Guía del usuario del software de carga de trabajo seguro de CISCO

Contenido esconder

1 Software de carga de trabajo segura de CISCO

2 Introducción a la segmentación

3 Instalar agentes

4 Flujo de trabajo de inicio rápido

5 Procedimiento

6 Más información

7 Documentos / Recursos

7.1 Referencias

8 Publicaciones relacionadas

Software de carga de trabajo segura de CISCO

Guía de inicio rápido de Cisco Secure Workload para la versión 3.8

Cisco Secure Workload es un software que permite a los usuarios instalar agentes de software en sus cargas de trabajo de aplicaciones. Los agentes de software recopilan información sobre las interfaces de red y los procesos activos que se ejecutan en el sistema host.

Introducción a la segmentación

La función de segmentación de Cisco Secure Workload permite a los usuarios agrupar y etiquetar sus cargas de trabajo. Esto ayuda a definir políticas y procedimientos para cada grupo y garantizar una comunicación segura entre ellos.

acerca de esta guía

Esta guía es una guía de inicio rápido para Cisco Secure Workload versión 3.8. Proporciona una sobreview del asistente y guía a los usuarios a través del proceso de instalación de agentes, agrupación y etiquetado de cargas de trabajo y creación de una jerarquía para su organización.

Gira del Mago

El asistente guía a los usuarios a través del proceso de instalación de agentes, agrupación y etiquetado de cargas de trabajo y creación de una jerarquía para su organización.

Antes de empezar

Los siguientes roles de usuario pueden acceder al asistente:

Superadministrador
Administración

Administrador de seguridad
Operador de seguridad

Instalar agentes

Para instalar agentes de software en las cargas de trabajo de su aplicación:

Abra el asistente de carga de trabajo segura de Cisco.
Seleccione la opción para instalar agentes.

Siga las instrucciones proporcionadas por el asistente para completar el proceso de instalación.

Agrupe y etiquete sus cargas de trabajo

Para agrupar y etiquetar sus cargas de trabajo:

Abra el asistente de carga de trabajo segura de Cisco.

Seleccione la opción para agrupar y etiquetar sus cargas de trabajo.
Siga las instrucciones proporcionadas por el asistente para crear una rama del árbol de alcance y asignar etiquetas a cada grupo.

Construya la jerarquía para su organización

Para crear una jerarquía para su organización:

Abra el asistente de carga de trabajo segura de Cisco.
Seleccione la opción para crear la jerarquía para su organización.

Siga las instrucciones proporcionadas por el asistente para definir el alcance interno, el alcance del centro de datos y el alcance de preproducción.

Nota: Los nombres de los ámbitos deben ser breves y significativos. Asegúrese de no incluir direcciones de ninguna aplicación que se utilice para realizar negocios reales en el ámbito de preproducción.

Primera publicación: 2023-04-12
Última modificación: 2023-05-19

Introducción a la segmentación

Tradicionalmente, la seguridad de la red tiene como objetivo mantener la actividad maliciosa fuera de su red con firewalls alrededor del borde de su red. Sin embargo, también necesita proteger su organización de amenazas que han violado su red o se han originado dentro de ella. La segmentación (o microsegmentación) de la red ayuda a proteger sus cargas de trabajo mediante el control del tráfico entre las cargas de trabajo y otros hosts de su red; por lo tanto, solo permite el tráfico que su organización necesitaría para fines comerciales y niega todo el resto del tráfico. por ejemploamparchivo, puede utilizar políticas para evitar toda comunicación entre las cargas de trabajo que alojan sus archivos de cara al público. web la aplicación se comunique con su base de datos de investigación y desarrollo en su centro de datos, o para evitar que cargas de trabajo que no sean de producción entren en contacto con cargas de trabajo de producción. Cisco Secure Workload utiliza los datos de flujo de la organización para sugerir políticas que usted puede evaluar y aprobar antes de aplicarlas. Alternativamente, también puede crear manualmente estas políticas para segmentar la red.

acerca de esta guía

Este documento es aplicable a la versión 3.8 de Secure Workload:

Presenta los conceptos clave de cargas de trabajo seguras: segmentación, etiquetas de cargas de trabajo, ámbitos, árboles de alcance jerárquico y descubrimiento de políticas.
Explica el proceso de creación de la primera rama de su árbol de alcance utilizando el asistente de experiencia de usuario por primera vez y
Describe el proceso automatizado de generación de políticas para la aplicación elegida en función de los flujos de tráfico reales.

Gira del Mago

Antes de empezar
Los siguientes roles de usuario pueden acceder al asistente:

administrador del sitio
Atención al cliente
propietario del alcance

Instalar agentes

Figura 1: ventana de bienvenida

Instalar agentes
En Secure Workload, puede instalar agentes de software en las cargas de trabajo de sus aplicaciones. Los agentes de software recopilan información sobre las interfaces de red y los procesos activos que se ejecutan en el sistema host.

Hay dos formas de instalar los agentes de software:

Instalador de Agent Script: utilice este método para instalar, rastrear y solucionar problemas durante la instalación de los agentes de software. Las plataformas compatibles son Linux, Windows, Kubernetes, AIX y Solaris.
Instalador de imagen de agente: descargue la imagen del agente de software para instalar una versión y un tipo de agente de software específicos para su plataforma. Las plataformas compatibles son Linux y Windows.

El asistente de incorporación lo guiará a través del proceso de instalación de los agentes según el método de instalación seleccionado. Consulte las instrucciones de instalación en la interfaz de usuario y consulte la guía del usuario para obtener detalles adicionales sobre la instalación de agentes de software.

Agrupe y etiquete sus cargas de trabajo

Asigne etiquetas a un grupo de cargas de trabajo para crear un alcance.
El árbol de alcance jerárquico ayuda a dividir las cargas de trabajo en grupos más pequeños. La rama más baja del árbol de alcance está reservada para aplicaciones individuales.
Seleccione un ámbito principal del árbol de ámbitos para crear un nuevo ámbito. El nuevo ámbito contendrá un subconjunto de los miembros del ámbito principal.

En esta ventana, puede organizar sus cargas de trabajo en grupos, que están organizados en una estructura jerárquica. Dividir su red en grupos jerárquicos permite el descubrimiento y la definición de políticas flexibles y escalables.
Las etiquetas son parámetros clave que describen una carga de trabajo o un punto final y se representan como un par clave-valor. El asistente ayuda a aplicar las etiquetas a sus cargas de trabajo y luego agrupa estas etiquetas en grupos llamados ámbitos. Las cargas de trabajo se agrupan automáticamente en ámbitos según sus etiquetas asociadas. Puede definir políticas de segmentación basadas en los alcances.
Pase el cursor sobre cada bloque o alcance en el árbol para obtener más información sobre el tipo de cargas de trabajo o hosts que incluye.

Nota

En la ventana Introducción a ámbitos y etiquetas, Organización, Infraestructura, Entorno y Aplicación son las claves y el texto en los cuadros grises alineados con cada clave son los valores.
Por ejemploamparchivo, todas las cargas de trabajo que pertenecen a la Aplicación 1 están definidas por este conjunto de etiquetas:

Organización = Interna
Infraestructura = Centros de datos
Entorno = Preproducción

Aplicación = Aplicación 1

El poder de las etiquetas y los árboles de alcance

Las etiquetas impulsan el poder de Secure Workload y el árbol de alcance creado a partir de sus etiquetas es más que un simple resumen de su red:

Las etiquetas le permiten comprender instantáneamente sus políticas:
"Denegar todo el tráfico desde la preproducción hasta la producción"
Compare esto con la misma política sin etiquetas:
"Denegar todo el tráfico desde 172.16.0.0/12 a 192.168.0.0/16"
Las políticas basadas en etiquetas se aplican (o dejan de aplicarse) automáticamente cuando se agregan (o eliminan) cargas de trabajo etiquetadas al inventario. Con el tiempo, estas agrupaciones dinámicas basadas en etiquetas reducen en gran medida la cantidad de esfuerzo necesario para mantener la implementación.
Las cargas de trabajo se agrupan en ámbitos según sus etiquetas. Estas agrupaciones le permiten aplicar políticas fácilmente a cargas de trabajo relacionadas. por ejemploamparchivo, puede aplicar fácilmente políticas a todas las aplicaciones en el ámbito de preproducción.

Las políticas creadas una vez en un único ámbito se pueden aplicar automáticamente a todas las cargas de trabajo en ámbitos descendientes en el árbol, lo que minimiza la cantidad de políticas que necesita administrar.
Puede definir y aplicar políticas fácilmente de forma amplia (por ej.amparchivo, a todas las cargas de trabajo de su organización) o de forma limitada (solo a las cargas de trabajo que forman parte de una aplicación específica) o a cualquier nivel intermedio (por ejemploample, a todas las cargas de trabajo en su centro de datos.
Puede asignar la responsabilidad de cada ámbito a diferentes administradores, delegando la gestión de políticas a las personas que estén más familiarizadas con cada parte de su red.

