2021/12/24
次世代基盤第一技術部 第一技術室

はじめに

「Cisco SD-Access」はシスコシステムズ合同会社が提供するSDNソリューションで、三井情報の注力ソリューションの１つでもあります。過去のコラム「SD-LANってどんなもの？」では、このCisco SD-Accessの概要をご紹介しました。今回のコラムでは、Cisco SD-Accessの肝とも言える「グループベースアクセス制御」について深堀りしてみたいと思います。

Cisco SD-Accessで出来ることは何でしょう？

Cisco SD-Access（以下 SD-Access）のネットワークでは、スイッチの物理的なネットワークの上に仮想的なオーバーレイネットワークを構築します。このネットワークに接続する全てのデバイスは、基本的に何かしらの認証方式で認証することになり、その認証時に自身が属するグループのセキュリティグループタグ（以下 SGT）が割り当てられます。それ以降、そのデバイスの通信パケットには割り当てられたSGTが付加されます。

このタグを識別して制御することによって、利用者（デバイス）のIPアドレスも、接続する場所も関係なく、一貫したアクセス制御ができるようになります。これがSD-Accessの「ポリシーベースのネットワーク管理」です。

通信する利用者（デバイス）は、割り当てられたSGTによって、アクセス制御 (通信を許可するか、拒否するかを制御) が可能になります。これによりVLAN（Virtual Local Area Network、仮想LAN）、ACL（Access Control List）などで機器毎に実施してきたアクセス制御が容易になります。

恐らく、「次表1のようにユーザが所属する組織毎にグルーピングしてパケットを制御する」ということは想像できるでしょう。

■表1：所属組織とSGT紐づけ表 

ただ、「具体的にどう動作しているのか？」という問いに答えられる人は少ないのではないでしょうか？

今回はネットワークエンジニア目線で「具体的に、SGTによって、どうやって動いているのか」にフォーカスした内容をおおくりしたいと思います。

（*1 ）人が視認しやすいよう任意のセキュリティグループ名を付与します。実動作（アクセス制御）に使用されるのは SGT です。

SD-Accessには何が必要なの？

これを紐解く前に、まずはSD-Access ネットワークを構成する要素をざっくりご紹介します。

まずは、通常のネットワークと同じようにアクセスポイント、ワイヤレスLANコントローラ、スイッチなどのネットワーク機器が必要です。

これらの機器は、SD-Accessネットワークに対応している機種である必要があります。因みに現在の主流である Cisco Catalyst 9000スイッチ、および、Catalyst 9800ワイヤレスコントローラ、Catalyst 9100アクセスポイントの殆どは対応しています。

それに加え、このネットワーク機器全体の統合管理を担う「Cisco DNA Center」と認証基盤となる「Cisco Identity Service Engine（以下 ISE）」が必要になります。

今回は、「グループベースのアクセス制御」に焦点をあてていますので、ネットワーク設計・構築手法や条件についての詳細説明は割愛しますが、上記機器を利用してSD-Accessネットワーク（ファブリック）を構成します。

■図1：SD-Access構成概念図

SGTによる制御画面は至ってシンプル

SD-Accessネットワークを構成した後、そのネットワーク上でのアクセス制御を設定する必要がありますが、その設定は非常にシンプルでわかりやすいものになっています。Cisco DNA Centerの設定画面をご覧下さい。

■図2：Cisco DNA CenterでのSGTによるアクセス制御設定画面

縦軸「送信元」、横軸の「送信先（宛先）」は、セキュリティグループ名（SG Name）です。各セキュリティグループには、SGTが紐づいています。

それぞれのマスには、「通信を許可する」「通信を拒否する」「特定のアプリケーションのみ許可（または拒否）する」というフィルタリングを適用することができます。図2のマトリックスでは、送信元グループ「AD_MARKETING」から送信先（宛先）グループ「AD_SALES」へのSSHの通信のみ禁止し、それ以外の通信は許可する、という設定を施しています。

Cisco DNA Centerで設定し、ISEにその内容を連携し、ISEが必要なネットワークデバイスに対して、通信制御用のフィルタを配布します。ネットワークデバイス1台1台に手動で設定する必要はありません。これにより、複数のスイッチに個別設定することなくアクセス制御が可能になるのです。

どうやってグループベース（SGTベース）でアクセス制御をしているの？

前置きが長くなりましたが、「どうやって動いているの？」という本題に入りましょう。グループベースのアクセス制御をするには、２つの動作が必要です。

（1）適切なSGTを割り当てる
（2）SGTによるフィルタリングを実現

この2つの動作について、次の図3に示すSD-Accessネットワーク構成を基に、順を追ってみていきましょう。

■図3：SD-Accessネットワーク動作説明図

（1）SGTを割り当てる

まずはどのようにSGTを割り当てているのか見ていきます。

図3の下に示しているクライアント端末を、ファブリックエッジスイッチ（以下 FE）に接続すると認証処理されます。

ここでは、エンジニアのevaさんの端末がFE1へ、マーケティングのmarkさんの端末がFE2へ接続したとします。

ユーザ認証が成功すると、それぞれのFEはユーザとSGTを対応付けた情報を保持します。

FE1でevaさんが接続しているポートのステータスを確認してみましょう。 ユーザ名 “eva” には、SGT 2030が割り当てられていることが確認できます。

■図4：FE1での認証ステータス

FEはクライアント認証成功時にユーザのSGT割り当てていますが、その SGTの情報をFEに渡しているのはISEです。ISEには、ユーザが接続してきた際の条件に基づいて、どのSGTを割り当てるのかを、あらかじめ設定しています。

次の図5に示すのは、そのISEの設定画面の一部です。

■図5：ISEのセキュリティグループ設定画面

まず、Conditions （条件）にActive Directory（以下 AD）のグループを指定しています。このグループに属するユーザには、一番右で指定しているセキュリティグループを割り当てる、というポリシーを記述しています。

ユーザmarkさんは、“MARKETING”というADグループに属しているので、ISEのセキュリティグループ “AD_MARKETING”（実際はSGT 2020）が割り当てられることになります。

つまりクライアント端末は、SD-Accessのどこに接続してきても、認証成功時には、きちんとそのユーザのSGTが割り当てられるので「接続場所に依存しない」ということが実現可能なのです。

（2）SGTによるフィルタリングを実現

次に割り当てられたSGTによって、どのようにフィルタリングを実現しているのかというと、FEおよび ファブリックボーダースイッチ（以下 FB）は、SD-Accessファブリック内にトラフィックを送出するときに、送信元のSGTの情報をパケットに含めています。

evaさんの端末からmarkさんの端末へpingを実行した際のパケットをご覧下さい。

■図6：SD-Accessファブリック内での端末間通信パケットキャプチャ

SD-Accessファブリックでは、トラフィック転送にVXLAN（Virtual eXtensible Local Area Network）フレームを使用しており、FEはVXLANフレームにSGTを埋め込んでいるのです。SGTの情報がパケットに含まれているため、SGTを参照したパケットフィルタリングが実現でき、クライアント端末のIPアドレスに捕らわれないアクセス制御が可能となるのです。

ICMPを拒否する設定を試してみる

では、Cisco DNA CenterのSGT設定画面で、このICMP（Internet Control Message Protocol）を拒否する設定を施してみます。

■図 7：Cisco DNA CenterでのSGT設定画面でICMPをDeny設定

この通信制御ポリシーは、宛先のセキュリティグループ（AD_MARKETING）が接続されている FE に適用されます。つまり、ポリシーの適用箇所はSD-Accessから出ていく出力ポイントにて実行されるのです。図6で示すpingは、FE2のPort3（=出口）で破棄されることになります。FE2で確認してみると、Cisco DNA Centerから落とし込まれた設定が図8のように確認できます。

 ■図 8：FE2に反映されたアクセス制御に関する設定確認

まとめ

いかがでしょうか。（1）適切なSGTを割り当て、（2）SGTによるフィルタリングを実現しているロジックを理解すれば、「場所に依存しない、IPアドレスに捕らわれない、グループベースでのアクセス制御」が具体的にイメージしやすくなったのではないでしょうか。

今回の説明に用いたSD-Access構成では、クライアント端末の認証が前提となっていますが、FEの認証しない特定のポートに固定のSGTを割り当てることもできます。SD-Accessファブリックの外の従来のネットワーク上にあるデバイスには、ISEに そのデバイスのIPアドレスとSGTの対応を設定しておくことによって、SD-Accessファブリックに入ってくるFBでSGTを割り当てることも可能です。

しかしながら、このソリューションで最も難しい点は、「何をグループ分けして、どう通信制御するか？」という設計 ＝「マトリックスの定義」です。

今回は、シンプルに所属部門毎を例にお話させて頂きましたが、お客様によってどうするべきなのかは様々です。

「守るべき対象は何か？」「発生しうる通信フローは？」など考慮すべき事項を洗い出し、自社のセキュリティポリシーを策定してから、SD-Accessが自社に有効なソリューションかどうか、判断する必要があります。

昨今は、「すべてInternetの向こう側に持っていったので、社内インフラ上に守るべきめぼしい資産はほとんどない！」というお客さまも増えてきていることでしょう。そのようなお客さまは、SD-Accessの肝である「グループベースアクセス制御」の必要性は高く無いですが、「現在の社内ネットワークの通信制御ポリシーをVLANによる分割やIPアドレスによるパケットフィルタリングで実現しているけど、メンテナンスがとても大変！でも、守るべきリソース・資産は存在するから逃れられない！」

そのような課題を抱えているお客様には、解決策として、Cisco SD-Accessを検討材料に加えてみてはいかがでしょうか。

当社はCisco DNA にいち早く着目し、2017年からシスコの製品開発部門とPoCを開始、2018年以降社内検証を実施してきました。そしてこれまでに、総合商社の本社新社屋への国内最大級となる導入や、建設会社への提供など、大規模かつ先進的な実績を積み重ねています。SD-Accessをご検討の際は是非ご相談ください。

関連ページ

おすすめコラム：

SD-LANってどんなもの？

関連ニュース：

三井情報、西松建設へ次世代ネットワーク基盤を月額定額サービスで提供　2021/3/9（三井情報）

三井情報とシスコ、三井物産の世界65か国・地域132拠点へCisco DNAを提供　2021/9/9（三井情報）