新機能満載の Cisco Firepower 6.3.0 をリリースしました その1
アメリカ時間の 2018/12/04 に、NGIPS / NGFW / Anti-Malware である Cisco Firepower のソフトウェアバージョン 6.3.0 がリリースされました。
直近のバージョン 6.2.3 は、品質改善に多くのエンジニアリング リソースを投入したため、それほど大きな機能拡張はありませんでしたが、このバージョン 6.3.0 は多くの新機能を追加しており、また、今までにご意見をいただいた箇所の改善も多く施しています。
詳細は、こちらのリリースノートをご覧いただくものとして…
当ブログでは、数回に分けて、いくつかの新機能について、わかりやすく解説していきます。
今回は、以下の 2 点について、解説します。
- Firepower 6.3.0 が動作するプラットホーム
- マルチインスタンス
Firepower 6.3.0 が動作するプラットホーム
プラットホーム一覧がリリースノートにまとまっておりますので、こちらをご確認ください。
一点、ご注意いただきたいのが、Cisco ASA 5506-X シリーズ(および、販売終了済みの Cisco ASA 5512-X シリーズ)では、ASA with FirePOWER および Firepower Threat Defense(FTD)ともに、バージョン 6.3.0 へのアップグレードはできないという点です。これらのプラットホームは、メモリ容量が Firepower バージョン 6.3.0 の動作要件を満たしていません。もし、これらのプラットホームで ASA with FirePOWER や FTD を利用する場合には、バージョン 6.2.3.x 以前のままにしておいてください。現時点の推奨は 6.2.3.7 です。
マルチインスタンス
バージョン 6.3.0 の目玉機能の 1 つがマルチインスタンスです。これは、Cisco ASA にて実現していたマルチコンテキスト機能を強化し、より独立性の高いマルチテナントを実現する機能です。Cisco Firepower 9300 シリーズと 4100 シリーズでのみサポートされる機能であり、1 つのモジュール、もしくは 1 つのアプライアンスで、複数の論理的なインスタンスとして FTD を動作させることが可能です。ソフトウェア、ハードウェアレベルでインスタンス間は独立しており、各インスタンスに対して、独立あるいは共有のインターフェイスを割り当てて利用します。
以下のイメージ図がわかりやすいかと思われます。
この図のように、各インスタンスには、CPU やメモリのリソースの強弱をつけて割り当てることが可能です。Firepower eXtensible OS(FXOS)にて定義した CPU コアの数(最低 6 コア、2 コア単位で増加)をプロファイルとして論理デバイス設定時に指定することで、そのコア数に準じたメモリ容量が自動的に割り当てられます。
それぞれのインスタンスでは、独立したソフトウェア(この場合、FTD のソフトウェア)が、独立したハードウェア(この場合、CPU コアやメモリ、ディスクスペース)を利用して動作しているため、インスタンス毎に異なるバージョンのソフトウェアを利用したり、インスタンス毎に独立して再起動を行うことが可能です。従来の 1 つのモジュールやアプライアンスに対して 1 つのインスタンスというのと同じソフトウェアを利用するため、マルチインスタンスにすることで FTD 単体で使えなくなる機能もありません。これは、マルチテナントを実現する上で、非常に有益なアーキテクチャです。マルチテナントでは、テナント毎に必要な機能は異なり、その結果、不具合や機能改善項目も異なります。したがって、テナントに合わせたバージョンのソフトウェアを独立して動作させることができるというのは、大きなメリットになります。
現在の各ラインナップの最大インスタンス数は以下の通りです。将来、ハードウェアの更新やリソースのオーバーサブスクリプションの有効化により、この数は増える予定です。
Firepower 4110 & 4120 最大 3 インスタンス
Firepower 4140 & 4150 最大 7 インスタンス
Firepower 9300 SM-24 最大 7 インスタンス
Firepower 9300 SM-36 最大 11 インスタンス
Firepower 9300 SM-44 最大 14 インスタンス
それぞれのインスタンスで動作する論理デバイスである FTD は、1つの Firepower Management Center(FMC)から管理される必要があります。
FTD のライセンスは、スマートライセンスでの管理となります。このマルチインスタンスにおいて、特別なライセンスやサブスクリプションの追加は不要です。例えば、1 台の FMC から、Firepower 4110 で動作させている 3 つのインスタンスを管理したとしても、その FMC で必要な Firepower 4110 用のライセンスおよびサブスクリプションは 1 つで構いません。これは費用面からも大きなメリットとなります。
マルチインスタンスの詳細設定については、こちらの設定ガイドをご確認ください。
今回は、まずはバージョン 6.3.0 が動作するプラットホームと、数ある新機能の中でもメインの 1 つであるマルチインスタンスについて解説しました。次回は、エアギャップ環境(インターネット接続が不可な環境)における新しいライセンスの仕組みや、Snort プロセス再起動についての改善点等を解説します。
P.S. ライセンスに関する記述に間違いがありましたので修正しました。また、2021年2月現在、シスコの推奨バージョンは 6.6.1 系に移行しています。
Tags:
