Partner Support Service

Partner Support Service

シスコ　サービスAs of April 2014

インストールベース管理とアラート詳細セキュリティレビュー

Cisco Confidential 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.

インストールベース管理とアラートセキュリティ概要


PSS のセキュリティコンポーネント

How the collector in the customer’s network is made secureCollector

How data is gathered by the collector from the devices in the networkCollection

How the collected data is securely transported to the Cisco Data CenterTransmission

How data stored in the Cisco Data Center is protectedStorage

How access to the PSS Smart Portal is controlledAccess

ネットワーク上のデバイスで実行されるコマンドは、セキュリティホワイトペーパーに記載されています

IP アドレスやホスト名はパートナーの裁量によりマスク可能です


PSS データ収集概要

お客様ネットワーク内のコレクター : - 高度なセキュリティを確保- お客様ファイヤーウォール内に設置

コレクターデータ収集

シスコデータセンターへのデータ転送 : - セキュアな接続性- センシティブな情報は転送前に削除

データ転送

シスコデータセンター : − 登録済みシステムからの接続のみを受付− Cisco IT の基準に基づくファシリティの厳

重な管理

ストレージ

PSS ポータル : - セキュアログイン - パートナー様はご自身のデータのみ閲覧可能

アクセス

必要なデバイスの情報 :- インベントリ情報- ハードウェアとソフトウェアの詳細

エンドユーザー様のネットワークシスココレクターセキュアな通信シスコ

データセンター

Partner Support

Service ポータル


コレクター

コレクター


コレクター

• コレクターは “ Common Services Platform Collector (CSP-C)” と呼びます

• CSP-C は • デバイスのディスカバリー・データ収集を自動で行い、

• お客様のネットワークの情報を収集するための様々なメカニズムを提供します

コレクター

お客様ネットワークシスコ


CSP-C アプライアンス• CSP-C アプライアンスとは

• ネットワーク上の機器のディスカバリーとインベントリーデータ収集のためのプラットフォームです

• パートナー様向けのソフトウェアアプライアンスとして提供しています• アプリケーションは CentOS とバンドルされています• ISO イメージと OVF パッケージで提供しています

お客様シスコ

• サーバ上の不要なサービスは全て停止させています• その他にも Linux OS ハードニング（堅牢化）を実施し、セキュリティをさらに強化していま

す• 管理タスクには、必要なコマンドのみが実行可能な専用コマンドシェルを用います• 必要なポート以外へのアクセスを防ぐホストベースのファイアウォールがインストールされて

います• CSP-C の ISO イメージは、 Cisco UCS C シリーズサーバにもインストール可能です

コレクター


CSP-C コミュニケーションポートCSP−C では以下のようなプロトコル・ポートが使用されています

内部ネットワークからCSP-Cへの通信（パートナー様のCSP-C操作）

• TCP 22 (SSHコマンドプロンプト )• TCP 8001 (CSP-C Web UI接続 )

外部（シスコ）への通信（以下の３つのうち１つを選択します）

• TCP 5222、TCP 7337、UDP 3478、UDP 4500 (IPsec)• TCP 5222、TCP 7337 (XMPP)• TCP 443 (SSL-VPN)

コレクターからお客様ネットワーク内の各種デバイスへの通信

• ICMP (ping同等の到達可能性テスト)• TCP 23 (Telnet)• TCP 22 (SSH)• UDP 161 (SNMP)• TCP 80 (HTTP)• TCP 443 (HTTPS)

コレクター


CSP-C ユーザーインタフェース• CSP-C は以下の２つのユーザーインターフェースを持っています

• Admin シェル (CLI ベース )CSP-C セットアップに関わる基本的な管理を実施するユーザーインターフェース

• Web ユーザーインターフェース (HTTPS ベース )全てのディスカバリー・データ収集タスクを実施するユーザーインターフェース

• CSP-C には以下の３種類のユーザーが登録可能です• Administrator• Network Operator• Reports User

お客様シスコ

コレクター


データ収集（ Collection ）

データ収集


データ収集 (Collection)

• CSP-C は、デバイスの種類によって異なる情報を収集します

• データ収集には SNMP 、 CLI (TELNET/SSH) 、 SOAP-XML (HTTPS) が使われてます

• PSS スマートポータルの情報を出力するのに必要な情報のみを収集しています

• ネットワークに流れるトラフィックデータを収集したりアップロードすることはありません

• データ収集項目は、コンフィグレーションにより変更可能です

• データ収集には、デバイスの ID/ パスワード、 SNMP のコミュニティ名 (Read Only ）が必要

となります

データ収集


データ収集プロファイル (Collection Profile)

デバイスのプラットフォーム毎に予め定義されたデータ項目について、何のデータをどのように収集するかについて設定するのが「データ収集プロファイル（ Collection Profile ）」です。

データ収集


収集データ

• データ収集プロファイル（ Collection Profile ）で、 CSP-C で何のデータを集めるのかを定義します

• 「最小データ収集プロファイル（ Minimum Collection Profile ）」が、 PSS 用に設計され、 CSP-C アプライアンスソフトウェアイメージに予め用意されたプロファイルです

• データ取得に使用するコマンド、 MIB 情報については、 PSS サポートコミュニティに掲載されている「 PSS インストールベース管理セキュリティ概要（ PSS Installed Base Management Security Overview ）」をご確認ください。

データ収集


データ収集に使用するプロトコル

ICMP: データ収集の前にデバイスに対する到達可能性を確認するのに使用します。

SNMP: デバイスから MIB 情報を収集するのに使用します。リードオンリーアクセスのみが必要です。 SNMPv1 、 SNMPv2c 、 SNMPv3 をサポートしています。

Telnet: CLI コマンド経由でデバイスの情報を収集するのに使用します。セキュアでないので推奨されません。

SSH: CLI コマンド経由でデバイスの情報を収集するのに使用します。セキュアであり推奨されるプロトコルです。 SSH v1 と SSH v2 をサポートしています。

HTTPS/SOAP: SOAP-XML インターフェース経由で情報を収集するのに使用します。セキュアであり推奨されるプロトコルです。 Communication Manager (Call Manager) から情報を収集するのに使用します。

データ収集


CSP-C ローカルデータストレージ

• デバイスへのアクセスに必要なデバイスの ID/ パスワード、 SNMP ReadOnly コミュニティ名 (ReadOnly) は、 AES-256 アルゴリズムで暗号化されてローカルに保存されます

• デバイスから収集したデータは SQL データベースにそのまま蓄積されます

• CLI 上のユーザー名やパスワードなどのセンシティブなデータは、マスキングされた上で蓄積されます

• データマスキングルールは、セキュリティ要件に応じて追加可能です• IP アドレスとホスト名は、デバイスの匿名性を確保するために別の文字

列に置き換えることが可能です• CSP-C には、デフォルトで直近５回のデータ収集内容が蓄積されます

（この値は１から２０までの間で変更可能です）

Collection


データ収集

データプライバシー


データプライバシー

データプライバシー機能により、標準で用意されているエンドツーエンドのセキュリティをさらに向上可能ですエンドユーザー様が実際のホスト名、 IP アドレスを隠蔽することができますシスコがこれらの情報を絶対に見ないということをエンドユーザー様が担保できます

IP アドレス : 192.168.0.1ホスト名 : Able

マップされたデータ : IP アドレス : 10.10.10.1ホスト名 : Baker

Ciso Data Center

SECURE

1001011110111011011111001101100111001010100011011111111101001011110111011011111001101

1001011110111011011111001101100111001010100011011111111101001011110111011011111001101

Partner SuppoCustomer Network

データ収集

エンドユーザー様のネットワークシスココレクターシスコ

データセンターPartner Support Service ポータル


データを再生成


マップされたデータ : IP アドレス : 10.10.10.1ホスト名 : Baker


Cisco Data Center

SECURE

1001011110111011011111001101100111001010100011011111111101001011110111011011111001101

1001011110111011011111001101100111001010100011011111111101001011110111011011111001101

データ収集




データマスキング

データ収集


データマスキング機能

CSP-C には、収集データ中の文字列を正規表現を用いて置き換えたりマスキングする機能があります

ユーザー名・パスワードのような典型的なデータに対しては、シスコがデフォルトのマスキングルールを提供しますマスキングルールは追加も可能です

# username LABUSER password 0 MYPASS123

# username XXXXXXX password 0 XXXXXXXXX

Cisco Collector

SECURE

1001011110111011011111001101100111001010100011011111111101001011110111011011111001101

