Содржини скриј
1 Софтвер за безбеден обем на работа на CISCO
2 Вовед во Сегментација
3 Инсталирајте агенти
4 Работен тек за брз почеток
5 Постапка
6 Повеќе информации
7 Документи / ресурси
7.1 Референци
8 Поврзани мислења

CISCO-LOGO

Софтвер за безбеден обем на работа на CISCO

Софтвер за безбедно оптоварување на CISCO-FIG2

Cisco Secure Workload Водич за брз почеток за издавање 3.8

Cisco Secure Workload е софтвер кој им овозможува на корисниците да инсталираат софтверски агенти на нивните работни оптоварувања на апликациите. Софтверските агенти собираат информации за мрежните интерфејси и активните процеси што се извршуваат на системот домаќин.

Вовед во Сегментација

Функцијата за сегментација на Cisco Secure Workload им овозможува на корисниците да ги групираат и означат своите оптоварувања. Ова помага да се дефинираат политиките и процедурите за секоја група и да се обезбеди сигурна комуникација меѓу нив.

За овој водич

Овој водич е водич за брз почеток за Cisco Secure Workload Release 3.8. Тоа обезбедува надview на волшебникот и ги води корисниците низ процесот на инсталирање агенти, групирање и етикетирање на обемот на работа и градење хиерархија за нивната организација.

Обиколка на Волшебникот

Волшебникот ги води корисниците низ процесот на инсталирање агенти, групирање и етикетирање на обемот на работа и градење хиерархија за нивната организација.

Пред да започнете

Следниве кориснички улоги можат да пристапат до волшебникот:

  • Супер админ
  • Админ
  • Администратор за безбедност
  • Оператор за безбедност

Инсталирајте агенти

За да инсталирате софтверски агенти на обемот на работа на вашата апликација:

  1. Отворете го волшебникот Cisco Secure Workload.
  2. Изберете ја опцијата за инсталирање агенти.
  3. Следете ги упатствата дадени од волшебникот за да го завршите процесот на инсталација.

Групирајте и означете ги вашите работни оптоварувања

За да ги групирате и означите вашите оптоварувања:

  1. Отворете го волшебникот Cisco Secure Workload.
  2. Изберете ја опцијата за групирање и означување на вашите оптоварувања.
  3. Следете ги упатствата дадени од волшебникот за да креирате гранка од дрвото на опсегот и да доделите етикети на секоја група.

Изградете ја хиерархијата за вашата организација

За да изградите хиерархија за вашата организација:

  1. Отворете го волшебникот Cisco Secure Workload.
  2. Изберете ја опцијата за изградба на хиерархија за вашата организација.
  3. Следете ги упатствата дадени од волшебникот за да го дефинирате внатрешниот опсег, опсегот на центарот за податоци и опсегот пред производство.

Забелешка: Имињата на опсегот треба да бидат кратки и значајни. Погрижете се да не вклучите адреси на какви било апликации што се користат за водење на вистински бизнис во опсегот на претпродукција.

Прво објавено: 2023-04-12
Последно изменето: 2023-05-19

Вовед во Сегментација

Традиционално, мрежната безбедност е насочена кон задржување на малициозните активности надвор од вашата мрежа со заштитни ѕидови околу работ на вашата мрежа. Сепак, исто така треба да ја заштитите вашата организација од закани што ја нарушиле вашата мрежа или потекнуваат од неа. Сегментацијата (или микросегментацијата) на мрежата помага да се заштитат вашите работни оптоварувања преку контролирање на сообраќајот помеѓу оптоварувањата и другите хостови на вашата мрежа; затоа, дозволувајте само сообраќај што вашата организација ќе го бара за деловни цели и негирајте го целиот друг сообраќај. За прampтака, можете да користите политики за да ја спречите сета комуникација помеѓу оптоварувањата што се домаќини на вашето јавно соочување web апликацијата да комуницира со вашата база на податоци за истражување и развој во вашиот центар за податоци или да спречи не-производствените оптоварувања да контактираат со производните оптоварувања. Cisco Secure Workload ги користи податоците за протокот на организацијата за да предложи политики што можете да ги оцените и одобрите пред да ги спроведете. Алтернативно, можете и рачно да ги креирате овие политики за сегментирање на мрежата.

За овој водич

Овој документ е применлив за изданието 3.8 за безбеден обем на работа:

  • Ги воведува клучните концепти за безбеден обем на работа: Сегментација, ознаки за оптоварување на работа, опфати, стебла со хиерархиски опсег и откривање политики.
  • Го објаснува процесот на создавање на првата гранка од дрвото на опсегот користејќи го волшебникот за првпат корисничко искуство и
  • Го опишува автоматизираниот процес на генерирање политики за избраната апликација врз основа на реалните сообраќајни текови.

Обиколка на Волшебникот

Пред да започнете
Следниве кориснички улоги можат да пристапат до волшебникот:

  • админ на страницата
  • поддршка на клиентите
  • сопственик на опсегот

Инсталирајте агенти

Слика 1: Прозорец за добредојде

Софтвер за безбедно оптоварување на CISCO-FIG1

Инсталирајте агенти
Во Secure Workload, можете да инсталирате софтверски агенти на оптоварувањата на вашите апликации. Софтверските агенти собираат информации за мрежните интерфејси и активните процеси што се извршуваат на системот домаќин.

Софтвер за безбедно оптоварување на CISCO-FIG3

Постојат два начина како можете да ги инсталирате софтверските агенти:

  • Инсталатор на Agent Script-Користете го овој метод за инсталирање, следење и решавање проблеми при инсталирање на софтверски агенти. Поддржани платформи се Linux, Windows, Kubernetes, AIX и Solaris
  • Инсталатор на Agent Image-Преземете ја сликата на софтверски агент за да инсталирате одредена верзија и тип на софтверски агент за вашата платформа. Поддржани платформи се Linux и Windows.

Волшебникот за вградување ве води низ процесот на инсталирање на агентите врз основа на избраниот метод за инсталирање. Погледнете ги упатствата за инсталација на корисничкиот интерфејс и видете го упатството за корисникот за дополнителни детали за инсталирање софтверски агенти.

Групирајте и означете ги вашите работни оптоварувања

Доделете етикети на група оптоварувања за да создадете опсег.
Дрвото на хиерархискиот опсег помага да се подели оптоварувањето во помали групи. Најниската гранка во дрвото на опсегот е резервирана за поединечни апликации.
Изберете родителски опсег од дрвото на опсег за да креирате нов опсег. Новиот опсег ќе содржи подмножество од членовите од матичниот опсег.

Софтвер за безбедно оптоварување на CISCO-FIG4

На овој прозорец, можете да ги организирате вашите оптоварувања во групи, кои се распоредени во хиерархиска структура. Расчленувањето на вашата мрежа во хиерархиски групи овозможува флексибилно и скалабилно откривање и дефинирање на политиките.
Етикетите се клучни параметри кои опишуваат обем на работа или крајна точка, тој е претставен како пар клуч-вредност. Волшебникот помага да се применат етикетите на вашите оптоварувања, а потоа да се групираат овие етикети во групи наречени опфати. Обемот на работа автоматски се групира во опсези врз основа на нивните поврзани етикети. Можете да дефинирате политики за сегментација врз основа на опсегот.
Поставете леб над секој блок или опсег во дрвото за повеќе информации за видот на оптоварувањата или домаќините што ги вклучува.

Забелешка

Во прозорецот Започнете со опсег и етикети, организација, инфраструктура, животна средина и апликација се клучевите, а текстот во сивите полиња во линија со секое копче се вредностите.
За прampЛе, сите оптоварувања кои припаѓаат на Апликацијата 1 се дефинирани со овие збир на ознаки:

  • Организација = Внатрешна
  • Инфраструктура = центри за податоци
  • Животна средина = Пред-производство
  • Апликација = Апликација 1

Моќта на етикетите и дрвјата на опсегот

Етикетите ја поттикнуваат моќта на Безбедното оптоварување на работа, а дрвото на опсегот создадено од вашите етикети е повеќе од само резиме на вашата мрежа:

  • Етикетите ви дозволуваат веднаш да ги разберете вашите политики:
    „Негирајте го целиот сообраќај од претпродукција до производство“
    Споредете го ова со истата политика без етикети:
    „Одбијте го целиот сообраќај од 172.16.0.0/12 до 192.168.0.0/16“
  • Политиките засновани на етикети автоматски се применуваат (или престануваат да се применуваат) кога етикетираните работни оптоварувања се додаваат (или отстрануваат од) залиха. Со текот на времето, овие динамични групирања засновани на етикети значително го намалуваат обемот на напор потребен за одржување на вашето распоредување.
  • Работните оптоварувања се групирани во опсези врз основа на нивните ознаки. Овие групирања ви дозволуваат лесно да ја примените политиката на поврзаните оптоварувања. За прampле, можете лесно да примените политика за сите апликации во опсегот на претпродукција.
  • Политиките креирани еднаш во еден опсег може автоматски да се применат на сите оптоварувања во потомците во стеблото, минимизирајќи го бројот на политики што треба да ги управувате.
    Можете лесно да ја дефинирате и применувате политиката нашироко (на прampна сите оптоварувања во вашата организација) или тесно (само на оптоварувањата што се дел од одредена апликација) или на кое било ниво помеѓу (на пр.ampле, на сите оптоварувања во вашиот центар за податоци.
  • Можете да доделите одговорност за секој опсег на различни администратори, делегирајќи го управувањето со политиките на луѓето кои се најпознати со секој дел од вашата мрежа.

Изградете ја хиерархијата за вашата организација

Започнете да ја градите својата хиерархија или стебло на опсег, ова вклучува идентификување и категоризирање на средствата, одредување на опсегот, дефинирање на улоги и одговорности, развивање политики и процедури за да се создаде гранка од дрвото на опсегот.

Софтвер за безбедно оптоварување на CISCO-FIG5

Волшебникот ве води низ создавање гранка од дрвото на опсегот. Внесете IP адреси или подмрежи за секој опсег со сино оцртување, етикетите автоматски се применуваат врз основа на дрвото на опсегот.

Предуслови:

  • Соберете IP адреси/подмрежи поврзани со вашата околина за пред-производство, вашите центри за податоци и вашата внатрешна мрежа.
  • Соберете колку што можете повеќе IP адреси/подмрежи, а дополнителните IP адреси/подмрежи ќе можете подоцна.
  • Подоцна, додека го градите вашето дрво, можете да додавате IP адреси/подмрежи за другите опсези во дрвото (сивите блокови).

За да го креирате дрвото на опсегот, извршете ги овие чекори:

Дефинирајте го внатрешниот опсег
Внатрешниот опсег ги вклучува сите IP адреси кои ја дефинираат внатрешната мрежа на вашата организација, вклучувајќи ги јавните и приватните IP адреси.
Волшебникот ве води низ додавање IP адреси на секој опсег во гранката на дрвото. Како што додавате адреси, волшебникот доделува етикети на секоја адреса што го дефинира опсегот.

За прample, на овој прозорец за поставување опсег, волшебникот ја доделува етикетата
Организација=Внатрешна

на секоја IP адреса.
Стандардно, волшебникот ги додава IP адресите во приватниот простор за интернет адреси како што е дефинирано во RFC 1918

Забелешка
Сите IP адреси не треба да се внесуваат одеднаш, но мора да ги вклучите IP адресите поврзани со вашата избрана апликација, а остатокот од IP адресите можете да ги додадете подоцна.

Дефинирајте го опсегот на центарот за податоци
Овој опсег ги вклучува IP адресите што ги дефинираат вашите центри за податоци во просториите. Внесете ги IP адресите/подмрежите што ја дефинираат вашата внатрешна мрежа

Забелешка Имињата на опсегот треба да бидат кратки и значајни.

Во овој прозорец, внесете ги IP-адресите што сте ги внеле за организацијата, овие адреси мора да бидат подмножество од адресите за вашата внатрешна мрежа. Ако имате повеќе центри за податоци, вклучете ги сите во овој опсег за да можете да дефинирате единствен сет на политики.

Забелешка

Секогаш можете да додадете повеќе адреси подоцнаtagд. На пример, волшебникот ги доделува овие ознаки на секоја од IP адресите:
Организација=Внатрешна
Инфраструктура=Центри за податоци

Дефинирајте го опсегот за пред-продукција
Овој опсег вклучува IP адреси на непроизводствени апликации и хостови, како што се развој, лабораторија, тест илиtagинг системи.

Забелешка
Погрижете се да не вклучите адреси на какви било апликации што се користат за водење на вистински бизнис, користете ги за опсегот на производство што ќе го дефинирате подоцна.

IP-адресите што ги внесувате во овој прозорец мора да бидат подмножество од адресите што ги внесовте за вашите центри за податоци, вклучувајќи ги адресите на вашата избрана апликација. Идеално, тие треба да вклучуваат и адреси за претпродукција кои не се дел од избраната апликација.

Забелешка Секогаш можете да додадете повеќе адреси подоцнаtage.

Софтвер за безбедно оптоварување на CISCO-FIG6

Review Дрво на опсег, опсези и етикети
Пред да започнете со креирање на дрвото на опсегот, повторноview хиерархијата што можете да ја видите на левиот прозорец. Коренскиот опсег покажува етикети кои автоматски се креирани за сите конфигурирани IP адреси и подмрежи. Подоцна сtagВо процесот, апликациите се додаваат на ова дрво на опсег.
Слика 2:

Софтвер за безбедно оптоварување на CISCO-FIG7

Можете да ги проширите и да ги собирате гранките и да скролувате надолу за да изберете одреден опсег. На десниот панел, можете да ги видите IP адресите и етикетите доделени на работните оптоварувања за конкретниот опсег. На овој прозорец, можете повторноview, изменете го дрвото на опсегот пред да додадете апликација во овој опсег.

Забелешка
Ако сакате да view оваа информација откако ќе излезете од волшебникот, изберете Организирај > Опсег и инвентар од главното мени,

Review Дрво на опсегот

Пред да започнете со креирање на дрвото на опсегот, повторноview хиерархијата што можете да ја видите на левиот прозорец. Коренскиот опсег покажува етикети кои автоматски се креирани за сите конфигурирани IP адреси и подмрежи. Подоцна сtagВо процесот, апликациите се додаваат на ова дрво на опсег.

Софтвер за безбедно оптоварување на CISCO-FIG8

Можете да ги проширите и да ги собирате гранките и да скролувате надолу за да изберете одреден опсег. На десниот панел, можете да ги видите IP адресите и етикетите доделени на работните оптоварувања за конкретниот опсег. На овој прозорец, можете повторноview, изменете го дрвото на опсегот пред да додадете апликација во овој опсег.

Забелешка
Ако сакате да view оваа информација откако ќе излезете од волшебникот, изберете Организирај > Опсег и Инвентар од главното мени.

Креирај дрво на опсег

Откако повторно стеview дрвото на опсегот, продолжете со креирање на дрвото на опсегот.

Софтвер за безбедно оптоварување на CISCO-FIG9

За информации за дрвото на опсег, видете ги деловите Опсег и Инвентар во упатството за корисникот.

Следни чекори

Инсталирајте агенти
Инсталирајте ги агентите SecureWorkload на оптоварувањата поврзани со вашата избрана апликација. Податоците што ги собираат агентите се користат за генерирање предложени политики врз основа на постоечкиот сообраќај на вашата мрежа. Повеќе податоци, се произведуваат попрецизни политики. За детали, видете го делот Софтверски агенти во корисничкото упатство за безбедно оптоварување.

Додадете апликација
Додајте ја првата апликација во дрвото на опсегот. Изберете апликација за претпродукција која работи на гол метал или виртуелни машини во вашиот центар за податоци. Откако ќе додадете апликација, можете да започнете да откривате политики за оваа апликација. За повеќе информации, видете го делот Опсег и инвентар од корисничкото упатство за безбедно оптоварување.

Поставете заеднички политики на внатрешен опсег
Применете збир на заеднички политики на Внатрешен опсег. За прampдозволете само сообраќај преку одредена порта од вашата мрежа кон надвор од вашата мрежа.
Корисниците можат рачно да ги дефинираат политиките користејќи кластери, филтри за залихи и опфати или тие може да се откријат и генерираат од податоците за протокот со помош на Автоматско откривање политики.
Откако ќе инсталирате агенти и ќе дозволите барем неколку часа да се акумулираат податоците за протокот на сообраќај, можете да овозможите безбедно оптоварување за да генерира („открива“) политики врз основа на тој сообраќај. За детали, видете го делот Автоматско откривање политики во упатството за корисникот Безбеден обем на работа.
Применете ги овие правила во интерен (или внатрешен или корен) опсег за ефективно повторноview политики.

Додадете Cloud Connector
Ако вашата организација има оптоварувања на AWS, Azure или GCP, користете облак конектор за да ги додадете тие оптоварувања во дрвото на опсегот. За повеќе информации, видете го делот Cloud Connectors од корисничкото упатство за безбедно оптоварување.

Работен тек за брз почеток

Чекор Направете го ова Детали
1 (Факултативно) Направете означена обиколка на волшебникот Обиколка на Волшебникот, на страница 1
2 Изберете апликација за да го започнете вашето патување со сегментација. За најдобри резултати, следете ги упатствата во Изберете еден Апликација за овој Волшебник, на страница 10.
3 Соберете IP адреси. Волшебникот ќе побара 4 групи IP адреси.

За детали, видете Соберете IP адреси, на страница 9.
4 Стартувај го волшебникот На view барања и пристап до волшебникот, видете Стартувај го Волшебникот, на страница 11
5 Инсталирајте агенти за безбеден обем на работа на оптоварувањата на вашата апликација. Видете Агенти за инсталирање.
6 Оставете време за агентите да соберат податоци за протокот. Повеќе податоци создаваат попрецизни политики.

Минималниот износ на потребното време зависи од тоа колку активно се користи вашата апликација.
7 Генерирајте („откријте“) политики врз основа на вашите вистински податоци за протокот. Видете Автоматско генерирање политики.
8 Review генерираните политики. Видете Погледнете ги генерираните политики.

Соберете IP адреси
Ќе ви требаат барем некои од IP адресите во секоја точка подолу:

  • Адреси што ја дефинираат вашата внатрешна мрежа Стандардно, волшебникот ги користи стандардните адреси резервирани за приватна употреба на интернет.
  • Адреси кои се резервирани за вашите центри за податоци.
    Ова не ги вклучува адресите што ги користат компјутерите на вработените, облакот или партнерските услуги, централизираните ИТ услуги итн.
  • Адреси што ја дефинираат вашата непроизводна мрежа
  • Адреси на обемот на работа што ја сочинуваат вашата избрана апликација за непроизводство
    Засега, не треба да ги имате сите адреси за секоја од горенаведените куршуми; секогаш можете да додадете повеќе адреси подоцна.

важно
Бидејќи секоја од 4-те куршуми претставува подмножество од IP-адресите на куршумот над него, секоја IP адреса во секоја куршума исто така мора да биде вклучена меѓу IP адресите на куршумот над неа во списокот.

Изберете апликација за овој Волшебник
За овој волшебник, изберете една апликација.
Апликацијата обично се состои од повеќе оптоварувања кои обезбедуваат различни услуги, како на пр web услуги или бази на податоци, примарни и резервни сервери, итн. Заедно, овие оптоварувања ја обезбедуваат функционалноста на апликацијата за нејзините корисници.

Софтвер за безбедно оптоварување на CISCO-FIG10

Насоки за избор на вашата апликација
SecureWorkload поддржува работни оптоварувања што се извршуваат на широк опсег на платформи и оперативни системи, вклучително и оптоварувања базирани на облак и контејнери. Сепак, за овој волшебник, изберете апликација со оптоварување што се:

  • Работи во вашиот центар за податоци.
  • Работи на гол метал и/или виртуелни машини.
  • Работи на Windows, Linux или AIX платформи поддржани со агенти за безбедно оптоварување, видете https://www.cisco.com/go/secure-workload/requirements/agents.
  • Распоредено во претпродукциско опкружување.

