NGIPS / NGFW / Anti-Malware である Cisco Firepower のソフトウェアバージョン 6.6 がリリースされました。全4回の連載のうち、第3回となる今回は、FMC 管理の環境のみに該当する以下の新機能や改良点をピックアップして解説します。過去の記事はこちらです (第1回, 第2回)。
・セキュリティポリシーの設定と管理の利便性向上
・Time-Based Rule
・FMC イベントデータベースの変更
・FMC の新しい UI
・デプロイ画面
・インストール時に各種タスクを自動スケジューリング
・FMC バージョンアップ作業残時間の表示
・マルチインスタンスとクラスタリングの併用
セキュリティポリシーの設定と管理の利便性向上
Access Control Policy や Prefilter 等の設定や管理の利便性がいろいろと向上しています。文字列のサーチが複数条件でできたり、ルール設定画面内で Object の中身や使用状況の確認、あるいはそのまま編集が可能、等の機能拡張がなされています。複数のルールを選択し、同時に編集することも可能になりました。例えば、複数のルールのロギングのタイミングをまとめて変更したい、等といった場合にとても便利です。
Object 詳細の画面の呼び出し例
ルール同時編集の例
Time-Based Rule
Access Control Policy と Prefilter で利用するルールに対し、時間帯でそのルールを有効化・無効化ができる機能が追加されました。管理されている Firepower デバイス側のタイムゾーンに合わせて、ルールが有効になる時間や期間、繰り返し適用されるスケジュール等を設定できるようになりました。例えば、平日の 9:00 – 17:30 とそれ以外の時間帯でセキュリティポリシー内で適用するルールを使い分けたい、といった場合に便利な機能です。
Time-Based Rule の例
FMC イベントデータベースの変更
FMC にストアするコネクションイベントと SI (Security Intelligence) イベントが新しいデータストアにマイグレートされます。この結果、従来のデータベースに比べて、イベント検索やレポート生成が劇的に高速化されました。また、設定のデータベースとこれらのイベント用データベースが切り離されたため、結果としてデプロイに要する時間も高速化されました。なお現時点ではイベントストレージサイズは変更していませんが、将来は変更される可能性があります。
FMC の新しい GUI
前回までのブログ内でのスクリーンショットでもお気づきの方がおられたかと思いますが、FMC の画面が新しくなりました。バージョン 6.5 で新たに登場したこの GUI は「ライトテーマ」という名前で、シスコの他の製品と似た雰囲気の画面になっています。FMC を 6.6 へバージョンアップすると自動的にこのライトテーマの GUI に切り替わります。もちろん従来の GUI (クラシックテーマ) に戻すことも簡単に可能です。
ライトテーマとクラシックテーマの比較
デプロイ画面
FMC からのデプロイ実施時に、新しい画面が追加されました。従来は、変更点全てを Firepower デバイスにデプロイするか、あるいは全くデプロイしないかのどちらかの選択肢しか無かったのですが、ハージョン 6.6 からは、特定の条件下において、変更したポリシーの中から実際にデプロイするポリシーを選択することができます。また、デプロイされるポリシーの変更点を確認することができるようになり、さらにはデプロイに要する時間を予測して表示する機能も追加されました。
デプロイ画面の例
インストール時に各種タスクを自動スケジューリング
FMC の新規インストール時に、以下のタスクを自動的にスケジューリングするようになりました。
・更新ソフトウェアのダウンロード (毎週)(自動インストールはしない)
・FMC の configuration-only のバックアップ取得 (毎週)
・位置情報データベースの更新 (毎週)
・VDB の更新 (初期インストール時に一回のみ)
・SRU の更新 (毎日)(自動デプロイはしない)
もちろん、このまま使っても構いませんが、お使いの環境に応じて、スケジュールの変更や無効化、自動デプロイの有効化等を検討することをおすすめします。なお、アップグレードした FMC にはこれらのタスクは適用されません。
自動スケジュール化されたタスクの例
FMC バージョンアップ作業残時間の表示
FMC のバージョンアップが終わるまでにかかる時間が予測され、表示されるようになりました。ここで表示される時間には、バージョンアップ完了時の再起動にかかる時間は含まれませんのでご注意ください。また、この機能はメジャーバージョンアップのときのみに動作します。
バージョンアップ作業残時間表示の例
マルチインスタンスとクラスタリングの併用
Firepower 4100 / 9300 でサポートされているマルチインスタンスとクラスタリングが併用できるようになりました。インスタンス毎にクラスタリングを組むことができます。余ったリソースは単独のインスタンスや冗長構成のインスタンスとして利用することが可能です。これにより、大型モデルの Firepower プラットホームを、より一層マルチテナントで使いやすくなります。
マルチインスタンス + クラスタリングの概念図
今回は、FMC 管理 の場合に該当する バージョン 6.6 (一部 6.5) からの新機能をピックアップして解説しました。次回の最終回は、FDM 管理 の FTD だけに該当する新機能について説明する予定です。