コンフィグレット機能を活用したコンプライアンスチェックについて
作成日:2019年12月22日 | 更新日:2023年11月9日
対象
Network Configuration Manager
概要
Network Configuration Managerの機能である、コンフィグレット機能とコンプライアンスチェックを活用して、
NW機器のコンフィグセキュリティレベルのチェックと自動修正を実現します。
コンフィグレット機能とは?
複数のNW機器に同一コマンドを投入する際に、コマンド情報を入力したテンプレートを事前に作成することで、
同一コマンドを一括で投入することができる機能です。
この機能を使用して、これまで1台1台にログインして手動で投入していた時間の削減と、変更時の人為的ミスを減らします。
コンフィグレット機能に関するユーザーガイドはこちら
コンプライアンスチェックとは?
昨今のセキュリティ脅威に備え、各業界・企業で設定しているセキュリティ標準に対して、管理対象のNW機器が準拠/違反しているか一括でチェックする機能です。
デフォルトでは、以下のセキュリティポリシーが設定されています。
- CiscoIOSPolicy
- HIPAAPolicy
- SOXPolicy
コンプライアンスチェックに関するユーザーガイドはこちら
この2つの機能を活用し、コンプライアンスチェック時に違反があったNW機器に対して、
修正用コンフィグレットを自動投入することで、セキュリティレベルのチェックと自動修正を実現します。
実施手順
例として、Catalyst2960機器に対して以下のコンプライアンスチェックを実施
- 特定のホスト(192.168.xxx.xxx)宛にlogging設定がされていること
- 特定のホスト(192.168.xxx.xxx)宛にデフォルトゲートウェイが設定されていること
- セッションタイムアウトが5分に設定されていること
修正用コンフィグレットの作成
- [コンフィイグ自動化]→[コンフィグレット]→[CLI Configlets]画面に遷移し、画面上部の[追加]をクリック
- コンフィグレット名を任意に入力し、実行モードを選択
・スクリプト実行モード - [コンフィグレット内容]を以下のように設定
※今回の例では、3つのコンフィグレットを個々に追加します。
コンプライアンスポリシーの作成
- [コンプライアンス]→[ルール]画面に遷移し、[ルール]タブ右の"+"をクリック
- [条件の設定]→[高度な条件]より、チェック対象のコンフィグ文字列を入力
- [コンフィグレットの修正]の項目で、作成した修正用コンフィグレットを選択し、保存
※今回の例では、3つ分ルールを作成します。
- [コンプライアンス]→[ルールグループ]画面に遷移し、[ルールグループ]タブ右の"+"をクリック
- [ルールグループ名]を任意に入力後、[選択したルール]に作成した3つのルールを移動し、保存
- [コンプライアンス]→[ポリシー]画面に遷移し、[ポリシー]タブ右の"+"をクリック
- [ポリシー名]を任意に入力後、[コンフィグタイプ]、[ポリシー違反基準]を選択し、作成したルールグループを移動
- コンプライアンスチェックを実行する対象機器または装置グループを選択し、保存
- [ポリシー]画面に、ウィジェットが追加されていることを確認
コンプライアンスチェックの実行
- [コンプライアンス]→[ポリシー]画面で、作成したポリシーの[コンプライアンスチェックの実行]をクリック
100%準拠している場合には緑、1つでも違反ポリシーがある場合には赤で色分けされます。 - ポリシーウィジェットのアイコン
より、準拠/違反しているルールを確認
↓
- [設定]→[一般]→[基本設定]→[クライアント/サーバー設定]画面に遷移し、
[コンプライアンス&変更]→[コンプライアンスチェックの際は、自動的に修正コンフィグレットが実行されます]にチェックを入れ、保存
※デフォルトでは、無効になっています。
- 再度、[コンプライアンス]→[ポリシー]画面で、[コンプライアンスチェックを実行]をクリック
※コンプライアンスチェックならびに、違反時にコンフィグレットの投入が実行されます。 - 少し時間を置いた後、コンフィグが修正され、ポリシー準拠となっていることを確認
初回のコンプライアンスチェック後、手動でコンフィグレットを投入する場合、[Remediation Template]より、実行することも可能です。
↓
本来、コンフィグレット機能とコンプライアンスチェックはそれぞれ独立した機能ですが、
今回の例のように製品内で連携して使用することができます。ぜひご活用いただければと思います。