Guia d'usuari del programari CISCO Secure Workload

Continguts amagar

1 Programari CISCO Secure Workload

2 Introducció a la Segmentació

3 Instal·leu Agents

4 Flux de treball d'inici ràpid

8 Publicacions relacionades

Programari CISCO Secure Workload

Guia d'inici ràpid de Cisco Secure Workload per a la versió 3.8

Cisco Secure Workload és un programari que permet als usuaris instal·lar agents de programari a les seves càrregues de treball d'aplicacions. Els agents de programari recullen informació sobre les interfícies de xarxa i els processos actius que s'executen al sistema amfitrió.

Introducció a la Segmentació

La funció de segmentació de Cisco Secure Workload permet als usuaris agrupar i etiquetar les seves càrregues de treball. Això ajuda a definir polítiques i procediments per a cada grup i garantir una comunicació segura entre ells.

Quant a aquesta guia

Aquesta guia és una guia d'inici ràpid per a la versió 3.8 de Cisco Secure Workload. Proporciona un finalview de l'assistent i guia els usuaris a través del procés d'instal·lació d'agents, agrupació i etiquetatge de càrregues de treball i creació d'una jerarquia per a la seva organització.

Tour del Mag

L'assistent guia els usuaris durant el procés d'instal·lació d'agents, agrupació i etiquetatge de càrregues de treball i creació d'una jerarquia per a la seva organització.

Abans de començar

Els rols d'usuari següents poden accedir a l'assistent:

Super Administrador
Admin

Administrador de seguretat
Operador de seguretat

Instal·leu Agents

Per instal·lar agents de programari a les càrregues de treball de l'aplicació:

Obriu l'assistent de càrrega de treball segura de Cisco.
Seleccioneu l'opció per instal·lar agents.

Seguiu les instruccions proporcionades per l'assistent per completar el procés d'instal·lació.

Agrupeu i etiqueteu les vostres càrregues de treball

Per agrupar i etiquetar les vostres càrregues de treball:

Obriu l'assistent de càrrega de treball segura de Cisco.

Seleccioneu l'opció per agrupar i etiquetar les vostres càrregues de treball.
Seguiu les instruccions proporcionades per l'assistent per crear una branca de l'arbre d'abast i assignar etiquetes a cada grup.

Construeix la jerarquia per a la teva organització

Per crear una jerarquia per a la vostra organització:

Obriu l'assistent de càrrega de treball segura de Cisco.
Seleccioneu l'opció per crear la jerarquia per a la vostra organització.

Seguiu les instruccions proporcionades per l'assistent per definir l'abast intern, l'abast del centre de dades i l'àmbit de preproducció.

Nota: Els noms de l'àmbit han de ser breus i significatius. Assegureu-vos que no incloeu adreces de cap aplicació que s'utilitzi per fer negocis reals a l'àmbit de preproducció.

Primera publicació: 2023-04-12
Última modificació: 2023-05-19

Introducció a la Segmentació

Tradicionalment, la seguretat de la xarxa està dirigida a mantenir l'activitat maliciosa fora de la vostra xarxa amb tallafocs a la vora de la vostra xarxa. Tanmateix, també heu de protegir la vostra organització de les amenaces que han infringit la vostra xarxa o s'han originat dins d'ella. La segmentació (o microsegmentació) de la xarxa ajuda a protegir les vostres càrregues de treball mitjançant el control del trànsit entre càrregues de treball i altres amfitrions de la vostra xarxa; per tant, permetre només el trànsit que la vostra organització necessitaria per a finalitats comercials i denegar la resta de trànsit. Per example, podeu utilitzar polítiques per evitar tota comunicació entre les càrregues de treball que allotgen el vostre públic web que l'aplicació es comuniqui amb la vostra base de dades d'investigació i desenvolupament al vostre centre de dades, o per evitar que les càrregues de treball que no siguin de producció contacten amb les càrregues de treball de producció. Cisco Secure Workload utilitza les dades de flux de l'organització per suggerir polítiques que podeu avaluar i aprovar abans d'aplicar-les. Alternativament, també podeu crear manualment aquestes polítiques per segmentar la xarxa.

Quant a aquesta guia

Aquest document és aplicable a la versió 3.8 de Secure Workload:

Presenta els conceptes clau de la càrrega de treball segura: segmentació, etiquetes de càrrega de treball, àmbits, arbres d'abast jeràrquic i descobriment de polítiques.
Explica el procés per crear la primera branca del vostre arbre d'abast mitjançant l'assistent d'experiència d'usuari per primera vegada i
Descriu el procés automatitzat de generació de polítiques per a l'aplicació escollida en funció dels fluxos de trànsit reals.

Tour del Mag

Abans de començar
Els rols d'usuari següents poden accedir a l'assistent:

administrador del lloc
atenció al client
propietari de l'àmbit

Instal·leu Agents

Figura 1: finestra de benvinguda

Instal·leu Agents
A Secure Workload, podeu instal·lar agents de programari a les vostres càrregues de treball de l'aplicació. Els agents de programari recullen informació sobre les interfícies de xarxa i els processos actius que s'executen al sistema amfitrió.

Hi ha dues maneres d'instal·lar els agents de programari:

Instal·lador de l'script d'agent: utilitzeu aquest mètode per instal·lar, fer un seguiment i resoldre problemes durant la instal·lació dels agents de programari. Les plataformes admeses són Linux, Windows, Kubernetes, AIX i Solaris
Instal·lador de la imatge de l'agent: descarregueu la imatge de l'agent de programari per instal·lar una versió i un tipus d'agent de programari específics per a la vostra plataforma. Les plataformes admeses són Linux i Windows.

L'assistent d'incorporació us guiarà pel procés d'instal·lació dels agents segons el mètode d'instal·lació seleccionat. Consulteu les instruccions d'instal·lació a la interfície d'usuari i consulteu la guia de l'usuari per obtenir informació addicional sobre la instal·lació d'agents de programari.

Agrupeu i etiqueteu les vostres càrregues de treball

Assigna etiquetes a un grup de càrregues de treball per crear un àmbit.
L'arbre d'abast jeràrquic ajuda a dividir les càrregues de treball en grups més petits. La branca més baixa de l'arbre d'abast es reserva per a aplicacions individuals.
Seleccioneu un àmbit principal de l'arbre d'abast per crear un àmbit nou. El nou àmbit contindrà un subconjunt de membres de l'àmbit principal.

En aquesta finestra, podeu organitzar les vostres càrregues de treball en grups, que s'organitzen en una estructura jeràrquica. Desglossar la vostra xarxa en grups jeràrquics permet el descobriment i la definició de polítiques flexibles i escalables.
Les etiquetes són paràmetres clau que descriuen una càrrega de treball o un punt final, es representa com un parell clau-valor. L'assistent ajuda a aplicar les etiquetes a les vostres càrregues de treball i, a continuació, agrupa aquestes etiquetes en grups anomenats àmbits. Les càrregues de treball s'agrupen automàticament en àmbits en funció de les etiquetes associades. Podeu definir polítiques de segmentació en funció dels àmbits.
Passeu el cursor per sobre de cada bloc o àmbit de l'arbre per obtenir més informació sobre el tipus de càrregues de treball o amfitrions que inclou.

