コンテンツ 隠れる
1 CISCO セキュア ワークロード ソフトウェア
2 セグメンテーションの概要
3 エージェントのインストール
4 クイックスタートワークフロー
5 手順
6 詳細情報
7 ドキュメント / リソース
7.1 参考文献
8 関連記事

CISCO ロゴ

CISCO セキュア ワークロード ソフトウェア

CISCO セキュア ワークロード ソフトウェア-FIG2

Cisco Secure Workload リリース 3.8 クイック スタート ガイド

Cisco Secure Workload は、ユーザがアプリケーション ワークロードにソフトウェア エージェントをインストールできるようにするソフトウェアです。 ソフトウェア エージェントは、ネットワーク インターフェイスとホスト システム上で実行されているアクティブなプロセスに関する情報を収集します。

セグメンテーションの概要

Cisco Secure Workload のセグメンテーション機能を使用すると、ユーザはワークロードをグループ化してラベルを付けることができます。 これは、各グループのポリシーと手順を定義し、グループ間の安全な通信を確保するのに役立ちます。

このガイドについて

このガイドは、Cisco Secure Workload リリース 3.8 のクイック スタート ガイドです。 オーバーを提供しますview ウィザードの説明に従って、エージェントのインストール、ワークロードのグループ化とラベル付け、組織の階層の構築のプロセスをユーザーに案内します。

ウィザードのツアー

このウィザードは、エージェントのインストール、ワークロードのグループ化とラベル付け、組織の階層の構築のプロセスをユーザーにガイドします。

始める前に

次のユーザー ロールがウィザードにアクセスできます。

  • スーパー管理者
  • 管理者
  • セキュリティ管理者
  • 警備員

エージェントのインストール

アプリケーションのワークロードにソフトウェア エージェントをインストールするには、次の手順を実行します。

  1. Cisco Secure Workload ウィザードを開きます。
  2. エージェントをインストールするオプションを選択します。
  3. ウィザードの指示に従って、インストール プロセスを完了します。

ワークロードをグループ化してラベルを付ける

ワークロードをグループ化してラベルを付けるには:

  1. Cisco Secure Workload ウィザードを開きます。
  2. ワークロードをグループ化してラベルを付けるオプションを選択します。
  3. ウィザードの指示に従ってスコープ ツリーのブランチを作成し、各グループにラベルを割り当てます。

組織の階層を構築する

組織の階層を構築するには:

  1. Cisco Secure Workload ウィザードを開きます。
  2. 組織の階層を構築するオプションを選択します。
  3. ウィザードの指示に従って、内部スコープ、データセンター スコープ、および実稼働前スコープを定義します。

注記: スコープ名は短くて意味のあるものにする必要があります。 実稼働前スコープで実際のビジネスを行うために使用されるアプリケーションのアドレスを含めないように注意してください。

初版: 2023-04-12
最終更新日: 2023-05-19

セグメンテーションの概要

従来、ネットワーク セキュリティは、ネットワークのエッジの周囲にファイアウォールを設置し、悪意のあるアクティビティをネットワークから遮断することを目的としていました。 ただし、ネットワークに侵入した、またはネットワーク内で発生した脅威から組織を保護する必要もあります。 ネットワークのセグメンテーション (またはマイクロセグメンテーション) は、ワークロードとネットワーク上の他のホスト間のトラフィックを制御することにより、ワークロードを保護するのに役立ちます。 したがって、組織がビジネス目的で必要とするトラフィックのみを許可し、その他のトラフィックはすべて拒否します。 元の場合ampファイルでは、ポリシーを使用して、一般向けのワークロードをホストするワークロード間のすべての通信を防止できます。 web アプリケーションがデータセンター内の研究開発データベースと通信しないようにしたり、非実稼働ワークロードが実稼働ワークロードに接続したりするのを防ぎます。 Cisco Secure Workload は、組織のフロー データを使用して、ポリシーを適用する前に評価および承認できるポリシーを提案します。 あるいは、ネットワークをセグメント化するためにこれらのポリシーを手動で作成することもできます。

