Software de carga de trabalho segura da CISCO
Guia de início rápido da carga de trabalho segura da Cisco para a versão 3.8
O Cisco Secure Workload é um software que permite aos usuários instalar agentes de software em suas cargas de trabalho de aplicativos. Os agentes de software coletam informações sobre as interfaces de rede e os processos ativos em execução no sistema host.
Introdução à segmentação
O recurso de segmentação do Cisco Secure Workload permite que os usuários agrupem e rotulem suas cargas de trabalho. Isso ajuda na definição de políticas e procedimentos para cada grupo e garante uma comunicação segura entre eles.
Sobre este guia
Este guia é um guia de início rápido para o Cisco Secure Workload Release 3.8. Ele fornece um sobreview do assistente e guia os usuários pelo processo de instalação de agentes, agrupamento e rotulagem de cargas de trabalho e construção de uma hierarquia para sua organização.
Passeio do Mago
O assistente guia os usuários pelo processo de instalação de agentes, agrupamento e rotulagem de cargas de trabalho e construção de uma hierarquia para sua organização.
Antes de começar
As seguintes funções de usuário podem acessar o assistente:
- Superadministrador
- Administrador
- Administrador de Segurança
- operador de segurança
Instalar agentes
Para instalar agentes de software em suas cargas de trabalho de aplicativos:
- Abra o assistente Cisco Secure Workload.
- Selecione a opção para instalar agentes.
- Siga as instruções fornecidas pelo assistente para concluir o processo de instalação.
Agrupe e rotule suas cargas de trabalho
Para agrupar e rotular suas cargas de trabalho:
- Abra o assistente Cisco Secure Workload.
- Selecione a opção para agrupar e rotular suas cargas de trabalho.
- Siga as instruções fornecidas pelo assistente para criar uma ramificação da árvore de escopo e atribuir rótulos a cada grupo.
Crie a hierarquia para sua organização
Para criar uma hierarquia para sua organização:
- Abra o assistente Cisco Secure Workload.
- Selecione a opção para criar a hierarquia para sua organização.
- Siga as instruções fornecidas pelo assistente para definir o escopo interno, o escopo do datacenter e o escopo de pré-produção.
Observação: Os nomes de escopo devem ser curtos e significativos. Certifique-se de não incluir endereços de aplicativos usados para conduzir negócios reais no escopo de pré-produção.
Primeira publicação: 2023-04-12
Última modificação: 2023-05-19
Introdução à segmentação
Tradicionalmente, a segurança de rede visa manter atividades maliciosas fora de sua rede com firewalls ao redor da borda de sua rede. No entanto, você também precisa proteger sua organização contra ameaças que violaram sua rede ou se originaram nela. A segmentação (ou microssegmentação) da rede ajuda a proteger suas cargas de trabalho por meio do controle do tráfego entre cargas de trabalho e outros hosts em sua rede; portanto, permitindo apenas o tráfego que sua organização exigiria para fins comerciais e negando todos os outros tráfegos. por example, você pode usar políticas para impedir toda a comunicação entre as cargas de trabalho que hospedam seus aplicativos voltados para o público web aplicativo se comunique com seu banco de dados de pesquisa e desenvolvimento em seu data center ou para impedir que cargas de trabalho de não produção entrem em contato com cargas de trabalho de produção. O Cisco Secure Workload usa os dados de fluxo da organização para sugerir políticas que você pode avaliar e aprovar antes de aplicá-las. Como alternativa, você também pode criar manualmente essas políticas para segmentar a rede.
Sobre este guia
Este documento é aplicável ao Secure Workload versão 3.8:
- Apresenta os principais conceitos de carga de trabalho segura: segmentação, rótulos de carga de trabalho, escopos, árvores hierárquicas de escopo e descoberta de políticas.
- Explica o processo de criação da primeira ramificação de sua árvore de escopo usando o assistente de experiência do usuário iniciante e
- Descreve o processo automatizado de geração de políticas para o aplicativo escolhido com base nos fluxos de tráfego reais.
Passeio do Mago
Antes de começar
As seguintes funções de usuário podem acessar o assistente:
- administrador do site
- suporte ao cliente
- proprietário do escopo
Instalar agentes
Figura 1: janela de boas-vindas
Instalar agentes
No Secure Workload, você pode instalar agentes de software em suas cargas de trabalho de aplicativos. Os agentes de software coletam informações sobre as interfaces de rede e os processos ativos em execução no sistema host.
Há duas maneiras de instalar os agentes de software:
- Instalador do script do agente - use este método para instalar, rastrear e solucionar problemas durante a instalação dos agentes de software. As plataformas suportadas são Linux, Windows, Kubernetes, AIX e Solaris
- Instalador de imagem do agente - faça o download da imagem do agente de software para instalar uma versão e um tipo de agente de software específicos para sua plataforma. As plataformas suportadas são Linux e Windows.
O assistente de integração orienta você no processo de instalação dos agentes com base no método de instalação selecionado. Consulte as instruções de instalação na IU e consulte o guia do usuário para obter detalhes adicionais sobre a instalação de agentes de software.
Agrupe e rotule suas cargas de trabalho
Atribua rótulos a um grupo de cargas de trabalho para criar um escopo.
A árvore de escopo hierárquico ajuda a dividir as cargas de trabalho em grupos menores. A ramificação mais baixa na árvore de escopo é reservada para aplicativos individuais.
Selecione um escopo pai na árvore de escopo para criar um novo escopo. O novo escopo conterá um subconjunto dos membros do escopo pai.
Nesta janela, você pode organizar suas cargas de trabalho em grupos, que são organizados em uma estrutura hierárquica. Dividir sua rede em grupos hierárquicos permite descoberta e definição de políticas flexíveis e escaláveis.
Os rótulos são parâmetros-chave que descrevem uma carga de trabalho ou endpoint, representados como um par chave-valor. O assistente ajuda a aplicar os rótulos às suas cargas de trabalho e agrupa esses rótulos em grupos chamados escopos. As cargas de trabalho são agrupadas automaticamente em escopos com base em seus rótulos associados. Você pode definir políticas de segmentação com base nos escopos.
Passe o mouse sobre cada bloco ou escopo na árvore para obter mais informações sobre o tipo de cargas de trabalho ou hosts incluídos.
Observação
Na janela Introdução aos escopos e rótulos, Organização, Infraestrutura, Ambiente e Aplicativo são as chaves e o texto nas caixas cinza alinhadas com cada chave são os valores.
Por exemploample, todas as cargas de trabalho pertencentes ao Aplicativo 1 são definidas por este conjunto de rótulos:
- Organização = Interno
- Infraestrutura = Data Centers
- Ambiente = Pré-Produção
- Aplicação = Aplicação 1
O poder dos rótulos e das árvores de escopo
Os rótulos impulsionam o poder do Secure Workload, e a árvore de escopo criada a partir de seus rótulos é mais do que apenas um resumo de sua rede:
- Os rótulos permitem que você entenda instantaneamente suas políticas:
“Negar todo o tráfego da pré-produção à produção”
Compare isso com a mesma política sem rótulos:
“Negar todo o tráfego de 172.16.0.0/12 a 192.168.0.0/16” - As políticas baseadas em rótulos são aplicadas automaticamente (ou param de ser aplicadas) quando cargas de trabalho rotuladas são adicionadas (ou removidas) do inventário. Com o tempo, esses agrupamentos dinâmicos baseados em rótulos reduzem bastante o esforço necessário para manter sua implantação.
- As cargas de trabalho são agrupadas em escopos com base em seus rótulos. Esses agrupamentos permitem que você aplique políticas facilmente a cargas de trabalho relacionadas. por example, você pode facilmente aplicar a política a todos os aplicativos no escopo de pré-produção.
- As políticas criadas uma vez em um único escopo podem ser aplicadas automaticamente a todas as cargas de trabalho em escopos descendentes na árvore, minimizando o número de políticas que você precisa gerenciar.
Você pode facilmente definir e aplicar políticas amplamente (por exemploample, para todas as cargas de trabalho em sua organização) ou estreitamente (apenas para as cargas de trabalho que fazem parte de um aplicativo específico) ou para qualquer nível intermediário (por exemploample, para todas as cargas de trabalho em seu data center. - Você pode atribuir a responsabilidade de cada escopo a diferentes administradores, delegando o gerenciamento de políticas às pessoas mais familiarizadas com cada parte de sua rede.
Crie a hierarquia para sua organização
Comece a construir sua hierarquia ou árvore de escopo, isso envolve identificar e categorizar os ativos, determinar o escopo, definir funções e responsabilidades, desenvolver políticas e procedimentos para criar uma ramificação da árvore de escopo.
O assistente orienta você na criação de uma ramificação da árvore de escopo. Insira endereços IP ou sub-redes para cada escopo destacado em azul; os rótulos são aplicados automaticamente com base na árvore do escopo.
Pré-requisitos:
- Colete endereços IP/sub-redes associados ao seu ambiente de pré-produção, seus data centers e sua rede interna.
- Reúna o máximo de endereços IP/sub-redes que puder, você pode obter os endereços IP/sub-redes adicionais posteriormente.
- Mais tarde, ao construir sua árvore, você pode adicionar endereços IP/sub-redes para os outros escopos na árvore (os blocos cinza).
Para criar a árvore de escopo, execute estas etapas:
Definir o escopo interno
O escopo interno inclui todos os endereços IP que definem a rede interna da sua organização, incluindo endereços IP públicos e privados.
O assistente orienta você na adição de endereços IP a cada escopo na ramificação da árvore. Conforme você adiciona endereços, o assistente atribui rótulos a cada endereço que define o escopo.
Por exemploample, nesta janela Scope Setup, o assistente atribui o rótulo
Organização=Interno
para cada endereço IP.
Por padrão, o assistente adiciona os endereços IP no espaço de endereço privado da Internet, conforme definido na RFC 1918
Observação
Todos os endereços IP não precisam ser inseridos de uma vez, mas você deve incluir os endereços IP associados ao aplicativo escolhido; você pode adicionar o restante dos endereços IP posteriormente.
Definir o Escopo do Data Center
Esse escopo inclui os endereços IP que definem seus datacenters locais. Digite os endereços IP/sub-redes que definem sua rede interna
Observação Os nomes dos escopos devem ser curtos e significativos.
Nesta janela, insira os endereços IP que você inseriu para a organização, esses endereços devem ser um subconjunto dos endereços de sua rede interna. Se você tiver vários datacenters, inclua todos eles neste escopo para poder definir um único conjunto de políticas.
Observação
Você sempre pode adicionar mais endereços posteriormentetage. Por exemplo, o assistente atribui esses rótulos a cada um dos endereços IP:
Organização=Interno
Infraestrutura = Data Centers
Definir o escopo de pré-produção
Este escopo inclui endereços IP de aplicativos e hosts de não produção, como desenvolvimento, laboratório, teste ou stagsistemas de controle.
Observação
Certifique-se de não incluir endereços de aplicativos usados para conduzir negócios reais, use-os para o escopo de produção que você definir posteriormente.
Os endereços IP inseridos nesta janela devem ser um subconjunto dos endereços inseridos para seus datacenters, incluindo os endereços do aplicativo escolhido. Idealmente, eles também devem incluir endereços de pré-produção que não fazem parte do aplicativo escolhido.
Observação Você sempre pode adicionar mais endereços posteriormentetage.
Review Árvore de escopo, escopos e rótulos
Antes de começar a criar a árvore de escopo, review a hierarquia que você pode ver na janela da esquerda. O escopo raiz mostra rótulos que foram criados automaticamente para todos os endereços IP e sub-redes configurados. mais tardetage no processo, os aplicativos são adicionados a esta árvore de escopo.
Figura 2:
Você pode expandir e recolher ramificações e rolar para baixo para escolher um escopo específico. No painel direito, você pode ver os endereços IP e rótulos atribuídos às cargas de trabalho para o escopo específico. Nesta janela, você pode review, modifique a árvore de escopo antes de adicionar um aplicativo a esse escopo.
Observação
Se você quiser view essas informações depois de sair do assistente, escolha Organizar > Escopos e inventário no menu principal,
Review Árvore de Escopo
Antes de começar a criar a árvore de escopo, review a hierarquia que você pode ver na janela da esquerda. O escopo raiz mostra rótulos que foram criados automaticamente para todos os endereços IP e sub-redes configurados. mais tardetage no processo, os aplicativos são adicionados a esta árvore de escopo.
Você pode expandir e recolher ramificações e rolar para baixo para escolher um escopo específico. No painel direito, você pode ver os endereços IP e rótulos atribuídos às cargas de trabalho para o escopo específico. Nesta janela, você pode review, modifique a árvore de escopo antes de adicionar um aplicativo a esse escopo.
