Comments
Description
Transcript
Cisco Group Encrypted Transport VPN
データ シ ート Cisco Group Encrypted Transport VPN - WAN 上で暗号化 と 認証を実現する ト ン ネルレ ス VPN 製品の概要 音声アプ リ ケーシ ョ ンやビデオ アプ リ ケーシ ョ ン な ど、今日のネ ッ ト ワー ク 化 さ れた アプ リ ケー シ ョ ンでは、 ブ ラ ンチ間を相互接続する ために、 QoS (Quality Of Service) に対応 し た WAN が急 速に必要にな っ て き てい ます。 こ れ ら のアプ リ ケーシ ョ ンは分散処理が基本 と な る ため、 ス ケー ラ ビ リ テ ィ の必要性 も 増 し てい ます。 同時に、 企業の WAN テ ク ノ ロ ジーでは、 QoS 対応のブ ラ ンチ間相互接続 と ト ラ ン ス ポー ト セキ ュ リ テ ィ の間の ト レー ド オ フ を避け る こ と はで き ません。 ネ ッ ト ワ ー ク セキ ュ リ テ ィ の リ ス ク が増大 し 、 規制への準拠が不可欠にな っ てい る 中で、 ネ ッ ト ワ ー ク イ ン テ リ ジ ェ ン ス と デー タ プ ラ イ バシーの両方を実現す る 次世代の WAN 暗号化テ ク ノ ロ ジー と し て、 シ ス コ ではCisco® Group Encrypted Transport VPN を提供 し てい ます。 Cisco Group Encrypted Transport は、 ト ン ネルの必要がない、新 し いカ テ ゴ リ の VPN (Virtual Private Network) を可能に し ます。 ポ イ ン ト ツーポ イ ン ト ト ン ネルを不要にす る こ と で、 分散ブ ラ ンチ ネ ッ ト ワ ー ク で QoS、 ルーテ ィ ン グ、 マルチキ ャ ス ト な ど、 音声 と ビデオの品質に不可欠なネ ッ ト ワ ー ク イ ン テ リ ジ ェ ン ス機能を維持 し た ま ま、 規模を拡張で き ます。 Group Encrypted Transport は、 「信頼で き る 」 グ ループ メ ン バー と い う 概念に基づ く 、 新 し い、 標準ベー ス の IPSec (IP Security) セキ ュ リ テ ィ モデルです。 信頼で き る メ ンバー ルー タ は、 あ ら ゆ る ポ イ ン ト ツーポ イ ン ト IPSec ト ン ネル関係か ら 独立 し た、 共通のセキ ュ リ テ ィ 方式を使用 し ます。 Group Encrypted Transport ベース のネ ッ ト ワー ク は、IP お よ び MPLS(Multiprotocol Label Switching; マルチプ ロ ト コ ル ラ ベル ス イ ッ チン グ) を含む、 さ ま ざ ま な WAN 環境で使用で き ます。 こ の 暗号化テ ク ノ ロ ジーを使用 し た MPLS VPN は、 高い ス ケー ラ ビ リ テ ィ を持ち、 管理性に優れ、 コ ス ト 効果が高 く 、 規制の暗号化要件を満た し ます。 Group Encrypted Transport の持つ柔軟性に よ り 、 セキ ュ リ テ ィ に重点を置いてい る 企業では、 サービ ス プ ロ バ イ ダーの WAN サービ ス上で自 社のネ ッ ト ワ ー ク セキ ュ リ テ ィ を管理 し た り 、暗号化サービ ス を プ ロ バ イ ダーに委託す る こ と が で き ます。 Group Encrypted Transport に よ り 、 部分 メ ッ シ ュ ま たはフル メ ッ シ ュ の接続が必要な 大規模な レ イ ヤ 2 ネ ッ ト ワ ー ク ま たは MPLS ネ ッ ト ワ ー ク のセ キ ュ リ テ ィ 保護が簡素化 さ れ ま す。 主な機能 と 利点 Group Encrypted Transport は、 標準ベース のテ ク ノ ロ ジーに基づいて構築 さ れてお り 、 ネ ッ ト ワー ク フ ァ ブ リ ッ ク 内でルーテ ィ ン グ と セキ ュ リ テ ィ を簡単に統合で き ます。 安全な グループ メ ン バーは、 IETF 標準の Group Domain of Interpretation (GDOI) を通 じ て管理 さ れます。 セキ ュ リ テ ィ ポ リ シー配布の簡素化 GDOI に よ り 、 ト ン ネル エン ド ポ イ ン ト 設定の必要性が軽減 さ れます。 