Cisco® Secure Access Control System(ACS)は、企業のネットワーク アクセス ポリシーとアイデンティティ戦略を結び付けます。Cisco Secure ACS は世界で非常に高い信頼を得ている企業ネットワーク アクセスおよびポリシー プラットフォームであり、Fortune 500 企業のほぼ 80 % に導入されています。
Cisco TrustSec® ソリューションの主要コンポーネントの 1 つである Cisco Secure ACS は、RADIUS および TACACS+ サービスを提供する非常に高度化されたポリシープラットフォームです。アクセスコントロール管理とコンプライアンスに関する今日の新たな要求を満たすために必要な、ますます複雑化するポリシーに対応します。Cisco Secure ACS により、デバイス管理と無線/有線 802.1x、およびリモート(VPN)ネットワーク アクセス向けのアクセス ポリシーの集中管理が可能になります。図 1 は、Cisco UCS C220 M3 プラットフォームを基盤とした、新しい Cisco 3415 Secure Access Control System アプライアンスです。Cisco Secure ACS 5.4 は、Cisco 3415 と 1121 の Secure Access Control System アプライアンスをサポートしています。
図 1 Cisco 3415 Secure Access Control System
日常業務の遂行において、企業ネットワークへの依存度はますます高まっています。また、ネットワークにアクセスできる方法が増加するに伴い、企業においてはセキュリティ違反や不正なユーザアクセスが重大な問題になっています。ネットワークセキュリティの責任者と管理者は、ユーザIDだけではなく、ネットワークアクセスタイプ、アクセスが必要な使用時間帯、ネットワークへのアクセスに使用するマシンのセキュリティなどのコンテキストにも関連付けられた柔軟な認証/許可ポリシーに対応できるソリューションを必要としています。さらに、ネットワークデバイスの使用を効果的に監査し、企業の準拠性に対してデバイス管理のアクティビティを監視するとともに、ネットワーク全体にデバイスアクセスポリシーのより広範な可視性と制御を提供する必要性がますます高まっています。
Cisco Secure ACS は、スケーラビリティとパフォーマンスに優れたアクセス ポリシー システムです。デバイス管理、認証、ユーザ アクセス ポリシーなどの機能を集中管理し、これらの機能の管理やサポートの負担を軽減します。
Cisco Secure ACS 5.4 は、ポリシー アドミニストレーション ポイント(PAP)およびポリシー デシジョン ポイント(PDP)として機能し、ポリシーベースのネットワーク デバイスのアクセス制御を実現し、以下のような多数のアイデンティティ管理機能を提供します。
ルールベースのポリシー モデル Cisco Secure ACS 5.4 は、多様な条件下のさまざまな許可規則の適用に対応します。そのため、ポリシーはコンテキスト対応型で、1 つのグループ メンバーシップによって定義される許可に限定されることはありません。新しい統合機能により、外部データベースの情報をアクセス ポリシー ルールで直接参照でき、属性をポリシー条件と許可規則の両方で使用することができます。
Cisco Secure ACS 5.4 はアクティビティおよびシステム ヘルス情報の収集と報告を集中管理し、分散型展開の最大限の管理容易性を実現します。モニタリングや診断などの事前対応型の動作、および報告やトラブルシューティングなどの事後対応型の動作にも対応しています。展開全体にわたるセッション監視、しきい値ベースの通知、エンタイトルメント レポート、診断ツールなどの高度な機能を搭載しています。
表 1 に、Cisco Secure ACS 5.4 の主な機能と利点を示します。
表 1 に、Cisco Secure ACS 5.4 の主な機能と利点を示します。
| 特長 | 利点 |
|---|---|
| アクセス コントロールおよび機密保持における完全なソリューション | ポリシー コンポーネント、インフラストラクチャ適用コンポーネント、エンドポイント コンポーネント、プロフェッショナル サービスなどの、その他の Cisco TrustSec コンポーネントと ACS を併用できます。 |
| AAA プロトコル | Cisco Secure ACS 5.4 は 認証、許可、およびアカウンティング(AAA)の 2 つの異なるプロトコルをサポートします。Cisco Secure ACS 5.4 は、ネットワーク アクセス制御用の RADIUS と、デバイス アクセス制御用の TACACS+ をサポートします。Cisco Secure ACS は、ネットワーク全体にアクセス ポリシーを適用する単一のシステムです。PCI などの標準のコンプライアンスに必要とされるネットワーク デバイス構成と変更管理を強化します。Cisco Secure ACS 5.4 の AAA 機能は、IPv4 と IPv6 の両方のネットワークで TACACS+ ベースのデバイス管理に対応できます。 |
