Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティ ポリシー

セキュリティ ポリシーの概要

エンドポイント接続は、到達可能性(ネットワーク内の正しい転送状態)とセキュリティ(接続が許可されている必要があります)によって決定されます。L2 ドメインと L3 ドメイン間、およびきめ細かい L2/L3 IP エンドポイント間でポリシーを指定する必要があります。セキュリティ ポリシーでは、より詳細なエンドポイント間のトラフィックを許可または拒否できます。SVI上の仮想ネットワーク間トラフィック(ACL)と外部から内部へのトラフィック(境界リーフデバイスのACL、外部エンドポイントのみ)を制御します。ACL は、適切なデバイス構文でレンダリングされ、ポリシー適用ポイントに適用されます。新しい VXLAN エンドポイントの追加(ラックの追加や仮想ネットワークへのリーフの追加など)では、自動的に ACL が仮想ネットワーク インターフェイスに配置されます。新しい汎用システム ECP(外部接続ポイント)(ポリシー適用ポイント)を追加すると、外部エンドポイント グループの ACL が自動的に配置されます。セキュリティポリシーは、レイヤー2 IPv4対応のブループリントに適用できます(IPv6はサポートされていません)。サポートされるデバイスについては、「リファレンス」セクションの「機能マトリクス」の「 接続(リーフ層からの接続)」 テーブルを参照してください。

セキュリティポリシーは、送信元ポイント(サブネットまたはIPアドレス)、宛先ポイント(サブネットまたはIPアドレス)、およびプロトコルに基づいてそれらのポイント間のトラフィックを許可または拒否するルールで構成されています。ルールはステートレスであるため、許可されたインバウンド トラフィックへの応答はアウトバウンド トラフィックのルールの対象になります(また、その逆も同様です)。

ルールにはトラフィックロギングを含めることができます。ACL は、デバイスでサポートされているあらゆるメカニズムを使用して一致するログを記録するように設定されています。ログ設定は、ネットワークデバイスに対してローカルです。Apstraサーバー上にはありませんこれらのログの解析は、この文書の範囲外です。

双方向セキュリティ ポリシーの場合、ポリシーのインスタンスを 2 つ作成し、各方向に 1 つずつ作成します。

各サブネット/エンドポイントに複数のポリシーを適用できるため、ルールの順序が動作に影響を与えます。ルーティング ゾーン、仮想ネットワーク、IP エンドポイントの間には暗示的な階層が存在するため、さまざまな階層レベルでのポリシーの適用方法を考慮する必要があります。一方のルールの一致セットにもう一方の一致セット (完全なコンテインメント) が含まれている場合、ルールは競合する可能性があります。ルールをより具体的なルールを最初に実行するように設定できます(「例外」フォーカス/モード)。またはより具体的でないルールを最初に実行します(「オーバーライド」フォーカス/モード)。

また、ルール間に完全な封じ込め状況がある場合でも、ルールは競合する可能性がありますが、アクションは同じです。この場合、より具体的でないルールを使用して圧縮する可能性があり、より具体的なルールは「シャドー」ルールになります。競合するルールが検出されると、警告が表示され、解決策が表示されます。

競合するルールが特定されるケースをいくつか以下に示します。

  • IPエンドポイントの異なるペア間のポリシーのルール(両方のペアが共通であっても)は、IPアドレスのペアが異なっていることを考えると、重複しない。これにより、送信元IP/宛先IPの観点から(異なる「IPシグネチャ」)からディスジョイントマッチセットが設定されます。
  • 同じIPエンドポイント間のポリシーのルールは、フィールド(宛先ポートなど)に重複させることができます。Apstraソフトウェアはこれをチェックします。
  • 仮想ネットワークの異なるペア間のポリシーのルール(1つの仮想ネットワークが両方のペアに共通であっても)は、サブネットのペアが異なっていることを考えると、重複しない。これにより、送信元IP/宛先IPの観点からディスジョイントマッチセットが設定されます(異なる「IPシグネチャ」)。
  • 同じ仮想ネットワーク間のポリシーのルールは、フィールド(宛先ポートなど)に重複させることができます。Apstraソフトウェアはこれをチェックします。
  • IP エンドポイント グループを使用すると、一連の IP エンドポイント ペアが作成されるため、上記の IP エンドポイント ペアに関連する議論が適用されます。
  • 1 組の IP エンドポイントとペアの親仮想ネットワーク間のポリシーのルールには、IP シグネチャの観点からコンテインメントがあります。Apstraソフトウェアは、宛先ポート/プロトコルの重複を分析し、フルコンテインメントまたは非フルコンテインメントの競合として分類します。
  • 1 組の IP エンドポイントと、少なくとも 1 つの仮想ネットワークが親でない仮想ネットワークのペアの間のポリシーのルールが非競合している(異なる「IP シグネチャ」)。
  • IPエンドポイントのペアとIPエンドポイントの間のポリシーのルール - 仮想ネットワークが親である仮想ネットワークのペアは、IPシグネチャの観点から完全な封じ込めがあります。Apstraソフトウェアは、残りのフィールドを分析します。
  • 外部 IP エンドポイントまたはエンドポイント グループを含むポリシーのルールは、外部ポイントが階層的な仮定に拘束されないため、IP シグネチャの観点から分析する必要があります。
  • ルーティング ゾーンは仮想ネットワークと IP エンドポイントのセットであるため、上記の議論が適用されます。

以下の場合、エンドポイントはセキュリティポリシーではサポートされません。

  • ソース ポイントは、外部エンドポイントまたは外部エンドポイント グループです。
  • 宛先ポイントは内部(内部エンドポイント、内部エンドポイント グループ、仮想ネットワーク、ルーティング ゾーン)

組成の扱いを容易にするために、分析の観点からだけでなく、結果の組成を理解することから、特定のエンドポイント/グループに適用できるセキュリティポリシーの数を制限すると便利な場合があります。

セキュリティ ポリシー パラメーター

セキュリティ ポリシーには、以下の詳細が含まれます。

パラメーター の説明
名前 32 文字以下、アンダースコア、ダッシュ、英数字のみ
説明 オプション
有効
  • ON でセキュリティ ポリシーを有効にする(デフォルト)
  • OFF でセキュリティ ポリシーを無効にする
タグ オプション
ソース ポイント タイプ
  • 内部エンドポイント(VN に関連付け - IP /32 アドレスを含む)
  • 外部エンドポイント(/32 またはサブネットを含む)
  • 外部エンドポイント グループ
  • 内部エンドポイント グループ
  • 仮想ネットワーク(サブネットを含む)
  • ルーティング ゾーン(すべての仮想ネットワークと内部 IP エンドポイントの論理コレクション)
ソース ポイント
  • 内部エンドポイント
  • 外部エンドポイント
  • 外部エンドポイント グループ
  • 内部エンドポイント グループ
  • 仮想ネットワーク
  • ルーティング ゾーン
宛先ポイント タイプ ソース ポイント(以前に作成済み)
宛先ポイント 宛先ポイント(以前に作成済み)
ルールアクション
  • 拒否
  • 拒否とログ記録
  • 許可
  • 許可 & ログ
ルール プロトコル
  • Tcp
  • Udp
  • Ip
  • Icmp
送信元ポート TCP および IP プロトコルの場合
宛先ポート TCP および IP プロトコルの場合

ブループリントから[ Staged > Policies>セキュリティポリシー>ポリシー に移動し、セキュリティポリシーに移動します。セキュリティ ポリシーの作成、コピー、編集、削除が可能です。

セキュリティ ポリシーの作成

セキュリティ ポリシーを作成する前に、 ルーティング ゾーン仮想ネットワークエンドポイント、エンドポイント グループを、その順序で作成します。セキュリティ ポリシーの作成の基礎となります。

セキュリティ ポリシーを作成するには、以下の手順にいます。

  1. ブループリントから、「ステージングされた>ポリシー>セキュリティポリシー>ポリシー」に移動し、「セキュリティポリシーの作成」をクリックします。
  2. 名前を入力し、ポリシーを有効にしたい場合はデフォルトを残します。それ以外の場合は、[有効] 切り替えボタンをクリックして無効にします。
  3. ソース ポイント タイプを選択し、ソース ポイントを入力します。
  4. 宛先ポイント タイプを選択し、目的点を入力します。
  5. [ルールの追加] をクリックし、名前と(オプション)説明を入力します。
  6. ドロップダウンリストからアクションを選択します(拒否、拒否&ログ、許可、許可、ログ)。
  7. ドロップダウン リスト(TCP、UDP、IP ICMP)からプロトコルを選択します
  8. TCP または UDP を選択した場合、送信元と宛先のポート(またはポート範囲)を入力します。(TCP/UDP ポート エイリアスを作成した場合は、ドロップダウン リストに表示されます)。
  9. 別のルールを追加するには、[ルールの追加] をクリックし、上記のように構成します。
    メモ:

    [ルールの追加] ボタンの右側にある [すべて拒否] または [すべて許可] をクリックして、ブロックリストタイプのポリシーを自動的に作成できます。

  10. ルールの順序は、各ルールの [上へ] ボタンまたは [下へ] ボタンをクリックして調整できます。
  11. [作成] をクリックしてポリシーをステージングし、テーブル ビューに戻ります。

ポリシー エラー

  1. 赤色で強調表示されているエラーがないか、テーブルビューでセキュリティポリシーを確認します。
  2. 詳細を表示するには、[エラーの表示] ボタンをクリックします。
  3. エラーを解決すると、ポリシーは赤で強調表示されなくなり、[エラー] フィールドは空白になります。

段階的な変更をアクティブにするには、ブループリントに コミット します。

セキュリティ ポリシーの編集

  1. 左側のナビゲーション メニューから、[Staged > ポリシー] > [セキュリティ ポリシー> ポリシー] に移動し、ポリシーを編集するには [編集] ボタンをクリックします。
  2. 変更を加えます。
  3. 編集をクリックして変更をステージングし、テーブル ビューに戻ります。

セキュリティ ポリシーの削除

  1. 左側のナビゲーション メニューから、[Staged > ポリシー] > [セキュリティ ポリシー>ポリシー] に移動し、削除するポリシーの [削除] ボタンをクリックします。
  2. 削除をステージングし、テーブル ビューに戻るために [削除] をクリックします。

セキュリティ ポリシーの競合

ブループリントから[ ステージング>ポリシー>セキュリティポリシー>競合 に移動し、検出された競合を確認します([ルールの競合 ]列)。コンフリクトは可能な限り自動的に解決されます。デフォルトでは、より具体的なポリシーがより具体的なものより前に適用されますが、これらのセキュリティ ポリシー設定を変更できます。競合の詳細を表示するには、[ ルールの競合 ] 列のアイコンをクリックします。

競合が自動的に解決された場合は、[ステータス] 列に [AOS で解決済み] が表示されます。

セキュリティ ポリシー設定

競合を解決する方法と、トラフィックを許可または拒否するかどうかを設定できます。

  1. ブループリントから、「ステージングされた>ポリシー>セキュリティポリシー>設定」に移動します。
  2. 必要に応じてオプションを選択します。
    • 競合の解決
      • より具体的な最初 - より具体的なIPポリシーが使用される(デフォルト)
      • より一般的な最初 の - より少ない特定のIPポリシーが使用される
      • 無効 - 競合解決を無効にします。
    • デフォルトアクション
      • 許可 - トラフィックの許可(デフォルト)
      • 許可とログ - トラフィックを許可し、ログに記録します。
      • 拒否 - トラフィックを拒否
      • 拒否とログ - トラフィックを拒否し、ログに記録します。
  3. [変更を保存] をクリックして変更をステージングします。

段階的な変更をアクティブにするには、ブループリントに コミット します。