SD-Access ポリシーは、設計上、お客様の要件に対応するために複数のレベルのセグメン
テーションを実現します。このポリシーは、マクロ セグメンテーション(VN を使用)ま たはマイクロ セグメンテーション(SGT を使用)を使用するだけで構築できます。
マクロ セグメンテーションとマイクロ セグメンテーションを簡単に図に示します。
図 マクロ セグメンテーションとマイクロ セグメンテーション
上記の図では、通常は互いに通信しないユーザとデバイスに対して、マクロ セグメンテー ション(VN によるセグメンテーション)を使用することを推奨しています。マクロ セグ メンテーションの使用例を以下に挙げます。
• 仮想ネットワーク A = ユーザ
• 仮想ネットワーク B = デバイス
• 仮想ネットワーク C = ゲスト
たとえば、「Employees(従業員)」グループが「HVAC system(HVAC システム)」グ ループやビルのセキュリティ「Cameras(カメラ)」グループと通信することは想定して いませんが、例外が発生する可能性があります。ファイアウォール/フュージョン ルータま たは SD-Access VN エクストラネット機能を利用すれば、これらの通信を制御することが できます。
さらに、同じ VN 内の異なるグループ間の通信も、同じファブリック エッジに接続してい ても、SGT によるマイクロ セグメンテーションを使用して制御できます。
たとえば、グループベースのアクセス制御ポリシーを作成して「Contractors(請負業者)」
グループが「Employees」グループにアクセスできないように定義することも、「Cameras」
グループが「HVAC」グループにアクセスできないようにすることもできます。
図 SD-Access でのポリシーの適用
有線ポリシーとワイヤレス ポリシーはいずれも、Cisco DNA Center を使用して SD-Access で一元的に定義および管理されます。これらのポリシーは、トポロジに依存せず、ユーザ およびデバイスの ID に基づいて、ファブリック エッジおよびボーダー ノードで適用され ます。エンドポイントのグループ分類は、ファブリック データ プレーンに組み込まれてお り、SD-Access ファブリックでエンドツーエンドに使用されるため、トラフィックの場所に 関係なく適用できます。
ステートフル インスペクションでは、グループベースのポリシーを SGT 対応のファイア ウォールや Web プロキシで適用することもできます。
アクセス時のエンドポイントのグループ化
Cisco Identity Services Engine(ISE)では、802.1x、MAC アドレス、プロファイリング、
Active Directory ログイン、キャプティブ ポータルなどのさまざまなメカニズムを使用して、
ネットワークに接続するエンドポイントの ID を確立できます。
一般に、ファブリック エッジに接続するユーザまたはデバイスについては、ホストのオン ボーディングの一部である、Cisco ISE によるダイナミック グループ割り当てを使用するこ とをお勧めします。ダイナミック グループ割り当てにより、有線またはワイヤレスから接 続する際に、エンドポイントに同じポリシーが適用されます。
また、エンドポイント ID が確立されると、Cisco ISE により、エンドポイント ID をグルー プに関連付けるルールも定義されます。Active Directory グループの属性は、SD-Access で 利用するグループ分類を Cisco ISE で定義する際に使用できます。これらのグループを Cisco DNA Center にインポートすれば、Cisco DNA Center のユーザ インターフェイスか らポリシーを表示して管理することができます。
図 グループ ポリシーに基づく SD-Access でのユーザ アクセス
Cisco DNA Center では、外部のネットワーク アクセス コントロール(NAC)システムお
よび AAA システムからエンドポイント ID 情報を収集し、それを利用してエンドポイント をグループにマッピングすることもできます。
前述のメカニズムによる ID ベースのアクセスに対応していない環境でも、Cisco DNA
Center を利用することで、ネットワーク管理者は、アクセス ポートとグループの関連付け
を静的に定義できます。
アプリケーション グループ
Cisco DNA Center では、外部アプリケーションを IP アドレスまたはサブネットに基づい
てグループに分類することで、アプリケーションを使用するユーザやエンドポイントに対 するポリシーを定義して実装できます。これは、セキュリティ上の理由から事前に定義さ れたサブネットにアプリケーションがグループ化されているデータセンターで特に重要と なります。
シスコ アプリケーション セントリック インフラストラクチャ(ACI)をベースにしたデー タセンターの場合、Cisco Application Policy Infrastructure Controller(APIC)を利用して、
SD-Access のエンドポイント グループをインポートできます。その後、同じグループポリ
シー モデルに基づいて、ユーザ アクセスからアプリケーションまでエンドツーエンドでポ リシーを定義できます。これにより、シンプルで拡張性に優れたポリシーの自動実装が可 能になるため、ユーザやワークロードのモビリティに対応できるようになります。
詳細と図については、「ファブリック外部接続」の章を参照してください。
シスコのクラウド ポリシー プラットフォームでは、AWS などのパブリック クラウド環境 のワークロード、およびハイブリッド クラウド環境のワークロードをグループにマッピン グし、Cisco DNA Center にインポートできます。その後、Cisco DNA Center で、同じグ ループベースのポリシー コンストラクトを使用して、ユーザ/デバイス エンドポイントとパ ブリック/ハイブリッド クラウドのアプリケーションとの間でアクセス コントロール ポリ シーを定義して実装できます。これらのグループ ポリシーは、ファブリック ボーダーや互 換性のあるファイアウォールなどのポリシー適用ポイントでインスタンス化できます。
ポリシーの利点
SD-Access の自動化およびアシュアランス機能によって、ネットワーク運用がシンプルに
なって全体的なコストが低減するだけでなく、ネットワーク運用にポリシー駆動型モデル を導入することで、新しいサービスの導入に必要な時間を短縮し、ネットワーク全体のセ キュリティを向上させることができます。以下では、これらの利点について説明します。
インフラストラクチャ設計からポリシーを分離
SD-Access は、VXLAN オーバーレイによってネットワーク接続を抽象化するのと同様に、
ポリシーの概念を抽象化し、基盤となるネットワーク トポロジから分離します。これによ り、個々のポリシー要素をオペレータが手動で定義したり更新したりせずに、ネットワー ク設計を変更できるようになります。
SD-Access では、ポリシーの適用にファブリック ネットワーク インフラストラクチャが活
用されるため、トラフィックをファイアウォールに転送する複雑なトラフィック エンジニ アリング メカニズムが不要になり、ファイアウォールで IP-ACL が無秩序に増殖すること を防げます。
ポリシーをネットワーク トポロジから分離することで、より効率的な運用が可能になり、
ネットワークをより効果的に使用してポリシーを適用できるようになります。これにより、
新しいビジネス サービスの迅速な提供、シームレスなネットワーク モビリティの実現、日 常のネットワーク管理における全体的な工数削減を中心に、さまざまなビジネス上の利点 がもたらされます。
シンプルなポリシー定義
ビジネスと関連させてユーザが理解できる論理的グループに基づいてアクセス コントロー ル ポリシーを管理することで、日々の運用がシンプルになり、セキュリティ リスクが軽減 されます。また、コンプライアンスの実証に必要な時間と工数が削減され、監査プロセス がシンプルになります。
ポリシーの自動化
ID に基づいてエンドポイントとそのグループを動的に関連付けることで、エンドポイント を適切なネットワーク セグメント上に維持するために必要な運用上のオーバーヘッドが削 減されます。また、エンタープライズ セキュリティ全体が強化され、ユーザやデバイスの モビリティに対応する必要がある環境では特に有効となります。
古い方法で必要な時間や複雑さは、エンタープライズ ネットワーク内のデバイス数および 各デバイスで実行されるタスク数に比例します。SD-Access では、これらのアクティビティ がシンプルになるだけでなく、実行も大幅に高速化され、はるかに簡単に設計、導入、運 用、管理できるようになります。
Cisco DNA Center では、SD-Access 用の AAA 設定(認証、認可、アカウンティング)も 自動化されています。これには、ネットワーク上のユーザやデバイスの認証を開始するた めにファブリック エッジ デバイスで必要なすべてのグローバル レベルの設定およびポート レベルの設定が含まれます。Cisco SD-Access ソリューションには AAA テンプレートが用 意されているため、ポリシーを簡単に定義してファブリックに展開することができます。
ポリシーベースのエンタープライズ オーケストレーション
SD-Access ポリシー モデルでは、セグメンテーション、セキュリティ、コンプライアンス、
セキュリティ脅威に対するリアルタイムの対応などの使用例を対象とする、膨大な数のア プリケーションを開発できるプラットフォーム、およびファブリック内で多様なサービス を提供する機能が用意されています。
図 クローズドループの自動化およびプログラマビリティ プロセス