Dynamische Durchsetzung von Sicherheitsrichtlinien mit dem Cisco ACI Endpoint

Release Notes für Cisco Secure Firewall Threat Defense mit Firewall Management Center, Version 10

Bereitstellung und Richtlinienverwaltung
Funktionen für die Bereitstellung und Richtlinienverwaltung in Version 10.0.0

Funktion: Dynamische Durchsetzung von Sicherheitsrichtlinien mit der Cisco ACI Endpoint Update App und dem Dynamic Attributes Connector
Minimum Management Center: 10.0.0
Minimale Bedrohungsabwehr: Beliebig
Einzelheiten: Mit dem Dynamic Attributes Connector können Sie dynamische Cisco APIC-Endpunktgruppen- (EPG) und Endpunktsicherheitsgruppendaten (ESG) von Cisco APIC-Tenants an das Firewall Management Center senden.

Cisco APIC definiert Endpunktgruppen (EPGs) und Endpunktsicherheitsgruppen (ESGs), die über Netzwerkobjektgruppen verfügen. Erstellen Sie einen Konnektor im Konnektor für dynamische Attribute, der diese Daten von Cisco APIC-Tenants zum Firewall Management Center zieht, auf dem Sie diese Objekte in Zugriffskontrollregeln verwenden können.

Funktion: Gleichzeitige Bearbeitung von Zugriffskontrollrichtlinien durch mehrere Benutzer
Minimum Management Center: 10.0.0
Minimale Bedrohungsabwehr: Beliebig
Einzelheiten: Wenn in früheren Versionen zwei oder mehr Benutzer gleichzeitig eine Zugriffskontrollrichtlinie bearbeiteten, behielt der erste Benutzer, der speicherte, seine Änderungen bei, und alle anderen Benutzer verloren sofort alle ihre Änderungen. Jetzt haben diese Benutzer die Möglichkeit, ihre Änderungen selektiv zusammenzuführen, und Änderungen, die nicht mit den gespeicherten Änderungen des ersten Benutzers kollidieren, werden automatisch akzeptiert. Dies verbessert die Zusammenarbeit zwischen den Benutzern und verringert die Notwendigkeit, die Richtlinie während der Bearbeitung zu sperren.

Verschlüsselung des Datenverkehrs
Funktionen zur Behandlung von verschlüsseltem Datenverkehr in Version 10.0.0

Funktion: Neue Benutzeroberfläche für Entschlüsselungsrichtlinien, einschließlich grundlegender und erweiterter Richtlinienerstellung
Minimum Management Center: 10.0.0
Minimale Bedrohungsabwehr: Jede
Einzelheiten: Einfache Erstellung von Standard-Entschlüsselungsrichtlinien über eine neue, auf die häufigsten und effektivsten Szenarien zugeschnittene Benutzeroberfläche mit einseitiger Zertifikatsverwaltung. Oder bleiben Sie beim alten Assistenten und dem erweiterten regelbasierten Richtlinieneditor.

Nach dem Upgrade des Firewall Management Centers werden die vorhandenen Richtlinien als Legacy-Richtlinien gekennzeichnet und funktionieren weiterhin wie bisher. Sie können von einer Standardrichtlinie zu einer Legacy-Richtlinie wechseln, aber nicht von Legacy zu Standard.

Funktion: Ändern von Serverzertifikaten ohne Auswirkung auf die Entschlüsselung durch Verwendung eines internen Zertifikats zum Ent-/Entschlüsseln des Datenverkehrs
Minimum Management Center: 10.0.0
Minimum Bedrohungsabwehr: 10.0.0
Einzelheiten: Sie können jetzt ein Zertifikat und einen Schlüssel, die in der Entschlüsselungsregel definiert sind, zur Entschlüsselung des Datenverkehrs verwenden. Bei diesem Zertifikat und Schlüssel kann es sich um das Zertifikat des internen Servers oder um ein anderes Zertifikat handeln; darüber hinaus können Sie das Zertifikat und den Schlüssel jederzeit ändern. Sie können das Zertifikat über die API, ein System wie Automated Certificate Management Environment (ACME) oder über die Objektverwaltung ersetzen.

Gesundheitsüberwachung
Funktionen zur Zustandsüberwachung in Version 10.0.0
Funktion: Ereignisdatenbankwarnungen bei fehlgeschlagenen Verbindungen
Minimum Management Center: 10.0.0
Minimale Bedrohungsabwehr: Beliebig
Einzelheiten: Das MonetDB-Statistik-Zustandsmodul warnt jetzt, wenn keine aktiven Verbindungen zur Ereignisdatenbank bestehen, was auf einen Verbindungsfehler hindeuten kann.

Hohe Verfügbarkeit/Skalierbarkeit
Besonderheit: Mehr Container-Instanzen (21) auf der Secure Firewall 4225 im Multi-Instanz-Modus
Minimum Management Center: 10.0.0
Minimale Bedrohungsabwehr: 10.0.0
Einzelheiten: Die Secure Firewall 4225 im Multi-Instanz-Modus unterstützt jetzt 21 Container-Instanzen. Das bisherige Limit lag bei 14.

Funktion: Cluster-Redirect: Flow-Offload-Unterstützung für den asymmetrischen Cluster-Verkehr der Secure Firewall 4200
Minimum Management Center: 10.0.0
Minimale Bedrohungsabwehr: 10.0.0
Einzelheiten: Bei asymmetrischen Datenströmen ermöglicht Cluster Redirect dem Weiterleitungsknoten, Datenströme auf die Hardware zu verlagern. Diese Funktion ist standardmäßig aktiviert, kann aber mit FlexConfig konfiguriert werden.

Wenn der Verkehr für einen bestehenden Fluss an einen anderen Knoten gesendet wird, wird dieser Verkehr über den Cluster-Kontroll-Link an den Eigentümerknoten umgeleitet. Da asymmetrische Flüsse viel Verkehr auf dem Cluster-Kontroll-Link erzeugen können, kann die Auslagerung dieser Flüsse durch den Forwarder die Leistung verbessern.

Hinzugefügte/geänderte Befehle: flow-offload cluster-redirect (FlexConfig), show conn, show flow-offload flow, show flow-offload info

Funktion: IPsec-Flow-Offload für Datenverkehr auf dem Cluster-Kontroll-Link auf der Secure Firewall 4200 im verteilten Site-to-Site-VPN-Modus
Minimum Management Center: 10.0.0
Minimale Bedrohungsabwehr: 10.0.0
Einzelheiten: Bei asymmetrischen Flüssen im verteilten Site-to-Site-VPN-Modus ermöglicht die IPsec-Flow-Offload-Funktion dem Eigentümer des Flusses jetzt die Entschlüsselung des IPsec-Verkehrs in Hardware, der über den Cluster-Kontroll-Link weitergeleitet wurde. Diese Funktion ist nicht konfigurierbar und ist immer mit IPsec-Flow-Offload verfügbar.

Hinzugefügte/geänderte Befehle: show crypto ipsec sa detail