Korisnički vodič za softver CISCO Secure Workload Software

Sadržaj sakriti

1 CISCO Secure Workload Software

2 Uvod u segmentaciju

3 Instalirajte agente

4 Brzi početak rada

5 Procedura

6 Više informacija

7 Dokumenti / Resursi

7.1 Reference

8 Related Posts

CISCO Secure Workload Software

Vodič za brzi početak Cisco Secure Workload za verziju 3.8

Cisco Secure Workload je softver koji omogućava korisnicima da instaliraju softverske agente na radna opterećenja svojih aplikacija. Softverski agenti prikupljaju informacije o mrežnim sučeljima i aktivnim procesima koji se pokreću na host sistemu.

Uvod u segmentaciju

Funkcija segmentacije Cisco Secure Workload-a omogućava korisnicima da grupišu i označe svoja radna opterećenja. Ovo pomaže u definiranju politika i procedura za svaku grupu i osiguravanju sigurne komunikacije između njih.

O ovom vodiču

Ovaj vodič je vodič za brzi početak za Cisco Secure Workload Release 3.8. Omogućuje prekoview čarobnjaka i vodi korisnike kroz proces instaliranja agenata, grupisanja i označavanja radnih opterećenja i izgradnje hijerarhije za njihovu organizaciju.

Obilazak čarobnjaka

Čarobnjak vodi korisnike kroz proces instaliranja agenata, grupisanja i označavanja radnih opterećenja i izgradnje hijerarhije za njihovu organizaciju.

Prije nego počnete

Čarobnjaku mogu pristupiti sljedeće korisničke uloge:

Super Admin
Admin

Security Admin
Operator sigurnosti

Instalirajte agente

Da instalirate softverske agente na radna opterećenja vaše aplikacije:

Otvorite čarobnjak Cisco Secure Workload.
Odaberite opciju za instaliranje agenata.

Slijedite uputstva čarobnjaka da dovršite proces instalacije.

Grupirajte i označite svoja radna opterećenja

Da grupišete i označite svoja radna opterećenja:

Otvorite čarobnjak Cisco Secure Workload.

Odaberite opciju za grupisanje i označavanje vaših radnih opterećenja.
Pratite uputstva čarobnjaka da biste kreirali granu stabla opsega i dodelili oznake svakoj grupi.

Izgradite hijerarhiju za svoju organizaciju

Da biste izgradili hijerarhiju za svoju organizaciju:

Otvorite čarobnjak Cisco Secure Workload.
Odaberite opciju za izgradnju hijerarhije za svoju organizaciju.

Slijedite upute koje daje čarobnjak da definirate interni opseg, opseg podatkovnog centra i predprodukcijski opseg.

Napomena: Nazivi opsega trebaju biti kratki i smisleni. Uvjerite se da ne uključujete adrese bilo koje aplikacije koje se koriste za obavljanje stvarnog poslovanja u opsegu predprodukcije.

Prvo objavljeno: 2023-04-12
Zadnja izmjena: 2023-05-19

Uvod u segmentaciju

Tradicionalno, mrežna sigurnost je usmjerena na sprečavanje zlonamjerne aktivnosti izvan vaše mreže sa zaštitnim zidovima oko ruba vaše mreže. Međutim, također morate zaštititi svoju organizaciju od prijetnji koje su probile vašu mrežu ili su nastale unutar nje. Segmentacija (ili mikrosegmentacija) mreže pomaže u zaštiti vaših radnih opterećenja kroz kontrolu prometa između radnih opterećenja i drugih hostova na vašoj mreži; dakle, dozvoljavanje samo saobraćaja koji bi vašoj organizaciji bilo potrebno za poslovne svrhe, a uskraćivanje ostalog saobraćaja. Za nprampDakle, možete koristiti politike da spriječite svu komunikaciju između radnih opterećenja koja hostuju vaše javno sučeljavanje web aplikacija da komunicira sa vašom bazom podataka za istraživanje i razvoj u vašem data centru ili da spreči da neproizvodna radna opterećenja kontaktiraju proizvodna opterećenja. Cisco Secure Workload koristi podatke o toku organizacije da predloži smernice koje možete da procenite i odobrite pre nego što ih primenite. Alternativno, možete i ručno kreirati ove politike za segmentiranje mreže.

O ovom vodiču

Ovaj dokument je primjenjiv za Secure Workload izdanje 3.8:

Uvodi ključne koncepte bezbednog radnog opterećenja: segmentaciju, oznake radnog opterećenja, opsege, hijerarhijska stabla opsega i otkrivanje politike.
Objašnjava proces kreiranja prve grane vašeg stabla opsega pomoću čarobnjaka za prvo korisničko iskustvo i
Opisuje automatizovani proces generisanja politika za odabranu aplikaciju na osnovu stvarnih tokova saobraćaja.

Obilazak čarobnjaka

Prije nego počnete
Čarobnjaku mogu pristupiti sljedeće korisničke uloge:

site admin
korisnička podrška
vlasnik opsega

Instalirajte agente

Slika 1: Prozor dobrodošlice

Instalirajte agente
U Secure Workload, možete instalirati softverske agente na radna opterećenja vaše aplikacije. Softverski agenti prikupljaju informacije o mrežnim sučeljima i aktivnim procesima koji se pokreću na host sistemu.

Postoje dva načina kako možete instalirati softverske agente:

Instalater skripte agenta – koristite ovaj metod za instaliranje, praćenje i rješavanje problema prilikom instaliranja softverskih agenata. Podržane platforme su Linux, Windows, Kubernetes, AIX i Solaris
Agent Image installer-Preuzmite sliku softverskog agenta da biste instalirali određenu verziju i tip softverskog agenta za svoju platformu. Podržane platforme su Linux i Windows.

Čarobnjak za uključivanje vas vodi kroz proces instaliranja agenata na osnovu odabrane metode instalatera. Pogledajte upute za instalaciju na korisničkom sučelju i pogledajte korisnički vodič za dodatne detalje o instaliranju softverskih agenata.

Grupirajte i označite svoja radna opterećenja

Dodijelite oznake grupi radnih opterećenja da kreirate opseg.
Hijerarhijsko stablo opsega pomaže da se radna opterećenja podijeli u manje grupe. Najniža grana u stablu opsega rezervisana je za pojedinačne aplikacije.
Odaberite nadređeni opseg iz stabla opsega da kreirate novi opseg. Novi opseg će sadržavati podskup članova iz nadređenog opsega.

U ovom prozoru možete organizirati svoja radna opterećenja u grupe koje su raspoređene u hijerarhijskoj strukturi. Rastavljanje vaše mreže u hijerarhijske grupe omogućava fleksibilno i skalabilno otkrivanje i definisanje politike.
Oznake su ključni parametri koji opisuju radno opterećenje ili krajnju tačku, predstavljeni su kao par ključ-vrijednost. Čarobnjak pomaže u primjeni oznaka na radna opterećenja, a zatim grupiše ove oznake u grupe koje se nazivaju opsegi. Radna opterećenja se automatski grupišu u opsege na osnovu njihovih povezanih oznaka. Politike segmentacije možete definirati na osnovu opsega.
Zadržite pokazivač miša iznad svakog bloka ili opsega u stablu za više informacija o tipu radnih opterećenja ili hostova koje uključuje.

Napomena

U prozoru Početak rada s opsegom i oznakama, organizacija, infrastruktura, okruženje i aplikacija su ključevi, a tekst u sivim okvirima u liniji sa svakim ključem su vrijednosti.
Za nprampsva radna opterećenja koja pripadaju aplikaciji 1 su definirana ovim skupom oznaka:

Organizacija = Interna
Infrastruktura = Data centri
Okruženje = Predprodukcija

Aplikacija = Prijava 1

Moć oznaka i stabala opsega

Oznake pokreću snagu bezbednog radnog opterećenja, a stablo opsega kreirano od vaših oznaka je više od samo sažetka vaše mreže:

Oznake vam omogućavaju da odmah shvatite vaša pravila:
“Zabrani sav promet od predprodukcije do produkcije”
Uporedite ovo sa istim pravilom bez oznaka:
“Zabrani sav saobraćaj od 172.16.0.0/12 do 192.168.0.0/16”
Politike zasnovane na oznakama automatski se primjenjuju (ili prestaju primjenjivati) kada se označena radna opterećenja dodaju (ili uklone iz) inventara. S vremenom, ova dinamička grupiranja zasnovana na oznakama uvelike smanjuju količinu napora potrebnog za održavanje vaše implementacije.
Radna opterećenja su grupirana u opsege na osnovu njihovih oznaka. Ova grupisanja vam omogućavaju da lako primijenite politiku na povezana radna opterećenja. Za npramppa, možete lako primijeniti politiku na sve aplikacije u opsegu predprodukcije.

Politike kreirane jednom u jednom opsegu mogu se automatski primijeniti na sva radna opterećenja u potomskim obimima u stablu, minimizirajući broj politika kojima trebate upravljati.
Možete lako definisati i široko primjenjivati politiku (nprample, na sva radna opterećenja u vašoj organizaciji) ili usko (samo na radna opterećenja koja su dio određene aplikacije) ili na bilo koji nivo između (npr.ample, svim radnim opterećenjima u vašem data centru.
Odgovornost za svaki opseg možete dodijeliti različitim administratorima, delegirajući upravljanje politikama na ljude koji su najviše upoznati sa svakim dijelom vaše mreže.

Izgradite hijerarhiju za svoju organizaciju

Počnite da gradite svoju hijerarhiju ili stablo opsega, ovo uključuje identifikaciju i kategorizaciju sredstava, određivanje opsega, definisanje uloga i odgovornosti, razvoj politika i procedura za kreiranje grane stabla opsega.

Čarobnjak vas vodi kroz kreiranje grane stabla opsega. Unesite IP adrese ili podmreže za svaki opseg koji je u plavoj liniji, oznake se automatski primjenjuju na osnovu stabla opsega.

Preduvjeti:

Prikupite IP adrese/podmreže povezane s vašim predprodukcijskim okruženjem, vašim podatkovnim centrima i vašom internom mrežom.
Prikupite što više IP adresa/podmreža, a dodatne IP adrese/podmreže možete kasnije.

Kasnije, dok pravite svoje stablo, možete dodati IP adrese/podmreže za druge opsege u stablu (sivi blokovi).

Da kreirate stablo opsega, izvršite ove korake:

Definirajte interni opseg
Interni opseg uključuje sve IP adrese koje definiraju internu mrežu vaše organizacije, uključujući javne i privatne IP adrese.
Čarobnjak vas vodi kroz dodavanje IP adresa svakom opsegu u grani stabla. Dok dodajete adrese, čarobnjak dodjeljuje oznake svakoj adresi koja definira opseg.

Za nprampU ovom prozoru za podešavanje opsega, čarobnjak dodeljuje oznaku
Organizacija=Interna

na svaku IP adresu.
Podrazumevano, čarobnjak dodaje IP adrese u privatni internet adresni prostor kako je definisano u RFC 1918

Napomena
Sve IP adrese ne morate unositi odjednom, ali morate uključiti IP adrese povezane sa odabranom aplikacijom, a ostale IP adrese možete dodati kasnije.

Definirajte opseg podatkovnog centra
Ovaj opseg uključuje IP adrese koje definiraju vaše lokalne centre podataka. Unesite IP adrese/podmreže koje definiraju vašu internu mrežu

Napomena Nazivi opsega trebaju biti kratki i smisleni.

U ovom prozoru unesite IP adrese koje ste uneli za organizaciju, te adrese moraju biti podskup adresa vaše interne mreže. Ako imate više centara podataka, uključite ih sve u ovaj opseg kako biste mogli definirati jedan skup pravila.

