Cisco ASA CX Context-Aware セキュリティは、ネットワークの比類ない可視化、アプリケーション、ユーザ、およびデバイスの詳細なコントロールによって、「誰が」「いつ」「どこで」「何を」「どんな方法で」ネットワークを利用しているかに応じてセキュリティを判断および対応できる、コンテキストベースのファイアウォールです。また、CiscoSIO と連携したリアルタイムかつグローバルな脅威情報の活用によって、進化を続ける攻撃手法からネットワークを未然に防御します。
Cisco ASA CX Context-Aware セキュリティは、Cisco ASA 5500-X シリーズにソフトウェア モジュールまたはハードウェア モジュールとして実装します。CiscoASA 5512-X/5515-X/5525-X/5545-X/5555-X では Cisco ASA 5500-X シリーズ用 SSD、Cisco ASA 5585-X では Cisco ASA 5585 用 CX SSPが必要です。
アプリケーションベースのアクセス コントロールを提供します。アプリケーションやアプリケーションの種類に基づくアクセス ポリシーを作成するために必要です。
Cisco SIO による URL フィルタリングおよび Web 評価ポリシーを提供します。URLや Web 評価プロファイルをアクセス ポリシーに含めるために必要です。
ネットワークの可視化やアプリケーションのコントロールなど、Cisco ASA CXContext-Aware セキュリティの包括的な管理プラットフォームとなる使いやすい管理ツールです。ソフトウェア モジュールまたはハードウェア モジュールに付属するシングルデバイス モードと、ハードウェア アプライアンスまたは VMware ESX/ESXi 上のソフトウェア製品として実装するマルチデバイス モードがあります。マルチデバイス モードは、管理するデバイス数に応じたライセンスが必要です。
労働力の国際的な広がり、およびアプリケーションやデバイスの急増によってネットワークの複雑性は増しています。そのような状況において、ファイアウォール管理者には、従業員の生産性を高めるためにいつでもどこでもどんなデバイスでもアクセスできるようにすること、あるいは、ビジネスの保護に必要なセキュリティ レベルを維持すること、そのどちらかを選択することが求められます。ファイアウォールのほとんどは、インテリジェントなセキュリティ判断を下すために十分な可視性を提供できないため、組織は「労働力の柔軟性」と「ネットワーク セキュリティ」のどちらを取るかという選択を迫られます。
Cisco® ASA CX Context-Aware Security は、かつてないほどの可視性と制御機能によって ASA プラットフォームを拡張することで、このような問題を解決します。これにより、企業はアプリケーション、デバイス、労働力の国際的な広がりにようやく対応できるようになります。
Cisco ASA CX Context-Aware Security は、ネットワーク トラフィックについて、ネットワークに接続中のユーザ、使用されているデバイス、アクセスされているアプリケーションや Web サイトなど、かつてないほどの可視性をネットワーク管理者に提供します。
ASA CX は、シスコのセキュリティ テクノロジーを使用して、アクショナブル インテリジェンスをネットワーク管理者に提供します。Cisco AnyConnect™ は、ネットワークにアクセスする前に、モバイル デバイスのタイプやロケーションに関する詳細情報を提供します。また、ASA CX は Cisco Security Intelligence Operations(SIO)で収集したグローバル脅威情報を使用して、マルウェアによるゼロデイ攻撃から保護します。
Cisco ASA CX は Skype やその他のピアツーピア アプリケーションのようなポート ホッピングやプロトコル ホッピング アプリケーションをブロックすることで、記述するポリシーを少なく抑える一方で、より有効なセキュリティを提供します。また、さまざまな言語にも対応しているため、アプリケーション、ユーザ、デバイス、ロケーションなどのさまざまなコンテキスト要素に基づいたポリシーの記述が可能です。
ASA CX は、ソーシャル ネットワーキングについて、どの次世代ファイアウォールよりも詳細な制御ができます。ASA CX は 1,000 以上のアプリケーションおよび 75,000 以上のマイクロアプリケーションを認識するため、組織はアプリケーションの特定のコンポーネント(仕事で使用する Facebook など)へのアクセスを有効化すると同時に、他のコンポーネント(Facebook のゲームなど)へのアクセスを無効化することができます。ポリシーには、このようなアプリケーション コンポーネントに対する個人およびグループベースのアクセス コントロールを記述できます。
