概要
Cisco ACI のセキュリティ
Cisco ACI の概要
シスコ アプリケーション セントリック インフラストラクチャ
（ACI）は、
アプリケーション導入の
ライフサイクル全体を大幅にシンプル化、最適化、加速化する革新的なアーキテクチャです。
Cisco ACI は、包括的なシステムベースのアプローチを用いており、物理要素と仮想要素を
緊密に統合し、
オープン エコシステム モデル、革新を続ける特定用途向け集積回路（ASIC）
、
ハードウェア、
ソフトウェアまでを含んでいます。
この独自のアプローチでは、
シスコ アプリケ
ーション セントリック インフラストラクチャ
（コンピューティング、将来のストレージ）
をサポー
トするネットワークとセキュリティ要素間で共通となるポリシーベースの運用モデルを採用し
ています。
これにより、IT 環境のサイロ化を克服し、
コストや複雑性を大幅に軽減できます。
Cisco ACI が対応するセキュリティの問題
Cisco ACI は、次世代型データセンターとクラウド環境のセキュリティとコンプライアンスの
課題に応えます。
企業が次世代型データセンターとクラウド環境に移行する中で、オンデマンド プロビジョニ
ングとアプリケーションの動的な拡張をサポートするために、セキュリティ ポリシーの自動
化が必要になっています。手作業によるデバイス中心型のセキュリティ管理では、
ミスが発生
しやすく、セキュリティを確保できません。俊敏なデータセンター環境でアプリケーションの
ワークロードを増加、変更、および移動させるには、
アプリケーション エンドポイントにセ
キュリティ ポリシーを適用する必要があります。
また、East-West トラフィックのセキュリティ
を保護し、
アプリケーションのモビリティを処理するには、ポリシーを動的に作成および削除
できなければなりません。
さらに、新しい高度なターゲット攻撃を特定して軽減し、テナント
のセキュリティを保護するには、
トラフィックの可視性が重要になります。
これらの新しい要件に対応しながら、決済カード業界データのセキュリティ基準（PCI）や医
療保険の相互運用性と説明責任に関する法律（HIPAA）など、業界の規制に準拠することが
求められています。
次世代型データセンターおよびクラウドのための Cisco ACI セキュ
リティ
Cisco ACI セキュリティ ソリューションは、包括的なシステムベースのアプローチによって、
次世代型データセンターおよびクラウド環境のセキュリティ ニーズに応えます（図 1）。代替
として使用されるオーバーレイベースの仮想化ネットワーク セキュリティ ソリューションは
可視性と拡張性が限定されてしまい、
またアンダーレイとオーバーレイのネットワーク デバ
イスとセキュリティ ポリシーを別個に管理する必要があります。
これに対して Cisco ACI セ
キュリティ ソリューションでは、
アプリケーション中心型のアプローチと共通のポリシーベー
スの運用モデルによって、
コンプライアンスを確保してセキュリティ違反のリスクを軽減しな
がら、次世代型データセンターのセキュリティ ニーズに独自の方法で対応できます。
Cisco ACI セキュリティでは、統合されたセキュリティ ポリシー ライフサイクル管理が実現
し、データセンター内のあらゆる物理および仮想ワークロードにポリシーを適用できます。
レ
イヤ 4 から 7 へのセキュリティ ポリシーが完全に自動化され、広範なエコシステムをサ
ポートする多層防御戦略の下で、高度な可視性とポリシー コンプライアンスの自動化が確
保され、脅威の検出と緩和が迅速に行われます。Cisco ACI は、
アプリケーション中心型の動
的なセグメンテーションによる、
アプリケーションに重点を置いた唯一のアプローチです。
図 1. Cisco ACI は次世代型データセンターおよびクラウドのセキュリティ要件に対応
SharePoint
Oracle
Exchange
SAP
アプリケーショ
ン言語によっ
て示されたセ
キュリティ
VM VM VM VM VM
シンプルなポリ
シーベースのセ
グメンテーション
レイヤ 4 から
7 へのサービス
自動化とオープン
エコシステム
可視性、
分析、調査
コンプライアン
スの自動化と
監査の一元化
物理環境と仮想環境にわたる一元化されたセキュリティ
Cisco ACI セキュリティの主なメリット
Cisco ACI セキュリティの主要な機能とメリットには次のものがあります。
• アプリケーション中心型のポリシー モデル：Cisco ACI ではエンドポイント グループ
（EPG）
とコントラクトによる高レベルの抽象化が可能であり、ネットワーク トポロジでは
なくアプリケーション言語を使用して、ポリシーをより簡単に定義できます。Cisco ACI の
ホワイトリストベースのポリシー アプローチではゼロトラスト モデルがサポートされてお
り、EPG 間のトラフィックがポリシーによって明示的に許可されていない限り、EPG 間の
トラフィックが拒否されます。
• レイヤ 4 から 7 をカバーする統合セキュリティ ポリシー管理：Cisco ACI では、物理的お
よび仮想的な境界を超えて、
またサードパーティ製デバイスにも適用できる統合されたア
プリケーション中心型のポリシー モデルによって、
レイヤ 4 から 7 のセキュリティ ポリ
シーを自動化し、
アプリケーションのコンテキストから一元的に管理できます。
このアプ
ローチによって、セキュリティを犠牲にすることなく運用の複雑性が低減され、IT の俊敏
性が高まります。
© 2014 Cisco and/or its affiliates. All rights reserved. Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。
シスコの商標の一覧は www.cisco.com/go/trademarks に掲
載されています。掲載されている第三者の商標はそれぞれの権利者の財産です。
「パートナー」
または「partner」
という用語の使用はシスコと他社との間のパートナーシップ関係を意味するものではありません。(1110R)
概要
• ポリシーベースのセグメンテーション：Cisco ACI では、
グループ ポリシーに基づいた、
物理および仮想両方のエンドポイントの詳細かつ柔軟なセグメンテーションが可能です。
これによってコンプライアンスの対象範囲が狭まり、セキュリティ リスクが軽減されます。
• コンプライアンスの自動化：Cisco ACI によって、
ファブリック内の構成が常にセキュリ
ティ ポリシーに適合するようになります。Cisco API を使用すれば、Cisco Application
Policy Infrastructure Controller（APIC）からポリシーと監査ログを取得し、
コンプライアン
ス報告（PCI コンプライアンス報告など）を作成できます。
この機能によって IT リスク ア
セスメントをリアルタイムに行うことで、企業のコンプライアンス違反のリスクが軽減され
ます。
• East-West トラフィックのためのレイヤ 4 のセキュリティ統合：Cisco ACI ファブリックに
は、分散型レイヤ 4 ステートレス ファイアウォールが組み込まれており、
アプリケーション
コンポーネント間、およびデータセンター内のテナント間の East-West トラフィックのセ
キュリティが保護されます。
• オープンなセキュリティ フレームワーク：Cisco ACI は、オープンなセキュリティ フレーム
ワーク
（API および OpFlex プロトコルを含む）によって、データセンター内の場所に関わ
らず、
アプリケーション フロー内のレイヤ 4 から 7 の重要なセキュリティ サービス（侵入
検知システム（IDS）
と侵入防御システム（IPS）、次世代ファイアウォール サービス（Cisco
Adaptive Security Virtual Appliance（ASAv）、Cisco ASA 5585-X 適応型セキュリティ ア
プライアンス、サードパーティ製セキュリティ デバイスなど））に対する、高度なサービス
導入をサポートします。
この機能により、多層防御によるセキュリティ戦略と投資保護が実
現します。
シスコが選ばれる理由
Cisco ACI の構造的なアプローチを活用すれば、現代の動的でアプリケーション中心のデー
タセンターにセキュリティを継続的に幅広く組み入れることが可能となります。Cisco ACI セ
キュリティは、
アプリケーションおよびサービス中心型の環境全体に可視性をもたらすととも
に、あらゆる攻撃に対応します。Cisco ACI セキュリティがあれば、企業は必要な時に必要な
場所で、効果的にセキュリティ対策をすばやく展開することができます。
このソリューション
は、攻撃前（Before）、攻撃中（During）、攻撃後（After）
も、ネットワークのパフォーマンス、俊
敏性、機能を損なうことなく保護します。
詳細情報
Cisco ACI Security: A New Approach to Secure the Next-Generation Data Center
（Cisco ACI セキュリティ：次世代型データセンターのセキュリティを確保する新しいアプ
ローチ）http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/
application-centric-infrastructure/white-paper-c11-732354.html [英語]
• 高度な可視性と迅速な攻撃検出：Cisco ACI ではネットワーク トラフィック データがタイ
ムスタンプ付きで収集され、
アトミック カウンタがサポートされているため、物理および
仮想ネットワークの境界を超えて、ネットワーク インテリジェンスと高度な可視性がリアル
タイムに提供されます。
この機能により、攻撃サイクルの早い段階で攻撃検出をすばやく
行うことができます。
• インシデント対応の自動化：Cisco ACI では、
ノースバウンド API を使用してセキュリティ
プラットフォームと統合することで、ネットワーク内で特定された脅威に対する自動対応
がサポートされています。
© 2014 Cisco and/or its affiliates. All rights reserved. Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。
シスコの商標の一覧は www.cisco.com/go/trademarks に掲
載されています。掲載されている第三者の商標はそれぞれの権利者の財産です。
「パートナー」
または「partner」
という用語の使用はシスコと他社との間のパートナーシップ関係を意味するものではありません。(1110R)
C45-732546-00 09/14