Inhoud verbergen
1 CISCO-software voor beveiligde werklasten
2 Inleiding tot segmentatie
3 Agenten installeren
4 Snelle startworkflow
5 Procedure
6 Meer informatie
7 Documenten / Bronnen
7.1 Referenties
8 Gerelateerde berichten

CISCO-LOGO

CISCO-software voor beveiligde werklasten

CISCO Secure Workload-software - FIG2

Cisco Secure Workload Quick Start Guide voor versie 3.8

Cisco Secure Workload is een software waarmee gebruikers softwareagents op hun applicatieworkloads kunnen installeren. De softwareagents verzamelen informatie over de netwerkinterfaces en de actieve processen die op het hostsysteem worden uitgevoerd.

Inleiding tot segmentatie

Met de segmentatiefunctie van Cisco Secure Workload kunnen gebruikers hun workloads groeperen en labelen. Dit helpt bij het definiëren van beleid en procedures voor elke groep en het verzekeren van veilige communicatie tussen hen.

Over deze handleiding

Deze handleiding is een snelstartgids voor Cisco Secure Workload Release 3.8. Het biedt een overzichtview van de wizard en begeleidt gebruikers door het proces van het installeren van agenten, het groeperen en labelen van workloads en het opbouwen van een hiërarchie voor hun organisatie.

Ronde van de tovenaar

De wizard begeleidt gebruikers door het proces van het installeren van agenten, het groeperen en labelen van werklasten en het opbouwen van een hiërarchie voor hun organisatie.

Voordat je begint

De volgende gebruikersrollen hebben toegang tot de wizard:

  • Superbeheerder
  • Beheerder
  • Beveiligingsbeheerder
  • Beveiligingsmedewerker

Agenten installeren

Om softwareagents op uw applicatieworkloads te installeren:

  1. Open de wizard Cisco Secure Workload.
  2. Selecteer de optie om agenten te installeren.
  3. Volg de instructies van de wizard om het installatieproces te voltooien.

Groepeer en label uw workloads

Om uw workloads te groeperen en labelen:

  1. Open de wizard Cisco Secure Workload.
  2. Selecteer de optie om uw workloads te groeperen en te labelen.
  3. Volg de instructies van de wizard om een ​​vertakking van de scope-boom te maken en labels aan elke groep toe te wijzen.

Bouw de hiërarchie voor uw organisatie

Om een ​​hiërarchie voor uw organisatie op te bouwen:

  1. Open de wizard Cisco Secure Workload.
  2. Selecteer de optie om de hiërarchie voor uw organisatie op te bouwen.
  3. Volg de instructies van de wizard om de interne scope, datacenter scope en preproductie scope te definiëren.

Opmerking: De scopenamen moeten kort en betekenisvol zijn. Zorg ervoor dat u geen adressen opneemt van applicaties die worden gebruikt om daadwerkelijke zaken te doen in de pre-productie scope.

Eerste publicatie: 2023-04-12
Laatst gewijzigd: 2023-05-19

Inleiding tot segmentatie

Traditioneel gezien is netwerkbeveiliging gericht op het weren van kwaadaardige activiteiten uit uw netwerk met firewalls rond de rand van uw netwerk. U moet uw organisatie echter ook beschermen tegen bedreigingen die uw netwerk hebben doorbroken of daarbinnen zijn ontstaan. Segmentatie (of microsegmentatie) van het netwerk helpt uw ​​workloads te beschermen door het verkeer tussen workloads en andere hosts in uw netwerk te controleren; daarom wordt alleen verkeer toegestaan ​​dat uw organisatie nodig heeft voor zakelijke doeleinden en wordt al het andere verkeer geweigerd. BijvoorbeeldampU kunt beleid gebruiken om alle communicatie tussen de workloads die uw openbare ruimte hosten te voorkomen. web applicatie om te voorkomen dat deze communiceert met uw onderzoeks- en ontwikkelingsdatabase in uw datacenter, of om te voorkomen dat niet-productiewerklasten contact maken met productiewerklasten. Cisco Secure Workload gebruikt de stroomgegevens van de organisatie om beleidsregels voor te stellen die u kunt evalueren en goedkeuren voordat u ze afdwingt. U kunt deze beleidsregels ook handmatig maken om het netwerk te segmenteren.

