2021-07-15 10:54 AM
AWSのマーケットプレイスからライセンス込みのStandard Packageでデプロイした際のサポート内容について、以下ご回答いただくことは可能でしょうか。
・ASAvの脆弱性情報サイトがあるか。
・重大な脆弱性が発表された場合に、新しいASAvのOSは入手可能か。可能な場合はどのようにして入手するのか。
・脆弱性情報を通知してくれるサービスはあるか。
・ASAvの技術的な問い合わせ等問い合わせをする窓口があるか(日本語対応or 英語対応のみなど)。
解決済! 解決策の投稿を見る。
2021-07-28 10:13 AM 2021-07-28 10:16 AM 更新
こんばんは! 以下ご参考まで。
>>・ASAvの脆弱性情報サイトがあるか。
以下サイトを都度チェックしましょう~。英語版の場合は、Quick Search に「ASA」と入力すれば影響受けそうな脆弱性一覧確認できると思います。
https://tools.cisco.com/security/center/publicationListing.x
https://www.cisco.com/c/ja_jp/support/docs/csa/psirt-index.html
>>・重大な脆弱性が発表された場合に、新しいASAvのOSは入手可能か。可能な場合はどのようにして入手するのか。
AWS上で新しいバージョンのAMIは都度公開されてるので、設定バックアップ取ってから、新しいバージョンのAMIで起動してリストアすれば、バージョン上げれると思います。もしくは、ASAvを利用される方は、別のASA製品(ASA5500-XやFirepowerシリーズなど)を保持しててる方も多いと思うので、シスコと保守契約してるアカウントの方でASAのソフトウェアダウンロードして流用してる方も少なくないのかも、と思いました。
>>・脆弱性情報を通知してくれるサービスはあるか。
Case Notification Serviceが利用できると思います。
https://www.cisco.com/c/ja_jp/support/local-tools/help-cns.html
>>・ASAvの技術的な問い合わせ等問い合わせをする窓口があるか(日本語対応or 英語対応のみなど)
AWSのページに記載ありますが、Standard Packageのサポートは Cisco Communityのみです。AWSの情報交換は、英語Communityのほうが活発です。また、Communityの特性上、満足いく回答が得れるかは保証されないと思うので、心配な場合はBYOLを購入して頂いたほうがよいかとおもいます。Standard Packageは、一時的にちょっと使いたい・検証したいケース、もしくは、玄人向きだと思います。
Cisco Adaptive Security Virtual Appliance (ASAv) - Standard Package For all support queries, only Community Support is available for this product listing. Please visit the Cisco Security - Firewalling community using the link above and include "ASA-AWS" in the title of your community discussion for the fastest response. https://supportforums.cisco.com/community/firewalling For all support queries, only Community Support is available for this product listing. Please visit the Cisco Security - Firewalling community using the link above and include "ASA-AWS" in the
また、税制上の都合で日本だと ASAv Standard Packageは使えないという情報もあるので、日本企業にお勤めの場合は、BYOLの利用が基本となるのではないでしょうか。
https://community.cisco.com/t5/-/-/td-p/4270714
BYOLでしたら、Ciscoさんとの契約になるので、最新ASAソフトウェアのダウンロード権限も付与されるとおもいます。たぶん。
2021-08-13 03:17 PM 2021-08-13 03:25 PM 更新
こんにちは! まずコミュニティは、私も含めて有志で回答されてる方が多いと思うので、お役に立った場合ね、いいね! や、解決した!ボタンを押していただけると助かります〜!