このガイドについて

このドキュメントは、Secure Workload リリース 3.8 に適用されます。

  • セグメンテーション、ワークロード ラベル、スコープ、階層スコープ ツリー、ポリシー検出といったセキュア ワークロードの主要な概念を紹介します。
  • 初回ユーザー エクスペリエンス ウィザードを使用してスコープ ツリーの最初のブランチを作成するプロセスについて説明します。
  • 実際のトラフィック フローに基づいて、選択したアプリケーションのポリシーを生成する自動化プロセスについて説明します。

ウィザードのツアー

始める前に
次のユーザー ロールがウィザードにアクセスできます。

  • サイト管理者
  • カスタマーサポート
  • スコープ所有者

エージェントのインストール

図 1: ようこそウィンドウ

CISCO セキュア ワークロード ソフトウェア-FIG1

エージェントのインストール
Secure Workload では、アプリケーション ワークロードにソフトウェア エージェントをインストールできます。 ソフトウェア エージェントは、ネットワーク インターフェイスとホスト システム上で実行されているアクティブなプロセスに関する情報を収集します。

CISCO セキュア ワークロード ソフトウェア-FIG3

ソフトウェア エージェントをインストールするには XNUMX つの方法があります。

  • エージェント スクリプト インストーラー - ソフトウェア エージェントのインストール、追跡、およびインストール時の問題のトラブルシューティングにこの方法を使用します。 サポートされているプラ​​ットフォームは、Linux、Windows、Kubernetes、AIX、および Solaris です。
  • エージェント イメージ インストーラー - ソフトウェア エージェント イメージをダウンロードして、プラットフォームに特定のバージョンと種類のソフトウェア エージェントをインストールします。 サポートされているプラ​​ットフォームは Linux と Windows です。

オンボーディング ウィザードでは、選択したインストーラー方法に基づいてエージェントをインストールするプロセスを案内します。 ソフトウェア エージェントのインストールの詳細については、UI のインストール手順を参照し、ユーザー ガイドを参照してください。

ワークロードをグループ化してラベルを付ける

ワークロードのグループにラベルを割り当ててスコープを作成します。
階層的なスコープ ツリーは、ワークロードを小さなグループに分割するのに役立ちます。 スコープ ツリーの最下位のブランチは、個々のアプリケーション用に予約されています。
スコープ ツリーから親スコープを選択して、新しいスコープを作成します。 新しいスコープには、親スコープのメンバーのサブセットが含まれます。

CISCO セキュア ワークロード ソフトウェア-FIG4

このウィンドウでは、ワークロードをグループに編成し、階層構造に配置できます。 ネットワークを階層グループに分割すると、柔軟でスケーラブルなポリシーの検出と定義が可能になります。
ラベルはワークロードまたはエンドポイントを説明するキー パラメーターであり、キーと値のペアとして表されます。 ウィザードは、ラベルをワークロードに適用し、これらのラベルをスコープと呼ばれるグループにグループ化するのに役立ちます。 ワークロードは、関連付けられたラベルに基づいてスコープに自動的にグループ化されます。 スコープに基づいてセグメンテーション ポリシーを定義できます。
ツリー内の各ブロックまたはスコープにカーソルを合わせると、それに含まれるワークロードまたはホストのタイプに関する詳細が表示されます。

注記

[スコープとラベルの開始] ウィンドウでは、組織、インフラストラクチャ、環境、およびアプリケーションがキーであり、各キーの横にある灰色のボックス内のテキストが値です。
例えばampファイルでは、アプリケーション 1 に属するすべてのワークロードは、次のラベルのセットによって定義されます。

  • 組織 = 内部
  • インフラストラクチャ = データセンター
  • 環境 = 実稼働前
  • アプリケーション = アプリケーション 1

ラベルとスコープツリーの力

ラベルは Secure Workload の機能を推進し、ラベルから作成されたスコープ ツリーは単なるネットワークの概要以上の役割を果たします。

  • ラベルを使用すると、ポリシーを即座に理解できます。
    「本番前から本番までのすべてのトラフィックを拒否」
    これをラベルのない同じポリシーと比較します。
    「172.16.0.0/12 から 192.168.0.0/16 までのすべてのトラフィックを拒否します」
  • ラベル付きワークロードがインベントリに追加される (またはインベントリから削除される) と、ラベルに基づくポリシーが自動的に適用されます (または適用が停止されます)。 時間が経つにつれて、ラベルに基づくこれらの動的なグループ化により、展開を維持するために必要な労力が大幅に削減されます。
  • ワークロードは、ラベルに基づいてスコープにグループ化されます。 これらのグループ化により、関連するワークロードにポリシーを簡単に適用できます。 元の場合ampファイルを使用すると、運用前スコープ内のすべてのアプリケーションにポリシーを簡単に適用できます。
  • 単一スコープ内で一度作成されたポリシーは、ツリー内の子孫スコープ内のすべてのワークロードに自動的に適用できるため、管理する必要があるポリシーの数が最小限に抑えられます。
    ポリシーを簡単に定義して広範に適用できます (例:ampファイル (組織内のすべてのワークロード)、または狭い範囲 (特定のアプリケーションの一部であるワークロードのみ)、またはその中間のレベル (例:ampデータセンター内のすべてのワークロードにファイルを送信します。
  • 各スコープの責任を異なる管理者に割り当て、ネットワークの各部分に最も精通している人にポリシー管理を委任できます。

組織の階層を構築する

階層またはスコープ ツリーの構築を開始します。これには、資産の特定と分類、スコープの決定、役割と責任の定義、スコープ ツリーのブランチを作成するためのポリシーと手順の開発が含まれます。

CISCO セキュア ワークロード ソフトウェア-FIG5

ウィザードの指示に従って、スコープ ツリーのブランチを作成します。 青い枠で囲まれたスコープごとに IP アドレスまたはサブネットを入力すると、スコープ ツリーに基づいてラベルが自動的に適用されます。

前提条件:

  • 運用前環境、データセンター、内部ネットワークに関連付けられた IP アドレス/サブネットを収集します。
  • できるだけ多くの IP アドレス/サブネットを収集します。後で追加の IP アドレス/サブネットを収集できます。
  • 後でツリーを構築するときに、ツリー内の他のスコープ (灰色のブロック) の IP アドレス/サブネットを追加できます。

スコープ ツリーを作成するには、次の手順を実行します。

内部スコープを定義する
内部スコープには、パブリック IP アドレスとプライベート IP アドレスを含む、組織の内部ネットワークを定義するすべての IP アドレスが含まれます。
ウィザードの手順に従って、ツリー ブランチ内の各スコープに IP アドレスを追加します。 アドレスを追加すると、ウィザードはスコープを定義する各アドレスにラベルを割り当てます。

例えばampこのスコープ設定ウィンドウでは、ウィザードによってラベルが割り当てられます。
組織=社内

各IPアドレスに送信します。
デフォルトでは、ウィザードは RFC 1918 で定義されているプラ​​イベート インターネット アドレス空間に IP アドレスを追加します。

注記
すべての IP アドレスを一度に入力する必要はありませんが、選択したアプリケーションに関連付けられた IP アドレスを含める必要があります。残りの IP アドレスは後で追加できます。

データセンターの範囲を定義する
この範囲には、オンプレミスのデータセンターを定義する IP アドレスが含まれます。 内部ネットワークを定義する IP アドレス/サブネットを入力します

注記 スコープ名は短くて意味のあるものにする必要があります。

このウィンドウで、組織に対して入力した IP アドレスを入力します。これらのアドレスは、内部ネットワークのアドレスのサブセットである必要があります。 複数のデータセンターがある場合は、それらすべてをこのスコープに含めて、単一セットのポリシーを定義できるようにします。

注記

後でいつでもアドレスを追加できます。tage. たとえば、ウィザードは次のラベルを各 IP アドレスに割り当てます。
組織=社内
インフラストラクチャ=データセンター

実稼働前範囲の定義
この範囲には、開発、ラボ、テストなどの非運用アプリケーションおよびホストの IP アドレスが含まれます。tagシステムを構築しています。

注記
実際のビジネスを行うために使用されるアプリケーションのアドレスを含めないようにしてください。後で定義する運用スコープに使用してください。

このウィンドウに入力する IP アドレスは、データ センター用に入力したアドレスのサブセットである必要があり、選択したアプリケーションのアドレスも含まれます。 理想的には、選択したアプリケーションの一部ではない実稼働前アドレスも含める必要があります。

注記 後でいつでもアドレスを追加できます。tage.

CISCO セキュア ワークロード ソフトウェア-FIG6

Review スコープ ツリー、スコープ、ラベル
スコープ ツリーの作成を開始する前に、view 左側のウィンドウに表示される階層。 ルート スコープには、構成されたすべての IP アドレスとサブネットに対して自動的に作成されたラベルが表示されます。 後でtagその過程で、アプリケーションがこのスコープ ツリーに追加されます。
図2:

CISCO セキュア ワークロード ソフトウェア-FIG7

ブランチを展開したり折りたたんだり、下にスクロールして特定のスコープを選択したりできます。 右側のペインには、特定のスコープのワークロードに割り当てられた IP アドレスとラベルが表示されます。 このウィンドウでは、次の操作を行うことができますview、アプリケーションをこのスコープに追加する前に、スコープ ツリーを変更します。

注記
あなたがしたい場合は view この情報は、ウィザードを終了した後、メイン メニューから [整理] > [スコープとインベントリ] を選択します。

Review スコープツリー

スコープ ツリーの作成を開始する前に、view 左側のウィンドウに表示される階層。 ルート スコープには、構成されたすべての IP アドレスとサブネットに対して自動的に作成されたラベルが表示されます。 後でtagその過程で、アプリケーションがこのスコープ ツリーに追加されます。

CISCO セキュア ワークロード ソフトウェア-FIG8

ブランチを展開したり折りたたんだり、下にスクロールして特定のスコープを選択したりできます。 右側のペインには、特定のスコープのワークロードに割り当てられた IP アドレスとラベルが表示されます。 このウィンドウでは、次の操作を行うことができますview、アプリケーションをこのスコープに追加する前に、スコープ ツリーを変更します。

注記
あなたがしたい場合は view この情報は、ウィザードを終了した後、メイン メニューから [整理] > [スコープとインベントリ] を選択します。

スコープツリーの作成

あなたが再した後view スコープ ツリーを作成するには、スコープ ツリーの作成を続けます。

CISCO セキュア ワークロード ソフトウェア-FIG9

スコープ ツリーの詳細については、ユーザー ガイドの「スコープ」および「インベントリ」セクションを参照してください。

次のステップ

エージェントのインストール
選択したアプリケーションに関連付けられたワークロードに SecureWorkload エージェントをインストールします。エージェントが収集したデータは、ネットワーク上の既存のトラフィックに基づいて推奨ポリシーを生成するために使用されます。 データが多ければ多いほど、より正確なポリシーが作成されます。 詳細については、Secure Workload ユーザー ガイドの「ソフトウェア エージェント」セクションを参照してください。

アプリケーションを追加
最初のアプリケーションをスコープ ツリーに追加します。 データセンター内のベアメタルまたは仮想マシン上で実行される実稼働前アプリケーションを選択します。 アプリケーションを追加した後、このアプリケーションのポリシーの検出を開始できます。 詳細については、Secure Workload ユーザー ガイドの「スコープとインベントリ」セクションを参照してください。

内部スコープでの共通ポリシーの設定
一連の共通ポリシーを内部スコープで適用します。 元の場合ampファイルでは、ネットワークからネットワーク外への特定のポートを通過するトラフィックのみを許可します。
ユーザーは、クラスター、インベントリ フィルター、スコープを使用してポリシーを手動で定義することも、自動ポリシー検出を使用してフロー データからポリシーを検出して生成することもできます。
エージェントをインストールし、トラフィック フロー データが蓄積されるまで少なくとも数時間待った後、Secure Workload を有効にして、そのトラフィックに基づいてポリシーを生成 (「検出」) できます。 詳細については、Secure Workload ユーザー ガイドの「ポリシーの自動検出」セクションを参照してください。
これらのポリシーを内部 (または内部またはルート) スコープで適用して、効果的にview ポリシー。

クラウドコネクタの追加
組織に AWS、Azure、または GCP 上にワークロードがある場合は、クラウド コネクタを使用してそれらのワークロードをスコープ ツリーに追加します。 詳細については、Secure Workload ユーザー ガイドの「クラウド コネクタ」セクションを参照してください。

クイックスタートワークフロー

ステップ これをする 詳細
1 (オプション) ウィザードの注釈付きツアーに参加する ウィザードのツアー(1 ページ)
2 アプリケーションを選択してセグメンテーションの取り組みを始めましょう。 最良の結果を得るには、次のガイドラインに従ってください。 選択してください このウィザードのアプリケーション, (10 ページ).
3 IP アドレスを収集します。 ウィザードは 4 つの IP アドレス グループを要求します。

詳細については、 IP アドレスの収集, (9 ページ).
4 ウィザードを実行する に view 要件を確認してウィザードにアクセスする場合は、を参照してください。 ウィザードの実行, (11 ページ)
5 Secure Workload エージェントをアプリケーションのワークロードにインストールします。 「エージェントのインストール」を参照してください。
6 エージェントがフロー データを収集する時間を確保します。 より多くのデータがより正確なポリシーを生み出します。

必要な最小時間は、アプリケーションがどの程度頻繁に使用されるかによって異なります。
7 実際のフロー データに基づいてポリシーを生成 (「検出」) します。 「ポリシーの自動生成」を参照してください。
8 Review 生成されたポリシー。 「生成されたポリシーを確認する」を参照してください。

IPアドレスを収集する
以下の各箇条書きにある IP アドレスの少なくとも一部が必要になります。

  • 内部ネットワークを定義するアドレス デフォルトでは、ウィザードはプライベート インターネット用に予約されている標準アドレスを使用します。
  • データセンター用に予約されているアドレス。
    これには、従業員のコンピュータ、クラウドまたはパートナー サービス、集中型 IT サービスなどで使用されるアドレスは含まれません。
  • 非運用ネットワークを定義するアドレス
  • 選択した非実稼働アプリケーションを構成するワークロードのアドレス
    現時点では、上記の各箇条書きのすべてのアドレスを持っている必要はありません。 後でいつでもアドレスを追加できます。

重要
4 つの箇条書きはそれぞれ、その上の箇条書きの IP アドレスのサブセットを表すため、各箇条書きの各 IP アドレスは、リスト内のその上の箇条書きの IP アドレスにも含まれている必要があります。

このウィザードのアプリケーションを選択してください
このウィザードでは、アプリケーションを XNUMX つ選択します。
通常、アプリケーションは、次のようなさまざまなサービスを提供する複数のワークロードで構成されます。 web これらのワークロードが連携して、アプリケーションの機能をユーザーに提供します。

CISCO セキュア ワークロード ソフトウェア-FIG10

アプリケーションを選択するためのガイドライン
SecureWorkload は、クラウドベースやコンテナ化されたワークロードを含む、幅広いプラットフォームやオペレーティング システム上で実行されるワークロードをサポートします。 ただし、このウィザードでは、次のようなワークロードを持つアプリケーションを選択します。

  • データセンターで稼働します。
  • ベアメタルおよび/または仮想マシン上で実行されます。
  • Secure Workload エージェントでサポートされている Windows、Linux、または AIX プラットフォームで実行する場合は、を参照してください。 https://www.cisco.com/go/secure-workload/requirements/agents.
  • 実稼働前環境にデプロイされます。

注記
アプリケーションを選択して IP アドレスを収集していなくてもウィザードを実行できますが、これらの作業を行わないとウィザードを完了できません。

注記
サインアウト (またはタイムアウト) する前にウィザードを完了しない場合、またはセキュア ワークロード アプリケーションの別の部分に移動する (左側のナビゲーション バーを使用する) 場合、ウィザード構成は保存されません。

スコープの追加/スコープとラベルの追加方法の詳細については、『Cisco Secure Workload User Guide』の「スコープとインベントリ」セクションを参照してください。

ウィザードを実行する

アプリケーションを選択して IP アドレスを収集したかどうかに関係なくウィザードを実行できますが、これらの作業を行わずにウィザードを完了することはできません。

重要
Secure Workload からサインアウト (またはタイムアウト) する前にウィザードを完了しなかった場合、または左側のナビゲーション バーを使用してアプリケーションの別の部分に移動した場合、ウィザード構成は保存されません。

始める前に
次のユーザー ロールがウィザードにアクセスできます。

手順

  • ステップ1
    Secure Workload にサインインします。
  • ステップ2
    ウィザードを開始します。
    現在スコープが定義されていない場合は、Secure Workload にサインインするとウィザードが自動的に表示されます。

あるいは:

  • 任意のページの上部にある青いバナーにある「今すぐウィザードを実行」リンクをクリックします。
  • 選択するview ウィンドウの左側にあるメインメニューから。
  • ステップ3
    ウィザードは、知っておくべきことを説明します。
    次の役立つ要素をお見逃しなく。
    • ウィザード内のグラフィック要素の上にマウスを置くと、その説明が表示されます。
    • リンクと情報ボタン (CISCO セキュア ワークロード ソフトウェア-FIG11 ) 重要な情報については。

(オプション) やり直すには、スコープ ツリーをリセットします

ウィザードを使用して作成したスコープ、ラベル、およびスコープ ツリーを削除し、必要に応じてウィザードを再度実行することができます。

ヒント
作成したスコープの一部のみを削除し、ウィザードを再度実行したくない場合は、ツリー全体をリセットする代わりに、個々のスコープを削除できます。削除するスコープをクリックし、[削除] をクリックします。

始める前に
ルート スコープのスコープ所有者権限が必要です。
追加のワークスペース、ポリシー、またはその他の依存関係を作成した場合、スコープ ツリーのリセットに関する詳細については、Secure Workload のユーザー ガイドを参照してください。

手順

  • ステップ 1 左側のナビゲーション メニューから、[Organize] > [Scopes and Inventory] ​​を選択します。
  • ステップ 2 ツリーの上部にあるスコープをクリックします。
  • ステップ 3 [リセット]をクリックします。
  • ステップ 4 選択を確認します。
  • ステップ 5 [リセット] ボタンが [保留中の破棄] に変わった場合は、ブラウザ ページを更新する必要がある場合があります。

詳細情報

ウィザードの概念の詳細については、次を参照してください。

© 2022 Cisco Systems, Inc. 無断複写・転載を禁じます。

ドキュメント / リソース

CISCO セキュア ワークロード ソフトウェア [pdf] ユーザーガイド
リリース 3.8、セキュア ワークロード ソフトウェア、セキュア ワークロード、ソフトウェア
CISCO セキュア ワークロード ソフトウェア [pdf] ユーザーガイド
3.8.1.53、3.8.1.1、セキュアなワークロード ソフトウェア、セキュア、ワークロード ソフトウェア、ソフトウェア

参考文献

関連記事

コメントを残す

あなたのメールアドレスは公開されません。 必須項目はマークされています *