概要
Cisco Application Policy Infrastructure Controller(APIC)は、Cisco Application Centric Infrastructure(ACI)のセントラル 機能を制御するシングルポイントです。APIC では、アプリケーション間の Cisco Firepower Threat Defense(FTD)ノースバウンドなどのサービス挿入を自動化でき、エンドポイント グループ(EPG) とも呼ばれます。APIC は、ネットワークとサービスを設定するためにノースバウンド Application Programming Interfaces(API)を使用します。管理対象オブジェクトを使用して設定を作成、削除、変更するのに、これらの API を使用します。
サービス デバイスを設定しモニタするため、APIC にはデバイス パッケージが必要です。デバイス パッケージはサービス デバイスのクラスを管理し、デバイスに関する情報を APIC に送信するため、APIC はデバイスの動作を認識できます。デバイス パッケージを使用することで、FTD アプライアンスなど、サービス デバイスにネットワーク サービス機能を挿入し設定できます。
FTD ファブリック挿入(FI)デバイス パッケージは、全デバイス設定の責任がセキュリティとネットワーク管理者の間で共有されているハイブリッド モデル(ACI 用語でサービス マネージャ)に基づいています。
-
セキュリティ管理者:セキュリティ ゾーンの条件が未設定のまま、新しいサービス グラフにセキュリティ ポリシーを事前定義するため FMC を使用します。新しいポリシー ルールは適切なアクセス(プロトコルを許可)と、NGIPS およびマルウェアのポリシー、URL フィルタリング、Threat Grid など高度な保護設定を定義します。
-
ネットワーク管理者。サービス グラフをオーケストレーションし、ACI ファブリックに FTD デバイスを挿入して、この事前定義されたセキュリティ ポリシーにダイレクト トラフィックを接続するため、APIC を使用します。APIC の L4 ~ L7 デバイス パラメータまたは機能のプロファイル内で、ネットワーク管理者は、事前定義された FMC アクセス コントロール ポリシーやルールの一致を含む、このガイドで定義されたパラメータを設定します。
APIC が FMC のアクセス コントロール ポリシー ルール名と一致する場合、ルールに新しく作成されたセキュリティ ゾーンを挿入するだけです。ルールが見つからない場合、APIC はその名前で新しいルールを作成し、セキュリティ ゾーンを接続して、[拒否アクション] を設定します。これは、トラフィックが特定のサービス グラフに許可される前に、セキュリティ管理者が新しいルール基準と適切な保護設定を更新するように強制します。
このドキュメントでは、FTD と ACI の連携方法と、FTD の機能を利用するための APIC の設定法について説明します。
-
Firepower Management Center(FMC)で、REST API を有効化にします
-
CCO から ACI デバイス パッケージ ソフトウェアの FTD をダウンロードします
-
APIC に ACI デバイス パッケージの FTD をインポートします
-
FTD アプライアンスを登録します
-
FTD アプライアンスを使用するネットワーク サービス グラフを定義します
 (注) |
このドキュメントで使用される例のスクリーン ショットでは、SampleTenant という名前の既存のテナントが示されています。このガイドの手順に従って提供されたテンプレートを使用する場合、実際のテナント名を使用します。 |
サービス機能の挿入
サービス機能がアプリケーション間のサービス グラフに挿入されると、これらのアプリケーションからのトラフィックは APIC で分類され、オーバーレイ ネットワークのタグを使用して識別されます。サービス機能はタグを使用して、トラフィックにポリシーを適用します。APIC との FTD 統合の場合、サービス機能はルーテッド、トランスペアレント、またはインライン ファイアウォール動作を使用してトラフィックを転送します。
使用可能な APIC 製品
初期のソフトウェア リリースには、ACI 用の Cisco FTD デバイス パッケージ ファブリック挿入ソフトウェアが含まれています。
フィードバック