Contenu cacher
1 Logiciel de charge de travail sécurisée CISCO
2 Introduction à la segmentation
3 Installer des agents
4 Flux de travail de démarrage rapide
5 Procédure
6 Plus d'informations
7 Documents / Ressources
7.1 Références
8 Articles Similaires

LOGO CISCO

Logiciel de charge de travail sécurisée CISCO

Logiciel CISCO Secure Workload-FIG2

Guide de démarrage rapide Cisco Secure Workload pour la version 3.8

Cisco Secure Workload est un logiciel qui permet aux utilisateurs d'installer des agents logiciels sur leurs charges de travail applicatives. Les agents logiciels collectent des informations sur les interfaces réseau et les processus actifs exécutés sur le système hôte.

Introduction à la segmentation

La fonction de segmentation de Cisco Secure Workload permet aux utilisateurs de regrouper et d'étiqueter leurs charges de travail. Cela aide à définir des politiques et des procédures pour chaque groupe et à assurer une communication sécurisée entre eux.

À propos de ce guide

Ce guide est un guide de démarrage rapide pour Cisco Secure Workload Release 3.8. Il fournit un plusview de l'assistant et guide les utilisateurs tout au long du processus d'installation des agents, de regroupement et d'étiquetage des charges de travail et de création d'une hiérarchie pour leur organisation.

Tour du magicien

L'assistant guide les utilisateurs tout au long du processus d'installation des agents, de regroupement et d'étiquetage des charges de travail et de création d'une hiérarchie pour leur organisation.

Avant de commencer

Les rôles d'utilisateur suivants peuvent accéder à l'assistant :

  • Super administrateur
  • Administrateur
  • Administrateur de la sécurité
  • Opérateur de sécurité

Installer des agents

Pour installer des agents logiciels sur vos charges de travail d'application :

  1. Ouvrez l'assistant Cisco Secure Workload.
  2. Sélectionnez l'option d'installation des agents.
  3. Suivez les instructions fournies par l'assistant pour terminer le processus d'installation.

Regroupez et étiquetez vos charges de travail

Pour regrouper et étiqueter vos charges de travail :

  1. Ouvrez l'assistant Cisco Secure Workload.
  2. Sélectionnez l'option pour regrouper et étiqueter vos charges de travail.
  3. Suivez les instructions fournies par l'assistant pour créer une branche de l'arborescence de portée et attribuer des étiquettes à chaque groupe.

Construisez la hiérarchie de votre organisation

Pour créer une hiérarchie pour votre organisation :

  1. Ouvrez l'assistant Cisco Secure Workload.
  2. Sélectionnez l'option permettant de créer la hiérarchie de votre organisation.
  3. Suivez les instructions fournies par l'assistant pour définir la portée interne, la portée du centre de données et la portée de pré-production.

Note: Les noms de portée doivent être courts et significatifs. Assurez-vous que vous n'incluez pas les adresses des applications qui sont utilisées pour mener des activités réelles dans la portée de la pré-production.

Première publication : 2023-04-12
Dernière modification : 2023-05-19

Introduction à la segmentation

Traditionnellement, la sécurité du réseau vise à empêcher toute activité malveillante d'entrer sur votre réseau avec des pare-feu en périphérie de votre réseau. Cependant, vous devez également protéger votre organisation contre les menaces qui ont pénétré votre réseau ou en sont issues. La segmentation (ou microsegmentation) du réseau permet de protéger vos charges de travail en contrôlant le trafic entre les charges de travail et les autres hôtes de votre réseau ; par conséquent, autorisez uniquement le trafic dont votre organisation aurait besoin à des fins professionnelles et refusez tout autre trafic. Par exempleample, vous pouvez utiliser des stratégies pour empêcher toute communication entre les charges de travail qui hébergent votre web application de communiquer avec votre base de données de recherche et développement dans votre centre de données, ou pour empêcher les charges de travail hors production de contacter les charges de travail de production. Cisco Secure Workload utilise les données de flux de l'organisation pour suggérer des politiques que vous pouvez évaluer et approuver avant de les appliquer. Alternativement, vous pouvez également créer manuellement ces politiques pour segmenter le réseau.

À propos de ce guide

Ce document s'applique à la version 3.8 de Secure Workload :

  • Présente les concepts clés de la charge de travail sécurisée : segmentation, étiquettes de charge de travail, portées, arborescences de portée hiérarchique et découverte de politiques.
  • Explique le processus de création de la première branche de votre arborescence d'étendue à l'aide de l'assistant de première expérience utilisateur et
  • Décrit le processus automatisé de génération de stratégies pour l'application choisie en fonction des flux de trafic réels.

Tour du magicien

Avant de commencer
Les rôles d'utilisateur suivants peuvent accéder à l'assistant :

  • administrateur du site
  • service client
  • propriétaire de l'étendue

Installer des agents

Figure 1 : Fenêtre de bienvenue

Logiciel CISCO Secure Workload-FIG1

Installer des agents
Dans Secure Workload, vous pouvez installer des agents logiciels sur vos charges de travail d'application. Les agents logiciels collectent des informations sur les interfaces réseau et les processus actifs exécutés sur le système hôte.

Logiciel CISCO Secure Workload-FIG3

Vous pouvez installer les agents logiciels de deux manières :

  • Programme d'installation du script d'agent : utilisez cette méthode pour installer, suivre et résoudre les problèmes lors de l'installation des agents logiciels. Les plates-formes prises en charge sont Linux, Windows, Kubernetes, AIX et Solaris
  • Programme d'installation de l'image de l'agent : téléchargez l'image de l'agent logiciel pour installer une version et un type spécifiques d'agent logiciel pour votre plate-forme. Les plates-formes prises en charge sont Linux et Windows.

L'assistant d'intégration vous guide tout au long du processus d'installation des agents en fonction de la méthode d'installation sélectionnée. Reportez-vous aux instructions d'installation sur l'interface utilisateur et consultez le guide de l'utilisateur pour plus de détails sur l'installation des agents logiciels.

Regroupez et étiquetez vos charges de travail

Attribuez des étiquettes à un groupe de charges de travail pour créer une étendue.
L'arborescence de portée hiérarchique permet de diviser les charges de travail en groupes plus petits. La branche la plus basse de l'arborescence de portée est réservée aux applications individuelles.
Sélectionnez une étendue parente dans l'arborescence des étendues pour créer une nouvelle étendue. La nouvelle étendue contiendra un sous-ensemble des membres de l'étendue parente.

Logiciel CISCO Secure Workload-FIG4

Dans cette fenêtre, vous pouvez organiser vos charges de travail en groupes, qui sont disposés dans une structure hiérarchique. La décomposition de votre réseau en groupes hiérarchiques permet une découverte et une définition flexibles et évolutives des politiques.
Les étiquettes sont des paramètres clés qui décrivent une charge de travail ou un point de terminaison, ils sont représentés sous la forme d'une paire clé-valeur. L'assistant vous aide à appliquer les étiquettes à vos charges de travail, puis regroupe ces étiquettes dans des groupes appelés étendues. Les charges de travail sont automatiquement regroupées en étendues en fonction de leurs étiquettes associées. Vous pouvez définir des politiques de segmentation en fonction des étendues.
Passez la souris sur chaque bloc ou étendue dans l'arborescence pour plus d'informations sur le type de charges de travail ou d'hôtes qu'il inclut.

Note

Dans la fenêtre Démarrer avec les étendues et les étiquettes, Organisation, Infrastructure, Environnement et Application sont les clés et le texte dans les cases grises alignées avec chaque clé sont les valeurs.
Par exempleample, toutes les charges de travail appartenant à l'application 1 sont définies par ces ensembles d'étiquettes :

  • Organisation = Interne
  • Infrastructure = Centres de données
  • Environnement = Pré-Production
  • Candidature = Candidature 1

Le pouvoir des étiquettes et des arborescences de portée

Les libellés alimentent la puissance de Secure Workload, et l'arborescence de portée créée à partir de vos libellés est plus qu'un simple résumé de votre réseau :