キー サーバは、 登録お よ び認証 さ れたすべての メ ンバー ルー タ にキー と ポ リ シーを配布 し ます (図 1)。 All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 1 of 5 データ シ ート 図1 GDOI を使用 し たキー と ポ リ シーの配布 ポ リ シーを中央の集中管理ポ イ ン ト か ら 配布 し 、認証済みのグループ メ ンバー間で同一のグルー プ セ キ ュ リ テ ィ ア ソ シエーシ ョ ン を共有す る こ と に よ り 、 キーの配布 と 管理が大幅に簡素化 さ れます。 IP ルーテ ィ ン グの保持 Group Encrypted Transport 対応のセキ ュ リ テ ィ モデルでは、 従来の IPSec オーバーレ イ ではな く 、 既存のルーテ ィ ン グ イ ン フ ラ ス ト ラ ク チ ャ を使用 し ます。 デー タ パケ ッ ト には元の IP 送信元ア ド レ ス と 送信先ア ド レ ス が保持 さ れます (図 2)。 Group Encrypted Transport では、 IPSec パケ ッ ト 内に元の IP ヘ ッ ダーを保持す る ため、 組織は既存の レ イ ヤ 3 ルーテ ィ ン グ情報を利用で き ます。 そのため、 マルチキ ャ ス ト レ プ リ ケーシ ョ ン の非効率性に対処で き 、 ネ ッ ト ワ ー ク パフ ォ ーマ ン ス が向上 し ます。 図2 IPSec と Group Encrypted Transport の IP ルーテ ィ ングの比較 ま た、 Group Encrypted Transport では、 すべてのサ イ ト 間で、 中央のハブ サ イ ト を経由 し ないダ イ レ ク ト で常時ア ク テ ィ ブな通信を実現する こ と に よ り 、 音声やビデオな ど、 遅延に よ っ て問題 が生 じ やすい ト ラ フ ィ ッ ク について遅延 と ジ ッ タ を低減で き ます。 さ ら に、 IPSec で暗号化 さ れ る ネ ッ ト ワ ー ク ではブ ロ ー ド キ ャ ス ト ト ラ フ ィ ッ ク の レ プ リ ケーシ ョ ンが不要なため、IP レ イ ヤ 3 の VPN におけ る マルチキ ャ ス ト ト ラ フ ィ ッ ク の負荷が軽減 さ れます。 表 1 に Group Encrypted Transport VPN の主な機能を ま と め ます。 All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 2 of 5 データ シ ート 表 1. 主な機能 機能 説明 Group Domain of Interpretation(GDOI) GDOI (RFC 3547) は、 許可 さ れた グループ メ ンバー ルー タ 間でセキ ュ リ テ ィ ア IP ヘ ッ ダーの保持 IPSec パケ ッ ト 内に元の IP ヘ ッ ダーが保持 さ れます。 キー と ポ リ シーの 中央集中型管理 中央に位置す る キー サーバ (通常はヘ ッ ド エン ド ルー タ ) が、 許可 さ れた グルー ソ シエーシ ョ ン を確立す る 主要な管理プ ロ ト コ ルです。 プ メ ンバー ルー タ に対 し て、 キー、 キーの再生成 メ ッ セージ、 お よ びセ キ ュ リ テ ィ ポ リ シーを プ ッ シ ュ し ま す。 ロ ーカル ポ リ シー と 、 グループ内のすべての メ ンバーに適用 さ れ る グ ロ ーバル ポ リ シーの両方がサポー ト さ れます (すべての ト ラ フ ィ ッ ク を暗号化す る 「permit any any」 な ど)。 キー サーバの ハイ アベ イ ラ ビ リ テ ィ キー と ポ リ シーを プ ッ シ ュ す る キー サーバは、 キーお よ びポ リ シー デー タ ベー ス を セ カ ン ダ リ キー サーバ と 同期す る こ と に よ り 、 ハ イ アベ イ ラ ビ リ テ ィ を実 現 し ます。 ア ン チ リ プ レ イの サポー ト 暗号化のサポー ト ア ンチ リ プ レ イ サポー ト に よ り 、 「man-in-the-middle」 攻撃を防 ぐ こ と がで き ま す。 DES (Data Encryption Standard; デー タ 暗号規格)、3DES (Triple DES)、お よ び AES (Advanced Encryption Standard; 高度暗号化規格)。 ハー ド ウ ェ アのサポー ト IPSec 暗号化のハー ド ウ ェ ア ア ク セ ラ レーシ ョ ンに よ り 、 パフ ォーマ ン ス要件を満たす こ と がで き る よ う にな り ます。 