Cisco ASA ソフトウェア リリース 9.0 データシート
Cisco® ASA ソフトウェアは、Cisco ASA ファミリのセキュリティデバイスで使用されているコア オペレーティング システムです。エンタープライズクラスのファイアウォール機能および VPN 機能を提供するとともに、Cisco Intrusion Prevention System(IPS)、Cisco クラウド Web セキュリティ(旧称:ScanSafe)、Cisco Identity Services Engine(ISE)、Cisco TrustSec との統合によって、進化しつづけるセキュリティニーズに対応する包括的なセキュリティソリューションを実現します。
15 年以上にわたってファイアウォールとネットワークセキュリティの分野をリードしてきた Cisco ASA ソフトウェアは、世界中で展開されている 100 万台以上のセキュリティアプライアンスで使用されています。同じコア ASA ソフトウェアによって、さまざまなフォームファクタがサポートされます。たとえば、さまざまなスタンドアロン アプライアンス、企業の既存のネットワーク インフラストラクチャに統合されるハードウェアブレード、パブリッククラウドとプライベートクラウドを保護して安全性を確保できるソフトウェアなどがサポートされます。
ASA ソフトウェアは、あらゆる規模の企業ネットワークを保護し、サービスプロバイダーのニーズに対応します。
クラスタ
Cisco ASA ソフトウェアリリース 9.0 では、最大 8 つの Cisco ASA 5580 または 5585-X 適応型セキュリティ アプライアンス ファイアウォール モジュールを結合して単一のクラスタに参加させ、最大 128 Gbpsの実効スループット(最大スループット 320 Gbps)と 5,000 万の同時接続を実現できます。クラスタに配置するとパフォーマンスが大幅に低下する競合製品とは異なり、ASA ソフトウェアのクラスタリング ソリューションは、クラスタ上のユニット数に関係なく、一貫したスケーリング係数を提供します。既存のレイヤ 2 およびレイヤ 3 ネットワークに中程度または高度な変更を必要とする競合プラットフォームでのクラスタリングとは異なり、ASA ソフトウェアは、既存の Cisco 仮想スイッチングシステム(VSS)および Cisco 仮想 PortChannel(VPC)ベースのデータセンター設計を使用して、標準の Link Aggregation Control Protocol(LACP)上に構築されます。
高パフォーマンスのデータセンターを内部および外部の脅威から保護するために、8 つの IPS モジュールを追加して 8 ユニットのクラスタを強化し、最大 60 Gbps の IPS スループットを実現できます。
表 1. Cisco ASA クラスタのファイアウォール パフォーマンス データ[1]
| プラットフォーム |
1 ユニット |
2 ユニットクラスタ |
4 ユニットクラスタ |
8 ユニットクラスタ |
| Cisco ASA 5585X(SSP-10 搭載) |
2 Gbps |
3.2 Gbps |
6.4 Gbps |
12.8 Gbps |
| Cisco ASA 5585X(SSP-20 搭載) |
5 Gbps |
8 Gbps |
16 Gbps |
32 Gbps |
| Cisco ASA 5585X(SSP-40 搭載) |
10 Gbps |
16 Gbps |
32 Gbps |
64 Gbps |
| Cisco ASA 5585X(SSP-60 搭載) |
20 Gbps |
32 Gbps |
64 Gbps |
128 Gbps |
パフォーマンス上の利点に加えて、クラスタは、管理とトラブルシューティングが容易です。プライマリノードにプッシュされたポリシーはクラスタ内のすべてのユニットに複製され、クラスタ全体およびクラスタに含まれる各ユニットの正常性、パフォーマンス、およびキャパシティ統計情報を単一の管理コンソールから評価できます。
Cisco TrustSec® の統合
ASA ソフトウェアでは、アイデンティティベースのファイアウォール セキュリティと Cisco TrustSec® セキュリティグループタグの統合によってコンテキスト認識が提供され、可視性と制御が強化されます。アイデンティティベースのファイアウォール セキュリティによって、より柔軟なアクセス制御が可能になり、ユーザーおよびグループのアイデンティティとアクセスポイントに基づいてポリシーを適用できます。また、ポリシー設定も簡素化されます。管理者は、ビジネスルールに対応するポリシーを作成できるため、セキュリティが強化され、使いやすさが向上し、管理が必要なポリシーの数も少なくなります。同様に、Cisco TrustSec の統合により、管理者は、セキュリティグループタグをネットワークの Cisco DNA に組み込み、より優れた、きめ細かいポリシーを開発および適用できます。
クラウド Web セキュリティの統合
ASA ソフトウェアは Cisco Cisco クラウド Web セキュリティと統合されるため、企業では、一元化されたコンテンツ セキュリティ ソリューションをローカライズされたネットワークセキュリティと組み合わせることができます。多くの競合製品で採用されているオールインワンアプローチとは異なり、Cisco ASA ソフトウェアで採用されているアーキテクチャアプローチでは、はるかに優れたパフォーマンスと有効性が実現されます。管理者は、ネットワークアドレス、Microsoft Active Directory のユーザー名やグループ名、または特定のセキュリティコンテキスト内に存在するホストに基づいて、トラフィックのサブセットに対してディープコンテンツスキャンを実行できます。その結果、ASA ソフトウェアでは、優れたパフォーマンスで妥協のないセキュリティが提供されます。
セキュアなリモートアクセス
ASA ソフトウェアは、Cisco AnyConnect® 3.1 以降と組み合わせて使用することにより、SSL トンネル内だけでなくパブリックインターフェイス上でも IPv4 と IPv6 のデュアルスタックを可能にします。IPv6 クライアントレスのサポートも提供されます。ほとんどの競合製品では、IPv4 トラフィックパターンから IPv6 トラフィックパターンに移行するとパフォーマンスが平均 80% 低下しますが、ASA ソフトウェアは、パフォーマンスへの影響が 15% 未満の IPv6 リモートアクセス接続をサポートしています。
ASA ソフトウェアは、包括的な次世代暗号化機能も提供します。これには、IPsec トンネルを使用したリモートアクセスおよびサイト間接続用の Suite B 暗号化標準が含まれます。
機能と利点
表 2. 機能と利点
| 機能 |
説明 |
主な利点 |
サポートされる ASA モデル |
| クラスタ |
複数のハードウェアアプライアンスで以下(最大値)を実現できます。
● 128 Gbps
の実効スループット
● 5,000
万の同時接続
|
●
線形の予測可能な拡張性とスループットの向上(たとえば、2
ユニットクラスタが 32 Gbps
をサポートする場合、4
ユニットクラスタは同じトラフィックプロファイルに対して 64 Gbps
をサポート)
● Cisco Application Security Device Manager
(ASDM
)の単一インスタンスを使用して、最大 8
ユニットのクラスタを設定およびモニター可能
●
クラスタメンバー全体での状態の同期。シングルポイント障害の排除
|
ASA 5580 および ASA 5585-X アプライアンス |
| Cisco クラウド Web セキュリティ(ScanSafe)の統合 |
Cisco クラウド Web セキュリティと統合することで、お客様が、Web セキュリティおよびマルウェア防御のために Web トラフィックをシスコの Web セキュリティクラウドにリダイレクトできるようになります。 |
●
チェックボックス
セキュリティ製品とは異なり、この統合により、パフォーマンスとキャパシティの低下を最小限に抑えながら、包括的な Web
セキュリティ(URL
フィルタリング、Web
アプリケーションの可視性と制御(AVC
)、およびマルウェア防御)を実現
●
ユーザー名、ユーザーグループ、送信元、または宛先に基づいた追加の分析のために、Web
トラフィックを Cisco
クラウド Web
セキュリティタワーにリダイレクト可能
●
トラフィックのリダイレクションによるパフォーマンスの最適化を実現。お客様がトラフィックを次の
3
つの大まかなカテゴリにセグメント化可能:本社または支社への
VPN
トラフィック、インターネットに直接送信される許可リストトラフィック、およびディープスキャン対象としてマークされた、
Cisco
クラウド
Web
セキュリティタワーへのトラフィック
|
すべての ASA 5500 および 5500-X シリーズ アプライアンスと Cisco Catalyst 6500 シリーズ ASA サービスモジュール |
| TrustSec |
ASA ソフトウェアを Cisco TrustSec アーキテクチャに統合することで、ASA ソフトウェアの 5 タプルおよびアイデンティティベースのファイアウォールポリシー要素がセキュリティグループタグ(SGT)とセキュリティグループ名で強化されます。 |
●
セキュリティデバイスで、セキュリティグループタグ(SGT
)を一貫した適用要素として使用可能
●
お客様が ASA
ソフトウェアを使用して SGT
に基づいたポリシーを作成および適用可能
●
エンドポイントでのポスチャまたはコンプライアンスの変更に基づいて ASA
ソフトウェアが適切なポリシーアクション(アクセスの許可、拒否、制限など)を実行可能
|
すべての ASA 5500 および 5500-X シリーズ アプライアンスと Cisco Catalyst 6500 シリーズ ASA サービスモジュール |
| 次世代暗号化 |
楕円曲線、SHA-2(256、384、および 512 ビットのハッシュ)を含む Suite B 暗号化アルゴリズムセットをサポートします。また、IPSecv3 および拡張 IPSecv3 機能(「ESPv3」と定義される)も含まれます。 |
● NSA
認定の Suite B
暗号化仕様により、より小さなキーサイズで優れた機密性と完全性を実現
|
ASA 5500-X シリーズおよび ASA 5585-X アプライアンス |
| マルチコンテキストの機能拡張 |
現在の ASA マルチコンテキスト機能が拡張され、サイト間 VPN およびダイナミック ルーティング プロトコルがサポートされます。ルーテッドモードとトランスペアレントモードが混在するマルチコンテキスト設定のサポートも追加されます。 |
●
各ファイアウォール
コンテキストで、スタティックルート用とダイナミックルート用の独自のルーティングテーブルを維持可能
●
お客様がコンテキストごとにルーティングプロトコルを組み合わせて使用可能
● IKEv1
と IKEv2
をサポート
●
シングルモードのサイト間 VPN
機能を複数のモードで維持
●
システムコンテキストで柔軟な VPN
リソース割り当てが可能
|
すべての ASA 5500 および 5500-X アプライアンス(ASA 5505 を除く)と Cisco Catalyst 6500 シリーズ ASA サービスモジュール |
| IPv6 |
IPv4/IPv6 混合展開で ASA を展開可能であり、お客様がこの差し迫った移行に備えることができます。 |
● IPv4
から IPv6
に変換するための次のような重要な機能が提供され、お客様が IPv6
への移行を準備可能
◦
ステートフル NAT64
および NAT66
◦ DHCPv6
リレー、DNS64
◦ IPv4
と IPv6
が混在する環境でのポリシー設定を簡素化する統合 ACL
● IPv4
トラフィックと比較して 15%
未満のパフォーマンス低下で IPv6
リモートアクセス接続を実現。対照的に、競合製品では、IPv4
トラフィックパターンから IPv6
トラフィックパターンに移行するとパフォーマンスが平均 80%
低下
|
すべての ASA 5500 および 5500-X シリーズ アプライアンスと Cisco Catalyst 6500 シリーズ ASA サービスモジュール |
| Citrix とクライアントレス VPN の相互運用性 |
エンドユーザーがクライアントレスポータルを介して Citrix Xen インフラストラクチャにアクセスできるようになります。 |
●
お客様が、クライアントレスポータルを使用し、Web
インターフェイスを介して XenDesktop
および XenApp
にアクセス可能
● XenDesktop
(5.0
)と XenApp
(6.0
)のシングルサインオンのサポートを提供
● Citrix Mobile Receiver
を ASA
から Xen
インフラストラクチャに直接終端可能
|
すべての ASA 5500 および 5500-X シリーズ アプライアンスと Cisco Catalyst 6500 シリーズ ASA サービスモジュール |
| クライアントレス VPN の機能拡張 |
自動サインオン設定用のテンプレートとツール Java ベースのファイルブラウザ Java プラグインのプロキシサポート |
●
さまざまなアプリケーションによるシングルサインオン用に、クライアントレスポータルをより迅速かつ容易に設定可能
●
複数のアプリケーション向けにさまざまな標準化テンプレートを提供
●
お客様が、新しい Java
ベースのファイルブラウザを使用して、クライアントレスポータルを介して共有ファイルにアクセス可能
●
エンドユーザーがプロキシサーバーの背後にいる場合でも、お客様が Java
プラグインを使用して TCP/IP
アプリケーションにアクセス可能
|
すべての ASA 5500 および 5500-X シリーズ アプライアンスと Cisco Catalyst 6500 シリーズ ASA サービスモジュール |
ソフトウェアのダウンロード
Cisco ASA ソフトウェアをダウンロードするには、Cisco Software Center にアクセスしてください。
シスコのサービスは、お客様のネットワーク投資を保護してネットワーク運用を最適化するだけでなく、ネットワーク インテリジェンスの強化や事業拡張に向けた新しいアプリケーションの導入準備という面でもサポートします。
サービスのライフサイクルの「運用」フェーズには、Cisco Security IntelliShield Alert Manager Service、Cisco SMARTnet®、Cisco Service Provider Base、および Cisco Services for IPS が含まれます。これらのサービスは、大企業、中堅・中小企業、およびサービスプロバイダーのお客様に適しています。
Cisco Security IntelliShield Alert Manager サービスは、脅威と脆弱性に関する、カスタマイズ可能な Web ベースのアラートサービスです。これにより企業は、自社の環境における潜在的な脆弱性に関して、正確で信頼できる情報に簡単かつタイムリーにアクセスできます。
Cisco Services for IPS は、IPS 機能を備えたモジュール、プラットフォーム、およびプラットフォームとモジュールのバンドルをサポートします。Cisco SMARTnet および Service Provider Base は、このファミリの他の製品をサポートしています。
● Cisco ASA 5500 シリーズ適応型セキュリティアプライアンス:https://www.cisco.com/c/ja_jp/products/security/asa-firepower-services/index.html
● Cisco クラウド Web セキュリティ:https://www.cisco.com/site/jp/ja/products/security/secure-web-appliance/index.html
● Cisco TrustSec:https://www.cisco.com/c/ja_jp/solutions/enterprise-networks/trustsec/index.html
● Cisco AnyConnect セキュア モビリティ ソリューション [英語]:http://www.cisco.com/en/US/netsol/ns1049/index.html
● Cisco Security Manager:https://www.cisco.com/c/ja_jp/products/security/security-manager/index.html
● Cisco Adaptive Security Device Manager:https://www.cisco.com/c/ja_jp/products/security/adaptive-security-device-manager/index.html
● シスコ セキュリティサービス [英語]:http://www.cisco.com/en/US/products/svcs/ps2961/ps2952/serv_group_home.html
● Cisco ASA 5500 シリーズ適応型セキュリティアプライアンスのライセンス情報:https://www.cisco.com/c/ja_jp/support/security/asa-5500-series-next-generation-firewalls/products-licensing-information-listing.html
フィードバック