CISCO softver za sigurno radno opterećenje

Kratki vodič za Cisco Secure Workload za izdanje 3.8

Cisco Secure Workload je softver koji korisnicima omogućuje instaliranje softverskih agenata na njihova radna opterećenja aplikacije. Softverski agenti prikupljaju informacije o mrežnim sučeljima i aktivnim procesima koji se izvode na glavnom sustavu.

Uvod u segmentaciju

Značajka segmentacije Cisco Secure Workload omogućuje korisnicima grupiranje i označavanje svojih radnih opterećenja. To pomaže u definiranju politika i procedura za svaku grupu i osiguravanju sigurne komunikacije među njima.

O ovom vodiču

Ovaj vodič je brzi vodič za Cisco Secure Workload Release 3.8. Omogućuje overview čarobnjaka i vodi korisnike kroz proces instaliranja agenata, grupiranja i označavanja radnih opterećenja i izgradnje hijerarhije za njihovu organizaciju.

Obilazak čarobnjaka

Čarobnjak vodi korisnike kroz proces instaliranja agenata, grupiranja i označavanja radnih opterećenja i izgradnje hijerarhije za njihovu organizaciju.

Prije nego počnete

Sljedeće korisničke uloge mogu pristupiti čarobnjaku:

• Super Administrator
• Administrator
• Sigurnosni administrator
• Sigurnosni operater

Instalirajte agente

Da biste instalirali softverske agente na svoja radna opterećenja aplikacije:

1. Otvorite čarobnjaka Cisco Secure Workload.
2. Odaberite opciju za instaliranje agenata.
3. Slijedite upute čarobnjaka za dovršetak postupka instalacije.

Grupirajte i označite svoja radna opterećenja

Da biste grupirali i označili svoja radna opterećenja:

1. Otvorite čarobnjaka Cisco Secure Workload.
2. Odaberite opciju za grupiranje i označavanje vaših radnih opterećenja.
3. Slijedite upute čarobnjaka za stvaranje grane stabla opsega i dodjeljivanje oznaka svakoj grupi.

Izgradite hijerarhiju za svoju organizaciju

Da biste izgradili hijerarhiju za svoju organizaciju:

1. Otvorite čarobnjaka Cisco Secure Workload.
2. Odaberite opciju za izgradnju hijerarhije za svoju organizaciju.
3. Slijedite upute koje daje čarobnjak za definiranje internog opsega, opsega podatkovnog centra i opsega predprodukcije.

Bilješka: Nazivi opsega trebaju biti kratki i smisleni. Pazite da ne uključite adrese aplikacija koje se koriste za obavljanje stvarnog poslovanja u opsegu pretprodukcije.

Prvi put objavljeno: 2023-04-12
Zadnja izmjena: 2023-05-19

Uvod u segmentaciju

Tradicionalno, mrežna sigurnost usmjerena je na držanje zlonamjernih aktivnosti izvan vaše mreže pomoću vatrozida oko ruba vaše mreže. Međutim, također morate zaštititi svoju organizaciju od prijetnji koje su probile vašu mrežu ili potječu iz nje. Segmentacija (ili mikrosegmentacija) mreže pomaže u zaštiti vaših radnih opterećenja kontroliranjem prometa između radnih opterećenja i drugih računala na vašoj mreži; dakle, dopuštajući samo promet koji bi vašoj organizaciji bio potreban za poslovne svrhe, i uskraćujući sav ostali promet. Na primjerample, možete koristiti pravila za sprječavanje svake komunikacije između radnih opterećenja koja ugošćuju vaš javni pristup web aplikaciji da ne komunicira s vašom bazom podataka za istraživanje i razvoj u vašem podatkovnom centru ili da spriječi neproizvodna radna opterećenja da kontaktiraju proizvodna radna opterećenja. Cisco Secure Workload koristi podatke o protoku organizacije kako bi predložio pravila koja možete procijeniti i odobriti prije nego što ih provedete. Alternativno, možete i ručno kreirati ova pravila za segmentiranje mreže.

