Podręcznik użytkownika oprogramowania CISCO Secure Workload

Zawartość ukrywać

1 Oprogramowanie CISCO Secure Workload

2 Wprowadzenie do segmentacji

3 Zainstaluj agentów

4 Szybki start przepływu pracy

Oprogramowanie CISCO Secure Workload

Szybki przewodnik po rozwiązaniu Cisco Secure Workload dla wersji 3.8

Cisco Secure Workload to oprogramowanie, które umożliwia użytkownikom instalowanie agentów oprogramowania w obciążeniach aplikacji. Agenci oprogramowania zbierają informacje o interfejsach sieciowych i aktywnych procesach uruchomionych w systemie hosta.

Wprowadzenie do segmentacji

Funkcja segmentacji Cisco Secure Workload umożliwia użytkownikom grupowanie i etykietowanie swoich obciążeń. Pomaga to w definiowaniu zasad i procedur dla każdej grupy i zapewnianiu bezpiecznej komunikacji między nimi.

O tym przewodniku

Niniejszy przewodnik to skrócony przewodnik po rozwiązaniu Cisco Secure Workload Release 3.8. Zawiera onview kreatora i prowadzi użytkowników przez proces instalowania agentów, grupowania i etykietowania obciążeń oraz budowania hierarchii dla ich organizacji.

Wycieczka Czarodzieja

Kreator przeprowadza użytkowników przez proces instalowania agentów, grupowania i etykietowania obciążeń oraz budowania hierarchii dla ich organizacji.

Zanim zaczniesz

Dostęp do kreatora mogą mieć następujące role użytkownika:

Superadministrator
Administracja

Administrator bezpieczeństwa
Operator Bezpieczeństwa

Zainstaluj agentów

Aby zainstalować agentów oprogramowania w obciążeniach aplikacji:

Otwórz kreatora Cisco Secure Workload.
Wybierz opcję instalacji agentów.

Aby dokończyć proces instalacji, postępuj zgodnie z instrukcjami kreatora.

Grupuj i oznaczaj swoje obciążenia

Aby grupować i etykietować obciążenia:

Otwórz kreatora Cisco Secure Workload.

Wybierz opcję grupowania i etykietowania obciążeń.
Postępuj zgodnie z instrukcjami kreatora, aby utworzyć gałąź drzewa zakresu i przypisać etykiety do każdej grupy.

Zbuduj hierarchię dla swojej organizacji

Aby utworzyć hierarchię dla swojej organizacji:

Otwórz kreatora Cisco Secure Workload.
Wybierz opcję utworzenia hierarchii dla swojej organizacji.

Postępuj zgodnie z instrukcjami kreatora, aby zdefiniować zakres wewnętrzny, zakres centrum danych i zakres przedprodukcyjny.

Notatka: Nazwy zakresów powinny być krótkie i znaczące. Upewnij się, że nie uwzględniasz adresów żadnych aplikacji, które są używane do prowadzenia faktycznej działalności w zakresie przedprodukcyjnym.

Pierwsze opublikowanie: 2023-04-12
Ostatnia modyfikacja: 2023-05-19

Wprowadzenie do segmentacji

Tradycyjnie bezpieczeństwo sieci ma na celu utrzymanie złośliwej aktywności poza siecią za pomocą zapór sieciowych na jej skraju. Musisz jednak również chronić swoją organizację przed zagrożeniami, które naruszyły sieć lub pochodzą z niej. Segmentacja (lub mikrosegmentacja) sieci pomaga chronić obciążenia poprzez kontrolowanie ruchu między obciążeniami a innymi hostami w sieci; w związku z tym zezwalając tylko na ruch, którego organizacja wymagałaby do celów biznesowych, i blokując cały pozostały ruch. Na przykładampmożesz użyć zasad, aby zapobiec wszelkiej komunikacji między obciążeniami, które obsługują Twoją witrynę publiczną web aplikacji z Twojej bazy danych badań i rozwoju w Twoim centrum danych lub aby zapobiec kontaktowaniu się obciążeń nieprodukcyjnych z obciążeniami produkcyjnymi. Cisco Secure Workload używa danych przepływu organizacji, aby sugerować zasady, które możesz ocenić i zatwierdzić przed ich wyegzekwowaniem. Alternatywnie możesz również ręcznie utworzyć te zasady w celu segmentacji sieci.

O tym przewodniku

Niniejszy dokument dotyczy wersji 3.8 Secure Workload:

Przedstawia najważniejsze koncepcje bezpiecznego obciążenia pracą: segmentację, etykiety obciążeń pracą, zakresy, hierarchiczne drzewa zakresów i wykrywanie zasad.
Wyjaśnia proces tworzenia pierwszej gałęzi drzewa zakresu przy użyciu kreatora pierwszego doświadczenia użytkownika i
Opisuje zautomatyzowany proces generowania zasad dla wybranej aplikacji na podstawie rzeczywistych przepływów ruchu.

Wycieczka Czarodzieja

Zanim zaczniesz
Dostęp do kreatora mogą mieć następujące role użytkownika:

administrator serwisu
Obsługa klienta
właściciel zakresu

Zainstaluj agentów

Rysunek 1: Okno powitalne

Zainstaluj agentów
W Secure Workload możesz zainstalować agentów oprogramowania na obciążeniach aplikacji. Agenci oprogramowania zbierają informacje o interfejsach sieciowych i aktywnych procesach uruchomionych w systemie hosta.

Istnieją dwa sposoby instalacji agentów oprogramowania:

Instalator skryptu agenta — użyj tej metody do instalowania, śledzenia i rozwiązywania problemów podczas instalowania agentów oprogramowania. Obsługiwane platformy to Linux, Windows, Kubernetes, AIX i Solaris
Instalator obrazu agenta — pobierz obraz agenta oprogramowania, aby zainstalować określoną wersję i typ agenta oprogramowania dla swojej platformy. Obsługiwane platformy to Linux i Windows.

Kreator onboardingu przeprowadzi Cię przez proces instalowania agentów na podstawie wybranej metody instalacji. Zapoznaj się z instrukcjami instalacji w interfejsie użytkownika i zobacz podręcznik użytkownika, aby uzyskać dodatkowe informacje na temat instalowania agentów oprogramowania.

Grupuj i oznaczaj swoje obciążenia

Przypisz etykiety do grupy obciążeń, aby utworzyć zakres.
Hierarchiczne drzewo zakresu pomaga podzielić obciążenia na mniejsze grupy. Najniższa gałąź w drzewie zakresu jest zarezerwowana dla poszczególnych aplikacji.
Wybierz zakres nadrzędny z drzewa zakresów, aby utworzyć nowy zakres. Nowy zakres będzie zawierał podzbiór członków z zakresu nadrzędnego.

W tym oknie możesz organizować obciążenia w grupy, które są ułożone w hierarchicznej strukturze. Podział sieci na grupy hierarchiczne umożliwia elastyczne i skalowalne odkrywanie i definiowanie zasad.
Etykiety to kluczowe parametry opisujące obciążenie lub punkt końcowy, reprezentowane jako para klucz-wartość. Kreator pomaga stosować etykiety do obciążeń, a następnie grupuje te etykiety w grupy zwane zakresami. Obciążenia są automatycznie grupowane w zakresy na podstawie powiązanych z nimi etykiet. Możesz zdefiniować zasady segmentacji na podstawie zakresów.
Najedź kursorem na każdy blok lub zakres w drzewie, aby uzyskać więcej informacji o typie obciążeń lub hostów, które obejmuje.

Notatka

W oknie Rozpoczęcie pracy z zakresami i etykietami kluczami są Organizacja, Infrastruktura, Środowisko i Aplikacja, a tekst w szarych polach obok każdego klucza to jego wartości.
Na przykładample, wszystkie obciążenia należące do Aplikacji 1 są definiowane przez następujący zestaw etykiet:

Organizacja = wewnętrzna
Infrastruktura = Centra danych
Środowisko = Preprodukcja

Aplikacja = Aplikacja 1

Siła etykiet i drzew zakresów

Etykiety stanowią siłę Bezpiecznego Obciążenia, a drzewo zakresów utworzone na podstawie etykiet to coś więcej niż tylko podsumowanie Twojej sieci:

Etykiety pozwalają natychmiast zrozumieć obowiązujące zasady:
„Odrzuć cały ruch z etapu preprodukcji do etapu produkcji”
Porównaj to z tą samą polityką bez etykiet:
„Odrzuć cały ruch z adresów 172.16.0.0/12 do 192.168.0.0/16”
Zasady oparte na etykietach są automatycznie stosowane (lub przestają być stosowane), gdy oznaczone obciążenia są dodawane do (lub usuwane z) inwentarza. Z czasem te dynamiczne grupowania oparte na etykietach znacznie zmniejszają ilość wysiłku wymaganego do utrzymania wdrożenia.
Obciążenia są grupowane w zakresy na podstawie ich etykiet. Te grupowania pozwalają na łatwe stosowanie zasad do powiązanych obciążeń. Na przykładampDzięki temu możesz łatwo zastosować politykę do wszystkich aplikacji w zakresie przedprodukcyjnym.

Zasady utworzone raz w pojedynczym zakresie można automatycznie stosować do wszystkich obciążeń w zakresach potomnych w drzewie, minimalizując liczbę zasad, którymi trzeba zarządzać.
Możesz łatwo definiować i stosować politykę szeroko (np.ampnp. do wszystkich obciążeń w organizacji) lub wąsko (tylko do obciążeń, które są częścią określonej aplikacji) lub na dowolnym poziomie pośrednim (np.ample, do wszystkich obciążeń w Twoim centrum danych.
Możesz przypisać odpowiedzialność za każdy zakres różnym administratorom, delegując zarządzanie zasadami osobom, które najlepiej znają każdą część Twojej sieci.

Zbuduj hierarchię dla swojej organizacji

Rozpocznij budowę hierarchii lub drzewa zakresu. Wiąże się to z identyfikacją i kategoryzacją zasobów, ustaleniem zakresu, zdefiniowaniem ról i obowiązków, opracowaniem zasad i procedur w celu utworzenia gałęzi drzewa zakresu.

Kreator poprowadzi Cię przez proces tworzenia gałęzi drzewa zakresu. Wprowadź adresy IP lub podsieci dla każdego zakresu zaznaczonego na niebiesko, etykiety zostaną automatycznie zastosowane na podstawie drzewa zakresu.

Wymagania wstępne:

Zbierz adresy IP/podsieci powiązane ze środowiskiem przedprodukcyjnym, centrami danych i siecią wewnętrzną.
Zbierz tyle adresów IP/podsieci, ile możesz. Dodatkowe adresy IP/podsieci możesz zdobyć później.

Później, w miarę tworzenia drzewa, możesz dodać adresy IP/podsieci dla innych zakresów w drzewie (szare bloki).

Aby utworzyć drzewo zakresu, wykonaj następujące kroki:

Zdefiniuj zakres wewnętrzny
Zakres wewnętrzny obejmuje wszystkie adresy IP definiujące wewnętrzną sieć Twojej organizacji, w tym adresy IP publiczne i prywatne.
Kreator przeprowadzi Cię przez proces dodawania adresów IP do każdego zakresu w gałęzi drzewa. Podczas dodawania adresów kreator przypisuje etykiety do każdego adresu, który definiuje zakres.

Na przykładampw tym oknie Konfiguracji zakresu kreator przypisuje etykietę
Organizacja=Wewnętrzna

do każdego adresu IP.
Domyślnie kreator dodaje adresy IP w prywatnej przestrzeni adresowej Internetu, zgodnie z definicją w dokumencie RFC 1918

Notatka
Nie ma potrzeby wprowadzania wszystkich adresów IP od razu, należy natomiast uwzględnić adresy IP powiązane z wybraną aplikacją. Resztę adresów IP można dodać później.

Zdefiniuj zakres centrum danych
Ten zakres obejmuje adresy IP, które definiują Twoje lokalne centra danych. Wprowadź adresy IP/podsieci, które definiują Twoją sieć wewnętrzną

Notatka Nazwy zakresów powinny być krótkie i znaczące.

W tym oknie wprowadź adresy IP, które wprowadziłeś dla organizacji, te adresy muszą być podzbiorem adresów dla Twojej sieci wewnętrznej. Jeśli masz wiele centrów danych, uwzględnij je wszystkie w tym zakresie, aby móc zdefiniować jeden zestaw zasad.

Notatka

Zawsze możesz dodać więcej adresów późniejtage. Na przykład kreator przypisuje te etykiety do każdego z adresów IP:
Organizacja=Wewnętrzna
Infrastruktura=Centra danych

Określ zakres preprodukcji
Zakres ten obejmuje adresy IP aplikacji i hostów nieprodukcyjnych, takich jak środowiska programistyczne, laboratoria, systemy testowe lub serwery.tagsystemów.

Notatka
Upewnij się, że nie uwzględniasz adresów żadnych aplikacji, które służą do prowadzenia faktycznej działalności, użyj ich w zakresie produkcji, który zdefiniujesz później.

Adresy IP, które wprowadzisz w tym oknie, muszą być podzbiorem adresów, które wprowadziłeś dla swoich centrów danych, obejmują adresy wybranej aplikacji. W idealnym przypadku powinny one również obejmować adresy przedprodukcyjne, które nie są częścią wybranej aplikacji.

Notatka Zawsze możesz dodać więcej adresów późniejtage.

Review Drzewo zakresów, zakresy i etykiety
Przed rozpoczęciem tworzenia drzewa zakresu należy ponownieview hierarchia, którą możesz zobaczyć w lewym oknie. Zakres główny pokazuje etykiety, które zostały automatycznie utworzone dla wszystkich skonfigurowanych adresów IP i podsieci. W późniejszym czasietagW tym procesie aplikacje są dodawane do tego drzewa zakresu.
Rysunek 2:

Możesz rozwijać i zwijać gałęzie oraz przewijać w dół, aby wybrać konkretny zakres. W prawym panelu możesz zobaczyć adresy IP i etykiety przypisane do obciążeń dla konkretnego zakresu. W tym oknie możesz ponownieview, zmodyfikuj drzewo zakresu przed dodaniem aplikacji do tego zakresu.

Notatka
Jeśli chcesz view aby uzyskać te informacje po wyjściu z kreatora, wybierz z menu głównego opcję Organizuj > Zakresy i inwentarz,

Review Drzewo zakresu

Przed rozpoczęciem tworzenia drzewa zakresu należy ponownieview hierarchia, którą możesz zobaczyć w lewym oknie. Zakres główny pokazuje etykiety, które zostały automatycznie utworzone dla wszystkich skonfigurowanych adresów IP i podsieci. W późniejszym czasietagW tym procesie aplikacje są dodawane do tego drzewa zakresu.

Notatka
Jeśli chcesz view Aby uzyskać te informacje po wyjściu z kreatora, wybierz z menu głównego polecenie Organizuj > Zakresy i inwentarz.

Utwórz drzewo zakresu

Po powrocieview drzewo zakresu, kontynuuj tworzenie drzewa zakresu.

Informacje na temat drzewa zakresów można znaleźć w sekcjach Zakresy i Inwentarz w podręczniku użytkownika.

Następne kroki

Zainstaluj agentów
Zainstaluj agentów SecureWorkload na obciążeniach skojarzonych z wybraną aplikacją. Dane gromadzone przez agentów są wykorzystywane do generowania sugerowanych zasad na podstawie istniejącego ruchu w sieci. Im więcej danych, tym dokładniejsze zasady są tworzone. Aby uzyskać szczegółowe informacje, zobacz sekcję Agenty oprogramowania w podręczniku użytkownika Secure Workload.

Dodaj aplikację
Dodaj pierwszą aplikację do swojego drzewa zakresów. Wybierz aplikację przedprodukcyjną działającą na gołym metalu lub maszynach wirtualnych w swoim centrum danych. Po dodaniu aplikacji możesz rozpocząć odkrywanie zasad dla tej aplikacji. Aby uzyskać więcej informacji, zobacz sekcję Zakresy i inwentaryzacja podręcznika użytkownika Secure Workload.

Konfigurowanie wspólnych zasad w zakresie wewnętrznym
Zastosuj zestaw wspólnych zasad w zakresie wewnętrznym. Na przykładampnp. zezwól tylko na ruch przez określony port z Twojej sieci na ruch poza Twoją sieć.
Użytkownicy mogą definiować zasady ręcznie, korzystając z klastrów, filtrów inwentarzowych i zakresów, lub można je wykryć i wygenerować z danych przepływu za pomocą automatycznego wykrywania zasad.
Po zainstalowaniu agentów i odczekaniu co najmniej kilku godzin na zgromadzenie danych o przepływie ruchu możesz włączyć Secure Workload, aby generować zasady („discover”) na podstawie tego ruchu. Aby uzyskać szczegółowe informacje, zobacz sekcję Automatyczne wykrywanie zasad w podręczniku użytkownika Secure Workload.
Zastosuj te zasady w zakresie wewnętrznym (lub wewnętrznym lub głównym), aby skutecznieview polityki.

