Firepower & ASA アップデート CTU Security 2018 December 2018年12月7日 シスコシステムズ合同会社 セキュリティ事業 コンサルティングシステムズエンジニア 小林 達哉 (tatskoba@cisco.com)

本セッションについて 本セッションは、 2018年10月にグローバルのパートナー様とシスコ社員向 けに開催されたイベントより、Firepower に関するセッションの中から、製品 の機能やロードマップに関する情報をベースとして、さらに独自の Firepower の情報や ASA の情報を足して、まとめてお伝えします。 PSU Week 2018 November でのセッションと重なる部分もあります。 CTU (Advanced) のため、Firepower と ASA の基本知識は省略します。

アジェンダ ASA 最新情報 Firepower Version 6.3 最新情報 Firepower 6.3 マルチインスタンス まとめと参考資料

ASA 最新情報

ASA と AnyConnectは シスコのセキュリティ製品群の中核です!! 毎回お伝えしていますが… ASA と AnyConnectは シスコのセキュリティ製品群の中核です!! ASA の特長 CLI で操作できる Basic Firewall NAT に特化したデバイス RA VPN 終端装置として豊富な機能 多量の ACL でも安価に実現 14年目のロングセラー (PIX まで遡ると25年!) AnyConnect の特長 どこからでも安全なアクセスを提供 IPsec でも SSLでも利用可能なフルト ンネル VPN PC だけでなくスマートフォンでも利用 可能 VPN 以外の機能も豊富 (NAM, NVM, AMP enabler, Umbrella) 12年目のロングセラー (Cisco VPN Client まで遡ると19年!) どちらもまだまだシスコのセキュリティ製品の中核であり、主力です

ASA 新機能抜粋 Version 9.10系 その1 Azure 用 ASAv VHD カスタムイメージ New! NEW! Azure 用 ASAv VHD カスタムイメージ ISA 3000 での FP module が Version 6.3 に対応 Umbrella コネクタ GTP インスペクション機能拡張 TCP State Bypass の Idle Timeout がデフォルト2分に Cut-through Proxy の login ページから logout ボタンを削除可能に SXP コネクションのホールドダウンタイマーを設定可能に Transparent mode での NAT フローのオフロードが可能に

ASA 新機能抜粋 Version 9.10系 その2 New! NEW! FP4100/9300 にて ASA の logical device のデプロイ時に Transparent or Routed を指定可能に レガシーの SAML 認証をサポート RAVPN での DTLS 1.2 に対応 FP4100/9300 でのクラスタ利用時の CCL の IP アドレスを変更可能 Azure での ASAv で active / backup の HA をサポート show interface ip (ipv6) brief コマンドで FP2100/4100/9300 の Supervisor からの情報も表示 FP2100 にて set lacp-mode コマンドが set port-channel-mode on コマ ンドに変更

ASA 新機能抜粋 Version 9.10系 その3 FP2100 にて NTP 認証をサポート New! NEW! FP2100 にて NTP 認証をサポート ACL を使わなくても IPv6 トラフィックのキャプチャが可能に FP2100 の FXOS への SSH アクセス時に公開鍵認証をサポート パケットキャプチャ時に GRE と IPinIP を認識可能に RFC 5424 logging timestamp をサポート [注意事項] ASA 9.10(1) より ASA5506/5512 での ASA with FP は未サポートにな り、これらのデバイスを 9.10(1) に VersionUP した場合、ASA 内の FP module へ のトラフィック転送設定が削除される。SSD に FP イメージそのものは残るので、間 違えて VersionUP しても ASA のダウングレード & 設定の修復にて対処可能。

Firepower Version 6.3 最新情報 12/4 リリース！

Firepower 6.3 主な新機能 マルチ インスタンス マルチインスタンスは多くのお客様から必要とされていた機能の1つ エアギャップ環境での導入 License Reservation により、エアギャップ環境 (インターネットに繋がらない環境) での FTD 利用が可能に NGIPS からの 移行 NGIPS から新しい Firepower アプライアンスへの移行を促進 ローカル管理 シンプルかつ最適化されたオンボックスマネージャー 注) ASA5506 / ASA5512 はFP 6.3 (FTD & ASA with FP) に未対応 10