  • Les libellés vous permettent de comprendre instantanément vos règles :
    "Refuser tout le trafic de la pré-production à la production"
    Comparez ceci à la même politique sans étiquettes :
    "Refuser tout le trafic de 172.16.0.0/12 à 192.168.0.0/16"
  • Les règles basées sur les étiquettes s'appliquent (ou cessent de s'appliquer) automatiquement lorsque des charges de travail étiquetées sont ajoutées (ou supprimées) à l'inventaire. Au fil du temps, ces regroupements dynamiques basés sur des étiquettes réduisent considérablement la quantité d'efforts requis pour maintenir votre déploiement.
  • Les charges de travail sont regroupées en étendues en fonction de leurs étiquettes. Ces regroupements vous permettent d'appliquer facilement une stratégie aux charges de travail associées. Par exempleample, vous pouvez facilement appliquer la politique à toutes les applications dans la portée de pré-production.
  • Les stratégies créées une fois dans une seule étendue peuvent être automatiquement appliquées à toutes les charges de travail dans les étendues descendantes de l'arborescence, ce qui réduit le nombre de stratégies que vous devez gérer.
    Vous pouvez facilement définir et appliquer une stratégie à grande échelle (par ex.ample, à toutes les charges de travail de votre organisation) ou étroitement (uniquement aux charges de travail qui font partie d'une application spécifique) ou à n'importe quel niveau intermédiaire (par example, à toutes les charges de travail de votre centre de données.
  • Vous pouvez attribuer la responsabilité de chaque étendue à différents administrateurs, en déléguant la gestion des politiques aux personnes qui connaissent le mieux chaque partie de votre réseau.

Construisez la hiérarchie de votre organisation

Commencez à construire votre hiérarchie ou arborescence de portée, cela implique d'identifier et de catégoriser les actifs, de déterminer la portée, de définir les rôles et les responsabilités, de développer des politiques et des procédures pour créer une branche de l'arborescence de portée.

Logiciel CISCO Secure Workload-FIG5

L'assistant vous guide tout au long de la création d'une branche de l'arborescence de portée. Entrez les adresses IP ou les sous-réseaux pour chaque étendue entourée de bleu, les étiquettes sont automatiquement appliquées en fonction de l'arborescence de l'étendue.

Pré-requis :

  • Rassemblez les adresses IP/sous-réseaux associés à votre environnement de pré-production, vos centres de données et votre réseau interne.
  • Rassemblez autant d'adresses IP/sous-réseaux que possible, vous pourrez ajouter des adresses IP/sous-réseaux supplémentaires plus tard.
  • Plus tard, au fur et à mesure que vous construisez votre arborescence, vous pouvez ajouter des adresses IP/sous-réseaux pour les autres étendues de l'arborescence (les blocs gris).

Pour créer l'arborescence de portée, procédez comme suit :

Définir la portée interne
L'étendue interne inclut toutes les adresses IP qui définissent le réseau interne de votre organisation, y compris les adresses IP publiques et privées.
L'assistant vous guide tout au long de l'ajout d'adresses IP à chaque étendue de la branche de l'arborescence. Lorsque vous ajoutez des adresses, l'assistant attribue des étiquettes à chaque adresse qui définit l'étendue.

Par exempleample, dans cette fenêtre de configuration de l'oscilloscope, l'assistant attribue l'étiquette
Organisation=Interne

à chaque adresse IP.
Par défaut, l'assistant ajoute les adresses IP dans l'espace d'adressage Internet privé tel que défini dans la RFC 1918

Note
Toutes les adresses IP n'ont pas besoin d'être entrées en même temps, mais vous devez inclure les adresses IP associées à l'application choisie, vous pouvez ajouter le reste des adresses IP ultérieurement.

Définir la portée du centre de données
Cette portée inclut les adresses IP qui définissent vos centres de données sur site. Entrez les adresses IP/sous-réseaux qui définissent votre réseau interne

Note Les noms de portée doivent être courts et significatifs.

Dans cette fenêtre, entrez les adresses IP que vous avez saisies pour l'organisation, ces adresses doivent être un sous-ensemble des adresses de votre réseau interne. Si vous disposez de plusieurs centres de données, incluez-les tous dans cette étendue afin de pouvoir définir un ensemble unique de stratégies.

