一、事象

Cisco Secure Access (以下 CSA)でRemote Access VPN(以下 RAVPN)を設定する場合、VPN Posture を設定し、PCがVPN接続時にシステムの状態がいセキュリティ要件を満たしているかを検査することが可能です。例えばアンチウィルスソフトウェアがインストールされていない、もしくは長期間ソフトウェアアップデートがなされていない場合はVPN接続を却下することができます。

但し、Endpoint security agentでSignature file update設定を0daysにした場合Security Agent が更新済みであってもPostureの検査で失敗します。

本事象は特定のVendorに依存しておりません。

二、原因と対策

現在CSAでは “0 days(Immediately)” について実装がされていないため本事象が発生しています。対策としては “14 days”以降を選択することです。また“0 days(Immediately)”の実装については今後対応する予定となっています。

三、参考文献

[1] Add a VPN Connection Posture Profile

https://docs.sse.cisco.com/sse-dns-guide/docs/add-vpn-posture-profile