Platform Capabilities Firepower 6.3 新機能一覧 Platform Capabilities Operations Visibility & Security Multi-Instance for 4100/9300 Flexible approach for up to 14 instances Supports HA Higher 100GbE port density Network modularization Configuration flexibility TLS HW Accelerated Decryption Higher TLS inspection throughput Supported on all Firepower platforms Fail-to-wire netmods for FP2100 Transition NGIPS to Firepower 2100s Improved Migrations New migration tools Airgap/Export Licensing Controlled subscription licensing for closed networks Export licensing for government and military customers outside the United States Local Management for FTD Onbox manager for many commercial use-cases Supports HA, Passive Auth with Audit Logging and Connection and IPS syslogs from the device Direct-to-Device APIs (2100 and below) Automation and Orchestration for MSPs Enable Integrations Events direct-from-device Integrate better with other Cisco and 3rd party SIEMs Connection and IPS FQDN based access control Enables control for dynamic cloud based apps 2FA & RADIUS CoA for RA VPN in FMC RA VPN Migration © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11

Firepower サイジングツール https://ngfwpe.cisco.com https://ngfwpe.cisco.com  Firepower サイジングツール 必要な速度を入力し、パケットサイズの割合や使う機能を選定することで、適切な機種選定が可能に 注) パートナー権限の cisco.com アカウントが必要

FTD の市場評価 2018 年度の Gartner Magic Quadrant で、エンタープライズ ネットワーク向けファイアウォール分野のリーダーにシスコが選出 https://gblogs.cisco.com/jp/2018/10/cisco-named-a-leader-in-the-2018-gartner-magic-quadrant-for-enterprise-network-firewalls/ FTD が (遅ればせながら) 市場でエンタープライズ向けファイアウォールとして認知され、リーダーの区分に選出された

Firepower 6.3 マルチインスタンス

マルチテナントを実現するための判断フロー Policy Simplification Only FMC Zones, SG Tags, UI Routing Separation Only VRF Lite Firepower Multi-Instance Mode No *将来サポート予定 Independent Management Over 14 tenants? FTDv Yes Resource Sharing Separate management? Yes No ASA+FTD Multi-Box Traffic Isolation Over 14 tenants? Yes No

マルチインスタンスの概要 Firepower 4100 と 9300 のみでサポート 1つのモジュール or アプライアンスで複数の論理デバイスが稼働 まずは FTD のみでサポート、FTD と ASA の混在は将来サポート予定 Docker インフラとコンテナのパッケージングを活用 トラフィックも管理も完全に分離 物理/論理インターフェイスと VLAN は Supervisor で実施 FTD Instance A 4 CPU FTD Instance B 2 CPU FTD Instance C 12 CPU FTD Instance D 4 CPU ASA Instance A (Future) 12 CPU Firepower 4100 or Firepower 9300 module Ethernet1/1-3 Ethernet1/4-5 Port-Channel1.100-101 Port-Channel2 Port-Channel1.101-102

マルチインスタンス導入の考慮点 コンテナかネイティブのアプリケーションタイプの選択が必要 1つの CSP イメージでどちらのタイプも利用可能 1つのモジュールにて異なるタイプの混在は不可 コンテナとして導入する場合、アップグレード後に Reinitialize が必須 各コンテナのインスンタンスは、自身で FTD ソフトウェアを持つ FTD エキスパートモードへのアクセスはインスタンス毎に有効 FXOS CLI からのシャーシ管理者アクセスは常に有効 リソースプロファイルが CPU, メモリ, ディスクの割当を管理

Firepower Module or Appliance コンテナ、インスタンスの考え方 どのコンテナも論理 CPU コアの数 (サイズ) が割り当てられる 最低 6 論理 (3 物理) CPU コアから、最大はプラットホーム依存 ユーザは 2 コア単位で割り当てが可能 メモリとディスクの割当は CPU コアの数に紐付けられる インスタンスは割り当てられたリソースの変更時に再起動が必要 サイズに依存して CPU コアの割当が決まっている Snort:Lina のコア数の比率は 2:1 から 1:1 まで Management は常に 2 論理コアを使用 Firepower Module or Appliance FXOS Linux Layer FTD Docker Container Lina Snort Management

インスンタンスのスケーラビリティ リソース割当は2つのハードリミットがある 将来はこのリミットが緩和される予定 合計のアプリケーションの CPU コアはインスタンスごとに最低 6 コア 合計のディスクスペースはインスタンスごとに最低 48GB プラットホームの最大インスタンス数は、このどちらかの低い方で決まる 将来はこのリミットが緩和される予定 新しいハードウェアで CPU コアやディスク容量が増える ディスクスペースの必要量に引っ張られる最大インスタンス数が増える Docker インフラが CPU リソースのオーバーサブスクリプションや共有を可能に する Supervisor からインスタンス間の通信が分離される

プラットホーム毎のインスタンススケーラビリティ Platform Total Application CPU Cores Total Disk Full FTD CPU Core Allocation Lina/Snort/System Maximum FTD Instances CPU Bound Disk Bound Firepower 4110 22 200GB 8/12/2 3 Firepower 4120 46 20/24/2 7 Firepower 4140 70 400GB 32/36/2 11 Firepower 4150 86 36/48/2 14 Firepower 9300 SM-24 2x800GB 16 Firepower 9300 SM-36 Firepower 9300 SM-44

マルチインスタンスのパフォーマンス インスタンス間の通信はすべて Supervisor を介して実施 コンテナ自身のパフォーマンスに対する影響は微小 1つの最大リソースのインスタンス (1つのモジュールに1つのインスタンス) とネ イティブアプリケーションでのパフォーマンスはほぼ同じ 主なパフォーマンス低下の要因は追加の管理用コア SM-44: 14 インスタンスに対して 28 管理用コアが必要 → 全部で 33% のイン パクトが発生 フローオフロードとハードウェアでの暗号化/復号は将来のサポート予定

マルチインスタンスでのインターフェイス Supervisor にて物理, Etherchannel, VLAN インターフェイスを定義 FXOS は最大 500 VLAN サブインターフェイスまでサポート FTD でも物理/Etherchannel インターフェイスに対して VLAN サブインターフェ イスを作成可能 それぞれのインスタンスで異なるインターフェイスタイプの共存が可能 Data (Dedicated) Data-Sharing (Shared) Mgmt/Firepower-Eventing FTD Instance A 4 CPU FTD Instance B 2 CPU FTD Instance A 4 CPU FTD Instance B 2 CPU FTD Instance A 4 CPU FTD Instance B 2 CPU Ethernet1/1-3 Ethernet1/4-5 PortChannel1.100-101 PortChannel2 サポートされるモード: Routed, Transparent, Inline, Inline-tap, Passive, HA サポートされるトラフィック: unicast, broadcast, multicast サポートされるモード: Routed (no BVI members), HA サポートされるトラフィック: unicast, broadcast, multicast サポートされるモード: Management, Eventing サポートされるトラフィック: unicast, broadcast, multicast

MAC アドレスの制限 仮想 MAC アドレスがすべてのインスタンスのインターフェイスにて自動生 成される すべてのインスタンスのインターフェイスが A2XX.XXYY.YYYY のフォーマットを 使う XX.XXXX はシャーシの MAC アドレスから生成されるかユーザが定義したデ フォルトの prefix YY.YYYY がインターフェイス毎にカウントアップ FTD でも手動での MAC アドレス設定は有効 シェアードインターフェイス内では各インターフェイスがユニークであることが必要 1つの物理インターフェイスにおける Supervisor でのすべての VLANサブイン ターフェイスがユニークであることが必要 MAC アドレスの重複は Supervisor がエラーを出す

管理とライセンス どのインスタンスも完全に独立したデバイスとして動作する マルチインスタンスのための追加のライセンスは不要 ソフトウェアのアップグレード、再起動、ポリシー管理など、全てが独立して動作 する どのインスタンスもそれぞれ独自の管理 IP アドレスが必要 どのインスタンスもぞれぞれ FMC に管理される必要がある (同じ FMC でも異 なる FMC でも可) マルチインスタンスのための追加のライセンスは不要 ブレードに対して適用したすべてのサブスクリプションライセンスは全イン スタンスで共有される ライセンス共有のためには、全インスタンスが1つの FMC で管理される必要が ある 複数の FMC でインスタンスを管理する場合には、それぞれの FMC 毎にサブス クリプションライセンスが必要

マルチインスタンス設定実演デモ

冗長構成 (High Availability) インスタンスは Inter-chassis HA (シャーシ間 HA) のみサポート 2つのインスタンスを Active/Standby HA ペアに設定 1つの物理 HA リンクを VLAN で共有 HA ペアは異なるサイズのインスタンスでも構成可能 サイズが異なる場合、Stateful HA は保証されない クラスタは将来サポート予定 FTD Instance A Active FTD Instance B Standby FTD Instance A Standby FTD Instance B Active HA Link Firepower 4100 A Firepower 4100 B HA Pair A: VLAN100 HA Pair B: VLAN101

マルチインスタンスの利点 Network Security 製品におけるユニークで新しいアプローチ ハードウェアレベルでのトラフィックの処理と管理プロセスの完全な分離 シングルコンテキストで完結する機能はすべてサポート ソフトウェア管理や再起動を完全に独立して実施可能 将来は FTD と ASA のインスタンスの共存が可能 将来はハードウェアから Docker コンテナとして FTD と ASA を持ち出し可 能 品質と導入コストの双方にメリット

Firepower 6.3 その他の機能

新ハードウェア FMC アプライアンスの更新 (2019年1月下旬 – 2月リリース予定) FMC1000 → FMC1600, FMC2500 → FMC2600, FMC4500 → FMC4600 イメージファイル、スケーラビリティは変更無し、UCS M5 ベースに変更 Firepower 2130/2140 用の新しい Network Module Fiber Fail to Wire (FTW): 6x10GE SR, 6x10GE LR, 6x1GE SR Copper: 8x1GE (FTW), 8x1GE (non-FTW) Firepower 9300 用シングルワイド 2x100GE と 4x100GE Module シャーシあたり最大 8x100GE までサポートされる QSFP28 やそれ相当のモジュールに対し、OIR (ホットスワップ) 対応 将来は 4x25GE breakout をサポート

FTD on ISA3000 ISA3000 は Cisco IoT 製品の1つ ISA3000 用モジュールは2種類 Copper インターフェイス Fiber インターフェイス 6.2.3 リリース時、ISA3000 は ASA と ASA with FP 5.4 のみサポート 6.2.3.1 で FTD をサポート開始 6.3 で ASA with FP からいくつかの機能を FTD に拡張 Alarm port – FlexConfig で設定 (2 x alarm input, 1 x alarm output) バックアップ / リストア用 SD カード Transparent Firewall モードでのハードウェアバイパス (FDM 管理のみ) FTD での CIP プリプロセッサ (6.3 リリース時は未検証予定)

Snort リスタート 機能改善 6.3 にてさらにいくつかのシナリオにて Snort リスタートが不要に テキストに加えてバイナリのルールも含めたすべての SRU 実際にデプロイする前の VDB 更新インストール Snort リスタートが起きるシナリオは、あとはこれだけ (CPU 過負荷時を除く) Talos が関係しない VDB 更新やカスタムアプリケーションディテクタの変更 File Policy のオプション変更 (Snort のインスタンス数が変わる際のみ) TLS or Captive Portal Policy の有効化/無効化 HA ペアの作成/破棄時 Network Discovery での Traffic-Based Detection で HTTP, FTP, or MDNS の 有効化/無効化 全データインターフェイスでの最大 MTU の変更

Access Policy での FQDN 利用 FTD の Prefilter と Access Control Policy にて ASA と同様の FQDN オブ ジェクト利用が可能に FTD が都度 FQDN の IPv4/v6 アドレス解決情報を保持 URL Filtering や AVC の代わりにはならない FTD はエンド端末とは異なる FQDN の名前解決済み IP アドレスを持つ可能性が ある DNS サーバが信頼できない場合がある 同じ IP アドレスに対して複数の仮想サーバを保持できない レコードの Time To Live (TTL) が小さいと FTD のパフォーマンスに影響を及ぼす DNS 1. Who is www.cisco.com? Client 2. www.cisco.com is 72.163.4.161. 3. Permit connection to www.cisco.com (72.163.4.161). 72.163.4.161