Note

Vous pouvez toujours ajouter plus d'adresses ultérieurementtage. Par exemple, l'assistant attribue ces étiquettes à chacune des adresses IP :
Organisation=Interne
Infrastructure=Centres de données

Définir la portée de la pré-production
Cette portée inclut les adresses IP des applications et des hôtes hors production, tels que le développement, le laboratoire, le test ou les stagsystèmes de gestion.

Note
Assurez-vous de ne pas inclure d'adresses d'applications utilisées pour mener des activités réelles, utilisez-les pour la portée de production que vous définirez ultérieurement.

Les adresses IP que vous saisissez dans cette fenêtre doivent être un sous-ensemble des adresses que vous avez saisies pour vos centres de données, y compris les adresses de l'application que vous avez choisie. Idéalement, ils devraient également inclure des adresses de pré-production qui ne font pas partie de l'application choisie.

Note Vous pouvez toujours ajouter plus d'adresses ultérieurementtage.

Logiciel CISCO Secure Workload-FIG6

Review Arborescence des étendues, étendues et étiquettes
Avant de commencer à créer l'arborescence d'étendue, review la hiérarchie que vous pouvez voir dans la fenêtre de gauche. La portée racine affiche les étiquettes qui ont été automatiquement créées pour toutes les adresses IP et tous les sous-réseaux configurés. Plus tard stagAu cours du processus, des applications sont ajoutées à cette arborescence de portée.
Figure 2 :

Logiciel CISCO Secure Workload-FIG7

Vous pouvez développer et réduire les branches et faire défiler vers le bas pour choisir une étendue spécifique. Dans le volet de droite, vous pouvez voir les adresses IP et les étiquettes attribuées aux charges de travail pour la portée spécifique. Sur cette fenêtre, vous pouvez review, modifiez l'arborescence de l'étendue avant d'ajouter une application à cette étendue.

Note
Si vous voulez view ces informations après avoir quitté l'assistant, choisissez Organiser > Étendues et inventaire dans le menu principal,

Review Arborescence de la portée

Avant de commencer à créer l'arborescence d'étendue, review la hiérarchie que vous pouvez voir dans la fenêtre de gauche. La portée racine affiche les étiquettes qui ont été automatiquement créées pour toutes les adresses IP et tous les sous-réseaux configurés. Plus tard stagAu cours du processus, des applications sont ajoutées à cette arborescence de portée.

Logiciel CISCO Secure Workload-FIG8

Vous pouvez développer et réduire les branches et faire défiler vers le bas pour choisir une étendue spécifique. Dans le volet de droite, vous pouvez voir les adresses IP et les étiquettes attribuées aux charges de travail pour la portée spécifique. Sur cette fenêtre, vous pouvez review, modifiez l'arborescence de l'étendue avant d'ajouter une application à cette étendue.

Note
Si vous voulez view ces informations après avoir quitté l'assistant, choisissez Organiser > Étendues et inventaire dans le menu principal.

Créer une arborescence d'étendue

Après que vous review l'arborescence de portée, continuez avec la création de l'arborescence de portée.

Logiciel CISCO Secure Workload-FIG9

Pour plus d'informations sur l'arborescence des étendues, consultez les sections Étendues et Inventaire du guide de l'utilisateur.

Prochaines étapes

Installer des agents
Installez les agents SecureWorkload sur les charges de travail associées à l'application choisie. Les données recueillies par les agents sont utilisées pour générer des stratégies suggérées en fonction du trafic existant sur votre réseau. Plus les données sont nombreuses, plus les politiques sont précises. Pour plus de détails, consultez la section Agents logiciels du guide de l'utilisateur de Secure Workload.

Ajouter une application
Ajoutez la première application à votre arborescence de portée. Choisissez une application de pré-production exécutée sur des machines bare metal ou virtuelles dans votre centre de données. Après avoir ajouté une application, vous pouvez commencer à découvrir les politiques de cette application. Pour plus d'informations, consultez la section Étendues et inventaire du guide de l'utilisateur Secure Workload.

Configurer des politiques communes à portée interne
Appliquer un ensemble de politiques communes au périmètre interne. Par exempleample, autorisez uniquement le trafic via certains ports de votre réseau vers l'extérieur de votre réseau.
Les utilisateurs peuvent définir des politiques manuellement à l'aide de clusters, de filtres d'inventaire et de portées ou ceux-ci peuvent être découverts et générés à partir de données de flux à l'aide d'une découverte automatique de politiques.
Après avoir installé des agents et accordé au moins quelques heures pour que les données de flux de trafic s'accumulent, vous pouvez activer Secure Workload pour générer (« découvrir ») des politiques basées sur ce trafic. Pour plus de détails, consultez la section Découvrir automatiquement les stratégies du guide de l'utilisateur de Secure Workload.
Appliquez ces politiques au niveau interne (ou interne ou racine) pour réévaluer efficacementview politiques.

Ajouter un connecteur cloud
Si votre organisation a des charges de travail sur AWS, Azure ou GCP, utilisez un connecteur cloud pour ajouter ces charges de travail à votre arborescence de portée. Pour plus d'informations, consultez la section Cloud Connectors du guide de l'utilisateur de Secure Workload.

Flux de travail de démarrage rapide

Étape Fais ceci Détails
1 (Facultatif) Faites une visite commentée de l'assistant Visite guidée de l'assistant, à la page 1
2 Choisissez une application pour commencer votre parcours de segmentation. Pour de meilleurs résultats, suivez les instructions de Choisissez un Application pour cet assistant, à la page 10.
3 Rassemblez les adresses IP. L'assistant demandera 4 groupes d'adresses IP.

Pour plus de détails, voir Collecter les adresses IP, à la page 9.
4 Exécutez l'assistant À view configuration requise et accéder à l'assistant, voir Exécuter l'assistant, à la page 11
5 Installez les agents Secure Workload sur les charges de travail de votre application. Voir Installer des agents.
6 Accordez du temps aux agents pour collecter les données de flux. Plus de données produisent des politiques plus précises.

Le temps minimum requis dépend de l'activité avec laquelle votre application est utilisée.
7 Générez (« découvrez ») des politiques basées sur vos données de flux réelles. Voir Générer automatiquement des stratégies.
8 Review les politiques générées. Voir Examiner les stratégies générées.

Rassemblez les adresses IP
Vous aurez besoin d'au moins certaines des adresses IP dans chaque point ci-dessous :

  • Les adresses qui définissent votre réseau interne Par défaut, l'assistant utilise les adresses standard réservées à un usage privé sur Internet.
  • Adresses réservées à vos centres de données.
    Cela n'inclut pas les adresses utilisées par les ordinateurs des employés, les services cloud ou partenaires, les services informatiques centralisés, etc.
  • Des adresses qui définissent votre réseau hors production
  • Adresses des charges de travail qui composent l'application hors production que vous avez choisie
    Pour l'instant, vous n'avez pas besoin d'avoir toutes les adresses pour chacune des puces ci-dessus ; vous pouvez toujours ajouter plus d'adresses plus tard.

Important
Étant donné que chacune des 4 puces représente un sous-ensemble des adresses IP de la puce au-dessus, chaque adresse IP de chaque puce doit également être incluse parmi les adresses IP de la puce au-dessus dans la liste.

Choisissez une application pour cet assistant
Pour cet assistant, choisissez une seule application.
Une application se compose généralement de plusieurs charges de travail qui fournissent différents services, tels que web services ou bases de données, serveurs principaux et de sauvegarde, etc. Ensemble, ces charges de travail fournissent les fonctionnalités de l'application à ses utilisateurs.

Logiciel CISCO Secure Workload-FIG10

Lignes directrices pour choisir votre application
SecureWorkload prend en charge les charges de travail exécutées sur un large éventail de plates-formes et de systèmes d'exploitation, y compris les charges de travail basées sur le cloud et conteneurisées. Cependant, pour cet assistant, choisissez une application avec des charges de travail qui sont :

  • Exécution dans votre centre de données.
  • Exécution sur des machines bare metal et/ou virtuelles.
  • Exécution sur les plateformes Windows, Linux ou AIX prises en charge avec les agents Secure Workload, voir https://www.cisco.com/go/secure-workload/requirements/agents.
  • Déployé dans un environnement de pré-production.

Note
Vous pouvez exécuter l'assistant même si vous n'avez pas choisi d'application et collecté d'adresses IP, mais vous ne pouvez pas terminer l'assistant sans faire ces choses.

Note
Si vous ne terminez pas l'assistant avant de vous déconnecter (ou d'expirer) ou d'accéder à une autre partie de l'application Secure workload (utilisez la barre de navigation de gauche), les configurations de l'assistant ne sont pas enregistrées.

Pour plus de détails sur la façon d'ajouter une étendue/ajouter une étendue et des étiquettes, consultez la section Étendues et inventaire du Guide de l'utilisateur Cisco Secure Workload.

Exécuter l'assistant

Vous pouvez exécuter l'assistant que vous ayez ou non choisi une application et collecté des adresses IP, mais vous ne pourrez pas terminer l'assistant sans faire ces choses.

Important
Si vous ne terminez pas l'assistant avant de vous déconnecter (ou d'expirer) de Secure Workload, ou si vous accédez à une autre partie de l'application à l'aide de la barre de navigation de gauche, les configurations de l'assistant ne sont pas enregistrées.

Avant de commencer
Les rôles d'utilisateur suivants peuvent accéder à l'assistant :

Procédure

  • Étape 1
    Connectez-vous à Secure Workload.
  • Étape 2
    Démarrez l'assistant :
    Si aucune étendue n'est actuellement définie, l'assistant s'affiche automatiquement lorsque vous vous connectez à Secure Workload.

Alternativement :

  • Cliquez sur le lien Exécuter l'assistant maintenant dans la bannière bleue en haut de n'importe quelle page.
  • Choisissez plusview dans le menu principal sur le côté gauche de la fenêtre.
  • Étape 3
    L'assistant vous expliquera les choses que vous devez savoir.
    Ne manquez pas les éléments utiles suivants :
    • Survolez les éléments graphiques dans l'assistant pour lire leurs descriptions.
    • Cliquez sur les liens et les boutons d'information (Logiciel CISCO Secure Workload-FIG11 ) pour des informations importantes.

(Facultatif) Pour recommencer, réinitialisez l'arborescence d'étendue

Vous pouvez supprimer les étendues, les étiquettes et l'arborescence des étendues que vous avez créées à l'aide de l'assistant et éventuellement exécuter à nouveau l'assistant.

Conseil
Si vous souhaitez uniquement supprimer certaines des étendues créées et que vous ne souhaitez pas réexécuter l'assistant, vous pouvez supprimer des étendues individuelles au lieu de réinitialiser l'arborescence entière : cliquez sur une étendue à supprimer, puis cliquez sur Supprimer.

Avant de commencer
Les privilèges de propriétaire d'étendue pour l'étendue racine sont requis.
Si vous avez créé des espaces de travail, des stratégies ou d'autres dépendances supplémentaires, consultez le Guide de l'utilisateur dans Secure Workload pour obtenir des informations complètes sur la réinitialisation de l'arborescence d'étendue.

Procédure

  • Étape 1 Dans le menu de navigation de gauche, choisissez Organiser > Étendues et inventaire .
  • Étape 2 Cliquez sur l'étendue en haut de l'arborescence.
  • Étape 3 Cliquez sur Réinitialiser.
  • Étape 4 Confirmez votre choix.
  • Étape 5 Si le bouton Réinitialiser devient Détruire en attente, vous devrez peut-être actualiser la page du navigateur.

Plus d'informations

Pour plus d'informations sur les concepts de l'assistant, consultez :

© 2022 Cisco Systems, Inc. Tous droits réservés.

Documents / Ressources

Logiciel de charge de travail sécurisée CISCO [pdf] Guide de l'utilisateur
Version 3.8, Logiciel de charge de travail sécurisée, Charge de travail sécurisée, Logiciel
Logiciel de charge de travail sécurisée CISCO [pdf] Guide de l'utilisateur
3.8.1.53, 3.8.1.1, Logiciel de charge de travail sécurisé, Sécurisé, Logiciel de charge de travail, Logiciel

Références

Articles Similaires

Laisser un commentaire

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués *