Contidos ocultar
1 Software de carga de traballo segura de CISCO
2 Introdución á Segmentación
3 Instalar axentes
4 Fluxo de traballo de inicio rápido
5 Procedemento
6 Máis información
7 Documentos/Recursos
7.1 Referencias
8 Publicacións relacionadas

CISCO-LOGO

Software de carga de traballo segura de CISCO

Software de carga de traballo segura de CISCO-FIG2

Guía de inicio rápido de Cisco Secure Workload para la versión 3.8

O Cisco Secure Workload é un software que permite aos usuarios instalar axentes de software nas súas cargas de traballo de aplicacións. Os axentes de software recollen información sobre as interfaces de rede e os procesos activos que se executan no sistema host.

Introdución á Segmentación

A función de segmentación de Cisco Secure Workload permite aos usuarios agrupar e etiquetar as súas cargas de traballo. Isto axuda a definir políticas e procedementos para cada grupo e garantir unha comunicación segura entre eles.

Acerca desta guía

Esta guía é unha guía de inicio rápido para a versión 3.8 de Cisco Secure Workload. Proporciona un sobreview do asistente e guía aos usuarios no proceso de instalación de axentes, agrupación e etiquetaxe de cargas de traballo e creación dunha xerarquía para a súa organización.

Tour do Mago

O asistente guía aos usuarios a través do proceso de instalación de axentes, agrupación e etiquetaxe de cargas de traballo e creación dunha xerarquía para a súa organización.

Antes de comezar

Os seguintes roles de usuario poden acceder ao asistente:

  • Super Administrador
  • Admin
  • Administrador de Seguridade
  • Operador de Seguridade

Instalar axentes

Para instalar axentes de software nas cargas de traballo da aplicación:

  1. Abra o asistente de carga de traballo segura de Cisco.
  2. Seleccione a opción para instalar axentes.
  3. Siga as instrucións proporcionadas polo asistente para completar o proceso de instalación.

Agrupa e etiqueta as túas cargas de traballo

Para agrupar e etiquetar as túas cargas de traballo:

  1. Abra o asistente de carga de traballo segura de Cisco.
  2. Seleccione a opción para agrupar e etiquetar as súas cargas de traballo.
  3. Siga as instrucións proporcionadas polo asistente para crear unha rama da árbore de ámbito e asignar etiquetas a cada grupo.

Crea a xerarquía para a túa organización

Para crear unha xerarquía para a súa organización:

  1. Abra o asistente de carga de traballo segura de Cisco.
  2. Seleccione a opción para crear a xerarquía para a súa organización.
  3. Siga as instrucións proporcionadas polo asistente para definir o ámbito interno, o ámbito do centro de datos e o ámbito de preprodución.

Nota: Os nomes dos ámbitos deben ser breves e significativos. Asegúrate de non incluír enderezos de ningunha aplicación que se utilice para realizar negocios reais no ámbito de preprodución.

Primeira publicación: 2023-04-12
Última modificación: 2023-05-19

Introdución á Segmentación

Tradicionalmente, a seguridade da rede ten como obxectivo evitar a actividade maliciosa fóra da súa rede con cortalumes ao redor da súa rede. Non obstante, tamén cómpre protexer a súa organización das ameazas que infrinxiron a súa rede ou que se orixinaron nela. A segmentación (ou microsegmentación) da rede axuda a protexer as súas cargas de traballo controlando o tráfico entre as cargas de traballo e outros anfitrións da súa rede; polo tanto, permitindo só o tráfico que a túa organización requiriría para fins comerciais e denegar todo o outro tráfico. Por example, pode usar políticas para evitar toda comunicación entre as cargas de traballo que aloxan o seu público web que a aplicación non se comunique coa súa base de datos de investigación e desenvolvemento no seu centro de datos ou para evitar que as cargas de traballo que non sexan de produción entren en contacto coas cargas de traballo de produción. Cisco Secure Workload usa os datos de fluxo da organización para suxerir políticas que pode avaliar e aprobar antes de aplicalas. Como alternativa, tamén pode crear manualmente estas políticas para segmentar a rede.

Acerca desta guía

Este documento é aplicable á versión 3.8 de Secure Workload:

  • Presenta os conceptos clave de carga de traballo segura: segmentación, etiquetas de carga de traballo, ámbitos, árbores de ámbito xerárquico e descubrimento de políticas.
  • Explica o proceso para crear a primeira rama da súa árbore de ámbito utilizando o asistente de experiencia de usuario por primeira vez e
  • Describe o proceso automatizado de xeración de políticas para a aplicación escollida en función dos fluxos de tráfico reais.

Tour do Mago

Antes de comezar
Os seguintes roles de usuario poden acceder ao asistente:

  • administrador do sitio
  • atención ao cliente
  • propietario do ámbito

Instalar axentes

Figura 1: ventá de benvida

Software de carga de traballo segura de CISCO-FIG1

Instalar axentes
En Secure Workload, pode instalar axentes de software nas cargas de traballo das súas aplicacións. Os axentes de software recollen información sobre as interfaces de rede e os procesos activos que se executan no sistema host.

Software de carga de traballo segura de CISCO-FIG3

Hai dúas formas de instalar os axentes de software:

  • Instalador de script de axente: use este método para instalar, rastrexar e solucionar problemas durante a instalación dos axentes de software. As plataformas admitidas son Linux, Windows, Kubernetes, AIX e Solaris
  • Instalador da imaxe do axente: descarga a imaxe do axente de software para instalar unha versión e un tipo específicos de axente de software para a súa plataforma. As plataformas admitidas son Linux e Windows.

O asistente de incorporación guíalle polo proceso de instalación dos axentes en función do método de instalación seleccionado. Consulte as instrucións de instalación na IU e consulte a guía do usuario para obter máis detalles sobre a instalación de axentes de software.

Agrupa e etiqueta as túas cargas de traballo

Asigne etiquetas a un grupo de cargas de traballo para crear un ámbito.
A árbore de alcance xerárquico axuda a dividir as cargas de traballo en grupos máis pequenos. A rama máis baixa da árbore de alcance resérvase para aplicacións individuais.
Seleccione un ámbito pai na árbore de ámbito para crear un novo ámbito. O novo ámbito conterá un subconxunto dos membros do ámbito principal.

Software de carga de traballo segura de CISCO-FIG4

Nesta xanela, pode organizar as súas cargas de traballo en grupos, que están dispostos nunha estrutura xerárquica. A división da súa rede en grupos xerárquicos permite descubrir e definir políticas flexibles e escalables.
As etiquetas son parámetros clave que describen unha carga de traballo ou un punto final, represéntase como un par clave-valor. O asistente axuda a aplicar as etiquetas ás súas cargas de traballo e, a continuación, agrupa estas etiquetas en grupos chamados ámbitos. As cargas de traballo agrúpanse automaticamente en ámbitos en función das súas etiquetas asociadas. Pode definir políticas de segmentación en función dos ámbitos.
Pasa o rato sobre cada bloque ou ámbito da árbore para obter máis información sobre o tipo de cargas de traballo ou hosts que inclúe.

Nota

Na xanela Comezar cos ámbitos e as etiquetas, Organización, Infraestrutura, Contorno e Aplicación son as claves e o texto das caixas grises en liña con cada clave son os valores.
Por example, todas as cargas de traballo pertencentes á aplicación 1 están definidas por este conxunto de etiquetas:

  • Organización = Interna
  • Infraestrutura = Data Centers
  • Ambiente = Preprodución
  • Aplicación = Aplicación 1

O poder das etiquetas e das árbores de alcance

As etiquetas impulsan o poder de Secure Workload e a árbore de alcance creada a partir das túas etiquetas é algo máis que un resumo da túa rede:

  • As etiquetas permítenche comprender ao instante as túas políticas:
    "Negar todo o tráfico desde a preprodución ata a produción"
    Compare isto coa mesma política sen etiquetas:
    "Denegar todo o tráfico desde 172.16.0.0/12 ata 192.168.0.0/16"
  • As políticas baseadas en etiquetas aplícanse (ou deixan de aplicarse) automaticamente cando as cargas de traballo etiquetadas se engaden (ou quítanse do) inventario. Co paso do tempo, estas agrupacións dinámicas baseadas en etiquetas reducen moito o esforzo necesario para manter a súa implantación.
  • As cargas de traballo agrúpanse en ámbitos segundo as súas etiquetas. Estas agrupacións permítenche aplicar facilmente a política ás cargas de traballo relacionadas. Por example, pode aplicar facilmente a política a todas as aplicacións do ámbito de preprodución.
  • As políticas creadas unha vez nun único ámbito pódense aplicar automaticamente a todas as cargas de traballo dos ámbitos descendentes da árbore, minimizando o número de políticas que cómpre xestionar.
    Podes definir e aplicar a política de xeito amplo (por exemplo,ample, a todas as cargas de traballo da súa organización) ou de xeito limitado (só ás cargas de traballo que forman parte dunha aplicación específica) ou a calquera nivel intermedio (por exemploample, a todas as cargas de traballo do seu centro de datos.
  • Pode asignar a responsabilidade de cada ámbito a diferentes administradores, delegando a xestión das políticas nas persoas que estean máis familiarizadas con cada parte da súa rede.

Crea a xerarquía para a túa organización

Comeza a construír a túa xerarquía ou árbore de alcance, isto implica identificar e categorizar os activos, determinar o alcance, definir roles e responsabilidades, desenvolver políticas e procedementos para crear unha rama da árbore de alcance.

Software de carga de traballo segura de CISCO-FIG5

O asistente guíache na creación dunha rama da árbore de alcance. Introduza enderezos IP ou subredes para cada ámbito delineado en azul, as etiquetas aplícanse automaticamente en función da árbore de ámbito.

Requisitos previos:

  • Reúna enderezos IP/subredes asociados co seu contorno de preprodución, os seus centros de datos e a súa rede interna.
  • Reúne tantos enderezos IP/subredes como poidas, podes obter os enderezos/subredes IP adicionais máis tarde.
  • Máis tarde, mentres constrúe a súa árbore, pode engadir enderezos IP/subredes para os outros ámbitos da árbore (os bloques grises).

Para crear a árbore de alcance, siga estes pasos:

Definir o ámbito interno
O ámbito interno inclúe todos os enderezos IP que definen a rede interna da súa organización, incluídos os enderezos IP públicos e privados.
O asistente guiarache a través de engadir enderezos IP a cada ámbito da rama da árbore. A medida que engade enderezos, o asistente asigna etiquetas a cada enderezo que define o ámbito.

Por example, nesta xanela de configuración de ámbito, o asistente asigna a etiqueta
Organización=Interna

a cada enderezo IP.
De forma predeterminada, o asistente engade os enderezos IP no espazo de enderezos privados de Internet segundo se define no RFC 1918

Nota
Non é necesario introducir todos os enderezos IP á vez, pero debe incluír os enderezos IP asociados á aplicación escollida, pode engadir o resto dos enderezos IP máis adiante.

Definir o alcance do centro de datos
Este ámbito inclúe os enderezos IP que definen os seus centros de datos locais. Introduza os enderezos IP/subredes que definen a súa rede interna

Nota Os nomes dos ámbitos deben ser breves e significativos.

Nesta xanela, introduza os enderezos IP que introduciu para a organización, estes enderezos deben ser un subconxunto dos enderezos da súa rede interna. Se tes varios centros de datos, inclúaos todos neste ámbito para que poidas definir un único conxunto de políticas.

Nota

Sempre podes engadir máis enderezos nun s posteriortage. Por exemplo, o asistente asigna estas etiquetas a cada un dos enderezos IP:
Organización=Interna
Infraestrutura=Centros de datos

Definir o ámbito de preprodución
Este ámbito inclúe enderezos IP de aplicacións e servidores non de produción, como desenvolvemento, laboratorio, proba outagsistemas de ing.

Nota
Asegúrate de non incluír enderezos de ningunha aplicación que se utilice para realizar negocios reais, utilízaos para o ámbito de produción que definas máis tarde.

Os enderezos IP que introduza nesta xanela deben ser un subconxunto dos enderezos que introduciu para os seus centros de datos, incluír os enderezos da aplicación escollida. O ideal é que tamén inclúan enderezos de preprodución que non formen parte da aplicación escollida.

Nota Sempre podes engadir máis enderezos nun s posteriortage.

Software de carga de traballo segura de CISCO-FIG6

Review Árbore de alcance, ámbitos e etiquetas
Antes de comezar a crear a árbore de alcance, review a xerarquía que podes ver na xanela esquerda. O ámbito raíz mostra etiquetas que se crearon automaticamente para todos os enderezos IP e subredes configurados. Nun s posteriortage no proceso, as aplicacións engádense a esta árbore de alcance.
Figura 2:

Software de carga de traballo segura de CISCO-FIG7

Pode expandir e contraer ramas e desprazarse cara abaixo para escoller un ámbito específico. No panel dereito, podes ver os enderezos IP e as etiquetas asignadas ás cargas de traballo para o ámbito específico. Nesta xanela, podes volverview, modifique a árbore de ámbito antes de engadir unha aplicación a este ámbito.

Nota
Se queres view esta información despois de saír do asistente, escolla Organizar > Ámbitos e inventario no menú principal,

Review Árbore de alcance

Antes de comezar a crear a árbore de alcance, review a xerarquía que podes ver na xanela esquerda. O ámbito raíz mostra etiquetas que se crearon automaticamente para todos os enderezos IP e subredes configurados. Nun s posteriortage no proceso, as aplicacións engádense a esta árbore de alcance.

Software de carga de traballo segura de CISCO-FIG8

Pode expandir e contraer ramas e desprazarse cara abaixo para escoller un ámbito específico. No panel dereito, podes ver os enderezos IP e as etiquetas asignadas ás cargas de traballo para o ámbito específico. Nesta xanela, podes volverview, modifique a árbore de ámbito antes de engadir unha aplicación a este ámbito.

Nota
Se queres view esta información despois de saír do asistente, escolla Organizar > Ámbitos e inventario no menú principal.

Crear árbore de alcance

Despois de volverview a árbore de ámbito, continúe coa creación da árbore de ámbito.

Software de carga de traballo segura de CISCO-FIG9

Para obter información sobre a árbore de alcance, consulte as seccións Ámbitos e Inventario da guía do usuario.

Próximos pasos

Instalar axentes
Instala os axentes SecureWorkload nas cargas de traballo asociadas á aplicación escollida. Os datos que recompilan os axentes úsanse para xerar políticas suxeridas en función do tráfico existente na túa rede. Máis datos, prodúcense políticas máis precisas. Para obter máis información, consulte a sección Axentes de software na guía de usuario de Secure Workload.

Engadir aplicación
Engade a primeira aplicación á túa árbore de alcance. Escolla unha aplicación de preprodución que se execute en máquinas virtuais ou no seu centro de datos. Despois de engadir unha aplicación, pode comezar a descubrir políticas para esta aplicación. Para obter máis información, consulte a sección Ámbitos e inventario da guía de usuario de Secure Workload.

Establecer políticas comúns no ámbito interno
Aplicar un conxunto de políticas comúns no ámbito interno. Por example, só permita o tráfico a través de certo porto desde a súa rede para fóra da súa rede.
Os usuarios poden definir políticas manualmente mediante Clústeres, Filtros de Inventario e Ámbitos ou estes pódense descubrir e xerar a partir de datos de fluxo mediante un Descubrimento automático de políticas.
Despois de ter instalado axentes e de permitir polo menos unhas horas para que se acumulen os datos do fluxo de tráfico, pode habilitar Secure Workload para xerar políticas ("descubrir") baseadas nese tráfico. Para obter máis información, consulte a sección Descubrir automaticamente políticas da guía de usuario de Secure Workload.
Aplique estas políticas no ámbito interno (ou dentro ou raíz) para reactivar eficazmenteview políticas.

Engadir conector de nube
Se a súa organización ten cargas de traballo en AWS, Azure ou GCP, use un conector de nube para engadir esas cargas de traballo á súa árbore de ámbito. Para obter máis información, consulte a sección Cloud Connectors da guía de usuario de Secure Workload.

Fluxo de traballo de inicio rápido

Paso Fai isto Detalles
1 (Opcional) Fai un percorrido comentado polo asistente Tour do Asistente, na páxina 1
2 Escolla unha aplicación para comezar a súa viaxe de segmentación. Para obter os mellores resultados, siga as pautas en Escolle un Aplicación para este asistente, na páxina 10.
3 Reunir enderezos IP. O asistente solicitará 4 grupos de enderezos IP.

Para máis detalles, consulte Reunir enderezos IP, na páxina 9.
4 Executar o asistente Para view requisitos e acceder ao asistente, consulte Executar o asistente, na páxina 11
5 Instala axentes de carga de traballo segura nas cargas de traballo da túa aplicación. Consulte Instalar axentes.
6 Permita tempo aos axentes para recompilar datos de fluxo. Máis datos produce políticas máis precisas.

O tempo mínimo necesario depende de como se utilice a súa aplicación.
7 Xera ("descubrir") políticas en función dos teus datos de fluxo reais. Consulte Xerar políticas automaticamente.
8 Review as políticas xeradas. Consulte Mirar as políticas xeradas.

Recoller enderezos IP
Necesitarás polo menos algúns dos enderezos IP en cada viñeta a continuación:

  • Enderezos que definen a súa rede interna Por defecto, o asistente utiliza os enderezos estándar reservados para o uso privado da internet.
  • Enderezos que están reservados para os seus centros de datos.
    Non se inclúen os enderezos utilizados polos ordenadores dos empregados, os servizos en nube ou asociados, os servizos de TI centralizados, etc.
  • Enderezos que definen a súa rede non de produción
  • Enderezos das cargas de traballo que compoñen a aplicación non de produción escollida
    Polo momento, non precisa ter todos os enderezos para cada unha das viñetas anteriores; sempre podes engadir máis enderezos máis tarde.

Importante
Debido a que cada unha das 4 viñetas representa un subconxunto dos enderezos IP da viñeta superior, cada enderezo IP de cada viñeta tamén debe incluírse entre os enderezos IP da viñeta superior na lista.

Escolla unha aplicación para este asistente
Para este asistente, escolla unha única aplicación.
Unha aplicación normalmente consta de varias cargas de traballo que proporcionan servizos diferentes, como web servizos ou bases de datos, servidores primarios e de reserva, etc. En conxunto, estas cargas de traballo proporcionan a funcionalidade da aplicación aos seus usuarios.

Software de carga de traballo segura de CISCO-FIG10

Directrices para elixir a súa aplicación
SecureWorkload admite cargas de traballo que se executan nunha ampla gama de plataformas e sistemas operativos, incluíndo cargas de traballo baseadas na nube e en contenedores. Non obstante, para este asistente, escolla unha aplicación con cargas de traballo que sexan:

  • Executando no teu centro de datos.
  • Funcionando en máquinas virtuais e/ou de metal.
  • Executándose en plataformas Windows, Linux ou AIX compatibles con axentes de carga de traballo segura, consulte https://www.cisco.com/go/secure-workload/requirements/agents.
  • Implantado nun ambiente de preprodución.

Nota
Pode executar o asistente aínda que non escolleu unha aplicación e reuniu enderezos IP, pero non pode completar o asistente sen facer estas cousas.

Nota
Se non completa o asistente antes de pechar sesión (ou esgota o tempo de espera) ou navega a unha parte diferente da aplicación de carga de traballo segura (utilice a barra de navegación esquerda), as configuracións do asistente non se gardan.

Para obter detalles sobre como engadir un ámbito/engadir ámbito e etiquetas, consulte a sección Ámbitos e inventario da Guía de usuario de Cisco Secure Workload.

Executa o asistente

Podes executar o asistente tanto se elixiches como unha aplicación e recompilaches enderezos IP, pero non poderás completar o asistente sen facer estas cousas.

Importante
Se non completa o asistente antes de pechar sesión (ou esgotar o tempo de espera) de Secure Workload, ou se navega a unha parte diferente da aplicación mediante a barra de navegación esquerda, as configuracións do asistente non se gardan.

Antes de comezar
Os seguintes roles de usuario poden acceder ao asistente:

Procedemento

  • Paso 1
    Inicia sesión en Secure Workload.
  • Paso 2
    Inicia o asistente:
    Se actualmente non tes ningún ámbito definido, o asistente aparecerá automaticamente cando inicias sesión en Secure Workload.

Alternativamente:

  • Fai clic na ligazón Executar o asistente agora no banner azul na parte superior de calquera páxina.
  • Escolla máisview desde o menú principal no lado esquerdo da xanela.
  • Paso 3
    O asistente explicará as cousas que debes saber.
    Non perdas os seguintes elementos útiles:
    • Pasa o rato sobre os elementos gráficos do asistente para ler as súas descricións.
    • Fai clic en calquera ligazón e botón de información (Software de carga de traballo segura de CISCO-FIG11 ) para información importante.

(Opcional) Para comezar de novo, restablece a árbore de alcance

Pode eliminar os ámbitos, as etiquetas e a árbore de ámbitos que creou mediante o asistente e, opcionalmente, executalo de novo.

Consello
Se só queres eliminar algúns dos ámbitos creados e non queres volver executar o asistente, podes eliminar ámbitos individuais en lugar de restablecer toda a árbore: fai clic nun ámbito para eliminalo e, a continuación, en Eliminar.

Antes de comezar
Son necesarios privilexios de propietario do ámbito para o ámbito raíz.
Se creou espazos de traballo, políticas ou outras dependencias adicionais, consulte a Guía de usuario en Secure Workload para obter información completa sobre como restablecer a árbore de ámbito.

Procedemento

  • Paso 1 No menú de navegación da esquerda, escolla Organizar > Ámbitos e inventario .
  • Paso 2 Fai clic no ámbito na parte superior da árbore.
  • Paso 3 Fai clic en Restablecer.
  • Paso 4 Confirma a túa elección.
  • Paso 5 Se o botón Restablecer cambia a Destruír pendente, é posible que necesites actualizar a páxina do navegador.

Máis información

Para obter máis información sobre os conceptos do asistente, consulte:

© 2022 Cisco Systems, Inc. Todos os dereitos reservados.

Documentos/Recursos

Software de carga de traballo segura de CISCO [pdfGuía do usuario
Versión 3.8, software de carga de traballo segura, carga de traballo segura, software
Software de carga de traballo segura de CISCO [pdfGuía do usuario
3.8.1.53, 3.8.1.1, Software de carga de traballo segura, Software de carga de traballo seguro, Software

Referencias

Publicacións relacionadas

Deixa un comentario

O teu enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados *