購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
681
閲覧回数
4
いいね!
3
コメント

FTD: Dynamic Attribute Feeds を利用した、動的なクラウドアクセス管理

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2024-04-17 01:18 AM

 

はじめに

Firewall Management Center (FMC) 7.4から、FMC単体で Offcie 365 や AWS、Azure、Google Cloudなどから動的IPアドレスを自動学習し、 Access Control Policy (ACP)で制御が可能になりました。

本ドキュメントでは、Office 365 クラウドの動的IPアドレスの自動学習と、学習した情報(Dynamic Object)を利用したルール設定と動作確認方法について紹介します。本ドキュメントでは、FPR1010 の Firewall Threat Defense (FTD) バージョン 7.4.1と、FMCv バージョン 7.4.1 を利用し確認、作成しております。

AWSや Azure、Google Cloud などへの接続方法は、FMC7.4: Cisco Secure Dynamic Attributes Connector を参照してください。

 

構成概要

TaisukeNakamura_26-1713284204482.png

1. Office 365から動的IPアドレス情報をFMCが学習。学習は30秒間隔
2. 学習したIP情報(Dynamic Object)をFTDに自動でプッシュ (注:手動デプロイは不要)
3. 内部からOffice 365通信が発生時に、学習したIP情報を利用し自動許可 もしくは 拒否

 

FMC・FTDの設定

Integration > Dynamic Attributes Connector にアクセス

TaisukeNakamura_14-1713283921664.png

 
以下は Dashboardの デフォルト設定画面

TaisukeNakamura_15-1713283928441.png

 
Dashboard画面で Webexの上の「Connector」ボタンをクリックし、+ボタンから「Office 365」を選択

TaisukeNakamura_16-1713283934912.png

 

Office 365 Connector 設定がポップアップするため、任意名称をつけたあと「Test」を実施

TaisukeNakamura_18-1713283962526.png

※Microsoft 365 IP/URL配布サーバーのURLは コチラ から確認。通常は上記デフォルト値で問題なし


接続・学習できる場合は「Test connection succeeded」と表示を確認してから「Saveをクリック」。逆に接続できない場合は、FMCからインターネットへのアクセス設定や通信経路でブロックされていないか確認

TaisukeNakamura_19-1713283990191.png

 

Dashboardに Office 365 Feed が追加され Active となることを確認。なお、Feedは30秒ごとに自動更新

TaisukeNakamura_20-1713283998666.png

 

学習したIP情報は Dynamic Objectに保存される。 Objects > Object Management > External Attributes > Dynamic Object から学習状況を確認

TaisukeNakamura_21-1713284014151.png

 

"Show mapped IPs"アイコンをクリックすると学習したIP一覧を確認可能。例えば以下は、学習したSkypeのグローバルIP一覧。Download ボタンをクリックで学習したIP一覧のテキストダウンロードも可能

TaisukeNakamura_22-1713284025007.png

  

Skype宛のIPを自動許可するルールを設定したい場合、Policies > Access Control に移動し任意ルールを選択

TaisukeNakamura_23-1713284038159.png

 
Add Ruleから、 Dynamic Attributes から「o365_Worldwide_Skype」を選択し、Destination(宛先)に設定し、許可ルールをアプライ

TaisukeNakamura_24-1713284045978.png

  

設定したルールを確認し、「Save」と任意FTDデバイスへの「Deploy(展開)」を実施

TaisukeNakamura_25-1713284068581.png

  

FMC・FTDの動作確認

試験端末でSkypeを起動し、「Echo/Sound Test Service」にコール試験など実施。その後、Analysis > Unified Eventから、「Skype Allow」ルールで許可されていることを確認

TaisukeNakamura_27-1713284261312.png

  

参考情報

Cisco Secure Firewall (FTD) - How To

FMC7.4: Cisco Secure Dynamic Attributes Connector

 

コメント
atsukane
Level 3
Level 3
‎2024-10-18 11:03 PM

現在CSDACのテストを行っておりますが、Generic Textのコネクターを追加する場合、JSONフォーマットのフィードはサポートされていないという理解で間違いないでしょうか?
例としてはZscalerが公開しているhub IP rangeでのDynamic Objectが作成できれば便利だと思い、以下URLでコネクターを作成した場合、Testはうまく完了するのですが、オブジェクトの作成がされません(https://config.zscaler.com/api/zscloud.net/hubs/cidr/json/recommended)
コネクターの名前Generic Textの通り、フィードはテキスト形式のみのサポートで間違いないかご確認いただけますか?
また、今後JSONのサポートなどされる予定があるか、併せてご確認いただければ幸いです。

Taisuke Nakamura
Cisco Employee
Cisco Employee
‎2024-10-21 10:23 AM

atsukane さん、こんにちは!

FMCに内蔵されている Cisco Secure Dynamic Attributes (CSDAC) ですが、現時点ですと JSON や、Zscaler HUB IP Range のサポートは確認できませんでした。また、直近でこれらがサポートされる計画もございません。

そのため、現時点では、Dynamic Object に手動で Zscaler HUB IP を登録し運用が現実的かと思います。

また、新機能の確認や実装依頼は 弊社アカウントチーム経由で開発チームに実施も可能ですので、直接、もしくは シスコパートナー様経由で実装依頼をして頂ければ、今後サポートされるようになるかもしれません。 CSDAQは現在もアップデートが盛んで、接続可能先もどんどん増えているため、今後、追加実装される可能性が十分ございます。

FMC 最新バージョンのサポートされるExternal Connectorsは以下ドキュメントもご参考ください。
https://secure.cisco.com/secure-firewall/docs/cisco-secure-dynamic-attribute-connector

atsukane
Level 3
Level 3
‎2024-10-22 06:43 PM

ご確認ありがとうございます!

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents