Программное обеспечение для безопасных рабочих нагрузок CISCO

Краткое руководство по безопасной рабочей нагрузке Cisco для выпуска 3.8

Cisco Secure Workload — это программное обеспечение, которое позволяет пользователям устанавливать программные агенты на свои рабочие нагрузки приложений. Программные агенты собирают информацию о сетевых интерфейсах и активных процессах, запущенных в хост-системе.

Введение в сегментацию

Функция сегментации Cisco Secure Workload позволяет пользователям группировать и маркировать свои рабочие нагрузки. Это помогает в определении политик и процедур для каждой группы и обеспечении безопасной связи между ними.

Об этом руководстве

Это руководство является кратким руководством по выпуску Cisco Secure Workload 3.8. Он обеспечивает болееview мастера и помогает пользователям в процессе установки агентов, группировки и маркировки рабочих нагрузок, а также построения иерархии для своей организации.

Экскурсия волшебника

Мастер помогает пользователям в процессе установки агентов, группировки и маркировки рабочих нагрузок, а также построения иерархии для их организации.

Прежде чем начать

Следующие роли пользователей могут получить доступ к мастеру:

• Супер Админ
• Админ
• Администратор безопасности
• Оператор безопасности

Установить агенты

Чтобы установить программные агенты на рабочие нагрузки приложений:

1. Откройте мастер Cisco Secure Workload.
2. Выберите вариант установки агентов.
3. Следуйте инструкциям мастера, чтобы завершить процесс установки.

Группируйте и маркируйте свои рабочие нагрузки

Чтобы сгруппировать и пометить рабочие нагрузки:

1. Откройте мастер Cisco Secure Workload.
2. Выберите параметр, чтобы сгруппировать и пометить рабочие нагрузки.
3. Следуйте инструкциям мастера, чтобы создать ветвь дерева областей и присвоить метки каждой группе.

Создайте иерархию для вашей организации

Чтобы построить иерархию для вашей организации:

1. Откройте мастер Cisco Secure Workload.
2. Выберите вариант построения иерархии для вашей организации.
3. Следуйте инструкциям мастера, чтобы определить внутреннюю область, область центра обработки данных и область подготовки к производству.

Примечание: Имена областей должны быть короткими и осмысленными. Убедитесь, что вы не включаете адреса каких-либо приложений, которые используются для ведения реального бизнеса в области подготовки к производству.

Впервые опубликовано: 2023-04-12
Последнее изменение: 2023-05-19

Введение в сегментацию

Традиционно сетевая безопасность направлена ​​на предотвращение вредоносной активности в вашей сети с помощью брандмауэров по периметру вашей сети. Однако вам также необходимо защитить свою организацию от угроз, которые проникли в вашу сеть или возникли внутри нее. Сегментация (или микросегментация) сети помогает защитить ваши рабочие нагрузки за счет контроля трафика между рабочими нагрузками и другими узлами в вашей сети; поэтому разрешайте только тот трафик, который вашей организации потребуется для деловых целей, и запрещайте весь остальной трафик. Для бывшегоample, вы можете использовать политики для предотвращения любого обмена данными между рабочими нагрузками, на которых размещается ваш общедоступный web приложение от взаимодействия с вашей базой данных исследований и разработок в вашем центре обработки данных или для предотвращения контакта непроизводственных рабочих нагрузок с производственными рабочими нагрузками. Cisco Secure Workload использует потоковые данные организации, чтобы предложить политики, которые вы можете оценить и утвердить, прежде чем применять их. Кроме того, вы также можете вручную создать эти политики для сегментации сети.

Об этом руководстве

Этот документ применим для безопасной рабочей нагрузки версии 3.8:

• Знакомит с ключевыми концепциями безопасной рабочей нагрузки: сегментация, метки рабочей нагрузки, области, иерархические деревья областей и обнаружение политик.
• Объясняет процесс создания первой ветви дерева областей действия с помощью мастера взаимодействия с пользователем в первый раз и
• Описывает автоматизированный процесс создания политик для выбранного приложения на основе фактических потоков трафика.

Экскурсия волшебника

Прежде чем начать
Следующие роли пользователей могут получить доступ к мастеру:

• администратор сайта
• поддержка клиентов
• владелец области

Установить агенты

Рисунок 1: Окно приветствия

Установить агенты
В Secure Workload вы можете установить программные агенты на свои рабочие нагрузки приложений. Программные агенты собирают информацию о сетевых интерфейсах и активных процессах, запущенных в хост-системе.

Существует два способа установки программных агентов:

• Установщик сценария агента — используйте этот метод для установки, отслеживания и устранения неполадок при установке программных агентов. Поддерживаемые платформы: Linux, Windows, Kubernetes, AIX и Solaris.
• Установщик образа агента. Загрузите образ программного агента, чтобы установить конкретную версию и тип программного агента для вашей платформы. Поддерживаемые платформы: Linux и Windows.

Мастер подключения проведет вас через процесс установки агентов на основе выбранного метода установки. Дополнительные сведения об установке программных агентов см. в инструкциях по установке в пользовательском интерфейсе и в руководстве пользователя.

Группируйте и маркируйте свои рабочие нагрузки

Назначьте метки группе рабочих нагрузок, чтобы создать область.
Иерархическое дерево областей помогает разделить рабочие нагрузки на более мелкие группы. Самая нижняя ветвь в дереве областей зарезервирована для отдельных приложений.
Выберите родительскую область из дерева областей, чтобы создать новую область. Новая область будет содержать подмножество элементов из родительской области.

В этом окне вы можете организовать свои рабочие нагрузки в группы, которые расположены в иерархической структуре. Разбивка вашей сети на иерархические группы позволяет гибко и масштабируемо обнаруживать и определять политики.
Метки — это ключевые параметры, описывающие рабочую нагрузку или конечную точку, они представлены в виде пары ключ-значение. Мастер помогает применять метки к вашим рабочим нагрузкам, а затем группирует эти метки в группы, называемые областями. Рабочие нагрузки автоматически группируются в области на основе связанных с ними меток. Вы можете определить политики сегментации на основе областей.
Наведите указатель мыши на каждый блок или область в дереве, чтобы получить дополнительные сведения о типах рабочих нагрузок или хостов, которые они включают.

Примечание

В окне «Начало работы с областями и метками» «Организация», «Инфраструктура», «Среда» и «Приложение» — это ключи, а текст в серых полях рядом с каждым ключом — это значения.
Напримерample, все рабочие нагрузки, принадлежащие приложению 1, определяются этим набором меток:

• Организация = Внутренняя
• Инфраструктура = Центры обработки данных
• Окружающая среда = подготовка к производству
• Приложение = Приложение 1

Сила меток и деревьев областей видимости

Метки управляют мощью Secure Workload, а дерево областей, созданное из ваших меток, — это больше, чем просто сводка вашей сети:

• Ярлыки позволяют мгновенно понять ваши политики:
  «Запретить весь трафик от Pre-Production к Production»
  Сравните это с той же политикой без меток:
  «Запретить весь трафик с 172.16.0.0/12 по 192.168.0.0/16»
• Политики, основанные на метках, автоматически применяются (или перестают применяться), когда рабочие нагрузки с метками добавляются к инвентарю (или удаляются из него). Со временем эти динамические группировки на основе меток значительно сокращают объем усилий, необходимых для обслуживания вашего развертывания.
• Рабочие нагрузки группируются в области на основе их меток. Эти группы позволяют легко применять политику к связанным рабочим нагрузкам. Для бывшегоample, вы можете легко применить политику ко всем приложениям в области Pre-Production.
• Политики, созданные один раз в одной области, могут автоматически применяться ко всем рабочим нагрузкам в дочерних областях в дереве, что сводит к минимуму количество политик, которыми необходимо управлять.
  Вы можете легко определить и широко применять политику (например,ample, ко всем рабочим нагрузкам в вашей организации) или узко (только к рабочим нагрузкам, которые являются частью определенного приложения) или к любому промежуточному уровню (например,ample для всех рабочих нагрузок в вашем центре обработки данных.
• Вы можете возложить ответственность за каждую область на разных администраторов, делегируя управление политиками людям, которые лучше всего знакомы с каждой частью вашей сети.

Создайте иерархию для вашей организации

Начните строить свою иерархию или дерево областей, это включает в себя идентификацию и категоризацию активов, определение области действия, определение ролей и обязанностей, разработку политик и процедур для создания ветви дерева областей.

