CISCO 보안 워크로드 소프트웨어 사용 설명서

내용물 숨다

1 CISCO 보안 워크로드 소프트웨어

2 세분화 소개

CISCO 보안 워크로드 소프트웨어

릴리스 3.8용 Cisco Secure Workload 빠른 시작 가이드

Cisco Secure Workload는 사용자가 애플리케이션 워크로드에 소프트웨어 에이전트를 설치할 수 있게 해주는 소프트웨어입니다. 소프트웨어 에이전트는 호스트 시스템에서 실행 중인 네트워크 인터페이스 및 활성 프로세스에 대한 정보를 수집합니다.

세분화 소개

Cisco Secure Workload의 분할 기능을 통해 사용자는 작업 부하를 그룹화하고 레이블을 지정할 수 있습니다. 이는 각 그룹의 정책과 절차를 정의하고 그룹 간의 안전한 통신을 보장하는 데 도움이 됩니다.

이 가이드에 대해

이 가이드는 Cisco Secure Workload Release 3.8에 대한 빠른 시작 가이드입니다. 이상을 제공합니다.view 마법사를 사용하여 에이전트 설치, 워크로드 그룹화 및 레이블 지정, 조직의 계층 구조 구축 프로세스를 사용자에게 안내합니다.

마법사 투어

마법사는 에이전트 설치, 워크로드 그룹화 및 레이블 지정, 조직의 계층 구조 구축 과정을 사용자에게 안내합니다.

시작하기 전에

다음 사용자 역할은 마법사에 액세스할 수 있습니다.

슈퍼 관리자
관리자

보안 관리자
보안 운영자

에이전트 설치

애플리케이션 워크로드에 소프트웨어 에이전트를 설치하려면 다음을 수행하세요.

Cisco Secure Workload 마법사를 엽니다.
에이전트를 설치하는 옵션을 선택합니다.

마법사가 제공하는 지침에 따라 설치 프로세스를 완료합니다.

워크로드를 그룹화하고 라벨을 지정하세요.

워크로드를 그룹화하고 라벨을 지정하려면 다음 안내를 따르세요.

Cisco Secure Workload 마법사를 엽니다.

워크로드를 그룹화하고 라벨을 지정하는 옵션을 선택하세요.
마법사가 제공하는 지침에 따라 범위 트리의 분기를 만들고 각 그룹에 레이블을 할당합니다.

조직의 계층 구조 구축

조직의 계층 구조를 구축하려면 다음을 수행하세요.

Cisco Secure Workload 마법사를 엽니다.
조직의 계층 구조를 구축하는 옵션을 선택하세요.

마법사가 제공하는 지침에 따라 내부 범위, 데이터 센터 범위 및 사전 프로덕션 범위를 정의합니다.

메모: 범위 이름은 짧고 의미가 있어야 합니다. 프로덕션 전 범위에서 실제 비즈니스를 수행하는 데 사용되는 애플리케이션의 주소를 포함하지 않도록 하세요.

첫 번째 출판: 2023-04-12
최종 수정: 2023-05-19

세분화 소개

전통적으로 네트워크 보안은 네트워크 가장자리에 방화벽을 설치하여 네트워크에서 악의적인 활동을 차단하는 것을 목표로 합니다. 그러나 네트워크를 침해했거나 네트워크 내에서 발생하는 위협으로부터 조직을 보호해야 합니다. 네트워크 세분화(또는 마이크로 세분화)는 워크로드와 네트워크의 다른 호스트 간의 트래픽을 제어하여 워크로드를 보호하는 데 도움이 됩니다. 따라서 조직에서 비즈니스 목적으로 필요한 트래픽만 허용하고 다른 트래픽은 모두 거부합니다. 예를 들어amp파일을 사용하면 공개 대상을 호스팅하는 워크로드 간의 모든 통신을 차단하는 정책을 사용할 수 있습니다. web 애플리케이션이 데이터 센터의 연구 및 개발 데이터베이스와 통신하지 못하게 하거나 비프로덕션 워크로드가 프로덕션 워크로드에 접근하는 것을 방지합니다. Cisco Secure Workload는 조직의 흐름 데이터를 사용하여 정책을 시행하기 전에 평가하고 승인할 수 있는 정책을 제안합니다. 또는 네트워크 분할을 위해 이러한 정책을 수동으로 생성할 수도 있습니다.