O ovom vodiču

Ovaj dokument primjenjiv je za Secure Workload izdanje 3.8:

• Predstavlja ključne koncepte sigurnog radnog opterećenja: segmentaciju, oznake radnog opterećenja, opsege, hijerarhijska stabla opsega i otkrivanje pravila.
• Objašnjava postupak stvaranja prve grane vašeg stabla opsega pomoću čarobnjaka za prvo korisničko iskustvo i
• Opisuje automatizirani proces generiranja pravila za odabranu aplikaciju na temelju stvarnih tokova prometa.

Obilazak čarobnjaka

Prije nego počnete
Sljedeće korisničke uloge mogu pristupiti čarobnjaku:

• admin stranice
• korisnička podrška
• vlasnik opsega

Instalirajte agente

Slika 1: prozor dobrodošlice

Instalirajte agente
U sigurnom radnom opterećenju možete instalirati softverske agente na svoja radna opterećenja aplikacije. Softverski agenti prikupljaju informacije o mrežnim sučeljima i aktivnim procesima koji se izvode na glavnom sustavu.

Dva su načina na koje možete instalirati softverske agente:

• Program za instalaciju skripte agenta - Koristite ovu metodu za instaliranje, praćenje i rješavanje problema tijekom instaliranja softverskih agenata. Podržane platforme su Linux, Windows, Kubernetes, AIX i Solaris
• Program za instalaciju slike agenta - preuzmite sliku softverskog agenta da biste instalirali određenu verziju i vrstu softverskog agenta za svoju platformu. Podržane platforme su Linux i Windows.

Čarobnjak za integraciju vodi vas kroz postupak instaliranja agenata na temelju odabrane metode instalacije. Pogledajte upute za instalaciju na korisničkom sučelju i pogledajte korisnički priručnik za dodatne pojedinosti o instaliranju softverskih agenata.

Grupirajte i označite svoja radna opterećenja

Dodijelite oznake grupi radnih opterećenja da biste stvorili opseg.
Hijerarhijsko stablo opsega pomaže podijeliti radna opterećenja u manje grupe. Najniža grana u stablu opsega rezervirana je za pojedinačne aplikacije.
Odaberite nadređeni opseg iz stabla opsega da biste stvorili novi opseg. Novi opseg sadržavat će podskup članova nadređenog opsega.

U ovom prozoru možete organizirati svoja radna opterećenja u grupe, koje su raspoređene u hijerarhijsku strukturu. Raščlanjivanje mreže u hijerarhijske skupine omogućuje fleksibilno i skalabilno otkrivanje i definiranje pravila.
Oznake su ključni parametri koji opisuju radno opterećenje ili krajnju točku, predstavljeni su kao par ključ-vrijednost. Čarobnjak pomaže u primjeni oznaka na vaša radna opterećenja, a zatim grupira te oznake u grupe koje se nazivaju djelokruzi. Radna opterećenja se automatski grupiraju u opsege na temelju njihovih povezanih oznaka. Možete definirati pravila segmentacije na temelju opsega.
Zadržite pokazivač iznad svakog bloka ili opsega u stablu za više informacija o vrsti radnih opterećenja ili hostova koje uključuje.

Bilješka

U prozoru Get Started with Scopes and Labels, Organizacija, Infrastruktura, Okolina i Aplikacija su ključevi, a tekst u sivim okvirima u liniji sa svakim ključem su vrijednosti.
Na primjerample, sva radna opterećenja koja pripadaju aplikaciji 1 definirana su ovim skupom oznaka:

• Organizacija = Interna
• Infrastruktura = Podatkovni centri
• Okoliš = pretproizvodnja
• Aplikacija = Aplikacija 1

Snaga oznaka i stabala opsega

Oznake pokreću snagu sigurnog radnog opterećenja, a stablo opsega stvoreno iz vaših oznaka više je od pukog sažetka vaše mreže:

• Oznake vam omogućuju da odmah razumijete svoja pravila:
  "Zabrani sav promet od pretprodukcije do proizvodnje"
  Usporedite ovo s istom politikom bez oznaka:
  “Zabrani sav promet od 172.16.0.0/12 do 192.168.0.0/16”
• Pravila temeljena na oznakama automatski se primjenjuju (ili prestaju primjenjivati) kada se označena radna opterećenja dodaju (ili uklone) iz inventara. Tijekom vremena, ova dinamička grupiranja temeljena na oznakama uvelike smanjuju količinu napora potrebnog za održavanje vaše implementacije.
• Radna opterećenja su grupirana u opsege na temelju njihovih oznaka. Ova grupiranja vam omogućuju jednostavnu primjenu pravila na povezana radna opterećenja. Na primjerample, možete jednostavno primijeniti politiku na sve aplikacije u opsegu Pre-Production.
• Politike stvorene jednom u jednom opsegu mogu se automatski primijeniti na sva radna opterećenja u potomcima opsega u stablu, smanjujući broj politika kojima trebate upravljati.
  Možete jednostavno definirati i široko primijeniti politiku (nprample, na sva radna opterećenja u vašoj organizaciji) ili usko (samo na radna opterećenja koja su dio određene aplikacije) ili na bilo koju razinu između (npr.ample, na sva radna opterećenja u vašem podatkovnom centru.
• Možete dodijeliti odgovornost za svaki opseg različitim administratorima, delegirajući upravljanje politikama osobama koje su najbolje upoznate sa svakim dijelom vaše mreže.

Izgradite hijerarhiju za svoju organizaciju

Počnite graditi svoju hijerarhiju ili stablo opsega, to uključuje identificiranje i kategoriziranje sredstava, određivanje opsega, definiranje uloga i odgovornosti, razvoj politika i procedura za stvaranje grane stabla opsega.

Čarobnjak vas vodi kroz stvaranje grane stabla opsega. Unesite IP adrese ili podmreže za svaki opseg označen plavom bojom, oznake se automatski primjenjuju na temelju stabla opsega.

Preduvjeti:

• Prikupite IP adrese/podmreže povezane s vašim predprodukcijskim okruženjem, vašim podatkovnim centrima i vašom internom mrežom.
• Skupite što više IP adresa/podmreža možete, dodatne IP adrese/podmreže možete dobiti kasnije.
• Kasnije, dok budete gradili svoje stablo, možete dodati IP adrese/podmreže za druge opsege u stablu (sivi blokovi).

Da biste stvorili stablo opsega, izvršite ove korake:

Definirajte interni opseg
Interni opseg uključuje sve IP adrese koje definiraju internu mrežu vaše organizacije, uključujući javne i privatne IP adrese.
Čarobnjak vas vodi kroz dodavanje IP adresa svakom opsegu u grani stabla. Kako dodajete adrese, čarobnjak svakoj adresi dodjeljuje oznake koje definiraju opseg.

Na primjerample, u ovom prozoru za postavljanje opsega, čarobnjak dodjeljuje oznaku
Organizacija=Interna

na svaku IP adresu.
Prema zadanim postavkama, čarobnjak dodaje IP adrese u privatni internetski adresni prostor kako je definirano u RFC 1918

Bilješka
Ne morate unijeti sve IP adrese odjednom, ali morate uključiti IP adrese povezane s odabranom aplikacijom, a ostale IP adrese možete dodati kasnije.

Definirajte opseg podatkovnog centra
Ovaj opseg uključuje IP adrese koje definiraju vaše lokalne podatkovne centre. Unesite IP adrese/podmreže koje definiraju vašu internu mrežu

Bilješka Nazivi opsega trebaju biti kratki i smisleni.

U ovom prozoru unesite IP adrese koje ste unijeli za organizaciju, te adrese moraju biti podskup adresa vaše interne mreže. Ako imate više podatkovnih centara, sve ih uključite u ovaj opseg kako biste mogli definirati jedan skup pravila.

Bilješka

Uvijek možete dodati više adresa kasnijetage. Na primjer, čarobnjak dodjeljuje ove oznake svakoj od IP adresa:
Organizacija=Interna
Infrastruktura=Podatkovni centri

Definirajte opseg pretprodukcije
Ovaj opseg uključuje IP adrese neproizvodnih aplikacija i hostova, kao što su razvoj, laboratorij, test ilitaging sustava.