Мастер поможет вам создать ветвь дерева областей. Введите IP-адреса или подсети для каждой области, обведенной синим цветом, метки применяются автоматически на основе дерева областей.

Предварительные условия:

• Соберите IP-адреса/подсети, связанные с вашей предварительной средой, вашими центрами обработки данных и вашей внутренней сетью.
• Соберите как можно больше IP-адресов/подсетей, дополнительные IP-адреса/подсети вы сможете добавить позже.
• Позже, когда вы построите свое дерево, вы сможете добавить IP-адреса/подсети для других областей в дереве (серые блоки).

Чтобы создать дерево областей, выполните следующие действия:

Определите внутреннюю область
Внутренняя область включает все IP-адреса, определяющие внутреннюю сеть вашей организации, включая общедоступные и частные IP-адреса.
Мастер проведет вас через добавление IP-адресов в каждую область в ветви дерева. По мере добавления адресов мастер присваивает каждому адресу метки, определяющие область действия.

Напримерample, в этом окне Scope Setup мастер присваивает метку
Организация = Внутренняя

на каждый IP-адрес.
По умолчанию мастер добавляет IP-адреса в частное интернет-адресное пространство, как определено в RFC 1918.

Примечание
Все IP-адреса не обязательно вводить сразу, но вы должны включить IP-адреса, связанные с выбранным вами приложением. Остальные IP-адреса можно добавить позже.

Определение области центра обработки данных
Эта область включает IP-адреса, которые определяют ваши локальные центры обработки данных. Введите IP-адреса/подсети, определяющие вашу внутреннюю сеть.

Примечание Имена областей должны быть короткими и осмысленными.

В этом окне введите IP-адреса, которые вы ввели для организации, эти адреса должны быть подмножеством адресов вашей внутренней сети. Если у вас несколько центров обработки данных, включите их все в эту область, чтобы можно было определить единый набор политик.

Примечание

Вы всегда можете добавить больше адресов позже.tagе. Например, мастер назначает эти метки каждому из IP-адресов:
Организация = Внутренняя
Инфраструктура = Центры обработки данных

Определите область подготовки к производству
Эта область включает IP-адреса непроизводственных приложений и хостов, таких как разработка, лаборатория, тестирование илиtagсистемы.

Примечание
Убедитесь, что вы не включаете адреса каких-либо приложений, которые используются для ведения реального бизнеса, используйте их для рабочей области, которую вы определите позже.

IP-адреса, которые вы вводите в этом окне, должны быть подмножеством адресов, которые вы ввели для своих центров обработки данных, включая адреса выбранного вами приложения. В идеале они также должны включать предварительные адреса, которые не являются частью выбранного приложения.

Примечание Вы всегда можете добавить больше адресов позже.tage.

Review Дерево областей, области и метки
Прежде чем приступить к созданию дерева областей, повторноview иерархию, которую вы видите в левом окне. Корневая область показывает автоматически созданные метки для всех настроенных IP-адресов и подсетей. Позже сtage в процессе в это дерево областей добавляются приложения.
Рисунок 2:

Вы можете разворачивать и сворачивать ветки и прокручивать вниз, чтобы выбрать конкретную область. На правой панели вы можете увидеть IP-адреса и метки, назначенные рабочим нагрузкам для определенной области. В этом окне вы можете повторноview, измените дерево областей, прежде чем добавлять приложение в эту область.

Примечание
Если вы хотите view эту информацию после выхода из мастера выберите «Организовать» > «Области и инвентаризация» в главном меню,

Review Дерево области видимости

Прежде чем приступить к созданию дерева областей, повторноview иерархию, которую вы видите в левом окне. Корневая область показывает автоматически созданные метки для всех настроенных IP-адресов и подсетей. Позже сtage в процессе в это дерево областей добавляются приложения.

Вы можете разворачивать и сворачивать ветки и прокручивать вниз, чтобы выбрать конкретную область. На правой панели вы можете увидеть IP-адреса и метки, назначенные рабочим нагрузкам для определенной области. В этом окне вы можете повторноview, измените дерево областей, прежде чем добавлять приложение в эту область.

Примечание
Если вы хотите view эту информацию после выхода из мастера выберите «Организовать» > «Области и инвентаризация» в главном меню.

Создать дерево областей

После того, как вы переview дерева областей, продолжите создание дерева областей.

