CISCO turvalise töökoormuse tarkvara kasutusjuhend

Sisu peita

1 CISCO turvalise töökoormuse tarkvara

2 Sissejuhatus segmenteerimisse

7 Dokumendid / Ressursid

7.1 Viited

8 Seotud postitused

CISCO turvalise töökoormuse tarkvara

Cisco Secure Workloadi kiirjuhend versiooni 3.8 jaoks

Cisco Secure Workload on tarkvara, mis võimaldab kasutajatel installida oma rakenduste töökoormustele tarkvaraagente. Tarkvaraagendid koguvad teavet võrguliideste ja hostsüsteemis töötavate aktiivsete protsesside kohta.

Sissejuhatus segmenteerimisse

Cisco Secure Workload segmenteerimisfunktsioon võimaldab kasutajatel oma töökoormust rühmitada ja sildistada. See aitab määratleda iga rühma jaoks põhimõtteid ja protseduure ning tagada nendevahelise turvalise suhtluse.

Teave selle juhendi kohta

See juhend on Cisco Secure Workload Release 3.8 kiirjuhend. See annab üleview viisardi ja juhendab kasutajaid agentide installimise, töökoormuste rühmitamise ja sildistamise ning organisatsiooni hierarhia loomise protsessis.

Võluri ringkäik

Viisard juhendab kasutajaid agentide installimise, töökoormuse rühmitamise ja märgistamise ning organisatsiooni hierarhia loomise protsessis.

Enne alustamist

Viisardi juurde pääsevad järgmised kasutajarollid:

Superadministraator
Admin

Turvaadministraator
Turvaoperaator

Installige agendid

Tarkvaraagentide installimiseks oma rakenduse töökoormustesse tehke järgmist.

Avage Cisco Secure Workload viisard.
Valige agentide installimise suvand.

Installiprotsessi lõpuleviimiseks järgige viisardi juhiseid.

Rühmitage ja märgistage oma töökoormused

Töökoormuste rühmitamiseks ja sildistamiseks tehke järgmist.

Avage Cisco Secure Workload viisard.

Valige töökoormuste rühmitamise ja sildistamise valik.
Järgige viisardi juhiseid, et luua ulatusepuu haru ja määrata igale rühmale sildid.

Looge oma organisatsiooni hierarhia

Organisatsiooni hierarhia loomiseks tehke järgmist.

Avage Cisco Secure Workload viisard.
Valige oma organisatsiooni hierarhia koostamise suvand.

Sisemise ulatuse, andmekeskuse ulatuse ja tootmiseelse ulatuse määratlemiseks järgige viisardi juhiseid.

Märkus. Ulatuse nimed peaksid olema lühikesed ja tähendusrikkad. Veenduge, et te ei lisa tootmiseelsesse ulatusse ühegi rakenduse aadresse, mida kasutatakse tegelikuks äritegevuseks.

Esmakordselt avaldatud: 2023-04-12
Viimati muudetud: 2023-05-19

Sissejuhatus segmenteerimisse

Traditsiooniliselt on võrguturbe eesmärk hoida võrgu ääres asuvate tulemüüride abil pahatahtlik tegevus teie võrgust eemal. Siiski peate oma organisatsiooni kaitsma ka ohtude eest, mis on teie võrku rikkunud või sellest pärit. Võrgu segmenteerimine (või mikrosegmenteerimine) aitab kaitsta teie töökoormust, kontrollides liiklust töökoormuste ja võrgu muude hostide vahel; seetõttu lubab ainult liiklust, mida teie organisatsioon vajab ärilistel eesmärkidel, ja keelab kogu muu liikluse. Näiteksample, saate kasutada poliitikaid, et takistada igasugust suhtlust teie avalikku vaatamist hostivate töökoormuste vahel web et rakendus ei suhtleks teie andmekeskuses asuva uurimis- ja arendusandmebaasiga või väldiks tootmisega mitteseotud töökoormuste kontakti tootmistöökoormustega. Cisco Secure Workload kasutab organisatsiooni vooandmeid, et soovitada poliitikaid, mida saate enne nende jõustamist hinnata ja heaks kiita. Teise võimalusena saate võrgu segmenteerimiseks need reeglid luua ka käsitsi.

