Software per carico di lavoro sicuro CISCO
Guida rapida di Cisco Secure Workload per la versione 3.8
Cisco Secure Workload è un software che consente agli utenti di installare agenti software sui loro carichi di lavoro applicativi. Gli agenti software raccolgono informazioni sulle interfacce di rete e sui processi attivi in esecuzione sul sistema host.
Introduzione alla segmentazione
La funzione di segmentazione di Cisco Secure Workload consente agli utenti di raggruppare ed etichettare i propri carichi di lavoro. Questo aiuta a definire politiche e procedure per ogni gruppo e garantire una comunicazione sicura tra di loro.
Informazioni su questa guida
Questa guida è una guida rapida per Cisco Secure Workload Release 3.8. Fornisce un overview della procedura guidata e guida gli utenti attraverso il processo di installazione degli agenti, raggruppamento ed etichettatura dei carichi di lavoro e creazione di una gerarchia per la loro organizzazione.
Giro del Mago
La procedura guidata guida gli utenti attraverso il processo di installazione degli agenti, raggruppamento ed etichettatura dei carichi di lavoro e creazione di una gerarchia per la loro organizzazione.
Prima di iniziare
I seguenti ruoli utente possono accedere alla procedura guidata:
- Super amministratore
- Amministratore
- Amministratore della sicurezza
- Operatore di sicurezza
Installare gli agenti
Per installare gli agenti software sui carichi di lavoro dell'applicazione:
- Apri la procedura guidata Cisco Secure Workload.
- Selezionare l'opzione per installare gli agenti.
- Seguire le istruzioni fornite dalla procedura guidata per completare il processo di installazione.
Raggruppa ed etichetta i tuoi carichi di lavoro
Per raggruppare ed etichettare i carichi di lavoro:
- Apri la procedura guidata Cisco Secure Workload.
- Seleziona l'opzione per raggruppare ed etichettare i tuoi carichi di lavoro.
- Seguire le istruzioni fornite dalla procedura guidata per creare un ramo dell'albero dell'ambito e assegnare etichette a ciascun gruppo.
Costruisci la gerarchia per la tua organizzazione
Per costruire una gerarchia per la tua organizzazione:
- Apri la procedura guidata Cisco Secure Workload.
- Seleziona l'opzione per creare la gerarchia per la tua organizzazione.
- Seguire le istruzioni fornite dalla procedura guidata per definire l'ambito interno, l'ambito del data center e l'ambito di pre-produzione.
Nota: I nomi degli ambiti devono essere brevi e significativi. Assicurarsi di non includere gli indirizzi di alcuna applicazione utilizzata per condurre attività commerciali effettive nell'ambito della pre-produzione.
Prima pubblicazione: Numero di telefono: 2023-04-12
Ultima modifica: Numero di telefono: 2023-05-19
Introduzione alla segmentazione
Tradizionalmente, la sicurezza della rete ha lo scopo di tenere le attività dannose fuori dalla tua rete con firewall attorno al bordo della tua rete. Tuttavia, devi anche proteggere la tua organizzazione dalle minacce che hanno violato la tua rete o hanno avuto origine al suo interno. La segmentazione (o microsegmentazione) della rete aiuta a proteggere i carichi di lavoro controllando il traffico tra i carichi di lavoro e altri host sulla rete; pertanto, consentire solo il traffico che la tua organizzazione richiederebbe per scopi aziendali e negare tutto il resto del traffico. Per esample, puoi utilizzare le policy per impedire tutte le comunicazioni tra i carichi di lavoro che ospitano il tuo file pubblico web applicazione di comunicare con il database di ricerca e sviluppo nel data center o per impedire ai carichi di lavoro non di produzione di contattare i carichi di lavoro di produzione. Cisco Secure Workload utilizza i dati di flusso dell'organizzazione per suggerire policy che puoi valutare e approvare prima di applicarle. In alternativa, puoi anche creare manualmente queste policy per segmentare la rete.
Informazioni su questa guida
Questo documento è applicabile per Secure Workload versione 3.8:
- Introduce i concetti chiave del carico di lavoro sicuro: segmentazione, etichette del carico di lavoro, ambiti, alberi dell'ambito gerarchico e individuazione dei criteri.
- Spiega il processo di creazione del primo ramo dell'albero dell'ambito utilizzando la procedura guidata per la prima esperienza utente e
- Descrive il processo automatizzato di generazione dei criteri per l'applicazione scelta in base ai flussi di traffico effettivi.
Giro del Mago
Prima di iniziare
I seguenti ruoli utente possono accedere alla procedura guidata:
- amministratore del sito
- assistenza clienti
- proprietario dell'ambito
Installare gli agenti
Figura 1: Finestra di benvenuto
Installare gli agenti
In Secure Workload, puoi installare agenti software sui carichi di lavoro delle tue applicazioni. Gli agenti software raccolgono informazioni sulle interfacce di rete e sui processi attivi in esecuzione sul sistema host.
Esistono due modi per installare gli agenti software:
- Programma di installazione script agente: utilizzare questo metodo per l'installazione, il monitoraggio e la risoluzione dei problemi durante l'installazione degli agenti software. Le piattaforme supportate sono Linux, Windows, Kubernetes, AIX e Solaris
- Programma di installazione dell'immagine dell'agente: scarica l'immagine dell'agente software per installare una versione e un tipo specifici di agente software per la tua piattaforma. Le piattaforme supportate sono Linux e Windows.
La procedura guidata di onboarding guida l'utente attraverso il processo di installazione degli agenti in base al metodo di installazione selezionato. Fare riferimento alle istruzioni di installazione sull'interfaccia utente e consultare la guida per l'utente per ulteriori dettagli sull'installazione degli agenti software.
Raggruppa ed etichetta i tuoi carichi di lavoro
Assegna etichette a un gruppo di carichi di lavoro per creare un ambito.
L'albero dell'ambito gerarchico aiuta a suddividere i carichi di lavoro in gruppi più piccoli. Il ramo più basso nell'albero dell'ambito è riservato alle singole applicazioni.
Selezionare un ambito padre dall'albero degli ambiti per creare un nuovo ambito. Il nuovo ambito conterrà un sottoinsieme dei membri dell'ambito padre.
In questa finestra puoi organizzare i tuoi carichi di lavoro in gruppi, disposti in una struttura gerarchica. La suddivisione della rete in gruppi gerarchici consente l'individuazione e la definizione di criteri flessibili e scalabili.
Le etichette sono parametri chiave che descrivono un carico di lavoro o un endpoint, è rappresentato come una coppia chiave-valore. La procedura guidata consente di applicare le etichette ai carichi di lavoro e quindi raggruppa queste etichette in gruppi denominati ambiti. I carichi di lavoro vengono raggruppati automaticamente in ambiti in base alle etichette associate. È possibile definire i criteri di segmentazione in base agli ambiti.
Passa il mouse sopra ogni blocco o ambito nell'albero per ulteriori informazioni sul tipo di carichi di lavoro o host che include.
Nota
Nella finestra Inizia con ambiti ed etichette, Organizzazione, Infrastruttura, Ambiente e Applicazione sono le chiavi e il testo nelle caselle grigie in linea con ogni chiave sono i valori.
Per esempioample, tutti i carichi di lavoro appartenenti all'Applicazione 1 sono definiti da questo set di etichette:
- Organizzazione = Interna
- Infrastruttura = Data Center
- Ambiente = Pre-produzione
- Applicazione = Applicazione 1
Il potere delle etichette e degli scope tree
Le etichette guidano la potenza di Secure Workload e l'albero degli ambiti creato dalle tue etichette è più di un semplice riepilogo della tua rete:
- Le etichette ti consentono di comprendere immediatamente le tue norme:
"Nega tutto il traffico dalla pre-produzione alla produzione"
Confronta questo con la stessa politica senza etichette:
"Nega tutto il traffico da 172.16.0.0/12 a 192.168.0.0/16" - Le policy basate sulle etichette si applicano automaticamente (o smettono di applicarsi) quando i carichi di lavoro etichettati vengono aggiunti (o rimossi dall'inventario). Nel tempo, questi raggruppamenti dinamici basati su etichette riducono notevolmente la quantità di lavoro necessaria per mantenere la distribuzione.
- I carichi di lavoro sono raggruppati in ambiti in base alle relative etichette. Questi raggruppamenti consentono di applicare facilmente i criteri ai carichi di lavoro correlati. Per esample, è possibile applicare facilmente i criteri a tutte le applicazioni nell'ambito della pre-produzione.
- Le policy create una volta in un singolo ambito possono essere applicate automaticamente a tutti i carichi di lavoro negli ambiti discendenti nell'albero, riducendo al minimo il numero di policy da gestire.
Puoi facilmente definire e applicare la politica in generale (ad esample, a tutti i carichi di lavoro dell'organizzazione) o in modo ristretto (solo ai carichi di lavoro che fanno parte di un'applicazione specifica) o a qualsiasi livello intermedio (ad es.ample, a tutti i carichi di lavoro nel data center. - Puoi assegnare la responsabilità di ciascun ambito a diversi amministratori, delegando la gestione delle policy alle persone che hanno più familiarità con ciascuna parte della tua rete.
Costruisci la gerarchia per la tua organizzazione
Inizia a costruire la tua gerarchia o albero dell'ambito, ciò comporta l'identificazione e la categorizzazione delle risorse, la determinazione dell'ambito, la definizione di ruoli e responsabilità, lo sviluppo di politiche e procedure per creare un ramo dell'albero dell'ambito.
La procedura guidata guida l'utente attraverso la creazione di un ramo dell'albero dell'ambito. Immettere gli indirizzi IP o le sottoreti per ogni ambito delineato in blu, le etichette vengono applicate automaticamente in base all'albero dell'ambito.
Prerequisiti:
- Raccogli indirizzi IP/sottoreti associati al tuo ambiente di pre-produzione, ai tuoi data center e alla tua rete interna.
- Raccogli quanti più indirizzi IP/sottoreti puoi, puoi aggiungere gli indirizzi IP/sottoreti aggiuntivi in un secondo momento.
- Successivamente, durante la creazione dell'albero, è possibile aggiungere indirizzi IP/sottoreti per gli altri ambiti nell'albero (i blocchi grigi).
Per creare l'albero dell'ambito, eseguire questi passaggi:
Definire l'ambito interno
L'ambito interno include tutti gli indirizzi IP che definiscono la rete interna dell'organizzazione, inclusi gli indirizzi IP pubblici e privati.
La procedura guidata ti guida attraverso l'aggiunta di indirizzi IP a ogni ambito nel ramo dell'albero. Man mano che si aggiungono indirizzi, la procedura guidata assegna etichette a ciascun indirizzo che ne definisce l'ambito.
Per esempioample, in questa finestra Impostazione ambito, la procedura guidata assegna l'etichetta
Organizzazione=Interna
a ciascun indirizzo IP.
Per impostazione predefinita, la procedura guidata aggiunge gli indirizzi IP nello spazio degli indirizzi Internet privato come definito in RFC 1918
Nota
Non è necessario inserire tutti gli indirizzi IP contemporaneamente, ma è necessario includere gli indirizzi IP associati all'applicazione scelta, è possibile aggiungere il resto degli indirizzi IP in un secondo momento.
Definire l'ambito del data center
Questo ambito include gli indirizzi IP che definiscono i data center locali. Inserisci gli indirizzi IP/le sottoreti che definiscono la tua rete interna
Nota I nomi degli ambiti devono essere brevi e significativi.
In questa finestra, inserisci gli indirizzi IP che hai inserito per l'organizzazione, questi indirizzi devono essere un sottoinsieme degli indirizzi per la tua rete interna. Se disponi di più data center, includili tutti in questo ambito in modo da poter definire un singolo set di criteri.
Nota
Puoi sempre aggiungere altri indirizzi in un secondo momentotage. Ad esempio, la procedura guidata assegna queste etichette a ciascuno degli indirizzi IP:
Organizzazione=Interna
Infrastruttura=Centri dati
Definire l'ambito di pre-produzione
Questo ambito include gli indirizzi IP di applicazioni e host non di produzione, come sviluppo, laboratorio, test o staging sistemi.
Nota
Assicurati di non includere gli indirizzi di alcuna applicazione utilizzata per condurre attività commerciali effettive, utilizzali per l'ambito di produzione che definirai in seguito.
Gli indirizzi IP che inserisci in questa finestra devono essere un sottoinsieme degli indirizzi che hai inserito per i tuoi data center, inclusi gli indirizzi dell'applicazione scelta. Idealmente, dovrebbero includere anche indirizzi di pre-produzione che non fanno parte dell'applicazione scelta.
Nota Puoi sempre aggiungere altri indirizzi in un secondo momentotage.
Review Struttura dell'ambito, ambiti ed etichette
Prima di iniziare a creare l'albero dell'ambito, review la gerarchia che puoi vedere nella finestra di sinistra. L'ambito principale mostra le etichette che sono state create automaticamente per tutti gli indirizzi IP e le subnet configurati. In un successivo stagDurante il processo, le applicazioni vengono aggiunte a questo albero dell'ambito.
Figura 2:
Puoi espandere e comprimere i rami e scorrere verso il basso per scegliere un ambito specifico. Nel riquadro di destra è possibile visualizzare gli indirizzi IP e le etichette assegnate ai carichi di lavoro per l'ambito specifico. In questa finestra puoi review, modificare l'albero dell'ambito prima di aggiungere un'applicazione a questo ambito.
Nota
Se lo desidera view queste informazioni dopo essere usciti dalla procedura guidata, scegliere Organizza > Ambiti e inventario dal menu principale,
Review Albero dell'ambito
Prima di iniziare a creare l'albero dell'ambito, review la gerarchia che puoi vedere nella finestra di sinistra. L'ambito principale mostra le etichette che sono state create automaticamente per tutti gli indirizzi IP e le subnet configurati. In un successivo stagDurante il processo, le applicazioni vengono aggiunte a questo albero dell'ambito.
Puoi espandere e comprimere i rami e scorrere verso il basso per scegliere un ambito specifico. Nel riquadro di destra è possibile visualizzare gli indirizzi IP e le etichette assegnate ai carichi di lavoro per l'ambito specifico. In questa finestra puoi review, modificare l'albero dell'ambito prima di aggiungere un'applicazione a questo ambito.
Nota
Se lo desidera view queste informazioni dopo aver chiuso la procedura guidata, scegliere Organizza > Ambiti e inventario dal menu principale.
Crea albero dell'ambito
Dopo che sei tornatoview l'albero dell'ambito, continuare con la creazione dell'albero dell'ambito.
Per informazioni sull'albero dell'ambito, vedere le sezioni Ambiti e Inventario nella guida per l'utente.
Prossimi passi
Installare gli agenti
Installa gli agenti SecureWorkload sui carichi di lavoro associati all'applicazione scelta. I dati raccolti dagli agenti vengono utilizzati per generare policy suggerite in base al traffico esistente sulla tua rete. Più dati vengono prodotti, più accurate sono le politiche. Per i dettagli, vedere la sezione Agenti software nella guida per l'utente di Secure Workload.
Aggiungi applicazione
Aggiungere la prima applicazione all'albero dell'ambito. Scegli un'applicazione di pre-produzione in esecuzione su macchine virtuali o bare metal nel tuo data center. Dopo aver aggiunto un'applicazione, puoi iniziare a scoprire i criteri per questa applicazione. Per ulteriori informazioni, consultare la sezione Ambiti e inventario della guida per l'utente di Secure Workload.
Impostare politiche comuni a livello interno
Applicare una serie di criteri comuni nell'ambito interno. Per esample, consenti solo il traffico attraverso determinate porte dalla tua rete verso l'esterno della tua rete.
Gli utenti possono definire i criteri manualmente utilizzando cluster, filtri di inventario e ambiti oppure questi possono essere rilevati e generati dai dati di flusso utilizzando un rilevamento automatico dei criteri.
Dopo aver installato gli agenti e concesso almeno alcune ore per l'accumulo dei dati del flusso di traffico, è possibile abilitare Secure Workload per generare ("rilevare") i criteri basati su tale traffico. Per i dettagli, vedere la sezione Individuazione automatica dei criteri della guida per l'utente di Secure Workload.
Applicare queste politiche nell'ambito interno (o interno o root) per eseguire efficacemente il review politiche.
Aggiungi connettore cloud
Se la tua organizzazione dispone di carichi di lavoro su AWS, Azure o GCP, utilizza un connettore cloud per aggiungere tali carichi di lavoro all'albero dell'ambito. Per ulteriori informazioni, consulta la sezione relativa ai connettori cloud della guida per l'utente di Secure Workload.
Flusso di lavoro di avvio rapido
| Fare un passo | Fai questo | Dettagli |
| 1 | (Facoltativo) Fai un tour annotato della procedura guidata | Tour del mago, a pagina 1 |
| 2 | Scegli un'applicazione per iniziare il tuo percorso di segmentazione. | Per ottenere i migliori risultati, seguire le linee guida in Scegli un Applicazione per questa procedura guidata, a pagina 10. |
| 3 | Raccogli gli indirizzi IP. | La procedura guidata richiederà 4 gruppi di indirizzi IP.
Per i dettagli, vedere Raccogliere indirizzi IP, a pagina 9. |
| 4 | Esegui la procedura guidata | A view requisiti e accedere alla procedura guidata, vedere Eseguire la procedura guidata, a pagina 11 |
| 5 | Installa gli agenti Secure Workload sui carichi di lavoro della tua applicazione. | Vedere Installa agenti. |
| 6 | Consenti agli agenti di raccogliere i dati sul flusso. | Più dati producono politiche più accurate.
Il tempo minimo richiesto dipende dall'utilizzo attivo dell'applicazione. |
| 7 | Genera ("scopri") criteri basati sui tuoi dati di flusso effettivi. | Vedere Genera automaticamente criteri. |
| 8 | Review le politiche generate. | Vedere Guarda le policy generate. |
Raccogli indirizzi IP
Avrai bisogno di almeno alcuni degli indirizzi IP in ogni punto elenco di seguito:
- Indirizzi che definiscono la tua rete interna Per impostazione predefinita, la procedura guidata utilizza gli indirizzi standard riservati per l'utilizzo privato di Internet.
- Indirizzi riservati ai tuoi data center.
Ciò non include gli indirizzi utilizzati dai computer dei dipendenti, servizi cloud o partner, servizi IT centralizzati, ecc. - Indirizzi che definiscono la tua rete non di produzione
- Indirizzi dei carichi di lavoro che compongono l'applicazione non di produzione scelta
Per ora, non è necessario disporre di tutti gli indirizzi per ciascuno dei punti sopra; puoi sempre aggiungere altri indirizzi in un secondo momento.
Importante
Poiché ognuno dei 4 punti rappresenta un sottoinsieme degli indirizzi IP del punto sopra di esso, ogni indirizzo IP in ogni punto deve essere incluso anche tra gli indirizzi IP del punto sopra nell'elenco.
Scegli un'applicazione per questa procedura guidata
Per questa procedura guidata, scegli una singola applicazione.
Un'applicazione è in genere costituita da più carichi di lavoro che forniscono servizi diversi, ad esempio web servizi o database, server primari e di backup, ecc. Insieme, questi carichi di lavoro forniscono la funzionalità dell'applicazione ai suoi utenti.
Linee guida per la scelta dell'applicazione
SecureWorkload supporta carichi di lavoro in esecuzione su un'ampia gamma di piattaforme e sistemi operativi, inclusi carichi di lavoro basati su cloud e containerizzati. Tuttavia, per questa procedura guidata, scegli un'applicazione con carichi di lavoro che sono:
- In esecuzione nel tuo data center.
- Esecuzione su macchine bare metal e/o virtuali.
- In esecuzione su piattaforme Windows, Linux o AIX supportate con agenti Secure Workload, vedere https://www.cisco.com/go/secure-workload/requirements/agents.
