Transcript PPT

PSU Week 2015 May
[Sec-4]
CWSの技術概要
2015/5/27
エンタープライズ システムズ エンジニアリング
シニア システムズ エンジニア
中口 陽介
セッション概要
本セッションでは、以下の内容をカバーしています
•
CWSの概要説明
•
CWSへ接続するバリエーションのご紹介および設定方法
•
CWSが提供する機能のご紹介
•
Appendix: トラブルシューティングに関する情報
参考情報のスライドには、
右のアイコンをつけています
ご参考までに
はじめに
Cloud Web Security概要
アジェンダ
CWSの展開方法
CWSの機能紹介
Appendix: トラブルシューティング
ウェブセキュリティの課題
拠点数に伴うセキュリティの懸念とコスト増加の現状
国内データセンター
通信速度が遅く感じる
運用コストが増加
回線コストが増加
インターネット
仮想環境
国内DCを経由する場合は遅延が発生
国内とセキュリティ設定が異なる
海外拠点の増加
ガバナンスが効かない
クライアント
回線コストが増加
社外ネットワークから直
接インターネットへ接続
ユーザ別の利用状況が不明
クライアント
クライアント
海外拠点
日本本社
モバイルユーザ
国内拠点
はじめに
Cloud Web Security概要
CWSの展開方法
アジェンダ
CWSの機能紹介
Appendix: トラブルシューティング
• CWSとは
• CWSが必要とされるポイント
• CWSの技術概要
Cisco Cloud Web Security “CWS” とは
•
CWS(Cloud Web Security)は、世界23拠点のデータセンターに展開する
(”タワー”と呼ぶ)クラウド型プロキシサービス。クライアントがウェブか
らコンテンツをダウンロードする際に潜む脅威や危険なサイトへのアクセス
をブロックするウェブに特化したセキュリティサービス
•
クラウド型プロキシサービスであるCWSは導入費・保守費を抑え、
オンプレミス型プロキシ製品と比較してコストを30~40%削減可能
•
CWSを利用することで拠点毎に異なるセキュリティポリシーを統一
•
シスコ機器のASA、WSA、ISR G2と連携することで
既存のネットワーク構成を変更しないでCWSに接続可能
•
シスコ製品のAnyConnectを利用することで現在地から
最も近いタワーを自動検索して強制的にCWSに接続可能
CWSが必要とされるポイント
Internet
インターネット
Firewall
マルウェア
URLフィルタ
CWSの特徴
オンプレミスプロキシに比べ40%のコスト削減
インターネット
Cloud Web
Security
ウェブプロキシ
Collective Security
Intelligence
クラウドへ
統合
Firewall
最新のセキュリティ評価に基づくアクセス制御
標的型などあらゆる脅威からの入口/出口対策
リアルタイムサンドボックス分析(マルウェア)
ポリシー管理
レポーティング
セキュリティポリシーを一元化
クライアント
クライアント
運用に手間がかからない
既存のネットワーク構成を変更しない
レポート
世界23拠点でサービス展開
CWSが必要とされるポイント
Internet
インターネット
Firewall
マルウェア
URLフィルタ
CWSの優位点
多言語対応、日本語にも強いURL フィルタリング
インターネット
Cloud Web
Security
ウェブプロキシ
Collective Security
Intelligence
クラウドへ
統合
Firewall
ウェブレピュテーションフィルタ
シグネチャベースの複数アンチウイルスエンジン
アドバンスド マルウェア プロテクション(AMP)
ポリシー管理
レポーティング
レトロスペクティブセキュリティ
クライアント
クライアント
アプリケーションコントロール
高度な管理機能
レポート
クラウドコネクタ (ASA/WSA/ISR G2)
世界のデータセンター拠点
各データセンター内で複数のプロキシが動作しています
管理者
Traffic
Redirections
HQ
Auckland
Copenhagen
Hong Kong
Miami
San Jose
Sydney
Vancouver
Chennai
Dallas
Johannesburg
New Jersey (x2)
Sao Paulo
Tokyo
Washington DC
Chicago
Frankfurt
London (x2)
Paris
Singapore
Toronto
Zurich
数値で見るBig data
•
6,711,497,122 (67億) リクエスト / 日 *
•
124,888,190 (~1億2500万) ブロック / 日 (2560万のマルウェアをブロック) *
•
比較として・・・
Google は 30億超リクエスト / 日 **
* 2014/12/15
** Wikipediaより
Cisco Cloud Web Security (CWS) 技術概要
Talos
After
ウェブ
フィルタリング
ウェブ
レピュテーション
アプリケーション可
視化と制御
(AVC)
ウェブページ
アンチ
マルウェア
www.website.com
ファイル
レピュテーション
アウトブレイク
インテリジェンス
ファイル
サンドボックス
CTA
ネットワーク
振る舞い
分析
www
ファイル
レトロスペクティブ
X
トラフィック・
リダイレク
ション
X
ASA
WSA
X
Standalone
X
ISR G2
X
X
AnyConnect
www
www
管理
管理者
本社
レポーティング
www
ログ抽出
許可
本社/大規模オフィス
拠点オフィス
本日のフォーカスエリア
社外ユーザ
警告
ブロック
一部ブロック
CWSのデータフロー
クライアント
コネクタ
CWS プロキシ
GETリクエスト(+ CWSヘッダー)
接続先ホスト
1. ユーザは接続先ホストへのアクセスが許可されているか?
2. 接続先ホストのレピュテーションは問題ないか?
許可されたGETリクエスト (CWS ヘッダは削除)
HTTPレスポンス
3. コンテンツのスキャン
HTTPレスポンス
全てのリクエストおよびレス
ポンスイベントをロギング
CWSヘッダーに含まれる暗号化されていないデータの例:
ScanSafeAgentVersion=AP-ISR-15.1(2)T;time=2010-04-29T17:09:59Z;
X-Scansafe-License=12345678912345678912345678912345;cxn=1027;X-ClientIP=20.1.1.2;X-Authenticated-User=c2l2YQ==;X-Authenticated-Groups=SVQ=;
はじめに
Cloud Web Security概要
CWSの展開方法
アジェンダ
CWSの機能紹介
Appendix: トラブルシューティング
• 各種コネクタ紹介および設定方法
• コネクタ以外の接続方法
CWSの展開方法
CWSへの接続
Talos
After
ウェブ
フィルタリング
ウェブ
レピュテーション
アプリケーション
ビジビリティ&
コントロール
(AVC)
ウェブページ
www.website.com
アンチ
マルウェア
ファイル
レピュテー
ション
アウトブレイク
インテリジェンス
www
ファイル
サンドボックス
CTA
ネットワーク
振る舞い
分析
ファイル
レピュテーション
X
トラフィッ
クのリダ
イレクト
X
ASA
WSA
X
Standalone
X
ISR G2
X
X
AnyConnect
www
www
運用
管理者
本社
レポーティング
www
ログ抽出
許可
本社/大規模オフィス
拠点ユーザ
社外ユーザ
警告
ブロック
一部ブロック
CWS導入時のデザインにおける重要なポイント
• ユーザのWebトラフィッ
クをクラウド上の検査
フィルターへ通過させる
必要がある
• HTTP / HTTPS
• 透過的 / 明示的
ウェブトラフィック
リダイレクト
Step1
ユーザー認証
• ユーザ認証 / 正しい
サービスの利用
• Windows / LDAP
サポート
• 詳細なポリシー
• 詳細なレポート
Step2
• モバイルユーザーの
ラップトップからの接続
をサポート
ローミング
サポート
Step3
クラウドコネクタ
既存のCisco機器を利用してCWSへ
クラウドウェブセキュリティ
ASA
ISR G2
WSA
コネクタ
AnyConnect
Web Security
Ciscoデバイス
クラウドコネクタ
WSAv
コネクタ
Hosted PAC &
クラウドで認証
Ciscoデバイス以外
直接クラウドへ
ASAコネクタ
ASAコネクタ - 主な機能
•
ASA コネクタは9.0以降で利用可能で、全てのASAプラットフォームに対応
•
シングル、マルチコンテキストモードをサポート
•
特別な追加ライセンスは必要なし (K9)
•
ユーザー情報はIDFW (Identity Firewall) 経由でADから取得
•
セカンダリのCWSへ自動フェイルオーバー
•
ユーザーPCへソフトウェアのインストール必要なし
•
コネクタとして利用する場合は、Routed modeのみサポート
ASAクラウドコネクタ
ユーザー認証情報を持ってCWSへ透過的なリダイレクトが可能
本社と支社からのウェブ
トラフィックはクラウドで検査
本社と支社間のウェブ
トラフィックはホワイトリスト化
本社
支社
ASAとCWSのパケットフロー
クライアント
192.168.1.100
ASA
192.168.1.1
1. GET http://google.com
192.168.1.100/2000  74.125.224.97
161.170.244.20
CWS プロキシ
72.3.246.115
Google.com
74.125.224.97
2. GET http://google.com
(+ CWS ヘッダー(ユーザー名+グループ名)
161.170.224.20  72.3.246.115/8080
3. GET http://google.com
(CWS ヘッダー削除)
4. HTTP response
6. HTTP response
192.168.1.100/2000  74.125.224.97
5. HTTP response
161.170.224.20  72.3.246.115/8080
X-ScanSafe: 35A9C7655CF259C175259A9B980A8DFBF5AC934720BE9374D344F7E584780ECDB9236FF90DF562A79DC4C75 4C3782E7C3D38C76566F0377D5689E25BD62FC5F
X-ScanSafe-Data: 8D57AEE5D76432ACAB184AA807D94A7392986FA0D3ED9BEB
ASAでの認証プロセス
IDFWはContext Directory Agent (CDA) と共に動作
Context Directory Agent
(CDA)
• ASAは、透過的な認証プロセスをIDFWとCDAで実現
• ドメインコントローラー (DC) と通信しユーザー情報をASAへ転送
• CDAはDCのセキュリティイベントログから
ユーザ、ドメイン、ソースIP、ソースポートの詳細を取得
IP-ユーザID
(WMI)
IP-ユーザID
(Radius)
ローカル
グループ
• ウェブポータル、VPNユーザーもサポート
ASA
グループ情報
(LDAP)
• ASAのローカルグループに定義又はDCからグループ情報を取得し統合
• ユーザとグループ情報はHTTPにCWSヘッダーとして埋め込まれる
Cisco Context Directory Agent (CDA) は、Linux マシン上で実行され、Active Directory ドメイン コン
トローラ (DC) マシンをリアルタイムにモニタして、ユーザ ログインを示す認証関連イベントの有無を確
認し、データベース内の IP アドレスとユーザ ID のマッピングを認識、分析、キャッシュし、クライアント
デバイスが最新のマッピングを使用できるようにするアプリケーション
DC
ASAコネクタ – 設定
ASAコネクタ – CWSの有効化
ASAのコネクタはASDMのユーティリティを利用することで、プロキシおよびライセンスを簡単に設定可能
Class Mapの設定
Class mapsはCWSへ転送するトラフィックを定義
•
HTTPトラフィックの例:
Class Mapの設定 (続き)
ASA コネクタでのユーザ認可
ASAコネクタは企業内ADから、IDFWとCDAを利用してユーザ及びグループ情報を取得
IDFW については、以下のドキュメントもご参照ください
• ASA5500 総合テクニカルガイド(2012/03/15)「Identity Firewall」セクション
http://www.cisco.com/web/JP/partners/sell/technology/security/literature.html
リダイレクトトラフィックのホワイトリスト
CWSへトラフィックをリダイレクトさせたくないURLのFQDN Network objectを定義し、
それらをService Access Policyで matchしないように設定します。
•
ソフトウェアアップデート (例: AVシグネチャ) 等のサイトが推奨されます。
ISR G2コネクタ
ISR G2コネクタ – 主な機能
•
コネクタ機能は IOS (universal) イメージと K9 セキュリティフィーチャーセット (SEC)
ライセンスにて利用可能
•
サポートされるデバイスは 880, 890, 19xx, 29xx & 39xx/E
•
社内WANを介さずに、インターネットへの HTTP/HTTPS 通信を直接クラウドへリダイレクトす
ることが可能
•
ユーザ認可は ISR 上の AAA サービスにて提供
•
セカンダリデータセンターへ自動的にフェイルオーバー
•
専用ハードウェアへのソフトウェアのインストールやクライアント端末でのブラウザの設定変更
やAnyConnectのインストールは不要
•
CWSの利用ライセンスはユーザに基づいており、ISR 自体には紐づいていない
支店から直接Internetへ接続
ISR G2 ルータに統合されたWebクラウド向けリダイレクション機能
拠点
セキュアなローカル
インターネットアクセス
本社
ISR
G2とCWSのパケットフロー
Packet
Flow - ISR-G2
クライアント
192.168.1.100
ISR G2
192.168.1.1
161.170.244.20
CWS プロキシ
72.3.246.115
1. GET http://google.com
192.168.1.100/2000  74.125.224.97
2. GET http://google.com
(+ CWS ヘッダー(ユーザー名+グループ名))
161.170.224.20  72.3.246.115/8080
3. GET http://google.com
(CWS ヘッダー削除)
4. HTTPレスポンス
5. HTTPレスポンス
6. HTTPレスポンス
192.168.1.100/2000  74.125.224.97
161.170.224.20  72.3.246.115/8080
Google.com
74.125.224.97
ISR G2コネクタ – 設定
CLIによる ISR G2 設定 – リダイレクションの例

