セキュリティ ポリシー
セキュリティ ポリシーの概要
エンドポイント接続は、到達可能性(ネットワーク内の正しい転送状態)とセキュリティ(接続が許可されている必要があります)によって決定されます。L2 ドメインと L3 ドメイン間、およびきめ細かい L2/L3 IP エンドポイント間でポリシーを指定する必要があります。セキュリティ ポリシーでは、より詳細なエンドポイント間のトラフィックを許可または拒否できます。SVI上の仮想ネットワーク間トラフィック(ACL)と外部から内部へのトラフィック(境界リーフデバイスのACL、外部エンドポイントのみ)を制御します。ACL は、適切なデバイス構文でレンダリングされ、ポリシー適用ポイントに適用されます。新しい VXLAN エンドポイントの追加(ラックの追加や仮想ネットワークへのリーフの追加など)では、自動的に ACL が仮想ネットワーク インターフェイスに配置されます。新しい汎用システム ECP(外部接続ポイント)(ポリシー適用ポイント)を追加すると、外部エンドポイント グループの ACL が自動的に配置されます。セキュリティポリシーは、レイヤー2 IPv4対応のブループリントに適用できます(IPv6はサポートされていません)。サポートされるデバイスについては、「リファレンス」セクションの「機能マトリクス」の「 接続(リーフ層からの接続)」 テーブルを参照してください。
セキュリティポリシーは、送信元ポイント(サブネットまたはIPアドレス)、宛先ポイント(サブネットまたはIPアドレス)、およびプロトコルに基づいてそれらのポイント間のトラフィックを許可または拒否するルールで構成されています。ルールはステートレスであるため、許可されたインバウンド トラフィックへの応答はアウトバウンド トラフィックのルールの対象になります(また、その逆も同様です)。
ルールにはトラフィックロギングを含めることができます。ACL は、デバイスでサポートされているあらゆるメカニズムを使用して一致するログを記録するように設定されています。ログ設定は、ネットワークデバイスに対してローカルです。Apstraサーバー上にはありませんこれらのログの解析は、この文書の範囲外です。
双方向セキュリティ ポリシーの場合、ポリシーのインスタンスを 2 つ作成し、各方向に 1 つずつ作成します。
各サブネット/エンドポイントに複数のポリシーを適用できるため、ルールの順序が動作に影響を与えます。ルーティング ゾーン、仮想ネットワーク、IP エンドポイントの間には暗示的な階層が存在するため、さまざまな階層レベルでのポリシーの適用方法を考慮する必要があります。一方のルールの一致セットにもう一方の一致セット (完全なコンテインメント) が含まれている場合、ルールは競合する可能性があります。ルールをより具体的なルールを最初に実行するように設定できます(「例外」フォーカス/モード)。またはより具体的でないルールを最初に実行します(「オーバーライド」フォーカス/モード)。
また、ルール間に完全な封じ込め状況がある場合でも、ルールは競合する可能性がありますが、アクションは同じです。この場合、より具体的でないルールを使用して圧縮する可能性があり、より具体的なルールは「シャドー」ルールになります。競合するルールが検出されると、警告が表示され、解決策が表示されます。
競合するルールが特定されるケースをいくつか以下に示します。
- IPエンドポイントの異なるペア間のポリシーのルール(両方のペアが共通であっても)は、IPアドレスのペアが異なっていることを考えると、重複しない。これにより、送信元IP/宛先IPの観点から(異なる「IPシグネチャ」)からディスジョイントマッチセットが設定されます。
- 同じIPエンドポイント間のポリシーのルールは、フィールド(宛先ポートなど)に重複させることができます。Apstraソフトウェアはこれをチェックします。
- 仮想ネットワークの異なるペア間のポリシーのルール(1つの仮想ネットワークが両方のペアに共通であっても)は、サブネットのペアが異なっていることを考えると、重複しない。これにより、送信元IP/宛先IPの観点からディスジョイントマッチセットが設定されます(異なる「IPシグネチャ」)。
- 同じ仮想ネットワーク間のポリシーのルールは、フィールド(宛先ポートなど)に重複させることができます。Apstraソフトウェアはこれをチェックします。
- IP エンドポイント グループを使用すると、一連の IP エンドポイント ペアが作成されるため、上記の IP エンドポイント ペアに関連する議論が適用されます。
- 1 組の IP エンドポイントとペアの親仮想ネットワーク間のポリシーのルールには、IP シグネチャの観点からコンテインメントがあります。Apstraソフトウェアは、宛先ポート/プロトコルの重複を分析し、フルコンテインメントまたは非フルコンテインメントの競合として分類します。
- 1 組の IP エンドポイントと、少なくとも 1 つの仮想ネットワークが親でない仮想ネットワークのペアの間のポリシーのルールが非競合している(異なる「IP シグネチャ」)。
- IPエンドポイントのペアとIPエンドポイントの間のポリシーのルール - 仮想ネットワークが親である仮想ネットワークのペアは、IPシグネチャの観点から完全な封じ込めがあります。Apstraソフトウェアは、残りのフィールドを分析します。
- 外部 IP エンドポイントまたはエンドポイント グループを含むポリシーのルールは、外部ポイントが階層的な仮定に拘束されないため、IP シグネチャの観点から分析する必要があります。
- ルーティング ゾーンは仮想ネットワークと IP エンドポイントのセットであるため、上記の議論が適用されます。
以下の場合、エンドポイントはセキュリティポリシーではサポートされません。
- ソース ポイントは、外部エンドポイントまたは外部エンドポイント グループです。
- 宛先ポイントは内部(内部エンドポイント、内部エンドポイント グループ、仮想ネットワーク、ルーティング ゾーン)
組成の扱いを容易にするために、分析の観点からだけでなく、結果の組成を理解することから、特定のエンドポイント/グループに適用できるセキュリティポリシーの数を制限すると便利な場合があります。
セキュリティ ポリシー パラメーター
セキュリティ ポリシーには、以下の詳細が含まれます。
パラメーター | の説明 |
---|---|
名前 | 32 文字以下、アンダースコア、ダッシュ、英数字のみ |
説明 | オプション |
有効 |
|
タグ | オプション |
ソース ポイント タイプ |
|
ソース ポイント |
|
宛先ポイント タイプ | ソース ポイント(以前に作成済み) |
宛先ポイント | 宛先ポイント(以前に作成済み) |
ルールアクション |
|
ルール プロトコル |
|
送信元ポート | TCP および IP プロトコルの場合 |
宛先ポート | TCP および IP プロトコルの場合 |
ブループリントから[ Staged > Policies>セキュリティポリシー>ポリシー に移動し、セキュリティポリシーに移動します。セキュリティ ポリシーの作成、コピー、編集、削除が可能です。
セキュリティ ポリシーの作成
セキュリティ ポリシーを作成する前に、 ルーティング ゾーン、 仮想ネットワーク、 エンドポイント、エンドポイント グループを、その順序で作成します。セキュリティ ポリシーの作成の基礎となります。
セキュリティ ポリシーを作成するには、以下の手順にいます。
ポリシー エラー
- 赤色で強調表示されているエラーがないか、テーブルビューでセキュリティポリシーを確認します。
- 詳細を表示するには、[エラーの表示] ボタンをクリックします。
- エラーを解決すると、ポリシーは赤で強調表示されなくなり、[エラー] フィールドは空白になります。
段階的な変更をアクティブにするには、ブループリントに コミット します。
セキュリティ ポリシーの編集
- 左側のナビゲーション メニューから、[Staged > ポリシー] > [セキュリティ ポリシー> ポリシー] に移動し、ポリシーを編集するには [編集] ボタンをクリックします。
- 変更を加えます。
- 編集をクリックして変更をステージングし、テーブル ビューに戻ります。
セキュリティ ポリシーの削除
- 左側のナビゲーション メニューから、[Staged > ポリシー] > [セキュリティ ポリシー>ポリシー] に移動し、削除するポリシーの [削除] ボタンをクリックします。
- 削除をステージングし、テーブル ビューに戻るために [削除] をクリックします。
セキュリティ ポリシーの検索
特定のサブネットまたはポイントに適用されるセキュリティ ポリシーを見つけることができます。
- ブループリントから、「ステージングされた>ポリシー>セキュリティポリシー>ポリシー検索」に移動します。
- ソース ポイント タイプを選択し、該当する場合はサブネットまたはソース ポイントを入力します。
- 宛先ポイント タイプを選択し、サブネットまたはソース ポイント(該当する場合)を入力します。
- [検索] をクリックして、関連するセキュリティ ポリシーを表示します。
セキュリティ ポリシーの競合
ブループリントから[ ステージング>ポリシー>セキュリティポリシー>競合 に移動し、検出された競合を確認します([ルールの競合 ]列)。コンフリクトは可能な限り自動的に解決されます。デフォルトでは、より具体的なポリシーがより具体的なものより前に適用されますが、これらのセキュリティ ポリシー設定を変更できます。競合の詳細を表示するには、[ ルールの競合 ] 列のアイコンをクリックします。
競合が自動的に解決された場合は、[ステータス] 列に [AOS で解決済み] が表示されます。