- Distribuito in un ambiente di pre-produzione.
Nota
È possibile eseguire la procedura guidata anche se non si è scelta un'applicazione e non si sono raccolti gli indirizzi IP, ma non è possibile completare la procedura guidata senza eseguire queste operazioni.
Nota
Se non si completa la procedura guidata prima della disconnessione (o del timeout) o si passa a una parte diversa dell'applicazione Secure Workload (utilizzare la barra di navigazione a sinistra), le configurazioni della procedura guidata non vengono salvate.
Per informazioni dettagliate su come aggiungere un ambito/aggiungere ambito ed etichette, consultare la sezione Ambiti e inventario della Guida per l'utente di Cisco Secure Workload.
Esegui la procedura guidata
Puoi eseguire la procedura guidata indipendentemente dal fatto che tu abbia scelto o meno un'applicazione e raccolto gli indirizzi IP, ma non sarai in grado di completare la procedura guidata senza eseguire queste operazioni.
Importante
Se non si completa la procedura guidata prima della disconnessione (o del timeout) di Secure Workload o se si passa a una parte diversa dell'applicazione utilizzando la barra di navigazione a sinistra, le configurazioni della procedura guidata non vengono salvate.
Prima di iniziare
I seguenti ruoli utente possono accedere alla procedura guidata:
Procedura
- Passo 1
Accedi a Secure Workload. - Passo 2
Avvia la procedura guidata:
Se al momento non hai definito alcun ambito, la procedura guidata viene visualizzata automaticamente quando accedi a Secure Workload.
In alternativa:
- Fare clic sul collegamento Esegui la procedura guidata ora nel banner blu nella parte superiore di qualsiasi pagina.
- Scegli oltreview dal menu principale sul lato sinistro della finestra.
- Passo 3
La procedura guidata spiegherà le cose che devi sapere.
Non perdere i seguenti elementi utili:- Passa il mouse sopra gli elementi grafici nella procedura guidata per leggerne le descrizioni.
- Fare clic su qualsiasi collegamento e pulsante informativo (
) per informazioni importanti.
(Facoltativo) Per ricominciare, reimpostare l'albero dell'ambito
È possibile eliminare gli ambiti, le etichette e l'albero degli ambiti creati utilizzando la procedura guidata e, facoltativamente, eseguire nuovamente la procedura guidata.
Mancia
Se si desidera rimuovere solo alcuni degli ambiti creati e non si desidera eseguire nuovamente la procedura guidata, è possibile eliminare singoli ambiti invece di reimpostare l'intero albero: fare clic su un ambito da eliminare, quindi fare clic su Elimina.
Prima di iniziare
Sono richiesti i privilegi del proprietario dell'ambito per l'ambito radice.
Se hai creato ulteriori aree di lavoro, criteri o altre dipendenze, consulta la Guida per l'utente in Secure Workload per informazioni complete sulla reimpostazione della struttura ad albero.
Procedura
- Passaggio 1 Dal menu di navigazione a sinistra, scegliere Organizza > Ambiti e inventario .
- Passaggio 2 Fare clic sull'ambito nella parte superiore dell'albero.
- Passaggio 3 Fare clic su Reimposta.
- Passaggio 4 Conferma la tua scelta.
- Passaggio 5 Se il pulsante Reimposta cambia in Destroy Pending, potrebbe essere necessario aggiornare la pagina del browser.
Ulteriori informazioni
Per ulteriori informazioni sui concetti della procedura guidata, vedere:
- La guida in linea in Secure Workload
- Il PDF della Guida per l'utente di Secure Workload per la tua versione, disponibile da https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html
© 2022 Cisco Systems, Inc. Tutti i diritti riservati.
Documenti / Risorse
 |
Software per carico di lavoro sicuro CISCO [pdf] Guida utente Versione 3.8, Software carico di lavoro sicuro, Carico di lavoro sicuro, Software |
 |
Software per carico di lavoro sicuro CISCO [pdf] Guida utente 3.8.1.53, 3.8.1.1, Software per carichi di lavoro sicuri, Sicuro, Software per carichi di lavoro, Software |
