Uživatelská příručka k softwaru CISCO Secure Workload

Obsah skrýt

1 CISCO Secure Workload Software

2 Úvod do segmentace

3 Nainstalujte agenty

4 Rychlé spuštění pracovního postupu

8 Související příspěvky

CISCO Secure Workload Software

Stručná úvodní příručka Cisco Secure Workload pro verzi 3.8

Cisco Secure Workload je software, který uživatelům umožňuje instalovat softwarové agenty na jejich pracovní zátěže aplikací. Softwaroví agenti shromažďují informace o síťových rozhraních a aktivních procesech běžících na hostitelském systému.

Úvod do segmentace

Funkce segmentace Cisco Secure Workload umožňuje uživatelům seskupovat a označovat svá pracovní zatížení. To pomáhá při definování zásad a postupů pro každou skupinu a zajištění bezpečné komunikace mezi nimi.

O této příručce

Tato příručka je stručným průvodcem pro Cisco Secure Workload Release 3.8. Poskytuje overview průvodce a provede uživatele procesem instalace agentů, seskupování a označování úloh a vytváření hierarchie pro jejich organizaci.

Prohlídka Čaroděje

Průvodce provede uživatele procesem instalace agentů, seskupování a označování úloh a vytváření hierarchie pro jejich organizaci.

Než začnete

K průvodci mají přístup následující uživatelské role:

Super správce
Admin

Bezpečnostní administrátor
Bezpečnostní operátor

Nainstalujte agenty

Chcete-li nainstalovat softwarové agenty do úloh vaší aplikace:

Otevřete průvodce Cisco Secure Workload.
Vyberte možnost instalace agentů.

Dokončete proces instalace podle pokynů průvodce.

Seskupte a označte své pracovní vytížení

Chcete-li seskupit a označit své úlohy:

Otevřete průvodce Cisco Secure Workload.

Vyberte možnost seskupit a označit své úlohy.
Podle pokynů průvodce vytvořte větev stromu oboru a přiřaďte štítky každé skupině.

Vytvořte hierarchii pro vaši organizaci

Vytvoření hierarchie pro vaši organizaci:

Otevřete průvodce Cisco Secure Workload.
Vyberte možnost pro vytvoření hierarchie pro vaši organizaci.

Postupujte podle pokynů průvodce a definujte interní rozsah, rozsah datového centra a předprodukční rozsah.

Poznámka: Názvy oborů by měly být krátké a smysluplné. Ujistěte se, že v předprodukčním rozsahu neuvádíte adresy žádných aplikací, které se používají k provádění skutečného podnikání.

Poprvé zveřejněno: 2023-04-12
Naposledy změněno: 2023-05-19

Úvod do segmentace

Tradičně je zabezpečení sítě zaměřeno na udržení škodlivé aktivity mimo vaši síť pomocí firewallů na okraji vaší sítě. Musíte však také chránit svou organizaci před hrozbami, které narušily vaši síť nebo v ní vznikly. Segmentace (nebo mikrosegmentace) sítě pomáhá chránit vaše pracovní zatížení řízením provozu mezi pracovními zátěžemi a jinými hostiteli ve vaší síti; proto povolíte pouze provoz, který by vaše organizace vyžadovala pro obchodní účely, a odepřete veškerý ostatní provoz. Napřample, můžete použít zásady k zabránění veškeré komunikace mezi pracovními zátěžemi, které hostují váš veřejný přístup web aby aplikace nekomunikovala s vaší výzkumnou a vývojovou databází ve vašem datovém centru nebo abyste zabránili neprodukčním úlohám kontaktovat produkční úlohy. Cisco Secure Workload využívá toková data organizace k navrhování zásad, které můžete vyhodnotit a schválit před jejich vynucováním. Případně můžete tyto zásady pro segmentaci sítě vytvořit také ručně.

O této příručce

Tento dokument platí pro verzi Secure Workload 3.8:

Představuje klíčové koncepty bezpečné pracovní zátěže: Segmentace, popisky pracovní zátěže, rozsahy, hierarchické stromy rozsahu a zjišťování zásad.
Vysvětluje proces vytváření první větve vašeho stromu oboru pomocí průvodce pro první uživatelskou zkušenost a
Popisuje automatizovaný proces generování zásad pro vybranou aplikaci na základě skutečných toků provozu.