IPSec を使用す る と き は、 常に IPSec のハー ド ウ ェ ア ア ク セ ラ レーシ ョ ン を使用す る こ と をお勧め し ま す。 IPSec ア ク セ ラ レ ーシ ョ ン と Group Encrypted Transport フ ィ ー チ ャ セ ッ ト は、 Cisco ISR (Integrated Services Router; サービ ス統合型ルー タ )、 Cisco 7200 シ リ ー ズ ルー タ 、 お よ び VPN モジ ュールを備えた Cisco 7301 ルー タ のオン ボー ド 暗号化機能に よ っ て サポー ト さ れます。 シ ス コ ルー タ のア ク セ ラ レーシ ョ ン サポー ト については、 表 2 を参照 し て く だ さ い。 表 2. シ ス コ によ る GET VPN のハー ド ウ ェ ア サポー ト 機能 プ ラ ッ ト フ ォ ーム Cisco VPN ア ク セ ラ レーシ ョ ン GET VPN グループ メ ン バー Cisco 850、 870 シ リ ーズ、 オ ン ボー ド の IPSec ア ク セ ラ レーシ ョ ン お よ び Cisco ISR 1800、 2800、 3800 シ リ ーズ Cisco ISR 1841、 2800、 Cisco AIM-VPN-II-PLUS、 AIM-VPN/SSL お よ び 3800 シ リ ーズ モジ ュ ール Cisco 7200 シ リ ーズ Cisco VPN Acceleration Module 2+ お よ び 7301 ルー タ GET VPN キー サーバ Cisco ISR 3800 シ リ ーズ、 Cisco AIM-VPN/SSL モジ ュ ール (Cisco ISR)、 Cisco 7200 シ リ ーズ、 Cisco VPN Acceleration Module 2+ (Cisco 7200 お よ び 7301 ルー タ シ リ ーズお よ び 7301 ルー タ ) Cisco Group Encrypted Transport の利点 Group Encrypted Transport は、 マルチキ ャ ス ト ト ラ フ ィ ッ ク と ユニキ ャ ス ト ト ラ フ ィ ッ ク の暗号 化お よ び認証に よ っ て GDOI を拡張する こ と で、 さ ま ざ ま な アプ リ ケーシ ョ ンに メ リ ッ ト を も た ら し ます。 All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 3 of 5 データ シ ート • デー タ セキ ュ リ テ ィ と ト ラ ン ス ポー ト 認証が提供 さ れ る ので、 すべての WAN ト ラ フ ィ ッ ク を暗号化す る こ と で、 セキ ュ リ テ ィ 準拠や内部規制の要件を満たす こ と がで き ます。 • グループ暗号キーを使用す る こ と で、 高ス ケールのネ ッ ト ワー ク メ ッ シ ュ を可能に し 、 ピ ア ツーピ アの複雑な キー管理を排除で き ます。 • MPLS ネ ッ ト ワ ー ク で、 フル メ ッ シ ュ 接続、 ナチ ュ ラ ル ルーテ ィ ン グ パ ス、 QoS な ど のネ ッ ト ワー ク イ ン テ リ ジ ェ ン ス を維持で き ます。 • 中央の集中管理キー サーバで メ ンバシ ッ プ を簡単に制御で き ます。 • 中央のハブ サ イ ト を経由する 必要がないダ イ レ ク ト で常時ア ク テ ィ ブな通信をサ イ ト 間で実 現す る こ と に よ り 、 遅延 と ジ ッ タ を低減で き ます。 • マルチキ ャ ス ト ト ラ フ ィ ッ ク の複製に コ ア ネ ッ ト ワ ー ク を使用 し 、 個々の ピ ア サ イ ト でパ ケ ッ ト 複製が行われない よ う にす る こ と で、 CPE (Customer Premises Equipment) お よ びプ ロ バ イ ダー エ ッ ジ暗号化デバ イ ス の ト ラ フ ィ ッ ク 負荷を軽減で き ます。 適用 ソ リ ュ ーシ ョ ン プ ラ イ ベー ト WAN 環境 ネ ッ ト ワ ー ク セキ ュ リ テ ィ の リ ス ク が増大 し 、 規制への準拠が不可欠にな っ てい る 中で、 WAN ト ラ ン ス ポー ト セキ ュ リ テ ィ の必要性が高ま っ てい ます。 