Quick Start Steps - Cisco Support Community

Download Report

Transcript Quick Start Steps - Cisco Support Community 

Partner Support Service
インストールベース管理とアラート
詳細セキュリティレビュー
シスコ サービス
As of April 2014
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
2
PSS のセキュリティコンポーネント
Collector
Collection
Transmission
How the collector in the customer’s network is made secure
How data is gathered by the collector from the devices in the
ネットワーク上のデバイスで実行されるコマンドは、
network
セキュリティホワイトペーパーに記載されています
How the collected data is securely transported to the Cisco
Data Center
StorageIPアドレスやホスト名はパートナーの裁量によりマスク可能です
How data stored in the Cisco Data Center is protected
Access
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
How access to the PSS Smart Portal is controlled
Cisco Confidential
3
PSS データ収集概要
PSS ポータル:
- セキュアログイン
- パートナー様はご自身のデータのみ閲覧可能
シスコ データセンターへのデータ転送:
- セキュアな接続性
- センシティブな情報は転送前に削除
お客様ネットワーク内のコレクター:
- 高度なセキュリティを確保
- お客様ファイヤーウォール内に設置
エンドユーザー様のネッ
トワーク
コレクター
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
必要なデバイスの情報:
- インベントリ情報
- ハードウェアとソフトウェア
の詳細
シスココレクター
データ収集
セキュアな通信
データ転送
シスコ データセンター:
− 登録済みシステムからの接続のみを受付
− Cisco ITの基準に基づくファシリティの厳重な管理
シスコ
データセンター
Partner Support
Service ポータル
ストレージ
アクセス
Cisco Confidential
4
コレクター
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
5
コレクター
コレクター
• コレクターは “Common Services Platform Collector (CSP-C)” と呼びます
• CSP-C は
• デバイスのディスカバリー・データ収集を自動で行い、
• お客様のネットワークの情報を収集するための様々なメカニズムを提供します
お客様ネットワーク
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコ
Cisco Confidential
6
CSP-C アプライアンス
コレクター
• CSP-C アプライアンスとは
•
•
•
•
•
•
•
•
•
ネットワーク上の機器のディスカバリーとインベントリーデータ収集のためのプラットフォームです
パートナー様向けのソフトウェアアプライアンスとして提供しています
アプリケーションは CentOS とバンドルされています
ISOイメージとOVFパッケージで提供しています
サーバ上の不要なサービスは全て停止させています
その他にもLinux OS ハードニング(堅牢化)を実施し、セキュリティをさらに強化しています
管理タスクには、必要なコマンドのみが実行可能な専用コマンドシェルを用います
必要なポート以外へのアクセスを防ぐホストベースのファイアウォールがインストールされています
CSP-Cの ISO イメージは、 Cisco UCS C シリーズサーバにもインストール可能です
お客様
シスコ
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
7
CSP-C コミュニケーションポート
コレクター
CSP−Cでは以下のようなプロトコル・ポートが使用されています
内部ネットワークからCSP-Cへの通信(パートナー様のCSP-C操作)
• TCP 22 (SSHコマンドプロンプト)
• TCP 8001 (CSP-C Web UI接続)
外部(シスコ)への通信(以下の3つのうち1つを選択します)
• TCP 5222、TCP 7337、UDP 3478、UDP 4500 (IPsec)
• TCP 5222、TCP 7337 (XMPP)
• TCP 443 (SSL-VPN)
コレクターからお客様ネットワーク内の各種デバイスへの通信
• ICMP (ping同等の到達可能性テスト)
• TCP 23 (Telnet)
• TCP 22 (SSH)
• UDP 161 (SNMP)
• TCP 80 (HTTP)
• TCP 443 (HTTPS)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
8
CSP-C ユーザーインタフェース
コレクター
• CSP-C は以下の2つのユーザーインターフェースを持っています
• Admin シェル (CLI ベース)
CSP-Cセットアップに関わる基本的な管理を実施するユーザーインターフェース
• Web ユーザーインターフェース (HTTPS ベース)
全てのディスカバリー・データ収集タスクを実施するユーザーインターフェース
• CSP-Cには以下の3種類のユーザーが登録可能です
• Administrator
• Network Operator
• Reports User
お客様
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコ
Cisco Confidential
9
データ収集
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
10
データ収集(Collection)
データ収集
• CSP-Cは、デバイスの種類によって異なる情報を収集します
• データ収集にはSNMP、CLI (TELNET/SSH)、SOAP-XML (HTTPS) が使われてます
• PSSスマートポータルの情報を出力するのに必要な情報のみを収集しています
• ネットワークに流れるトラフィックデータを収集したりアップロードすることはありません
• データ収集項目は、コンフィグレーションにより変更可能です
• データ収集には、デバイスのID/パスワード、SNMPのコミュニティ名 (Read Only)が必要となります
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
11
データ収集プロファイル (Collection Profile)
データ収集
デバイスのプラットフォーム毎に予め定義されたデータ項目について、何のデータをどのように
収集するかについて設定するのが「データ収集プロファイル(Collection Profile)」です。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
12
収集データ
データ収集
• データ収集プロファイル(Collection Profile)で、CSP-Cで何のデータを集めるのかを定義
します
• 「最小データ収集プロファイル(Minimum Collection Profile)」が、PSS用に設計され、
CSP-Cアプライアンスソフトウェアイメージに予め用意されたプロファイルです
• データ取得に使用するコマンド、MIB情報については、PSSサポートコミュニティに掲載され
ている「PSSインストールベース管理 セキュリティ概要(PSS Installed Base
Management Security Overview)」 をご確認ください。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
13
データ収集に使用するプロトコル
データ収集
ICMP:
データ収集の前にデバイスに対する到達可能性を確認するのに使用します。
SNMP:
デバイスからMIB情報を収集するのに使用します。リードオンリーアクセスのみが必要です。
SNMPv1、SNMPv2c、SNMPv3 をサポートしています。
Telnet:
CLIコマンド経由でデバイスの情報を収集するのに使用します。セキュアでないので推奨されませ
ん。
SSH:
CLIコマンド経由でデバイスの情報を収集するのに使用します。セキュアであり推奨されるプロト
コルです。SSH v1と SSH v2 をサポートしています。
HTTPS/SOAP:
SOAP-XML インターフェース経由で情報を収集するのに使用します。セキュアであり推奨される
プロトコルです。Communication Manager (Call Manager)から情報を収集するのに使
用します。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
14
CSP-C ローカルデータストレージ
Collection
• デバイスへのアクセスに必要なデバイスのID/パスワード、SNMP ReadOnly コミュニティ
名 (ReadOnly) は、AES-256 アルゴリズムで暗号化されてローカルに保存されます
• デバイスから収集したデータはSQLデータベースにそのまま蓄積されます
• CLI上のユーザー名やパスワードなどのセンシティブなデータは、マスキングされた上で
蓄積されます
• データマスキングルールは、セキュリティ要件に応じて追加可能です
• IPアドレスとホスト名は、デバイスの匿名性を確保するために別の文字列に置き換え
ることが可能です
• CSP-Cには、デフォルトで直近5回のデータ収集内容が蓄積されます(この値は1から
20までの間で変更可能です)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
15
データ収集
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
16
データ プライバシー

