- AsyncOS 10.1 for Cisco Web Security Appliances ユーザ ガイド
- 製品およびリリースの概要
- 接続、インストール、設定
- Cisco Cloud Web Security プロキシへのアプ ライアンスの接続
- Web 要求の代行受信
- エンドユーザ クレデンシャルの取得
- エンドユーザおよびクライアント ソフト ウェアの分類
- SaaS アクセス コントロール
- Cisco Identity Services Engine の統合
- ポリシーの適用に対する URL の分類
- インターネット要求を制御するポリシーの 作成
- HTTPS トラフィックを制御する復号化ポリ シーの作成
- 既存の感染に対する発信トラフィックのス キャン
- セキュリティ サービスの設定
- ファイル レピュテーション フィルタリング とファイル分析
- Web アプリケーションへのアクセスの管理
- 機密データの漏洩防止
- エンドユーザへのプロキシ アクションの 通知
- エンドユーザのアクティビティをモニタす るレポートの生成
- Web セキュリティ アプライアンスのレ ポート
- 非標準ポートでの不正トラフィックの検出
- ログによるシステム アクティビティのモ ニタ
- システム管理タスクの実行
- トラブルシューティング
- コマンドライン インターフェイス
- 関連リソース
- エンド ユーザ ライセンス契約書
AsyncOS 10.1 for Cisco Web Security Appliances ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月5日
章のタイトル: Cisco Identity Services Engine の統合
Cisco Identity Services Engine の統合
Identity Services Engine サービスの概要
Cisco Identity Services Engine(ISE)は、ID 管理を向上させるためにネットワーク上の個々のサーバで実行されるアプリケーションです。AsyncOS は ISE サーバからユーザ ID 情報にアクセスできます。設定されている場合は、適切に設定された識別プロファイルに対してユーザ名および関連するセキュリティ グループ タグが Identity Services Engine から取得され、それらのプロファイルを使用するように設定されたポリシーで透過的ユーザ識別が許可されます。
(注
) ISE サービスはコネクタ モードでは使用できません。
pxGrid について
シスコの Platform Exchange Grid(pxGrid)を使用すると、セキュリティ モニタリングとネットワーク検出システム、ID とアクセス管理プラットフォームなど、ネットワーク インフラストラクチャのコンポーネントを連携させることができます。これらのコンポーネントは pxGrid を使用して、パブリッシュまたはサブスクライブ メソッドにより情報を交換します。
以下の 3 つの主要 pxGrid コンポーネントがあります:pxGrid パブリッシャ、pxGrid クライアント、pxGrid コントローラ。
- pxGrid パブリッシャ:pxGrid クライアントの情報を提供します。
- pxGrid クライアント:パブリッシュされた情報をサブスクライブする任意のシステム(Web セキュリティ アプライアンスなど)。パブリッシュされる情報には、セキュリティ グループ タグ(SGT)とユーザ グループおよびプロファイルの情報が含まれます。
- pxGrid コントローラ:本書では、クライアントの登録/管理およびトピック/サブスクリプション プロセスを制御する ISE pxGrid ノードです。
各コンポーネントには信頼できる証明書が必要です。これらの証明書は各ホスト プラットフォームにインストールしておく必要があります。
ISE サーバの展開とフェールオーバーについて
単一の ISE ノードのセットアップは「スタンドアロン展開」と呼ばれ、この 1 つのノードによって、管理、ポリシー サービス、およびモニタリングが実行されます。フェールオーバーをサポートし、パフォーマンスを向上させるには、複数の ISE ノードを「分散展開」でセットアップする必要があります。Web セキュリティ アプライアンスで ISE フェールオーバーをサポートするために必要な最小限の分散 ISE 構成は以下のとおりです。
この構成は、『 Cisco Identity Services Engine Hardware Installation Guide 』では「 中規模ネットワーク展開 」と呼ばれています。詳細については、『Installation Guide』のネットワーク展開に関する項を参照してください。
Identity Services Engine の証明書
(注) ここでは、ISE 接続に必要な証明書について説明します。ISE サービスを認証および統合するためのタスクには、これらの証明書に関する詳細情報が記載されています。証明書の管理には、AsyncOS の一般的な証書管理情報が記載されています。
Web セキュリティ アプライアンスと各 ISE サーバ間の相互認証と安全な通信のために、一連の 3 つの証明書が必要です。
- WSA クライアント証明書 :ISE サーバで Web セキュリティ アプライアンスを認証するために使用されます。
- ISE 管理証明書 :Web セキュリティ アプライアンスで ISE サーバの認証に使用され、ポート 443 での ISE ユーザプロファイル データの一括ダウンロードを許可します。
- ISE pxGrid 証明書 :Web セキュリティ アプライアンス で ISE サーバの認証に使用され、ポート 5222 での WSA-ISE データ サブスクリプション(ISE サーバに対する進行中のパブリッシュ/サブスクライブ クエリー)を許可します。
この 3 つの証明書は、認証局(CA)による署名でも自己署名でもかまいません。CA 署名付き証明書が必要な場合、AsyncOS には自己署名 WSA クライアント証明書、または証明書署名要求(CSR)を生成するオプションがあります。同様に ISE サーバにも、CA 署名付き証明書が必要な場合に、自己署名 ISE 管理証明書や pxGrid 証明書、または CSR を生成するオプションがあります。
自己署名証明書の使用
自己署名証明書が ISE サーバで使用される場合は、3 つのすべての証明書:ISE サーバで開発された ISE pxGrid 証明書および ISE 管理証明書、WSA で開発された WSA クライアント証明書を、ISE サーバ上の信頼できる証明書ストアに追加する必要があります([管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)])。
CA 署名付き証明書の使用
- ISE サーバで、WSA クライアント証明書に適した CA ルート証明書が信頼できる証明書ストアにあることを確認します([管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)])。
- WSA で、適切な CA ルート証明書が信頼できる証明書リストにあることを確認します([ネットワーク(Network)] > [証明書管理(Certificate Management)] > [信頼できるルート証明書の管理(Manage Trusted Root Certificates)])。[Identity Services Engine] ページ([ネットワーク(Network)] > [Identity Services Engine])で、ISE 管理証明書および pxGrid 証明書用の CA ルート証明書がアップロードされていることを確認します。
ISE サービスを認証および統合するためのタスク
|
|
|
|
|---|---|---|
|
|
ISE サービスへの接続および証明書の管理を参照してください。 |
|
|
|
ISE サービスへの接続を参照してください。 |
|
|
|
|
|
|
|
– 署名付き証明書を受信したら、両証明書を ISE サーバにアップロードします。 両証明書に対し、「CA 署名付き証明書とバインドさせる」操作を行います。 ISE サーバの信頼できる証明書ストアに CA ルート証明書が追加されていることを確認します。 – WSA にインポートする自己署名証明書をエクスポートします。 (注) これらの ISE 管理証明書および pxGrid 証明書に適した自己署名または CA ルート証明書が、信頼できる証明書ストアに追加されたことを確認します(Identity Services Engine の証明書参照)。 |
|
|
|
識別トピック サブスクライバ(WSA など)がリアルタイムでセッション コンテキストを取得できるように、各 ISE サーバを設定する必要があります。基本的な手順は以下のとおりです。
詳細については、『 Cisco Identity Services Engine documentation 』を参照してください。 |
|
|
|
– –
(注 |
|
|
|
|
(注) ISE サーバで証明書をアップロードしたり変更するたびに、ISE サービスを再起動する必要があります。また、サービスと接続が復元されるまでに数分かかることがあります。
ISE サービスへの接続
- 各 ISE サーバが WSA アクセス用に正しく設定されていることを確認します(ISE サービスを認証および統合するためのタスクを参照)。
- ISE サーバの接続情報を取得します。
- 有効な ISE 関連の証明書(クライアント、ポータル、pxGrid)およびキーを取得します。また、Identity Services Engine の証明書も参照してください。
手順 1 [ネットワーク(Network)] > [Identification Service Engine] を選択します。
手順 2 [設定の編集(Edit Settings)] をクリックします。
手順 3 [ISE サービスを有効にする(Enable ISE Service)] をオンにします。
手順 4 ホスト名または IPv4 アドレスを使用して プライマリ ISE pxGrid ノード を識別します。
a. WSA-ISE データ サブスクリプション(ISE サーバに対して進行中のクエリー)用の ISE pxGrid ノード証明書 を入力します。
証明書ファイルを参照して選択し、[ファイルのアップロード(Upload File)] をクリックします。詳細については、証明書およびキーのアップロードを参照してください。
手順 5 フェールオーバー用にセカンド ISE サーバを使用している場合は、ホスト名または IPv4 アドレスを使用して セカンダリ ISE pxGrid ノード を識別します。
a. セカンダリ ISE pxGrid ノード証明書 を入力します。
証明書ファイルを参照して選択し、[ファイルのアップロード(Upload File)] をクリックします。詳細については、証明書およびキーのアップロードを参照してください。
(注) プライマリからセカンダリ ISE サーバへのフェールオーバー中、既存の ISE SGT キャッシュに含まれていないユーザは、WSA の設定に応じて、認証が必要になるか、またはゲスト認証が割り当てられます。ISE フェールオーバーが完了すると、通常の ISE 認証が再開されます。
手順 6 ISE モニタリング ノード管理証明書 をアップロードします。
a. ISE ユ ーザ プロファイル データを WSA に一括ダウンロードするために使用する、 プライマリ ISE モニタリング ノード管理証明書 を入力します。
証明書ファイルを参照して選択し、[ファイルのアップロード(Upload File)] をクリックします。詳細については、証明書およびキーのアップロードを参照してください。
b. フェールオーバー用に別の ISE サーバを使用している場合は、 セカンダリ ISE モニタリング ノード管理証明書 を入力します。
手順 7 WSA と ISE サーバの相互認証用の WSA クライアント認証 を入力します。
(注) これは、CA の信頼できるルート証明書である必要があります。関連情報については、Identity Services Engine の証明書を参照してください。
証明書とキーの両方に対して、[選択(Choose)] をクリックして各ファイルを参照します。
キーが暗号化されている場合は、[キーは暗号化されています(Key is Encrypted)] チェックボックスをオンにします。
[ファイルのアップロード(Upload Files)] をクリックします。(このオプションの詳細については、証明書およびキーのアップロードを参照してください)。
[新しい証明書とキーを生成(Generate New Certificate and Key)] をクリックします。(このオプションの詳細については、証明書およびキーの生成を参照してください)。
手順 8 WSA クライアント証明書をダウンロードして保存し、ISE サーバ ホストにアップロードします(選択したサーバで、[管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)])。
手順 9 (任意)[テスト開始(Start Test)] をクリックして、ISE pxGrid ノードとの接続をテストします。
- h ttp://www.cisco.com/c/en/us/support/security/identity-services-engine/products-implementation-design-guides-list.html 、特に「 How To Integrate Cisco WSA using ISE and TrustSec through pxGrid 」。
フィードバック