Observação
Se você quiser view essas informações depois de sair do assistente, escolha Organizar > Escopos e inventário no menu principal.
Criar Árvore de Escopo
Depois de vocêview a árvore de escopo, continue criando a árvore de escopo.
Para obter informações sobre a árvore de escopo, consulte as seções Escopos e Inventário no guia do usuário.
Próximos passos
Instalar agentes
Instale os agentes SecureWorkload nas cargas de trabalho associadas ao aplicativo escolhido. Os dados coletados pelos agentes são usados para gerar políticas sugeridas com base no tráfego existente em sua rede. Mais dados, políticas mais precisas são produzidas. Para obter detalhes, consulte a seção Agentes de software no guia do usuário do Secure Workload.
Adicionar aplicativo
Adicione o primeiro aplicativo à sua árvore de escopo. Escolha um aplicativo de pré-produção executado em bare metal ou máquinas virtuais em seu data center. Depois de adicionar um aplicativo, você pode começar a descobrir políticas para esse aplicativo. Para obter mais informações, consulte a seção Scopes and Inventory do guia do usuário do Secure Workload.
Configurar Políticas Comuns no Âmbito Interno
Aplicar um conjunto de políticas comuns no âmbito Interno. por example, permita apenas o tráfego através de determinada porta de sua rede para fora de sua rede.
Os usuários podem definir políticas manualmente usando clusters, filtros de inventário e escopos ou podem ser descobertos e gerados a partir de dados de fluxo usando uma descoberta automática de políticas.
Depois de instalar os agentes e aguardar pelo menos algumas horas para que os dados do fluxo de tráfego se acumulem, você pode habilitar o Secure Workload para gerar (“descobrir”) políticas com base nesse tráfego. Para obter detalhes, consulte a seção Descobrir políticas automaticamente do guia do usuário do Secure Workload.
Aplique essas políticas no escopo interno (ou interno ou raiz) para review políticas.
Adicionar conector de nuvem
Se sua organização tiver cargas de trabalho na AWS, Azure ou GCP, use um conector de nuvem para adicionar essas cargas de trabalho à sua árvore de escopo. Para obter mais informações, consulte a seção Cloud Connectors do guia do usuário Secure Workload.
Fluxo de trabalho de início rápido
| Etapa | Faça isso | Detalhes |
| 1 | (Opcional) Faça um tour com anotações do assistente | Tour do Wizard, na página 1 |
| 2 | Escolha um aplicativo para iniciar sua jornada de segmentação. | Para obter melhores resultados, siga as orientações em Escolha um Aplicação para este Assistente, na página 10. |
| 3 | Reúna endereços IP. | O assistente solicitará 4 grupos de endereços IP.
Para mais detalhes, veja Reunir endereços IP, na página 9. |
| 4 | Execute o assistente | Para view requisitos e acessar o assistente, consulte Execute o Assistente, na página 11 |
| 5 | Instale agentes Secure Workload nas cargas de trabalho do seu aplicativo. | Consulte Instalar agentes. |
| 6 | Dê tempo para que os agentes coletem dados de fluxo. | Mais dados produzem políticas mais precisas.
A quantidade mínima de tempo necessária depende de quão ativamente seu aplicativo é usado. |
| 7 | Gere (“descobrir”) políticas com base em seus dados de fluxo reais. | Consulte Gerar políticas automaticamente. |
| 8 | Review as políticas geradas. | Consulte Veja as políticas geradas. |
Reunir endereços IP
Você precisará de pelo menos alguns dos endereços IP em cada marcador abaixo:
- Endereços que definem sua rede interna Por padrão, o assistente usa os endereços padrão reservados para uso privado na Internet.
- Endereços reservados para seus datacenters.
Isso não inclui endereços usados por computadores de funcionários, nuvem ou serviços de parceiros, serviços de TI centralizados, etc. - Endereços que definem sua rede não produtiva
- Endereços das cargas de trabalho que compõem o aplicativo de não produção escolhido
Por enquanto, você não precisa ter todos os endereços para cada um dos marcadores acima; você sempre pode adicionar mais endereços mais tarde.
Importante
Como cada um dos 4 marcadores representa um subconjunto dos endereços IP do marcador acima dele, cada endereço IP em cada marcador também deve ser incluído entre os endereços IP do marcador acima dele na lista.
Escolha um aplicativo para este assistente
Para este assistente, escolha um único aplicativo.