Bilješka
Pazite da ne uključite adrese aplikacija koje se koriste za obavljanje stvarnog poslovanja, koristite ih za proizvodni opseg koji definirate kasnije.

IP adrese koje unesete u ovaj prozor moraju biti podskup adresa koje ste unijeli za svoje podatkovne centre, uključujući adrese odabrane aplikacije. U idealnom slučaju, trebali bi uključivati ​​i adrese pretprodukcije koje nisu dio odabrane aplikacije.

Bilješka Uvijek možete dodati više adresa kasnijetage.

Review Stablo opsega, opseg i oznake
Prije nego počnete stvarati stablo opsega, ponovnoview hijerarhiju koju možete vidjeti u lijevom prozoru. Korijenski opseg prikazuje oznake koje su automatski stvorene za sve konfigurirane IP adrese i podmreže. Kod kasnijeg stagU tom procesu, aplikacije se dodaju ovom stablu opsega.
Slika 2:

Možete proširiti i sažeti grane i pomaknuti se prema dolje da odaberete određeni opseg. Na desnom oknu možete vidjeti IP adrese i oznake dodijeljene radnim opterećenjima za određeni opseg. Na ovom prozoru možete review, izmijenite stablo opsega prije nego dodate aplikaciju u ovaj opseg.

Bilješka
Ako želite view ove informacije nakon što izađete iz čarobnjaka, odaberite Organiziraj > Opsezi i inventar iz glavnog izbornika,

Review Stablo opsega

Prije nego počnete stvarati stablo opsega, ponovnoview hijerarhiju koju možete vidjeti u lijevom prozoru. Korijenski opseg prikazuje oznake koje su automatski stvorene za sve konfigurirane IP adrese i podmreže. Kod kasnijeg stagU tom procesu, aplikacije se dodaju ovom stablu opsega.

Možete proširiti i sažeti grane i pomaknuti se prema dolje da odaberete određeni opseg. Na desnom oknu možete vidjeti IP adrese i oznake dodijeljene radnim opterećenjima za određeni opseg. Na ovom prozoru možete review, izmijenite stablo opsega prije nego dodate aplikaciju u ovaj opseg.

Bilješka
Ako želite view ove informacije nakon što izađete iz čarobnjaka, odaberite Organiziraj > Opseg i inventar iz glavnog izbornika.

Stvorite stablo opsega

Nakon što ponovnoview stablo opsega, nastavite sa stvaranjem stabla opsega.

Za informacije o stablu opsega pogledajte odjeljke Opsezi i Inventar u korisničkom priručniku.

Sljedeći koraci

Instalirajte agente
Instalirajte agente SecureWorkload na radna opterećenja povezana s vašom odabranom aplikacijom. Podaci koje agenti prikupljaju koriste se za generiranje predloženih pravila na temelju postojećeg prometa na vašoj mreži. Što više podataka, točnije politike se proizvode. Za detalje pogledajte odjeljak Softverski agenti u korisničkom priručniku za sigurno radno opterećenje.

Dodajte aplikaciju
Dodajte prvu aplikaciju u svoje stablo opsega. Odaberite pretprodukcijsku aplikaciju koja radi na golim metalnim ili virtualnim strojevima u vašem podatkovnom centru. Nakon dodavanja aplikacije, možete početi otkrivati ​​pravila za tu aplikaciju. Za više informacija pogledajte odjeljak Opseg i inventar korisničkog vodiča za sigurno radno opterećenje.

Postavite zajednička pravila unutarnjeg opsega
Primijenite skup zajedničkih pravila na interni opseg. Na primjerample, dopustite samo promet kroz određeni priključak iz vaše mreže prema izvan vaše mreže.
Korisnici mogu definirati pravila ručno pomoću klastera, filtara inventara i opsega ili se oni mogu otkriti i generirati iz podataka o toku pomoću automatskog otkrivanja pravila.
Nakon što ste instalirali agente i dopustili barem nekoliko sati da se akumuliraju podaci o protoku prometa, možete omogućiti sigurno radno opterećenje za generiranje ("otkrivanje") pravila na temelju tog prometa. Za pojedinosti pogledajte odjeljak Pravila automatskog otkrivanja u korisničkom priručniku za sigurno radno opterećenje.
Primijenite ova pravila na Interni (ili Inside ili Root) opseg kako biste učinkovito review politike.

Dodaj Cloud Connector
Ako vaša organizacija ima radna opterećenja na AWS-u, Azureu ili GCP-u, upotrijebite konektor za oblak da dodate ta radna opterećenja u svoje stablo opsega. Za više informacija pogledajte odjeljak Cloud Connectors korisničkog vodiča Secure Workload.

Brzi početak rada

Korak	Učini ovo	pojedinosti
1	(Izborno) Krenite u obilazak čarobnjaka s komentarima	Obilazak čarobnjaka, na stranici 1
2	Odaberite aplikaciju kako biste započeli svoje putovanje segmentacijom.	Za najbolje rezultate slijedite smjernice u Odaberite Aplikacija za ovaj čarobnjak, na stranici 10.
3	Prikupite IP adrese.	Čarobnjak će zatražiti 4 grupe IP adresa. Za detalje pogledajte Prikupite IP adrese, na stranici 9.
4	Pokrenite čarobnjaka	Do view zahtjeve i pristupite čarobnjaku, pogledajte Pokrenite čarobnjak, na stranici 11
5	Instalirajte Secure Workload agente na radna opterećenja vaše aplikacije.	Pogledajte Instalacijski agenti.
6	Ostavite vremena agentima da prikupe podatke o protoku.	Više podataka proizvodi točnije politike. Minimalno potrebno vrijeme ovisi o tome koliko se aktivno koristi vaša aplikacija.
7	Generirajte ("otkrijte") pravila na temelju vaših stvarnih podataka o protoku.	Pogledajte Automatsko generiranje pravila.
8	Review generirane politike.	Pogledajte Pogledajte generirana pravila.

Prikupite IP adrese
Trebat će vam barem neke od IP adresa u svakoj listi ispod:

• Adrese koje definiraju vašu internu mrežu Prema zadanim postavkama, čarobnjak koristi standardne adrese rezervirane za privatnu upotrebu interneta.
• Adrese koje su rezervirane za vaše podatkovne centre.
  To ne uključuje adrese koje koriste računala zaposlenika, cloud ili partnerske usluge, centralizirane IT usluge itd.
• Adrese koje definiraju vašu neproizvodnu mrežu
• Adrese radnih opterećenja koja čine vašu odabranu neproizvodnu aplikaciju
  Za sada ne morate imati sve adrese za svaku od gore navedenih grafičkih oznaka; uvijek možete kasnije dodati više adresa.

Važno
Budući da svaka od 4 grafičke oznake predstavlja podskup IP adresa grafičke oznake iznad nje, svaka IP adresa u svakoj grafičkoj oznaci također mora biti uključena među IP adrese grafičke oznake iznad nje na popisu.

Odaberite aplikaciju za ovog čarobnjaka
Za ovaj čarobnjak odaberite jednu aplikaciju.
Aplikacija se obično sastoji od višestrukih radnih opterećenja koja pružaju različite usluge, kao što su web usluge ili baze podataka, primarni i rezervni poslužitelji itd. Zajedno, ova radna opterećenja korisnicima pružaju funkcionalnost aplikacije.

Smjernice za odabir vaše aplikacije
SecureWorkload podržava radna opterećenja koja se izvode na širokom rasponu platformi i operativnih sustava, uključujući radna opterećenja temeljena na oblaku i kontejnerska opterećenja. Međutim, za ovaj čarobnjak odaberite aplikaciju s radnim opterećenjima koja su:

• Radi u vašem podatkovnom centru.
• Radi na golim metalnim i/ili virtualnim strojevima.
• Izvođenje na Windows, Linux ili AIX platformama podržanim sa Secure Workload agentima, pogledajte https://www.cisco.com/go/secure-workload/requirements/agents.
• Postavljeno u pretprodukcijskom okruženju.