Nota

A la finestra Comenceu amb els àmbits i les etiquetes, Organització, Infraestructura, Entorn i Aplicació són les claus i el text dels quadres grisos en línia amb cada clau són els valors.
Per example, totes les càrregues de treball que pertanyen a l'aplicació 1 es defineixen amb aquest conjunt d'etiquetes:

Organització = Interna
Infraestructura = Centres de dades
Medi ambient = Preproducció

Aplicació = Aplicació 1

El poder de les etiquetes i els arbres d'abast

Les etiquetes impulsen la potència de la càrrega de treball segura, i l'arbre d'abast creat a partir de les vostres etiquetes és més que un resum de la vostra xarxa:

Les etiquetes us permeten entendre a l'instant les vostres polítiques:
"Nega tot el trànsit des de la preproducció fins a la producció"
Compareu això amb la mateixa política sense etiquetes:
"Denega tot el trànsit de 172.16.0.0/12 a 192.168.0.0/16"
Les polítiques basades en etiquetes s'apliquen (o deixen d'aplicar-se) automàticament quan les càrregues de treball etiquetades s'afegeixen a (o s'eliminen) de l'inventari. Amb el pas del temps, aquestes agrupacions dinàmiques basades en etiquetes redueixen molt l'esforç necessari per mantenir el vostre desplegament.
Les càrregues de treball s'agrupen en àmbits en funció de les seves etiquetes. Aquestes agrupacions us permeten aplicar fàcilment la política a les càrregues de treball relacionades. Per example, podeu aplicar fàcilment la política a totes les aplicacions de l'àmbit de preproducció.

Les polítiques creades una vegada en un àmbit únic es poden aplicar automàticament a totes les càrregues de treball dels àmbits descendents de l'arbre, minimitzant el nombre de polítiques que cal gestionar.
Podeu definir i aplicar la política de manera àmplia (per exemple,ample, a totes les càrregues de treball de la vostra organització) o de manera limitada (només a les càrregues de treball que formen part d'una aplicació específica) o a qualsevol nivell intermedi (per exempleample, a totes les càrregues de treball del vostre centre de dades.
Podeu assignar la responsabilitat de cada àmbit a diferents administradors, delegant la gestió de polítiques a les persones més familiaritzades amb cada part de la vostra xarxa.

Construeix la jerarquia per a la teva organització

Comenceu a construir la vostra jerarquia o arbre d'abast, això implica identificar i categoritzar els actius, determinar l'abast, definir rols i responsabilitats, desenvolupar polítiques i procediments per crear una branca de l'arbre d'abast.

L'assistent us guiarà a través de la creació d'una branca de l'arbre d'abast. Introduïu adreces IP o subxarxes per a cada àmbit indicat en blau, les etiquetes s'apliquen automàticament en funció de l'arbre d'abast.

Requisits previs:

Recolliu adreces IP/subxarxes associades amb el vostre entorn de preproducció, els vostres centres de dades i la vostra xarxa interna.
Aplegueu tantes adreces IP/subxarxes com pugueu, podeu fer les adreces/subxarxes IP addicionals més endavant.

Més tard, a mesura que creeu el vostre arbre, podeu afegir adreces IP/subxarxes per als altres àmbits de l'arbre (els blocs grisos).

Per crear l'arbre d'abast, seguiu aquests passos:

Definir l'àmbit intern
L'àmbit intern inclou totes les adreces IP que defineixen la xarxa interna de la vostra organització, incloses les adreces IP públiques i privades.
L'assistent us guiarà per afegir adreces IP a cada àmbit de la branca d'arbre. A mesura que afegiu adreces, l'assistent assigna etiquetes a cada adreça que defineix l'abast.

Per exampli, en aquesta finestra de configuració de l'àmbit, l'assistent assigna l'etiqueta
Organització=Interna

a cada adreça IP.
Per defecte, l'assistent afegeix les adreces IP a l'espai d'adreces d'Internet privat tal com es defineix a RFC 1918.

Nota
No cal que introduïu totes les adreces IP alhora, però heu d'incloure les adreces IP associades a l'aplicació escollida, podeu afegir la resta d'adreces IP més endavant.

Definiu l'abast del centre de dades
Aquest àmbit inclou les adreces IP que defineixen els vostres centres de dades locals. Introduïu les adreces IP/subxarxes que defineixen la vostra xarxa interna

Nota Els noms dels àmbits han de ser breus i significatius.

En aquesta finestra, introduïu les adreces IP que heu introduït per a l'organització, aquestes adreces han de ser un subconjunt de les adreces de la vostra xarxa interna. Si teniu diversos centres de dades, incloeu-los tots en aquest àmbit perquè pugueu definir un únic conjunt de polítiques.

Nota

Sempre podeu afegir més adreces més endavanttage. Per exemple, l'assistent assigna aquestes etiquetes a cadascuna de les adreces IP:
Organització=Interna
Infraestructura=Centres de dades

Definir l'àmbit de preproducció
Aquest abast inclou adreces IP d'aplicacions i amfitrions que no són de producció, com ara desenvolupament, laboratori, prova o s.tagsistemes d'ing.

Nota
Assegureu-vos que no incloeu adreces de cap aplicació que s'utilitzi per fer negocis reals, feu-les servir per a l'àmbit de producció que definiu més endavant.

Les adreces IP que introduïu en aquesta finestra han de ser un subconjunt de les adreces que heu introduït per als vostres centres de dades, incloure les adreces de l'aplicació escollida. Idealment, també haurien d'incloure adreces de preproducció que no formen part de l'aplicació escollida.

Nota Sempre podeu afegir més adreces més endavanttage.

Review Arbre d'abast, àmbits i etiquetes
Abans de començar a crear l'arbre d'abast, review la jerarquia que podeu veure a la finestra de l'esquerra. L'àmbit arrel mostra les etiquetes que es van crear automàticament per a totes les adreces IP i subxarxes configurades. En un stagEn el procés, les aplicacions s'afegeixen a aquest arbre d'abast.
Figura 2:

Podeu ampliar i replegar branques i desplaçar-vos cap avall per triar un àmbit específic. Al panell dret, podeu veure les adreces IP i les etiquetes assignades a les càrregues de treball per a l'abast específic. En aquesta finestra, podeu tornarview, modifiqueu l'arbre d'abast abans d'afegir una aplicació a aquest àmbit.

Nota
Si vols view aquesta informació després de sortir de l'assistent, trieu Organitza > Àmbits i inventari al menú principal,

Review Arbre d'abast

Abans de començar a crear l'arbre d'abast, review la jerarquia que podeu veure a la finestra de l'esquerra. L'àmbit arrel mostra les etiquetes que es van crear automàticament per a totes les adreces IP i subxarxes configurades. En un stagEn el procés, les aplicacions s'afegeixen a aquest arbre d'abast.

Nota
Si vols view aquesta informació després de sortir de l'assistent, seleccioneu Organitza > Àmbits i inventari al menú principal.

Crea un arbre d'abast

Després de tornarview l'arbre d'abast, continueu creant l'arbre d'abast.

Per obtenir informació sobre l'arbre d'abast, consulteu les seccions Àmbits i Inventari de la guia de l'usuari.

Següents passos

Instal·leu Agents
Instal·leu els agents SecureWorkload a les càrregues de treball associades a l'aplicació escollida. Les dades que recullen els agents s'utilitzen per generar polítiques suggerides en funció del trànsit existent a la vostra xarxa. Amb més dades, es produeixen polítiques més precises. Per obtenir més informació, consulteu la secció Agents de programari de la guia de l'usuari de la càrrega de treball segura.

Afegiu una sol·licitud
Afegiu la primera aplicació al vostre arbre d'abast. Trieu una aplicació de preproducció que s'executi en màquines virtuals o de metall nu al vostre centre de dades. Després d'afegir una aplicació, podeu començar a descobrir les polítiques d'aquesta aplicació. Per obtenir més informació, consulteu la secció Àmbits i inventari de la guia de l'usuari de la càrrega de treball segura.

