できます。キー ペアはインスタンスへの接続に必要となる場合があるため、必ず既知の場所に保存してください。
15. [インスタンスの起動(Launch Instances)] をクリックします。
16. [EC2 ダッシュボード(EC2 Dashboard)]、[Elastic IP(Elastic IPs)] の順にクリックし、以前に割り当てられた IP を検索するか、新しい IP を割り当てます。
17. Elastic IP を選択し、右クリックして [アドレスの関連付け(Associate Address)] を選択します。
インスタンスまたはネットワーク インターフェイスを検索して選択し、[関連付け(Associate)] をクリックします。
18. [EC2 ダッシュボード(Dashboard)] > [インスタンス(Instances)] の順にクリックします。
19. わずか数分後に、Firepower Management Center インスタンスの状態が [実行中(running)] と表示され、[ステータスチェック(Status checks)] に「2/2チェック(2/2 checks)」のパスが表示されます。ただし、展開と初期セットアップのプロセスが完了するまでには 30 ~ 40 分ほどかかります。ステータスを表示するには、インスタンスを右クリックし、[インスタンス設定(Instance Settings)] > [インスタンスのスクリーンショットを取得(Get Instance Screenshot)] を選択します。
セットアップが完了したら(約 30 ~ 40 分後)、[インスタンスのスクリーンショット(Instance Screenshot)] に「AWS vW.X.Y(ビルド ZZ)用 Cisco Firepower Management Center(Cisco Firepower Management Center for AWS vW.X.Y (build ZZ))」というようなメッセージが表示され、場合によってはその後に数行の出力が続きます。
これで、SSH または HTTP を使用して、新規に作成した仮想 Firepower Management Center にログインできるはずです。実際の展開時間は、お住まいの地域の AWS の負荷によって異なる場合があります。
Firepower Management Center にアクセスするには、SSH を使用します。
(注) SSH 認証は、キー ペアによって処理されます。パスワードは必要ありません。パスワードの入力を求められた場合、セットアップはまだ実行中です。
Firepower Management Center には、HTTPS を使用してアクセスすることもできます。
(注) 「システム起動プロセスはまだ実行中です(system startup processes are still running)」が表示された場合、セットアップはまだ完了していません。
SSH や HTTPS から応答がない場合は、次の項目を再確認してください。
–展開が完了していることを確認します。Firepower Management Center VM の [インスタンスのスクリーンショット(Instance Screenshot)] に「AWS vW.X.Y(ビルド ZZ)用 Cisco Firepower Management Center(Cisco Firepower Management Center for AWS vW.X.Y (build ZZ))」というようなメッセージが表示され、場合によってはその後に数行の出力が続きます。
–Elastic IP を保持し、それが Firepower Management Center の管理ネットワーク インターフェイス(eni)に関連付けられ、現在その IP アドレスに接続していることを確認します。
–VPC に関連付けられたインターネット ゲートウェイ(igw)があることを確認します。
–管理サブネットにルート テーブルが関連付けられていることを確認します。
–管理サブネットに関連付けられたルート テーブルに、インターネット ゲートウェイ(igw)を指す「0.0.0.0/0」へのルートがあることを確認します。
–セキュリティ グループでは、接続元の IP アドレスから SSH や HTTPS の着信を許可していることを確認します。
ポリシーとデバイス設定の設定
仮想 Firepower Threat Defense をインストールして、デバイスを Management Center に追加すると、Firepower Management Center ユーザ インターフェイスを使用して AWS で実行している仮想 Firepower Threat Defense 用のデバイス管理設定を構成したり、アクセス コントロール ポリシーや仮想 Firepower Threat Defense のデバイスを使用してトラフィックを管理するためのその他の関連ポリシーを設定および適用することができます。
セキュリティ ポリシーは、Next Generation IPS のフィルタリングやアプリケーションのフィルタリングなど、Firepower Threat Defense Virtual で提供されるサービスを制御します。Firepower Management Center を使用して、仮想 Firepower Threat Defense 上でセキュリティ ポリシーを設定します。セキュリティ ポリシーの設定方法の詳細は、『 FireSIGHT System User Guide 』、または Firepower Management Center のオンライン ヘルプを参照してください。
フィードバック