Inhoud wegsteek
1 CISCO Secure Workload Sagteware
2 Inleiding tot segmentering
3 Installeer agente
4 Vinnige begin werkvloei
5 Prosedure
6 Meer inligting
7 Dokumente / Hulpbronne
7.1 Verwysings
8 Verwante plasings

CISCO-LOGO

CISCO Secure Workload Sagteware

CISCO Secure Workload Software-FIG2

Cisco Secure Workload Quick Start Guide for Release 3.8

Die Cisco Secure Workload is 'n sagteware wat gebruikers toelaat om sagteware-agente op hul toepassingswerkladings te installeer. Die sagteware-agente versamel inligting oor die netwerkkoppelvlakke en die aktiewe prosesse wat op die gasheerstelsel loop.

Inleiding tot segmentering

Die segmenteringskenmerk van die Cisco Secure Workload stel gebruikers in staat om hul werkladings te groepeer en te benoem. Dit help om beleide en prosedures vir elke groep te definieer en om veilige kommunikasie tussen hulle te verseker.

Oor hierdie gids

Hierdie gids is 'n vinnige begingids vir die Cisco Secure Workload Release 3.8. Dit bied 'n oorview van die towenaar en lei gebruikers deur die proses van installering van agente, groepering en etikettering van werkladings, en die bou van 'n hiërargie vir hul organisasie.

Toer van die towenaar

Die towenaar lei gebruikers deur die proses van installering van agente, groepering en etikettering van werkladings, en die bou van 'n hiërargie vir hul organisasie.

Voordat jy begin

Die volgende gebruikersrolle het toegang tot die towenaar:

  • Super Admin
  • Admin
  • Sekuriteit Admin
  • Sekuriteitsoperateur

Installeer agente

Om sagteware-agente op jou toepassingswerkladings te installeer:

  1. Maak die Cisco Secure Workload-assistent oop.
  2. Kies die opsie om agente te installeer.
  3. Volg die instruksies wat deur die towenaar verskaf word om die installasieproses te voltooi.

Groepeer en benoem jou werkladings

Om jou werkladings te groepeer en byskrifte te maak:

  1. Maak die Cisco Secure Workload-assistent oop.
  2. Kies die opsie om jou werkladings te groepeer en byskrifte te maak.
  3. Volg die instruksies wat deur die towenaar verskaf word om 'n tak van die omvangboom te skep en byskrifte aan elke groep toe te ken.

Bou die hiërargie vir jou organisasie

Om 'n hiërargie vir jou organisasie te bou:

  1. Maak die Cisco Secure Workload-assistent oop.
  2. Kies die opsie om die hiërargie vir jou organisasie te bou.
  3. Volg die instruksies wat deur die towenaar verskaf word om die interne omvang, datasentrumomvang en voorproduksieomvang te definieer.

Let wel: Die omvangname moet kort en betekenisvol wees. Maak seker dat jy nie adresse insluit van enige toepassings wat gebruik word om werklike besigheid te doen in die voorproduksieomvang nie.

Eerste gepubliseer: 2023-04-12
Laas gewysig: 2023-05-19

Inleiding tot segmentering

Tradisioneel is netwerksekuriteit daarop gemik om kwaadwillige aktiwiteite uit jou netwerk te hou met brandmure om die rand van jou netwerk. U moet egter ook u organisasie beskerm teen bedreigings wat u netwerk oortree het of daarin ontstaan ​​het. Segmentering (of mikrosegmentering) van die netwerk help om jou werkladings te beskerm deur verkeer tussen werkladings en ander gashere op jou netwerk te beheer; laat dus slegs verkeer toe wat jou organisasie vir besigheidsdoeleindes sou benodig, en weier alle ander verkeer. Byvoorbeeldample, jy kan beleide gebruik om alle kommunikasie tussen die werkladings wat jou publiek-gerigte huisves, te voorkom web toepassing om met jou navorsings- en ontwikkelingsdatabasis in jou datasentrum te kommunikeer, of om te verhoed dat nie-produksiewerkladings kontak maak met produksiewerkladings. Cisco Secure Workload gebruik die organisasie se vloeidata om beleide voor te stel wat jy kan evalueer en goedkeur voordat jy dit afdwing. Alternatiewelik kan jy ook hierdie beleide met die hand skep om die netwerk te segmenteer.

Oor hierdie gids

Hierdie dokument is van toepassing op Veilige Werklading-vrystelling 3.8:

  • Stel die sleutel Veilige Werklading-konsepte bekend: Segmentering, Werkladingsetikette, Bestekke, Hiërargiese omvangbome en Beleidontdekking.
  • Verduidelik die proses om die eerste tak van jou omvangboom te skep deur die eerstekeergebruikerservaring-towenaar en
  • Beskryf die geoutomatiseerde proses om beleide vir die gekose toepassing te genereer gebaseer op werklike verkeersvloei.

Toer van die towenaar

Voordat jy begin
Die volgende gebruikersrolle het toegang tot die towenaar:

  • werf admin
  • kliënte ondersteuning
  • omvang eienaar

Installeer agente

Figuur 1: Welkom venster

CISCO Secure Workload Software-FIG1

Installeer agente
In Veilige werklading kan u sagteware-agente op u toepassingswerkladings installeer. Die sagteware-agente versamel inligting oor die netwerkkoppelvlakke en die aktiewe prosesse wat op die gasheerstelsel loop.

CISCO Secure Workload Software-FIG3

Daar is twee maniere hoe jy die sagteware-agente kan installeer:

  • Agent Script-installeerder - Gebruik hierdie metode vir die installering, opsporing en foutsporing van probleme tydens die installering van die sagteware-agente. Ondersteunde platforms is Linux, Windows, Kubernetes, AIX en Solaris
  • Agent Beeld installeerder-Laai die sagteware agent beeld af om 'n spesifieke weergawe en tipe sagteware agent vir jou platform te installeer. Ondersteunde platforms is Linux en Windows.

Die aanboord-assistent lei jou deur die proses om die agente te installeer, gebaseer op die geselekteerde installeerdermetode. Verwys na die installasie-instruksies op die UI en sien die gebruikersgids vir bykomende besonderhede oor die installering van sagteware-agente.

Groepeer en benoem jou werkladings

Ken etikette aan 'n groep werkladings toe om 'n omvang te skep.
Die hiërargiese omvangboom help om die werkladings in kleiner groepe te verdeel. Die onderste tak in die omvangboom is gereserveer vir individuele toedienings.
Kies 'n oueromvang uit die omvangboom om 'n nuwe omvang te skep. Die nuwe omvang sal 'n subset van die lede van die ouer bestek bevat.

CISCO Secure Workload Software-FIG4

In hierdie venster kan jy jou werkladings in groepe organiseer, wat in 'n hiërargiese struktuur gerangskik is. Deur jou netwerk in hiërargiese groepe af te breek, maak dit voorsiening vir buigsame en skaalbare beleidontdekking en -definisie.
Etikette is sleutelparameters wat 'n werklading of eindpunt beskryf, dit word voorgestel as 'n sleutel-waarde-paar. Die towenaar help om die etikette op jou werkladings toe te pas, en groepeer dan hierdie etikette in groepe wat omvang genoem word. Werkladings word outomaties in bestekke gegroepeer op grond van hul verwante etikette. U kan segmenteringsbeleide definieer op grond van die omvang.
Beweeg oor elke blok of omvang in die boom vir meer inligting oor die tipe werkladings of gashere wat dit insluit.

Let wel

In die Begin met Bestekke en Etikette-venster is Organisasie, Infrastruktuur, Omgewing en Toepassing die sleutels en die teks in die grys blokkies in lyn met elke sleutel is die waardes.
Byvoorbeeldample, alle werkladings wat aan toepassing 1 behoort, word gedefinieer deur hierdie stel etikette:

  • Organisasie = Intern
  • Infrastruktuur = Datasentrums
  • Omgewing = Voorproduksie
  • Toepassing = Toepassing 1

Die krag van etikette en omvangbome

Etikette dryf die krag van Veilige Werklading aan, en die omvangboom wat uit jou etikette geskep word, is meer as net 'n opsomming van jou netwerk:

  • Etikette laat jou jou beleide onmiddellik verstaan:
    "Weer alle verkeer van voorproduksie tot produksie"
    Vergelyk dit met dieselfde beleid sonder etikette:
    "Weer alle verkeer vanaf 172.16.0.0/12 tot 192.168.0.0/16"
  • Beleide gebaseer op etikette is outomaties van toepassing (of hou op om toe te pas) wanneer geëtiketteerde werkladings by (of verwyder word uit) voorraad. Met verloop van tyd verminder hierdie dinamiese groeperings gebaseer op etikette die hoeveelheid moeite wat nodig is om jou ontplooiing te handhaaf, aansienlik.
  • Werkladings word in omvang gegroepeer op grond van hul etikette. Met hierdie groeperings kan jy maklik beleid toepas op verwante werkladings. Byvoorbeeldample, jy kan maklik beleid toepas op alle toepassings in die Voorproduksie-omvang.
  • Beleide wat een keer in 'n enkele omvang geskep is, kan outomaties toegepas word op alle werkladings in afstammelinge bestekke in die boom, wat die aantal beleide wat jy moet bestuur, tot die minimum beperk.
    Jy kan maklik beleid wyd definieer en toepas (bvample, na alle werkladings in jou organisasie) of nou (na net die werkladings wat deel is van 'n spesifieke toepassing) of tot enige vlak tussenin (bv.ample, aan alle werkladings in jou datasentrum.
  • Jy kan verantwoordelikheid vir elke omvang aan verskillende administrateurs toewys, en beleidbestuur delegeer aan die mense wat die meeste vertroud is met elke deel van jou netwerk.

Bou die hiërargie vir jou organisasie

Begin om jou hiërargie of omvangboom te bou, dit behels die identifisering en kategorisering van die bates, die bepaling van die omvang, die definisie van rolle en verantwoordelikhede, die ontwikkeling van beleide en prosedures om 'n tak van die omvangboom te skep.

CISCO Secure Workload Software-FIG5

Die towenaar lei jou deur die skep van 'n tak van die omvangboom. Voer IP-adresse of subnette in vir elke omvang met blou omlyn, die etikette word outomaties toegepas op grond van die omvangboom.

Voorvereistes:

  • Versamel IP-adresse/subnette wat verband hou met jou voorproduksie-omgewing, jou datasentrums en jou interne netwerk.
  • Versamel soveel IP-adresse/subnette as wat jy kan, jy kan die bykomende IP-adresse/subnette later.
  • Later, terwyl jy jou boom bou, kan jy IP-adresse/subnette byvoeg vir die ander bestekke in die boom (die grys blokke).

Voer hierdie stappe uit om die omvangboom te skep:

Definieer die interne omvang
Die interne omvang sluit alle IP-adresse in wat jou organisasie se interne netwerk definieer, insluitend publieke en private IP-adresse.
Die towenaar lei jou deur die toevoeging van IP-adresse by elke omvang in die boomtak. Soos jy adresse byvoeg, ken die towenaar etikette toe aan elke adres wat die omvang definieer.

Byvoorbeeldample, op hierdie Scope Setup-venster, ken die towenaar die etiket toe
Organisasie=Intern

na elke IP-adres.
By verstek voeg die towenaar die IP-adresse by in die privaat internetadresruimte soos gedefinieer in RFC 1918

Let wel
Al die IP-adresse hoef nie gelyktydig ingevoer te word nie, maar jy moet die IP-adresse insluit wat met jou gekose toepassing geassosieer word, jy kan die res van die IP-adresse op 'n later tydstip byvoeg.

Definieer die datasentrum-omvang
Hierdie omvang sluit die IP-adresse in wat u datasentrums op die perseel definieer. Voer die IP-adresse/subnette in wat jou interne netwerk definieer

Let wel Omvangsname moet kort en betekenisvol wees.

In hierdie venster, voer die IP-adresse in wat jy vir die organisasie ingevoer het, hierdie adresse moet 'n subset van die adresse vir jou interne netwerk wees. As jy veelvuldige datasentrums het, sluit almal by hierdie omvang in sodat jy 'n enkele stel beleide kan definieer.

Let wel

Jy kan altyd meer adresse by 'n later s byvoegtage. Die towenaar ken byvoorbeeld hierdie etikette aan elk van die IP-adresse toe:
Organisasie=Intern
Infrastruktuur=Datasentrums

Definieer die Voorproduksie Omvang
Hierdie omvang sluit IP-adresse van nie-produksie toepassings en gashere in, soos ontwikkeling, laboratorium, toets, of staging stelsels.

Let wel
Maak seker dat jy nie adresse insluit van enige toepassings wat gebruik word om werklike besigheid te doen nie, gebruik dit vir die produksieomvang wat jy later definieer.

Die IP-adresse wat u in hierdie venster invoer, moet 'n subset wees van die adresse wat u vir u datasentrums ingevoer het, insluitend die adresse van u gekose toepassing. Ideaal gesproke moet hulle ook voorproduksie-adresse insluit wat nie deel van die gekose toepassing is nie.

Let wel Jy kan altyd meer adresse by 'n later s byvoegtage.

CISCO Secure Workload Software-FIG6

Review Omvangboom, omvang en etikette
Voordat jy begin om die omvangboom te skep, herview die hiërargie wat u in die linkervenster kan sien. Die wortelomvang wys etikette wat outomaties geskep is vir alle gekonfigureerde IP-adresse en subnette. Op 'n latere stagIn die proses word toepassings by hierdie omvangboom gevoeg.
Figuur 2:

CISCO Secure Workload Software-FIG7

Jy kan takke uitbrei en invou en afrol om 'n spesifieke omvang te kies. Op die regter paneel kan u die IP-adresse en etikette sien wat aan die werkladings vir die spesifieke omvang toegeken is. Op hierdie venster kan jy herview, verander die omvangboom voordat jy 'n toepassing by hierdie omvang voeg.

Let wel
As jy wil view hierdie inligting nadat jy die towenaar verlaat het, kies Organiseer > Bestekke en Inventaris uit die hoofkieslys,

Review Omvang boom

Voordat jy begin om die omvangboom te skep, herview die hiërargie wat u in die linkervenster kan sien. Die wortelomvang wys etikette wat outomaties geskep is vir alle gekonfigureerde IP-adresse en subnette. Op 'n latere stagIn die proses word toepassings by hierdie omvangboom gevoeg.

CISCO Secure Workload Software-FIG8

Jy kan takke uitbrei en invou en afrol om 'n spesifieke omvang te kies. Op die regter paneel kan u die IP-adresse en etikette sien wat aan die werkladings vir die spesifieke omvang toegeken is. Op hierdie venster kan jy herview, verander die omvangboom voordat jy 'n toepassing by hierdie omvang voeg.

Let wel
As jy wil view hierdie inligting nadat jy die towenaar verlaat het, kies Organiseer > Bestekke en Inventaris uit die hoofkieslys.

Skep Scope Tree

Nadat jy weerview die omvangboom, gaan voort met die skep van die omvangboom.

CISCO Secure Workload Software-FIG9

Vir inligting oor omvangboom, sien die Bestekke en Inventaris-afdelings in die gebruikersgids.

Volgende stappe

Installeer agente
Installeer die SecureWorkload-agente op die werkladings wat met jou gekose toepassing geassosieer word. Die data wat die agente insamel, word gebruik om voorgestelde beleide te genereer gebaseer op die bestaande verkeer op jou netwerk. Meer die data, meer akkurate beleide word geproduseer. Vir besonderhede, sien die Sagteware-agente-afdeling in die Veilige Werklading-gebruikersgids.

Voeg aansoek by
Voeg die eerste toepassing by jou omvangboom. Kies 'n voorproduksietoepassing wat op kaalmetaal of virtuele masjiene in jou datasentrum loop. Nadat u 'n toepassing bygevoeg het, kan u beleide vir hierdie toepassing begin ontdek. Vir meer inligting, sien die Bestekke en Inventaris-afdeling van die Veilige Werklading-gebruikersgids.

Stel gemeenskaplike beleide by interne omvang op
Pas 'n stel algemene beleide toe by die Interne bestek. Byvoorbeeldample, laat slegs die verkeer deur sekere poort van jou netwerk na buite jou netwerk toe.
Gebruikers kan beleide met die hand definieer met behulp van groepe, voorraadfilters en bestekke of dit kan ontdek en gegenereer word uit vloeidata met behulp van 'n outomatiese beleidontdekking.
Nadat jy agente geïnstalleer het en ten minste 'n paar uur toegelaat het vir verkeersvloeidata om te versamel, kan jy Veilige Werklading aktiveer om beleide te genereer (“ontdek”) gebaseer op daardie verkeer. Vir besonderhede, sien Outomaties Ontdek beleide afdeling van die Veilige Werklading gebruikersgids.
Pas hierdie beleide toe op Interne (of Binne of Wortel) omvang om effektief te herview beleide.

Voeg Cloud Connector by
As jou organisasie werkladings op AWS, Azure of GCP het, gebruik 'n wolkverbinding om daardie werkladings by jou omvangboom te voeg. Vir meer inligting, sien die Cloud Connectors-afdeling van die Secure Workload-gebruikersgids.

Vinnige begin werkvloei

Stap Doen dit Besonderhede
1 (Opsioneel) Neem 'n geannoteerde toer deur die towenaar Toer van die Wizard, op bladsy 1
2 Kies 'n toepassing om jou segmenteringsreis te begin. Vir die beste resultate, volg die riglyne in Kies 'n Aansoek vir hierdie Wizard, op bladsy 10.
3 Versamel IP-adresse. Die towenaar sal 4 groepe IP-adresse aanvra.

Vir besonderhede, sien Versamel IP-adresse, op bladsy 9.
4 Begin die towenaar Om view vereistes en toegang tot die towenaar, sien Begin die Wizard, op bladsy 11
5 Installeer Secure Workload-agente op jou toepassing se werkladings. Sien Installeer agente.
6 Laat tyd toe vir die agente om vloeidata in te samel. Meer data lewer meer akkurate beleide.

Die minimum hoeveelheid tyd wat benodig word, hang af van hoe aktief u toepassing gebruik word.
7 Genereer ("ontdek") beleide gebaseer op jou werklike vloeidata. Sien Genereer outomaties beleide.
8 Review die gegenereerde beleide. Sien Kyk na die gegenereerde beleide.

Versamel IP-adresse
Jy sal ten minste sommige van die IP-adresse in elke kolpunt hieronder benodig:

  • Adresse wat jou interne netwerk definieer By verstek gebruik die towenaar die standaardadresse wat vir privaat internetgebruik gereserveer is.
  • Adresse wat vir jou datasentrums gereserveer is.
    Dit sluit nie adresse in wat deur werknemersrekenaars, wolk- of vennootdienste, gesentraliseerde IT-dienste, ens.
  • Adresse wat jou nie-produksie netwerk definieer
  • Adresse van die werkladings wat jou gekose nie-produksie aansoek behels
    Vir nou hoef jy nie al die adresse vir elk van die bogenoemde koeëls te hê nie; jy kan altyd later meer adresse byvoeg.

Belangrik
Omdat elk van die 4 kolpunte 'n subset van die IP-adresse van die kolpunt daarbo verteenwoordig, moet elke IP-adres in elke kolpunt ook ingesluit word onder die IP-adresse van die kolpunt daarbo in die lys.

Kies 'n toepassing vir hierdie towenaar
Kies 'n enkele toepassing vir hierdie towenaar.
'n Toepassing bestaan ​​tipies uit veelvuldige werkladings wat verskillende dienste verskaf, soos web dienste of databasisse, primêre en rugsteunbedieners, ens. Saam verskaf hierdie werkladings die toepassing se funksionaliteit aan sy gebruikers.

CISCO Secure Workload Software-FIG10

Riglyne vir die keuse van jou aansoek
SecureWorkload ondersteun werkladings wat op 'n wye reeks platforms en bedryfstelsels loop, insluitend wolkgebaseerde en houerwerkladings. Kies egter vir hierdie towenaar 'n toepassing met werkladings wat:

Let wel
Jy kan die towenaar laat loop selfs al het jy nie 'n toepassing gekies en IP-adresse versamel nie, maar jy kan nie die towenaar voltooi sonder om hierdie dinge te doen nie.

Let wel
As jy nie die towenaar voltooi voordat jy afmeld (of uittel) of na 'n ander deel van die Veilige werklading-toepassing navigeer (gebruik die linkernavigasiebalk), word die towenaarkonfigurasies nie gestoor nie.

Vir besonderhede oor hoe om 'n omvang by te voeg/omvang en etikette by te voeg, sien die Bestekke en Inventaris-afdeling van die Cisco Secure Workload-gebruikersgids.

Begin die towenaar

Jy kan die towenaar laat loop, ongeag of jy 'n toepassing gekies het en IP-adresse versamel het, maar jy sal nie die towenaar kan voltooi sonder om hierdie dinge te doen nie.

Belangrik
As jy nie die towenaar voltooi voordat jy by Veilige Werklading afgemeld (of uittel) nie, of as jy na 'n ander deel van die toepassing navigeer deur die linkernavigasiebalk te gebruik, word towenaarkonfigurasies nie gestoor nie.

Voordat jy begin
Die volgende gebruikersrolle het toegang tot die towenaar:

Prosedure

  • Stap 1
    Meld aan by Veilige Werklading.
  • Stap 2
    Begin die towenaar:
    As jy nie tans enige omvang gedefinieer het nie, verskyn die towenaar outomaties wanneer jy by Veilige Werklading aanmeld.

Alternatiewelik:

  • Klik die Begin die towenaar nou-skakel in die blou banier bo-aan enige bladsy.
  • Kies Oorview vanaf die hoofkieslys aan die linkerkant van die venster.
  • Stap 3
    Die towenaar sal die dinge verduidelik wat jy moet weet.
    Moenie die volgende nuttige elemente mis nie:
    • Beweeg oor die grafiese elemente in die towenaar om hul beskrywings te lees.
    • Klik op enige skakels en inligtingknoppies (CISCO Secure Workload Software-FIG11 ) vir belangrike inligting.

(Opsioneel) Om oor te begin, stel die omvangboom terug

Jy kan die bestekke, etikette en omvangboom wat jy geskep het met behulp van die towenaar uitvee en die towenaar opsioneel weer laat loop.

Wenk
As jy net sommige van die geskepte bestekke wil verwyder en jy wil nie die towenaar weer laat loop nie, kan jy individuele bestekke uitvee in plaas daarvan om die hele boom terug te stel: Klik 'n omvang om uit te vee, klik dan Verwyder.

Voordat jy begin
Omvang Eienaarvoorregte vir die wortelomvang word vereis.
As jy bykomende werkspasies, beleide of ander afhanklikhede geskep het, sien die Gebruikersgids in Veilige Werklading vir volledige inligting oor die terugstel van die omvangboom.

Prosedure

  • Stap 1 Kies Organiseer > Bestekke en voorraad vanaf die navigasiekieslys aan die linkerkant.
  • Stap 2 Klik op die omvang aan die bokant van die boom.
  • Stap 3 Klik op Herstel.
  • Stap 4 Bevestig jou keuse.
  • Stap 5 As die Herstel-knoppie verander na Vernietig hangende, sal jy dalk die blaaierbladsy moet verfris.

Meer inligting

Vir meer inligting oor konsepte in die towenaar, sien:

© 2022 Cisco Systems, Inc. Alle regte voorbehou.

Dokumente / Hulpbronne

CISCO Secure Workload Sagteware [pdf] Gebruikersgids
Vrystelling 3.8, Veilige Werklading Sagteware, Veilige Werklading, Sagteware
CISCO Secure Workload Sagteware [pdf] Gebruikersgids
3.8.1.53, 3.8.1.1, Veilige Werklading Sagteware, Veilig, Werklading Sagteware, Sagteware

Verwysings

Verwante plasings

Los 'n opmerking

Jou e-posadres sal nie gepubliseer word nie. Vereiste velde is gemerk *