Embed Size (px)
Citation preview
シスコシステムズ合同会社
セキュリティ事業
コンサルティングシステムズエンジニア
豊島 かおり
東京: 2015 年 5月 29 日 (金) 14 : 00 - 16 : 45
ASA 5506-X/5508-X/5516-X 機能解説
アジェンダ
1. はじめに
2. ASA5506-X/5508-X/5516-X 製品概要
3. FirePOWER Services概要
4. マネジメント概要
5. まとめ
あらゆる組織がサイバー攻撃の被害に直面している
2012年には中小企業の87%が
セキュリティ侵害を受けた *
2013年のサイバー攻撃の対象は41%が従業員500人以下の組織 **
中小企業における
セキュリティ対策強化への
期待が強まっている ***
組織の規模に関わらず、その組織が保持するデータ、IPアドレス、機密情報に対して、法的 および信用上の強い責任がある
41%
87%
* 2013 英国政府 ビジネスイノベーション職業技能省 委託機関
** 2014年7月 ナショナルサイバーセキュリティアライアンス (NCSA)
*** 2015年3月 ニューヨークタイムス紙 : http://nyti.ms/1xymaNN
強力な脅威対策
従来のUTM / 次世代ファイアウォールでは実現が難しかった
脅威に特化した対策
常に最新の情報を取り入れる、業界水準のセキュリティ技術
優れた費用対効果
少ないデバイスで、効果的に マルチレイヤのセキュリティ
対策を実装
柔軟な管理方式
単体での利用に適したシンプルかつ統合された管理
複数拠点に配置した端末の統合設定管理から、セキュリティを向上させるイベント分析まで
中小規模ネットワークで求められる 新たなセキュリティ対策
ASA5506-X/5508-X/5516-X 製品概要
Cisco ASA 5500-X シリーズ P
erf
orm
an
ce
an
d S
ca
lab
ility
Data Center Campus Branch Office Internet Edge
ASA 5585-X SSP-20 (10 Gbps, 125K cps)
ASA 5585-X SSP-60 (40 Gbps, 350K cps)
ASA 5585-X SSP-40 (20 Gbps, 200K cps)
ASA 5585-X SSP-10 (4 Gbps, 50K cps) ASA 5555-X
(4 Gbps,50K cps)
ASA 5545-X (3 Gbps,30K cps)
ASA 5525-X (2 Gbps,20K cps)
ASA 5512-X (1 Gbps, 10K cps)
ASA 5515-X (1.2 Gbps,15K cps)
SOHO
ASAv10 (500M-1Gbps, 20K conn/s)
ASAv30 (1-2Gbps, 60K conn/s)
ASAv5 (50M-100Mbps, 8K conn/s)
New! ASASM
for Catalyst6500,Cisco7600 (16-20 Gbps,300K conn/s)
New!
ASA 5506-X (750Mbps, 5K cps)
ASA 5508-X (1Gbps)
ASA 5516-X (1.8 Gbps)
Cisco ASA5500-X シリーズ 新プラットフォーム
デスクトップモデル 無線アクセスポイント
統合モデル
高パフォーマンス モデル
高耐久性モデル
次世代ファイアウォール 無線機能はローカル及びWLC で管理可能
1RU
新たな性能価格帯製品 産業用次世代ファイア
ウォール
5506-X 5506W-X 5508-X 5506H-X
ASA 5505
の後継として最適
ASA
5512/5515
の後継として最適
アップセルや新しいマーケットへ
5516-X
デスクトップ型 Cisco ASA 5506-X
約20cm x 22.6cm x 4.4cm
CPU マルチコア
RAM 4 GB
アクセラレータ Yes
ポート 8x GE データポート,
1 管理ポート
(10/100/1000 BASE-T)
コンソールポート RJ-45, Mini USB
USB ポート Type ‘A’ supports 2.0
記憶容量 64-GB mSata
冷却 ファンレス
電源 外部AC、 DCなし
ワイヤレス内蔵型 Cisco ASA 5506W-X
Cisco® ASA 5506-X と同サイズ (約20cm x 22.6cm x 4.4cm)
Wireless AP Cisco ASA 5506_AP702
(AP702i 相当), IEEE
802.11n, 2 x 2 MIMO
ポート 8 x データポート, 1 アクセスポイント (内部データポート
g1/9)
管理ポート g1/1 - g1/9 の任意のポート,
Mgmt 1/1 はファイアウォールのマネジメント専用
マネージメント ワイヤレスは別に管理
高耐久性モデル Cisco ASA 5506H-X
約23cm x 23.4cm x 6.4cm
データポート 4 x データポート
管理ポート 1 Port, 10/100/1000BASE-
T, 100BASE-FX,
1000BASE-X, SFP
電圧 5V (5506 : 12V)
動作温度 –20 ~ 60°C
マウント方法 壁掛け, 平置き, ラックマウント、 DIN レールマウント
ラックマウント型 Cisco ASA 5508-X 、 ASA 5516-X
CPU マルチコア
RAM 8 GB
アクセラレータ Yes
ポート 8x GE データポート, 1x 管理ポート (10/100/1000
BASE-T)