Prohlídka Čaroděje

Než začnete
K průvodci mají přístup následující uživatelské role:

správce webu
zákaznickou podporu
vlastník rozsahu

Nainstalujte agenty

Obrázek 1: Uvítací okno

Nainstalujte agenty
V zabezpečeném pracovním zatížení můžete instalovat softwarové agenty na pracovní zatížení aplikací. Softwaroví agenti shromažďují informace o síťových rozhraních a aktivních procesech běžících na hostitelském systému.

Existují dva způsoby, jak nainstalovat softwarové agenty:

Instalační program skriptu agenta – Tuto metodu použijte k instalaci, sledování a odstraňování problémů při instalaci softwarových agentů. Podporované platformy jsou Linux, Windows, Kubernetes, AIX a Solaris
Instalační program obrazu agenta – stáhněte si obraz softwarového agenta pro instalaci konkrétní verze a typu softwarového agenta pro vaši platformu. Podporované platformy jsou Linux a Windows.

Průvodce zavedením vás provede procesem instalace agentů na základě zvolené metody instalačního programu. Další podrobnosti o instalaci softwarových agentů naleznete v pokynech k instalaci v uživatelském rozhraní a v uživatelské příručce.

Seskupte a označte své pracovní vytížení

Přiřaďte štítky skupině úloh a vytvořte rozsah.
Hierarchický strom rozsahu pomáhá rozdělit pracovní zátěže do menších skupin. Nejnižší větev ve stromu oboru je vyhrazena pro jednotlivé aplikace.
Vyberte nadřazený obor ze stromu oboru a vytvořte nový obor. Nový obor bude obsahovat podmnožinu členů z nadřazeného oboru.

V tomto okně můžete organizovat své úlohy do skupin, které jsou uspořádány do hierarchické struktury. Rozdělení sítě do hierarchických skupin umožňuje flexibilní a škálovatelné zjišťování a definování zásad.
Štítky jsou klíčové parametry, které popisují pracovní zátěž nebo koncový bod, jsou reprezentovány jako pár klíč-hodnota. Průvodce vám pomůže použít štítky na vaše úlohy a poté tyto štítky seskupit do skupin nazývaných obory. Úlohy jsou automaticky seskupeny do oborů na základě jejich přiřazených štítků. Na základě rozsahů můžete definovat zásady segmentace.
Umístěním ukazatele myši na každý blok nebo obor ve stromu získáte další informace o typu úloh nebo hostitelů, které obsahuje.

Poznámka

V okně Začínáme s obory a štítky jsou klíče Organizace, Infrastruktura, Prostředí a Aplikace a text v šedých polích v řadě s každým klíčem jsou hodnoty.
Napřample, všechny pracovní zátěže patřící do aplikace 1 jsou definovány těmito sadami štítků:

Organizace = Interní
Infrastruktura = datová centra
Prostředí = Pre-Production

Aplikace = Aplikace 1

Síla štítků a stromů rozsahu

Štítky podporují výkon zabezpečeného pracovního zatížení a strom rozsahu vytvořený z vašich štítků je více než jen souhrn vaší sítě:

Štítky vám umožní okamžitě pochopit vaše zásady:
„Odmítnout veškerý provoz od předprodukce po produkci“
Porovnejte to se stejnou zásadou bez štítků:
„Odmítnout veškerý provoz od 172.16.0.0/12 do 192.168.0.0/16“
Zásady založené na štítcích se automaticky použijí (nebo se přestanou používat), když jsou do inventáře přidány (nebo z něj odstraněny) úlohy označené štítky. Tato dynamická seskupení založená na štítcích postupem času výrazně snižují množství úsilí potřebného k udržení vašeho nasazení.
Úlohy jsou seskupeny do oborů na základě jejich štítků. Tato seskupení vám umožňují snadno aplikovat zásady na související úlohy. Napřample, můžete snadno aplikovat zásady na všechny aplikace v rozsahu Pre-Production.

Zásady vytvořené jednou v jednom oboru lze automaticky použít na všechny úlohy v potomkových oborech ve stromu, čímž se minimalizuje počet zásad, které potřebujete spravovat.
Zásady můžete snadno definovat a aplikovat široce (napřample, na všechny úlohy ve vaší organizaci) nebo úzce (pouze na úlohy, které jsou součástí konkrétní aplikace) nebo na jakoukoli úroveň mezi tím (např.ample, na všechny pracovní zátěže ve vašem datovém centru.
Odpovědnost za každý rozsah můžete přidělit různým správcům a delegovat správu zásad na lidi, kteří jsou nejlépe obeznámeni s každou částí vaší sítě.

