1 / 31

Partner Support Service

Partner Support Service. シスコ サービス. As of April 2014. インストールベース管理とアラート 詳細セキュリティレビュー. インストールベース管理とアラート セキュリティ概要. PSS のセキュリティコンポーネント. Collector. How the collector in the customer’s network is made secure. ネットワーク上のデバイスで実行されるコマンドは、 セキュリティホワイトペーパーに記載されています IP アドレスやホスト名はパートナーの裁量により マスク可能 です.

rod
Download Presentation

Partner Support Service

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Partner Support Service シスコ サービス As of April 2014 インストールベース管理とアラート 詳細セキュリティレビュー

  2. インストールベース管理とアラートセキュリティ概要インストールベース管理とアラートセキュリティ概要

  3. PSS のセキュリティコンポーネント • Collector • How the collector in the customer’s network is made secure ネットワーク上のデバイスで実行されるコマンドは、 セキュリティホワイトペーパーに記載されています IPアドレスやホスト名はパートナーの裁量によりマスク可能です • Collection • How data is gathered by the collector from the devices in the network • Transmission • How the collected data is securely transported to the Cisco Data Center • Storage • How data stored in the Cisco Data Center is protected • Access • How access to the PSS Smart Portal is controlled

  4. コレクター • データ収集 • データ転送 PSS データ収集概要 必要なデバイスの情報:- インベントリ情報- ハードウェアとソフトウェアの詳細 • ストレージ お客様ネットワーク内のコレクター: - 高度なセキュリティを確保 - お客様ファイヤーウォール内に設置 エンドユーザー様のネットワーク シスココレクター セキュアな通信 シスコ データセンター Partner Support Service ポータル • アクセス • シスコデータセンター: • 登録済みシステムからの接続のみを受付 • Cisco ITの基準に基づくファシリティの厳重な管理 • シスコ データセンターへのデータ転送: • セキュアな接続性 • センシティブな情報は転送前に削除 PSS ポータル: - セキュアログイン - パートナー様はご自身のデータのみ閲覧可能

  5. コレクター コレクター

  6. コレクター コレクター • コレクターは “Common Services Platform Collector (CSP-C)” と呼びます • CSP-C は • デバイスのディスカバリー・データ収集を自動で行い、 • お客様のネットワークの情報を収集するための様々なメカニズムを提供します シスコ お客様ネットワーク

  7. コレクター CSP-C アプライアンス • CSP-C アプライアンスとは • ネットワーク上の機器のディスカバリーとインベントリーデータ収集のためのプラットフォームです • パートナー様向けのソフトウェアアプライアンスとして提供しています • アプリケーションはCentOSとバンドルされています • ISOイメージとOVFパッケージで提供しています • サーバ上の不要なサービスは全て停止させています • その他にもLinux OS ハードニング(堅牢化)を実施し、セキュリティをさらに強化しています • 管理タスクには、必要なコマンドのみが実行可能な専用コマンドシェルを用います • 必要なポート以外へのアクセスを防ぐホストベースのファイアウォールがインストールされています • CSP-CのISO イメージは、Cisco UCS C シリーズサーバにもインストール可能です お客様 シスコ

  8. コレクター CSP-C コミュニケーションポート CSP−Cでは以下のようなプロトコル・ポートが使用されています

  9. コレクター CSP-C ユーザーインタフェース • CSP-C は以下の2つのユーザーインターフェースを持っています • Admin シェル(CLI ベース) • CSP-Cセットアップに関わる基本的な管理を実施するユーザーインターフェース • Web ユーザーインターフェース (HTTPS ベース) • 全てのディスカバリー・データ収集タスクを実施するユーザーインターフェース • CSP-Cには以下の3種類のユーザーが登録可能です • Administrator • Network Operator • Reports User お客様 シスコ

  10. データ収集(Collection) • データ収集

  11. データ収集(Collection) • CSP-Cは、デバイスの種類によって異なる情報を収集します • データ収集にはSNMP、CLI (TELNET/SSH)、SOAP-XML (HTTPS) が使われてます • PSSスマートポータルの情報を出力するのに必要な情報のみを収集しています • ネットワークに流れるトラフィックデータを収集したりアップロードすることはありません • データ収集項目は、コンフィグレーションにより変更可能です • データ収集には、デバイスのID/パスワード、SNMPのコミュニティ名(ReadOnly)が必要となります • データ収集

