Upload
rod
View
98
Download
0
Embed Size (px)
DESCRIPTION
Partner Support Service. シスコ サービス. As of April 2014. インストールベース管理とアラート 詳細セキュリティレビュー. インストールベース管理とアラート セキュリティ概要. PSS のセキュリティコンポーネント. Collector. How the collector in the customer’s network is made secure. ネットワーク上のデバイスで実行されるコマンドは、 セキュリティホワイトペーパーに記載されています IP アドレスやホスト名はパートナーの裁量により マスク可能 です. - PowerPoint PPT Presentation
Citation preview
Partner Support Service
シスコ サービスAs of April 2014
インストールベース管理とアラート詳細セキュリティレビュー
Cisco Confidential 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
インストールベース管理とアラートセキュリティ概要
Cisco Confidential 3© 2013-2014 Cisco and/or its affiliates. All rights reserved.
PSS のセキュリティコンポーネント
How the collector in the customer’s network is made secureCollector
How data is gathered by the collector from the devices in the networkCollection
How the collected data is securely transported to the Cisco Data CenterTransmission
How data stored in the Cisco Data Center is protectedStorage
How access to the PSS Smart Portal is controlledAccess
ネットワーク上のデバイスで実行されるコマンドは、セキュリティホワイトペーパーに記載されています
IP アドレスやホスト名はパートナーの裁量によりマスク可能です
Cisco Confidential 4© 2013-2014 Cisco and/or its affiliates. All rights reserved.
PSS データ収集概要
お客様ネットワーク内のコレクター : - 高度なセキュリティを確保- お客様ファイヤーウォール内に設置
コレクター データ収集
シスコ データセンターへのデータ転送 : - セキュアな接続性- センシティブな情報は転送前に削除
データ転送
シスコ データセンター : − 登録済みシステムからの接続のみを受付− Cisco IT の基準に基づくファシリティの厳
重な管理
ストレージ
PSS ポータル : - セキュアログイン - パートナー様はご自身のデータのみ閲覧可能
アクセス
必要なデバイスの情報 :- インベントリ情報- ハードウェアとソフトウェアの詳細
エンドユーザー様のネットワーク シスココレクター セキュアな通信 シスコ
データセンター
Partner Support
Service ポータル
Cisco Confidential 5© 2013-2014 Cisco and/or its affiliates. All rights reserved.
コレクター
コレクター
Cisco Confidential 6© 2013-2014 Cisco and/or its affiliates. All rights reserved.
コレクター
• コレクターは “ Common Services Platform Collector (CSP-C)” と呼びます
• CSP-C は • デバイスのディスカバリー・データ収集を自動で行い、
• お客様のネットワークの情報を収集するための様々なメカニズムを提供します
コレクター
お客様ネットワーク シスコ
Cisco Confidential 7© 2013-2014 Cisco and/or its affiliates. All rights reserved.
CSP-C アプライアンス• CSP-C アプライアンスとは
• ネットワーク上の機器のディスカバリーとインベントリーデータ収集のためのプラットフォームです
• パートナー様向けのソフトウェアアプライアンスとして提供しています• アプリケーションは CentOS とバンドルされています• ISO イメージと OVF パッケージで提供しています
お客様シスコ
• サーバ上の不要なサービスは全て停止させています• その他にも Linux OS ハードニング(堅牢化)を実施し、セキュリティをさらに強化していま
す• 管理タスクには、必要なコマンドのみが実行可能な専用コマンドシェルを用います• 必要なポート以外へのアクセスを防ぐホストベースのファイアウォールがインストールされて
います• CSP-C の ISO イメージは、 Cisco UCS C シリーズサーバにもインストール可能です
コレクター
Cisco Confidential 8© 2013-2014 Cisco and/or its affiliates. All rights reserved.
CSP-C コミュニケーションポートCSP−C では以下のようなプロトコル・ポートが使用されています
内部ネットワークからCSP-Cへの通信(パートナー様のCSP-C操作)
• TCP 22 (SSHコマンドプロンプト )• TCP 8001 (CSP-C Web UI接続 )
外部(シスコ)への通信(以下の3つのうち1つを選択します)
• TCP 5222、TCP 7337、UDP 3478、UDP 4500 (IPsec)• TCP 5222、TCP 7337 (XMPP)• TCP 443 (SSL-VPN)
コレクターからお客様ネットワーク内の各種デバイスへの通信
• ICMP (ping同等の到達可能性テスト)• TCP 23 (Telnet)• TCP 22 (SSH)• UDP 161 (SNMP)• TCP 80 (HTTP)• TCP 443 (HTTPS)
コレクター
Cisco Confidential 9© 2013-2014 Cisco and/or its affiliates. All rights reserved.
CSP-C ユーザーインタフェース• CSP-C は以下の2つのユーザーインターフェースを持っています
• Admin シェル (CLI ベース )CSP-C セットアップに関わる基本的な管理を実施するユーザーインターフェース
• Web ユーザーインターフェース (HTTPS ベース )全てのディスカバリー・データ収集タスクを実施するユーザーインターフェース
• CSP-C には以下の3種類のユーザーが登録可能です• Administrator• Network Operator• Reports User
お客様シスコ
コレクター
Cisco Confidential 10© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データ収集( Collection )
データ収集
Cisco Confidential 11© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データ収集 (Collection)
• CSP-C は、デバイスの種類によって異なる情報を収集します
• データ収集には SNMP 、 CLI (TELNET/SSH) 、 SOAP-XML (HTTPS) が使われてます
• PSS スマートポータルの情報を出力するのに必要な情報のみを収集しています
• ネットワークに流れるトラフィックデータを収集したりアップロードすることはありません
• データ収集項目は、コンフィグレーションにより変更可能です
• データ収集には、デバイスの ID/ パスワード、 SNMP のコミュニティ名 (Read Only )が必要
となります
データ収集
Cisco Confidential 12© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データ収集プロファイル (Collection Profile)
デバイスのプラットフォーム毎に予め定義されたデータ項目について、何のデータをどのように収集するかについて設定するのが「データ収集プロファイル( Collection Profile )」です。
データ収集
Cisco Confidential 13© 2013-2014 Cisco and/or its affiliates. All rights reserved.
収集データ
• データ収集プロファイル( Collection Profile )で、 CSP-C で何のデータを集めるのかを定義します
• 「最小データ収集プロファイル( Minimum Collection Profile )」が、 PSS 用に設計され、 CSP-C アプライアンスソフトウェアイメージに予め用意されたプロファイルです
• データ取得に使用するコマンド、 MIB 情報については、 PSS サポートコミュニティに掲載されている「 PSS インストールベース管理 セキュリティ概要( PSS Installed Base Management Security Overview )」 をご確認ください。
データ収集
Cisco Confidential 14© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データ収集に使用するプロトコル
ICMP: データ収集の前にデバイスに対する到達可能性を確認するのに使用します。
SNMP: デバイスから MIB 情報を収集するのに使用します。リードオンリーアクセスのみが必要です。 SNMPv1 、 SNMPv2c 、 SNMPv3 をサポートしています。
Telnet: CLI コマンド経由でデバイスの情報を収集するのに使用します。セキュアでないので推奨されません。
SSH: CLI コマンド経由でデバイスの情報を収集するのに使用します。セキュアであり推奨されるプロトコルです。 SSH v1 と SSH v2 をサポートしています。
HTTPS/SOAP: SOAP-XML インターフェース経由で情報を収集するのに使用します。セキュアであり推奨されるプロトコルです。 Communication Manager (Call Manager) から情報を収集するのに使用します。
データ収集
Cisco Confidential 15© 2013-2014 Cisco and/or its affiliates. All rights reserved.
CSP-C ローカルデータストレージ
• デバイスへのアクセスに必要なデバイスの ID/ パスワード、 SNMP ReadOnly コミュニティ名 (ReadOnly) は、 AES-256 アルゴリズムで暗号化されてローカルに保存されます
• デバイスから収集したデータは SQL データベースにそのまま蓄積されます
• CLI 上のユーザー名やパスワードなどのセンシティブなデータは、マスキングされた上で蓄積されます
• データマスキングルールは、セキュリティ要件に応じて追加可能です• IP アドレスとホスト名は、デバイスの匿名性を確保するために別の文字
列に置き換えることが可能です• CSP-C には、デフォルトで直近5回のデータ収集内容が蓄積されます
(この値は1から20までの間で変更可能です)
Collection
Cisco Confidential 16© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データ収集
データ プライバシー
Cisco Confidential 17© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データ プライバシー
データプライバシー機能により、標準で用意されているエンドツーエンドのセキュリティをさらに向上可能です エンドユーザー様が実際のホスト名、 IP アドレスを隠蔽することができます シスコがこれらの情報を絶対に見ないということをエンドユーザー様が担保できます
IP アドレス : 192.168.0.1ホスト名 : Able
マップされたデータ : IP アドレス : 10.10.10.1ホスト名 : Baker
Ciso Data Center
SECURE
1001011110111011011111001101100111001010100011011111111101001011110111011011111001101
1001011110111011011111001101100111001010100011011111111101001011110111011011111001101
Partner SuppoCustomer Network
データ収集
エンドユーザー様のネットワーク シスココレクター シスコ
データセンターPartner Support Service ポータル
Cisco Confidential 18© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データを再生成
IP アドレス : 192.168.0.1ホスト名 : Able
マップされたデータ : IP アドレス : 10.10.10.1ホスト名 : Baker
IP アドレス : 192.168.0.1ホスト名 : Able
Cisco Data Center
SECURE
1001011110111011011111001101100111001010100011011111111101001011110111011011111001101
1001011110111011011111001101100111001010100011011111111101001011110111011011111001101
データ収集
エンドユーザー様のネットワーク シスココレクター シスコ
データセンターPartner Support Service ポータル
Cisco Confidential 19© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データ マスキング
データ収集
Cisco Confidential 20© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データマスキング機能
CSP-C には、収集データ中の文字列を正規表現を用いて置き換えたりマスキングする機能があります
ユーザー名・パスワードのような典型的なデータに対しては、シスコがデフォルトのマスキングルールを提供します マスキングルールは追加も可能です
# username LABUSER password 0 MYPASS123
# username XXXXXXX password 0 XXXXXXXXX
Cisco Collector
SECURE
1001011110111011011111001101100111001010100011011111111101001011110111011011111001101
1001011110111011011111001101100111001010100011011111111101001011110111011011111001101
データ収集
エンドユーザー様のネットワーク シスココレクター シスコ
データセンターPartner Support Service ポータル
Cisco Confidential 21© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データマスキングインターフェース
データマスキング機能は CSP-C に備わっています 一般的なデータマスキングルールは、シスコが標準でご提供します
データ収集
Cisco Confidential 22© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データ転送
データ転送
Cisco Confidential 23© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データ転送
• CSP-C とシスコデータセンターの間は、 TLS で暗号化された XMPP チャネルで接続されます。 XMPP チャネルは、 IPsec の制御用通信、 XMPP による通信に使われます。
• TLS-XMPP チャネルは、シスコデータセンターと個々の CSP-C双方のデジタル証明書を使って認証されます。
• CSP-C からシスコデータセンターに対するデータ転送は、 IPsec/ESP(Encapsulating Security Payload) または HTTPS POST メソッドで行われます。
データ転送
シスコ外部ファイアウォール DMZ セグメント シスコ内部
ファイアウォール
シスコ VSG/VSA F
ファイアウォールスマート機能用設備
Cisco Confidential 24© 2013-2014 Cisco and/or its affiliates. All rights reserved.
ストレージ
ストレージ
Cisco Confidential 25© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データストレージ
• シスコデータセンターは、ファイアウォールと侵入検知システム (IDS) をデータパスの複数個所に設置しています
• データは管理者のみ入室可能な、物理的に安全な場所に格納されています
• データは定期的にバックアップされ、離れた場所に格納されます
• アプリケーションのデータへのアクセスは、 Oracle ベースの認証を経てデータにアクセスします
ストレージ
エンドユーザー様のネットワーク
シスココレクター
セキュアなデータ転送
シスコデータセンター
Partner Support
Service ポータル
Cisco Confidential 26© 2013-2014 Cisco and/or its affiliates. All rights reserved.
データストレージポリシー
ポリシー 1: CSP-C からのすべてのアップロードは、システムによる再処理のために少なくとも 60日間保持されます。
ポリシー 2: CSP-C からのすべてのアップロードは、 さらに 120日間アーカイブされて保持されます。これらのアーカイブはシステムによる再処理には使用されません
ポリシー 3: ポータル上のデルタレポート用の全ての履歴情報は、必ず 1年間保持されます
ポリシー 4: ユーザーによって生成された全てのレポート (PDF/XLS形式のファイル ) は、生成されてから7日以内、またはダウンロードされてから3日以内に削除されます
ストレージ
Cisco Confidential 27© 2013-2014 Cisco and/or its affiliates. All rights reserved.
アクセス
Accessアクセス
Cisco Confidential 28© 2013-2014 Cisco and/or its affiliates. All rights reserved.
アクセス
• PSS スマートポータルは、 Cisco.com ID による認証を採用しています
• スマートポータルへのアクセスは、 Cisco.com ID 単位で付与されます
• スマートポータルには、以下のようなセキュリティ機構が備わっています :
一意なユーザー ID とパスワードによる認証 SSL V3 サーバ認証 タイムアウトが設定された安全なセッション管理 階層化されたロールに応じたアクセスコントロー
ル
• Cisco 内部ユーザー 利用申請をしたシスコ社員は、ビジネス上
の役割や必要性に基づいた承認プロセスを経て、承認された場合のみ利用可能となります
• 外部ユーザー PSS ポータルで管理する Entitled
Company とマッピングされた 有効なCisco.com ID を持っている必要があります
エンドユーザー様のネットワーク
シスココレクター
セキュアなデータ転送
シスコデータセンター
Partner Support
Service ポータル
アクセス
Cisco Confidential 29© 2013-2014 Cisco and/or its affiliates. All rights reserved.
要約
コレクター- セキュリティ堅牢化- root ユーザーのアクセス無効化- 顧客のファイアウォールの内側
に コレクターを設置
Cisco Data Center へのデータ転送 : − AES 128-bit 暗号化と HTTPS/SSL 接続− データ転送時にはセンシティブな情報は取り除か
れる
シスコデータセンター : - 登録されたシステムのみからの接続を許容- セキュアな Cisco IT の厳重な設備
PSS ポータル : - Cisco.com 認証 - パートナー様はご自身のデータのみ閲覧可能
コレクター データ収集 データ転送 ストレージ アクセス
エンドユーザー様のネットワーク シスココレクター セキュアな通信 シスコ
データセンター
Partner Support
Service ポータル
Cisco Confidential 30© 2013-2014 Cisco and/or its affiliates. All rights reserved.
PSS インストールベース管理 セキュリティ概要( PSS Installed Base Management Security Overview )
PSS サポートコミュニティに掲載されている「 PSS
インストールベース管理 セキュリティ概要( PSS
Installed Base Management Security
Overview )」 をご確認ください。
Thank you.