Over deze handleiding

Dit document is van toepassing op Secure Workload release 3.8:

  • Introduceert de belangrijkste concepten van Secure Workload: segmentatie, workloadlabels, scopes, hiërarchische scope-bomen en beleidsdetectie.
  • Legt het proces uit van het maken van de eerste tak van uw scope-boom met behulp van de wizard voor de eerste gebruikerservaring en
  • Beschrijft het geautomatiseerde proces voor het genereren van beleid voor de gekozen toepassing op basis van werkelijke verkeersstromen.

Ronde van de tovenaar

Voordat je begint
De volgende gebruikersrollen hebben toegang tot de wizard:

  • sitebeheerder
  • Klantenservice
  • eigenaar van het bereik

Agenten installeren

Figuur 1: Welkomstvenster

CISCO Secure Workload-software - FIG1

Agenten installeren
In Secure Workload kunt u softwareagents installeren op uw applicatieworkloads. De softwareagents verzamelen informatie over de netwerkinterfaces en de actieve processen die op het hostsysteem worden uitgevoerd.

CISCO Secure Workload-software - FIG3

Er zijn twee manieren om de softwareagents te installeren:

  • Agent Script-installatieprogramma: gebruik deze methode voor het installeren, volgen en oplossen van problemen tijdens het installeren van de softwareagents. Ondersteunde platforms zijn Linux, Windows, Kubernetes, AIX en Solaris
  • Agent Image installer-Download de software agent image om een ​​specifieke versie en type software agent voor uw platform te installeren. Ondersteunde platforms zijn Linux en Windows.

De onboarding wizard begeleidt u door het proces van het installeren van de agents op basis van de geselecteerde installatiemethode. Raadpleeg de installatie-instructies op de UI en raadpleeg de gebruikershandleiding voor aanvullende details over het installeren van softwareagents.

Groepeer en label uw workloads

Wijs labels toe aan een groep workloads om een ​​scope te creëren.
De hiërarchische scope tree helpt om de workloads in kleinere groepen te verdelen. De laagste tak in de scope tree is gereserveerd voor individuele applicaties.
Selecteer een bovenliggende scope uit de scope tree om een ​​nieuwe scope te maken. De nieuwe scope zal een subset van de leden van de bovenliggende scope bevatten.

CISCO Secure Workload-software - FIG4

In dit venster kunt u uw workloads in groepen ordenen, die in een hiërarchische structuur zijn gerangschikt. Door uw netwerk in hiërarchische groepen op te splitsen, kunt u flexibel en schaalbaar beleid ontdekken en definiëren.
Labels zijn sleutelparameters die een workload of endpoint beschrijven, het wordt weergegeven als een sleutel-waardepaar. De wizard helpt bij het toepassen van de labels op uw workloads en groepeert deze labels vervolgens in groepen die scopes worden genoemd. Workloads worden automatisch gegroepeerd in scopes op basis van hun bijbehorende labels. U kunt segmentatiebeleid definiëren op basis van de scopes.
Beweeg de muis over elk blok of bereik in de boom voor meer informatie over het type workloads of hosts dat het omvat.

Opmerking

In het venster Aan de slag met scopes en labels zijn Organisatie, Infrastructuur, Omgeving en Toepassing de sleutels. De tekst in de grijze vakken naast elke sleutel zijn de waarden.
BijvoorbeeldampAlle workloads die tot Applicatie 1 behoren, worden gedefinieerd door deze set labels:

  • Organisatie = Intern
  • Infrastructuur = Datacenters
  • Omgeving = Pre-productie
  • Toepassing = Toepassing 1

De kracht van labels en scopebomen

Labels vormen de kracht van Secure Workload, en de scopeboom die op basis van uw labels wordt gemaakt, is meer dan alleen een samenvatting van uw netwerk:

  • Met labels krijgt u direct inzicht in uw beleid:
    “Weiger alle verkeer van preproductie naar productie”
    Vergelijk dit met hetzelfde beleid zonder labels:
    “Weiger alle verkeer van 172.16.0.0/12 naar 192.168.0.0/16”
  • Beleid op basis van labels wordt automatisch toegepast (of stopt met toepassen) wanneer gelabelde werklasten worden toegevoegd aan (of verwijderd uit) de voorraad. Na verloop van tijd verminderen deze dynamische groeperingen op basis van labels de hoeveelheid inspanning die nodig is om uw implementatie te onderhouden aanzienlijk.
  • Werkbelastingen worden gegroepeerd in bereiken op basis van hun labels. Met deze groeperingen kunt u eenvoudig beleid toepassen op gerelateerde werkbelastingen. Bijvoorbeeldample kunt u eenvoudig beleid toepassen op alle toepassingen in het pre-productiebereik.
  • Beleidsregels die eenmaal in één scope zijn gemaakt, kunnen automatisch worden toegepast op alle workloads in onderliggende scopes in de boom. Zo beperkt u het aantal beleidsregels dat u moet beheren.
    U kunt eenvoudig beleid definiëren en breed toepassen (bijvoorbeeldample, voor alle werklasten in uw organisatie) of nauwgezet (voor alleen de werklasten die deel uitmaken van een specifieke applicatie) of voor elk niveau daar tussenin (bijvoorbeeldample, voor alle workloads in uw datacenter.
  • U kunt de verantwoordelijkheid voor elk bereik toewijzen aan verschillende beheerders, waarbij u het beleidsbeheer delegeert aan de mensen die het meest vertrouwd zijn met elk onderdeel van uw netwerk.

Bouw de hiërarchie voor uw organisatie

Begin met het opbouwen van uw hiërarchie of scopeboom. Dit houdt in dat u de activa identificeert en categoriseert, de scope bepaalt, rollen en verantwoordelijkheden definieert en beleid en procedures ontwikkelt om een ​​tak van de scopeboom te creëren.

CISCO Secure Workload-software - FIG5

De wizard begeleidt u bij het maken van een branch van de scope tree. Voer IP-adressen of subnetten in voor elke blauw omlijnde scope, de labels worden automatisch toegepast op basis van de scope tree.

Vereisten:

  • Verzamel IP-adressen/subnetten die gekoppeld zijn aan uw preproductieomgeving, uw datacenters en uw interne netwerk.
  • Verzamel zoveel mogelijk IP-adressen/subnetten. U kunt later nog aanvullende IP-adressen/subnetten toevoegen.
  • Later, terwijl u uw boomstructuur opbouwt, kunt u IP-adressen/subnetten toevoegen voor de andere scopes in de boom (de grijze blokken).

Voer de volgende stappen uit om de scope-boom te maken:

Definieer de interne reikwijdte
Het interne bereik omvat alle IP-adressen die het interne netwerk van uw organisatie definiëren, inclusief openbare en particuliere IP-adressen.
De wizard begeleidt u bij het toevoegen van IP-adressen aan elke scope in de tree branch. Terwijl u adressen toevoegt, wijst de wizard labels toe aan elk adres dat de scope definieert.

Bijvoorbeeldample, in dit Scope Setup-venster wijst de wizard het label toe
Organisatie=Intern

naar elk IP-adres.
Standaard voegt de wizard de IP-adressen toe aan de privé-internetadresruimte zoals gedefinieerd in RFC 1918

Opmerking
U hoeft niet alle IP-adressen in één keer in te voeren, maar u moet wel de IP-adressen opgeven die aan de door u gekozen toepassing zijn gekoppeld. De overige IP-adressen kunt u later toevoegen.

Definieer de reikwijdte van het datacenter
Deze scope omvat de IP-adressen die uw on-premises datacenters definiëren. Voer de IP-adressen/subnetten in die uw interne netwerk definiëren

Opmerking Scopenamen moeten kort en betekenisvol zijn.

Voer in dit venster de IP-adressen in die u voor de organisatie hebt ingevoerd. Deze adressen moeten een subset zijn van de adressen voor uw interne netwerk. Als u meerdere datacenters hebt, neem ze dan allemaal op in deze scope, zodat u één set beleidsregels kunt definiëren.

Opmerking

U kunt later altijd meer adressen toevoegentage. De wizard wijst bijvoorbeeld deze labels toe aan elk van de IP-adressen:
Organisatie=Intern
Infrastructuur=Datacenters

Definieer het preproductiebereik
Dit bereik omvat IP-adressen van niet-productietoepassingen en hosts, zoals ontwikkeling, lab, test of stagsystemen.

Opmerking
Zorg ervoor dat u geen adressen opneemt van applicaties die daadwerkelijk voor bedrijfsactiviteiten worden gebruikt. Gebruik ze alleen voor de productiescope die u later definieert.

De IP-adressen die u in dit venster invoert, moeten een subset zijn van de adressen die u voor uw datacenters hebt ingevoerd, inclusief de adressen van uw gekozen applicatie. Idealiter zouden ze ook pre-productieadressen moeten bevatten die geen deel uitmaken van de gekozen applicatie.

Opmerking U kunt later altijd meer adressen toevoegentage.

CISCO Secure Workload-software - FIG6

Review Bereikboom, bereiken en labels
Voordat u begint met het maken van de scope-boom, moet u:view de hiërarchie die u in het linkervenster kunt zien. De root scope toont labels die automatisch zijn gemaakt voor alle geconfigureerde IP-adressen en subnetten. Op een later tijdstiptagTijdens dit proces worden er applicaties aan deze scope tree toegevoegd.
Figuur 2:

CISCO Secure Workload-software - FIG7

U kunt branches uitvouwen en samenvouwen en naar beneden scrollen om een ​​specifieke scope te kiezen. In het rechterdeelvenster ziet u de IP-adressen en labels die zijn toegewezen aan de workloads voor de specifieke scope. In dit venster kunt uview, pas de scopeboom aan voordat u een toepassing aan deze scope toevoegt.

Opmerking
Als je wilt view Deze informatie kunt u na het verlaten van de wizard opslaan door Organiseren > Bereiken en inventaris te kiezen in het hoofdmenu.

Review Scope-boom

Voordat u begint met het maken van de scope-boom, moet u:view de hiërarchie die u in het linkervenster kunt zien. De root scope toont labels die automatisch zijn gemaakt voor alle geconfigureerde IP-adressen en subnetten. Op een later tijdstiptagTijdens dit proces worden er applicaties aan deze scope tree toegevoegd.

CISCO Secure Workload-software - FIG8

U kunt branches uitvouwen en samenvouwen en naar beneden scrollen om een ​​specifieke scope te kiezen. In het rechterdeelvenster ziet u de IP-adressen en labels die zijn toegewezen aan de workloads voor de specifieke scope. In dit venster kunt uview, pas de scopeboom aan voordat u een toepassing aan deze scope toevoegt.

Opmerking
Als je wilt view Nadat u deze informatie hebt opgeslagen, kiest u Organiseren > Bereiken en inventaris in het hoofdmenu.

Scopeboom maken

Nadat je opnieuwview de scope-boom, ga verder met het maken van de scope-boom.

CISCO Secure Workload-software - FIG9

Voor informatie over de scopeboom raadpleegt u de secties Scopes en Inventory in de gebruikershandleiding.

Volgende stappen

Agenten installeren
Installeer de SecureWorkload-agents op de workloads die zijn gekoppeld aan uw gekozen applicatie. De gegevens die de agents verzamelen, worden gebruikt om voorgestelde beleidsregels te genereren op basis van het bestaande verkeer op uw netwerk. Hoe meer gegevens, hoe nauwkeuriger de beleidsregels worden geproduceerd. Zie voor meer informatie het gedeelte Software Agents in de Secure Workload-gebruikershandleiding.

Toepassing toevoegen
Voeg de eerste toepassing toe aan uw scope tree. Kies een pre-productietoepassing die draait op bare metal of virtuele machines in uw datacenter. Nadat u een toepassing hebt toegevoegd, kunt u beginnen met het ontdekken van beleid voor deze toepassing. Zie voor meer informatie het gedeelte Scopes and Inventory van de Secure Workload-gebruikershandleiding.