MPLS ネ ッ ト ワー ク を自社管理 し てい る 企業組織や、MPLS ま たは プ ラ イ ベー ト WAN サービ ス をサービ ス プ ロ バ イ ダーか ら 購入 し た 企業組織は、 Group Encrypted Transport を自社運用 し て、 多 く のプ ラ イ ベー ト WAN の特徴であ る 任意間接続を維持 し なが ら 、 デー タ のプ ラ イ バシーを確保で き ます。 こ れに よ り 、 セキ ュ リ テ ィ 規制に準拠す る と 同時に、 自社 と サービ ス プ ロ バ イ ダーの間でのセキ ュ リ テ ィ 管理分担 と い う 、 き わめて重要なバ ラ ン ス を確保する こ と も で き ます。 公共のイ ン タ ーネ ッ ト 環境 企業の IPSec VPN が公共の イ ン タ ーネ ッ ト を経由す る場合、 Group Encrypted Transport は、 グルー プ共有キーを使用 し た コ ス ト 効果の高い方法に よ り 、 管理 し やす く ス ケー ラ ビ リ テ ィ の高いネ ッ ト ワ ー ク メ ッ シ ュ を提供する こ と で、 DMVPN (Dynamic Multipoint VPN) お よ び GRE ベース の サ イ ト 間 VPN の機能を拡張 し ます。 こ れに よ り 、 大規模なネ ッ ト ワ ー ク 展開でのキー管理が簡 素化 さ れます。 ト ン ネルレ ス ま たは ト ン ネルベー ス の環境で利用で き る Cisco IPSec サ イ ト 間 ソ リ ュ ーシ ョ ン の 比較については、 サ イ ト 間接続に関する 文書を参照 し て く だ さ い。 管理 Cisco Group Encrypted Transport は、 グループ メ ンバー ルー タ と キー サーバの両方に対 し てモニ タ リ ン グ と デバ ッ グの機能を提供する だけでな く 、 PKI 展開でデバ イ ス の安全なプ ロ ビ ジ ョ ニ ン グ を行 う ための Easy Secure Device Deployment を サポー ト し ま す。 今後、 Cisco Security Manager も サポー ト さ れ る 予定です。 提供時期 表 3 に、 Cisco Group Encrypted Transport フ ィ ーチ ャ セ ッ ト の提供時期に関する 情報を示 し ます。 表 3. 機能の提供時期 Cisco IOS 機能 プ ラ ッ ト フ ォ ームのサポー ト 提供開始 Group Encrypted Cisco 871、1812J、3700、Cisco ISR 1800、2800、3800 2006 年 11 月 Transport VPN シ リ ーズ、 Cisco 7200 シ リ ーズ、 7301 ルー タ All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. ソフ トウェア リ リ ース 12.4 (11) T Page 4 of 5 データ シ ート ソ フ ト ウ ェ アのダウ ン ロー ド Cisco IOS ソ フ ト ウ ェ アは、 Cisco Software Center か ら ダ ウ ン ロ ー ド で き ます。 Cisco IOS ソ フ ト ウ ェ ア リ リ ース 12.4 (11) T Advanced Security イ メ ージ以降には、 Cisco Group Encrypted Transport フ ィ ーチ ャ セ ッ ト が含まれます。 関連情報 Cisco Group Encrypted Transport の詳細については、 http://www.cisco.com/jp/go/getvpn を参照 し て く だ さ い。 ©2007 Cisco Systems, Inc. All rights reserved. Cisco、 Cisco Systems、 および Cisco Systems ロ ゴ は、 Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」 または 「partner」 という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。 (0609R) この資料に記載された仕様は予告なく変更する場合があります。 シスコシステムズ株式会社 07.01 〒 107-0052 東京都港区赤坂 2-14-27 国際新赤坂ビル東館 http://www.cisco.com/jp お問い合わせ先 ( シスコ コンタクト センター ) http://www.cisco.com/jp/go/contactcenter 0120-092-255 ( 通話料無料 ) 電話受付時間 : 平日 10:00 ~ 12:00, 13:00 ~ 17:00 お問い合せ先