あと本題ですが、ASAvのスマートライセンス認証について詳しくは以下ドキュメントにまとまっています。
スマートライセンス認証はPAT配下からもできるので、原則 認証デバイスからの単方向です。
ポートは上記URLや公式ドキュメントにも記載ありますが、443と80の利用が必要です。基本443ですが、80は証明書の更新で使う時があります。
グローバルIPは変わる可能性があるのでFQDNの利用が推奨されてます。といっても、FQDNを名前解決してわかった固定IPで導入してるお客さんもそこそこ知ってますが今のところIPが変わって繋がらなくなったというケースは私個人は聞いたことありませんが、もちろん固定IPを利用される場合は自己責任かと思います。なお、スマートライセンスの定期認証が失敗するとASAやSmartSoftwareManagerからはアラートが出るので、IPが万が一 変わっても、AWSのネットワークACLを猶予期間の90日以内に変更してあげれば特に実害は出ないかと思います。
2021-07-28 10:13 AM 2021-07-28 10:16 AM 更新
こんばんは! 以下ご参考まで。
>>・ASAvの脆弱性情報サイトがあるか。
以下サイトを都度チェックしましょう~。英語版の場合は、Quick Search に「ASA」と入力すれば影響受けそうな脆弱性一覧確認できると思います。
https://tools.cisco.com/security/center/publicationListing.x
https://www.cisco.com/c/ja_jp/support/docs/csa/psirt-index.html
>>・重大な脆弱性が発表された場合に、新しいASAvのOSは入手可能か。可能な場合はどのようにして入手するのか。
AWS上で新しいバージョンのAMIは都度公開されてるので、設定バックアップ取ってから、新しいバージョンのAMIで起動してリストアすれば、バージョン上げれると思います。もしくは、ASAvを利用される方は、別のASA製品(ASA5500-XやFirepowerシリーズなど)を保持しててる方も多いと思うので、シスコと保守契約してるアカウントの方でASAのソフトウェアダウンロードして流用してる方も少なくないのかも、と思いました。
>>・脆弱性情報を通知してくれるサービスはあるか。
Case Notification Serviceが利用できると思います。
https://www.cisco.com/c/ja_jp/support/local-tools/help-cns.html
>>・ASAvの技術的な問い合わせ等問い合わせをする窓口があるか(日本語対応or 英語対応のみなど)
AWSのページに記載ありますが、Standard Packageのサポートは Cisco Communityのみです。AWSの情報交換は、英語Communityのほうが活発です。また、Communityの特性上、満足いく回答が得れるかは保証されないと思うので、心配な場合はBYOLを購入して頂いたほうがよいかとおもいます。Standard Packageは、一時的にちょっと使いたい・検証したいケース、もしくは、玄人向きだと思います。
Cisco Adaptive Security Virtual Appliance (ASAv) - Standard Package For all support queries, only Community Support is available for this product listing. Please visit the Cisco Security - Firewalling community using the link above and include "ASA-AWS" in the title of your community discussion for the fastest response. https://supportforums.cisco.com/community/firewalling For all support queries, only Community Support is available for this product listing. Please visit the Cisco Security - Firewalling community using the link above and include "ASA-AWS" in the
また、税制上の都合で日本だと ASAv Standard Packageは使えないという情報もあるので、日本企業にお勤めの場合は、BYOLの利用が基本となるのではないでしょうか。
https://community.cisco.com/t5/-/-/td-p/4270714
BYOLでしたら、Ciscoさんとの契約になるので、最新ASAソフトウェアのダウンロード権限も付与されるとおもいます。たぶん。
2021-08-13 11:39 AM
ご回答いただきありがとうございます。
ご回答いただきました内容について、承知いたしました。
BYOLを利用した場合、Smart Software Managerと認証するため、インターネットへの接続とSmart Software Managerへの疎通が必要な認識です。
AWSのセキュリティグループで必要最低限の通信に絞って許可ルールを設定したいのですが、以下ご回答いただけますでしょうか。
①アクティベーションする際は、ASAv発の通信しか発生しないという認識でよろしいでしょうか。
(Smart Software Manager発の通信はない)
②アクティベーションする際に利用されるポートは443のみという認識でよろしいでしょうか。
(80ポートは利用しない)
③あて先を/32のホスト単位で許可したいのですが、Smart Software ManagerのグローバルIPアドレスは公開されておりますでしょうか。
2021-08-13 03:17 PM 2021-08-13 03:25 PM 更新
こんにちは! まずコミュニティは、私も含めて有志で回答されてる方が多いと思うので、お役に立った場合ね、いいね! や、解決した!ボタンを押していただけると助かります〜!
あと本題ですが、ASAvのスマートライセンス認証について詳しくは以下ドキュメントにまとまっています。
スマートライセンス認証はPAT配下からもできるので、原則 認証デバイスからの単方向です。
ポートは上記URLや公式ドキュメントにも記載ありますが、443と80の利用が必要です。基本443ですが、80は証明書の更新で使う時があります。
グローバルIPは変わる可能性があるのでFQDNの利用が推奨されてます。といっても、FQDNを名前解決してわかった固定IPで導入してるお客さんもそこそこ知ってますが今のところIPが変わって繋がらなくなったというケースは私個人は聞いたことありませんが、もちろん固定IPを利用される場合は自己責任かと思います。なお、スマートライセンスの定期認証が失敗するとASAやSmartSoftwareManagerからはアラートが出るので、IPが万が一 変わっても、AWSのネットワークACLを猶予期間の90日以内に変更してあげれば特に実害は出ないかと思います。
2021-08-13 04:36 PM
ご回答いただきありがとうございます。
とても参考になりました!
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド