Používateľská príručka softvéru CISCO Secure Workload

Obsah skryť

1 CISCO Secure Workload Software

2 Úvod do segmentácie

3 Nainštalujte agentov

4 Rýchly štart pracovného postupu

8 Súvisiace príspevky

CISCO Secure Workload Software

Príručka rýchleho spustenia Cisco Secure Workload pre vydanie 3.8

Cisco Secure Workload je softvér, ktorý umožňuje používateľom inštalovať softvérových agentov na ich pracovné zaťaženie aplikácií. Softvérové agenty zhromažďujú informácie o sieťových rozhraniach a aktívnych procesoch bežiacich na hostiteľskom systéme.

Úvod do segmentácie

Funkcia segmentácie Cisco Secure Workload umožňuje používateľom zoskupovať a označovať svoje pracovné zaťaženia. Pomáha to pri definovaní zásad a postupov pre každú skupinu a zabezpečuje bezpečnú komunikáciu medzi nimi.

O tejto príručke

Táto príručka je stručným sprievodcom pre Cisco Secure Workload Release 3.8. Poskytuje overview sprievodcu a prevedie používateľov procesom inštalácie agentov, zoskupovania a označovania pracovných zaťažení a vytvárania hierarchie pre ich organizáciu.

Prehliadka Čarodejníka

Sprievodca prevedie používateľov procesom inštalácie agentov, zoskupovania a označovania pracovných zaťažení a vytvárania hierarchie pre ich organizáciu.

Skôr ako začnete

K sprievodcovi majú prístup tieto používateľské roly:

Super správca
Admin

Bezpečnostný správca
Bezpečnostný operátor

Nainštalujte agentov

Ak chcete nainštalovať softvérových agentov na pracovné zaťaženie vašej aplikácie:

Otvorte sprievodcu Cisco Secure Workload.
Vyberte možnosť inštalácie agentov.

Dokončite proces inštalácie podľa pokynov sprievodcu.

Zoskupte a označte svoje pracovné úlohy

Ak chcete zoskupiť a označiť svoje úlohy:

Otvorte sprievodcu Cisco Secure Workload.

Vyberte možnosť zoskupenia a označenia vašich úloh.
Podľa pokynov sprievodcu vytvorte vetvu stromu rozsahu a priraďte štítky každej skupine.

Vytvorte si hierarchiu pre vašu organizáciu

Vytvorenie hierarchie pre vašu organizáciu:

Otvorte sprievodcu Cisco Secure Workload.
Vyberte možnosť na vytvorenie hierarchie pre vašu organizáciu.

Podľa pokynov sprievodcu definujte interný rozsah, rozsah dátového centra a predprodukčný rozsah.

Poznámka: Názvy rozsahov by mali byť krátke a zmysluplné. Uistite sa, že v predprodukčnom rozsahu neuvádzate adresy žiadnych aplikácií, ktoré sa používajú na vykonávanie skutočného podnikania.

Prvé zverejnené: 2023-04-12
Naposledy upravené: 2023-05-19

Úvod do segmentácie

Tradične je sieťová bezpečnosť zameraná na to, aby zabránila škodlivej činnosti mimo vašej siete pomocou firewallov na okraji vašej siete. Svoju organizáciu však musíte chrániť aj pred hrozbami, ktoré narušili vašu sieť alebo z nej pochádzajú. Segmentácia (alebo mikrosegmentácia) siete pomáha chrániť vaše pracovné zaťaženie prostredníctvom riadenia prevádzky medzi pracovnými záťažami a inými hostiteľmi vo vašej sieti; preto povoľte iba prenos, ktorý by vaša organizácia vyžadovala na obchodné účely, a zamietnite všetku ostatnú premávku. NaprampAk chcete zabrániť všetkej komunikácii medzi pracovnými záťažami, ktoré sú hostiteľom vášho verejného prístupu, môžete použiť politiky web aby aplikácia nekomunikovala s vašou výskumnou a vývojovou databázou vo vašom dátovom centre, alebo aby ste zabránili neprodukčným pracovným zaťaženiam kontaktovať produkčné úlohy. Cisco Secure Workload používa tokové údaje organizácie na navrhovanie politík, ktoré môžete vyhodnotiť a schváliť pred ich presadzovaním. Prípadne môžete tieto politiky na segmentáciu siete vytvoriť aj manuálne.

O tejto príručke

Tento dokument sa vzťahuje na verziu Secure Workload 3.8:

Predstavuje kľúčové koncepty bezpečného pracovného zaťaženia: segmentáciu, štítky pracovného zaťaženia, rozsahy, hierarchické stromy rozsahu a zisťovanie politiky.
Vysvetľuje proces vytvárania prvej vetvy vášho stromu rozsahu pomocou sprievodcu prvým používateľským prostredím a
Popisuje automatizovaný proces generovania politík pre zvolenú aplikáciu na základe skutočných prevádzkových tokov.

Prehliadka Čarodejníka

Skôr ako začnete
K sprievodcovi majú prístup tieto používateľské roly:

správca stránky
zákaznícku podporu
vlastník rozsahu

Nainštalujte agentov

Obrázok 1: Uvítacie okno

Nainštalujte agentov
V zabezpečenom pracovnom zaťažení môžete nainštalovať softvérových agentov na pracovné zaťaženia aplikácií. Softvérové agenty zhromažďujú informácie o sieťových rozhraniach a aktívnych procesoch bežiacich na hostiteľskom systéme.

Existujú dva spôsoby, ako môžete nainštalovať softvérových agentov:

Inštalátor skriptu agenta – túto metódu použite na inštaláciu, sledovanie a riešenie problémov pri inštalácii softvérových agentov. Podporované platformy sú Linux, Windows, Kubernetes, AIX a Solaris
Inštalátor obrazu agenta – stiahnite si obraz softvérového agenta a nainštalujte špecifickú verziu a typ softvérového agenta pre vašu platformu. Podporované platformy sú Linux a Windows.

Sprievodca registráciou vás prevedie procesom inštalácie agentov na základe zvolenej metódy inštalátora. Ďalšie podrobnosti o inštalácii softvérových agentov nájdete v pokynoch na inštaláciu v používateľskom rozhraní a v používateľskej príručke.

Zoskupte a označte svoje pracovné úlohy

Ak chcete vytvoriť rozsah, priraďte štítky skupine pracovných zaťažení.
Hierarchický strom rozsahu pomáha rozdeliť pracovné zaťaženie do menších skupín. Najnižšia vetva v strome rozsahu je vyhradená pre jednotlivé aplikácie.
Vyberte nadradený rozsah zo stromu rozsahu a vytvorte nový rozsah. Nový rozsah bude obsahovať podmnožinu členov z nadradeného rozsahu.

V tomto okne môžete organizovať svoje úlohy do skupín, ktoré sú usporiadané do hierarchickej štruktúry. Rozdelenie siete do hierarchických skupín umožňuje flexibilné a škálovateľné zisťovanie a definovanie politiky.
Štítky sú kľúčové parametre, ktoré popisujú pracovné zaťaženie alebo koncový bod, sú reprezentované ako pár kľúč – hodnota. Sprievodca vám pomôže použiť označenia na vaše pracovné zaťaženia a potom tieto označenia zoskupí do skupín nazývaných rozsahy. Pracovné zaťaženia sú automaticky zoskupené do rozsahov na základe ich priradených označení. Politiky segmentácie môžete definovať na základe rozsahov.
Umiestnením kurzora myši na každý blok alebo rozsah v strome získate ďalšie informácie o type pracovných zaťažení alebo hostiteľov, ktoré obsahuje.

