CISCO Secure Workload Software User Guide

Ynhâld ferstopje

1 CISCO Secure Workload Software

2 Yntroduksje ta Segmentation

3 Ynstallearje Agents

4 Quick Start Workflow

5 Proseduere

6 Mear ynformaasje

7 Dokuminten / Resources

7.1 Referinsjes

8 Related Posts

CISCO Secure Workload Software

Cisco Secure Workload Quick Start Guide foar Release 3.8

De Cisco Secure Workload is in software wêrmei brûkers software-aginten kinne ynstallearje op har applikaasje-workloads. De software-aginten sammelje ynformaasje oer de netwurkynterfaces en de aktive prosessen dy't rinne op it hostsysteem.

Yntroduksje ta Segmentation

De segmentaasjefunksje fan 'e Cisco Secure Workload lit brûkers har workloads groepearje en labelje. Dit helpt by it definiearjen fan belied en prosedueres foar elke groep en soarget foar feilige kommunikaasje tusken har.

Oer dizze gids

Dizze gids is in fluchstartgids foar de Cisco Secure Workload Release 3.8. It soarget foar in oerview fan 'e wizard en begeliedt brûkers troch it proses fan it ynstallearjen fan aginten, groepearjen en labeljen fan wurkloads, en it bouwen fan in hiërargy foar har organisaasje.

Tour fan de Wizard

De wizard liedt brûkers troch it proses fan it ynstallearjen fan aginten, groepearjen en labeljen fan wurkloads, en it bouwen fan in hiërargy foar har organisaasje.

Foardat jo begjinne

De folgjende brûkersrollen kinne tagong krije ta de wizard:

Super Admin
Admin

Feiligens Admin
Feiligens Operator

Ynstallearje Agents

Om software-aginten te ynstallearjen op jo applikaasje-workloads:

Iepenje de Cisco Secure Workload-wizard.
Selektearje de opsje om aginten te ynstallearjen.

Folgje de ynstruksjes fan 'e wizard om it ynstallaasjeproses te foltôgjen.

Groepearje en markearje jo wurkloads

Om jo wurklasten te groepearjen en te markearjen:

Iepenje de Cisco Secure Workload-wizard.

Selektearje de opsje om jo wurkloads te groepearjen en te labeljen.
Folgje de ynstruksjes fan 'e wizard om in tûke fan' e omfangbeam te meitsjen en labels oan elke groep ta te jaan.

Bou de hiërargy foar jo organisaasje

Om in hiërargy foar jo organisaasje te bouwen:

Iepenje de Cisco Secure Workload-wizard.
Selektearje de opsje om de hiërargy foar jo organisaasje op te bouwen.

Folgje de ynstruksjes levere troch de wizard om de ynterne omfang, datacenter-omfang en pre-produksje-omfang te definiearjen.

Noat: De omfangnammen moatte koart en sinfol wêze. Soargje derfoar dat jo gjin adressen omfetsje fan applikaasjes dy't wurde brûkt om aktuele saken te fieren yn 'e pre-produksje.

Earst publisearre: 2023-04-12
Lêst wizige: 2023-05-19

Yntroduksje ta Segmentation

Tradysjoneel is netwurkfeiligens rjochte op it hâlden fan kweade aktiviteit út jo netwurk mei firewalls om 'e râne fan jo netwurk. Jo moatte jo organisaasje lykwols ek beskermje tsjin bedrigingen dy't jo netwurk hawwe ynbrutsen of dêryn ûntstien binne. Segmentaasje (as mikrosegmentaasje) fan it netwurk helpt om jo wurklasten te beskermjen troch it kontrolearjen fan ferkear tusken wurkloads en oare hosts op jo netwurk; dêrom, tastean allinnich ferkear dat jo organisaasje soe easkje foar saaklike doelen, en wegerje alle oare ferkear. Bygelyksample, kinne jo brûke belied om foar te kommen dat alle kommunikaasje tusken de workloads dy't host jo publyk-facing web applikaasje fan kommunikaasje mei jo ûndersyks- en ûntwikkelingsdatabank yn jo datasintrum, of om foar te kommen dat net-produksje-workloads kontakt opnimme mei produksje-workloads. Cisco Secure Workload brûkt de streamgegevens fan 'e organisaasje om belied foar te stellen dat jo kinne evaluearje en goedkarre foardat jo se hanthavenje. As alternatyf kinne jo dit belied ek manuell oanmeitsje foar it segmentearjen fan it netwurk.

Oer dizze gids

Dit dokumint is fan tapassing foar Secure Workload release 3.8:

Yntroduseart de kaaibegripen foar feilige wurkdruk: Segmentaasje, Labels foar wurkdruk, Scopes, hiërargyske berikbeammen, en beliedsûntdekking.
Ferklearret it proses fan it meitsjen fan de earste tûke fan jo omfangbeam mei de wizard foar earste kear brûkersûnderfining en
Beskriuwt it automatisearre proses fan it generearjen fan belied foar de keazen applikaasje basearre op werklike ferkearsstreamen.

Tour fan de Wizard

Foardat jo begjinne
De folgjende brûkersrollen kinne tagong krije ta de wizard:

site admin
klant stipe
omfang eigner

Ynstallearje Agents

figuer 1: Wolkom finster

Ynstallearje Agents
Yn Secure Workload kinne jo software-aginten ynstallearje op jo applikaasje-workloads. De software-aginten sammelje ynformaasje oer de netwurkynterfaces en de aktive prosessen dy't rinne op it hostsysteem.

D'r binne twa manieren hoe't jo de software-aginten kinne ynstallearje:

Agent Script-ynstallearder - Brûk dizze metoade foar it ynstallearjen, folgjen en oplossen fan problemen by it ynstallearjen fan de software-aginten. Stipe platfoarms binne Linux, Windows, Kubernetes, AIX en Solaris
Agent Image-ynstallearder-Download de software-agintôfbylding om in spesifike ferzje en type software-agint foar jo platfoarm te ynstallearjen. Stipe platfoarms binne Linux en Windows.

De onboarding-wizard liedt jo troch it proses fan it ynstallearjen fan de aginten basearre op de selektearre ynstalleardermetoade. Ferwize nei de ynstallaasje-ynstruksjes op 'e UI en sjoch de brûkersgids foar oanfoljende details oer it ynstallearjen fan software-aginten.

Groepearje en markearje jo wurkloads

Tawize labels oan in groep workloads om in omfang te meitsjen.
De hiërargyske omfangbeam helpt om de wurklasten te ferdielen yn lytsere groepen. De leechste tûke yn 'e omfangbeam is reservearre foar yndividuele applikaasjes.
Selektearje in âlder berik út de berik beam om in nij berik te meitsjen. It nije berik sil in subset fan de leden befetsje út it âldere berik.

Yn dit finster kinne jo jo workloads organisearje yn groepen, dy't yn in hiërargyske struktuer arranzjearre binne. It opbrekken fan jo netwurk yn hiërargyske groepen makket it mooglik om fleksibele en skaalbere ûntdekking en definysje fan belied te meitsjen.
Labels binne wichtige parameters dy't in wurkdruk of einpunt beskriuwe, it wurdt fertsjintwurdige as in kaai-wearde-pear. De wizard helpt by it tapassen fan de labels op jo workloads, en dan groepearret dizze labels yn groepen neamd scopes. Wurklêsten wurde automatysk groepearre yn berik basearre op har assosjearre labels. Jo kinne segmentaasjebelied definiearje op basis fan 'e berikken.
Hover-over elk blok of omfang yn 'e beam foar mear ynformaasje oer it type workloads of hosts it omfiemet.

