ファイアウォールシステムのスマートライセンス
シスコ スマート ライセンシングは、シスコ ポートフォリオ全体および組織全体でソフトウェアをより簡単かつ迅速に一貫して購入および管理できる柔軟なライセンス モデルです。また、これは安全です。ユーザがアクセスできるものを制御できます。スマート ライセンスを使用すると、次のことが可能になります。
-
簡単なアクティベーション:スマートライセンスは、組織全体で使用できるソフトウェアライセンスのプールを確立します。PAK(製品アクティベーションキー)は不要です。
-
管理の統合:My Cisco Entitlements(MCE)は、使いやすいポータルですべてのシスコ製品とサービスの完全なビューを提供するので、取得したもの、使用しているものを常に把握できます。
-
ライセンスの柔軟性:ソフトウェアはハードウェアにノードロックされていないため、必要に応じてライセンスを簡単に使用および転送できます。
スマートライセンスを使用するには、まず Cisco Software Central でスマートアカウントを設定する必要があります(software.cisco.com)。
シスコライセンスの概要については詳しくは、cisco.com/go/licensingguide を参照してください。
Cisco Smart Software Manager
Threat Defense デバイスの 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager(https://software.cisco.com/#SmartLicensing-Inventory)で管理します。Cisco Smart Software Manager を使用すると、組織のプライマリアカウントを作成できます。
デフォルトでは、ライセンスはプライマリアカウントの下のデフォルト仮想アカウントに割り当てられます。アカウントの管理者として、たとえば、地域、部門、または子会社ごとに、追加の仮想アカウントを作成できます。複数の仮想アカウントを使用することで、多数のライセンスおよびアプライアンスの管理を行うことができます。
ライセンスとアプライアンスは仮想アカウントごとに管理されます。つまり、その仮想アカウントのアプライアンスのみが、そのアカウントに割り当てられたライセンスを使用できます。追加のライセンスが必要な場合は、別の仮想アカウントから未使用のライセンスを転用できます。また、仮想アカウント間でのアプライアンスの譲渡も可能です。
Cisco Smart Software Manager にデバイスを登録する際は、製品インスタンスの登録トークンを Cisco Smart Software Manager で作成し、そのトークンを Device Manager に入力します。登録済みデバイスが、使用されているトークンに基づいて仮想アカウントに関連付けられます。
Cisco Smart Software Manager の詳細については、マネージャのオンライン ヘルプを参照してください。
ライセンス認証局との定期通信
Threat Defense デバイスの登録に製品インスタンス登録トークンを使用すると、デバイスはシスコのライセンス認証局に登録されます。ライセンス認証局は、デバイスとライセンス認証局の間の通信用に ID 証明書を発行します。この証明書の有効期間は 1 年ですが、6 ヵ月ごとに更新されます。ID 証明書の期限が切れた場合(通常は、9 ヵ月または 1 年間通信がない状態)、デバイスは登録が解除された状態になり、ライセンスされた機能は使用停止になります。
デバイスは、定期的にライセンス認証局と通信します。Cisco Smart Software Manager に変更を加えた場合は、すぐに変更が有効になるようにデバイス上で認証を更新できます。また、スケジュールどおりにデバイスが通信するのを待つこともできます。通常のライセンスに関する通信は 12 時間ごとに行われますが、これには猶予期間があり、デバイスはホームをコールすることなく最大で 90 日間は動作します。90 日が経過する前にライセンス認証局と連絡を取る必要があります。
スマート ライセンスのタイプ
次の表に、Threat Defense デバイスで使用可能なライセンスを示します。
Threat Defense デバイスを購入すると、自動的にEssentialsライセンスが含まれます。すべての追加ライセンスはオプションです。
ライセンス |
期間 |
付与される機能 |
---|---|---|
Essentials |
永久 |
オプションのターム ライセンスでカバーされないすべての機能。 Essentials ライセンスは登録時にアカウントに自動的に追加されます。ただし、Secure Firewall 3100 の場合は例外です。ファイアウォールを購入すると、基本ライセンスが取得され、そのライセンスはアカウントに含まれる他のライセンスと同様に管理されます。たとえば、登録時にライセンスが正しいバーチャルアカウントに含まれていることを確認する必要があります。 [このトークンに登録した製品でエクスポート制御機能を許可する(Allow export-controlled functionality on the products registered with this token)] かどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化や、高度な暗号化を必要とする機能の使用を制御します。 |
IPS |
ターム ベース |
次のポリシーを使用するために必要です。
|
マルウェア防御 |
ターム ベース |
ファイルポリシー(IPS も必要) |
URL |
ターム ベース |
URL ポリシー:カテゴリおよびレピュテーションベースの URL フィルタリングまたは DNS ルックアップ要求フィルタリング。 このライセンスなしでも、個々の URL で URL フィルタリングを実行できます。 |
RA VPN:
|
ライセンス タイプに基づきタームベースまたは永久 |
リモート アクセス VPN の設定RA VPN を設定するには、基本ライセンスによるエクスポート制御機能を許可する必要があります。デバイスを登録するときに、エクスポート要件を満たすかどうかを選択します。 Device Manager は、任意の有効な セキュアクライアント ライセンスを使用できます。使用できる機能はライセンス タイプによって異なります。まだ購入していない場合は、リモート アクセス VPN のライセンス要件を参照してください。 『Cisco AnyConnect Ordering Guide』(http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf)も参照してください。 |
通信事業者 |
ターム ベース |
モバイル ネットワーク プロトコルのインスペクション。GTP/GPRS、Diameter、SCTP、および M3UA インスペクションを設定するには、このライセンスが必要です。これらのインスペクションを設定するには、FlexConfig を使用します。 |
Threat Defense Virtual のライセンス
このセクションでは、Threat Defense Virtual で使用可能なパフォーマンス階層ライセンスの権限について説明します。
すべての Threat Defense Virtual ライセンスを、サポートされているすべての Threat Defense Virtual vCPU/メモリ構成で使用できます。これにより、Threat Defense Virtual を使用しているお客様は、さまざまな VM リソースフットプリントで実行できるようになります。また、サポート対象の AWS および Azure インスタンスタイプの数も増えます。Threat Defense Virtual VM を設定する場合、サポートされる最大コア(vCPU)数は 16 個です。また、サポートされる最大メモリ容量は 32 GB RAM です。
Threat Defense Virtual スマートライセンスのパフォーマンス階層
RA VPN に対するセッション制限は、インストールされている Threat Defense Virtual プラットフォームの権限付与階層によって決定され、レートリミッタによって適用されます。次の表は、権限付与層とレート制限に基づくセッション制限をまとめたものです。
パフォーマンス階層 |
デバイス仕様(コア/RAM) |
レート制限 |
RA VPN セッション制限 |
---|---|---|---|
FTDv5、100Mbps |
4 コア/8 GB |
100Mbps |
50 |
FTDv10、1Gbps |
4 コア/8 GB |
1Gbps |
250 |
FTDv20、3Gbps |
4 コア/8 GB |
3 Gbps |
250 |
FTDv30、5Gbps |
8 コア/16 GB |
5 Gbps |
250 |
FTDv50、10Gbps |
12 コア/24 GB |
10 Gbps |
750 |
FTDv100、16 Gbps |
16 コア/32 GB |
16 Gbps |
10,000 |
Threat Defense Virtual パフォーマンス階層ライセンスのガイドラインと制限事項
Threat Defense Virtual デバイスのライセンスを取得する際は、次の注意事項と制限事項に注意してください。
-
Threat Defense Virtual は、導入要件に基づいて異なるスループットレベルと VPN 接続制限を提供するパフォーマンス階層型ライセンスをサポートしています。
-
すべての Threat Defense Virtual ライセンスを、サポートされているすべての Threat Defense Virtual コア/メモリ構成で使用できます。これにより、Threat Defense Virtual を使用しているお客様は、さまざまな VM リソースフットプリントで実行できるようになります。
-
Threat Defense Virtual を展開する際、デバイスが評価モードであるか、すでに Cisco Smart Software Manager に登録されているかに関係なく、パフォーマンス階層を選択できます。
(注)
お使いのスマート ライセンシング アカウントに、必要なライセンスが含まれていることを確認してください。使用アカウントにあるライセンスと一致する階層を選択することが重要です。Threat Defense Virtual をバージョン 7.0 にアップグレードする場合は、[FTDv - Variable] を選択して現在のライセンスコンプライアンスを維持できます。Threat Defense Virtual は、ご使用のデバイスの機能(コア/RAM の数)に基づいてセッション制限を引き続き実行します。
