シスコシステムズは2010年4月15日、2010年第2四半期をめどに全スイッチ機器に順次搭載する新たなセキュリティ機能について、実機によるデモンストレーションを示した。ネットワーク認証時に所属部署などのアクセス権限情報をタグとしてパケットに付与することで、ACLベースのアクセス制御を可能にする。
エッジ・スイッチ側では、認証(IEEE 802.1X認証、Web認証、MACアドレス認証)を経た際に、利用者が所属するグループを調べて、所属グループ情報をタグとして付与する。このタグを「Security Group Tag」(SGT)と呼ぶ。これに加え、自身ではSGTを付与しないが、他のSGT対応スイッチに認証情報を伝達してタグ付けを依頼する「SGT Exchange Protocol」(SXP)を用意している。
一方、バックエンド側のスイッチは、タグ(SGT)を利用して、タグに書かれている個別のユーザー・グループと、情報システム(サーバー・グループ)との間のアクセス制御を実施する。SGACLと呼ぶ専用のACL(アクセス制御リスト)を記述できる。アクセスが許可されている場合は、パケットからタグ情報を削除してサーバーに伝達する。
なお、上記の機能と、機能の搭載スケジュールは、2010年3月3日に発表済み。今回の発表は、実機によるデモンストレーションという位置づけ。
2010年4月15日現在、SGTを搭載した機種は、2008年2月に提供を開始した「Nexus 7000」のみ。SGACLを利用したアクセス制御とタグの削除が可能な機種も、「Nexus 7000」のみ。
一方、SGTの代替機能となるSXPは、2010年5月1日に提供を開始する2機種(「Catalyst 3750-X」と「Catalyst 3560-X」)が搭載する。
既存のスイッチ機器に関しては、2010年第2四半期のうちに、IOSのバージョン・アップというかたちで、SXPやその他の機能を追加する予定である。
常駐型VPNクライアントがインターネットへの直接接続を禁止
同日のデモンストレーションでは、同社が2010年5月に出荷を予定するSSL-VPNクライアントの新版「AnyConnect 2.5」の新機能を紹介した。
新版では、クライアントOS上で常駐動作することで、社外からインターネットへの直接アクセスを禁止する。社外のIPアドレスを持っている場合は、社内へのVPN接続を経ない限り、インターネットを利用できないという仕掛け。
AnyConnect 2.5の稼働OSは、Windows 2000以降。今後、スマートフォンなど、Windows以外のプラットフォーム用にも提供を予定する。
画面1:SGTを用いたアクセス制御の設定状況
図1:SGT/SGACLの動作概要
