こんにちは、セキュリティ担当と吉村と申します。

前回は、ISEの構成について紹介させていただきましたが、今回はライセンスについてご紹介させていただければと思います。

ISEのライセンスはVer 3.0からスマートライセンスへと形態が変更されております。

本記事では、Ver 2.7以前までのライセンス体系と、Ver 3.0以降のライセンス体系の紹介を致します。

ISE Ver 2.7以前のライセンス体系

※このバージョンのライセンスは既にEoS(End of Sale、販売終了)になっております。

ライセンスの種類としましては、Base、Plus、Apex、Device Adminの4種類があります。

恒久利用型の無期限のBaseライセンスを基本として、必要な機能に応じて、サブスクリプション型のPlusライセンスやApexライセンスなどをアドオンで買っていく形になります。

イメージとして以下のようになっております。

詳細につきましては、以下リンクの表 1. Cisco ISE ライセンス パッケージをご参照ください。

Ver2.7のライセンスの提供形態はPAKとなります。

※PAK：Product Activation Key

また、これらの各機能ライセンスは、最大同時接続エンドポイント数分の購入が必要となります。

Device Adminライセンスにつきましては、インストールするPSN Nodeの台数分だけ購入する必要がありますので、ご注意ください。

ISE Ver 3.0以降のライセンス体系

ライセンスの種類としましては、Essentials、Advantage、Premierの3種類のメインのライセンスに加えてDevice Adminライセンスを合わせた4種類のライセンスがあります。

メインのライセンスは階層型のライセンスとなっており、上位のライセンスは下位のライセンスの機能を内包する形になりますので、Premierでサポートされる機能を使用されたい場合は、Premierのみ購入いただければ、EssentialsとAdvantageでサポートされる機能も問題なく使うことが出来ます。

また、ライセンスの形態が、従来の恒久利用の無期限型からサブスクリプション型へと変更されております。

※Device Adminライセンスにつきましては、従来通りインストールするPSN Nodeの台数分だけ購入する必要がありますので、ご注意ください。

※サブスクリプションの期間は1~60か月の間で指定することが可能です。

従来のライセンスと大きな違いとして、スマートライセンス対応となりました。

スマートライセンスにつきましては、弊社下記のブログをご参照ください。

※スマートライセンス化に伴い、スマートアカウントが必須になっております。

Out of Compliance状態の挙動

スマートライセンス対応製品になりましたため、ライセンス認証というのが行われるようになっております。

その際に、ライセンス認証が失敗したときなどに遷移するOut of Compliance状態についてご説明いたします。

ISEが、以下の二つの条件のどちらかが満たす場合にOut of Complianceになります。

・ライセンス購入数量に対して、認証セッション数が125%を超えた時

・ライセンスの有効期限が切れた場合

また、ライセンス有効期限の90日前、60日前、30日前にアラートがそれぞれ出力され、有効期限の前30日間はアラートが毎日出力されます。

そして、直近60日間中45日間以上、ISEがOut of Compliance状態になった際の影響は以下になります。

・エンドユーザに影響はなく、既存の構成は中断なく動作し続ける

・Out of Complianceになったライセンスに関連する機能の可視性と管理が影響を受ける。

つまり、認証サービス自体は影響を受けず動作致しますが、ログやダッシュボード上での設定画面などが見えなくなります

以下のメーカガイドに上記の記載ありますので、併せてご参照ください。

>5. Cisco ISE ordering (SKUs) and entitlement information

>5.1 Cisco ISE License Ordering

>5.1.1 Cisco ISE License Entitlement

Ver 2.7以前からVer 3.0以降へのマイグレーション

本記事でご説明してきたように、ライセンスの形態がVer 3.0より大きく変わっております。

そのため、Ver 2.7以前からVer 3.0以降にバージョンアップした際にライセンスがどのように変更されるかをご説明いたします。

Ver 2.7以前のライセンスが適用されているISEをVer 3.0以降にバージョンアップをした場合、ライセンスは自動的にVer 3.0以降に対応するライセンスに変換されます。

新旧ライセンスの対応付けは以下になります。

また、BaseライセンスとPlusライセンスの数量に差異があった場合、以下のような形で変換されます。

BaseライセンスとPlusライセンスとApexライセンスの数量に差異があった場合、以下のような形で変換されます。

また、変換時の注意点が2点あります。

一つ目が有効期限です。

Ver 2.7以前のBaseライセンスは恒久利用のライセンスになりますが、変換後のVer 3.0以降のライセンスはサブスクリプション型になります。

そのため、Baseライセンスを変換した後のライセンスでは有効期限が設定されるようになり、2023/10/31が有効期限となります(この日付は固定で延長不可です)。

PlusライセンスやApexライセンスはサブスクリプション型のライセンスですので、変換後の有効期限はPlusライセンスやApexライセンスの有効期限を引き継ぐ形となります。

2つ目が、ライセンスの変換が必要になります。

自動的に変換されると記載致しましたが、自動で変換されるのはISE側のライセンスになり、PAKとして持っているライセンスは、手動でスマートライセンスに変換をする必要があります。

変換手順につきましては、下記のメーカのマイグレーションガイドの以下の章に記載がありますので、こちらご参照して頂ければと思います。

>How to migrate from old Cisco ISE Base, Plus, and Apex licenses to new Cisco ISE Essentials, >Advantage, and Premier licenses

また、上記で説明したライセンスを変換したときの新旧ライセンスの対応付けや有効期限の件も記載されておりますので、一度ご参照いただけますと幸いです。

本記事ではISEのライセンスについて紹介していきました。

今後もセキュリティやエンタープライズ関連のブログを掲載していければと思っておりますので、ぜひ継続的なチェックをいただけますと幸いです！