Establir polítiques comunes en l'àmbit intern
Aplicar un conjunt de polítiques comunes en l'àmbit intern. Per exampli, només permeteu el trànsit a través de cert port des de la vostra xarxa cap a fora de la vostra xarxa.
Els usuaris poden definir polítiques manualment mitjançant clústers, filtres d'inventari i àmbits o aquests es poden descobrir i generar a partir de dades de flux mitjançant un descobriment automàtic de polítiques.
Després d'haver instal·lat agents i de deixar almenys unes quantes hores perquè s'acumulin dades de flux de trànsit, podeu habilitar Secure Workload per generar polítiques ("descobrir") basades en aquest trànsit. Per obtenir més informació, consulteu la secció de polítiques de descoberta automàtica de la guia de l'usuari de la càrrega de treball segura.
Apliqueu aquestes polítiques a l'àmbit intern (o a l'interior o a l'arrel) per reactivar eficaçmentview polítiques.

Afegeix un connector al núvol
Si la vostra organització té càrregues de treball a AWS, Azure o GCP, utilitzeu un connector al núvol per afegir aquestes càrregues de treball al vostre arbre d'abast. Per obtenir més informació, consulteu la secció Cloud Connectors de la guia d'usuari de Secure Workload.

Flux de treball d'inici ràpid

Pas	Fes això	Detalls
1	(Opcional) Feu una visita comentada de l'assistent	Tour del Mag, a la pàgina 1
2	Trieu una aplicació per iniciar el vostre viatge de segmentació.	Per obtenir els millors resultats, seguiu les directrius a Trieu un Aplicació d'aquest assistent, a la pàgina 10.
3	Recolliu adreces IP.	L'assistent sol·licitarà 4 grups d'adreces IP. Per a més detalls, vegeu Recolliu adreces IP, a la pàgina 9.
4	Executeu l'assistent	A view requisits i accedir a l'assistent, vegeu Executeu l'assistent, a la pàgina 11
5	Instal·leu agents de càrrega de treball segur a les càrregues de treball de la vostra aplicació.	Vegeu Instal·lar agents.
6	Doneu temps als agents per recopilar dades de flux.	Més dades produeixen polítiques més precises. La quantitat mínima de temps requerida depèn de com s'utilitzi activament la vostra aplicació.
7	Genereu polítiques ("descobriu") basades en les vostres dades de flux reals.	Consulteu Generació automàtica de polítiques.
8	Review les polítiques generades.	Vegeu Mira les polítiques generades.

Recolliu adreces IP
Necessitareu almenys algunes de les adreces IP a cada vinyeta següent:

Adreces que defineixen la vostra xarxa interna Per defecte, l'assistent utilitza les adreces estàndard reservades per a l'ús privat d'Internet.

Adreces que estan reservades per als vostres centres de dades.
Això no inclou les adreces utilitzades pels ordinadors dels empleats, els serveis al núvol o associats, els serveis informàtics centralitzats, etc.
Adreces que defineixen la vostra xarxa no de producció
Adreces de les càrregues de treball que integren l'aplicació que no sigui de producció escollida
De moment, no cal que tingueu totes les adreces de cadascuna de les vinyetes anteriors; sempre podeu afegir més adreces més tard.

Important
Com que cadascuna de les 4 vinyetes representa un subconjunt de les adreces IP de la vinyeta a sobre, cada adreça IP de cada vinyeta també s'ha d'incloure entre les adreces IP de la vinyeta que hi ha a sobre d'ella a la llista.

Trieu una aplicació per a aquest assistent
Per a aquest assistent, trieu una única aplicació.
Una aplicació normalment consta de diverses càrregues de treball que proporcionen diferents serveis, com ara web serveis o bases de dades, servidors primaris i de seguretat, etc. En conjunt, aquestes càrregues de treball proporcionen la funcionalitat de l'aplicació als seus usuaris.

Pautes per triar la vostra aplicació
SecureWorkload admet càrregues de treball que s'executen en una àmplia gamma de plataformes i sistemes operatius, incloses càrregues de treball basades en núvol i en contenidors. Tanmateix, per a aquest assistent, trieu una aplicació amb càrregues de treball que siguin:

S'està executant al vostre centre de dades.
Funcionant amb màquines virtuals i/o virtuals.

S'executa a les plataformes Windows, Linux o AIX compatibles amb agents de càrrega de treball segur, vegeu https://www.cisco.com/go/secure-workload/requirements/agents.
Desplegat en un entorn de preproducció.

Nota
Podeu executar l'assistent encara que no hàgiu escollit una aplicació i recopilat adreces IP, però no podeu completar l'assistent sense fer aquestes coses.

Nota
Si no completeu l'assistent abans de tancar la sessió (o esgotar el temps d'espera) o navegueu a una part diferent de l'aplicació de càrrega de treball segura (utilitzeu la barra de navegació esquerra), les configuracions de l'assistent no es desaran.

Per obtenir més informació sobre com afegir un àmbit/afegir un àmbit i etiquetes, consulteu la secció Àmbits i inventari de la Guia d'usuari de la càrrega de treball segura de Cisco.

Executeu l'assistent

Podeu executar l'assistent tant si heu escollit una aplicació i heu recopilat adreces IP com si no, però no podreu completar l'assistent sense fer aquestes coses.

Important
Si no completeu l'assistent abans de tancar la sessió (o esgotar el temps d'espera) de Secure Workload, o si navegueu a una part diferent de l'aplicació mitjançant la barra de navegació esquerra, les configuracions de l'assistent no es desaran.

Abans de començar
Els rols d'usuari següents poden accedir a l'assistent:

Procediment

Pas 1
Inicieu la sessió a Secure Workload.
Pas 2
Inicieu l'assistent:
Si actualment no teniu cap àmbit definit, l'assistent apareix automàticament quan inicieu la sessió a Secure Workload.

Alternativament:

Feu clic a l'enllaç Executa l'assistent ara al bàner blau de la part superior de qualsevol pàgina.
Trieu Mésview des del menú principal a la part esquerra de la finestra.
Pas 3
L'assistent us explicarà les coses que heu de saber.
No us perdeu els següents elements útils:
- Passeu el cursor per sobre dels elements gràfics de l'assistent per llegir-ne les descripcions.
- Feu clic a qualsevol enllaç i botó d'informació ( ) per obtenir informació important.

(Opcional) Per començar de nou, restabliu l'arbre d'abast

Podeu suprimir els àmbits, les etiquetes i l'arbre d'abast que heu creat mitjançant l'assistent i, opcionalment, tornar-lo a executar.

Consell
Si només voleu eliminar alguns dels àmbits creats i no voleu tornar a executar l'assistent, podeu suprimir àmbits individuals en lloc de restablir tot l'arbre: Feu clic a un àmbit per suprimir i, a continuació, feu clic a Suprimeix.

Abans de començar
Es requereixen privilegis de propietari de l'àmbit per a l'àmbit arrel.
Si heu creat espais de treball, polítiques o altres dependències addicionals, consulteu la Guia d'usuari a Secure Workload per obtenir informació completa sobre com restablir l'arbre d'abast.

Procediment

Pas 1 Al menú de navegació de l'esquerra, trieu Organitza > Àmbits i inventari .
Pas 2 Feu clic a l'abast a la part superior de l'arbre.

Pas 3 Feu clic a Restableix.
Pas 4 Confirmeu la vostra elecció.
Pas 5 Si el botó Restablir canvia a Destrueix pendent, és possible que hàgiu d'actualitzar la pàgina del navegador.

Més informació

Per obtenir més informació sobre els conceptes de l'assistent, vegeu:

L'ajuda en línia a Secure Workload
La Guia d'usuari de la càrrega de treball segura en PDF per a la vostra versió, disponible a https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Documents/Recursos

	Programari CISCO Secure Workload [pdfGuia de l'usuari Versió 3.8, programari de càrrega de treball segura, càrrega de treball segura, programari
	Programari CISCO Secure Workload [pdfGuia de l'usuari 3.8.1.53, 3.8.1.1, programari de càrrega de treball segura, programari de càrrega de treball segur, programari