Vytvořte hierarchii pro vaši organizaci

Začněte budovat svou hierarchii nebo strom rozsahu, to zahrnuje identifikaci a kategorizaci aktiv, určení rozsahu, definování rolí a odpovědností, vývoj zásad a postupů pro vytvoření větve stromu rozsahu.

Průvodce vás provede vytvořením větve stromu oboru. Zadejte IP adresy nebo podsítě pro každý modře zvýrazněný obor, štítky se automaticky použijí na základě stromu oboru.

Předpoklady:

Shromážděte IP adresy/podsítě spojené s vaším předprodukčním prostředím, datovými centry a vaší interní sítí.
Shromážděte tolik IP adres/podsítí, kolik můžete, další IP adresy/podsítě můžete získat později.

Později, při vytváření stromu, můžete přidat IP adresy/podsítě pro ostatní obory ve stromu (šedé bloky).

Chcete-li vytvořit strom oboru, proveďte tyto kroky:

Definujte vnitřní rozsah
Interní rozsah zahrnuje všechny IP adresy, které definují interní síť vaší organizace, včetně veřejných a privátních IP adres.
Průvodce vás provede přidáváním IP adres do každého oboru ve větvi stromu. Jak přidáváte adresy, průvodce přiřazuje každé adrese štítky, které definují rozsah.

Napřample, v tomto okně Nastavení rozsahu průvodce přiřadí štítek
Organizace = Interní

na každou IP adresu.
Ve výchozím nastavení průvodce přidává IP adresy do soukromého prostoru internetových adres, jak je definováno v RFC 1918

Poznámka
Není nutné zadávat všechny IP adresy najednou, ale musíte zahrnout IP adresy spojené s vámi zvolenou aplikací, zbytek IP adres můžete přidat později.

Definujte rozsah datového centra
Tento rozsah zahrnuje IP adresy, které definují vaše místní datová centra. Zadejte IP adresy/podsítě, které definují vaši vnitřní síť

Poznámka Názvy oborů by měly být krátké a smysluplné.

V tomto okně zadejte IP adresy, které jste zadali pro organizaci, tyto adresy musí být podmnožinou adres pro vaši interní síť. Pokud máte více datových center, zahrňte je všechna do tohoto rozsahu, abyste mohli definovat jednu sadu zásad.

Poznámka

Vždy můžete přidat další adresy pozdějitagE. Průvodce například přiřadí tyto štítky každé z IP adres:
Organizace = Interní
Infrastruktura=Datová centra

Definujte předprodukční rozsah
Tento rozsah zahrnuje IP adresy neprodukčních aplikací a hostitelů, jako jsou vývojové, laboratorní, testovací nebo staging systémů.

Poznámka
Ujistěte se, že nezahrnujete adresy žádných aplikací, které se používají k provádění skutečného podnikání, použijte je pro produkční rozsah, který definujete později.

IP adresy, které zadáte do tohoto okna, musí být podmnožinou adres, které jste zadali pro svá datová centra, včetně adres vámi zvolené aplikace. V ideálním případě by měly obsahovat i předprodukční adresy, které nejsou součástí zvolené aplikace.

Poznámka Vždy můžete přidat další adresy pozdějitage.

Review Strom rozsahu, rozsahy a štítky
Než začnete vytvářet strom rozsahu, znovuview hierarchii, kterou můžete vidět v levém okně. Kořenový obor zobrazuje štítky, které byly automaticky vytvořeny pro všechny nakonfigurované adresy IP a podsítě. Při pozdější stagBěhem tohoto procesu jsou do tohoto stromu rozsahu přidány aplikace.
Obrázek 2:

Můžete rozbalit a sbalit větve a posouvat se dolů a vybrat konkrétní rozsah. V pravém podokně můžete vidět adresy IP a štítky přiřazené k úlohám pro konkrétní obor. V tomto okně můžete znovuview, upravte strom oboru před přidáním aplikace do tohoto oboru.

Poznámka
Pokud chcete view tyto informace poté, co opustíte průvodce, zvolte Uspořádat > Rozsahy a inventář z hlavní nabídky,

Review Strom rozsahu

Než začnete vytvářet strom rozsahu, znovuview hierarchii, kterou můžete vidět v levém okně. Kořenový obor zobrazuje štítky, které byly automaticky vytvořeny pro všechny nakonfigurované adresy IP a podsítě. Při pozdější stagBěhem tohoto procesu jsou do tohoto stromu rozsahu přidány aplikace.

Poznámka
Pokud chcete view tyto informace poté, co opustíte průvodce, zvolte Uspořádat > Rozsahy a inventář z hlavní nabídky.

