Cisco Firepower Threat Defense Virtual（AWS クラウド向け）クイック スタート ガイド

AWS ソリューションの概要

AWS は、Amazon.com によって提供されるリモート コンピューティング サービスの集合で、Web サービスとも呼ばれており、クラウド コンピューティング プラットフォームを構成します。これらのサービスは、世界の 11 の地理的地域で運用されます。通常、Firepower Management Center Virtual および Firepower Threat Defense Virtual を展開する際には、以下の AWS サービスに精通している必要があります。

• Amazon Elastic Compute Cloud（EC2）：仮想コンピュータをレンタルして、お客様独自のアプリケーションおよびサービス（ファイアウォールなど）を Amazon のデータセンターで起動および管理できるようにする Web サービス。
• Amazon Virtual Private Cloud（VPC）：Amazon パブリック クラウド内の隔離されたプライベート ネットワークを設定できるようにする Web サービス。EC2 インスタンスは VPC 内で実行されます。
• Amazon Simple Storage Service（S3）：データ ストレージ インフラストラクチャを提供する Web サービス。

AWS でアカウントを作成し、VPC および EC2 コンポーネントを（AWS ウィザードまたは手動設定のいずれかを使用して）設定し、Amazon Machine Image（AMI）インスタンスを選択します。AMI は、インスタンスを起動するために必要なソフトウェア構成を含むテンプレートです。

注： AMI イメージは AWS 環境の外部ではダウンロードできません。

VPC の作成

仮想プライベート クラウド（VPC）は、AWS アカウント専用の仮想ネットワークです。これは、AWS クラウド内の他の仮想ネットワークから論理的に分離されています。Firepower Management Center Virtual インスタンスや Firepower Threat Defense Virtual インスタンスなどの AWS リソースを VPC で起動できます。VPC を設定できます。さらに、その IP アドレス範囲を選択し、サブネットを作成し、ルート テーブル、ネットワーク ゲートウェイ、およびセキュリティ設定を作成できます。

手順

1. Aws.amazon.com [英語] にログインし、地域を選択します。

AWS は互いに分かれた複数の地域に分割されています。地域は、画面の右上隅に表示されます。ある地域内のリソースは、別の地域には表示されません。目的の地域内に存在していることを定期的に確認してください。

2. [サービス（Services）] > [VPC] の順にクリックします。

3. [VPC ダッシュボード（VPC Dashboard）] > [使用する VPC（Your VPCs）] の順にクリックします。

4. [VPC の作成（Create VPC）] をクリックします。

5. [VPC の作成（Create VPC）] ダイアログボックスで、次のものを入力します。

a. VPC を識別するユーザ定義の [Name タグ（Name tag）]。

b. IP アドレスの [CIDR ブロック（CIDR block）]。CIDR（クラスレス ドメイン間ルーティング）の表記法は、IP アドレスとそれに関連付けられているルーティング プレフィクスのコンパクトな表現です。たとえば、「10.0.0.0/24」と入力します。

c. [デフォルト（Default）] の [テナント（Tenancy）] 設定。この VPC で起動されたインスタンスが、起動時に指定されたテナント属性を使用するようにします。

6. [はい、作成します（Yes, Create）] をクリックして、VPC を作成します。

次の作業

• 次のセクションで説明されているように、VPC にインターネット ゲートウェイを追加します。

インターネット ゲートウェイの追加

VPC をインターネットに接続するために、インターネット ゲートウェイを追加できます。VPC の外部の IP アドレスのトラフィックをインターネット ゲートウェイにルーティングできます。

始める前に ：

• Firepower Threat Defense Virtual インスタンスの VPC を作成します。

手順

1. [サービス（Services）] > [VPC] の順にクリックします。

2. [VPC ダッシュボード（VPC Dashboard）] > [インターネットゲートウェイ（Internet Gateway）] の順にクリックしてから、[インターネットゲートウェイの作成（Create Internet Gateway）] をクリックします。

3. ユーザ定義の [Name タグ（Name tag）] を入力してゲートウェイを特定し、[はい、作成します（Yes, Create）] をクリックしてゲートウェイを作成します。