1001011110111011011111001101100111001010100011011111111101001011110111011011111001101

データ収集




データマスキングインターフェース

データマスキング機能は CSP-C に備わっています一般的なデータマスキングルールは、シスコが標準でご提供します

データ収集


データ転送

データ転送


データ転送

• CSP-C とシスコデータセンターの間は、 TLS で暗号化された XMPP チャネルで接続されます。 XMPP チャネルは、 IPsec の制御用通信、 XMPP による通信に使われます。

• TLS-XMPP チャネルは、シスコデータセンターと個々の CSP-C双方のデジタル証明書を使って認証されます。

• CSP-C からシスコデータセンターに対するデータ転送は、 IPsec/ESP(Encapsulating Security Payload) または HTTPS POST メソッドで行われます。

データ転送

シスコ外部ファイアウォール DMZ セグメントシスコ内部

ファイアウォール

シスコ VSG/VSA F

ファイアウォールスマート機能用設備


ストレージ

ストレージ


データストレージ

• シスコデータセンターは、ファイアウォールと侵入検知システム (IDS) をデータパスの複数個所に設置しています

• データは管理者のみ入室可能な、物理的に安全な場所に格納されています

• データは定期的にバックアップされ、離れた場所に格納されます

• アプリケーションのデータへのアクセスは、 Oracle ベースの認証を経てデータにアクセスします

ストレージ

エンドユーザー様のネットワーク

シスココレクター

セキュアなデータ転送

シスコデータセンター

Partner Support



データストレージポリシー

ポリシー 1: CSP-C からのすべてのアップロードは、システムによる再処理のために少なくとも 60日間保持されます。

ポリシー 2: CSP-C からのすべてのアップロードは、さらに 120日間アーカイブされて保持されます。これらのアーカイブはシステムによる再処理には使用されません

ポリシー 3: ポータル上のデルタレポート用の全ての履歴情報は、必ず 1年間保持されます

ポリシー 4: ユーザーによって生成された全てのレポート (PDF/XLS形式のファイル ) は、生成されてから７日以内、またはダウンロードされてから３日以内に削除されます

ストレージ


アクセス

Accessアクセス


アクセス

• PSS スマートポータルは、 Cisco.com ID による認証を採用しています

• スマートポータルへのアクセスは、 Cisco.com ID 単位で付与されます

• スマートポータルには、以下のようなセキュリティ機構が備わっています :

一意なユーザー ID とパスワードによる認証 SSL V3 サーバ認証タイムアウトが設定された安全なセッション管理階層化されたロールに応じたアクセスコントロー

ル

• Cisco 内部ユーザー利用申請をしたシスコ社員は、ビジネス上

の役割や必要性に基づいた承認プロセスを経て、承認された場合のみ利用可能となります

• 外部ユーザー PSS ポータルで管理する Entitled

Company とマッピングされた有効なCisco.com ID を持っている必要があります

エンドユーザー様のネットワーク

シスココレクター

セキュアなデータ転送

シスコデータセンター

Partner Support


アクセス


要約

コレクター- セキュリティ堅牢化- root ユーザーのアクセス無効化- 顧客のファイアウォールの内側

に　コレクターを設置

Cisco Data Center へのデータ転送 : − AES 128-bit 暗号化と HTTPS/SSL 接続− データ転送時にはセンシティブな情報は取り除か

れる

シスコデータセンター : - 登録されたシステムのみからの接続を許容- セキュアな Cisco IT の厳重な設備

PSS ポータル : - Cisco.com 認証 - パートナー様はご自身のデータのみ閲覧可能

コレクターデータ収集データ転送ストレージアクセス

エンドユーザー様のネットワークシスココレクターセキュアな通信シスコ

データセンター

Partner Support



PSS インストールベース管理セキュリティ概要（ PSS Installed Base Management Security Overview ）

PSS サポートコミュニティに掲載されている「 PSS

インストールベース管理セキュリティ概要（ PSS

Installed Base Management Security

Overview ）」をご確認ください。

Thank you.

Partner Support Service

Documents

Transcript of Partner Support Service