CLIから以下のコマンドを使って簡単にリダイレクションの設定が可能です。
parameter-map type cws global :
router(config)#parameter-map type cws global
server primary name proxyXX.scansafe.net port http 8080 https 8080
server secondary name proxyYY.scansafe.net port http 8080 https 8080
license 0 1234567890ABCDEFGHIJKLMNOPQRST
source interface GigabitEthernet0/0
timeout server 30
user-group ciscogroup username ciscouser
server scansafe on-failure block-all
•
アウトバンドインターフェースにてコンテンツスキャンを有効化するために以下のコマンドを使います。
cws out:
router(config)#interface GigabitEthernet0/0
cws out
• 15.4(2)Tより、コマンドに含まれる “content-scan” が “cws” に変更されています。
• 同じく parameter-map 内の “server scansafe primary/secondary” コマンドも “server primary/secondary” に
変更されています。
ISR G2 設定 – 認可の例 (NTLM)

認可は、以下の少しのコマンドにより、ISR G2に実装された AAA サービスにて実施されます:
router(config)#aaa new-model
aaa group server ldap ScanSafe
server ss
exit
router(config)#ldap server ss
ipv4 10.10.137.199
transport port 3268
bind authenticate root-dn CN=ldap,CN=Users,DC=lab,DC=com password Pa$$word
base-dn CN=Users,DC=isrvlab,DC=com
authentication bind-first
search-filter user-object-type top