Internal Switch Fabric Dynamic Flow Offload Firepower 4100 と 9300 のみ動作 NGFW モードのみ、IPv4 の TCP/UDP/GRE ユニキャスト Flow 最大 4M まで UDP 1 Flow で最大 40Gbps まで、レイテンシが最短 2.9us まで下がる マルチインスタンスでは将来サポート予定 Static offload は Prefilter での Fastpath にて実施 デフォルトの Dynamic offload は Snort Whitelisting にて実施 オフロードエンジンでの 80% まで利用可能 FP 4140 で 450B HTTP であれば 47% のパフォーマンス向上 x86 CPU 1 x86 CPU 2 Internal Switch Fabric Smart NIC 1 Smart NIC 2 Crypto 1 Crypto 2 Snort Whitelisting: AC Trust, IAB, File Policy と IPS での Detection

Identity 機能拡張 RAVPN でのポスチャモニタリング用に RADIUS Dynamic Authorization (CoA)をサポート ISE Posture Agent インストール, 修復, 再アセスメント Passive Identity の機能拡張 User ↔ Group 情報はフローがヒットする前に生成: Early Group Lookup (詳細 は次ページ) FTD でのより多くの認証レコードサポートのために、段階を追った Snort メモリ 割り当てを実施 FMC とデバイスでのユーザレコードは、最大 64K のまま 5. Inside network access Inside AnyConnect Client 3. Posture agent setup, validation, remediation 4. dACL update 1. Initial connection 2. Authenticate/Authorize, guest dACL, portal URL redirect ISE

Early Group Lookup 6.3 より前の動作 6.3 以降の 動作

FMC での REST API を使った S2S VPN 設定 FMC での Site-to-Site (S2S) VPN 設定用 API をサポート プログラム可能な REST API を利用し、複雑なトポロジの VPN 設 定自動的を実現可能 競合製品や ASA の S2S IPsec 設定を、FMC での FTD の VPN 設定にマイグレーション 自動化のユースケース FMC 利用者が６ヶ月毎に共有キーを書き換えるスクリプトを運用 新規のブランチオフィスの追加のための Spoke 設定を自動化

FDM 利用時の RA VPN でのローカル認証 6.3 より前のバージョンでは、FDM 利用時には、AD 認証だけ が RA VPN ではサポートされていた 6.3 にて FDM 利用時に RA VPN にてローカルデータベースで のユーザ認証がサポートされた ローカルデータベースのユーザは Access Control Policy や SSL ルールでも利用可能 ローカル認証は、プライマリ認証先が動作していない場合での フォールバックとしても利用可能 以下のスマートライセンスの登録が必要: Export functionality enabled RA VPN License enabled

FDM 利用時の RA VPN での API 機能拡張 RA VPN での RADIUS 認証をサポート。バナー、IP アドレス、 VLAN、Downloadable ACL 等のアトリビュートもサポート。 二要素認証をサポート SDI over RADIUS (例: ISE + RSA) 証明書 + パスワード RA VPN ライセンスが必要 Export Compliance 対応の Smart Account APEX or Plus or VPN-Only ライセンスのいずれかが必要

S2S VPN 機能比較 Feature ASA w/ FP Services FMC-FTD FDM-FTD IKEv1, IKEv2 ✓ Static, Dynamic Peering Upcoming IPv4, IPv6 Addressing PSK Authentication Certificate Authentication Route Based VPN - Monitoring & Reporting Events, no reports, CLI CLI Console Ease of Setup P2P Wizard Topology based wizard

RA VPN 機能比較 Connection Protocol IKEv1, IKEv2, SSL SSL, IKEv2 SSL Feature ASA w/ FP Services FMC-FTD FDM-FTD Connection Protocol IKEv1, IKEv2, SSL SSL, IKEv2 SSL AnyConnect Client ✓ Clientless VPN - 3rd Party Client Authentication Protocol RADIUS, LDAP, TACACS, SAML, SDI, Local RADIUS, LDAP RADIUS, LDAP, Local Certificate Authentication ✓ w/ mapping 2FA/MFA

RA VPN 機能比較 (続き) Feature ASA w/ FP Services FMC-FTD FDM-FTD Authorization Protocol RADIUS, LDAP, Local RADIUS RADIUS, LDAP Upcoming Accounting Protocol RADIUS, TACACS - DAP/HostScan ✓ ISE Posture & CoA AnyConnect Profile Attributes AnyConnect Module Resiliency & Scalability ✓ w/ VPN Load balancing ✓ only HA Monitoring & Reporting

Unified Device Syslog FTD 6.3 は Lina と Snort からまとめて 1つの syslog を出せる Snort は Access Control Policy, Prefilter, SSL (TLS), Intrusion Policy が対象 Lina の UDP or TCP データ転送, 管理, and Interface の diag 等が含まれる May 30 09:06:25 192.168.0.170 %FTD-1-430003:Protocol: udp, SrcIP:10.13.9.17, DstIP: 10.13.15.255, SrcPort: 138, DstPort: 138, Policy: AC, ConnectType: End, AccessControlRuleName: Logging, AccessControlRuleAction: Allow, Prefilter Policy: Default Prefilter Policy, UserName: No Authentication Required, Client: NetBIOS-dgm, ClientVersion: , ApplicationProtocol: NetBIOS-dgm, InitiatorPackets: 1,ResponderPackets: 0, InitiatorBytes: 233, ResponderBytes: 0, NAPPolicy:Balanced Security and Connectivity May 30 09:05:31 192.168.0.170 SFIMS:%FTD-1-430001:Protocol: tcp, SrcIP: 10.13.1.50, DstIP: 10.13.1.51, SrcPort: 59842, DstPort: 8305, Priority: 2, GID: 1, SID:1000000, Revision: 1, Message: "TCP ANY ANY", Classification: A Client was Using an Unusual Port, User: No Authentication Required, ACPolicy: AC, NAPPolicy: Balanced Security and Connectivity

Contextual Cross-Launch イベントログからの他製品とのクロスラウンチが可能 多数のプロダクトがバンドル済 URL ベースのカスタムプロダクトインテグレーション を追加可能

NGFW + Threat Response Cisco Threat Response 高プライオリティの IPS イベントを検知 1 2 自動的に解析を実施 3 AMP & Umbrella で修復 これらの情報を入手しているか？ どのエンドポイントがその URL にアクセスしているか？ etc. FMC これら (IP addr, Hash, URL, etc.) に関する情報が何かあるか？ NGFW Virus Total TALOS ThreatGrid AMP Umbrella SMA Cisco Threat Response とは？  午後の AMP & CTR セッションで!!

NGFW + Threat Response Cisco Threat Response 自動的に解析を実施 1 FMC からはブラウザのプラグイン経由で Threat Response を実施 2 3 AMP & Umbrella で修復 これらの情報を入手しているか？ どのエンドポイントがその URL にアクセスしているか？ etc. FMC これら (IP addr, Hash, URL, etc.) に関する情報が何かあるか？ NGFW Virus Total TALOS ThreatGrid AMP Umbrella SMA Cisco Threat Response とは？  午後の AMP & CTR セッションで!!

Device Backup / Restore (1) FMC で管理されている全 FTD のフルバックアップが可能に スタンドアロンか HA が対象、クラスタは未サポート データプレーン (interface), Snort 周辺が対象で、FP2100 ではさらに FXOS での設定相当 も含まれる FP4100 / 9300 の FXOS 部分は個別にバックアップが必要 (FMC の機能に含まれない) FMC にてバックアップを取得するオペレーションを実施、リトリーブはデバイスにて実施 バックアップからのリストア前に対象デバイスでソフトウェアチェックが行われる ハードウェアモデル、ソフトウェアバージョン、VDB バージョンが一致していなければならない  テンポラリの FMC (FMCv 含む) か FDM (FP2100 以下のみ対応) にて各バージョンのアップグレー ドを実施してからリストアする リストアのオペレーションはその対象デバイスで実施される

Device Backup / Restore (2) リストア後にその FTD デバイスはリブートが走り、その後、FMC から完全管理状 態になり、その時点で deploy が必要になる リストアの後、FlexConfig や VPN 設定はマニュアルでの再設定が必要になる場 合がある  FMC にて以下の警告が表示される リストアの後、証明書は再エンロールメントが必要

Device の RMA 動画デモ

FMC API 機能拡張 ASA からのマイグレーションを含む、S2S VPN トンネルをサポート Certificate Map/Enrollment と拡張 ACL オブジェクトは除く HA タイマー, Interface モニタリング, MAC アドレス設定をサポート 管理している FTD デバイスの Version UP をサポート (6.3 より) 1リクエストあたり 1000 まで or 2MB までの一括での POST をサポート Network, port, VLAN, URL, SLA モニター objects Security Zone, Interface Groups Object Overrides (基本的な GET/PUT/DELETE support を含む)

Firepower Management Center (FMC) Centralized On-box Cloud-based 複数デバイスに対し、高度なセキュリティ監視・管理と自動化を実現 Firepower Management Center (FMC) Firepower Device Manager (FDM) 基本的なセキュリティポリシーを、簡単に１つのデバイスに対して実施 FP2100, ASA5500-X (FTD), FTDv のみサポート Cisco Defense Orchestrator (CDO) 複数デバイスに対し、クラウドからポリシーを管理可能 2019年春に Firepower Threat Defense をサポート予定 エンタープライズ環境でのネット ワーク管理者でも利用可能な機能 に拡張予定

Firepower Device Manager (FDM) の機能拡張 FTD High Availability Passive Interfaces Passive Identity rules (ISE-PIC のみサポート) SmartCLI: BGP Routing; OSPF2 Route Map, Prefix List, ACL RAVPN 用のローカルユーザ DB, Access & TLS Policies RAVPN: 二要素認証や証明書認証を伴う RADIUS 認証 RBAC (R/O, R/W, Admin roles) を伴う外部 RADIUS 認証 管理機能の追加: Pending Preview/Copy/Discard, Audit/History

ASA  FTD Migration Tool 1.1 リリース マイグレーションツールはフリーで利用可能 https://www.cisco.com/c/en/us/td/docs/security/firepower/migration-tool/11/release-notes/fp-migtool-relnotes-11x.html Upload API Deploy ASAの設定 ファイル マイグレーション ツール Firepower Management Center Firepower Threat Defense 主な新機能: Multi Context (Single Firewall へのマイグレーション), MacOS 対応, Rule Optimization, パフォーマンス改善, etc….

Airgap 環境での FTD ライセンス FTD は必ずスマートライセンスが必要 FMC の管理インターフェイスからインターネットにアクセス不可な環境ではスマート ライセンスサテライトサーバにて対応 スマートライセンスサテライトサーバの利用が何らかの理由で不可能な場合には、 FTD 6.3 からサポートされる以下のどちらかを選択し、事前にシスコからの承認を 得る必要がある。いずれもインストール時に Cisco Smart Software Manager (CSSM) に管理者がアクセスし、ライセンスを確保することで、FMC からの定期的 な CSSM へのアクセスを省くことが可能 UPLR – Universal Permanent License Reservation 全機能が利用可能なため、利用については厳密な審査が行われる SLR – Specific License Reservation 機能を選択して利用可能、UPLR ほど厳密ではないが、事前に申請が必要 どの選択を行ってもスマートアカウントの作成、利用は必要なことに注意

UPLR 設定実演デモ

まとめと参考資料

まとめ ASA と AnyConnect は継続してシスコのセキュリティソリューションに おける中核製品 エンタープライズ向け Firewall として、Firepower Threat Defense は 市場評価が上がってきている 品質改良が中心だった Firepower version 6.2.3 をベースとして、マル チインスタンスを筆頭にした多数の新機能を含む Firepower version 6.3 がリリース L4 までの ASA (with AnyConnect) と L7 Security の Firepower を、それぞれの適材適所でご利用ください。特に Firepower は、これまでの大きな品質改善に加え、使い勝手の良い多数の新機能を搭載したバージョンをリリースしております。

その他参考資料 Firepower への cisco.comでのショートカット ASA への cisco.comでのショートカット http://www.cisco.com/go/ngfw ASA への cisco.comでのショートカット http://www.cisco.com/go/asa AnyConnect への cisco.comでのショートカット http://www.cisco.com/go/anyconnect パートナーサポート 最新資料　(FTD 初期設定ガイド、ASA on FP4k2k ガイド公開中) https://www.cisco.com/c/m/ja_jp/partners/documents.html セキュリティ技術資料 https://www.cisco.com/c/ja_jp/partners/sell-integrate-consult/technology/security.html　 シスコサポートコミュニティ 日本語 セキュリティ https://community.cisco.com/t5/-/ct-p/5041-security