이 가이드에 대해

이 문서는 Secure Workload 릴리스 3.8에 적용됩니다.

분할, 워크로드 레이블, 범위, 계층적 범위 트리 및 정책 검색과 같은 주요 보안 워크로드 개념을 소개합니다.
최초 사용자 경험 마법사를 사용하여 범위 트리의 첫 번째 분기를 생성하는 프로세스를 설명하고
실제 트래픽 흐름을 기반으로 선택한 애플리케이션에 대한 정책을 생성하는 자동화된 프로세스를 설명합니다.

마법사 투어

시작하기 전에
다음 사용자 역할은 마법사에 액세스할 수 있습니다.

사이트 관리자
고객 지원
범위 소유자

에이전트 설치

그림 1: 시작 창

에이전트 설치
Secure Workload에서는 애플리케이션 워크로드에 소프트웨어 에이전트를 설치할 수 있습니다. 소프트웨어 에이전트는 호스트 시스템에서 실행 중인 네트워크 인터페이스 및 활성 프로세스에 대한 정보를 수집합니다.

소프트웨어 에이전트를 설치하는 방법에는 두 가지가 있습니다.

에이전트 스크립트 설치 프로그램 - 소프트웨어 에이전트를 설치하는 동안 문제를 설치, 추적 및 해결하려면 이 방법을 사용하십시오. 지원되는 플랫폼은 Linux, Windows, Kubernetes, AIX 및 Solaris입니다.
에이전트 이미지 설치 프로그램 - 소프트웨어 에이전트 이미지를 다운로드하여 플랫폼에 맞는 특정 버전 및 유형의 소프트웨어 에이전트를 설치합니다. 지원되는 플랫폼은 Linux와 Windows입니다.

온보딩 마법사는 선택한 설치 프로그램 방법에 따라 에이전트를 설치하는 과정을 안내합니다. 소프트웨어 에이전트 설치에 대한 자세한 내용은 UI의 설치 지침을 참조하고 사용자 가이드를 참조하세요.

워크로드를 그룹화하고 라벨을 지정하세요.

범위를 생성하려면 워크로드 그룹에 라벨을 할당하세요.
계층적 범위 트리는 작업 부하를 더 작은 그룹으로 나누는 데 도움이 됩니다. 범위 트리의 가장 낮은 분기는 개별 애플리케이션용으로 예약되어 있습니다.
범위 트리에서 상위 범위를 선택하여 새 범위를 만듭니다. 새 범위에는 상위 범위의 구성원 하위 집합이 포함됩니다.

이 창에서는 작업 부하를 계층 구조로 배열된 그룹으로 구성할 수 있습니다. 네트워크를 계층적 그룹으로 나누면 유연하고 확장 가능한 정책 검색 및 정의가 가능합니다.
레이블은 워크로드 또는 엔드포인트를 설명하는 주요 매개변수이며 키-값 쌍으로 표시됩니다. 마법사는 워크로드에 레이블을 적용한 다음 이러한 레이블을 범위라는 그룹으로 그룹화하는 데 도움이 됩니다. 워크로드는 관련 라벨을 기준으로 범위로 자동 그룹화됩니다. 범위를 기반으로 분할 정책을 정의할 수 있습니다.
포함된 워크로드 또는 호스트 유형에 대한 자세한 내용을 보려면 트리의 각 블록 또는 범위 위에 마우스를 올리세요.

메모

범위 및 레이블 시작하기 창에서 조직, 인프라, 환경 및 애플리케이션은 키이고 각 키와 나란히 있는 회색 상자의 텍스트는 값입니다.
예를 들어amp파일에서 애플리케이션 1에 속하는 모든 워크로드는 다음 레이블 세트로 정의됩니다.

조직 = 내부
인프라 = 데이터 센터
환경 = 사전 제작

신청 = 신청 1

레이블 및 범위 트리의 힘

레이블은 Secure Workload의 기능을 구동하며 레이블에서 생성된 범위 트리는 네트워크 요약 그 이상입니다.

라벨을 사용하면 정책을 즉시 이해할 수 있습니다.
“프리프로덕션부터 프로덕션까지 모든 트래픽을 거부합니다”
이를 라벨이 없는 동일한 정책과 비교해 보세요.
"172.16.0.0/12에서 192.168.0.0/16까지의 모든 트래픽을 거부합니다."
레이블 기반 정책은 레이블이 지정된 워크로드가 인벤토리에 추가(또는 제거)될 때 자동으로 적용(또는 적용 중지)됩니다. 시간이 지남에 따라 레이블을 기반으로 하는 이러한 동적 그룹화는 배포를 유지 관리하는 데 필요한 노력을 크게 줄여줍니다.
워크로드는 라벨에 따라 범위로 그룹화됩니다. 이러한 그룹화를 통해 관련 워크로드에 정책을 쉽게 적용할 수 있습니다. 예를 들어amp파일을 사용하면 사전 프로덕션 범위의 모든 애플리케이션에 정책을 쉽게 적용할 수 있습니다.

단일 범위에서 한 번 생성된 정책은 트리의 하위 범위에 있는 모든 워크로드에 자동으로 적용되어 관리해야 하는 정책 수를 최소화합니다.
정책을 쉽게 정의하고 광범위하게 적용할 수 있습니다(예:amp조직의 모든 워크로드) 또는 좁게(특정 애플리케이션의 일부인 워크로드) 또는 그 사이의 모든 수준(예:amp데이터 센터의 모든 워크로드에 적용됩니다.
각 범위에 대한 책임을 다른 관리자에게 할당하고 정책 관리를 네트워크의 각 부분에 가장 익숙한 사람에게 위임할 수 있습니다.

조직의 계층 구조 구축

계층 구조 또는 범위 트리 구축을 시작합니다. 여기에는 자산 식별 및 분류, 범위 결정, 역할 및 책임 정의, 범위 트리 분기 생성을 위한 정책 및 절차 개발이 포함됩니다.

마법사는 범위 트리의 분기를 만드는 과정을 안내합니다. 파란색 윤곽선으로 표시된 각 범위에 대해 IP 주소 또는 서브넷을 입력하면 범위 트리를 기반으로 레이블이 자동으로 적용됩니다.

필수 조건:

사전 프로덕션 환경, 데이터 센터 및 내부 네트워크와 관련된 IP 주소/서브넷을 수집합니다.
가능한 많은 IP 주소/서브넷을 수집하고 나중에 추가 IP 주소/서브넷을 수집할 수 있습니다.

나중에 트리를 구축할 때 트리의 다른 범위에 대한 IP 주소/서브넷을 추가할 수 있습니다(회색 블록).

범위 트리를 만들려면 다음 단계를 수행하세요.

내부 범위 정의
내부 범위에는 공용 및 개인 IP 주소를 포함하여 조직의 내부 네트워크를 정의하는 모든 IP 주소가 포함됩니다.
마법사는 트리 분기의 각 범위에 IP 주소를 추가하는 과정을 안내합니다. 주소를 추가하면 마법사는 범위를 정의하는 각 주소에 레이블을 할당합니다.

예를 들어amp파일, 이 범위 설정 창에서 마법사는 레이블을 할당합니다.
조직=내부

각 IP 주소에.
기본적으로 마법사는 RFC 1918에 정의된 대로 개인 인터넷 주소 공간에 IP 주소를 추가합니다.

메모
모든 IP 주소를 한 번에 입력할 필요는 없지만 선택한 애플리케이션과 연결된 IP 주소를 포함해야 하며 나머지 IP 주소는 나중에 추가할 수 있습니다.

데이터 센터 범위 정의
이 범위에는 온프레미스 데이터 센터를 정의하는 IP 주소가 포함됩니다. 내부 네트워크를 정의하는 IP 주소/서브넷을 입력하세요.

메모 범위 이름은 짧고 의미가 있어야 합니다.

이 창에서 조직에 대해 입력한 IP 주소를 입력합니다. 이 주소는 내부 네트워크 주소의 하위 집합이어야 합니다. 여러 데이터 센터가 있는 경우 단일 정책 세트를 정의할 수 있도록 이 범위에 모든 데이터 센터를 포함하십시오.

메모

나중에 언제든지 더 많은 주소를 추가할 수 있습니다.tag이자형. 예를 들어 마법사는 각 IP 주소에 다음 라벨을 할당합니다.
조직=내부
인프라=데이터 센터

생산 전 범위 정의
이 범위에는 개발, 랩, 테스트 또는 s와 같은 비프로덕션 애플리케이션 및 호스트의 IP 주소가 포함됩니다.tag잉 시스템.

메모
실제 비즈니스를 수행하는 데 사용되는 애플리케이션의 주소를 포함하지 않도록 하고 나중에 정의하는 프로덕션 범위에 사용하세요.

이 창에 입력하는 IP 주소는 선택한 애플리케이션의 주소를 포함하여 데이터 센터에 입력한 주소의 하위 집합이어야 합니다. 이상적으로는 선택한 애플리케이션의 일부가 아닌 사전 제작 주소도 포함해야 합니다.

메모 나중에 언제든지 더 많은 주소를 추가할 수 있습니다.tage.

Review 범위 트리, 범위 및 레이블
범위 트리 생성을 시작하기 전에 다시view 왼쪽 창에 표시되는 계층 구조입니다. 루트 범위에는 구성된 모든 IP 주소 및 서브넷에 대해 자동으로 생성된 레이블이 표시됩니다. 나중에tage 프로세스 중에 애플리케이션이 이 범위 트리에 추가됩니다.
그림 2:

분기를 확장 및 축소하고 아래로 스크롤하여 특정 범위를 선택할 수 있습니다. 오른쪽 창에서는 특정 범위의 워크로드에 할당된 IP 주소와 레이블을 볼 수 있습니다. 이 창에서 다음을 수행할 수 있습니다.view, 이 범위에 애플리케이션을 추가하기 전에 범위 트리를 수정하십시오.

메모
당신이 원한다면 view 마법사를 종료한 후 이 정보를 확인하려면 기본 메뉴에서 구성 > 범위 및 인벤토리를 선택하세요.

Review 범위 트리

범위 트리 생성을 시작하기 전에 다시view 왼쪽 창에 표시되는 계층 구조입니다. 루트 범위에는 구성된 모든 IP 주소 및 서브넷에 대해 자동으로 생성된 레이블이 표시됩니다. 나중에tage 프로세스 중에 애플리케이션이 이 범위 트리에 추가됩니다.

메모
당신이 원한다면 view 마법사를 종료한 후 이 정보를 확인하려면 기본 메뉴에서 구성 > 범위 및 인벤토리를 선택하세요.

범위 트리 생성

당신이 다시view 범위 트리를 만들려면 계속해서 범위 트리를 만드세요.

범위 트리에 대한 자세한 내용은 사용 설명서의 범위 및 인벤토리 섹션을 참조하세요.

다음 단계

에이전트 설치
선택한 애플리케이션과 연결된 워크로드에 SecureWorkload 에이전트를 설치합니다. 에이전트가 수집하는 데이터는 네트워크의 기존 트래픽을 기반으로 제안된 정책을 생성하는 데 사용됩니다. 데이터가 많을수록 더 정확한 정책이 만들어집니다. 자세한 내용은 Secure Workload 사용자 가이드의 소프트웨어 에이전트 섹션을 참조하세요.

응용 프로그램 추가
범위 트리에 첫 번째 애플리케이션을 추가합니다. 데이터 센터의 베어메탈 또는 가상 머신에서 실행되는 사전 프로덕션 애플리케이션을 선택하세요. 애플리케이션을 추가한 후 이 애플리케이션에 대한 정책 검색을 시작할 수 있습니다. 자세한 내용은 보안 워크로드 사용자 가이드의 범위 및 인벤토리 섹션을 참조하세요.

내부 범위에서 공통 정책 설정
내부 범위에서 일련의 공통 정책을 적용합니다. 예를 들어amp파일을 사용하면 네트워크에서 네트워크 외부로 특정 포트를 통한 트래픽만 허용됩니다.
사용자는 클러스터, 인벤토리 필터 및 범위를 사용하여 정책을 수동으로 정의하거나 자동 정책 검색을 사용하여 흐름 데이터에서 검색하고 생성할 수 있습니다.
에이전트를 설치하고 트래픽 흐름 데이터가 누적될 때까지 최소 몇 시간을 허용한 후 Secure Workload를 활성화하여 해당 트래픽을 기반으로 정책을 생성("검색")할 수 있습니다. 자세한 내용은 Secure Workload 사용자 가이드의 정책 자동 검색 섹션을 참조하세요.
내부(또는 내부 또는 루트) 범위에서 이러한 정책을 적용하여 효과적으로 재작업합니다.view 정책.

클라우드 커넥터 추가
조직에 AWS, Azure 또는 GCP에 워크로드가 있는 경우 클라우드 커넥터를 사용하여 해당 워크로드를 범위 트리에 추가하세요. 자세한 내용은 Secure Workload 사용자 가이드의 클라우드 커넥터 섹션을 참조하세요.

빠른 시작 워크플로우

단계	이것을 하세요	세부
1	(선택사항) 주석이 달린 마법사 둘러보기	마법사 둘러보기, 1페이지
2	세분화 여정을 시작하려면 애플리케이션을 선택하세요.	최상의 결과를 얻으려면 다음 지침을 따르십시오. 선택하세요 이 마법사 신청, 10 페이지.
3	IP 주소를 수집합니다.	마법사는 4개의 IP 주소 그룹을 요청합니다. 자세한 내용은 다음을 참조하세요. IP 주소 수집, 9 페이지.
4	마법사 실행	에게 view 요구 사항 및 마법사에 액세스하려면 다음을 참조하십시오. 마법사 실행, 11 페이지
5	애플리케이션의 워크로드에 Secure Workload 에이전트를 설치합니다.	에이전트 설치를 참조하세요.
6	에이전트가 흐름 데이터를 수집할 시간을 허용합니다.	데이터가 많을수록 더 정확한 정책이 생성됩니다. 필요한 최소 시간은 애플리케이션이 얼마나 적극적으로 사용되는지에 따라 다릅니다.
7	실제 흐름 데이터를 기반으로 정책을 생성("발견")합니다.	자동으로 정책 생성을 참조하십시오.
8	Review 생성된 정책.	생성된 정책 보기를 참조하세요.

IP 주소 수집
아래의 각 글머리 기호에 최소한 일부 IP 주소가 필요합니다.

내부 네트워크를 정의하는 주소 기본적으로 마법사는 개인 인터넷 사용을 위해 예약된 표준 주소를 사용합니다.

데이터 센터용으로 예약된 주소입니다.
여기에는 직원 컴퓨터, 클라우드 또는 파트너 서비스, 중앙 집중식 IT 서비스 등에서 사용되는 주소는 포함되지 않습니다.
비생산 네트워크를 정의하는 주소
선택한 비프로덕션 애플리케이션을 구성하는 워크로드의 주소
지금은 위의 각 글머리 기호에 대한 모든 주소를 가질 필요는 없습니다. 나중에 언제든지 주소를 더 추가할 수 있습니다.

중요한
4개의 글머리 기호는 각각 위에 있는 글머리 기호의 IP 주소 하위 집합을 나타내므로 각 글머리 기호의 각 IP 주소는 목록에서 위에 있는 글머리 기호의 IP 주소에도 포함되어야 합니다.

이 마법사에 대한 응용 프로그램을 선택하십시오
이 마법사의 경우 단일 애플리케이션을 선택합니다.
애플리케이션은 일반적으로 다음과 같은 다양한 서비스를 제공하는 여러 워크로드로 구성됩니다. web 서비스 또는 데이터베이스, 기본 및 백업 서버 등. 이러한 워크로드는 함께 사용자에게 애플리케이션의 기능을 제공합니다.

애플리케이션 선택 지침
SecureWorkload는 클라우드 기반 및 컨테이너화된 워크로드를 포함하여 광범위한 플랫폼 및 운영 체제에서 실행되는 워크로드를 지원합니다. 그러나 이 마법사의 경우 다음과 같은 워크로드가 있는 애플리케이션을 선택하십시오.

데이터 센터에서 실행.
베어메탈 및/또는 가상 머신에서 실행됩니다.