Информацию о дереве областей см. в разделах «Области действия» и «Инвентаризация» руководства пользователя.

Следующие шаги

Установить агенты
Установите агенты SecureWorkload на рабочие нагрузки, связанные с выбранным вами приложением. Данные, которые собирают агенты, используются для создания предлагаемых политик на основе существующего трафика в вашей сети. Чем больше данных, тем точнее политика. Дополнительные сведения см. в разделе «Агенты программного обеспечения» в руководстве пользователя «Безопасная рабочая нагрузка».

Добавить приложение
Добавьте первое приложение в дерево областей видимости. Выберите тестовое приложение, работающее на «голом железе» или виртуальных машинах в вашем центре обработки данных. После добавления приложения вы можете начать поиск политик для этого приложения. Дополнительные сведения см. в разделе «Области и инвентаризация» руководства пользователя Secure Workload.

Настройка общих политик во внутренней области
Примените набор общих политик во внутренней области. Для бывшегоample, разрешить трафик только через определенный порт из вашей сети за пределы вашей сети.
Пользователи могут определять политики вручную, используя кластеры, фильтры инвентаризации и области действия, или их можно обнаружить и сгенерировать из потоковых данных с помощью автоматического обнаружения политик.
После того как вы установили агенты и предоставили хотя бы несколько часов для накопления данных о потоках трафика, вы можете включить Secure Workload для создания («обнаружения») политик на основе этого трафика. Дополнительные сведения см. в разделе «Политики автоматического обнаружения» руководства пользователя Secure Workload.
Применяйте эти политики во внутренней (внутренней или корневой) области, чтобы эффективноview политики.

Добавить облачный коннектор
Если в вашей организации есть рабочие нагрузки на AWS, Azure или GCP, используйте облачный соединитель, чтобы добавить эти рабочие нагрузки в дерево областей. Дополнительные сведения см. в разделе «Облачные соединители» руководства пользователя Secure Workload.

Быстрый старт рабочего процесса

Шаг	Сделай это	Подробности
1	(Необязательно) Пройдите аннотированный обзор мастера	Экскурсия по мастеру, на странице 1
2	Выберите приложение, чтобы начать процесс сегментации.	Для достижения наилучших результатов следуйте инструкциям в Выберите Приложение для этого мастера, на стр. 10.
3	Соберите IP-адреса.	Мастер запросит 4 группы IP-адресов. Подробности см. Сбор IP-адресов, на странице 9.
4	Запустите мастер	К view требования и получить доступ к мастеру, см. Запустите мастер, на странице 11
5	Установите агенты Secure Workload для рабочих нагрузок вашего приложения.	См. Установка агентов.
6	Дайте агентам время собрать данные о потоках.	Чем больше данных, тем точнее политика. Минимальное количество требуемого времени зависит от того, насколько активно используется ваше приложение.
7	Создавайте («обнаруживайте») политики на основе ваших фактических данных о потоках.	См. Автоматическое создание политик.
8	Review сгенерированные политики.	См. Просмотр сгенерированных политик.

Соберите IP-адреса
Вам понадобятся по крайней мере некоторые из IP-адресов в каждом списке ниже:

• Адреса, определяющие вашу внутреннюю сеть. По умолчанию мастер использует стандартные адреса, зарезервированные для частного использования в Интернете.
• Адреса, зарезервированные для ваших центров обработки данных.
  Сюда не входят адреса, используемые компьютерами сотрудников, облачными или партнерскими службами, централизованными ИТ-службами и т. д.
• Адреса, которые определяют вашу непроизводственную сеть
• Адреса рабочих нагрузок, которые составляют выбранное вами нерабочее приложение.
  На данный момент вам не нужно иметь все адреса для каждой из вышеперечисленных пуль; вы всегда можете добавить больше адресов позже.

Важный
Поскольку каждый из 4 маркеров представляет собой подмножество IP-адресов маркера над ним, каждый IP-адрес в каждом маркере также должен быть включен среди IP-адресов маркера над ним в списке.

Выберите приложение для этого мастера
Для этого мастера выберите одно приложение.
Приложение обычно состоит из нескольких рабочих нагрузок, предоставляющих различные услуги, например web службы или базы данных, первичные и резервные серверы и т. д. Вместе эти рабочие нагрузки обеспечивают функциональные возможности приложения для его пользователей.

Рекомендации по выбору приложения
SecureWorkload поддерживает рабочие нагрузки, выполняемые на широком спектре платформ и операционных систем, включая облачные и контейнерные рабочие нагрузки. Однако для этого мастера выберите приложение со следующими рабочими нагрузками:

• Запуск в вашем центре обработки данных.
• Запуск на «голом железе» и/или виртуальных машинах.
• Запуск на платформах Windows, Linux или AIX, поддерживаемых агентами Secure Workload, см. https://www.cisco.com/go/secure-workload/requirements/agents.
• Развернуто в предпроизводственной среде.

Примечание
Вы можете запустить мастер, даже если вы не выбрали приложение и не собрали IP-адреса, но без этих действий вы не сможете завершить работу мастера.

Примечание
Если вы не завершите работу мастера перед выходом из системы (или истечением времени ожидания) или не перейдете к другой части приложения безопасной рабочей нагрузки (с помощью левой панели навигации), конфигурации мастера не будут сохранены.

Подробнее о том, как добавить область/добавить область и метки, см. в разделе «Области и инвентаризация» Руководства пользователя Cisco Secure Workload.

Запустите мастер

Вы можете запустить мастер независимо от того, выбрали ли вы приложение и собрали IP-адреса, но вы не сможете завершить работу мастера, не выполнив эти действия.

Важный
Если вы не завершите работу мастера до выхода (или истечения времени ожидания) из Secure Workload или если вы перейдете к другой части приложения с помощью левой панели навигации, конфигурации мастера не будут сохранены.

Прежде чем начать
Следующие роли пользователей могут получить доступ к мастеру:

Процедура

• Шаг 1
  Войдите в безопасную рабочую нагрузку.
• Шаг 2
  Запустите мастер:
  Если в настоящее время у вас нет определенных областей, мастер появляется автоматически при входе в Secure Workload.

Альтернативно:

• Щелкните ссылку Запустить мастер сейчас на синем баннере в верхней части любой страницы.
• Выбрать большеview из главного меню в левой части окна.
• Шаг 3
  Мастер объяснит то, что вам нужно знать.
  Не пропустите следующие полезные элементы:
  • Наведите указатель мыши на графические элементы в мастере, чтобы прочитать их описания.
  • Щелкните любые ссылки и информационные кнопки ( ) для важной информации.

(Необязательно) Чтобы начать заново, сбросьте дерево областей

Вы можете удалить области, метки и дерево областей, созданные с помощью мастера, и при необходимости снова запустить мастер.

Кончик
Если вы хотите удалить только некоторые из созданных областей и не хотите снова запускать мастер, вы можете удалить отдельные области вместо сброса всего дерева: щелкните область, которую нужно удалить, затем нажмите «Удалить».

Прежде чем начать
Требуются права владельца области для корневой области.
Если вы создали дополнительные рабочие области, политики или другие зависимости, см. Руководство пользователя в разделе «Безопасная рабочая нагрузка» для получения полной информации о сбросе дерева областей.

Процедура

• Шаг 1 В меню навигации слева выберите «Упорядочить» > «Области и инвентаризация».
• Шаг 2 Щелкните область в верхней части дерева.
• Шаг 3 Нажмите «Сброс».
• Шаг 4 Подтвердите свой выбор.
• Шаг 5. Если кнопка «Сброс» изменится на «Ожидание уничтожения», вам может потребоваться обновить страницу браузера.

Дополнительная информация

Дополнительные сведения о концепциях мастера см. в следующих разделах:

• Онлайн-справка в Secure Workload
• Руководство пользователя по безопасной рабочей нагрузке в формате PDF для вашей версии, доступное по адресу https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

© 2022 Cisco Systems, Inc. Все права защищены.

Документы/Ресурсы

	Программное обеспечение для безопасных рабочих нагрузок CISCO [pdf] Руководство пользователя Версия 3.8, Программное обеспечение для безопасной рабочей нагрузки, Безопасная рабочая нагрузка, Программное обеспечение
	Программное обеспечение для безопасных рабочих нагрузок CISCO [pdf] Руководство пользователя 3.8.1.53, 3.8.1.1, Безопасное программное обеспечение для рабочих нагрузок, Безопасное, Программное обеспечение для рабочих нагрузок, Программное обеспечение

Ссылки

• Руководство пользователя