Noat

Yn it finster Te begjinnen mei Scopes en Labels binne Organisaasje, Ynfrastruktuer, Miljeu en Applikaasje de kaaien en de tekst yn 'e grize fakjes yn line mei elke kaai binne de wearden.
Bygelyksample, alle wurklasten dy't ta tapassing 1 hearre, wurde definieare troch dizze set labels:

Organisaasje = Ynterne
Ynfrastruktuer = Data Centers
Miljeu = Pre-Produksje

Applikaasje = Applikaasje 1

De krêft fan etiketten en berikbeammen

Labels driuwen de krêft fan Secure Workload, en de omfangbeam makke fan jo labels is mear dan allinich in gearfetting fan jo netwurk:

Labels litte jo jo belied direkt begripe:
"Alle ferkear wegerje fan pre-produksje oant produksje"
Fergelykje dit mei itselde belied sûnder labels:
"Alle ferkear wegerje fan 172.16.0.0/12 oant 192.168.0.0/16"
Belied basearre op labels jilde automatysk (of stopje mei tapassen) as markearre wurkloads wurde tafoege oan (of fuortsmiten fan) ynventaris. Yn 'e rin fan' e tiid ferminderje dizze dynamyske groepearrings basearre op labels de hoemannichte ynspanning dy't nedich is om jo ynset te behâlden sterk.
Wurklêsten wurde groepearre yn omfangen basearre op har labels. Dizze groepearrings litte jo maklik belied tapasse op relatearre wurkloads. Bygelyksample, kinne jo maklik tapasse belied foar alle applikaasjes yn de Pre-Production omfang.

Belieden dy't ien kear yn ien berik makke binne, kinne automatysk tapast wurde op alle wurklêsten yn ôfstammende gebieten yn 'e beam, en minimalisearje it oantal belied dat jo moatte beheare.
Jo kinne maklik belied breed definiearje en tapasse (bglample, nei alle workloads yn jo organisaasje) of smel (oant allinich de workloads dy't diel útmeitsje fan in spesifike applikaasje) of nei elk nivo dêrtusken (bgl.ample, oan alle wurklasten yn jo datasintrum.
Jo kinne ferantwurdlikens foar elke omfang tawize oan ferskate behearders, beliedsbehear delegearje oan de minsken dy't it meast bekend binne mei elk diel fan jo netwurk.

Bou de hiërargy foar jo organisaasje

Begjin mei it bouwen fan jo hiërargy as berikbeam, dit omfettet it identifisearjen en kategorisearjen fan de aktiva, it bepalen fan de omfang, it definiearjen fan rollen en ferantwurdlikheden, it ûntwikkeljen fan belied en prosedueres om in tûke fan 'e omfangbeam te meitsjen.

De wizard liedt jo troch it meitsjen fan in tûke fan 'e omfangbeam. Fier IP-adressen of subnetten yn foar elk blau omskreaune berik, de labels wurde automatysk tapast op basis fan de omfangbeam.

Betingsten:

Sammelje IP-adressen / subnetten dy't ferbûn binne mei jo pre-produksje-omjouwing, jo datasintra en jo ynterne netwurk.
Sammelje safolle IP-adressen / subnetten as jo kinne, kinne jo de ekstra IP-adressen / subnetten letter.

Letter, as jo jo beam bouwe, kinne jo IP-adressen / subnets tafoegje foar de oare scopes yn 'e beam (de grize blokken).

Om de omfangbeam te meitsjen, fiere dizze stappen út:

Definiearje de ynterne omfang
De ynterne omfang omfettet alle IP-adressen dy't it ynterne netwurk fan jo organisaasje definiearje, ynklusyf iepenbiere en privee IP-adressen.
De wizard liedt jo troch it tafoegjen fan IP-adressen oan elke omfang yn 'e beamtûke. As jo adressen taheakje, jout de wizard labels oan elk adres dat de omfang bepaalt.

Bygelyksample, op dizze Scope Setup finster, de tsjoender jout it label
Organisaasje=Ynterne

oan elk IP-adres.
Standert foeget de wizard de IP-adressen ta yn 'e privee ynternetadresromte lykas definieare yn RFC 1918

Noat
Alle IP-adressen hoege net tagelyk ynfierd te wurden, mar jo moatte de IP-adressen opnimme dy't ferbûn binne mei jo keazen applikaasje, jo kinne de rest fan 'e IP-adressen op in letter momint tafoegje.

Definiearje it Data Center Scope
Dit berik omfettet de IP-adressen dy't jo gegevenssintra op it terrein definiearje. Fier de IP-adressen/subnetten yn dy't jo ynterne netwurk definiearje

Noat Omfangnammen moatte koart en sinfol wêze.

Fier yn dit finster de IP-adressen yn dy't jo hawwe ynfierd foar de organisaasje, dizze adressen moatte in subset wêze fan 'e adressen foar jo ynterne netwurk. As jo meardere datasintra hawwe, befetsje se dan allegear yn dit berik, sadat jo ien set fan belied kinne definiearje.

Noat

Jo kinne altyd tafoegje mear adressen op in lettere stage. Bygelyks, de wizard jout dizze labels oan elk fan 'e IP-adressen:
Organisaasje=Ynterne
Ynfrastruktuer = Data Centers

Definiearje de Pre-Produksje Scope
Dit berik omfettet IP-adressen fan net-produksjeapplikaasjes en hosts, lykas ûntwikkeling, laboratoarium, test, of staging systemen.

Noat
Soargje derfoar dat jo gjin adressen befetsje fan applikaasjes dy't wurde brûkt om aktuele saken út te fieren, brûk se foar de produksjeomfang dy't jo letter definiearje.

De IP-adressen dy't jo yn dit finster ynfiere moatte in subset wêze fan 'e adressen dy't jo ynfierd hawwe foar jo datasintra, ynklusyf de adressen fan jo keazen applikaasje. Ideal moatte se ek preproduksjeadressen befetsje dy't gjin diel útmeitsje fan 'e keazen applikaasje.

Noat Jo kinne altyd tafoegje mear adressen op in lettere stage.

Review Scope Tree, Scopes, and Labels
Foardat jo begjinne te meitsjen fan de omfang beam, review de hiërargy dy't jo kinne sjen op de linker finster. De root-omfang lit labels sjen dy't automatysk makke binne foar alle ynstelde IP-adressen en subnets. Op in letter stagYn it proses wurde applikaasjes tafoege oan dizze omfangbeam.
Ofbylding 2:

Jo kinne tûken útwreidzje en ynstoarten en nei ûnderen rôlje om in spesifyk berik te kiezen. Op it rjochterpaniel kinne jo de IP-adressen en labels sjen dy't oan 'e wurklasten binne tawiisd foar de spesifike omfang. Op dit finster kinne jo review, wizigje de omfangbeam foardat jo in applikaasje tafoegje oan dit berik.

Noat
As jo wolle view dizze ynformaasje neidat jo de wizard ôfslute, kies Organisearje > Scopes and Inventory út it haadmenu,

Review Scope Tree

Foardat jo begjinne te meitsjen fan de omfang beam, review de hiërargy dy't jo kinne sjen op de linker finster. De root-omfang lit labels sjen dy't automatysk makke binne foar alle ynstelde IP-adressen en subnets. Op in letter stagYn it proses wurde applikaasjes tafoege oan dizze omfangbeam.

Noat
As jo wolle view dizze ynformaasje neidat jo ôfslute de tsjoender, kies Organisearje > Scopes en ynventarisaasje út it haadmenu.

Meitsje Scope Tree

Neidat jo review de omfangbeam, trochgean mei it meitsjen fan de omfangbeam.

Foar ynformaasje oer omfangbeam, sjoch de seksjes Scopes en Inventory yn 'e brûkersgids.

Folgjende stappen

Ynstallearje Agents
Ynstallearje de SecureWorkload-aginten op de wurkloads dy't ferbûn binne mei jo keazen applikaasje. De gegevens dy't de aginten sammelje wurde brûkt om foarstelde belied te generearjen basearre op it besteande ferkear op jo netwurk. Mear de gegevens, krekter belied wurde produsearre. Foar details, sjoch de seksje Software Agents yn 'e Secure Workload brûkersgids.

Applikaasje tafoegje
Foegje de earste applikaasje ta oan jo omfangbeam. Kies in pre-produksjeapplikaasje dy't rint op bleate metalen as firtuele masines yn jo datasintrum. Nei it tafoegjen fan in applikaasje kinne jo begjinne mei it ûntdekken fan belied foar dizze applikaasje. Sjoch foar mear ynformaasje de seksje Scopes and Inventory fan 'e Secure Workload-brûkersgids.

Stel mienskiplik belied op yn ynterne omfang
Tapasse in set fan mienskiplik belied op de Ynterne omfang. Bygelyksample, allinne tastean it ferkear troch bepaalde haven fan jo netwurk nei bûten jo netwurk.
Brûkers kinne belied manuell definiearje mei klusters, ynventarisaasjefilters en berikken of dizze kinne wurde ûntdutsen en generearre út streamgegevens mei in automatyske beliedûntdekking.
Neidat jo hawwe ynstallearre aginten en tastien op syn minst in pear oeren foar ferkear flow gegevens te sammeljen, kinne jo ynskeakelje Secure Workload te generearjen ("ûntdekke") belied basearre op dat ferkear. Foar details, sjoch seksje Automatysk ûntdekke belied fan 'e brûkershantlieding foar Secure Workload.
Tapasse dizze belied op Ynterne (of Binnen of Root) omfang om effektyf review belied.

Add Cloud Connector
As jo organisaasje workloads hat op AWS, Azure, of GCP, brûk dan in wolkferbining om dy workloads ta te foegjen oan jo scopebeam. Foar mear ynformaasje, sjoch de Cloud Connectors seksje fan de Secure Workload brûkersgids.

Quick Start Workflow

Stap	Doch dit	Details
1	(Opsjoneel) Nim in annotearre rûnlieding troch de wizard	Tour of the Wizard, op side 1
2	Kies in applikaasje om jo segmentaasjereis te begjinnen.	Foar bêste resultaten, folgje de rjochtlinen yn Kies in Applikaasje foar dizze Wizard, op side 10.
3	Sammelje IP-adressen.	De wizard sil 4 groepen fan IP-adressen freegje. Foar details, sjoch IP-adressen sammelje, op side 9.
4	Run de wizard	Nei view easken en tagong ta de wizard, sjoch Run de Wizard, op side 11
5	Ynstallearje Secure Workload-aginten op de workloads fan jo applikaasje.	Sjoch Ynstallearje Agents.
6	Tastean tiid foar de aginten om streamgegevens te sammeljen.	Mear gegevens produsearje krekter belied. De minimale tiid nedich hinget ôf fan hoe aktyf jo applikaasje wurdt brûkt.
7	Generearje ("ûntdekke") belied basearre op jo feitlike streamgegevens.	Sjoch belied automatysk generearje.
8	Review it oanmakke belied.	Sjoch Sjoch nei de generearre belied.

Sammelje IP-adressen
Jo sille op syn minst guon fan 'e IP-adressen nedich wêze yn elke kûgel hjirûnder:

Adressen dy't jo ynterne netwurk definiearje Standert brûkt de wizard de standertadressen reservearre foar privee ynternetgebrûk.

Adressen dy't reservearre binne foar jo datasintra.
Dit omfettet gjin adressen brûkt troch wurknimmerskompjûters, wolk- of partnertsjinsten, sintralisearre IT-tsjinsten, ensfh.
Adressen dy't jo net-produksjenetwurk definiearje
Adressen fan 'e workloads dy't jo keazen net-produksjeapplikaasje omfetsje
Foar no hoege jo net alle adressen foar elk fan 'e boppesteande kûgels te hawwen; jo kinne letter altyd mear adressen tafoegje.

Belangryk
Om't elk fan 'e 4 kûgels in subset fertsjintwurdiget fan' e IP-adressen fan 'e kûgel dêrboppe, moat elk IP-adres yn elke kûgel ek opnommen wurde ûnder de IP-adressen fan' e kûgel dêrboppe yn 'e list.

Kies in applikaasje foar dizze wizard
Kies ien applikaasje foar dizze wizard.
In applikaasje bestiet typysk út meardere workloads dy't ferskate tsjinsten leverje, lykas web tsjinsten of databases, primêre en reservekopy-tsjinners, ensfh. Mei-elkoar jouwe dizze workloads de funksjonaliteit fan 'e applikaasje oan har brûkers.

Rjochtlinen foar it kiezen fan jo applikaasje
SecureWorkload stipet wurkloads dy't rinne op in breed skala oan platfoarms en bestjoeringssystemen, ynklusyf cloud-basearre en containerisearre wurkloads. Kies lykwols foar dizze wizard in applikaasje mei workloads dy't binne:

Running yn jo datasintrum.
Rint op blank metaal en / of firtuele masines.