Забелешка
Можете да го стартувате волшебникот дури и ако не сте избрале апликација и не сте собрале IP адреси, но не можете да го завршите волшебникот без да ги направите овие работи.

Забелешка
Ако не го завршите волшебникот пред да се одјавите (или истечете време) или отидете до друг дел од апликацијата Безбеден обем на работа (користете ја левата лента за навигација), конфигурациите на волшебникот не се зачувуваат.

За детали за тоа како да додадете опсег/додавање опсег и етикети, видете го делот Опсег и инвентар во упатството за употреба на Cisco Secure Workload.

Извршете го Волшебникот

Можете да го стартувате волшебникот без разлика дали сте избрале апликација и сте собрале IP адреси, но нема да можете да го завршите волшебникот без да ги направите овие работи.

важно
Ако не го завршите волшебникот пред да се одјавите (или истечете времето) на Secure Workload, или ако отидете до друг дел од апликацијата користејќи ја левата лента за навигација, конфигурациите на волшебникот не се зачувуваат.

Пред да започнете
Следниве кориснички улоги можат да пристапат до волшебникот:

Постапка

  • Чекор 1
    Пријавете се на Безбедна работа.
  • Чекор 2
    Стартувајте го волшебникот:
    Ако моментално немате дефинирани опсези, волшебникот автоматски се појавува кога ќе се најавите на Secure Workload.

Алтернативно:

  • Кликнете на врската Стартувај го волшебникот сега во синиот банер на врвот на која било страница.
  • Изберете Overview од главното мени на левата страна на прозорецот.
  • Чекор 3
    Волшебникот ќе ви ги објасни работите што треба да ги знаете.
    Не пропуштајте ги следниве корисни елементи:
    • Лебдите над графичките елементи во волшебникот за да ги прочитате нивните описи.
    • Кликнете на која било врска и копчиња за информации (Софтвер за безбедно оптоварување на CISCO-FIG11 ) за важни информации.

(Изборно) За да започнете одново, ресетирајте го стеблото на опсег

Можете да ги избришете опсезите, етикетите и стеблото на опсег што сте го создале со помош на волшебникот и опционално да го стартувате волшебникот повторно.

Совет
Ако сакате да отстраните само некои од креираните опсези и не сакате повторно да го активирате волшебникот, можете да избришете поединечни опсези наместо да го ресетирате целото стебло: Кликнете на опсег за бришење, а потоа кликнете Избриши.

Пред да започнете
Потребни се привилегии на сопственикот на опсегот за root опсегот.
Ако сте создале дополнителни работни простори, политики или други зависности, видете го Упатството за употреба во Безбедното оптоварување за целосни информации за ресетирање на дрвото на опсегот.

Постапка

  • Чекор 1 Од менито за навигација лево, изберете Организирај > Опсег и инвентар .
  • Чекор 2 Кликнете на опсегот на врвот на дрвото.
  • Чекор 3 Кликнете на Ресетирај.
  • Чекор 4 Потврдете го вашиот избор.
  • Чекор 5 Ако копчето Ресетирање се смени во Уништи во очекување, можеби ќе треба да ја освежите страницата на прелистувачот.

Повеќе информации

За повеќе информации за концептите во волшебникот, видете:

© 2022 Cisco Systems, Inc. Сите права се задржани.

Документи / ресурси

Софтвер за безбеден обем на работа на CISCO [pdf] Упатство за корисникот
Издание 3.8, софтвер за безбеден обем на работа, безбеден обем на работа, софтвер
Софтвер за безбеден обем на работа на CISCO [pdf] Упатство за корисникот
3.8.1.53, 3.8.1.1, софтвер за безбеден обем на работа, безбеден, софтвер со оптоварување, софтвер

Референци

Поврзани мислења

Оставете коментар

Вашата адреса за е-пошта нема да биде објавена. Задолжителните полиња се означени *