Teave selle juhendi kohta

See dokument kehtib turvalise töökoormuse versiooni 3.8 jaoks:

Tutvustatakse peamisi turvalise töökoormuse kontseptsioone: segmentimine, töökoormuse sildid, ulatused, hierarhilised ulatuse puud ja poliitikatuvastus.
Selgitab oma ulatusepuu esimese haru loomise protsessi esmakordse kasutuskogemuse viisardi ja
Kirjeldab valitud rakenduse jaoks poliitikate loomise automatiseeritud protsessi tegelike liiklusvoogude põhjal.

Võluri ringkäik

Enne alustamist
Viisardi juurde pääsevad järgmised kasutajarollid:

saidi administraator
klienditugi
ulatuse omanik

Installige agendid

Joonis 1: Tervitusaken

Installige agendid
Turvalises töökoormuses saate installida oma rakenduste töökoormustele tarkvaraagente. Tarkvaraagendid koguvad teavet võrguliideste ja hostsüsteemis töötavate aktiivsete protsesside kohta.

Tarkvaraagentide installimiseks on kaks võimalust:

Agent Scripti installer – kasutage seda meetodit tarkvaraagentide installimisel tekkivate probleemide installimiseks, jälgimiseks ja tõrkeotsinguks. Toetatud platvormid on Linux, Windows, Kubernetes, AIX ja Solaris
Agendipildi installija – laadige alla tarkvaraagendi kujutis, et installida oma platvormile tarkvaraagendi konkreetne versioon ja tüüp. Toetatud platvormid on Linux ja Windows.

Sissevõtmise viisard juhendab teid agentide installimise protsessis valitud installimeetodi alusel. Tarkvaraagentide installimise kohta lisateabe saamiseks vaadake kasutajaliidese installijuhiseid ja kasutusjuhendit.

Rühmitage ja märgistage oma töökoormused

Ulatuse loomiseks määrake sildid töökoormuste rühmale.
Hierarhiline ulatuse puu aitab jagada töökoormust väiksemateks rühmadeks. Alumine haru ulatuse puus on reserveeritud üksikute rakenduste jaoks.
Uue ulatuse loomiseks valige ulatuse puust ülemulatus. Uus ulatus sisaldab vanemate ulatuse liikmete alamhulka.

Selles aknas saate korraldada oma töökoormused rühmadesse, mis on paigutatud hierarhilisesse struktuuri. Võrgu jaotamine hierarhilisteks rühmadeks võimaldab paindlikku ja skaleeritavat poliitika avastamist ja määratlemist.
Sildid on põhiparameetrid, mis kirjeldavad töökoormust või lõpp-punkti, seda esitatakse võtme-väärtuste paarina. Viisard aitab silte teie töökoormustele rakendada ja seejärel rühmitab need sildid rühmadesse, mida nimetatakse ulatusteks. Töökoormused rühmitatakse nendega seotud siltide alusel automaatselt ulatustesse. Saate määratleda segmenteerimispoliitikad ulatuse põhjal.
Hõljutage kursorit puu iga ploki või ulatuse kohal, et saada lisateavet selles sisalduvate töökoormuste või hostide tüübi kohta.

Märkus

Aknas Ulatuste ja siltidega alustamine on klahvid Organisatsioon, Infrastruktuur, Keskkond ja Rakendus ning iga klahviga samal real olev hallides kastides olev tekst on väärtused.
Näiteksample, kõik rakendusse 1 kuuluvad töökoormused on määratletud järgmiste siltide komplektiga:

Organisatsioon = sisemine
Infrastruktuur = andmekeskused
Keskkond = Eeltootmine

Rakendus = rakendus 1

Siltide ja ulatuspuude jõud

Sildid juhivad turvalise töökoormuse võimsust ja teie siltidest loodud ulatusepuu on midagi enamat kui lihtsalt teie võrgu kokkuvõte.

Sildid võimaldavad teil oma eeskirjadest kohe aru saada.
„Keela kogu liiklus eeltootmisest tootmisse”
Võrrelge seda sama poliitikaga ilma siltideta:
"Keela kogu liiklus vahemikus 172.16.0.0/12 kuni 192.168.0.0/16"
Siltidel põhinevad eeskirjad rakenduvad automaatselt (või lõpetavad rakendamise), kui sildistatud töökoormusi lisatakse varudesse (või sealt eemaldatakse). Aja jooksul vähendavad need siltidel põhinevad dünaamilised rühmitused märkimisväärselt teie juurutamise säilitamiseks vajalikku pingutust.
Töökoormused rühmitatakse nende siltide alusel ulatustesse. Need rühmitused võimaldavad teil hõlpsasti poliitikat seotud töökoormustele rakendada. Näiteksample, saate poliitikat hõlpsalt rakendada kõikidele tootmiseelse ulatusega rakendustele.

Ühes ulatuses üks kord loodud poliitikaid saab automaatselt rakendada kõikidele töökoormustele puu järeltulijates, minimeerides hallatavate poliitikate arvu.
Saate hõlpsasti määratleda ja rakendada poliitikat laiemalt (ntampkõigile teie organisatsiooni töökoormustele) või kitsalt (ainult töökoormustele, mis on osa konkreetsest rakendusest) või mis tahes vahepealsele tasemele (ntample, kõikidele teie andmekeskuse töökoormustele.
Saate määrata vastutuse iga ulatuse eest erinevatele administraatoritele, delegeerides poliitikahalduse inimestele, kes on teie võrgu iga osaga kõige paremini tuttavad.

Looge oma organisatsiooni hierarhia

Alustage oma hierarhia või ulatusepuu loomist, see hõlmab varade tuvastamist ja kategoriseerimist, ulatuse määramist, rollide ja vastutuste määratlemist, poliitikate ja protseduuride väljatöötamist ulatuse puu haru loomiseks.

Viisard juhendab teid ulatusepuu haru loomisel. Sisestage iga sinise piirjoonega ulatuse jaoks IP-aadressid või alamvõrgud, sildid rakendatakse automaatselt ulatusepuu alusel.

Eeltingimused:

Koguge kokku IP-aadressid/alamvõrgud, mis on seotud teie tootmiseelse keskkonna, andmekeskuste ja sisevõrguga.
Koguge kokku nii palju IP-aadresse/alamvõrke kui võimalik, hiljem saate lisada täiendavaid IP-aadresse/alamvõrke.

Hiljem, kui loote oma puu, saate lisada IP-aadresse/alamvõrke puu teistele ulatustele (hallid plokid).

Ulatuspuu loomiseks toimige järgmiselt.

Määratlege sisemine ulatus
Sisemine ulatus hõlmab kõiki IP-aadresse, mis määravad teie organisatsiooni sisevõrgu, sealhulgas avalikud ja privaatsed IP-aadressid.
Viisard juhendab teid IP-aadresside lisamisel puuharu igale ulatusele. Aadresside lisamisel määrab viisard igale ulatuse määravale aadressile sildid.

Näiteksample määrab selles Scope Setup aknas viisard sildi
Organisatsioon=Sisemine

igale IP-aadressile.
Vaikimisi lisab viisard IP-aadressid privaatsesse Interneti-aadressi ruumi, nagu on määratletud standardis RFC 1918

Märkus
Kõiki IP-aadresse ei pea korraga sisestama, kuid peate lisama valitud rakendusega seotud IP-aadressid, ülejäänud IP-aadressid saate lisada hiljem.

Määrake andmekeskuse ulatus
See ulatus hõlmab IP-aadresse, mis määravad teie kohapealsed andmekeskused. Sisestage IP-aadressid/alamvõrgud, mis määravad teie sisevõrgu

Märkus Ulatuse nimed peaksid olema lühikesed ja tähendusrikkad.

Sisestage selles aknas organisatsiooni jaoks sisestatud IP-aadressid. Need aadressid peavad olema teie sisevõrgu aadresside alamhulk. Kui teil on mitu andmekeskust, kaasake need kõik sellesse ulatusse, et saaksite määratleda ühe poliitikakomplekti.

Märkus

Saate alati hiljem aadresse lisadatage. Näiteks määrab viisard need sildid igale IP-aadressile:
Organisatsioon=Sisemine
Infrastructure=Andmekeskused

Määratlege tootmiseelne ulatus
See ulatus hõlmab mittetootmisrakenduste ja hostide IP-aadresse, nagu arendus, labor, test või stagsüsteemid.

Märkus
Veenduge, et te ei lisaks tegelikuks äritegevuseks kasutatavate rakenduste aadresse, kasutage neid hiljem määratletava tootmismahu jaoks.

Sellesse aknasse sisestatud IP-aadressid peavad olema andmekeskuste jaoks sisestatud aadresside alamhulk, sealhulgas teie valitud rakenduse aadressid. Ideaalis peaksid need sisaldama ka tootmiseelseid aadresse, mis ei ole valitud rakenduse osa.

Märkus Saate alati hiljem aadresse lisadatage.

Review Ulatuspuu, ulatused ja sildid
Enne ulatusepuu loomise alustamist uuestiview hierarhia, mida näete vasakpoolses aknas. Juurulatus näitab silte, mis loodi automaatselt kõigi konfigureeritud IP-aadresside ja alamvõrkude jaoks. Hilisemal stage protsessi käigus lisatakse sellesse ulatusepuusse rakendused.
Joonis 2:

Konkreetse ulatuse valimiseks saate harusid laiendada ja ahendada ning allapoole kerida. Paremal paanil näete konkreetse ulatuse töökoormustele määratud IP-aadresse ja silte. Selles aknas saate uuestiview, muutke ulatuse puud enne sellesse ulatusse rakenduse lisamist.

Märkus
Kui soovite view selle teabe pärast viisardist väljumist valige peamenüüst Korralda > Ulatused ja inventar,

Review Ulatuspuu

Enne ulatusepuu loomise alustamist uuestiview hierarhia, mida näete vasakpoolses aknas. Juurulatus näitab silte, mis loodi automaatselt kõigi konfigureeritud IP-aadresside ja alamvõrkude jaoks. Hilisemal stage protsessi käigus lisatakse sellesse ulatusepuusse rakendused.

Märkus
Kui soovite view Selle teabe pärast viisardist väljumist valige peamenüüst Korralda > Ulatused ja inventar.

Looge ulatuspuu

Pärast seda, kui oleteview ulatuse puu, jätkake ulatuse puu loomist.

Lisateavet ulatuse puu kohta leiate kasutusjuhendi jaotistest Ulatused ja inventar.

Järgmised sammud

Installige agendid
Installige SecureWorkload agendid teie valitud rakendusega seotud töökoormustele. Andmeid, mida agendid koguvad, kasutatakse teie võrgu olemasoleva liikluse põhjal soovitatud poliitikate loomiseks. Mida rohkem andmeid, seda täpsemad eeskirjad koostatakse. Üksikasju vaadake jaotisest Tarkvaraagendid turvalise töökoormuse kasutusjuhendis.

Rakenduse lisamine
Lisage esimene rakendus oma ulatusepuusse. Valige oma andmekeskuses metallist või virtuaalmasinatest töötav tootmiseelne rakendus. Pärast rakenduse lisamist saate alustada selle rakenduse poliitikate avastamist. Lisateavet leiate turvalise töökoormuse kasutusjuhendi jaotisest Ulatused ja inventar.

Seadistage sisemise ulatuse jaoks ühised eeskirjad
Rakendage sisemises ulatuses ühtsete poliitikate komplekti. Näiteksample, lubage liiklust ainult teatud pordi kaudu oma võrgust väljapoole võrku.
Kasutajad saavad poliitikaid käsitsi määratleda klastrite, laofiltrite ja ulatuste abil või neid saab automaatse poliitikatuvastuse abil avastada ja vooandmetest genereerida.
Kui olete agendid installinud ja andnud liiklusvoo andmete kogunemiseks vähemalt paar tundi, saate lubada turvalisel töökoormusel sellel liiklusel põhinevad poliitikad genereerida ("avastada"). Lisateavet leiate turvalise töökoormuse kasutusjuhendi jaotisest poliitikate automaatne tuvastamine.
Rakendage neid eeskirju sisemise (või sisemise või juur-) ulatuse tõhusaks taastamiseksview poliitikat.

Lisage Cloud Connector
Kui teie organisatsioonil on töökoormused AWS-is, Azure'is või GCP-s, kasutage pilvkonnektorit, et lisada need töökoormused oma ulatuse puusse. Lisateabe saamiseks vaadake Secure Workload kasutusjuhendi jaotist Cloud Connectors.

Kiire töövoog

Samm	Tehke seda	Üksikasjad
1	(Valikuline) Vaadake viisardit koos märkustega	Nõustaja ringkäik, lk 1
2	Valige segmenteerimisteekonna alustamiseks rakendus.	Parimate tulemuste saavutamiseks järgige juhiseid Valige an Selle viisardi rakendus, lk 10.
3	Koguge IP-aadressid.	Nõustaja küsib 4 IP-aadresside rühma. Üksikasju vt Koguge IP-aadressid, lk 9.
4	Käivitage viisard	To view nõudeid ja juurdepääsu viisardile, vt Käivitage viisard, lk 11
5	Installige oma rakenduse töökoormustele turvalise töökoormuse agendid.	Vt installiagendid.
6	Jätke agentidele aega vooandmete kogumiseks.	Rohkem andmeid loob täpsemad eeskirjad. Minimaalne nõutav aeg sõltub sellest, kui aktiivselt teie rakendust kasutatakse.
7	Looge ("avastage") eeskirju oma tegelike vooandmete põhjal.	Vaadake jaotist Poliitide automaatne loomine.
8	Review loodud poliitikad.	Vaadake jaotist Loodud poliitikate vaatamine.

Koguge IP-aadressid
Teil on vaja vähemalt mõnda IP-aadressi igas allolevas punktis:

Aadressid, mis määravad teie sisevõrgu Vaikimisi kasutab viisard privaatseks Interneti-kasutuseks reserveeritud standardaadresse.

Aadressid, mis on reserveeritud teie andmekeskuste jaoks.
See ei hõlma aadresse, mida kasutavad töötajate arvutid, pilve- või partnerteenused, tsentraliseeritud IT-teenused jne.
Aadressid, mis määravad teie mittetootmisvõrgu
Töökoormuste aadressid, mis hõlmavad teie valitud mittetootmisrakendust
Praegu ei pea te kõigi ülaltoodud täppide jaoks omama kõiki aadresse; saate alati hiljem rohkem aadresse lisada.

Tähtis
Kuna kõik 4 täppi esindavad selle kohal oleva täpi IP-aadresside alamhulka, tuleb iga täpi iga IP-aadress lisada ka loendis selle kohal oleva täpi IP-aadresside hulka.

Valige selle viisardi jaoks rakendus
Selle viisardi jaoks valige üks rakendus.
Rakendus koosneb tavaliselt mitmest töökoormusest, mis pakuvad erinevaid teenuseid, nt web teenused või andmebaasid, esmased ja varuserverid jne. Need töökoormused koos tagavad rakenduse funktsionaalsuse selle kasutajatele.

Rakenduse valimise juhised
SecureWorkload toetab töökoormust, mis töötab paljudel platvormidel ja operatsioonisüsteemidel, sealhulgas pilvepõhiseid ja konteinerite töökoormusi. Kuid selle viisardi jaoks valige rakendus, mille töökoormused on järgmised:

Töötab teie andmekeskuses.
Töötab metallist ja/või virtuaalmasinatest.

Secure Workload agentidega toetatud Windowsi, Linuxi või AIX platvormidel töötamine, vt https://www.cisco.com/go/secure-workload/requirements/agents.
Kasutusele võetud tootmiseelses keskkonnas.

Märkus
Saate viisardit käivitada ka siis, kui te pole rakendust valinud ja IP-aadresse kogunud, kuid te ei saa viisardit ilma neid toiminguid tegemata lõpule viia.

Märkus
Kui te ei vii viisardit enne väljalogimist (või aja mahavõtmist) lõpule ega navigeeri turvalise töökoormuse rakenduse muusse ossa (kasutage vasakpoolset navigeerimisriba), siis viisardi konfiguratsioone ei salvestata.

Lisateavet ulatuse lisamise/ulatuse ja siltide lisamise kohta leiate Cisco Secure Workloadi kasutusjuhendi jaotisest Ulatused ja inventar.

Käivitage viisard

Saate viisardit käivitada olenemata sellest, kas olete rakenduse valinud ja IP-aadressid kogunud või mitte, kuid ilma neid toiminguid tegemata ei saa viisardit lõpule viia.

Tähtis
Kui te ei vii viisardit enne turvalisest töökoormusest väljalogimist (või aja mahavõtmist) lõpule või kui navigeerite vasaku navigeerimisriba abil rakenduse muusse ossa, siis viisardi konfiguratsioone ei salvestata.

Enne alustamist
Viisardi juurde pääsevad järgmised kasutajarollid:

Menetlus

1. samm
Logige sisse turvalisse töökoormusesse.
2. samm
Käivitage viisard:
Kui teil pole praegu ühtegi ulatust määratletud, kuvatakse viisard automaatselt, kui logite sisse turvalisse töökoormusesse.

Teise võimalusena:

Klõpsake mis tahes lehe ülaosas sinisel bänneril linki Käivita viisard kohe.
Valige Üleview akna vasakus servas olevast peamenüüst.
3. samm
Nõustaja selgitab asju, mida peate teadma.
Ärge unustage järgmisi kasulikke elemente:
- Nende kirjelduste lugemiseks hõljutage kursorit viisardis graafiliste elementide kohal.
- Klõpsake mis tahes linke ja teabenuppe ( ) olulise teabe saamiseks.

(Valikuline) Uuesti alustamiseks lähtestage ulatuse puu

Saate kustutada viisardi abil loodud ulatused, sildid ja ulatusepuu ning soovi korral viisardi uuesti käivitada.

Vihje
Kui soovite eemaldada ainult mõned loodud ulatused ja te ei soovi viisardit uuesti käivitada, saate kogu puu lähtestamise asemel kustutada üksikud ulatused. Klõpsake kustutamiseks ulatust, seejärel klõpsake nuppu Kustuta.

Enne alustamist
Kohaldamisala omaniku õigused juurulatuse jaoks on vajalikud.
Kui olete loonud täiendavaid tööruume, reegleid või muid sõltuvusi, vaadake jaotise Secure Workload kasutusjuhendist täielikku teavet ulatuse puu lähtestamise kohta.

Menetlus

1. samm Valige vasakpoolses navigeerimismenüüs Korralda > Ulatused ja inventar .
2. samm Klõpsake puu ülaosas asuvat ulatust.

3. samm Klõpsake nuppu Lähtesta.
4. samm Kinnitage oma valik.
5. samm Kui nupp Lähtesta muutub olekuks Destroy Pending, peate võib-olla brauseri lehte värskendama.

Rohkem teavet

Lisateavet viisardi mõistete kohta leiate siit:

Turvalise töökoormuse veebiabi
Turvalise töökoormuse kasutusjuhendi PDF-fail teie versiooni jaoks, saadaval aadressilt https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Dokumendid / Ressursid

	CISCO turvalise töökoormuse tarkvara [pdfKasutusjuhend Väljalase 3.8, turvalise töökoormuse tarkvara, turvalise töökoormuse tarkvara, tarkvara
	CISCO turvalise töökoormuse tarkvara [pdfKasutusjuhend 3.8.1.53, 3.8.1.1, turvaline töökoormuse tarkvara, turvaline, töökoormuse tarkvara, tarkvara

Viited

Kasutusjuhend