Rinne op Windows, Linux, of AIX platfoarms stipe mei Secure Workload aginten, sjoch https://www.cisco.com/go/secure-workload/requirements/agents.
Ynset yn in pre-produksje omjouwing.

Noat
Jo kinne de wizard útfiere sels as jo gjin applikaasje hawwe keazen en IP-adressen sammele, mar jo kinne de tsjoender net foltôgje sûnder dizze dingen te dwaan.

Noat
As jo de wizard net foltôgje foardat jo ôfmelden (of time-out) of navigearje nei in oar diel fan 'e Secure workload-applikaasje (brûk de linker navigaasjebalke), wurde de wizard-konfiguraasjes net bewarre.

Foar details oer hoe't jo in omfang taheakje / taheakje Scope and Labels, sjoch de Scopes and Inventory seksje fan 'e Cisco Secure Workload User Guide.

Laad de Wizard út

Jo kinne de wizard útfiere, of jo in applikaasje hawwe keazen en IP-adressen sammele, mar jo kinne de wizard net foltôgje sûnder dizze dingen te dwaan.

Belangryk
As jo de tsjoender net foltôgje foardat jo ôfmelden (of time-out) fan Secure Workload, of as jo nei in oar diel fan 'e applikaasje navigearje mei de lofternavigaasjebalke, wurde wizardkonfiguraasjes net bewarre.

Foardat jo begjinne
De folgjende brûkersrollen kinne tagong krije ta de wizard:

Proseduere

Stap 1
Oanmelde by Secure Workload.
Stap 2
Start de wizard:
As jo op it stuit gjin berik definieare hawwe, ferskynt de wizard automatysk as jo jo oanmelde by Secure Workload.

As alternatyf:

Klikje op de keppeling Run de wizard no yn 'e blauwe banner oan' e boppekant fan elke side.
Kies Overview út it haadmenu oan de linkerkant fan it finster.
Stap 3
De wizard sil de dingen útlizze dy't jo witte moatte.
Mis de folgjende nuttige eleminten net:
- Hoverje oer de grafyske eleminten yn 'e wizard om har beskriuwingen te lêzen.
- Klikje op alle keppelings en ynfoknoppen ( ) foar wichtige ynformaasje.

(Opsjoneel) Om opnij te begjinnen, set de Scope Tree werom

Jo kinne de scopes, labels en scopebeam wiskje dy't jo makke hawwe mei de wizard en de wizard opsjoneel nochris útfiere.

Tip
As jo allinich guon fan 'e oanmakke scopes fuortsmite wolle en jo de wizard net wer útfiere wolle, kinne jo yndividuele scopes wiskje ynstee fan de folsleine beam werom te setten: Klik op in scope om te wiskjen, klik dan op Wiskje.

Foardat jo begjinne
Scope Eigner privileezjes foar de root berik binne fereaske.
As jo ekstra wurkromten, belied of oare ôfhinklikens oanmakke hawwe, sjoch dan de Brûkersgids yn Secure Workload foar folsleine ynformaasje oer it weromsetten fan de omfangbeam.

Proseduere

Stap 1 Kies út it navigaasjemenu oan de linkerkant Organisearje > Scopes and Inventory .
Stap 2 Klikje op it berik oan 'e boppekant fan' e beam.

Stap 3 Klik op Reset.
Stap 4 Befêstigje jo kar.
Stap 5 As de knop Weromsette feroaret yn ôfwachting ferneatigje, moatte jo miskien de browserside ferfarskje.

Mear ynformaasje

Foar mear ynformaasje oer begripen yn 'e wizard, sjoch:

De online help yn Secure Workload
De Secure Workload User Guide PDF foar jo frijlitting, beskikber fan https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Dokuminten / Resources

	CISCO Secure Workload Software [pdf] Brûkersgids Release 3.8, Secure Workload Software, Secure Workload, Software
	CISCO Secure Workload Software [pdf] Brûkersgids 3.8.1.53, 3.8.1.1, Secure Workload Software, Feilich, Workload Software, Software