Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

セキュリティ ポリシー

セキュリティポリシーの概要

エンドポイントの接続性は、到達可能性(ネットワーク内の正しい転送状態)とセキュリティ(接続を許可する必要があります)によって決まります。ポリシーは、L2 ドメインと L3 ドメイン間、およびより詳細な L2/L3 IP エンドポイント間で指定する必要があります。セキュリティポリシーを使用すると、より詳細なエンドポイント間のトラフィックを許可または拒否できます。これらは、仮想ネットワーク間トラフィック(SVI の ACL)と外部から内部へのトラフィック(境界リーフ デバイスの ACL、外部エンドポイントのみ)を制御します。ACL は適切なデバイス構文でレンダリングされ、適用ポイントに適用されます。新しい VXLAN エンドポイントを追加すると(ラックの追加や仮想ネットワークへのリーフの追加など)、仮想ネットワーク インターフェイスに ACL が自動的に配置されます。新しい汎用システム外部接続ポイント(ECP)(強制ポイント)を追加すると、外部エンドポイント グループの ACL が自動的に配置されます。レイヤー2 IPv4対応ブループリントにセキュリティポリシーを適用できます(IPv6はサポートされていません)。サポートされているデバイスについては、「リファレンス」セクションの「フィーチャ マトリクス」にある 「(リーフ レイヤーから)接続 性」の表を参照してください。

セキュリティ ポリシーは、送信元ポイント(サブネットまたは IP アドレス)、宛先ポイント(サブネットまたは IP アドレス)、およびプロトコルに基づいてこれらのポイント間のトラフィックを許可または拒否するルールで構成されます。ルールはステートレスです。つまり、許可されたインバウンド トラフィックへの応答は、アウトバウンド トラフィックのルールに従います (その逆も同様です)。

ルールにはトラフィック ログを含めることができます。ACL は、デバイスでサポートされているメカニズムを使用して一致をログに記録するように設定されています。ログ設定はネットワーク デバイスに対してローカルです。Apstraサーバー上にはありませんこれらのログの解析は、このドキュメントの範囲外です。

双方向セキュリティ ポリシーの場合は、ポリシーのインスタンスを 2 つ (各方向に 1 つずつ) 作成します。

各サブネット/エンドポイントに複数のポリシーを適用できるため、ルールの順序が動作に影響します。ルーティングゾーン、仮想ネットワーク、IP エンドポイント間には暗黙的な階層が存在するため、階層の異なるレベルでポリシーがどのように適用されるかを考慮する必要があります。一方のルールの一致セットに他方のルールの一致セットが含まれている場合(完全包含)、ルールが競合する可能性があります。ルールを設定して、より具体的なルールを最初に実行するか ("例外" フォーカス/モード)、またはより限定的でないルールを最初に実行 ("オーバーライド" フォーカス/モード") することができます。

ルール間に完全な封じ込め状況があるが、アクションが同じである場合も、ルールが競合する可能性があります。この場合、より具体的でないルールを使用することで圧縮される可能性があり、より具体的なルールは「シャドウ」ルールになります。競合するルールが検出されると、アラートが表示され、解決策が表示されます。