Gemeenschappelijke beleidsregels instellen op intern niveau
Pas een set algemene beleidsregels toe op de interne scope. Bijvoorbeeldample, laat alleen verkeer toe via een bepaalde poort van uw netwerk naar buiten uw netwerk.
Gebruikers kunnen beleid handmatig definiëren met behulp van Clusters, Inventarisfilters en Scopes. Deze kunnen ook worden ontdekt en gegenereerd op basis van stroomgegevens met behulp van Automatische beleidsdetectie.
Nadat u agents hebt geïnstalleerd en ten minste een paar uur hebt toegestaan ​​om verkeersstroomgegevens te verzamelen, kunt u Secure Workload inschakelen om beleid te genereren ("ontdekken") op basis van dat verkeer. Zie voor meer informatie het gedeelte Automatisch beleid ontdekken in de gebruikershandleiding van Secure Workload.
Pas deze beleidsregels toe op het interne (of interne of root) bereik om effectief te kunnenview beleid.

Cloudconnector toevoegen
Als uw organisatie workloads op AWS, Azure of GCP heeft, gebruikt u een cloudconnector om die workloads toe te voegen aan uw scope tree. Zie voor meer informatie het gedeelte Cloud Connectors van de Secure Workload-gebruikershandleiding.

Snelle startworkflow

Stap Doe dit Details
1 (Optioneel) Volg een geannoteerde rondleiding door de wizard Ronde van de Tovenaar, op pagina 1
2 Kies een applicatie om uw segmentatietraject te starten. Voor de beste resultaten volgt u de richtlijnen in Kies een Aanvraag voor deze wizard, op pagina 10.
3 Verzamel IP-adressen. De wizard vraagt ​​om 4 groepen IP-adressen.

Voor details, zie IP-adressen verzamelen, op pagina 9.
4 Voer de wizard uit Naar view vereisten en toegang krijgen tot de wizard, zie Voer de wizard uit, op pagina 11
5 Installeer Secure Workload-agents op de workloads van uw applicatie. Zie Agenten installeren.
6 Geef de agenten de tijd om stroomgegevens te verzamelen. Meer gegevens leiden tot nauwkeuriger beleid.

De minimale benodigde tijd hangt af van hoe actief uw applicatie wordt gebruikt.
7 Genereer (‘ontdek’) beleid op basis van uw werkelijke stroomgegevens. Zie Automatisch beleid genereren.
8 Review het gegenereerde beleid. Zie Bekijk de gegenereerde beleidsregels.

Verzamel IP-adressen
U heeft ten minste enkele van de IP-adressen nodig die in elk opsommingsteken hieronder staan:

  • Adressen die uw interne netwerk definiëren Standaard gebruikt de wizard de standaardadressen die zijn gereserveerd voor privé-internetgebruik.
  • Adressen die gereserveerd zijn voor uw datacenters.
    Hieronder vallen niet de adressen die worden gebruikt door werknemerscomputers, cloud- of partnerdiensten, gecentraliseerde IT-services, etc.
  • Adressen die uw niet-productienetwerk definiëren
  • Adressen van de workloads die deel uitmaken van uw gekozen niet-productietoepassing
    U hoeft nu nog niet alle adressen voor elk van de bovenstaande punten te hebben. U kunt later altijd meer adressen toevoegen.

Belangrijk
Omdat elk van de vier opsommingstekens een subset van de IP-adressen van het opsommingsteken erboven vertegenwoordigt, moet elk IP-adres in elk opsommingsteken ook worden opgenomen onder de IP-adressen van het opsommingsteken erboven in de lijst.

Kies een toepassing voor deze wizard
Kies voor deze wizard één enkele toepassing.
Een applicatie bestaat doorgaans uit meerdere workloads die verschillende services leveren, zoals web services of databases, primaire en back-upservers, enz. Samen bieden deze workloads de functionaliteit van de applicatie aan haar gebruikers.

