Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

セキュリティポリシー

セキュリティポリシーの概要

エンドポイントの接続性は、到達可能性(ネットワーク内の正しい転送状態)とセキュリティ(接続が許可されている必要がある)によって決定されます。ポリシーは、L2ドメインとL3ドメイン間、およびより詳細なL2/L3 IPエンドポイント間で指定する必要があります。セキュリティポリシーを使用すると、より詳細なエンドポイント間のトラフィックを許可または拒否できます。仮想ネットワーク間のトラフィック(SVIのACL)と外部から内部へのトラフィック(境界リーフデバイスのACL、外部エンドポイントのみ)を制御します。ACLは、適切なデバイス構文でレンダリングされ、適用ポイントに適用されます。新しいVXLANエンドポイントを追加する(例えば、ラックの追加や仮想ネットワークへのリーフの追加など)と、仮想ネットワークインターフェイスにACLが自動的に配置されます。新しい汎用システムを追加すると、外部接続ポイント(ECP)(適用ポイント)は、外部エンドポイントグループのACLを自動的に配置します。セキュリティポリシーは、レイヤー2のIPv4対応ブループリントに適用できます(IPv6はサポートされていません)。サポートされているデバイスについては、「リファレンス」セクションの「機能マトリクス」の 「接続性(リーフ層から) 」表を参照してください。

セキュリティポリシーは、送信元ポイント(サブネットまたはIPアドレス)、宛先ポイント(サブネットまたはIPアドレス)、およびプロトコルに基づいてこれらのポイント間のトラフィックを許可または拒否するルールで構成されています。ルールはステートレスであり、許可されたインバウンドトラフィックに対する応答は、アウトバウンドトラフィックのルールの対象となります(またはその逆も同様です)。

ルールには、トラフィックロギングを含めることができます。ACLは、デバイスでサポートされているメカニズムを使用して、一致をログに記録するように設定されています。ログの設定はネットワークデバイスに対してローカルです。サーバー上にはありません。これらのログの解析は、このドキュメントの範囲外です。

双方向セキュリティポリシーの場合は、各方向に1つずつ、2つのポリシーインスタンスを作成します。

各サブネット/エンドポイントに複数のポリシーを適用できるため、ルールの順序が動作に影響を与えます。ルーティングゾーン、仮想ネットワーク、IPエンドポイント間には暗黙の階層が存在するため、階層の異なるレベルでポリシーがどのように適用されるかを考慮する必要があります。一方のルールの一致セットに他方の一致セットが含まれている場合(完全包含)、ルールが競合する可能性があります。より具体的なルールを最初に実行するか(「例外」フォーカス/モード)、またはあまり具体的でないルールを最初に実行するか(「オーバーライド」フォーカス/モード)するようにルールを設定できます。

ルール間に完全な封じ込め状況があるが、アクションは同じである場合にも、ルールが競合する可能性があります。この場合、より具体的でないルールを使用することで圧縮される可能性があり、より具体的なルールが「シャドウ」ルールになります。ルールの競合が検出されると、アラートが送信され、解決策が表示されます。

競合するルールが特定されたいくつかのケースを以下に説明します。

  • IPエンドポイントの異なるペア間のポリシー内のルール(1つが両方のペアに共通であっても)は、IPアドレスのペアが異なる場合、重複しません。これにより、送信元IP/宛先IPの観点から見た一致セットが不連続になります(異なる「IPシグネチャ」)。
  • 同じIPエンドポイント間のポリシー内のルールは、フィールド(宛先ポートなど)を重複させることができます。ソフトウェアはこれをチェックします。
  • 仮想ネットワークの異なるペア間のポリシーのルール (1 つの仮想ネットワークが両方のペアに共通であっても)、サブネットのペアが異なる場合、重複しません。これにより、送信元IP/宛先IPの観点から見た一致セットが不連続になります(異なる「IPシグネチャ」)。
  • 同じ仮想ネットワーク間のポリシー内のルールは、フィールド (宛先ポートなど) を重複させることができます。ソフトウェアはこれをチェックします。
  • IPエンドポイントグループを使用すると、一連のIPエンドポイントペアが生成されるため、IPエンドポイントペアに関する上記の説明が適用されます。
  • IP エンドポイントのペアと親仮想ネットワークのペアの間のポリシー内のルールには、IP シグネチャの観点から包含が含まれます。このソフトウェアは、宛先ポート/プロトコルのオーバーラップを分析し、完全封じ込めまたは非完全封じ込め競合に分類します。
  • 少なくとも 1 つの仮想ネットワークが親ではない IP エンドポイントのペアと仮想ネットワークのペアの間のポリシー内のルールは、競合しません (異なる "IP シグネチャ")。
  • IP エンドポイントのペアと IP エンドポイント (仮想ネットワークが親である仮想ネットワーク ペア) の間のポリシー内のルールは、IP シグネチャの観点から完全に包含されます。ソフトウェアは残りのフィールドを分析します。
  • 外部のIPエンドポイントまたはエンドポイントグループを含むポリシー内のルールは、外部ポイントが階層的な仮定に縛られないため、IPシグネチャの観点から分析する必要があります。
  • ルーティングゾーンは仮想ネットワークとIPエンドポイントのセットであるため、上記の説明が適用されます。

以下の場合、エンドポイントはセキュリティポリシーでサポートされていません。

  • 送信元ポイントが外部エンドポイントまたは外部エンドポイントグループである
  • 宛先ポイントが内部(内部エンドポイント、内部エンドポイントグループ、仮想ネットワーク、ルーティングゾーン)

分析の観点でも、結果の構成を理解する上でも、構成を扱いやすくするには、特定のエンドポイント/グループに適用できるセキュリティポリシーの数を制限することが有用な場合があります。

セキュリティポリシーパラメータ

セキュリティポリシーには、以下の詳細が含まれます。

パラメータ の説明
名前 32文字以下、アンダースコア、ダッシュ、英数字のみ
形容 随意
有効
  • セキュリティポリシーを有効にするにはON(デフォルト)
  • オフにするとセキュリティポリシーが無効になります
タグ 随意
ソース ポイント タイプ
  • 内部エンドポイント(VNに関連付けられており、IP /32アドレスを含む)
  • 外部エンドポイント(/32またはサブネットを含む)
  • 外部エンドポイントグループ
  • 内部エンドポイントグループ
  • 仮想ネットワーク(サブネットを含む)
  • ルーティングゾーン(すべての仮想ネットワークと内部IPエンドポイントの論理コレクション)
送信元ポイント
  • 内部エンドポイント
  • 外部エンドポイント
  • 外部エンドポイントグループ
  • 内部エンドポイントグループ
  • 仮想ネットワーク
  • ルーティングゾーン
宛先ポイント タイプ 送信元ポイント(以前作成済み)
宛先ポイント 宛先ポイント(以前作成済み)
ルールアクション
  • 打ち消す
  • 拒否 &; ログ
  • 許す
  • 許可とログ
ルールプロトコル
  • TCP
  • UDP
  • IP
  • ICMP
送信元ポート TCPおよびIPプロトコル用
宛先ポート TCPおよびIPプロトコル用

ブループリントから、 ステージング>ポリシー>セキュリティポリシー> ポリシーに移動して、セキュリティポリシーに移動します。セキュリティポリシーを作成、複製、編集、削除できます。

セキュリティポリシーの作成

セキュリティポリシーを作成する前に、 ルーティングゾーン仮想ネットワークエンドポイント、エンドポイントグループを順番に作成します。これらはセキュリティポリシーを作成するための基礎となります。

セキュリティポリシーを作成するには:

  1. ブループリントから、ステージング>ポリシー>セキュリティポリシー>に移動し、ポリシーの作成をクリックしますセキュリティ
  2. 名前を入力し、ポリシーを有効にする場合はデフォルトのままにします。それ以外の場合は、有効トグルをクリックして無効にします。
  3. ソース ポイント タイプを選択し、ソース ポイントを入力します。
  4. 宛先ポイント タイプを選択し、宛先ポイントを入力します。
  5. ルールを追加をクリックし、名前と(オプションの)説明を入力します。
  6. ドロップダウンリストからアクションを選択します(拒否、拒否およびログ、許可、許可およびログ)。
  7. ドロップダウンリストからプロトコルを選択します(TCP、UDP、IP、ICMP)。
  8. TCPまたはUDPを選択した場合は、送信元と宛先のポート(またはポート範囲)を入力します。(TCP/UDPポートエイリアスを作成した場合は、ドロップダウンリストに表示されます)。
  9. 別のルールを追加するには、ルールを追加をクリックし、上記のように設定します。
    手記:

    ルールを追加ボタンの右側に、すべて拒否をクリックすることでブロックリストタイプのポリシーを自動的に作成し、すべて許可をクリックすることで許可リストタイプのポリシーを自動的に作成できます。
  10. 各ルールの[上へ移動]または[下へ移動]ボタンをクリックして、ルールの順序を調整できます。
  11. 作成をクリックしてポリシーをステージングし、テーブルビューに戻ります。

ポリシーエラー

  1. テーブルビューのセキュリティポリシーに、赤で強調表示されているエラーがないか確認します。
  2. 詳細を表示するには、[エラーを表示]ボタンをクリックします。
  3. エラーを解決すると、ポリシーは赤く強調表示されなくなり、エラーフィールドは空白になります。

ステージングされた変更を有効にするには、それらをブループリントにコミットします。

セキュリティポリシーの編集

  1. 左側のナビゲーションメニューから、ステージング>ポリシー>セキュリティポリシー>に移動し、編集するポリシーの編集ボタンをクリックします。
  2. 変更を加えます。
  3. 編集をクリックして変更をステージングし、テーブルビューに戻ります。

セキュリティポリシーを削除

  1. 左側のナビゲーションメニューから、ステージング>ポリシー>セキュリティポリシー>ポリシーに移動し、削除するポリシーの削除ボタンをクリックします。
  2. 削除をクリックして削除をステージングし、テーブルビューに戻ります。

セキュリティポリシーの競合

ブループリントから、 ステージング>ポリシー>セキュリティポリシー>競合 に移動して、検出された競合を確認します(ルールの競合 列)。競合は、可能な限り自動的に解決されます。デフォルトでは、より具体的なポリシーがより具体的でないポリシーの前に適用されますが、これらのセキュリティポリシー設定を変更できます。競合の詳細を確認するには、 ルール競合 列のアイコンをクリックします。

競合が自動的に解決された場合、ステータス列にAOSによって解決」と表示されます。

セキュリティポリシーの設定

競合を解決する方法と、トラフィックを許可または拒否するかどうかを設定できます。

  1. ブループリントから、ステージング>ポリシー>セキュリティポリシー>設定に移動します。
  2. 必要に応じてオプションを選択します。
    • 競合の解決
      • より具体的なものから優先 - より具体的なIPポリシーが使用されます(デフォルト)
      • より一般的なものを優先し、より具体的なIPポリシーの使用を少なくします
      • 無効 - 競合解決を無効にします
    • デフォルトのアクション
      • 許可 - トラフィックを許可します(デフォルト)
      • 許可 &; ログ - トラフィックを許可し、ログに記録します
      • 拒否 - トラフィックを拒否します
      • 拒否 &; ログ - トラフィックを拒否してログに記録します
  3. 変更を保存をクリックして、変更をステージングします。

ステージングされた変更を有効にするには、それらをブループリントにコミットします。

関連項目