Vytvořte strom rozsahu

Poté, co jsiview strom oboru, pokračujte ve vytváření stromu oboru.

Informace o stromu oborů naleznete v části Rozsahy a Inventář v uživatelské příručce.

Další kroky

Nainstalujte agenty
Nainstalujte agenty SecureWorkload na pracovní zátěže spojené s vámi zvolenou aplikací. Data, která agenti shromáždí, se použijí ke generování navrhovaných zásad na základě stávajícího provozu ve vaší síti. Čím více dat, tím přesnější zásady jsou vytvářeny. Podrobnosti naleznete v části Softwaroví agenti v uživatelské příručce Secure Workload.

Přidat aplikaci
Přidejte první aplikaci do stromu oboru. Vyberte si předprodukční aplikaci běžící na holém kovu nebo virtuálních strojích ve vašem datovém centru. Po přidání aplikace můžete začít objevovat zásady pro tuto aplikaci. Další informace naleznete v části Rozsahy a inventář uživatelské příručky Zabezpečené pracovní zatížení.

Nastavte společné zásady v interním rozsahu
Použijte sadu společných zásad v interní oblasti. Napřample, povolte provoz pouze přes určitý port z vaší sítě mimo vaši síť.
Uživatelé mohou definovat zásady ručně pomocí klastrů, filtrů inventáře a rozsahů nebo je lze zjistit a vygenerovat z tokových dat pomocí automatického zjišťování zásad.
Poté, co nainstalujete agenty a necháte alespoň několik hodin na shromažďování dat o toku provozu, můžete povolit Secure Workload generovat („objevovat“) zásady založené na tomto provozu. Podrobnosti najdete v části Automaticky zjišťovat zásady uživatelské příručky Zabezpečené pracovní zatížení.
Aplikujte tyto zásady na interní (nebo vnitřní nebo kořenový) rozsah, abyste mohli efektivně znovuview politiky.

Přidejte Cloud Connector
Pokud má vaše organizace úlohy na AWS, Azure nebo GCP, přidejte tyto úlohy do stromu oboru pomocí cloudového konektoru. Další informace najdete v části Cloud Connectors uživatelské příručky Secure Workload.

Rychlé spuštění pracovního postupu

Krok	Udělejte toto	Podrobnosti
1	(Volitelné) Udělejte si komentovanou prohlídku průvodce	Prohlídka Čaroděje, na straně 1
2	Vyberte aplikaci a začněte svou cestu segmentace.	Chcete-li dosáhnout nejlepších výsledků, postupujte podle pokynů v Vyberte si Aplikace pro tohoto průvodce, na straně 10.
3	Shromážděte IP adresy.	Průvodce si vyžádá 4 skupiny IP adres. Podrobnosti viz Shromážděte IP adresy, na straně 9.
4	Spusťte průvodce	Na view požadavky a přístup k průvodci, viz Spusťte průvodce, na straně 11
5	Nainstalujte agenty Secure Workload na pracovní zátěže vaší aplikace.	Viz Instalace agentů.
6	Dejte agentům čas na shromáždění dat toku.	Více dat vytváří přesnější zásady. Minimální požadovaná doba závisí na tom, jak aktivně je aplikace používána.
7	Vytvářejte („objevujte“) zásady na základě vašich skutečných dat toku.	Viz Automatické generování zásad.
8	Review vytvořené zásady.	Viz Podívejte se na vygenerované zásady.

Shromážděte IP adresy
Budete potřebovat alespoň některé z IP adres v každé odrážce níže:

Adresy, které definují vaši interní síť Ve výchozím nastavení používá průvodce standardní adresy vyhrazené pro soukromé použití internetu.

Adresy, které jsou rezervovány pro vaše datová centra.
To nezahrnuje adresy používané počítači zaměstnanců, cloudovými nebo partnerskými službami, centralizovanými IT službami atd.
Adresy, které definují vaši neprodukční síť
Adresy úloh, které tvoří vámi vybranou neprodukční aplikaci
Prozatím nemusíte mít všechny adresy pro každou z výše uvedených odrážek; vždy můžete později přidat další adresy.

Důležité
Protože každá ze 4 odrážek představuje podmnožinu IP adres odrážky nad ní, každá IP adresa v každé odrážce musí být také zahrnuta mezi IP adresy odrážky nad ní v seznamu.