Napomena

Uvijek možete naknadno dodati više adresatage. Na primjer, čarobnjak dodjeljuje ove oznake svakoj od IP adresa:
Organizacija=Interna
Infrastruktura=Podatkovni centri

Definirajte predprodukcijski opseg
Ovaj opseg uključuje IP adrese neprodukcijskih aplikacija i hostova, kao što su razvojni, laboratorijski, testni ilitaging sistemi.

Napomena
Uvjerite se da ne uključujete adrese aplikacija koje se koriste za obavljanje stvarnog poslovanja, koristite ih za opseg proizvodnje koji kasnije definirate.

IP adrese koje unesete u ovaj prozor moraju biti podskup adresa koje ste unijeli za svoje podatkovne centre, uključujući adrese vaše odabrane aplikacije. U idealnom slučaju, trebalo bi da sadrže i adrese pre produkcije koje nisu dio odabrane aplikacije.

Napomena Uvijek možete naknadno dodati više adresatage.

Review Stablo opsega, opseg i oznake
Prije nego počnete kreirati stablo opsega, review hijerarhiju koju možete vidjeti na lijevom prozoru. Osnovni opseg prikazuje oznake koje su automatski kreirane za sve konfigurisane IP adrese i podmreže. U kasnijem stage u procesu, aplikacije se dodaju ovom stablu opsega.
Slika 2:

Možete proširiti i skupiti grane i pomaknuti se prema dolje da odaberete određeni opseg. U desnom oknu možete vidjeti IP adrese i oznake dodijeljene radnim opterećenjima za određeni opseg. Na ovom prozoru možete ponovoview, izmijenite stablo opsega prije nego što dodate aplikaciju u ovaj opseg.

Napomena
Ako želiš view ove informacije nakon što izađete iz čarobnjaka, izaberite Organizuj > Opsezi i inventar iz glavnog menija,

Review Scope Tree

Prije nego počnete kreirati stablo opsega, review hijerarhiju koju možete vidjeti na lijevom prozoru. Osnovni opseg prikazuje oznake koje su automatski kreirane za sve konfigurisane IP adrese i podmreže. U kasnijem stage u procesu, aplikacije se dodaju ovom stablu opsega.

Napomena
Ako želiš view ove informacije nakon što izađete iz čarobnjaka, izaberite Organizuj > Opsezi i inventar iz glavnog menija.

Kreirajte stablo opsega

Nakon što review stablo opsega, nastavite sa kreiranjem stabla opsega.

Za informacije o stablu opsega, pogledajte odjeljke Opseg i inventar u korisničkom vodiču.

Sledeći koraci

Instalirajte agente
Instalirajte SecureWorkload agente na radna opterećenja povezana s vašom odabranom aplikacijom. Podaci koje agenti prikupljaju koriste se za generiranje predloženih politika na osnovu postojećeg prometa na vašoj mreži. Što više podataka, točnije politike se proizvode. Za detalje pogledajte odeljak Softverski agenti u korisničkom vodiču Secure Workload.

Dodajte aplikaciju
Dodajte prvu aplikaciju svom stablu opsega. Odaberite pretprodukcijsku aplikaciju koja radi na golom metalu ili virtuelnim mašinama u vašem data centru. Nakon što dodate aplikaciju, možete početi otkrivati pravila za ovu aplikaciju. Za više informacija, pogledajte odjeljak Opseg i inventar u korisničkom vodiču Secure Workload.

Postavite zajedničke politike u internom opsegu
Primijenite skup zajedničkih politika na interni opseg. Za nprampdopustite samo promet kroz određeni port od vaše mreže do van vaše mreže.
Korisnici mogu ručno definirati politike koristeći klastere, filtere inventara i opsege ili se one mogu otkriti i generirati iz podataka toka pomoću automatskog otkrivanja politike.
Nakon što ste instalirali agente i omogućili najmanje nekoliko sati da se podaci o protoku saobraćaja akumuliraju, možete omogućiti Sigurnom radnom opterećenju da generiše („otkriva”) pravila na osnovu tog prometa. Za detalje pogledajte odeljak Pravila automatskog otkrivanja u korisničkom vodiču Secure Workload.
Primijenite ove politike u internom (ili unutarnjem ili korijenskom) opsegu kako biste efektivno review politike.

Dodajte Cloud Connector
Ako vaša organizacija ima radna opterećenja na AWS, Azure ili GCP, koristite konektor za oblak da biste dodali ta radna opterećenja u stablo opsega. Za više informacija pogledajte odjeljak Cloud Connectors korisničkog vodiča Secure Workload.

Brzi početak rada

Korak	Uradi ovo	Detalji
1	(Opcionalno) Krenite u obilazak čarobnjaka s komentarima	Obilazak čarobnjaka, na stranici 1
2	Odaberite aplikaciju da započnete svoje putovanje segmentacijom.	Za najbolje rezultate, slijedite upute u Odaberite an Aplikacija za ovog čarobnjaka, na stranici 10.
3	Prikupite IP adrese.	Čarobnjak će zatražiti 4 grupe IP adresa. Za detalje pogledajte Prikupite IP adrese, na stranici 9.
4	Pokrenite čarobnjaka	To view zahtjeve i pristup čarobnjaku, vidi Pokrenite čarobnjaka, na stranici 11
5	Instalirajte Secure Workload agente na radna opterećenja vaše aplikacije.	Pogledajte Instalacijski agenti.
6	Ostavite vremena da agenti prikupe podatke o toku.	Više podataka proizvodi preciznije politike. Minimalno potrebno vrijeme ovisi o tome koliko se vaša aplikacija aktivno koristi.
7	Generirajte (“otkrijte”) politike na osnovu vaših stvarnih podataka o toku.	Pogledajte Automatsko generiranje pravila.
8	Review generisane politike.	Pogledajte Pogledajte generirane politike.

Prikupite IP adrese
Trebat će vam barem neke od IP adresa u svakoj oznaci ispod:

Adrese koje definišu vašu internu mrežu Čarobnjak podrazumevano koristi standardne adrese rezervisane za privatnu upotrebu interneta.

Adrese koje su rezervirane za vaše podatkovne centre.
Ovo ne uključuje adrese koje koriste računari zaposlenih, usluge u oblaku ili partnerske usluge, centralizovane IT usluge itd.
Adrese koje definiraju vašu neproizvodnu mrežu
Adrese radnih opterećenja koja čine vašu odabranu neprodukcijsku aplikaciju
Za sada, ne morate imati sve adrese za svaki od gornjih oznaka; uvijek možete dodati više adresa kasnije.

Važno
Budući da svaki od 4 znaka za nabrajanje predstavlja podskup IP adresa oznake za nabrajanje iznad njega, svaka IP adresa u svakom znaku za nabrajanje također mora biti uključena među IP adrese oznake za nabrajanje iznad nje na listi.

Odaberite aplikaciju za ovog čarobnjaka
Za ovog čarobnjaka odaberite jednu aplikaciju.
Aplikacija se obično sastoji od višestrukih radnih opterećenja koja pružaju različite usluge, kao npr web usluge ili baze podataka, primarni i rezervni serveri, itd. Zajedno, ova radna opterećenja pružaju funkcionalnost aplikacije njenim korisnicima.

Smjernice za odabir vaše aplikacije
SecureWorkload podržava radna opterećenja koja se pokreću na širokom spektru platformi i operativnih sistema, uključujući radna opterećenja zasnovana na oblaku i kontejnere. Međutim, za ovog čarobnjaka odaberite aplikaciju s radnim opterećenjima koja su:

Radi u vašem data centru.
Rad na golom metalu i/ili virtuelnim mašinama.

Pokretanje na Windows, Linux ili AIX platformama koje podržavaju agenti Secure Workload, pogledajte https://www.cisco.com/go/secure-workload/requirements/agents.
Primijenjeno u pretprodukcijskom okruženju.

Napomena
Čarobnjak možete pokrenuti čak i ako niste odabrali aplikaciju i prikupili IP adrese, ali ne možete dovršiti čarobnjak bez ovih stvari.

Napomena
Ako ne dovršite čarobnjaka prije nego što se odjavite (ili istekne vrijeme) ili prijeđete na drugi dio aplikacije Sigurnog radnog opterećenja (koristite lijevu navigacijsku traku), konfiguracije čarobnjaka se neće sačuvati.

Za detalje o tome kako da dodate opseg/dodate opseg i oznake, pogledajte odeljak Opsezi i inventar u korisničkom vodiču za Cisco Secure Workload.

Pokrenite čarobnjaka

Možete pokrenuti čarobnjaka bez obzira na to da li ste odabrali aplikaciju i prikupili IP adrese, ali nećete moći dovršiti čarobnjak bez ovih stvari.

Važno
Ako ne dovršite čarobnjaka prije nego što se odjavite (ili istekne vrijeme) iz Secure Workload-a, ili ako se navigirate do drugog dijela aplikacije pomoću lijeve navigacijske trake, konfiguracije čarobnjaka se neće sačuvati.

Prije nego počnete
Čarobnjaku mogu pristupiti sljedeće korisničke uloge:

Procedura

Korak 1
Prijavite se na Secure Workload.
Korak 2
Pokrenite čarobnjaka:
Ako trenutno nemate definirane opsege, čarobnjak se automatski pojavljuje kada se prijavite na Secure Workload.

Alternativno:

Kliknite na vezu Pokreni čarobnjaka sada na plavom baneru na vrhu bilo koje stranice.
Odaberite Prekoview iz glavnog menija sa leve strane prozora.
Korak 3
Čarobnjak će vam objasniti stvari koje trebate znati.
Ne propustite sljedeće korisne elemente:
- Zadržite pokazivač miša iznad grafičkih elemenata u čarobnjaku da pročitate njihove opise.
- Kliknite na bilo koju vezu i dugme sa informacijama ( ) za važne informacije.

(Opcionalno) Da biste počeli ispočetka, resetirajte stablo opsega

Možete izbrisati opsege, oznake i stablo opsega koje ste kreirali pomoću čarobnjaka i opciono ponovo pokrenuti čarobnjaka.

Savjet
Ako želite da uklonite samo neke od kreiranih opsega i ne želite ponovo da pokrenete čarobnjaka, možete da izbrišete pojedinačne opsege umesto da resetujete celo stablo: Kliknite na opseg za brisanje, a zatim kliknite na Izbriši.

Prije nego počnete
Potrebne su privilegije vlasnika opsega za korijenski opseg.
Ako ste kreirali dodatne radne prostore, politike ili druge zavisnosti, pogledajte Vodič za korisnike u Sigurnom radnom opterećenju za potpune informacije o resetovanju stabla opsega.

Procedura

Korak 1 U navigacijskom izborniku s lijeve strane odaberite Organiziraj > Opsezi i inventar.
Korak 2 Kliknite na opseg na vrhu stabla.

Korak 3 Kliknite na Reset.
Korak 4 Potvrdite svoj izbor.
Korak 5 Ako se dugme Reset promeni u Destroy Pending, možda ćete morati da osvežite stranicu pretraživača.

Više informacija

Za više informacija o konceptima u čarobnjaku pogledajte:

Pomoć na mreži u Secure Workload
Korisnički priručnik za sigurno radno opterećenje PDF za vaše izdanje, dostupan na https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Dokumenti / Resursi

	CISCO Secure Workload Software [pdf] Korisnički priručnik Izdanje 3.8, Softver za sigurno radno opterećenje, Sigurno radno opterećenje, softver
	CISCO Secure Workload Software [pdf] Korisnički priručnik 3.8.1.53, 3.8.1.1, softver za sigurno opterećenje, siguran, softver za opterećenje, softver