ポスチャ サービス
ポスチャは、Cisco Identity Services Engine(Cisco ISE)のサービスです。ポスチャを使用すると、ネットワークに接続する前に、エンドポイントのコンプライアンス(ポスチャとも呼ばれる)をチェックできます。AnyConnect ISE ポスチャ エージェントなどのポスチャ エージェントは、エンドポイントで実行されます。クライアント プロビジョニングは、エンドポイントが適切なポスチャ エージェントを受信できるようにします。
Cisco ISE の ISE ポスチャ エージェントでは、以前のユーザと完全に切断されていないため、ネイティブ サプリカントを使用する場合は Windows のユーザの簡易切り替え機能がサポートされません。新しいユーザが送信されると、古いユーザのプロセスとセッション ID がエージェントによってハングされるため、新しいポスチャ セッションが開始できません。Microsoft のセキュリティ ポリシーに従い、ユーザの簡易切り替え機能を無効にすることを推奨します。
(注) |
ISE では、セッション制御は複数のノードで行われます。 MnT ノードでは、セッションは次の場合に削除されます。
PSN ノードでは、セッションは次の場合に削除されます。
リダイレクトのないポスチャをマルチノード展開で使用し、セッションを適切に管理しないと、ポスチャ機能に影響する可能性があります。 |
Configure ISE 2.1 and AnyConnect 4.3 Posture USB Check How To Configure Posture with AnyConnect Compliance Module and ISE 2.0 |
ポスチャ サービスのコンポーネント
Cisco ISE ポスチャ サービスには、主にポスチャ管理サービスとポスチャ ランタイム サービスが含まれます。
ポスチャ管理サービス
Cisco ISE に APeX ライセンスをインストールしていない場合、ポスチャ管理サービス オプションは管理者ポータルから使用できません。
管理サービスは、ポスチャ サービス用に設定された要件および許可ポリシーに関連付けられた、ポスチャ固有のカスタム条件および修復アクションに対するバックエンド サポートを提供します。
ポスチャ ランタイム サービス
ポスチャ ランタイム サービスでは、ポスチャ評価およびクライアントの修復のためにクライアント エージェントと Cisco ISE サーバの間で実行されるすべての相互作用をカプセル化します。
ポスチャ ランタイム サービスは検出フェーズから開始します。エンドポイント セッションは、エンドポイントが 802.1x 認証に成功した後に作成されます。クライアント エージェントは、次の順序で各種の方式によって検出パケットを送信して Cisco ISE ノードへの接続を試行します。
- HTTP 経由で Cisco ISE サーバのポート 80 へ(設定されている場合)
- HTTPS 経由で Cisco ISE サーバのポート 8905 へ(設定されている場合)
- HTTP 経由でデフォルト ゲートウェイのポート 80 へ
- HTTPS 経由でポート 8905 からそれぞれ前にアクセスしたサーバへ
- HTTP 経由で enroll.cisco.com のポート 80 へ
ポスチャ フェーズは、利用規定(存在する場合)が受け入れられると開始されます。Cisco ISE ノードはクライアント エージェントにポスチャ ドメインのポスチャ トークンを発行します。ポスチャ トークンにより、エンドポイントではポスチャ プロセスを再度実行せずにネットワークに再接続できます。これには、エージェント GUID、利用規定のステータス、エンドポイントのオペレーティング システム情報などの情報が含まれています。
ポスチャ フェーズで使用されるメッセージは、NEA PB/PA 形式(RFC5792)です。
ポスチャ タイプ
Cisco ISE ポスチャ ポリシーを監視および適用するために使用できる 3 つのポスチャ タイプがあります。
-
AnyConnect:AnyConnect エージェントを展開し、クライアントとのやりとりが必要な Cisco ISE ポスチャ ポリシーを監視し、適用します。
-
AnyConnect Stealth:ユーザの操作なしで、サービスとしてポスチャを実行します。
-
Temporal Agent:クライアント上で実行するように Cisco ISE GUI で設定できる一時実行可能ファイル。クライアントが信頼ネットワークにアクセスしようとすると、Cisco ISE は、ユーザがクライアント上で実行する必要のある実行可能ファイルをプッシュします。Termporal Agent は、コンプライアンス ステータスを再び検査し、そのステータスを Cisco ISE に送信します。Cisco ISE は結果に基づいて必要なアクションを実行します。コンプライアンス処理が完了すると、クライアントから一時エージェントが削除されます。一時エージェントは、カスタム修復をサポートしていません。デフォルトの修復では、メッセージ テキストのみがサポートされます。
(注)
-
[ポスチャ タイプ(Posture Types)] を [Temporal Agent]、[コンプライアンス モジュール(Compliance Module)] を [4.x 以降(4.x or later)] として、ポスチャ ポリシーを設定できます。このようなポリシーの修復と要件を作成する際は、コンプライアンス モジュールを「3.x 以前」または「任意のバージョン」に変更しないように注意してください。
-
Termporal Agent の場合は、[要件(Requirements)] ページで [インストール(Installation)] チェック タイプを含むパッチ管理条件のみを表示できます。
-
Cisco ISE は、Mac OSX 向け Temporal Agent を使用した VLAN 制御ポスチャ環境をサポートしていません。これは、ネットワーク アクセスを既存の VLAN から新しい VLAN に変更するときに、VLAN の変更前にユーザの IP アドレスを解放し、ユーザが新しい VLAN に接続するときに新しい IP アドレスを DHCP 経由で要求する必要があるためです。これにはルート権限が必要ですが、Temporal Agent はユーザ プロセスとして実行します。
Cisco ISE は、エンドポイント IP アドレスの更新を必要としない ACL 制御のポスチャ環境をサポートしています。
-
Temporal Agent によってサポートされない条件:
-
サービス条件 MAC:システム デーモン チェック
-
サービス条件 MAC:デーモンまたはユーザ エージェント チェック
-
PM:最新チェック
-
PM:有効化チェック
-
DE:暗号化チェック
[クライアント プロビジョニング(Client Provisioning)] ページ([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)])と [ポスチャ要件(Posture Requirements)] ページ([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [要件(Requirements)])に、ポスチャ タイプが含まれており、推奨されるベスト プラクティスは、[クライアント プロビジョニング(Client Provisioning)] ページでポスチャ プロファイルをプロビジョニングすることです。
ポスチャ要件で AnyConnect ステルス ポスチャ タイプを選択すると、一部の条件、修復、または条件内の属性が無効になります(灰色表示)。たとえば、手動修復ではクライアント側のやりとりが必要となるため、AnyConnect ステルス要件を有効にすると、[手動修復タイプ(Manual Remediation Type)] が無効になります(灰色表示)。
AnyConnect ステルス モードの展開で、ポスチャ プロファイルを AnyConnect 設定にマッピングし、Anyconnect 設定を [クライアント プロビジョニング(Client Provisioning)] ページにマッピングする場合、次の処理がサポートされます。
-
AnyConnect によるポスチャ プロファイルの読み取りと必要なモードの設定
-
初回ポスチャ要求における AnyConnect による選択したモードに関する情報の Cisco ISE への送信
-
Cisco ISE によるモードおよびその他の要因(ID グループ、OS、コンプライアンス モジュールなど)に基づく正しいポリシーの照合。
(注) |
AnyConnect バージョン 4.4 以降では、ステルス モードでの Cisco ISE ポスチャがサポートされています。 |
Cisco ISE ポスチャ エージェント
ポスチャ エージェントとは、Cisco ISE ネットワークにログインしているクライアント マシンに存在するアプリケーションです。クライアントがネットワークにログインしていない場合でも、エージェントは永続的にすることができ(AnyConnect と同様)、インストール後もクライアント マシンに残ります。エージェントは一時的にすることもでき( や Windows および Mac OS 向けの Cisco Temporal Agent と同様)、ログイン セッション終了後にクライアント マシンから削除されます。いずれの場合も、エージェントはネットワークにログインし、適切なアクセス プロファイルを受け取り、クライアント マシンでポスチャ評価を実行してネットワークのコアにアクセスする前にネットワーク セキュリティ ガイドラインに従うようにします。
(注) |
Windows 向けの Cisco Temporal Agent は、クライアント プロビジョニング ポータルをサポートし、URL リダイレクションを使用します。 |
ポスチャおよびクライアント プロビジョニング ポリシー ワークフロー
ポスチャ検出のステージ 1 では、すべてのディスカバリプローブが、ポスチャエージェントによって同時に実行されます。タイムアウト値は 5 秒です。ステージ 2 には 2 つのディスカバリプローブが含まれています。これにより、ポスチャモジュールは PSN への接続を確立できます。この PSN への接続は、リダイレクションがサポートされていない環境での認証をサポートしています。ステージ 2 では、すべてのプローブが連続しています。ステージ 2 に障害が発生した場合、ポスチャエージェントは再度ステージ 1 を試行します。このサイクルは 30 秒間継続します。その後、「ポリシーサーバが検出されません」と表示されます。この状態は、ディスカバリプローブがトリガーされるまで続きます。
ポスチャ サービス ライセンス
Cisco ISE は、Base ライセンス、Plus ライセンス、APeX ライセンスの 3 種類のライセンスを提供します。プライマリ PAN で APeX ライセンスをインストールしないと、ポスチャ要求は Cisco ISE で実行されません。Cisco ISE のポスチャ サービスは、1 つのノードまたは複数のノードで実行できます。
ポスチャ サービス展開
Cisco ISE は、スタンドアロン環境(単一ノード)または分散環境(複数ノード)に展開できます。
スタンドアロン Cisco ISE 展開では、単一のノードをすべての管理サービス、モニタリングとトラブルシューティング サービス、およびポリシー実行時サービスに設定できます。
分散 Cisco ISE 展開では、各ノードを、管理サービス、モニタリングとトラブルシューティング サービス、およびポリシー実行時サービスの Cisco ISE ノードとして設定できます。管理サービスを実行しているノードは、Cisco ISE 展開内のプライマリ ノードです。他のサービスを実行している他のノードは、互いのバックアップ サービス用に設定できるセカンダリ ノードです。
Cisco ISE でのポスチャ セッション サービスの有効化
始める前に
- クライアントから受信したすべてのポスチャ要求に対応するには、Cisco ISE でセッション サービスを有効にし、拡張ライセンス パッケージをインストールする必要があります。
-
分散展開に複数のノードを登録している場合は、登録したすべてのノードがプライマリ ノードとは別に [展開ノード(Deployment Nodes)] ページに表示されます。各ノードを Cisco ISE ノード(管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナ)として設定できます。
-
ポスチャ サービスは、ポリシー サービス ペルソナを担当する Cisco ISE ノードでのみ実行され、分散展開で管理ペルソナとモニタリング ペルソナを担当する Cisco ISE ノードでは実行されません。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[展開ノード(Deployment Nodes)] ウィンドウから Cisco ISE ノードを選択します。 |
ステップ 3 |
[編集(Edit)] をクリックします。 |
ステップ 4 |
[全般設定(General Settings)] タブで [ポリシーサービス(Policy Service)] チェックボックスをオンにします。 [ポリシー サービス(Policy Service)] チェックボックスがオフになっている場合は、セッション サービスとプロファイリング サービスの両方のチェックボックスが無効になります。 |
ステップ 5 |
ポリシー サービス ペルソナでネットワーク アクセス、ポスチャ、ゲスト、およびクライアント プロビジョニングのセッション サービスを実行するには、[セッション サービスの有効化(Enable Session Services)] チェックボックスをオンにします。セッション サービスを停止するには、このチェックボックスをオフにします。 |
ステップ 6 |
[保存(Save)] をクリックします。 |
ポスチャ評価レポートの実行
ポスチャの詳細な評価を実行して、ポスチャ評価中に使用されるポスチャ ポリシーに対するクライアントのコンプライアンスの詳細なステータスを生成できます。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[時間範囲(Time Range)] ドロップダウン リストから特定の期間を選択します。 |
ステップ 3 |
[実行(Run)] をクリックして、選択した期間中にアクティブだったすべてのエンド ポイントの概要を表示します。 |