Secure Workload 에이전트가 지원되는 Windows, Linux 또는 AIX 플랫폼에서 실행하려면 다음을 참조하세요. https://www.cisco.com/go/secure-workload/requirements/agents.
사전 프로덕션 환경에 배포됩니다.

메모
애플리케이션을 선택하지 않고 IP 주소를 수집하지 않은 경우에도 마법사를 실행할 수 있지만 이러한 작업을 수행하지 않으면 마법사를 완료할 수 없습니다.

메모
로그아웃(또는 시간 초과)하기 전에 마법사를 완료하지 않거나 보안 워크로드 애플리케이션의 다른 부분으로 이동하는 경우(왼쪽 탐색 모음 사용) 마법사 구성이 저장되지 않습니다.

범위 추가/범위 및 레이블 추가 방법에 대한 자세한 내용은 Cisco Secure Workload 사용 설명서의 범위 및 인벤토리 섹션을 참조하십시오.

마법사 실행

응용 프로그램을 선택하고 IP 주소를 수집했는지 여부에 관계없이 마법사를 실행할 수 있지만 이러한 작업을 수행하지 않으면 마법사를 완료할 수 없습니다.

중요한
Secure Workload에서 로그아웃(또는 시간 초과)하기 전에 마법사를 완료하지 않거나 왼쪽 탐색 모음을 사용하여 애플리케이션의 다른 부분으로 이동하면 마법사 구성이 저장되지 않습니다.

시작하기 전에
다음 사용자 역할은 마법사에 액세스할 수 있습니다.

절차

1단계
보안 워크로드에 로그인합니다.
2단계
마법사를 시작합니다.
현재 정의된 범위가 없는 경우 Secure Workload에 로그인하면 마법사가 자동으로 나타납니다.

또는:

페이지 상단의 파란색 배너에서 지금 마법사 실행 링크를 클릭합니다.
선택view 창 왼쪽의 주 메뉴에서.
3단계
마법사는 귀하가 알아야 할 사항을 설명할 것입니다.
다음과 같은 유용한 요소를 놓치지 마세요.
- 마법사의 그래픽 요소 위로 마우스를 가져가면 해당 설명을 읽을 수 있습니다.
- 링크와 정보 버튼( ) 중요한 정보를 확인하세요.

(선택 사항) 다시 시작하려면 범위 트리 재설정

마법사를 사용하여 생성한 범위, 레이블 및 범위 트리를 삭제하고 선택적으로 마법사를 다시 실행할 수 있습니다.

팁
생성된 범위 중 일부만 제거하고 마법사를 다시 실행하지 않으려면 전체 트리를 재설정하는 대신 개별 범위를 삭제할 수 있습니다. 삭제할 범위를 클릭한 다음 삭제를 클릭합니다.

시작하기 전에
루트 범위에 대한 범위 소유자 권한이 필요합니다.
추가 작업 공간, 정책 또는 기타 종속성을 생성한 경우 범위 트리 재설정에 대한 전체 정보는 Secure Workload의 사용자 가이드를 참조하세요.

절차

단계 1 왼쪽 탐색 메뉴에서 구성 > 범위 및 인벤토리를 선택합니다.
2단계 트리 상단의 범위를 클릭합니다.

단계 3 재설정을 클릭합니다.
4단계 선택을 확인합니다.
단계 5 재설정 버튼이 폐기 보류 중으로 변경되면 브라우저 페이지를 새로 고쳐야 할 수도 있습니다.

더 많은 정보

마법사의 개념에 대한 자세한 내용은 다음을 참조하세요.

Secure Workload의 온라인 도움말
귀하의 릴리스에 대한 Secure Workload User Guide PDF는 다음에서 다운로드할 수 있습니다. https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

문서 / 리소스

	CISCO 보안 워크로드 소프트웨어 [PDF 파일] 사용자 가이드 릴리스 3.8, 보안 워크로드 소프트웨어, 보안 워크로드, 소프트웨어
	CISCO 보안 워크로드 소프트웨어 [PDF 파일] 사용자 가이드 3.8.1.53, 3.8.1.1, 보안 워크로드 소프트웨어, 보안, 워크로드 소프트웨어, 소프트웨어