データ収集
データプライバシー機能により、標準で用意されているエンドツーエンドのセキュリ
ティをさらに向上可能です

エンドユーザー様が実際のホスト名、IPアドレスを隠蔽することができます

シスコがこれらの情報を絶対に見ないということをエンドユーザー様が担保できます
マップされたデータ:
IP アドレス: 10.10.10.1
ホスト名: Baker
IP アドレス: 192.168.0.1
ホスト名: Able
SECURE
1001011110111011011111001101
10011100101010001101111111110
1001011110111011011111001101
エンドユーザー様のネッ
Customer
トワーク
Network
シスココレクター
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
1001011110111011011111001101
10011100101010001101111111110
1001011110111011011111001101
シスコ
Ciso
データセンター
Data Center
Partner Suppo
Support
Partner
Serviceポータル
Cisco Confidential
17
データを再生成
データ収集
マップされたデータ:
IP アドレス: 10.10.10.1
ホスト名: Baker
IP アドレス: 192.168.0.1
ホスト名: Able
SECURE
1001011110111011011111001101
10011100101010001101111111110
1001011110111011011111001101
エンドユーザー様のネッ
トワーク
シスココレクター
1001011110111011011111001101
10011100101010001101111111110
1001011110111011011111001101
シスコ
Cisco
データセンター
Data
Center
Partner Support
Service ポータル
IP アドレス: 192.168.0.1
ホスト名: Able
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
18
データ収集
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
19
データマスキング機能
データ収集

CSP-C には、収集データ中の文字列を正規表現を用いて置き換えたりマスキン
グする機能があります

ユーザー名・パスワードのような典型的なデータに対しては、シスコがデフォルトのマ
スキングルールを提供します

マスキングルールは追加も可能です
# username LABUSER password 0
MYPASS123
# username XXXXXXX password 0
XXXXXXXXX
SECURE
1001011110111011011111001101
10011100101010001101111111110
1001011110111011011111001101
エンドユーザー様のネッ
トワーク
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco
Collector
シスココレクター
1001011110111011011111001101
10011100101010001101111111110
1001011110111011011111001101
シスコ
データセンター
Partner Support
Service ポータル
Cisco Confidential
20
データマスキングインターフェース

データマスキング機能はCSP-Cに備わっています

一般的なデータマスキングルールは、シスコが標準でご提供します
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データ収集
Cisco Confidential
21
データ転送
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
22
データ転送
データ転送
• CSP-C とシスコデータセンターの間は、TLSで暗号化されたXMPP チャネルで接続さ
れます。XMPP チャネルは、IPsecの制御用通信、XMPPによる通信に使われます。
• TLS-XMPP チャネルは、シスコデータセンターと個々のCSP-C双方のデジタル証明書
を使って認証されます。
• CSP-Cからシスコデータセンターに対するデータ転送は、IPsec/ESP(Encapsulating
Security Payload) または HTTPS POSTメソッドで行われます。
シスコ外部
ファイアウォール
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
DMZセグメント
シスコ内部
ファイアウォール
シスコVSG/VSA F
ファイアウォール
スマート機能用設備
Cisco Confidential
23
ストレージ
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
24
データストレージ
ストレージ
• シスコデータセンターは、ファイアウォールと侵入検知システム (IDS) をデータパスの複数個
所に設置しています
• データは管理者のみ入室可能な、物理的に安全な場所に格納されています
• データは定期的にバックアップされ、離れた場所に格納されます
• アプリケーションのデータへのアクセスは、Oracleベースの認証を経てデータにアクセスします
エンドユーザー様のネッ
トワーク
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコ
コレクター
セキュアな
データ転送
シスコ
データセンター
Partner Support
Service ポータル
Cisco Confidential
25
データストレージポリシー
ストレージ
ポリシー1:
CSP-Cからのすべてのアップロードは、システムによる再処理のために少なくとも60日間
保持されます。
ポリシー2:
CSP-Cからのすべてのアップロードは、 さらに120日間アーカイブされて保持されます。
これらのアーカイブはシステムによる再処理には使用されません
ポリシー3:
ポータル上のデルタレポート用の全ての履歴情報は、必ず1年間
保持されます
ポリシー4:
ユーザーによって生成された全てのレポート (PDF/XLS形式のファイル) は、生成され
てから7日以内、またはダウンロードされてから3日以内に削除されます
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
26
Access
アクセス
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
27
アクセス
アクセス
• PSS スマートポータルは、Cisco.com IDによる認証を採用して
います
• スマートポータルへのアクセスは、Cisco.com ID 単位で付与さ
れます
• スマートポータルには、以下のようなセキュリティ機構が備わって
います:




一意なユーザーIDとパスワードによる認証
SSL V3 サーバ認証
タイムアウトが設定された安全なセッション管理
階層化されたロールに応じたアクセスコントロール
エンドユーザー様のネッ
トワーク
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスコ
コレクター
セキュアな
データ転送
• Cisco 内部ユーザー
 利用申請をしたシスコ社員は、ビジネス上の役割
や必要性に基づいた承認プロセスを経て、承認さ
れた場合のみ利用可能となります
• 外部ユーザー
 PSSポータルで管理する Entitled Companyとマッピ
ングされた 有効なCisco.com ID を持っている必要
があります
シスコ
データセンター
Partner Support
Service ポータル
Cisco Confidential
28
要約
Cisco Data Center へのデータ転送:
− AES 128-bit 暗号化と HTTPS/SSL 接続
− データ転送時にはセンシティブな情報は取り除かれる
コレクター
- セキュリティ堅牢化
- rootユーザーのアクセス無効化
- 顧客のファイアウォールの内側に
コレクターを設置
エンドユーザー様のネッ
トワーク
コレクター
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
シスココレクター
データ収集
PSS ポータル:
- Cisco.com 認証
- パートナー様はご自身のデータのみ閲覧
可能
シスコデータセンター:
- 登録されたシステムのみからの接続を許容
- セキュアな Cisco IT の厳重な設備
セキュアな通信
データ転送
シスコ
データセンター
Partner Support
Service ポータル
ストレージ
アクセス
Cisco Confidential
29
PSSインストールベース管理 セキュリティ概要
(PSS Installed Base Management Security Overview)
PSSサポートコミュニティに掲載されている「PSSインストールベー
ス管理 セキュリティ概要(PSS Installed Base Management
Security Overview)」 をご確認ください。
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
30
Thank you.