【CCNP】勉強したことまとめPart18
こんにちは!
Kaetecの中の人です!
本日はアウトプットです。
TrustSecの知識についてまとめていこうと思います!
TrustSecとは
TrustSecとはアクセス制御機能の一つです。
正式にはCisco TrustSecといいます。
その名の通り、Cisco固有の単語です。
TrustSecには3つの特徴があります。
・ユーザー認証を使ってユーザーを識別
・ユーザ、デバイス、宛先ネットワークをグループとして定義
・グループごとに通信の許可や拒否を設定可能
TrustSecによるサーバへのアクセスの流れは下記です。
1.認証を要求(PC等⇒ISE)
2.認証情報からSGを確認(ISE⇒PC等)
3.認証後サーバにアクセス
ーーーここまでで接続は完了ーーー
ーーーここからはTrustSecによるアクセス制御ーーー
4.パケットに適切なSGTを付与(TrustSecドメインの入り口の機器が実施)
5.エンドポイント(TrustSecドメインの出口の機器)がSGACLに従ってフィルタリング
6.許可ならばSGTを外して転送、拒否ならばパケットを破棄
上記には専門用語も多く「??」となったので専門用語についてもまとめます。
・TrustSecドメイン
TrustSecドメイン(TrustSecネットワークとも呼ぶ)はTrustSecに対応した機器で構成されるネットワークのことです。
TrustSec内のパケットにはSGTが付与されます。
・SG
SG(Security Group)とは特定の条件によって分類されたグループのことです。
・SGT
SGT(SG Tag)とは送信元のSGを示すためにパケットに付与されるタグのことです。
以下の情報を元にSGを判断してタグを付与します。
・認証情報
・IPアドレス
・VLAN
・SGACL
SGACL(SG Access Control List)とはSGTを利用したアクセス制御を行うためのリストです。
セキュリティポリシーに従ってフィルタリングを行います。
エンドポイント(スイッチやルーター等)にISEから配布されます。
ISE
ISE(Identity Services Engine)とはユーザー認証やTrustSecなどのセキュリティを提供するアプライアンスのことです。
RADIUSサーバとしてAAAを一元管理し、SGTやSGACLも一元管理できます。
おわりに
本日はTrustSecについてまとめてみました。
RADIUSやAAAなんかは以前勉強した単語だったのでこういうところで出てくるんだなーっと知識が繋がっていく感じがして楽しいですね。
次回もセキュリティ関連について引き続き勉強していきます!!
情シスの運用やインフラの構築などでお困りの方は是非ご覧ください!!