Construya la jerarquía para su organización

Comience a construir su jerarquía o árbol de alcance, esto implica identificar y categorizar los activos, determinar el alcance, definir roles y responsabilidades, desarrollar políticas y procedimientos para crear una rama del árbol de alcance.

El asistente le guiará en la creación de una rama del árbol de alcance. Ingrese direcciones IP o subredes para cada alcance resaltado en azul; las etiquetas se aplican automáticamente según el árbol de alcance.

Prerrequisitos:

Recopile direcciones IP/subredes asociadas con su entorno de preproducción, sus centros de datos y su red interna.
Reúna tantas direcciones IP/subredes como pueda; podrá obtener las direcciones IP/subredes adicionales más adelante.

Más adelante, a medida que construye su árbol, puede agregar direcciones IP/subredes para los otros ámbitos del árbol (los bloques grises).

Para crear el árbol de alcance, realice estos pasos:

Definir el alcance interno
El alcance interno incluye todas las direcciones IP que definen la red interna de su organización, incluidas las direcciones IP públicas y privadas.
El asistente le guiará para agregar direcciones IP a cada ámbito en la rama del árbol. A medida que agrega direcciones, el asistente asigna etiquetas a cada dirección que define el alcance.

Por ejemploamparchivo, en esta ventana Configuración del alcance, el asistente asigna la etiqueta
Organización=Interna

a cada dirección IP.
De forma predeterminada, el asistente agrega las direcciones IP en el espacio privado de direcciones de Internet tal como se define en RFC 1918.

Nota
No es necesario ingresar todas las direcciones IP a la vez, pero debe incluir las direcciones IP asociadas con la aplicación elegida; puede agregar el resto de las direcciones IP más adelante.

Definir el alcance del centro de datos
Este alcance incluye las direcciones IP que definen sus centros de datos locales. Ingrese las direcciones IP/subredes que definen su red interna

Nota Los nombres de los ámbitos deben ser breves y significativos.

En esta ventana, ingrese las direcciones IP que ingresó para la organización; estas direcciones deben ser un subconjunto de las direcciones de su red interna. Si tiene varios centros de datos, inclúyalos todos en este ámbito para que pueda definir un único conjunto de políticas.

Nota

Siempre puedes agregar más direcciones más adelante.tagmi. Por ejemplo, el asistente asigna estas etiquetas a cada una de las direcciones IP:
Organización=Interna
Infraestructura=Centros de datos

Definir el alcance de la preproducción
Este alcance incluye direcciones IP de aplicaciones y hosts que no son de producción, como desarrollo, laboratorio, prueba o s.tagsistemas de ing

Nota
Asegúrese de no incluir direcciones de ninguna aplicación que se utilice para realizar negocios reales; utilícelas para el alcance de producción que defina más adelante.

Las direcciones IP que ingrese en esta ventana deben ser un subconjunto de las direcciones que ingresó para sus centros de datos, incluidas las direcciones de la aplicación elegida. Lo ideal es que también incluyan direcciones de preproducción que no formen parte de la aplicación elegida.

Nota Siempre puedes agregar más direcciones más adelante.tage.

Review Árbol de alcance, alcances y etiquetas
Antes de comenzar a crear el árbol de alcance, vuelva aview la jerarquía que puedes ver en la ventana izquierda. El alcance raíz muestra etiquetas que se crearon automáticamente para todas las direcciones IP y subredes configuradas. En un momento posteriortagEn el proceso, las aplicaciones se agregan a este árbol de alcance.
Figura 2:

Puede expandir y contraer ramas y desplazarse hacia abajo para elegir un alcance específico. En el panel derecho, puede ver las direcciones IP y las etiquetas asignadas a las cargas de trabajo para el alcance específico. En esta ventana, puede volverview, modifique el árbol de alcance antes de agregar una aplicación a este alcance.

Nota
Si quieres view esta información después de salir del asistente, elija Organizar > Ámbitos e inventario en el menú principal,

Review Árbol de alcance

Antes de comenzar a crear el árbol de alcance, vuelva aview la jerarquía que puedes ver en la ventana izquierda. El alcance raíz muestra etiquetas que se crearon automáticamente para todas las direcciones IP y subredes configuradas. En un momento posteriortagEn el proceso, las aplicaciones se agregan a este árbol de alcance.