コンソールポート RJ-45, Mini USB
USB ポート Type ‘A’ supports 2.0
記憶容量 120-GB SSD
冷却 ファン
電源 内部AC 、 DCなし
約43.7cm x 28.2cm x 4.4cm
製品特徴比較 ASA 5506-X ASA 5506W-X ASA 5506H-X ASA 5508-X ASA 5516-X
ハードウェア
CPU 4Cx1.25GHz 4Cx1.25GHz
4Cx1.25GHz
7Cx2GHz 8Cx2.4GHz
RAM 4GB 4GB 4GB 8GB 8GB
SSD 50GB 50GB 50GB 80GB 100GB
Fan No No No Yes Yes
I/O 8xGE 8xGE; WiFi 4xGE 8 x GE 8 x GE
ソフトウェア
ユーザ数 無制限 無制限 無制限 無制限 無制限
High-Availability Yes -
Active/Standby
only1
Yes -
Active/Standby
only1
Yes -
Active/Standby
only1
Yes
(Active/Active)
Yes
(Active/Active)
コンテキスト No No No Yes2 Yes2
クラスタリング No No No No 将来サポート予定
1. SecPlus ライセンスが必要; 2. セキュリティコンテキストライセンスが必要
パフォーマンス比較
ASA 5506-X ASA 5506W-X ASA 5508-X ASA 5516-X
ステートフルファイアウォール
最大スループット 750 Mbps 750 Mbps 1 Gbps 1.8 Gbps
VPN スループット 100 Mbps 100 Mbps 175 Mbps 250 Mbps
AVC 最大スループット 250 Mbps 250 Mbps 450 Mbps 850 Mbps
AVC + NGIPS 最大スループット 125 Mbps 125 Mbps 250 Mbps 450 Mbps
AVC or IPS サイジングスループット[440B] 90 Mbps 90 Mbps 180 Mbps 300 Mbps
最大同時接続数 50,0001 50,0001 100,000 250,000
最大接続数 / 秒 5000 5000 10000 20000
1. セキュリティプラスライセンスが必要
~1.5x to 2x ~1.5x to 2x
ASA5506, ASA5505 の主な相違点 Category ASA 5505 ASA 5506-X
Hardware
CPU 1 Core @ 500MHz 4 Core @ 1.7GHz
RAM/Flash 512M/128M 4G/8GB
SSD none 64GB
スイッチポート Yes No
ユーザーライセンス Yes No (無制限)
Software ハードウェア EzVPN クライアント Yes
No
(VPN 機能は他のASA プラットフォームと同様)
トラフィックシェーピング Yes No
NGFW (FirePOWER) Services
IPS No Yes
アプリケーションコントロール No Yes
URL フィルター No Yes
AMP (Advanced Malware Protection) No Yes
デフォルトコンフィグを使用した簡単な初回セットアップ
デフォルトコンフィグにより簡単にインターネットに接続できます(9.4(1)-)
• WAN ポート、インサイドポート、管理ポートはすでに設定済み
• WAN ポートはDHCP クライアントとなるアウトサイドポート(G1/1) インサイドポート(G1/2)はASDM による管理が可能な設定 管理ポートはFirePOWER の管理のためだけに使用
Internet
/WAN
1. FirePOWER の管理には 管理ポートを使用
2. ASA の管理には データポートを使用
3. WAN 接続 DHCP想定
L2 スイッチ 管理端末
FirePOWER Services概要
ASA with FirePOWERモジュールの構造
次世代FW
アプリケーション識別 ユーザ識別 URL フィルター ジオロケーション
次世代IPS
ネットワーク可視化 (ネットワーク/ホスト/脆弱性等) 自動チューニング インパクト解析 侵入痕跡 /IOC(C&C通信、マルウェア感染等)
AMP
マルウェア防御 クラウドサンドボックス 侵入/拡散経路解析 (ファイルトラジェクトリ) 過去の攻撃解析 (レトロスペクティブセキュリティ)
Classic FW処理
必要なトラフィックのみを内部のFirePOWER サービスに転送 ASA FW と FirePOWERサービスを組み合わせてあらゆる場面に対応可能
ライセンス概要 上位のASA with Cisco ASA with FirePOWER Services と同様
TAMC TAC TA URL TAM
IPS
URL
URL
IPS URL
AMP
IPS
AMP
IPS
Cisco FirePOWER™
サービスライセンシング
1, 3-年, 5年 サブスクリプション, Cisco AVC は含まれる、 AVC アップデートはCisco SMARTnet™ サポートで利用可能
• ユーザ数ライセンスは廃止
• セキュリティプラス (デスクトップ型専用のオプション)
• VPN ライセンス: Cisco AnyConnect® 4.0
• セキュリティコンテキスト (Cisco® ASA 5508-X 、5516-X のみ)
Cisco ASA ライセンシング
次世代IPS・次世代マルウェア防御・次世代ファイアウォール、ファイアウォール、VPNを1台で!
011101 10001110100111
01 1110011 0110011 1010
0100 1110101001 1101
0011
01000111 0100 111001
00111 0100 1110101001
高度な侵入検知と防御
世界最大の利用実績に裏付けられた高い検知性能
マルウェア検知
クラウド連携
アプリケーション可視化・制御
URLフィルタ ユーザ制御
実績No.1の堅牢なファイアウォール
運用管理ツールを1つに統合
拠点間VPN
リモートアクセスVPN PC,iPhone, Android
どんなデバイスにも AnyConnect VPN
ファイアウォール + VPN
次世代IPS 次世代マルウェア防御 次世代ファイアウォール
CITRIX
Skype
Gmail
IE
Flash
業界標準のIPSエンジン”snort”
• 世界ダウンロード数400万回以上
• 実利用数30万デバイス
• 様々なIPSベンダが使用
• MS Tuesdayの脆弱性同日カバー率No1
• NSS 検知率業界No1
• オープンソースコミュニティによる精度向上と脅威への迅速対応
グローバルリーダーシップ
• IPS専用ベンダーならではの検知性能とパフォーマンス
次世代IPS
信頼の侵入検知性能
2014年12月 Magic Quadrant for Intrusion
Prevention Systems
• ルール構成
• Snort言語
• 誰でも内容を確認できるテキスト表記
• PCRE(正規表現)
• SharedObject(SO)
• Binaryで提供されるマイクロエンジン
• 標準化情報の参照
• CVE, Microsoft Security bulletin, Bugtag, McAfee, SnortID 他各種リファレンスリンク
IPSシグネチャの特徴
全ルールの検知ロジックが開示可能
ルールのカスタマイズも容易
他ベンダーと連携したシグネチャ標準化
IPS設定イメージ
上位機種と同等のIPS機能: Cisco推奨のルールテンプレートから選択
Snortルールの確認とカスタマイズ
オンボックス
統合管理ツール
ASDMを使用
次世代マルウェア防御 クラウド連携の高性能マルウェア検出
Cisco Collective Security Intelligence
世界中160万台のシスコ機器から情報を収集
1日に100 TBのデータ、130億のHTTPを解析
全世界のEメールトラフィックの35 %以上を網羅
600名以上のエンジニアや専門家、研究者が24時間体制で解析
世界中の脅威情報を収集 ファイル情報 問い合わせ
クラウド リコール
ASA with
FirePOWER
Services
シグネチャレス検知
• ハッシュ値を利用してファイルを一意に特定し、既知のマルウェアを高速に検査して即時ブロック
• 世界中の最新脅威情報をリアルタイムで参照
クラウドリコール
• 次々と生成される未知のマルウェアへの対策
• ネットワークに侵入した過去のファイル情報を記憶し、マルウェア判定時にトラッキング機能を提供 ※FireSIGHT Management Center 利用時
クラウド (Cisco CSI)
AMP for Network 動作概要
ファイル
9a9de323dc2b
a4059c3eb10d
20e8b93a4cc4
4c93ac41a5dfc
9572fa1c0d5b1
a8
ハッシュエンジン ハッシュ
データベース
• ハッシュ値を利用したシグネチャレスの高速マルウェア検知・防御
• SHA-256ハッシュ値により通過するファイルを一意に識別(ファイル名変更は影響なし)
• クラウド上のハッシュデータベースおよびローカルポリシーを検査してアクションを判断
• サポートプロトコル
• HTTP、SMTP、POP3、IMAP、FTP、SMB
• サポートファイルタイプ
• 実行ファイル、オフィスドキュメント、アーカイブ、PDF、画像、マルチメディア等の計100種近いファイル形式に対応
検査対象の通信を下記から選択 プロトコル: Any, HTTP,SMTP,IMAP,POP3,FTP,SMB
方向: Any, Upload, Download
Actionを下記から選択 Detect Files, Block Files, Malware Cloud Lookup, Block Malware
AMPクラウド連携: マルウェア検知とブロック
ファイルタイプ別のアクション
AMP for Network 設定イメージ オンボックス
統合管理ツール
ASDMを使用
アプリケーション可視化・制御機能を標準搭載。
またURLフィルタや、IPレピュテーションなどの情報から
既知の不正サイトへのコネクションをモニターもしくはブロック可能。
次世代ファイアウォール
3000以上の
アプリケーション制御が可能
ジオロケーション
機能で攻撃元の国による制御
も可能
CITRIX
Skype
Gmail
IE
Flash
VPNと柔軟なネットワーク構成
中規模拠点
5508-X
本社
5516-X
L2 Switch
5506W-X
小規模
拠点
拠点間VPN 拠点間VPN
Internet
AnyConnect :
モバイル・マルチデバイス
対応のリモートアクセスVPN
拠点間VPNと
安定したネットワークファイアウォール
(ルーティング・ スイッチング)
VPN通信にも
専用の脅威対策を
マネジメント概要
選べるマネジメントオプション
オンボックスマネージャ • ASDM (ASA Device Manager):
ASA購入時に無償提供
• ASA + FirePOWER Services の 基本機能をシンプルに管理・監視
高機能専用サーバによる統合マネジメント • FireSIGHT Management Center : FirePOWER Services
の統合管理・監視と詳細なインシデント解析
• アプライアンスまたは仮想マシンでの提供
次世代IPS
• 自動チューニング
• インパクト分析
• ネットワークコンテキストビルダー
• レトロスペクティブ解析
• マルウェアトラッキング(ファイルトラジェクトリ)
• ダイナミック解析
次世代マルウェア防御
インシデント解析機能が拡張
ASDM (ASA Device Manager) による一元管理 設定管理
アクセスコントロールポリシー: 適用するセキュリティポリシーを一括設定
• 侵入検知 (IPS)
• マルウェア防御(AMP)
• 次世代ファイアウォール
• アプリケーション制御
• URLフィルタ
• ジオロケーション 等
Configuration > ASA FirePOWER Configuration
FirePOWER管理用の
タブ追加
ASDM (ASA Device Manager) による一元管理 レポートとリアルタイムモニタリング
対象項目(アプリケーション、脅威、ファイル等)とタイムレンジを指定してレポート
Monitoring > ASA FirePOWER Reporting
Monitoring > ASA FirePOWER Monitoring > Real Time Eventing
多様なログをリアルタイムに確認
”View Details” からドリルダウンして詳細情報を確認
FireSIGHT Management Center モデル
FSモデル 2000 4000 仮想版
最大管理
デバイス 70 300
仮想FireSIGHT
Management Center
25 管理デバイスまで イベント
ストレージ 1.8 TB
4.8/6.3 TB
(SSD/SAS)
最大ネットワークマップ数
(ホスト / ユーザ)
150K/150K 600K/600K 仮想 FireSIGHT Management
Center
2または 10 管理
デバイスまでに制限 FS-VMW-2-SW-K9
FS-VMW-10-SW-K9 イベント/秒(EPS) 12000 20000
ASA with
FirePOWER
Services用の
廉価版型番
FireSIGHTによるインシデント解析 モニタリング機能の拡張
IOCイベント ※ IOC = Indications of Compromise (侵入の痕跡)
感染危険度の高い端末を分析して表示
ネットワークの詳細可視化 接続端末情報を含む、詳細情報のレポート
FireSIGHTによるインシデント解析 IPSの自動チューニングとインパクト解析
一般的な侵入検知機器(IPS)の
運用者が抱える課題
本当に重要なイベントログを素早く見つけたい
環境に合わせて設定を調整したいが、手間をかけたくない
インパクト解析 攻撃と対象端末情報を解析し本当に危険度の高いログを識別
自動チューニング ネットワーク環境を学習し、 最適な推奨設定を自動生成
攻撃の緊急度 “High”のアラート数: 1433 実インパクト “High(1)”のアラート数: 106
例. 10分の1以下に減少
FireSIGHTによるインシデント解析 マルウェアのトラッキング
解析情報(サンドボックス等)と連携
一度通過した未知のマルウェアも継続解析し、 過去に遡ってインシデントを通知:レトロスペクティブ解析
ファイルのネットワーク拡散状況(時間、端末)をトラッキング
定常的なマルウェアの検出・防御だけでなく、ゼロデイ攻撃への迅速な対応にも有効
• Cisco ASA with FirePOWER Servicesの新しいラインナップ(ASA 5506-X/5508-X/5516-X)は、中小規模ネットワークに、実績のあるネットワーク性能と、高度なセキュリティ対策機能を提供します
• オープンソースの業界標準IPSや、クラウド連携の次世代マルウェア防御機能(AMP)により、最新の脅威に対応することができます
• ご要件に合わせてASDMまたはFireSIGHT Management Centerから管理オプションが選択でき、柔軟な導入形態をサポートします
まとめ