-
REST API を使用して、新しい Threat Defense Virtual デバイスを展開する場合や Threat Defense Virtual をプロビジョニングする場合、デフォルトのパフォーマンス階層は FTDv50 です。
-
Essentials ライセンスはサブスクリプションベースで、パフォーマンス階層にマッピングされます。バーチャルアカウントには、Threat Defense Virtual デバイスの Essentials ライセンス権限と、IPS 、マルウェア防御、および URL のライセンスが必要です。
-
各 HA ピアは 1 つの権限を消費します。各 HA ピアの権限は Essentials ライセンスを含めて一致している必要があります。
-
HA ペアのパフォーマンス階層の変更は、プライマリピアに適用される必要があります。
-
ユニバーサル PLR ライセンスは、HA ペアの各デバイスに個別に適用されます。セカンダリデバイスが、プライマリデバイスのパフォーマンス階層を自動的にミラーリングすることはありません。手動で更新する必要があります。
暗号化機能に対するエクスポート制御設定の影響
デバイスを登録する場合、このトークンに登録された製品の輸出規制された機能を許可するかどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化や、高度な暗号化を必要とする機能の使用を制御します。
評価モードは、非輸出準拠アカウントを使用して登録する場合と同じように扱われます。つまり、評価モードで実行している場合、リモートアクセス VPN を設定したり、高度な暗号化アルゴリズムを使用したりはできません。
特に、DES 標準は評価モードまたは非輸出準拠モードでのみ使用できます。
したがって、サイト間 VPN などの暗号化機能を設定したり、高アベイラビリティグループのフェールオーバー接続を暗号化したりすると、輸出準拠アカウントに登録した後に接続の問題が発生する可能性があります。機能が評価モードで DES を使用していた場合、アカウントの登録後にその機能の設定が破損します。
暗号化関連の問題を回避するには、次の推奨事項を考慮してください。
-
サイト間 VPN や暗号化されたフェールオーバー接続などの暗号化機能は、デバイスを登録するまで設定しないでください。
-
輸出準拠アカウントを使用してデバイスを登録した後、評価モードで設定したすべての暗号化機能を編集し、より安全な暗号化アルゴリズムを選択します。各暗号化機能をテストおよび検証して、正しく機能していることを確認します。
(注) |
評価モードで HA フェールオーバー暗号化を設定した場合は、HA グループ内の両方のデバイスをリブートして、より強力な暗号化の使用を開始する必要もあります。両方のデバイスが自身をアクティブユニットと見なすスプリットブレイン状態を回避するために、最初に暗号化を削除することを推奨します。 |
期限切れまたは無効なオプション ライセンスの影響
次のいずれかのオプションライセンスが期限切れになっても、そのライセンスを必要とする機能は引き続き使用できます。ただし、ライセンスは非準拠とマークされます。ライセンスを準拠状態に戻すには、ライセンスを購入してアカウントに追加する必要があります。
オプションのライセンスを無効にすると、システムは次のように反応します。
-
マルウェア防御:システムは Secure Malware Analytics Cloud への問い合わせを停止し、Secure Malware Analytics Cloud から送信される遡及的イベントの確認応答も停止します。ファイルポリシーが含まれている既存のアクセス コントロール ポリシーは再展開できません。マルウェア防御 ライセンスが無効にされた後、システムが既存のキャッシュファイルの性質を使用できるのは極めて短時間のみであることに注意してください。この時間枠の経過後、システムは Unavailable という性質をこれらのファイルに割り当てます。
-
IPS :システムは、侵入ポリシーまたはファイルポリシーを適用しなくなります。セキュリティ インテリジェンス ポリシーの場合、システムはこのポリシーを適用せず、フィード更新のダウンロードを停止します。ライセンスを必要とする既存のポリシーを再展開することはできません。
-
[URL]:URL カテゴリ条件を使用したアクセスコントロールルールは URL または DNS ルックアップ要求のフィルタリングを直ちに停止し、システムは URL データに対する更新をダウンロードしなくなります。既存のアクセス コントロール ポリシーに、カテゴリ ベースまたはレピュテーション ベースの URL 条件を含むルールが含まれている場合は、それらのポリシーを再展開することができません。
-
[RA VPN]:リモート アクセス VPN 設定は編集できませんが、削除は可能です。ユーザーは引き続き RA VPN 設定を使用して接続できます。ただし、デバイスの登録を変更してシステムがエクスポートに準拠しなくなると、リモート アクセス VPN 設定はただちに停止し、リモート ユーザーは VPN に接続できなくなります。