この後、AAAサービスおよび IP admissionルールを定義し、インターナル側のインターフェースに適用します
ISR G2 設定 – ホワイトリストの例

ホワイトリスト (CWS へ転送したくないリスト) はホストまたはユーザエージェントにより定義することが可能です:
router(config)#parameter-map type regex 888
pattern www.888.com
exit
cws whitelisting
whitelist header host regex 888
•
•
これらのリストに該当した場合は、CWSへ転送されずに直接インターネットへ転送されます。
ソフトウェアアップデートサイトや企業内で利用しているサイト等はホワイトリストへの登録を推奨します。
WSAコネクタ
WSAコネクタ – 主な機能
•
コネクタ機能は AsyncOS ver. 8 以降で利用可能
•
コンフィギュレーションウィザードから コネクタ 専用の設定を実施
•
サポートデバイスは S-シリーズ x70 と x80, およびWSAv
•
セカンダリクラウドプロキシへ自動的にフェイルオーバー
•
既存の WSA メカニズムによりユーザ認可を実施
•
CWSのライセンスはユーザに基づいており、WSAデバイス毎には不要
•
ユースケース:
•
•
•
アプライアンスの機能とミックスして利用したい
既存のWSAが存在するが、CWSへ移行してローミングユーザも同一ポリシーでサポートしたい
Ciscoアプライアンスが利用可能でない時に、仮想環境でコネクタを利用したい
WSAコネクタ
ローカル機能と集中型のクラウドの利点を組み合わせ
WSAコネクタ




CWSへのリダイレクション
プライマリ/バックアッププロキシ
のフェイルオーバー
企業、グループ、およびユーザ情
報は暗号化されたヘッダーに
Fail-open/fail-closedメカニズム
WSA ローカル機





コネクタ
WSA
On boxで NTLM v2 による透
過型の認証
トランスペアレントまたは明示的
なプロキシ
ローカルキャッシュサポート
Off-box での DLP 統合
アプライアンスベース
WSAコネクタ – 設定
WSAコネクタ設定
System Setup Wizardを起動
WSAコネクタ設定 (続き)
•
•
以下のようなメッセージが出るが、内容を確認してReset Configurationをクリック
基本ネットワーク設定(インターフェイス設定、ルーティングテーブル、およびDNS設定) を維持したい
場合は、Reset Network Settings をチェックしないこと
WSAコネクタ設定 (続き)
WSAをコネクタとして動作させるためのモードを選択
WSAコネクタ設定 (続き)
接続するプライマリ/セカンダリのプロキシを設定し、ScanCenterで発行
した Authorization Key を入力
WSAコネクタ設定 (続き)
ウィザードに従って設定し、WSAへトラフィックをリダイレクトする方法を選択
(今回は No device)
WSAコネクタ設定 (続き)
最後に設定内容を確認し、Install This Configuration をクリック
AnyConnect Web Security
AnyConnect Web Securityとは?
•
Web SecurityはAnyConnect VPN clientの1つのコンポーネント
•
Web SecurityはAnyConnectのDiagnostics and Reporting Tool (DART) より
下のレイヤーであるドライバーレベルで動作
KDF Driver
VPN
Kernel Driver Framework
Web Security
NAM
Web Security
Driver
Dart
AnyConnect Web Security機能
•
ユーザーのウェブトラフィックをフックしてCWSのプロキシへリダイレクト
•
一番近いプロキシを自動的に選択し接続することも可能
•
クライアントとプロキシ間のトラフィックはSSLで暗号化
•
フルトンネル (ASA終端しCWSへ)、またはSplitトンネル (ウェブはCWSへ直接) で動作
•
Client ProfileはCWSへホスティング可能
SSL トンネル
インターネットトラフィック
VPN
トラフィック
•
•
•
•
透過的なリダイレクト
例外処理
認証
自動プロキシ選択
AnyConnect Web Security
-設定
AnyConnect Web Securityの設定と
導入サマリ
•
管理者はProfile Editorを利用してプロファイルを作成すること可能。そのプロファイルをAnyConnect
Web Security クライアントと同時にデプロイすることにより、クライアントの動作を制御することが可能
•
クライアントはWindowsおよびOS-Xユーザであればマニュアルでインストールすることも可能ですし、
VPN接続上でASAからデプロイすることも可能 (ASDMで設定可能)
•
クライアントが使用するプロファイルは以下のディレクトリに保存する必要あり:
ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Web Security
/opt/cisco/anyconnect/websecurity
•
インストール時に ‘locked down’ を選択すると、たとえアドミン権限を持っていても端末側で Cisco
AnyConnect Secure Mobility Agent サービスを止めることはできません
•
MacのOS-X においては acwebsecagent process を止めることはできません
ただし、エージェントはアドミンパスワードを利用することでコマンドラインからストップさせることが可能
Profile の作成 - Proxies
デフォルトで利用するプ
ロキシを選択
HTTPS (Port: 443) が
必要な場合は要追加
グローバルで利用可能な
プロキシ一覧が表示される
Profile の作成 - Exceptions
CWSを経由させない
ネットワークの例外設定
Profile の作成 - Preferences
•
一般的な設定 (利用するプロキシの自動選択の挙動等) を実施
プロキシの自動選択
On/Off
Profile の作成 - Authentication
ユーザーや所属する
グループを識別する為に
ライセンスキーを登録
Profile の作成 - Advanced
•
Cisco TACから指示があった場合のみ使用
•
詳細設定の変更やデバッグレベルの設定が可能
Profileの管理
Profileは各クライアントPCに置かれるため管理が課題となる
一括管理を実現するため、以下の2つの方法がある
ASAで管理する方法
CWSクラウドで管理する方法
1.
Profileが更新されたらASAでUpload
Hosted Configurationと呼ぶ
2.
ASAの設定でファイルを指定しておく
1.
ProfileはCWSに置く
3.
クライアントがVPN接続をした際に最新の
Profileに更新する
2.
グループ単位で別々にする事も可能
3.
クライアントは定期的にサーチしProfileが変
わっていれば最新のものに更新する
Ciscoデバイス以外
Ciscoデバイスがない場合
リダイレクトオプション
• Ciscoデバイスが利用できない場合でも、以下のいずれかの方法でトラフィックをリダイレクトさせる
ことが可能です:
• WSAv コネクタを仮想環境で利用 (フルのコネクタ機能と認証)
• CWS コネクタ (かつてはScanSafeコネクタ) を顧客環境のWindowsサーバまたはLinux上で動作させ、
明示的なプロキシとして使用し、CWSへリダイレクトさせる。LDAP連携でNTLM認証が可能。ICAP/ISA
との統合も可能
• ブラウザのプロキシ設定またはPAC (Proxy auto configuration) にてプロキシを明示的に設定する
WSAv コネクタ
CWS コネクタ
Hosted PAC
クラウドコネクタの機能マトリックス
ISR G2
ASA/ASAv
CWS コネクタ
WSA/WSAv
Anyconnect Websecurity
ISR G2 ルータ
ASA ファイヤウォール
ASAv 仮想アプライアンス
WSA アプライアンス
WSAv 仮想アプライアンス
ソフトウェア
(Native コネクタ)
PCにAnyconnectをインストール
Trusted Network Detectionに対応
サポートOS
IOS 15.3(3)M3 以上を推奨
9.1.5 以上を推奨
AsyncOS 8.0 以上
Linux/Windows
Mac/Windows
サポートされるユーザ数
モデルに依存
認証時で 120~1200
モデルに依存
25~7500
モデルに依存
25~7500
サーバスペックに依存
25〜2000
制限なし
クライアントからコネクタ
への接続
透過的
透過的
明示的/透過的
明示的
透過的
(自動的に最寄りのプロキシを選択)
コネクタからCWSへの接
続
明示的
(Primary, Secondary)
明示的
(Primary, Secondary)
明示的
(Primary, Secondary)
明示的
(Primary, Secondary)
-
コネクタとCWS間のSSL
Tunnel対応
-
-
-
サポート
サポート
AUP/Quotas
-
-
-
サポート
-
EasyID/SAML対応
サポート
サポート
サポート
サポート
サポート
- IDFWを利用
- CDA(Context Directly
Agent)が必要
-Proxy NTLM
(407 Proxy 認証が必要)
-BASIC(LDAP)
(401 Unauthorized)
-CDA(Context Directly Agent)
-Proxy NTLM
(407 Proxy 認証が必要)
対応している認証方式
- ISR AAA Service
- Proxy NTLM
(407 Proxy 認証が必要)
- BASIC(LDAP)
(401 Unauthorized)
-User key
-Group key
-Cached NTLM (gpresult)
サポートされる
認証プロトコル
NTLM (v1, v2), LDAP,
TACACS and Radius
NTLM (v1, v2), LDAP,
Kerbous, TACACS/Radius
NTLM (v1, v2), LDAP
NTLM (v1, v2), LDAP
NTLM (gpresult)
-
CDAは無償
(CWSでユーザ数の課金)
WSAvは無償
(CWSでユーザ数の課金)
ソフトウェアは無償
(CWSでユーザ数の課金)
ソフトウェは無償
(CWSでユーザ数の課金)
コネクタの説明
費用
Webトラフィックのリダイレクト方法の選択
ローミングユーザの
サポートが必要
以下のような
Ciscoデバイスを
所持している
(ISRG2,ASA,WSA)
AnyConnectを利用
AUPやQuotas、
SSLトンネリングが
必要な場合
既存のCisco
デバイスを利用
ハイパフォーマンス、
WCCP、NTLMv2、
ローカルキャッシング&
ロギングが必要な場合
CWS コネクタ
WSA コネクタ
ASAv コネクタ
仮想環境での利用が
必要な場合
Ciscoデバイスを
所持していない
ユーザに意識させず、
透過的なリダイレクト
で実現したい
(WCCP)
プロキシの明示的な
指定が必要
WSAvコネクタ
直接CWSへ接続
(PAC ファイルまたは3rd パーティのプロキシ)
ユーザ単位での
制御が必要
CWS コネクタ
はじめに
Cloud Web Security概要
CWSの展開方法
アジェンダ
CWSの機能紹介
Appendix: トラブルシューティング
•
•
•
•
•
•
管理権限の委譲
URLフィルタリング
ウェブレピュテーション
AVC (Application Visibility & Control)
マルウェアスキャンエンジン
高度な脅威対策
CWSの機能紹介
Talos
CTA
After
ウェブ
フィルタリング
ウェブ
レピュテーション
アプリケーション
ビジビリティ&
コントロール
(AVC)
ウェブページ
www.website.com
アンチ
マルウェア
ファイル
レピュテー
ション
アウトブレイク
インテリジェン
ス
www
ファイル
サンドボックス
CTA
ネットワーク
振る舞い
分析
ファイル
レピュテーション
X
トラフィッ
クのリダ
イレクト
X
ASA
WSA
X
Standalone
X
ISR G2
X
X
AnyConnect
www
www
運用
管理者
本社
レポーティング
www
ログ抽出
許可
本社/大規模オフィス
拠点ユーザ
社外ユーザ
警告
ブロック
一部ブロック
Delegated Administration
(管理権限の委譲)
親会社と子会社間の関係 (管理権限委譲)
子会社2
子会社1
子会社3
親会社
親会社
Delegated Administration
親会社
子会社2
子会社1
親会社
Delegated Administration
ポリシーの順序も
変更可能
親会社
グローバルポリシー
子会社ポリシー
子会社
Delegated Administration
子会社のポリシー
CWSが提供するセキュリティ機能
Talos
CTA
After
ウェブ
フィルタリング
ウェブ
レピュテーション
アプリケーション
ビジビリティ&
コントロール
(AVC)
ウェブページ
www.website.com
アンチ
マルウェア
ファイル
レピュテー
ション
アウトブレイク
インテリジェン
ス
www
ファイル
サンドボックス
CTA
ネットワーク
振る舞い
分析
ファイル
レピュテーション
X
トラフィッ
クのリダ
イレクト
X
ASA
WSA
X
Standalone
X
ISR G2
X
X
AnyConnect
www
www
運用
管理者
本社
レポーティング
www
ログ抽出
許可
本社/大規模オフィス
拠点ユーザ
社外ユーザ
警告
ブロック
一部ブロック
ウェブフィルタリング
WWW
ウェブ
フィルタリング
ウェブ
フィルタリング
ウェブ
レピュテーション
アプリケーション
ビジビリティ&
コントロール
(AVC)
ウェブページ
Application
もし未知の場合は
Visibility &
該当ページを解析
Control
Web
Reputation
1. コンテンツのスキャン
URLデータベース
Webpage
ファイル
レピュテー
ション
アウトブレイク
インテリジェン
ス
既知の場合
Anti-Malware
www.website.com
2. 最も危険なカテゴリに
関連するスコア
•
•
•
•
•
Allow
アンチ
マルウェア
www.website.com
ファイル
サンドボックス
3. 分類の割り当て
許可
Cognitive
警告
Threat
ファイル
レピュテーション
File
Reputation
Analytics
ブロック
Outbreak
Intelligence
4. ポリシーの実施
ポルノ
ポルノ
ギャンブル
ヘイトスピーチ
違法薬物
違法ダウンロード
Warn
Partial
Block
Block
URLカテゴリとブロックページ
Unclassifiedもブロック
することが可能
URLの分類の確認
•
https://securityhub.cisco.com/web/submit_urls
•
分類されているか確認
•
再分類リクエストの提出
•
全てのリクエストとその結果のトラック
•
CCOログインが必要
ウェブレピュテーション
-10
-9
-8
-7
-6
-5
-4
-3
-2
-1
0
1
2
3
4
5
6
7
8
9
10
IP Reputation Score
ウェブ
フィルタリング
ウェブ
レピュテーション
Application
Visibility &
Control
Webpage
Anti-Malware
www.website.com
File
Reputation
Who
Where
How
When
example
疑わしい
Example.org
192.1.0.68
17.0.2.12
.com
ドメインオーナー
サーバがハイリス
サーレム
サンノゼ
シドニー
ロンドン
クなロケーション
ダイナミック
HTTPS
HTTP
SSL
IP address
ウェブサーバ
ドメイン登録
<>
<12
1ヶ月
分
年
Outbreak
Intelligence
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 00 01110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000
アプリケーションビジビリティ&コントロール (AVC)
利用アプリの特定
特定
トップユーザのモニタリング
ウェブ
レピュテーション
アプリケーション
Webpage
ビジビリティ&
アプリの悪用を制御
コントロール
(AVC)
Anti-Malware
www.website.com
モニタリング
• ウェブリクエスト
毎に100 のアト
リビュート
• アップロード/ダ
ウンロードの許
可または拒否
• 10,000のレポー
• 投稿やタグ付等
• カスタマイズ可
能で、マウスで
のクリックやド
ロップメニュー
シンプルな設定
File
Sandboxing
File トバリエーション
Outbreakのアクティビティ
制御
Reputation
Intelligence
• アプリ特有のレ
ポート
本社
制御
容易に実行可能
• ウェブメールや
File
インスタントメッ
Retrospection
セージの制御
スケール可能
AVC アプリケーション
複数のアンチマルウェアスキャンエンジン
シグネチャベースのAV エンジン
アンチ
マルウェア
シグネチャベース
のスキャンエンジ
ンを利用し、効率
を最適化
アウトブレイク
インテリジェンス
リアルタイムな
ヒューリスティック
エンジンにより未知の
脅威やデイゼロ
アウトブレイクを検知
WWW
既知のマルウェア
はブロック
アウトブレイク
インテリジェンスTM
Talos
CTA
After
ウェブ
フィルタリング
ウェブ
レピュテーション
アプリケーション
ビジビリティ&
コントロール
(AVC)
ウェブページ
www.website.com
アンチ
マルウェア
ファイル
レピュテー
ション
アウトブレイク
インテリジェン
ス
www
ファイル
サンドボックス
CTA
ネットワーク
振る舞い
分析
ファイル
レピュテーション
X
トラフィッ
クのリダ
イレクト
X
ASA
WSA
X
Standalone
X
ISR G2
X
X
AnyConnect
www
www
運用
管理者
本社
レポーティング
www
ログ抽出
許可
本社/大規模オフィス
拠点ユーザ
社外ユーザ
警告
ブロック
一部ブロック
CWSのさらなる付加価値
高度な攻撃 (複数ファイルを利用、長期に渡る攻撃等) への対策
•
シスコのCWSは追加の差別化要素として、CWS premiumライセンスのもとで、AMP (Advanced
Malware Protection) とCTA (Cognitive Threat Analytics) テクノロジーを提供します
•
CWSに完全に統合されており, During および After フェーズをカバーします
•
設定やチューニングは不要です
•
AMPはファイルレピュテーションに基づき、インラインブロックで追加の “ポイント イン タイム” 保護を提供
します
•
レトロスペクティブセキュリティと継続した分析
•
AMPサンドボックスエンジン
•
AMPレトロスペクションエンジン
•
Cognitive Threat Analytics (ネットワーク振る舞い分析)
CWS Premium
まとめ
•
CWSはグローバルで展開できるクラウド型プロキシサービスであり、
ウェブに特化したセキュリティサービスです。
•
接続方法にはいくつか方法がありますが、既存のシスコ機器 (ASA、ISR
G2、WSA) と連携させることが可能です。
•
CWSへ範囲を広げることで、WAN案件等の最大化が可能となります。
はじめに
Cloud Web Security概要
CWSの展開方法
アジェンダ
CWSの機能紹介
Appendix: トラブルシューティング
• CWSへの接続性確認
• 各種コネクタ利用時のトラブル
シューティング
Appendix:
トラブルシューティング
トラブルシューティングツール - whoami
•
ユーザやグループがCWSプロキシに正しく届いているかを確認するには、ブラウザから以下の
リンクへアクセス
•
http://whoami.scansafe.net
CWSが動作していれば、下のようなユーザ、グ
ループおよびアカウントの詳細が確認できます。
ユーザのトラフィックがクラウドへ正しく届いていな
い場合は、下の様なメッセージが表示されます。
トラブルシューティングツール - Policy Trace
1.
CWSに接続しているクライアントでブ
ラウザを起動
2.
以下のURLを入力
http:/​/​policytrace.scansafe.net
3.
右上の様な “Enter URL:” と記載さ
れたページが表示されます
4.
入力ボックスにPolicy traceを行いた
いURLを入力し、Goをクリック
5.
右下の様に、そのウェブサイトの利
用者に適用されるポリシーアクション
が表示されます
トラブルシューティング - ASA
ASDMによるASAとCloudの接続性確認
 ASDMのPing toolを利用
– 3 ウェイハンドシェイクで実
行されます。
(SYN リクエスト)
CLIによるASAとクラウドの接続性確認

CWSプロキシとの接続性を確認するには、ASAのCLIから以下のコマンドを実行します:
show scansafe server

もしアクセス可能であれば、”REACHABLE” と表示されます:
ciscoasa(config)#show scansafe server
Primary: proxy444.scansafe.net (172.37.44.15) (REACHABLE)*
Backup: proxy555.scansafe.net (80.204.15.88)

もしアクセス不可であれば、”UNREACHABLE” と表示されます。
Primary: proxy444.scansafe.net (NOT RESOLVED) (UNREACHABLE) for last 12 secs,
tried to connect 0 times
Backup: proxy555.scansafe.net (NOT RESOLVED) (UNREACHABLE) for last 12 secs,
tried to connect 0 times
Identity設定の確認
•
ASDMのToolを使ってADとの接続性およびユーザlookupの確認が可能です
AD agentとの接続性確認
•
ASDMのToolを使ってAD agentとの接続性が確認が可能です
CLIによるセッションと統計情報の確認

リダイレクトされたトータルセッション数を見るには、 show scansafe statistics コマンドを使います。
ホワイトリスト化されたセッション (コネクタをバイパスし、直接インターネットへアクセスする通信) も
同様に確認可能です。
ciscoasa(config)#show scansafe statistics
Current HTTP sessions : 12
Current HTTPS sessions : 0
Total HTTP Sessions : 102
Total HTTPS Sessions : 0
Total Fail HTTP sessions : 0
Total Fail HTTPS sessions : 0
Total Bytes In : 6532 Bytes
Total Bytes Out : 66622 Bytes
HTTP session Connect Latency in ms(min/max/avg) : 0/0/0
HTTPS session Connect Latency in ms(min/max/avg) : 0/0/0
ASDMによるセッションと統計情報の確認
•
ASDMでも様々なコマンドが実行可能です。
トラブルシューティング – ISR G2
ISR G2 での診断 – クラウドとの接続性確認