Bilješka
Možete pokrenuti čarobnjaka čak i ako niste odabrali aplikaciju i prikupili IP adrese, ali ne možete dovršiti čarobnjaka bez ovih stvari.

Bilješka
Ako ne dovršite čarobnjaka prije nego što se odjavite (ili istekne vrijeme) ili prijeđete na drugi dio aplikacije Secure workload (koristite lijevu navigacijsku traku), konfiguracije čarobnjaka se ne spremaju.

Za detalje o tome kako dodati opseg/dodati opseg i oznake, pogledajte odjeljak Opseg i inventar korisničkog vodiča za Cisco Secure Workload.

Pokrenite čarobnjaka

Možete pokrenuti čarobnjaka bez obzira jeste li odabrali aplikaciju i prikupili IP adrese, ali nećete moći dovršiti čarobnjak bez ovih stvari.

Važno
Ako ne dovršite čarobnjaka prije nego što se odjavite (ili istekne vrijeme) iz sigurnog radnog opterećenja ili ako prijeđete na drugi dio aplikacije pomoću lijeve navigacijske trake, konfiguracije čarobnjaka se ne spremaju.

Prije nego počnete
Sljedeće korisničke uloge mogu pristupiti čarobnjaku:

Postupak

• Korak 1
  Prijavite se na Secure Workload.
• Korak 2
  Pokrenite čarobnjaka:
  Ako trenutno nemate definirane opsege, čarobnjak se automatski pojavljuje kada se prijavite na Secure Workload.

Alternativno:

• Kliknite vezu Pokreni sada čarobnjaka na plavom natpisu na vrhu bilo koje stranice.
• Odaberite višeview iz glavnog izbornika na lijevoj strani prozora.
• Korak 3
  Čarobnjak će vam objasniti stvari koje trebate znati.
  Ne propustite sljedeće korisne elemente:
  • Zadržite pokazivač iznad grafičkih elemenata u čarobnjaku da biste pročitali njihove opise.
  • Kliknite bilo koje veze i gumbe s informacijama ( ) za važne informacije.

(Izborno) Za početak ispočetka, poništite stablo opsega

Možete izbrisati opsege, oznake i stablo opsega koje ste kreirali pomoću čarobnjaka i po želji ponovno pokrenuti čarobnjaka.

Savjet
Ako želite ukloniti samo neke od stvorenih opsega i ne želite ponovno pokretati čarobnjaka, možete izbrisati pojedinačne opsege umjesto ponovnog postavljanja cijelog stabla: kliknite opseg za brisanje, zatim kliknite Izbriši.

Prije nego počnete
Potrebne su privilegije vlasnika opsega za korijenski opseg.
Ako ste kreirali dodatne radne prostore, pravila ili druge ovisnosti, pogledajte Korisnički vodič u Sigurnom radnom opterećenju za potpune informacije o resetiranju stabla opsega.

Postupak

• Korak 1 U navigacijskom izborniku s lijeve strane odaberite Organiziraj > Opseg i inventar.
• Korak 2 Pritisnite opseg na vrhu stabla.
• Korak 3 Kliknite Reset.
• Korak 4 Potvrdite svoj izbor.
• Korak 5 Ako se gumb Reset promijeni u Destroy Pending, možda ćete morati osvježiti stranicu preglednika.

Više informacija

Za više informacija o konceptima u čarobnjaku pogledajte:

• Mrežna pomoć za sigurno radno opterećenje
• Korisnički priručnik za sigurno radno opterećenje PDF za vaše izdanje, dostupan na https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

© 2022 Cisco Systems, Inc. Sva prava pridržana.

Dokumenti / Resursi

	CISCO softver za sigurno radno opterećenje [pdf] Korisnički priručnik Izdanje 3.8, softver za sigurno radno opterećenje, sigurno radno opterećenje, softver
	CISCO softver za sigurno radno opterećenje [pdf] Korisnički priručnik 3.8.1.53, 3.8.1.1, softver za sigurno radno opterećenje, sigurno, softver za radno opterećenje, softver

Reference

• korisnički priručnik