Cisco ASA with FirePOWER Services バージョン 6.3 ローカル管理設定 ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco ASA with FirePOWER Services バージョン 6.3 ローカル管理設定 ガイド

Chapter Title

アクセス コントロール ルール:カスタム セキュリティ グループ タグ

検索結果

Updated:
2019年4月2日

章のタイトル: アクセス コントロール ルール:カスタム セキュリティ グループ タグ

アクセス コントロール ルール:カスタム セキュリティ グループ タグ

セキュリティ グループ タグ(SGT)は、信頼ネットワーク内におけるトラフィックの送信元の権限を指定します。ユーザが TrustSec または ISE でセキュリティ グループを追加すると、セキュリティ グループ アクセス(Cisco TrustSec と Cisco ISE の両方に共通の機能)が自動的に SGT を生成します。SGA は、パケットがネットワークに入ると、SGT 属性を適用します。ISE をアイデンティティ ソースとして設定するかまたはカスタム SGT オブジェクトを作成することで、アクセス コントロール用に SGT を使用できます。

カスタム SGT 条件により、カスタム SGT オブジェクトに基づいてアクセス コントロール ルールを設定できます。カスタム SGT オブジェクトの FirePOWER システムへの追加は、ISE を介して SGT を取得するのではなく、手動で行います。

カスタム SGT 条件を使用できるのは、アイデンティティ ソースとしての ISE/ISE-PIC を無効にしている場合のみです。

ISE SGT およびカスタム SGT ルール条件

ISE をアイデンティティ ソース(ISE SGT)として設定するかまたはカスタム SGT オブジェクト(custom SGT)を作成することで、アクセス コントロール用に SGT を使用できます。システムによる ISE SGT とカスタム SGT ルール条件の扱いは、次のように異なります。

ISE SGT:設定済みの ISE 接続がある

アクセス コントロール ルールでは、ISE SGT は ISE 属性条件として使用できます。[SGT/ISE Attributes] タブの [Available Attributes] リストから [Security Group Tag] を選択すると、システムは使用可能なタグを ISE に照会して、[Available Metadata] リストに入力します。パケットに SGT 属性が存在するかしないかにより、システムの応答が次のように決まります。

  • SGT 属性がパケット内に存在している場合、システムはその値を抽出し、それをアクセス コントロール ルール内の ISE SGT 条件と比較します。

  • SGT 属性がパケットにない場合、システムはパケットのソース IP アドレスと関連付けられている SGT が ISE で既知であるかどうかを判別し、SGT をアクセス コントロール ルール内の ISE SGT 条件と比較します。

カスタム SGT:設定済みの ISE 接続がない

カスタム SGT オブジェクトを作成し、それをアクセス コントロール ルール内の条件として使用できます。[SGT/ISE Attributes] タブの [Available Attributes] リストから [Security Group Tag] を選択すると、システムは [Available Metadata] リストに、ユーザが追加した SGT オブジェクトを入力します。パケットに SGT 属性が存在するかしないかにより、システムの応答が次のように決まります。

  • SGT 属性がパケット内に存在している場合、システムはその値を抽出し、それをアクセス コントロール ルール内のカスタム SGT 条件と比較します。

  • SGT 属性がパケット内にない場合、システムはパケットをアクセス コントロール ルール内のカスタム SGT 条件と照合しません。

カスタム SGT から ISE SGT ルール条件への自動移行

カスタム SGT オブジェクトを条件として使用してアクセス コントロール ルールを作成した後に ISE/ISE-PIC をアイデンティティ ソースとして設定した場合のシステムの動作は、次のとおりです。

  • オブジェクト マネージャの [セキュリティ グループ タグ(Security Group Tag)] オブジェクト オプションを無効にします。ISE/ISE-PIC 接続を無効にしない限り、新規 SGT オブジェクトの追加、既存 SGT オブジェクトの編集、または新規条件としての SGT オブジェクトの追加はできません。
  • 既存の SGT オブジェクトを保持します。これら既存のオブジェクトは変更できません。それらは、それらを条件として使用する既存のアクセス コントロール ルールのコンテキストでのみ表示できます。
  • カスタム SGT 条件がある既存のアクセス コントロール ルールを保持します。カスタム SGT オブジェクトは手動編集でしか更新できないため、シスコはこれらのルールを削除するか、または無効にすることをお勧めしています。代わりに、SGT を ISE 属性条件として使用するルールを作成してください。システムは ISE 属性条件の SGT メタデータを更新するように ISE を自動的に照会しますが、手動編集ではカスタム SGT オブジェクトしか更新できません。

カスタム SGT 条件の設定

ライセンス:任意

カスタム セキュリティ グループ タグ(SGT)を設定する方法:

手順

ステップ 1

アクセス コントロール ルール エディタで、[SGT/ISE Attributes] タブをクリックします。
ステップ 2

[Available Attributes] リストから [Security Group Tag] を選択します。

ステップ 3

[Available Metadata] リストで、カスタム SGT オブジェクトを見つけて選択します。

選択すると、ルールは SGT 属性があるすべてのトラフィックと一致します。たとえば、この値は、TrustSec 向けに構成されていないホストからのトラフィックをブロックするルールが必要な場合に選択できます。
ステップ 4

[Add to Rule] をクリックするか、ドラッグ アンド ドロップします。

ステップ 5

ルールを保存するか、編集を続けます。

次のタスク

カスタム SGT 条件のトラブルシューティング

予期しないルールの動作に気付いたら、カスタム SGT オブジェクトの設定を調整することを検討してください。

使用不可のセキュリティ グループ タグ オブジェクト

カスタム SGT オブジェクトは、ISE/ISE-PIC をアイデンティティ ソースとして設定していない場合にのみ使用できます。詳細については、「カスタム SGT から ISE SGT ルール条件への自動移行」を参照してください。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