Dodaj łącznik chmury
Jeśli Twoja organizacja ma obciążenia w AWS, Azure lub GCP, użyj łącznika chmury, aby dodać te obciążenia do swojego drzewa zakresu. Aby uzyskać więcej informacji, zobacz sekcję Łączniki chmury w podręczniku użytkownika Secure Workload.

Szybki start przepływu pracy

Krok	Zrób to	Bliższe dane
1	(Opcjonalnie) Obejrzyj opisaną wycieczkę po kreatorze	Wycieczka po Czarodzieju, na stronie 1
2	Wybierz aplikację, aby rozpocząć segmentację.	Aby uzyskać najlepsze rezultaty, postępuj zgodnie z wytycznymi w Wybierz Aplikacja dla tego Kreatora, na stronie 10.
3	Zbierz adresy IP.	Kreator poprosi o 4 grupy adresów IP. Więcej szczegółów znajdziesz tutaj Zbierz adresy IP, na stronie 9.
4	Uruchom kreatora	Do view wymagania i dostęp do kreatora, zobacz Uruchom Kreatora, na stronie 11
5	Zainstaluj agentów Secure Workload w obciążeniach swojej aplikacji.	Zobacz Instalowanie agentów.
6	Daj agentom czas na zebranie danych o przepływie.	Więcej danych pozwala na tworzenie dokładniejszych polityk. Minimalny wymagany czas zależy od tego, jak aktywnie używana jest Twoja aplikacja.
7	Generuj zasady („odkrywaj”) w oparciu o rzeczywiste dane dotyczące przepływu.	Zobacz Automatyczne generowanie zasad.
8	Review wygenerowane zasady.	Zobacz „Sprawdź wygenerowane zasady”.

Zbierz adresy IP
Będziesz potrzebować co najmniej kilku adresów IP podanych w każdym punkcie poniżej:

Adresy definiujące Twoją sieć wewnętrzną Domyślnie kreator używa standardowych adresów zarezerwowanych do prywatnego użytku w Internecie.

Adresy zarezerwowane dla Twoich centrów danych.
Nie obejmuje to adresów używanych przez komputery pracowników, usługi w chmurze lub usługi partnerskie, scentralizowane usługi informatyczne itp.
Adresy definiujące Twoją sieć nieprodukcyjną
Adresy obciążeń, które składają się na wybraną aplikację nieprodukcyjną
Na razie nie musisz mieć wszystkich adresów dla każdego z powyższych punktów; później zawsze możesz dodać więcej adresów.

Ważny
Ponieważ każdy z 4 punktów reprezentuje podzbiór adresów IP punktu znajdującego się nad nim, każdy adres IP w każdym punkcie musi być również uwzględniony wśród adresów IP punktu znajdującego się nad nim na liście.

Wybierz aplikację dla tego kreatora
W przypadku tego kreatora wybierz pojedynczą aplikację.
Aplikacja zazwyczaj składa się z wielu obciążeń, które zapewniają różne usługi, takie jak: web usługi lub bazy danych, serwery podstawowe i zapasowe itd. Razem obciążenia te zapewniają funkcjonalność aplikacji jej użytkownikom.

Wytyczne dotyczące wyboru aplikacji
SecureWorkload obsługuje obciążenia działające na szerokiej gamie platform i systemów operacyjnych, w tym obciążenia w chmurze i konteneryzowane. Jednak w przypadku tego kreatora wybierz aplikację z obciążeniami, które są:

Działa w Twoim centrum danych.
Działa na maszynach fizycznych i/lub maszynach wirtualnych.

W przypadku korzystania z platform Windows, Linux lub AIX obsługiwanych przez agentów Secure Workload, zobacz https://www.cisco.com/go/secure-workload/requirements/agents.
Wdrożono w środowisku przedprodukcyjnym.

Notatka
Możesz uruchomić kreatora, nawet jeśli nie wybrałeś aplikacji i nie zebrałeś adresów IP, ale nie uda Ci się zakończyć pracy kreatora bez wykonania tych czynności.

Notatka
Jeśli nie ukończysz kreatora przed wylogowaniem (lub przekroczeniem limitu czasu) lub nie przejdziesz do innej części aplikacji Secure Workload (skorzystaj z lewego paska nawigacyjnego), konfiguracje kreatora nie zostaną zapisane.

Szczegółowe informacje na temat dodawania zakresu/zakresu i etykiet można znaleźć w sekcji Zakresy i inwentarz w Podręczniku użytkownika Cisco Secure Workload.

Uruchom kreatora

Możesz uruchomić kreatora niezależnie od tego, czy wybrałeś aplikację i zebrałeś adresy IP, ale bez wykonania tych czynności nie będziesz mógł zakończyć pracy kreatora.

Ważny
Jeśli nie ukończysz kreatora przed wylogowaniem (lub przekroczeniem limitu czasu) z Secure Workload lub jeśli przejdziesz do innej części aplikacji, korzystając z lewego paska nawigacyjnego, konfiguracje kreatora nie zostaną zapisane.

Zanim zaczniesz
Dostęp do kreatora mogą mieć następujące role użytkownika:

Procedura

Krok 1
Zaloguj się do Secure Workload.
Krok 2
Uruchom kreatora:
Jeśli obecnie nie zdefiniowano żadnych zakresów, kreator pojawi się automatycznie po zalogowaniu do Secure Workload.

Alternatywnie:

Kliknij link Uruchom kreatora teraz na niebieskim banerze u góry dowolnej strony.
Wybierz Ponadview z menu głównego po lewej stronie okna.
Krok 3
Kreator wyjaśni Ci wszystko, co musisz wiedzieć.
Nie przegap następujących pomocnych elementów:
- Najedź kursorem na elementy graficzne w kreatorze, aby przeczytać ich opisy.
- Kliknij dowolny link i przycisk informacyjny ( ) aby uzyskać ważne informacje.

(Opcjonalnie) Aby zacząć od nowa, zresetuj drzewo zakresu

Możesz usunąć zakresy, etykiety i drzewo zakresów utworzone za pomocą kreatora i opcjonalnie uruchomić kreatora ponownie.

Wskazówka
Jeśli chcesz usunąć tylko niektóre z utworzonych zakresów i nie chcesz ponownie uruchamiać kreatora, możesz usunąć pojedyncze zakresy zamiast resetować całe drzewo: Kliknij zakres, który chcesz usunąć, a następnie kliknij Usuń.

Zanim zaczniesz
Wymagane są uprawnienia właściciela zakresu do zakresu głównego.
Jeśli utworzyłeś dodatkowe obszary robocze, zasady lub inne zależności, zapoznaj się z Podręcznikiem użytkownika w podręczniku Bezpieczne obciążenie, aby uzyskać pełne informacje na temat resetowania drzewa zakresu.

Procedura

Krok 1 W menu nawigacyjnym po lewej stronie wybierz opcję Organizuj > Zakresy i inwentarz.
Krok 2 Kliknij zakres znajdujący się na górze drzewa.

Krok 3 Kliknij Resetuj.
Krok 4 Potwierdź swój wybór.
Krok 5 Jeśli przycisk Resetuj zmieni się na Zniszcz oczekujące, może być konieczne odświeżenie strony przeglądarki.

Więcej informacji

Aby uzyskać więcej informacji na temat koncepcji kreatora, zobacz:

Pomoc online w programie Secure Workload
Podręcznik użytkownika Secure Workload w formacie PDF do Twojej wersji, dostępny pod adresem https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Dokumenty / Zasoby

	Oprogramowanie CISCO Secure Workload [plik PDF] Instrukcja użytkownika Wersja 3.8, Bezpieczne oprogramowanie do obciążeń roboczych, Bezpieczne obciążenie robocze, Oprogramowanie
	Oprogramowanie CISCO Secure Workload [plik PDF] Instrukcja użytkownika 3.8.1.53, 3.8.1.1, Bezpieczne oprogramowanie do obciążeń roboczych, Bezpieczne, Oprogramowanie do obciążeń roboczych, Oprogramowanie