Vyberte aplikaci pro tohoto průvodce
Pro tohoto průvodce vyberte jednu aplikaci.
Aplikace se obvykle skládá z více úloh, které poskytují různé služby, jako např web služby nebo databáze, primární a záložní servery atd. Tyto pracovní zátěže společně poskytují funkčnost aplikace jejím uživatelům.

Pokyny pro výběr vaší aplikace
SecureWorkload podporuje pracovní zátěže běžící na široké škále platforem a operačních systémů, včetně cloudových a kontejnerových úloh. Pro tohoto průvodce však vyberte aplikaci s pracovními zátěžemi, které jsou:

Běží ve vašem datovém centru.
Běží na holém kovu a/nebo virtuálních počítačích.

Spuštění na platformách Windows, Linux nebo AIX podporovaných agenty Secure Workload, viz https://www.cisco.com/go/secure-workload/requirements/agents.
Nasazeno v předprodukčním prostředí.

Poznámka
Průvodce můžete spustit, i když jste nevybrali aplikaci a nezískali adresy IP, ale bez provedení těchto věcí nemůžete průvodce dokončit.

Poznámka
Pokud nedokončíte průvodce před odhlášením (nebo vypršením časového limitu) nebo nepřejdete do jiné části aplikace Secure workload (použijte levý navigační panel), konfigurace průvodce se neuloží.

Podrobnosti o tom, jak přidat rozsah/přidat obor a štítky, naleznete v části Rozsahy a inventář uživatelské příručky Cisco Secure Workload.

Spusťte Průvodce

Průvodce můžete spustit bez ohledu na to, zda jste vybrali aplikaci a shromáždili IP adresy, ale bez provedení těchto věcí nebudete moci průvodce dokončit.

Důležité
Pokud nedokončíte průvodce před odhlášením (nebo vypršením časového limitu) zabezpečené pracovní zátěže nebo pokud přejdete do jiné části aplikace pomocí levého navigačního panelu, konfigurace průvodce se neuloží.

Než začnete
K průvodci mají přístup následující uživatelské role:

Postup

Krok 1
Přihlaste se do Secure Workload.
Krok 2
Spusťte průvodce:
Pokud aktuálně nemáte definované žádné rozsahy, průvodce se zobrazí automaticky, když se přihlásíte k zabezpečené pracovní zátěži.

Alternativně:

Klikněte na odkaz Spustit průvodce nyní v modrém pruhu v horní části libovolné stránky.
Zvolte Overview z hlavní nabídky na levé straně okna.
Krok 3
Průvodce vám vysvětlí věci, které potřebujete vědět.
Nenechte si ujít následující užitečné prvky:
- Umístěte ukazatel myši na grafické prvky v průvodci a přečtěte si jejich popis.
- Klikněte na libovolné odkazy a informační tlačítka ( ) pro důležité informace.

(Volitelné) Chcete-li začít znovu, resetujte strom rozsahu

Můžete odstranit obory, štítky a strom oborů, které jste vytvořili pomocí průvodce, a volitelně spustit průvodce znovu.

Tip
Pokud chcete odstranit pouze některé z vytvořených oborů a nechcete znovu spouštět průvodce, můžete místo resetování celého stromu odstranit jednotlivé obory: Klikněte na obor, který chcete odstranit, a poté klikněte na Odstranit.

Než začnete
Jsou vyžadována oprávnění vlastníka oboru pro kořenový obor.
Pokud jste vytvořili další pracovní prostory, zásady nebo jiné závislosti, úplné informace o resetování stromu oboru naleznete v Uživatelské příručce v Zabezpečené pracovní zatížení.

Postup

Krok 1 V navigační nabídce vlevo zvolte Uspořádat > Rozsahy a inventář .
Krok 2 Klikněte na rozsah v horní části stromu.

Krok 3 Klikněte na Reset.
Krok 4 Potvrďte svou volbu.
Krok 5 Pokud se tlačítko Reset změní na Destroy Pending, možná budete muset obnovit stránku prohlížeče.

Další informace

Další informace o konceptech v průvodci naleznete v části:

Online nápověda v Secure Workload
Uživatelská příručka k bezpečnému pracovnímu zatížení ve formátu PDF pro vaši verzi, dostupná z https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Dokumenty / zdroje

	CISCO Secure Workload Software [pdfUživatelská příručka Vydání 3.8, Software pro bezpečné pracovní zatížení, Bezpečné pracovní zatížení, Software
	CISCO Secure Workload Software [pdfUživatelská příručka 3.8.1.53, 3.8.1.1, Secure Workload Software, Secure, Workload Software, Software