4. 前のステップで作成したゲートウェイを選択します。

5. [VPC に接続（Attach to VPC）] をクリックして、以前に作成した VPC を選択します。

6. [はい、接続します（Yes, Attach）] をクリックして、ゲートウェイを VPC に追加します。

デフォルトでは、ゲートウェイが作成されて VPC に接続されるまで、VPC で起動されたインスタンスはインターネットと通信できません。

次の作業

• 次のセクションで説明されているように、VPC にサブネットを追加します。

サブネットの追加

Firepower Threat Defense Virtual インスタンスが接続できる VPC の IP アドレス範囲をセグメント化することができます。セキュリティおよび運用のニーズに応じて、インスタンスをグループ化するためのサブネットを作成できます。Firepower Threat Defense Virtual の場合、管理用のサブネットとトラフィック用のサブネットを作成する必要があります。

始める前に ：

• Firepower Threat Defense Virtual インスタンスの VPC を作成します。

手順

1. [サービス（Services）] > [VPC] の順にクリックします。

2. [VPC ダッシュボード（VPC Dashboard）] > [サブネット（Subnets）] の順にクリックして、[サブネットの作成（Create Subnet）] をクリックします。

3. [サブネットの作成（Create Subnet）] ダイアログボックスで、次のものを入力します。

a. サブネットを識別するユーザ定義の [Name タグ（Name tag）]。

b. このサブネットに使用する [VPC]。

c. このサブネットが存在する [可用性ゾーン（Availability Zone）]。[設定なし（No Preference）] を選択して、Amazon が選択するゾーンを選びます。

d. IP アドレスの [CIDR ブロック（CIDR block）]。サブネットの IP アドレスの範囲は、VPC の IP アドレス範囲のサブセットである必要があります。ブロック サイズは、/16 ネットワーク マスクから /28 ネットワーク マスクの範囲で指定する必要があります。サブネットのサイズは VPC のサイズと同じにすることができます。

4. [はい、作成します（Yes, Create）] をクリックして、サブネットを作成します。

5. 必要な数のサブネットについて、手順を繰り返します。管理トラフィックには別のサブネットを作成し、データ トラフィックに必要な数のサブネットを作成します。

次の作業

• 次のセクションで説明されているように、VPC にルート テーブルを追加します。

ルート テーブルの追加

VPC 用に設定したゲートウェイにルート テーブルを接続できます。また、複数のサブネットを 1 つのルート テーブルに関連付けることができます。しかし、1 つのサブネットは一度に 1 つのルート テーブルにしか関連付けることができません。

手順

1. [サービス（Services）] > [VPC] の順にクリックします。

2. [VPC ダッシュボード（VPC Dashboard）] > [ルートテーブル（Route Tables）] の順にクリックしてから、[ルートテーブルの作成（Create Route Table）] をクリックします。

3. ルート テーブルを識別するユーザ定義の [Name タグ（Name tag）] を入力します。

4. このルート テーブルを使用する [VPC] をドロップダウン リストから選択します。

5. [はい、作成します（Yes, Create）] をクリックして、ルート テーブルを作成します。

6. 作成したルート テーブルを選択します。

7. [ルート（Routes）] タブをクリックして、詳細ペインにルート情報を表示します。

8. [編集（Edit）] をクリックして、[別のルートを追加（Add another route）] をクリックします。

a. [宛先（Destination）] 列に、0.0.0.0/0 を入力します。

b. [ターゲット（Target）] 列で、ゲートウェイを選択します。

9. [保存（Save）] をクリックします。

次の作業

• 次のセクションで説明するように、セキュリティ グループを作成します。

セキュリティ グループの作成

許可されるプロトコル、ポート、送信元 IP 範囲を指定するルールを使用して、セキュリティ グループを作成できます。各インスタンスに割り当てることができる、さまざまな異なるルールを使用して、複数のセキュリティ グループを作成できます。AWS では、 セキュリティ グループ にまだ精通していないお客様のために、この機能に関する詳しい資料を用意しています。

手順

1. [サービス（Services）] > [EC2] の順にクリックします。

2. [EC2 ダッシュボード（EC2 Dashboard）] > [セキュリティグループ（Security Groups）] の順にクリックします。

3. [セキュリティグループの作成（Create Security Group）] をクリックします。

4. [セキュリティグループの作成（Create Security Group）] ダイアログボックスで、次のものを入力します。

a. セキュリティ グループを識別するユーザ定義の [セキュリティグループ名（Security group name）]。

b. このセキュリティ グループの [説明（Description）]。

c. このセキュリティ グループに関連付けられた VPC。

5. [セキュリティグループルール（Security group rules）] を設定します。

a. [インバウンド（Inbound）] タブをクリックして、[ルールの追加（Add Rule）] をクリックします。

（注）Firepower Management Center Virtual を AWS の外部から管理するには、HTTPS および SSH アクセスが必要です。それに基づいて、送信元 IP アドレスを指定する必要があります。また、Firepower Management Center Virtual と Firepower Threat Defense Virtual の両方を AWS VPC 内で設定している場合、プライベート IP 管理サブネット アクセスを許可する必要があります。

b. [アウトバウンド（Outbound）] タブをクリックしてから、[ルールの追加（Add Rule）] をクリックして、アウトバウンド トラフィックのルールを追加するか、デフォルトの [すべてのトラフィック（All traffic）] （[タイプ（Type）] の場合）および [任意の宛先（Anywhere）] （[宛先（Destination）] の場合）のままにします。

6. セキュリティ グループを作成するには、[作成（Create）] をクリックします。

次の作業

• 次のセクションで説明されているように、ネットワーク インターフェイスを作成します。

ネットワーク インターフェイスの作成

静的 IP アドレスを使用して、Firepower Threat Defense Virtual のネットワーク インターフェイスを作成できます。具体的な展開の必要に応じてネットワーク インターフェイス（内部および外部）を作成します。

手順

1. [サービス（Services）] > [EC2] の順にクリックします。

2. [EC2 ダッシュボード（EC2 Dashboard）] > [ネットワークインターフェイス（Network Interfaces）] の順にクリックします。

3. [ネットワークインターフェイスの作成（Create Network Interface）] をクリックします。

4. [ネットワークインターフェイスの作成（Create Network Interface）] ダイアログボックスで、次のものを入力します。

a. ネットワーク インターフェイスに関するオプションのユーザ定義の [説明（Description）]。

b. ドロップダウン リストから [サブネット（Subnet）] を選択します。Firepower Threat Defense Virtual インスタンスを作成する VPC のサブネットが選択されていることを確認します。

c. [プライベート IP（Private IP）] アドレスを入力します。自動割り当てではなく、静的 IP アドレスを使用することが推奨されています。

d. [セキュリティグループ（Security groups）] を 1 つ以上選択します。セキュリティ グループの必要なポートがすべて開いていることを確認します。

5. [はい、作成します（Yes, Create）] をクリックして、ネットワーク インターフェイスを作成します。

6. 作成したネットワーク インターフェイスを選択します。

7. 右クリックして、[送信元/宛先の変更の確認（Change Source/Dest. Check）] を選択します。

8. [編集（Edit）] をクリックして、[別のルートを追加（Add another route）] をクリックします。

9. [無効（Disable）] を選択します。作成したすべてのネットワーク インターフェイスについて、この操作を繰り返します。

次の作業

• 次のセクションで説明するように、Elastic IP アドレスを作成します。

Elastic IP の作成

インスタンスが作成されると、パブリック IP アドレスはそのインスタンスに関連付けられます。インスタンスを停止してから開始すると、そのパブリック IP アドレスは自動的に変更されます。この問題を解決するには、Elastic IP アドレッシングを使用して、永続的なパブリック IP アドレスをそのインスタンスに割り当てます。Elastic IP は、Firepower Threat Defense Virtual および他のインスタンスへのリモート アクセスに使用されるパブリック IP 用に予約されます。AWS では、 Elastic IP にまだ精通していないお客様のために、この機能に関する詳しい資料を用意しています。

（注）少なくとも、Firepower Threat Defense Virtual 管理インターフェイス用と診断インターフェイス用の 2 つの Elastic IP アドレスを作成してください。

手順

1. [サービス（Services）] > [EC2] の順にクリックします。

2. [EC2 ダッシュボード（EC2 Dashboard）] > [Elastic IP（Elastic IPs）] の順にクリックします。

3. [新規アドレスの割り当て（Allocate New Address）] をクリックします。

必要な数の Elastic IP およびパブリック IP について、この手順を繰り返します。

4. [はい、割り当てます（Yes, Allocate）] をクリックして、Elastic IP を作成します。

5. 展開に必要な数の Elastic IP について、この手順を繰り返します。

次の作業

• 次のセクションで説明されているように、Firepower Threat Defense Virtual を展開します。

Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1721R)

© 2018 Cisco Systems, Inc. All rights reserved.