| データベース オプション | Windows Active Directory、LDAP サーバ、RSA トークン サーバなど既存の外部アイデンティティ リポジトリとの統合サポートに加え、統合型ユーザ リポジトリをサポートします。これには、ACS クラスタに対する複数の LDAP サーバの使用のほか、異なる AD ドメインへの各 ACS ノード(インスタンス)の接続が含まれます。複数のデータベースを同時に使用し、識別ストア シーケンスで柔軟にアクセス ポリシーを適用できます。さらに、外部 AD と LDAP データベースに ACS 管理者を追加し、Cisco Secure ACS 5.4 の識別ストアを介して認証できます。 |
| 認証プロトコル | あらゆる認証要件をサポートできるように、 PAP、MS-CHAP、拡張認証プロトコル(EAP)-MD5、Protected EAP(PEAP)、EAP-Flexible-セキュア トンネリングを介したフレキシブル認証(FAST)、EAP-Transport-トランスポート レイヤ セキュリティ(TLS)、PEAP-TLS などのさまざまな認証プロトコルをサポートします。また、CHAP/MSCHAP プロトコルでの TACACS+ 認証、LDAP サーバで TACACS+ と EAP-GTC を使用する際の PAP ベースのパスワード変更をサポートします。さらに、Cisco Secure ACS 5.4 には、記載されたプロトコル(EAP-TLS など)の一部で使用されている証明書が無効にされているか、まだ有効であるかを確認するためのオンライン認証ステータス プロトコル(OCSP)のサポートが追加されています。 |
| アクセス ポリシー | ルールベースの属性主体ポリシー モデルをサポートしており、認証プロトコル要件、デバイス制限、時間帯による制限、ポスチャ検証、およびその他のアクセス要件などを含むアクセス ポリシー コントロールに、大幅に強化された能力と柔軟性を発揮します。Cisco Secure ACS は、ダウンロード可能アクセス コントロール リスト(dACL)、VLAN 割り当て、およびその他の許可パラメータを適用できます。バージョン 5.4 は、ユーザ単位の期限に基づいた内部データベース内のユーザ アカウントを無効にすることもできます。さらに、アイデンティティ、グループ マッピング、および許可ポリシーのルールに、Cisco Secure ACS で使用可能な任意の 2 種類の属性値の比較を利用できます。 |
| 中央集中型の管理 | 完全に再設計された軽くて使いやすい Web ベースの GUI を装備しています。効率的な増分レプリケーション方式により、変更をプライマリ システムからセカンダリ システムに迅速に反映し、分散型展開の全体にわたって中央集中型の管理を実現します。ソフトウェア アップグレードも GUI で管理でき、プライマリ システムによってセカンダリ インスタンスへ配布できます。 |
| 規模の大きい ACS 導入に対するサポート | Cisco Secure ACS 5.4 は、以前のソフトウェア バージョンで公式にサポートされている 10 インスタンスと比較して、1 つの ACS クラスタで最大 21 のインスタンス(1 プライマリおよび 20 セカンダリ)をサポートします。 |
| プログラマチック インターフェイス | Cisco Secure ACS 5.4 は、内部データベース内のユーザとアイデンティティ グループ、ネットワーク デバイス、およびホスト(エンドポイント)の Create/Read/Update/Delete 操作に対するプログラマチック インターフェイスをサポートします。 |
| モニタリングとトラブルシューティング | Web ベースの GUI からアクセス可能な、モニタリング/報告/トラブルシューティングの統合コンポーネントが含まれています。このツールを使うと、構成されたポリシーおよび認証/許可アクティビティに対する可視性が、ネットワーク全体にわたり最大化されます。ログは、他のシステムでも使用できるよう表示およびエクスポートが可能です。 |
| プロキシ サービス | Cisco Secure ACS 5.4 は、ネットワーク アクセス デバイス(NAD)から外部サーバに着信 AAA リクエストを転送し、このようなリクエストを開始した NAD にそのサーバからの応答を戻すことによって、外部 AAA サーバの RADIUS または TACACS+ プロキシとして機能できます。Cisco Secure ACS 5.4 では、外部 AAA サーバに送信されたプロキシされている AAA リクエスト内の RADIUS 属性を追加および/または上書きする機能が追加されています。 |
| プラットフォーム オプション | Cisco Secure ACS 5.4 はクローズドの、強化された Linux ベースのアプライアンス、または VMware ESX/ESXi 4.0/4.1 用ソフトウェア オペレーティング システム イメージとして利用できます。 |