ASA CX には、ネットワークにアクセスしようとしている特定タイプのデバイスおよび実行中のオペレーティング システムとそのロケーションが表示されます。どのようなタイプのデバイスがネットワーク リソースにアクセスしようとしているかを明確に把握することで、管理者は多数のデバイスにアクセスを許可する一方で、高水準のネットワーク保護および制御を維持できます。
ASA CX は ASA プラットフォームを拡張し、かつてないほどの可視性と制御機能を提供します。組織では、既存のファイアウォール ルールおよびオブジェクトを引き続き使用しながら、コンテキスト情報に対してインテリジェントに対応できる、より詳細なコンテキスト連動型のルールを追加できます。ASA CX は Cisco SecureX フレームワークを使用して、Cisco AnyConnect セキュア モビリティ クライアントからローカル情報を収集し、Cisco SIO からほぼリアルタイムでグローバル脅威情報を収集します。ローカルおよびグローバルの脅威情報を収集する機能が組み込まれた実証済みのファイアウォール プラットフォームは、組織のセキュリティ ニーズの変化に対応し、成長、拡張性、継続的な技術革新を実現する包括的で動的なセキュリティ アーキテクチャを提供します。
表 1 に、Cisco ASA CX Context-Aware Security の機能および利点を示します。
表 1 機能と利点
| 機能 | 利点 |
|---|---|
| アプリケーションの認識 | 一般に使用されている 1,000 以上のアプリケーションおよび 75,000 以上のマイクロアプリケーションをベースにしたアクセス ポリシーを適用することで、アプリケーションに関連したユーザ アクティビティを「動作」(ファイルのアップロードやソーシャル ネットワーキング サイトへの投稿など)に基づいてより詳細に制御し、従来のセキュリティ制御を回避できるポート ホッピングやプロトコル ホッピング アプリケーションを制御する、よりきめ細かいアクセス コントロールを提供します。 |
| ID ベースのファイアウォール | ユーザおよびユーザ ロールに基づいた、差別化されたアクセス コントロールを提供し、Active Directory エージェント、LDAP、Kerberos、NT LAN Manager などの一般的な ID メカニズムをサポートします。 デバイス タイプ ベースの適用 ネットワークにアクセスしているデバイスのタイプ(iPad、iPhone、Android デバイスなど)を識別し、どのデバイスのアクセスを許可または拒否するかを制御します。 |
| URL フィルタリング | すべての機能を備えたエンタープライズ クラスの URL フィルタリング ソリューションにより、インターネットに対するきめ細かい制御が可能になります。 |
| グローバル インテリジェンス | シスコのセキュリティ導入のグローバル フットプリントを、より包括的なネットワーク保護に使用します。Cisco SIO では常に脅威情報のフィードを更新することで、ほぼリアルタイムでマルウェアによるゼロデイ攻撃から保護します。 |
| ステートフル ファイアウォール機能 | アクセス コントロール、ネットワーク アドレス変換、ステートフル インスペクションなどの、レイヤ 3 およびレイヤ 4 のステートフル ファイアウォール機能を拡張サポートします。 |
| 直感的な管理ソリューション | あらかじめ Cisco Prime™ Security Manager がロードされた強力で直感的な管理ソリューションにより、コンテキスト連動型ファイアウォールの管理を簡素化できます。 |
表 2 に、Cisco ASA CX Context-Aware Security の機能および容量を示します。
表 2 Cisco ASA CX の機能および容量
| 機能 | ASA CX SSP-10 | ASA CX SSP-20 |
|---|---|---|
| スループット | 2 Gbps(マルチプロトコル) | 5 Gbps(マルチプロトコル) |
| 同時セッションの最大数 | 500,000 | 1,000,000 |
| 1 秒あたりの接続数 | 40,000 | 75,000 |
| サポート対象のアプリケーション | 1,000 人以上 | 1,000 人以上 |
| サポート対象のマイクロアプリケーション | 75,000 以上 | 75,000 以上 |
| URL カテゴリ | 78 | 78 |
| 分類された URL の数 | 2,000 万以上 | 2,000 万以上 |
| URL フィルタリングの対応言語 | 60 以上 | 60 以上 |
| 毎日 Cisco SIO によって分析される Web リクエストの数 | 300 億 | 300 億 |