競合するルールが識別されるいくつかのケースを以下に説明します。

  • IP エンドポイントの異なるペア間のポリシーのルールは、IP アドレスのペアが異なる場合、(一方が両方のペアに共通であっても)重複しません。これにより、送信元 IP / 宛先 IP の観点から不整合な一致セットが発生します(異なる「IP 署名」)。
  • 同じ IP エンドポイント間のポリシー内のルールは、フィールド (宛先ポートなど) と重複する可能性があります。Apstraソフトウェアはこれをチェックします。
  • 仮想ネットワークの異なるペア間のポリシーのルールは、サブネットのペアが異なる場合、重複しません。これにより、送信元IP/宛先IPの観点から不整合な一致セットが発生します(異なる「IP署名」)。
  • 同じ仮想ネットワーク間のポリシー内のルールは、フィールド (宛先ポートなど) と重複する可能性があります。Apstraソフトウェアはこれをチェックします。
  • IP エンドポイント グループを使用すると、IP エンドポイント ペアのセットが生成されるため、IP エンドポイント ペアに関する上記の説明が適用されます。
  • IP エンドポイントのペアと親仮想ネットワークのペアの間のポリシーの規則には、IP 署名の観点から包含があります。Apstraソフトウェアは、宛先ポート/プロトコルのオーバーラップを分析し、完全コンテインメントまたは非フルコンテインメントの競合として分類します。
  • IP エンドポイントのペアと、少なくとも 1 つの仮想ネットワークが親ではない仮想ネットワークのペアの間のポリシーのルールは、競合しません (異なる "IP 署名")。
  • IP エンドポイントのペアと IP エンドポイント (仮想ネットワークが親である仮想ネットワーク ペア) の間のポリシーの規則は、IP 署名の観点から完全な包含を持ちます。Apstraソフトウェアが残りのフィールドを分析します。
  • 外部 IP エンドポイントまたはエンドポイント グループを含むポリシーのルールは、外部ポイントが階層的な仮定に拘束されないため、IP シグネチャの観点から分析する必要があります。
  • ルーティング ゾーンは仮想ネットワークと IP エンドポイントのセットであるため、上記の説明が適用されます。

以下の場合、エンドポイントはセキュリティポリシーでサポートされません。

  • 送信元ポイントが外部エンドポイントまたは外部エンドポイント グループである
  • 宛先ポイントが内部(内部エンドポイント、内部エンドポイント グループ、仮想ネットワーク、ルーティング ゾーン)

分析の観点からも、結果として得られる構成の理解の観点からも、構成を扱いやすくするには、特定のエンドポイント/グループに適用できるセキュリティポリシーの数を制限すると便利な場合があります。

セキュリティ ポリシー パラメータ

セキュリティ ポリシーには、次の詳細が含まれます。

パラメーター の説明
名前 32文字以下、アンダースコア、ダッシュ、英数字のみ
説明 オプション
有効
  • セキュリティ ポリシーを有効にするにはON(デフォルト)
  • OFF を指定すると、セキュリティ ポリシーが無効になります。
タグ オプション
ソース ポイント タイプ
  • 内部エンドポイント(VNに関連付けられ、IP /32アドレスを含む)
  • 外部エンドポイント (/32 またはサブネットを含む)
  • 外部エンドポイント グループ
  • 内部エンドポイント グループ
  • 仮想ネットワーク (サブネットを含む)
  • ルーティング ゾーン (すべての仮想ネットワークと内部 IP エンドポイントの論理コレクション)
ソースポイント
  • 内部エンドポイント
  • 外部エンドポイント
  • 外部エンドポイント グループ
  • 内部エンドポイント グループ
  • 仮想ネットワーク
  • ルーティングゾーン
宛先ポイント タイプ ソース ポイント (以前に作成)
目的地 終点 (以前に作成済み)
ルールの処理
  • 拒否
  • 拒否&ログ
  • 許可
  • 許可とログ
ルールプロトコル
  • Tcp
  • Udp
  • Ip
  • Icmp
送信元ポート TCP および IP プロトコルの場合
宛先ポート TCP および IP プロトコルの場合

ブループリントから、[ ステージングされた> ポリシー] > [ セキュリティ ポリシー] > [ポリシー] に移動して、セキュリティ ポリシーに移動します。セキュリティポリシーを作成、複製、編集、削除できます。

セキュリティポリシーの作成

セキュリティ ポリシーを作成する前に、 ルーティング ゾーン仮想ネットワークエンドポイント、エンドポイント グループの順で作成します。これらは、セキュリティ ポリシーを作成するための基礎となります。

セキュリティ ポリシーを作成するには、次の手順に従います。

  1. ブループリントから、[ステージングされた> ポリシー] > [セキュリティ ポリシー] > [ポリシー] に移動し、[セキュリティ ポリシーの作成] をクリックします。
  2. 名前を入力し、ポリシーを有効にする場合はデフォルトのままにします。それ以外の場合は、[有効]トグルをクリックして無効にします。
  3. ソース ポイント タイプを選択し、ソース ポイントを入力します。
  4. 終点ポイント タイプを選択し、終点を入力します。
  5. ルールを追加」をクリックし、名前と説明(オプション)を入力します。
  6. ドロップダウン リストからアクションを選択します (Deny、Deny & Log、Permit、Permit & Log)。
  7. ドロップダウン リストからプロトコルを選択します(TCP、UDP、IP ICMP)。
  8. [TCP] または [ UDP] を選択した場合は、[送信元] と [宛先] にポート (またはポート範囲) を入力します。( TCP/UDP ポート エイリアスを作成した場合は、ドロップダウン リストに表示されます)。
  9. 別のルールを追加するには、[Add Rule] をクリックし、上記のように構成します。
    メモ:

    [Add Rule] ボタンの右側にある [すべて拒否] をクリックするとブロックリストタイプのポリシーを自動的に作成でき、[すべて許可] をクリックすると許可リストタイプのポリシーを作成できます。
  10. ルールの順序を調整するには、各ルールの [上へ移動] または [下へ移動] ボタンをクリックします。
  11. [作成] をクリックしてポリシーをステージングし、テーブル ビューに戻ります。

ポリシー エラー

  1. テーブルビューのセキュリティポリシーに、赤で強調表示されているエラーがないか確認します。
  2. 詳細を表示するには、[エラーの表示] ボタンをクリックします。
  3. エラー を解決すると、ポリシーは赤で強調表示されなくなり、[ エラー] フィールドは空白になります。

段階的な変更を有効にするには、ブループリントにコミットします。

セキュリティポリシーの編集

  1. 左側のナビゲーション メニューから、[ステージングされた> ポリシー] > [セキュリティ ポリシー] > [ポリシー] に移動し、編集するポリシーの [編集] ボタンをクリックします。
  2. 変更を加えます。
  3. [編集] をクリックして変更をステージングし、テーブル ビューに戻ります。

セキュリティポリシーの削除

  1. 左側のナビゲーション メニューから、[ステージングされた> ポリシー] > [セキュリティ ポリシー] > [ポリシー] に移動し、削除するポリシーの [削除] ボタンをクリックします。
  2. [削除] をクリックして削除をステージングし、テーブル ビューに戻ります。

セキュリティ ポリシーの競合

ブループリントから、[ ステージング > ポリシー] > [セキュリティ ポリシー] > [競合] に移動して、検出された競合を確認します ([ルールの競合] 列)。競合は、可能な限り自動的に解決されます。既定では、より具体的なポリシーがあまり具体的でないポリシーよりも前に適用されますが、これらのセキュリティ ポリシー設定は変更できます。競合の詳細を表示するには、[ ルールの競合] 列のアイコンをクリックします。

競合が自動的に解決された場合は、[状態] 列に [AOS によって解決済み] と表示されます。

セキュリティ ポリシー設定

競合の解決方法と、トラフィックを許可するか拒否するかを構成できます。

  1. ブループリントから、[ステージングされた>ポリシー] > [セキュリティ ポリシー] > 設定に移動します。
  2. 必要に応じてオプションを選択します。
    • 紛争解決
      • より具体的なものから - より具体的な IP ポリシーが使用されます (デフォルト)
      • より一般的なものから、より具体的でないIPポリシーが使用されます
      • 無効 - 競合の解決を無効にします。
    • 既定のアクション
      • 許可 - トラフィックを許可します(デフォルト)
      • Permit & Log - トラフィックを許可し、ログに記録します
      • 拒否 - トラフィックを拒否します
      • Deny & Log - トラフィックを拒否してログに記録します
  3. 変更の保存」をクリックして、変更をステージングします。

段階的な変更を有効にするには、ブループリントにコミットします。

関連項目