Um aplicativo geralmente consiste em várias cargas de trabalho que fornecem serviços diferentes, como web serviços ou bancos de dados, servidores primários e de backup, etc. Juntas, essas cargas de trabalho fornecem a funcionalidade do aplicativo a seus usuários.
Diretrizes para escolher sua inscrição
O SecureWorkload oferece suporte a cargas de trabalho executadas em uma ampla variedade de plataformas e sistemas operacionais, incluindo cargas de trabalho em contêiner e baseadas em nuvem. No entanto, para este assistente, escolha um aplicativo com cargas de trabalho que sejam:
- Executando em seu data center.
- Execução em bare metal e/ou máquinas virtuais.
- Executando em plataformas Windows, Linux ou AIX suportadas com agentes Secure Workload, consulte https://www.cisco.com/go/secure-workload/requirements/agents.
- Implantado em um ambiente de pré-produção.
Observação
Você pode executar o assistente mesmo que não tenha escolhido um aplicativo e coletado endereços IP, mas não pode concluir o assistente sem fazer essas coisas.
Observação
Se você não concluir o assistente antes de sair (ou atingir o tempo limite) ou navegar para uma parte diferente do aplicativo Secure Workload (use a barra de navegação à esquerda), as configurações do assistente não serão salvas.
Para obter detalhes sobre como adicionar um escopo/adicionar escopo e rótulos, consulte a seção Scopes and Inventory do Cisco Secure Workload User Guide.
Execute o assistente
Você pode executar o assistente tendo escolhido ou não um aplicativo e reunido os endereços IP, mas não poderá concluir o assistente sem fazer essas coisas.
Importante
Se você não concluir o assistente antes de sair (ou expirar) do Secure Workload, ou se navegar para uma parte diferente do aplicativo usando a barra de navegação esquerda, as configurações do assistente não serão salvas.
Antes de começar
As seguintes funções de usuário podem acessar o assistente:
Procedimento
- Passo 1
Entre no Secure Workload. - Passo 2
Inicie o assistente:
Se você não tiver nenhum escopo definido no momento, o assistente aparecerá automaticamente quando você entrar no Secure Workload.
Alternativamente:
- Clique no link Executar o assistente agora no banner azul na parte superior de qualquer página.
- Escolha maisview no menu principal no lado esquerdo da janela.
- Passo 3
O assistente explicará o que você precisa saber.
Não perca os seguintes elementos úteis:- Passe o mouse sobre os elementos gráficos no assistente para ler suas descrições.
- Clique em qualquer link e botão de informação (
) para informações importantes.
(Opcional) Para recomeçar, redefina a árvore de escopo
Você pode excluir os escopos, rótulos e a árvore de escopo que criou usando o assistente e, opcionalmente, executar o assistente novamente.
Dica
Se você deseja remover apenas alguns dos escopos criados e não deseja executar o assistente novamente, pode excluir escopos individuais em vez de redefinir a árvore inteira: Clique em um escopo para excluir e, em seguida, clique em Excluir.
Antes de começar
Os privilégios de Proprietário do escopo para o escopo raiz são necessários.
Se você criou áreas de trabalho, políticas ou outras dependências adicionais, consulte o Guia do Usuário em Secure Workload para obter informações completas sobre como redefinir a árvore de escopo.
Procedimento
- Etapa 1 No menu de navegação à esquerda, escolha Organizar > Escopos e inventário .
- Etapa 2 Clique no escopo na parte superior da árvore.
- Etapa 3 Clique em Redefinir.
- Etapa 4 Confirme sua escolha.
- Etapa 5 Se o botão Redefinir mudar para Destruir Pendente, talvez seja necessário atualizar a página do navegador.
Mais informações
Para obter mais informações sobre os conceitos do assistente, consulte:
- A ajuda on-line no Secure Workload
- O PDF do Secure Workload User Guide para sua versão, disponível em https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html
© 2022 Cisco Systems, Inc. Todos os direitos reservados.
Documentos / Recursos
 |
Software de carga de trabalho segura da CISCO [pdf] Guia do Usuário Versão 3.8, Secure Workload Software, Secure Workload, Software |
 |
Software de carga de trabalho segura da CISCO [pdf] Guia do Usuário 3.8.1.53, 3.8.1.1, Software de carga de trabalho seguro, Seguro, Software de carga de trabalho, Software |
