Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

セキュリティ ポリシー

セキュリティポリシーの概要

エンドポイントの接続性は、到達可能性 (ネットワーク内の正しい転送状態) とセキュリティ (接続が許可される必要がある) によって決定されます。ポリシーは、L2ドメインとL3ドメイン間、およびより詳細なL2/L3 IPエンドポイント間で指定する必要があります。セキュリティポリシーを使用すると、より詳細なエンドポイント間のトラフィックを許可または拒否できます。これらは、仮想ネットワーク間トラフィック(SVI の ACL)と外部から内部へのトラフィック(境界リーフデバイスの ACL、外部エンドポイントのみ)を制御します。ACL は適切なデバイス構文でレンダリングされ、適用ポイントに適用されます。新しい VXLAN エンドポイントを追加すると(たとえば、ラックの追加や仮想ネットワークへのリーフの追加など)、仮想ネットワーク インターフェイスに ACL が自動的に配置されます。新しい汎用システムの追加 外部接続ポイント(ECP)(適用ポイント)は、外部エンドポイント グループの ACL を自動的に配置します。セキュリティ ポリシーは、レイヤー2 IPv4対応ブループリントに適用できます(IPv6はサポートされていません)。サポートされているデバイスについては、「リファレンス」セクションの「機能マトリックス」の「 接続(リーフレイヤーから)」 の表を参照してください。

セキュリティポリシーは、送信元ポイント(サブネットまたはIPアドレス)、宛先ポイント(サブネットまたはIPアドレス)、およびプロトコルに基づいてこれらのポイント間のトラフィックを許可または拒否するルールで構成されます。ルールはステートレスであり、許可されたインバウンドトラフィックへの応答は、送信トラフィックのルールに従います(その逆も同様です)。

ルールには、トラフィックのログを含めることができます。ACL は、デバイスでサポートされている任意のメカニズムを使用して一致をログに記録するように設定されています。ログ構成はネットワークデバイスに対してローカルです。サーバー上にはありません。これらのログの解析は、このドキュメントの範囲外です。

双方向のセキュリティ ポリシーの場合は、ポリシーのインスタンスを 2 つ (各方向に 1 つずつ) 作成します。

各サブネット/エンドポイントに複数のポリシーを適用できるため、ルールの順序が動作に影響を与えます。ルーティング ゾーン、仮想ネットワーク、IP エンドポイントの間には暗黙的な階層が存在するため、階層のさまざまなレベルでポリシーがどのように適用されるかを考慮する必要があります。一方のルールの一致セットに他方の一致セット(完全包含)が含まれている場合、ルールが競合する可能性があります。より具体的なルールを最初に実行する ("exception" focus/mode) か、より具体的でないルールを最初に実行する ("override" focus/mode) ようにルールを設定できます。

また、ルール間に完全な包含状態があり、アクションが同じ場合にも、ルールが競合することがあります。この場合、より具体的でないルールを使用すると圧縮される可能性があり、より具体的なルールは "シャドウ" ルールになります。競合するルールが検出されると、アラートが表示され、解決策が表示されます。

競合するルールが特定されるいくつかのケースを以下に説明します。

  • IP エンドポイントの異なるペア間のポリシーのルールは、IP アドレスのペアが異なる場合、重複しません(一方が両方のペアに共通する場合でも)。これにより、送信元 IP と宛先 IP の観点で一致セットが不整合になります(異なる「IP シグネチャ」)。
  • 同じ IP エンドポイント間のポリシー内のルールは、フィールド(宛先ポートなど)を重複させることができます。ソフトウェアはこれをチェックします。
  • 異なる仮想ネットワークのペア間のポリシーのルールは、サブネットのペアが異なる場合、(1 つの仮想ネットワークが両方のペアに共通している場合でも)重複しません。これにより、送信元 IP と宛先 IP の観点で一致セットが不整合になります(異なる「IP 署名」)。
  • 同じ仮想ネットワーク間のポリシー内のルールは、フィールド(宛先ポートなど)を重複させることができます。ソフトウェアはこれをチェックします。
  • IP エンドポイント グループを使用すると、一連の IP エンドポイント ペアが作成されるため、IP エンドポイント ペアに関連する上記の説明が適用されます。
  • IP エンドポイントのペアと親仮想ネットワークのペアの間のポリシーのルールには、IP 署名の観点から包含があります。ソフトウェアは宛先ポート/プロトコルの重複を分析し、完全包含または非完全包含の競合として分類します。
  • IP エンドポイントのペアと仮想ネットワークのペアの間で、少なくとも 1 つの仮想ネットワークが親ではないポリシーのルールは、競合しません (異なる "IP 署名")。
  • IP エンドポイントのペアと IP エンドポイントの間のポリシーのルール - 仮想ネットワークが親である仮想ネットワークのペアは、IP 署名の観点から完全に包含されます。ソフトウェアは残りのフィールドを分析します。
  • 外部IPエンドポイントまたはエンドポイントグループを含むポリシーのルールは、外部ポイントが階層的な仮定に縛られないため、IPシグネチャの観点から分析する必要があります。
  • ルーティング ゾーンは仮想ネットワークと IP エンドポイントのセットであるため、上記の説明が適用されます。

以下の場合、エンドポイントはセキュリティポリシーでサポートされません。

  • ソース ポイントが外部エンドポイントまたは外部エンドポイント グループである
  • 宛先ポイントが内部 (内部エンドポイント、内部エンドポイント グループ、仮想ネットワーク、ルーティング ゾーン)

分析の観点からも、結果のコンポジションの理解の観点からも、構成を扱いやすくするには、特定のエンドポイント/グループに適用できるセキュリティポリシーの数を制限することが有用な場合があります。

セキュリティポリシーパラメータ

セキュリティ ポリシーには、次の詳細が含まれます。

パラメータ の説明
名前 32文字以下、アンダースコア、ダッシュ、英数字のみ
形容 随意
有効
  • セキュリティ ポリシーを有効にするには ON (デフォルト)
  • OFFにすると セキュリティポリシーが無効になります
タグ 随意
ソース ポイントの種類
  • 内部エンドポイント(VNに関連づけられ、IP /32アドレスを含む)
  • 外部エンドポイント (/32 または サブネットを含む)
  • 外部エンドポイント グループ
  • 内部エンドポイント グループ
  • 仮想ネットワーク (サブネットを含む)
  • ルーティング ゾーン (すべての仮想ネットワークと内部 IP エンドポイントの論理的なコレクション)
ソース ポイント
  • 内部エンドポイント
  • 外部エンドポイント
  • 外部エンドポイント グループ
  • 内部エンドポイント グループ
  • 仮想ネットワーク
  • ルーティングゾーン
目的点のタイプ ソース ポイント (以前に作成)
宛先ポイント 目的点 (以前に作成済み)
ルール アクション
  • 打ち消す
  • 拒否 & ログ
  • 許す
  • 許可 & ログ
ルールプロトコル
  • TCPの
  • UDP
  • IP
  • ICMP
送信元ポート TCPおよびIPプロトコルの場合
宛先ポート TCPおよびIPプロトコルの場合

ブループリントから [ Staged > Policies] > [Security Policies] > [Policies] に移動し て [Security Policies] に移動します。セキュリティポリシーの作成、複製、編集、および削除ができます。

セキュリティポリシーの作成

セキュリティ ポリシーを作成する前に、 ルーティング ゾーン仮想ネットワーク、エンドポイント、 エンドポイント グループをこの順序で作成します。これらは、セキュリティ ポリシーを作成するための基盤となります。

セキュリティ ポリシーを作成するには、次の手順に従います。

  1. ブループリントから [Staged > Policies] > [Security Policies] > [Policies] に移動し、[Create セキュリティポリシー] をクリックします。
  2. 名前を入力し、ポリシーを有効にする場合はデフォルトのままにします。それ以外の場合は、[有効] トグルをクリックして無効にします。
  3. 基点タイプを選択し、基点を入力します。
  4. 目的点のタイプを選択し、目的点を入力します。
  5. ルールを追加」をクリックし、名前と(オプション)説明を入力します。
  6. ドロップダウンリストからアクションを選択します(拒否、拒否とログ、許可、許可とログ)。
  7. ドロップダウンリストからプロトコルを選択します(TCP、UDP、IP ICMP)。
  8. [TCP] または [UDP] を選択した場合は、送信元と宛先のポート(またはポート範囲)を入力します。(TCP/UDPポートエイリアスを作成した場合は、ドロップダウンリストに表示されます)。
  9. 別のルールを追加するには、[ルールの追加] をクリックし、上記のように構成します。
    手記:

    [ ルールの追加] ボタンの右側にある [すべて拒否 ] をクリックしてブロックリスト タイプのポリシーを自動的に作成するか、[ すべて許可] をクリックして許可リスト タイプのポリシーを自動的に作成できます。
  10. ルールの順序を調整するには、各ルールの [上へ移動] または [下へ移動] ボタンをクリックします。
  11. [作成(Create)] をクリックしてポリシーをステージングし、テーブル ビューに戻ります。

ポリシーエラー

  1. テーブル ビューのセキュリティ ポリシーで、赤で強調表示されているエラーを確認します。
  2. 詳細を表示するには、「エラーを表示」ボタンをクリックします。
  3. エラーを解決すると、ポリシーが赤く強調表示されなくなり、[エラー] フィールドが空白になります。

ステージングされた変更を有効にするには、ブループリントにコミットします。

セキュリティポリシーの編集

  1. 左側のナビゲーション メニューから、[ステージングされた>ポリシー] > [セキュリティ ポリシー] > [ポリシー] に移動し、編集するポリシーの [編集] ボタンをクリックします。
  2. 変更を加えます。
  3. [編集] をクリックして変更をステージングし、テーブル ビューに戻ります。

セキュリティポリシーの削除

  1. 左側のナビゲーション メニューから、[Staged > Policies] > [Security Policies] > [Policies] に移動し、削除するポリシーの [Delete] ボタンをクリックします。
  2. 削除」をクリックして削除をステージングし、テーブル・ビューに戻ります。

セキュリティポリシーの競合

ブループリントから [ Staged > Policies] > [Security Policies > Conflicts ] に移動して、検出された競合を確認します([Rule Conflicts ] 列)。競合は、可能な限り自動的に解決されます。既定では、より具体的なポリシーがより具体的でないポリシーよりも前に適用されますが、これらのセキュリティ ポリシー設定は変更できます。競合の詳細を表示するには、[ ルールの競合(Rule Conflicts )] 列のアイコンをクリックします。

競合が自動的に解決された場合は、[ステータス] 列に [AOS によって解決済み] と表示されます。

セキュリティポリシー設定

競合を解決する方法と、トラフィックを許可するか拒否するかを設定できます。

  1. ブループリントから [Staged > Policies] > [Security Policies > Settings] に移動します。
  2. 必要に応じてオプションを選択します。
    • 競合の解決
      • より具体的なものから順に - より具体的な IP ポリシーが使用されます (デフォルト)
      • より一般的なものを優先 - あまり具体的でない IP ポリシーを使用します
      • 無効 - 競合の解決を無効にします
    • デフォルトのアクション
      • Permit - トラフィックを許可します (デフォルト)
      • Permit & Log - トラフィックを許可し、ログを記録します。
      • 拒否 - トラフィックを拒否します
      • Deny & Log - トラフィックを拒否し、ログに記録します。
  3. 変更の保存」をクリックして、変更をステージングします。

ステージングされた変更を有効にするには、ブループリントにコミットします。

参照