  12. データ収集プロファイル (Collection Profile) • データ収集 デバイスのプラットフォーム毎に予め定義されたデータ項目について、何のデータをどのように収集するかについて設定するのが「データ収集プロファイル(Collection Profile)」です。

  13. 収集データ • データ収集 • データ収集プロファイル(Collection Profile)で、CSP-Cで何のデータを集めるのかを定義します • 「最小データ収集プロファイル(Minimum Collection Profile)」が、PSS用に設計され、CSP-Cアプライアンスソフトウェアイメージに予め用意されたプロファイルです • データ取得に使用するコマンド、MIB情報については、PSSサポートコミュニティに掲載されている「PSSインストールベース管理 セキュリティ概要(PSS Installed Base Management Security Overview)」をご確認ください。

  14. データ収集に使用するプロトコル • データ収集 ICMP: データ収集の前にデバイスに対する到達可能性を確認するのに使用します。 SNMP: デバイスからMIB情報を収集するのに使用します。リードオンリーアクセスのみが必要です。SNMPv1、SNMPv2c、SNMPv3 をサポートしています。 Telnet: CLIコマンド経由でデバイスの情報を収集するのに使用します。セキュアでないので推奨されません。 SSH: CLIコマンド経由でデバイスの情報を収集するのに使用します。セキュアであり推奨されるプロトコルです。SSH v1と SSH v2 をサポートしています。 HTTPS/SOAP: SOAP-XML インターフェース経由で情報を収集するのに使用します。セキュアであり推奨されるプロトコルです。Communication Manager (Call Manager)から情報を収集するのに使用します。

  15. CSP-C ローカルデータストレージ • Collection • デバイスへのアクセスに必要なデバイスのID/パスワード、SNMP ReadOnlyコミュニティ名 (ReadOnly) は、AES-256 アルゴリズムで暗号化されてローカルに保存されます • デバイスから収集したデータはSQLデータベースにそのまま蓄積されます • CLI上のユーザー名やパスワードなどのセンシティブなデータは、マスキングされた上で蓄積されます • データマスキングルールは、セキュリティ要件に応じて追加可能です • IPアドレスとホスト名は、デバイスの匿名性を確保するために別の文字列に置き換えることが可能です • CSP-Cには、デフォルトで直近5回のデータ収集内容が蓄積されます(この値は1から20までの間で変更可能です)

  16. データ プライバシー • データ収集

  17. データ プライバシー • データ収集 • データプライバシー機能により、標準で用意されているエンドツーエンドのセキュリティをさらに向上可能です • エンドユーザー様が実際のホスト名、IPアドレスを隠蔽することができます • シスコがこれらの情報を絶対に見ないということをエンドユーザー様が担保できます マップされたデータ: IP アドレス: 10.10.10.1 ホスト名: Baker IP アドレス: 192.168.0.1 ホスト名: Able SECURE 1001011110111011011111001101 10011100101010001101111111110 1001011110111011011111001101 1001011110111011011111001101 10011100101010001101111111110 1001011110111011011111001101 Partner Suppo Ciso Data Center Customer Network エンドユーザー様のネットワーク シスココレクター シスコ データセンター Partner Support Serviceポータル

  18. データを再生成 • データ収集 マップされたデータ: IP アドレス: 10.10.10.1 ホスト名: Baker IP アドレス: 192.168.0.1 ホスト名: Able SECURE エンドユーザー様のネットワーク シスココレクター シスコ データセンター Partner Support Service ポータル 1001011110111011011111001101 10011100101010001101111111110 1001011110111011011111001101 1001011110111011011111001101 10011100101010001101111111110 1001011110111011011111001101 Cisco Data Center IP アドレス: 192.168.0.1 ホスト名: Able

  19. データマスキング • データ収集

  20. データマスキング機能 • データ収集 • CSP-C には、収集データ中の文字列を正規表現を用いて置き換えたりマスキングする機能があります • ユーザー名・パスワードのような典型的なデータに対しては、シスコがデフォルトのマスキングルールを提供します • マスキングルールは追加も可能です SECURE # username LABUSERpassword 0 MYPASS123 # username XXXXXXX password 0 XXXXXXXXX 1001011110111011011111001101 10011100101010001101111111110 1001011110111011011111001101 1001011110111011011111001101 10011100101010001101111111110 1001011110111011011111001101 Cisco Collector エンドユーザー様のネットワーク シスココレクター シスコ データセンター Partner Support Service ポータル

  21. データマスキングインターフェース • データ収集 • データマスキング機能はCSP-Cに備わっています • 一般的なデータマスキングルールは、シスコが標準でご提供します

  22. データ転送 • データ転送

  23. データ転送 • CSP-Cとシスコデータセンターの間は、TLSで暗号化されたXMPP チャネルで接続されます。XMPP チャネルは、IPsecの制御用通信、XMPPによる通信に使われます。 • TLS-XMPP チャネルは、シスコデータセンターと個々のCSP-C双方のデジタル証明書を使って認証されます。 • CSP-Cからシスコデータセンターに対するデータ転送は、IPsec/ESP(Encapsulating Security Payload) または HTTPS POSTメソッドで行われます。 • データ転送 DMZセグメント シスコ外部 ファイアウォール シスコ内部 ファイアウォール シスコVSG/VSA F ファイアウォール スマート機能用設備

  24. ストレージ • ストレージ

  25. データストレージ • シスコデータセンターは、ファイアウォールと侵入検知システム (IDS) をデータパスの複数個所に設置しています • データは管理者のみ入室可能な、物理的に安全な場所に格納されています • データは定期的にバックアップされ、離れた場所に格納されます • アプリケーションのデータへのアクセスは、Oracleベースの認証を経てデータにアクセスします • ストレージ エンドユーザー様のネットワーク シスコ コレクター セキュアな データ転送 シスコ データセンター Partner Support Service ポータル

  26. データストレージポリシー • ポリシー1: • CSP-Cからのすべてのアップロードは、システムによる再処理のために少なくとも60日間保持されます。 • ポリシー2: • CSP-Cからのすべてのアップロードは、 さらに120日間アーカイブされて保持されます。これらのアーカイブはシステムによる再処理には使用されません • ポリシー3: • ポータル上のデルタレポート用の全ての履歴情報は、必ず1年間 • 保持されます • ポリシー4: • ユーザーによって生成された全てのレポート (PDF/XLS形式のファイル) は、生成されてから7日以内、またはダウンロードされてから3日以内に削除されます • ストレージ

  27. Access アクセス • アクセス

  28. アクセス • PSS スマートポータルは、Cisco.com IDによる認証を採用しています • スマートポータルへのアクセスは、Cisco.com ID 単位で付与されます • スマートポータルには、以下のようなセキュリティ機構が備わっています: • 一意なユーザーIDとパスワードによる認証 • SSL V3 サーバ認証 • タイムアウトが設定された安全なセッション管理 • 階層化されたロールに応じたアクセスコントロール • Cisco 内部ユーザー • 利用申請をしたシスコ社員は、ビジネス上の役割や必要性に基づいた承認プロセスを経て、承認された場合のみ利用可能となります • 外部ユーザー • PSSポータルで管理する Entitled Companyとマッピングされた 有効なCisco.com ID を持っている必要があります • アクセス エンドユーザー様のネットワーク シスコ コレクター セキュアな データ転送 シスコ データセンター Partner Support Service ポータル

  29. コレクター • データ収集 • データ転送 要約 • ストレージ • コレクター • - セキュリティ堅牢化 • rootユーザーのアクセス無効化 • 顧客のファイアウォールの内側に • コレクターを設置 エンドユーザー様のネットワーク シスココレクター セキュアな通信 シスコ データセンター Partner Support Service ポータル • アクセス シスコデータセンター: - 登録されたシステムのみからの接続を許容 - セキュアな Cisco IT の厳重な設備 • Cisco Data Center へのデータ転送: • AES 128-bit 暗号化とHTTPS/SSL 接続 • データ転送時にはセンシティブな情報は取り除かれる PSS ポータル: - Cisco.com 認証 - パートナー様はご自身のデータのみ閲覧可能

  30. PSSインストールベース管理 セキュリティ概要(PSS Installed Base Management Security Overview) • PSSサポートコミュニティに掲載されている「PSSインストールベース管理 セキュリティ概要(PSS Installed Base Management Security Overview)」をご確認ください。

More Related