CWSプロキシへの接続性確認の最初のステップです。

以下のコマンドを利用します:
show cws summary

もし接続性が確保されているならば、Upと表示されます:
router#show cws summary
Primary: 172.75.240.15 (Up)*
Secondary: 87.223.142.99 (Up)
Interfaces: GigabitEthernet0/0
•
“*” は現在利用しているプロキシを示します。
•
もし、接続性が確保されていない場合は、”down” と表示されます。
診断 - ISRからクラウドプロキシへのTelnetテスト

クラウドプロキシへ 8080 ポートを利用して Telnet することもできます:

以下のような Open メッセージはクラウドへの接続性があることを意味します:
! Connectivity between ISR G2 and ScanSafe Tower
router#telnet 172.75.240.15 8080
Trying 172.75.240.15, 8080 ... Open
•
もし、接続性がない場合は、telnetはタイムアウトし、切断されます:
! No connectivity between ISR G2 and ScanSafe Tower
router#telnet 172.75.240.15 8080
Trying 172.75.240.15, 8080 ...
% Connection timed out; remote host not responding
セッションフローの確認

リダイレクトされたトータルのセッションを以下のコマンドで確認することが可能です。同様にホワイトリスト化されたトラフィッ
ク (コネクタをバイパスし、直接インターネットへ抜けている通信) も確認可能です。
show cws statistics:
router#show cws statistics
Current HTTP sessions: 49
Current HTTPS sessions: 2
Total HTTP sessions: 1486
Total HTTPS sessions: 406
White-listed sessions: 0
Time of last reset: never
セッションフローの確認 (続き)
Details:
Max Concurrent Active Sessions: 55
Connection Rate in last minute:
Redirected
HTTP: 64
HTTPS: 2
White-listed
IP-Based: 0
User/User-group: 0
Header-Based: 0

クラウドプロキシへのリダイレクトが成功しているHTTPおよびHTTPSのセッション数が確認できます。
クラウドへリダイレクトされている現在のアクティブセッションの確認

クラウドプロキシへリダイレクトされた個別のアクティブセッションを見るには、以下のコマンドを利用します。
show cws session active:
router#show cws session active
Protocol Source
Destination
Bytes
HTTP 10.32.251.117:52790 157.166.226.25:80
(8896:26025
) 00:00:12
URI: www.cnn.com
Username/usergroup(s): ciscouser/ ciscogroup
Time

URI HTTP リクエストのみの表示され、HTTPS リクエストでは表示されません。

多くのユーザが接続しているような状況では、このコマンドは大量の出力となる可能性があります。その際は、URI や ユー
ザネーム/グループ、IP addressなどでフィルタすると閲覧しやすくなるかもしれません。
エントリー、コネクション、HTTP/Sリクエストの確認
•
以下のコマンドはトラブルシューティング時にCisco TACエンジニアか取得を依頼されることがあります。
show cws statistics memory-usage:
router#show cws statistics memory-usage
Chunk Name
Size(bytes)
Chunks in use
Content-Scan entry
4128
23
Content-Scan Connection
904
23
User-Group
84
23
HTTP Request
7464
HTTPS Request
6964
0
HTTPS SSL
512
0
Buffer Packet
24
0
0
トラブルシューティング – リクエストが失敗する場合のチェック
•
•
ページがロードされない、または、ロードに時間がかかるという場合に、以下のコマンドが役立つことがあります。
show cws statistics failures
これは何が原因で失敗しているのかを直接確認することはできませんが、TACでの解析に役立つ可能性があります。
router#show cws statistics failures
Reset during proxy Mode:
HTTPS reconnect failures:
Buffer enqueue failures:
Buffer length exceeded:
Particle coalesce failures:
L4F failures:
Lookup failures:
Memory failures:
Tower unreachable:
Resets sent:
0
0
0
0
0
0
0
0
0
0
ユーザ認証のステータステスト

もし、ユーザ認証が最大許容数を越えて失敗する場合、ユーザは一定期間、サービス拒否の状態に陥ります。
(デフォルト30分、設定変更可能)

ユーザステータスを確認するには、以下のコマンドを利用します。
show ip admission cache

以下は正しく認証されたユーザの場合です。
router#show ip admission cache
Authentication Proxy Cache
Client Name cisco, Client IP 10.10.10.4, Port 59400,
timeout 1440, Time Remaining 1440, state ESTAB
ユーザ認証のステータステスト (続き)
•
正しくないログインを繰り返した後、サービス拒否の状態にあるユーザは以下のようなステータスとなります:
router#show ip admission cache
Authentication Proxy Cache
Client Name guest, Client IP 10.10.10.4, Port 59527,
timeout 1440, Time Remaining 2, state SERVICE_DENIED
•
管理者は以下のコマンドを使って手動で該当ユーザを再度認証可能な状態に復旧させることができます。
clear ip admission watch-list [* | ip address]