Nota
Si quieres view Para obtener esta información después de salir del asistente, elija Organizar > Ámbitos e inventario en el menú principal.

Crear árbol de alcance

Después de que estésview el árbol de alcance, continúe con la creación del árbol de alcance.

Para obtener información sobre el árbol de alcance, consulte las secciones Ámbitos e Inventario en la guía del usuario.

Próximos pasos

Instalar agentes
Instale los agentes SecureWorkload en las cargas de trabajo asociadas con la aplicación elegida. Los datos que recopilan los agentes se utilizan para generar políticas sugeridas basadas en el tráfico existente en su red. Cuantos más datos, más políticas precisas se producen. Para obtener más información, consulte la sección Agentes de software en la guía del usuario de Secure Workload.

Agregar aplicación
Agregue la primera aplicación a su árbol de alcance. Elija una aplicación de preproducción que se ejecute en máquinas virtuales o sin sistema operativo en su centro de datos. Después de agregar una aplicación, puede comenzar a descubrir políticas para esta aplicación. Para obtener más información, consulte la sección Ámbitos e inventario de la guía del usuario de Secure Workload.

Establecer políticas comunes en el ámbito interno
Aplicar un conjunto de políticas comunes en el ámbito Interno. por ejemploampPor ejemplo, solo permita el tráfico a través de cierto puerto desde su red hacia fuera de su red.
Los usuarios pueden definir políticas manualmente utilizando clústeres, filtros de inventario y alcances o pueden descubrirse y generarse a partir de datos de flujo mediante un descubrimiento automático de políticas.
Después de haber instalado agentes y haber permitido al menos algunas horas para que se acumulen los datos del flujo de tráfico, puede habilitar Secure Workload para generar (“descubrir”) políticas basadas en ese tráfico. Para obtener más información, consulte la sección Descubrir políticas automáticamente de la guía del usuario de Secure Workload.
Aplique estas políticas en el ámbito interno (o interno o raíz) para restaurar eficazmenteview políticas.

Agregar conector de nube
Si su organización tiene cargas de trabajo en AWS, Azure o GCP, utilice un conector de nube para agregar esas cargas de trabajo a su árbol de alcance. Para obtener más información, consulte la sección Conectores de nube de la guía del usuario de Secure Workload.

Flujo de trabajo de inicio rápido

Paso	Haz esto	Detalles
1	(Opcional) Realice un recorrido comentado por el asistente	Tour del Mago, en la página 1
2	Elija una aplicación para comenzar su viaje de segmentación.	Para obtener mejores resultados, siga las pautas en Elige una Aplicación para este asistente, en la página 10.
3	Reúna direcciones IP.	El asistente solicitará 4 grupos de direcciones IP. Para más detalles, consulte Recopilar direcciones IP, en la página 9.
4	Ejecutar el asistente	A view requisitos y acceder al asistente, consulte Ejecutar el asistente, en la página 11
5	Instale agentes de Secure Workload en las cargas de trabajo de su aplicación.	Consulte Instalar agentes.
6	Dé tiempo a los agentes para que recopilen datos de flujo.	Más datos producen políticas más precisas. La cantidad mínima de tiempo requerida depende de cuán activamente se utilice su aplicación.
7	Genere (“descubra”) políticas basadas en sus datos de flujo reales.	Consulte Generar políticas automáticamente.
8	Review las políticas generadas.	Consulte Mirar las políticas generadas.

Recopilar direcciones IP
Necesitará al menos algunas de las direcciones IP en cada viñeta a continuación:

Direcciones que definen su red interna De forma predeterminada, el asistente utiliza las direcciones estándar reservadas para uso privado de Internet.

Direcciones que están reservadas para sus centros de datos.
Esto no incluye direcciones utilizadas por las computadoras de los empleados, servicios de nube o de socios, servicios de TI centralizados, etc.
Direcciones que definen su red de no producción
Direcciones de las cargas de trabajo que componen la aplicación que no es de producción elegida
Por ahora, no es necesario tener todas las direcciones para cada uno de los puntos anteriores; Siempre puedes agregar más direcciones más tarde.

Importante
Debido a que cada una de las 4 viñetas representa un subconjunto de las direcciones IP de la viñeta que está encima de ella, cada dirección IP en cada viñeta también debe incluirse entre las direcciones IP de la viñeta que está encima de ella en la lista.

Elija una aplicación para este asistente
Para este asistente, elija una sola aplicación.
Una aplicación normalmente consta de múltiples cargas de trabajo que brindan diferentes servicios, como web servicios o bases de datos, servidores primarios y de respaldo, etc. Juntas, estas cargas de trabajo proporcionan la funcionalidad de la aplicación a sus usuarios.

Pautas para elegir su aplicación
SecureWorkload admite cargas de trabajo que se ejecutan en una amplia gama de plataformas y sistemas operativos, incluidas cargas de trabajo basadas en la nube y en contenedores. Sin embargo, para este asistente, elija una aplicación con cargas de trabajo que sean:

Ejecutando en su centro de datos.
Ejecutándose en máquinas bare metal y/o virtuales.

Ejecutándose en plataformas Windows, Linux o AIX compatibles con agentes de Secure Workload, consulte https://www.cisco.com/go/secure-workload/requirements/agents.
Implementado en un entorno de preproducción.

Nota
Puede ejecutar el asistente incluso si no ha elegido una aplicación ni ha recopilado direcciones IP, pero no puede completar el asistente sin hacer estas cosas.

Nota
Si no completa el asistente antes de cerrar sesión (o finalizar el tiempo de espera) o navega a una parte diferente de la aplicación de carga de trabajo segura (use la barra de navegación izquierda), las configuraciones del asistente no se guardan.

Para obtener detalles sobre cómo agregar un alcance/agregar alcance y etiquetas, consulte la sección Ámbitos e inventario de la Guía del usuario de Cisco Secure Workload.

Ejecutar el asistente

Puede ejecutar el asistente independientemente de que haya elegido una aplicación y haya recopilado direcciones IP, pero no podrá completar el asistente sin hacer estas cosas.

Importante
Si no completa el asistente antes de cerrar sesión (o cerrar sesión) en Secure Workload, o si navega a una parte diferente de la aplicación usando la barra de navegación izquierda, las configuraciones del asistente no se guardan.

Antes de empezar
Los siguientes roles de usuario pueden acceder al asistente:

Procedimiento

Paso 1
Inicie sesión en Carga de trabajo segura.
Paso 2
Inicie el asistente:
Si actualmente no tiene ningún ámbito definido, el asistente aparece automáticamente cuando inicia sesión en Secure Workload.

Alternativamente:

Haga clic en el enlace Ejecutar el asistente ahora en el banner azul en la parte superior de cualquier página.
Elegir sobreview desde el menú principal en el lado izquierdo de la ventana.
Paso 3
El asistente le explicará lo que necesita saber.
No te pierdas los siguientes elementos útiles:
- Pase el cursor sobre los elementos gráficos del asistente para leer sus descripciones.
- Haga clic en cualquier enlace y botón de información ( ) para obtener información importante.

(Opcional) Para empezar de nuevo, restablezca el árbol de alcance

Puede eliminar los ámbitos, las etiquetas y el árbol de ámbitos que creó mediante el asistente y, opcionalmente, ejecutar el asistente nuevamente.

Consejo
Si solo desea eliminar algunos de los ámbitos creados y no desea volver a ejecutar el asistente, puede eliminar ámbitos individuales en lugar de restablecer todo el árbol: haga clic en un ámbito para eliminar y luego haga clic en Eliminar.

Antes de empezar
Se requieren privilegios de propietario de ámbito para el ámbito raíz.
Si ha creado áreas de trabajo, políticas u otras dependencias adicionales, consulte la Guía del usuario en Carga de trabajo segura para obtener información completa sobre cómo restablecer el árbol de alcance.

Procedimiento

Paso 1 En el menú de navegación de la izquierda, elija Organizar > Ámbitos e inventario.
Paso 2 Haga clic en el alcance en la parte superior del árbol.

Paso 3: Haga clic en Restablecer.
Paso 4 Confirma tu elección.
Paso 5 Si el botón Restablecer cambia a Destruir pendiente, es posible que deba actualizar la página del navegador.

Más información

Para obtener más información sobre los conceptos del asistente, consulte:

La ayuda en línea en Secure Workload
El PDF de la Guía del usuario de Secure Workload para su versión, disponible en https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Documentos / Recursos

	Software de carga de trabajo segura de CISCO [pdf] Guía del usuario Versión 3.8, Software de carga de trabajo segura, Carga de trabajo segura, Software
	Software de carga de trabajo segura de CISCO [pdf] Guía del usuario 3.8.1.53, 3.8.1.1, Software de carga de trabajo seguro, Seguro, Software de carga de trabajo, Software