CISCO Secure Workload-software - FIG10

Richtlijnen voor het kiezen van uw toepassing
SecureWorkload ondersteunt workloads die op een breed scala aan platforms en besturingssystemen worden uitgevoerd, waaronder cloudgebaseerde en container-workloads. Kies voor deze wizard echter een applicatie met workloads die:

Opmerking
U kunt de wizard uitvoeren, zelfs als u geen toepassing hebt geselecteerd en geen IP-adressen hebt verzameld. U kunt de wizard echter niet voltooien zonder deze handelingen uit te voeren.

Opmerking
Als u de wizard niet voltooit voordat u zich afmeldt (of een time-out krijgt) of naar een ander deel van de Secure Workload-applicatie navigeert (gebruik de linkernavigatiebalk), worden de wizardconfiguraties niet opgeslagen.

Raadpleeg het gedeelte Scopes en inventaris van de Cisco Secure Workload User Guide voor meer informatie over het toevoegen van een scope/scope en labels.

Voer de wizard uit

U kunt de wizard uitvoeren, ongeacht of u een applicatie heeft gekozen en IP-adressen heeft verzameld, maar u kunt de wizard niet voltooien zonder deze dingen te doen.

Belangrijk
Als u de wizard niet voltooit voordat u zich afmeldt (of een time-out krijgt) bij Secure Workload, of als u naar een ander deel van de applicatie navigeert met behulp van de linkernavigatiebalk, worden de wizardconfiguraties niet opgeslagen.

Voordat je begint
De volgende gebruikersrollen hebben toegang tot de wizard:

Procedure

  • Stap 1
    Meld u aan bij Veilige werkbelasting.
  • Stap 2
    Start de wizard:
    Als u momenteel geen bereiken hebt gedefinieerd, verschijnt de wizard automatisch wanneer u zich aanmeldt bij Secure Workload.

Alternatief:

  • Klik op de link De wizard nu uitvoeren in de blauwe banner bovenaan elke pagina.
  • Kies Overview vanuit het hoofdmenu aan de linkerkant van het venster.
  • Stap 3
    De wizard legt u uit wat u moet weten.
    Mis de volgende nuttige elementen niet:
    • Beweeg over de grafische elementen in de wizard om hun beschrijvingen te lezen.
    • Klik op een van de links en infoknoppen (CISCO Secure Workload-software - FIG11 ) voor belangrijke informatie.

(Optioneel) Als u opnieuw wilt beginnen, stelt u de bereikstructuur opnieuw in

U kunt de bereiken, labels en bereikstructuur die u met de wizard hebt gemaakt, verwijderen en desgewenst de wizard opnieuw uitvoeren.

Tip
Als u slechts enkele van de gemaakte bereiken wilt verwijderen en u de wizard niet opnieuw wilt uitvoeren, kunt u afzonderlijke bereiken verwijderen in plaats van de hele structuur opnieuw in te stellen: Klik op een bereik dat u wilt verwijderen en klik vervolgens op Verwijderen.

Voordat je begint
Voor de root scope zijn scope-eigenaarsrechten vereist.
Als u extra werkruimten, beleidsregels of andere afhankelijkheden hebt gemaakt, raadpleegt u de gebruikershandleiding in Veilige werklast voor volledige informatie over het opnieuw instellen van de scopeboom.

Procedure

  • Stap 1 Kies in het navigatiemenu aan de linkerkant Organiseren > Bereiken en inventaris.
  • Stap 2 Klik op de scope bovenaan de boom.
  • Stap 3 Klik op Reset.
  • Stap 4 Bevestig uw keuze.
  • Stap 5 Als de knop Reset verandert in Vernietigen in behandeling, moet u mogelijk de browserpagina vernieuwen.

Meer informatie

Voor meer informatie over concepten in de wizard, zie:

© 2022 Cisco Systems, Inc. Alle rechten voorbehouden.

Documenten / Bronnen

CISCO-software voor beveiligde werklasten [pdf] Gebruikershandleiding
Release 3.8, Veilige werklastsoftware, Veilige werklast, Software
CISCO-software voor beveiligde werklasten [pdf] Gebruikershandleiding
3.8.1.53, 3.8.1.1, Veilige werklastsoftware, Veilig, Werklastsoftware, Software

Referenties

Gerelateerde berichten

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *