Cisco Firepower Threat Defense と F5 SSL Orchestrator によるインシデント修復
F5 SSL Orchestrator を使用すると、企業は自社のセキュリティを確保し、さまざまな攻撃タイプ、ベクトル、プレゼンテーションを防止するために必要な規模を実現しながら、多様なセキュリティ ゾーンを通過するデータ トラフィックに対する妥協のない可視性を提供できます。 SSL Orchestrator と Cisco Firepower Threat Defense (FTD) の統合を強力な分散型サービス拒否 (DDoS) 戦略と組み合わせると、境界セキュリティに必要なコンポーネントが提供され、マルウェア、ボット、その他の攻撃から企業を保護することで包括的な保護が実現します。
シームレスな統合を実現するために、F5 は Cisco と提携し、SSL Orchestrator と Firepower Threat Defense を統合するためのリファレンス アーキテクチャを検証および作成しました。 テストと検証は、FTD を搭載した仮想および物理 Firepower デバイスの両方を使用して、F5 Labs 施設で実施されました。
このガイドは、管理者が一般的なユースケースの検証済み構成を識別して展開するのに役立ちます。 ここで定義される顧客シナリオは、ポリシーベースのトラフィックのステアリングとブロック、および SSL の可視性と制御に対応しています。
このシナリオでは、SSL Orchestrator を使用して、負荷に基づいてトラフィック フローをさまざまなリソースに割り当てます。 あるいは、集中ポリシー管理や、より深い意思決定プロセスのための F5 iRules などの機能に基づいて、ビジネス インテリジェンスを使用して割り当てられ、FTD リソースはこれを検査に活用できます。 たとえば、アプリケーション A は、その環境に固有のシグネチャを監視する特殊なルールセットを持つ FTD サーバーの 1 つのプールに送信され、アプリケーション B は別のプールに送信されます。 Firepower 修復 API との統合により、システムは iRule を使用して IP アドレスをブロック リストに入力することで、動的に反応し、FTD インフラストラクチャに対する需要を削減できます。 特定された違反者からのトラフィックは、FTD に入る前に、事前に設定された期間ブロックされます。 攻撃者の戦略の 1 つは、実際の攻撃を隠すために大量の気をそらすトラフィックを提供することです。この修復戦術により、FTD は、すでに特定されている攻撃者を修復することなく、新しい攻撃を特定することにリソースを集中させることができます。
SSL 終了はリソースを大量に消費するプロセスですが、F5 デバイスには SSL 処理に特化した専用のハードウェア プロセッサが搭載されています。 インバウンドとアウトバウンドの両方の展開シナリオにおいて、SSL Orchestrator と FTD を利用することで、SSL トラフィックに対する妥協のない可視性が実現します。
インバウンド アプリケーションは、高可用性を考慮せずに導入されることはほとんどありません。F5 BIG-IP インスタンスでの SSL ターミネーションにより、安全で強化されたアプリケーション配信が保証されると同時に、FTD センサーに SSL トラフィックの可視性が提供されます。 セキュリティ ポリシーで規定されている場合、トラフィックはバックエンド サーバーに渡される前に再暗号化できます。
ユーザーを保護するために SSL 暗号化を使用する Web サイトの増加は、マルウェアや攻撃を排除するという FTD センサー プールの使命にとって課題となっています。 SSL Orchestrator は、ユーザー トラフィックの完全な可視性を提供できます。
SSL Orchestrator は、暗号化された脅威が検出されず重要な資産が危険にさらされるのを防ぐために、受信 SSL/TLS 検査をサポートします。 セキュリティの盲点を排除し、隠れた脅威を阻止することで、アプリとサーバーを保護します。
検証済みのアーキテクチャには、Web アプリケーション サーバー プールのフロントエンドとなる Firepower デバイスの負荷分散プールが含まれています。 このアプローチは、SSL の可視性と制御、トラフィックの管理とブロックの両方に対応しながら、Cisco と F5 を組み合わせたソリューションの有効性を最大化します。 検査ゾーンのトラフィックは、Firepower デバイスによって検査されるのに十分な時間復号化され、アプリケーション サーバまたはクライアントに送信される前に再暗号化されます。
図 1 では、Firepower サービスはすべてのネットワーク フローを検査、ブロック、およびレポートします。 トラフィックは FTD デバイスを通過した後、SSL Orchestrator を経由してルーティングされます。 これにより、トラフィックを検査し、必要に応じて IP アドレスをブロックできるようになります。
図1: SSL Orchestrator は、FTD がトラフィックを検査し、脅威を検出してブロックできる検査ゾーンを作成します。
SSL Orchestrator は、マルウェアが企業ネットワークに侵入するのを阻止し、暗号化されたチャネルを介したコマンド アンド コントロール (C&C) 通信を防止するために、送信 SSL/TLS 検査をサポートします。 このソリューションは、マルウェア感染、データ流出、C&C 通信を阻止します。
検証済みのアーキテクチャにより、内部クライアントがインターネットベースの脅威から保護されます。 クライアントは SSL Orchestrator を介してインターネットにアクセスし、SSL Orchestrator はこのトラフィックを復号化し、そのコピーを検査のために Firepower デバイスに送信します。
図2: SSL Orchestrator は、内部クライアントをインターネットの脅威から保護するために、送信トラフィックを FTD に送信して検査します。
これらの手順では、着信または発信のいずれかの SSL Orchestrator トポロジが機能していることを前提としており、次の手順を含む Cisco Firepower TAP サービスの追加に重点を置いています。
- Firepower TAP サービスを作成します。
- iRules を作成します。
- 仮想サーバーを作成します。
- iRules を仮想サーバーに接続します。
両方のトポロジ タイプがサポートされており、Cisco 修復ソリューションの構成は同じです。 動作する SSL Orchestrator トポロジがまだない場合は、完全な構成手順については、 F5 DevCentral の SSL Orchestrator 記事シリーズを参照してください。
このガイドでは、Firepower サービス (Firepower ノード) の設定、セキュリティ ポリシー、iRules の適用など、SSL Orchestrator を使用して Cisco FTD を展開するために必要な手順について説明します。 FTD は、レイヤー 2/3 または TAP ソリューションとして導入できます。 SSL Orchestrator は、レイヤー 2 または 3 ソリューションとして導入できます。 SSL Orchestrator は、最適な方法で展開できる柔軟性を提供します。 たとえば、SSL Orchestrator をレイヤー 2 モードで展開し、FTD をレイヤー 3 モードで展開することも、その逆も可能です。
SSL Orchestrator を構成および展開するには、F5 の展開の概念とテクノロジー、および基本的なネットワークに関する知識が不可欠です。 構成とネットワーク設定の詳細については、F5 サポート サイトAskF5 をご覧ください。
ガイド付き構成ウィザードはこのソリューションの大部分の構成に役立ちますが、ウィザード外でいくつかの作業を行う必要があります。 この例では、既存の L2 アウトバウンド トポロジを使用します。
1. 構成ユーティリティで、 SSL Orchestrator > 構成 > サービス > 追加 をクリックします。
2. [サービス プロパティ]で、 [Cisco Firepower Threat Defense TAP]を選択し、 [追加]をクリックします。
3. サービスに名前を付け、Firepower MAC アドレス (SSL Orchestrator に直接接続されている場合は 12:12:12:12:12:12) を入力します。
4. VLANの下で、 [新規作成]をクリックし、名前(例: Firepower) を入力して、正しいインターフェイス (この例では 2.2) を選択します。 または、以前に VLAN を設定している場合は、 [既存のものを使用]をクリックし、ドロップダウン メニューから適切な VLAN を選択します。
注記: 必要に応じて VLAN タグを指定します。
5. ポート再マップを有効にするかどうかはオプションです。 [保存して次へ]をクリックします。
6. 構成するサービス チェーン(この例では sslo_SC_ServiceChain) をクリックします。 既存のサービス チェーンがない場合は、今すぐ追加してください。
7. Firepower サービスを選択し、適切な矢印をクリックして [選択済み] リストに移動します。 「保存」をクリックします。
8. [保存して次へ]をクリックし、 [デプロイ]をクリックします。
2 つの iRule と 2 つの仮想サーバーを作成します。 最初の iRule は、Firepower デバイスからの HTTP 要求をリッスンします。 その後、Firepower は修復 API を介して応答し、IP アドレスとタイムアウト値を含む HTTP 要求を送信します。 このアドレスは、SSL Orchestrator によってブロックされる送信元 IP であり、タイムアウト期間中はブロックされます。 詳細と iRules チュートリアルについては、 F5 DevCentralを参照してください。
1. 「Local Traffic」 > 「iRules」を選択し、 「Create」をクリックして、SSL Orchestrator で最初の iRule を作成します。
2. iRule に名前を付け (この例では FTD-Control)、iRule のテキスト (下の図 3) をコピーして[定義]フィールドに貼り付けます。 「完了」をクリックします。 この iRule は、コントロール仮想サーバーに関連付けられます。
HTTP_REQUEST {の場合 if { [URI::query [HTTP::uri] "action"] が "blocklist" と等しい } { ブロッキングIPを設定する [URI::query [HTTP::uri] "sip"] IPtimeout を設定する [URI::query [HTTP::uri] "timeout"] テーブルを追加 - サブテーブル "blocklist" $blockingIP 1 $IPtimeout HTTP::respond 200 コンテンツ "$blockingIP が $IPtimeout 秒間ブロックリストに追加されました" 戻る } HTTP::respond 200 コンテンツ「? アクション クエリを含める必要があります」 }
|
|---|
図3: コピーして貼り付ける最初のiRuleテキスト
3. もう一度「作成」をクリックして 2 番目の iRule を作成します。
4. 2 番目の iRule に名前を付け (この例では FTD-Protect)、下の図 4 の iRule テキストをコピーして[定義]フィールドに貼り付けます。
|
|---|
図4: コピーして貼り付ける2番目のiRuleテキスト
5. 「完了」をクリックします。 この iRule は Protect Virtual Server に関連付けられます。
1. [ローカル トラフィック] > [仮想サーバー]を選択し、 [作成]をクリックして仮想サーバーを作成します。
2. 仮想サーバに名前を付けます (関連付けられている iRule の名前を念頭に置いてください)。この例では、FTD-Control です。 タイプには、標準を選択します。
3. [送信元アドレス]に 0.0.0.0/0 と入力します。これは、どの送信元アドレスでも一致することを示します。
4. 宛先アドレス/マスクには、SSL Orchestrator が Firepower からの API 要求を受け入れるためにリッスンする IP アドレスを入力します。 (この例では、10.5.9.77/32 であり、SSL Orchestrator はその単一の IP アドレスへの接続にのみ応答することを示しています。
注記: 宛先アドレス/マスクは、Firepower Management Center の 2 番目の管理インターフェイスと同じサブネット内にある必要があります。これについては、このガイドの後半で説明します。
5. VLAN およびトンネル トラフィックの場合、F5 では、 [すべての VLAN とトンネル]ではなく、Firepower セカンド管理インターフェイスが使用する特定の VLANに対して [有効]を選択することを推奨しています。
6. Firepower セカンド管理インターフェイスで使用されるのと同じ VLAN (この例では vlan509) を選択します。 << をクリックして、正しい VLAN を選択リストに移動します。
7. [リソース]の下で、以前に作成した FTD-Control iRule をクリックし、[<<] をクリックして[有効]リストに移動し、 [完了]をクリックします。
8. 2 番目の仮想サーバーを作成するには、もう一度[作成]をクリックします。
9. 仮想サーバに名前を付け(この例では FTD-Protect)、タイプで転送(IP)をクリックします。
10. 送信元アドレス(この例では 10.4.11.152/32)を入力します。 この仮想サーバーは、単一のテスト クライアントですべてが動作することを確認するために、テスト目的でソース IP が 10.4.11.152 の接続のみを受け入れます。 受信トポロジの場合、送信元アドレスは0.0.0.0/0 に設定され、どこからでも接続が可能になります。
11. 宛先アドレス/マスクを入力します。 この場合、10.5.11.0 ネットワークは、10.4.11.0 ネットワーク トラフィックが SSL Orchestrator を通過してインターネットに進むために経由する必要がある宛先です。
12. [構成]で、 [VLAN およびトンネル トラフィック]の [有効]を選択します。
13. [使用可能]の下で、SSL Orchestrator がトラフィックを受信している入力 VLAN を選択します (この例では Direct_all_vlan_511_2)。 << をクリックして、選択済みリストに移動します。
14. [リソース]の下で、以前に作成した FTD-Protect iRule をクリックします。 << をクリックして[有効]リストに移動し、 [完了]をクリックします。
現在、次のものがあります:
- Firepower TAP サービスを作成しました。
- iRules を作成しました。
- 仮想サーバーを作成しました。
- iRules を仮想サーバーに接続しました。
これらの手順では、Cisco Firepower と Firepower Management Center (FMC) がライセンス付与され、導入され、正常に動作していることを前提としています。
1. サマリーダッシュボードを表示するには、Firepower Management Center にログインします。
2. システム > 構成 をクリックします。 ( [デバイス]タブが開きます。)
3. 左側のメニューで「管理インターフェース」をクリックします。 FMC 管理インターフェイスはイベント トラフィック用に設定する必要があり、SSL Orchestrator 上の制御仮想サーバーと同じサブネット (例では 10.5.9.77) 上に存在する必要があります。
4. FMC に仮想マシンを使用する場合は、 「新しいデバイスの追加」をクリックし、ハイパーバイザ コンソール内で 2 番目の NIC を追加します。 (これを行う方法の詳細については、以下のスクリーンショットとハイパーバイザー管理ガイドを参照してください。)
5. 2 番目の管理インターフェイスを構成するには、鉛筆 (編集) アイコンをクリックします。
6. [有効]を選択します。 (イベント トラフィックは有効にする必要がありますが、管理トラフィックは必須ではありません。)
7. IPv4 構成を静的に設定します。 IP アドレスとサブネット マスクを入力し、 [OK]をクリックします。
注記: このインターフェースは、SSL Orchestrator 上の制御インターフェースと同じ VLAN およびサブネット上にある必要があります。
8. 「保存」をクリックします。
このガイドでは、Firepower デバイスに対して侵入ポリシーとマルウェア ポリシー (以下の例のようになる) が有効になっていることを前提としています。
次に、Firepower 修復ポリシーを作成します。 修復ポリシーでは、ほぼ無限の基準に基づいてさまざまなアクションを実行できます。 たとえば、侵入イベントが検出されると、Firepower は SSL Orchestrator に、送信元 IP を一定時間ブロックするように指示できます。
1. F5 修復モジュールをインストールします。 これを行うには、FMC で[ポリシー] > [アクション] > [レスポンス] > [モジュール]をクリックします。
2. [参照] をクリックして、コンピューター上のF5 修復モジュールを見つけます。 選択して「開く」をクリックし、 「インストール」をクリックします。 インストールしたら、右側の虫眼鏡をクリックします。
3. インスタンスを構成するには、 [追加]をクリックします。
4. インスタンスに名前を付けます(この例では Block_Bad_Actors)。 SSL Orchestrator コントロール仮想サーバーの IP アドレスを入力します (この例では 10.5.9.77)。 タイムアウトの変更はオプションです。 最後に、 「作成」をクリックします。
5. 次に、 「構成された修復」の下にある「追加」をクリックします。
6. 修復に名前を付け(この例では RemediateBlockIP)、 [作成]をクリックします。
7. [ポリシー] > [相関] > [ポリシーの作成] を選択して相関ポリシーを作成します。相関ポリシーでは、修復をいつどのように開始するかを定義します。
8. 相関ポリシーに名前を付け(この例では「修復」)、 [保存]をクリックします。
9. [ルール管理]タブで、 [ルールの作成]をクリックします。
10. ルールに名前を付けます(この例では RemediateRule)。
11. イベントの種類として、侵入イベントの発生を選択します。 (テストについては、次の手順の注記も参照してください。)
12. 条件として、 「ソース国」>「が等しい」>「北朝鮮」 (例) を選択し、 「保存」をクリックします。
注記: FMC は、侵入だけでなく、さまざまなイベントに対して修復をトリガーできます。 実際、修復を構成する際に、イベントをトリガーし、正常に修復されたことを確認しやすくするために、別のイベント タイプを使用する必要がある場合があります。 たとえば、接続イベントの発生を選択し、条件をURL > 文字列を含む > fooに設定します。 その後、foo.com にアクセスしようとすると、修復ルールがトリガーされるはずです。
13. [ポリシー管理]タブに戻り、以前に作成したポリシー (この例では [修復]) をクリックします。 [ルールの追加]をクリックします。
14. RemediateRule を選択し、 [追加]をクリックします。
15. 「保存」をクリックします。
相関ポリシーは、右側のトグルを使用して有効または無効にできます。 正しいポリシーが有効になっていることを確認してください。
修復イベントのステータスは、FMC で [分析] > [相関] > [ステータス] をクリックすると表示されます。 「修復が正常に完了しました」というメッセージについては、「結果メッセージ」列を参照してください。
これらの推奨プラクティスでは、SSL の可視性と制御のユーザー シナリオと、IPS ポリシー ベースのトラフィック ステアリングとブロックのユーザー シナリオの両方に対応することが実証されたアーキテクチャで、F5 BIG-IP SSL Orchestrator を Cisco FTD とともに構成します。 SSL Orchestrator の SSL ターミネーションにより、FTD センサーは、入力トラフィックと出力トラフィックの両方を可視化し、組織のアプリケーション、サーバー、およびその他のリソースを適応および保護します。 セキュリティ ポリシー ベースのトラフィック ステアリングを使用すると、組織はこの構成を活用して拡張を続け、FTD 管理対象デバイスを追加して、保護されたネットワークとアプリケーションのトラフィック容量を増やすことができます。 SSL Orchestrator が提供するポリシーベースの柔軟性を活用して、ビジネス、セキュリティ、コンプライアンスの要件に基づいて、トラフィックをさまざまなリソース プールに選択的に誘導することもできます。
F5とつながる