Poznámka

V okne Začíname s rozsahmi a menovkami sú kľúče Organizácia, Infraštruktúra, Prostredie a Aplikácia a text v sivých poliach v rade s každým kľúčom predstavuje hodnoty.
Napríkladample, všetky pracovné záťaže patriace do aplikácie 1 sú definované touto sadou označení:

Organizácia = Interná
Infraštruktúra = dátové centrá
Prostredie = Predvýroba

Aplikácia = Aplikácia 1

Sila štítkov a stromov rozsahu

Štítky podporujú výkon zabezpečeného pracovného zaťaženia a strom rozsahu vytvorený z vašich štítkov je viac než len súhrn vašej siete:

Štítky vám umožnia okamžite pochopiť vaše pravidlá:
„Odmietnuť všetku návštevnosť od predprodukcie po produkciu“
Porovnajte to s rovnakými pravidlami bez štítkov:
„Odmietnuť všetku premávku od 172.16.0.0/12 do 192.168.0.0/16“
Politiky založené na štítkoch sa automaticky použijú (alebo sa prestanú používať), keď sa do inventára pridajú (alebo sa z neho odstránia) označené pracovné zaťaženia. V priebehu času tieto dynamické zoskupenia založené na štítkoch výrazne znižujú množstvo úsilia potrebného na udržanie vášho nasadenia.
Pracovné zaťaženia sú zoskupené do rozsahov na základe ich označení. Tieto zoskupenia vám umožňujú jednoducho aplikovať politiku na súvisiace pracovné zaťaženia. Naprample, môžete jednoducho aplikovať politiku na všetky aplikácie v rozsahu Pre-Production.

Politiky vytvorené raz v jednom rozsahu možno automaticky použiť na všetky pracovné zaťaženia v podradených rozsahoch v strome, čím sa minimalizuje počet politík, ktoré musíte spravovať.
Môžete jednoducho definovať a aplikovať politiku široko (naprample, na všetky pracovné zaťaženia vo vašej organizácii) alebo úzko (len na pracovné zaťaženia, ktoré sú súčasťou konkrétnej aplikácie) alebo na akúkoľvek úroveň medzi nimi (napr.ample, na všetky pracovné zaťaženia vo vašom dátovom centre.
Zodpovednosť za každý rozsah môžete prideliť rôznym správcom a delegovať správu politík na ľudí, ktorí sú najlepšie oboznámení s každou časťou vašej siete.

Vytvorte si hierarchiu pre vašu organizáciu

Začnite budovať svoju hierarchiu alebo strom rozsahu, to zahŕňa identifikáciu a kategorizáciu aktív, určenie rozsahu, definovanie rolí a zodpovedností, vývoj politík a postupov na vytvorenie vetvy stromu rozsahu.

Sprievodca vás prevedie vytvorením vetvy stromu rozsahu. Zadajte IP adresy alebo podsiete pre každý modrý rozsah, štítky sa automaticky použijú na základe stromu rozsahu.

Predpoklady:

Zhromaždite IP adresy/podsiete priradené k vášmu predprodukčnému prostrediu, vašim dátovým centrám a vašej internej sieti.
Zhromaždite toľko IP adries/podsietí, koľko môžete, ďalšie IP adresy/podsiete môžete získať neskôr.

Neskôr, keď si vytvoríte strom, môžete pridať IP adresy/podsiete pre ostatné rozsahy v strome (sivé bloky).

Ak chcete vytvoriť strom rozsahu, vykonajte tieto kroky:

Definujte vnútorný rozsah
Interný rozsah zahŕňa všetky IP adresy, ktoré definujú internú sieť vašej organizácie, vrátane verejných a súkromných IP adries.
Sprievodca vás prevedie pridávaním adries IP do každého rozsahu vo vetve stromu. Keď pridávate adresy, sprievodca priraďuje ku každej adrese štítky, ktoré definujú rozsah.

Napríkladample, v tomto okne Nastavenie rozsahu sprievodca priradí štítok
Organizácia = Interná

na každú IP adresu.
Sprievodca predvolene pridáva adresy IP do priestoru súkromných internetových adries, ako je definované v RFC 1918

Poznámka
Všetky adresy IP nemusia byť zadané naraz, ale musíte zahrnúť adresy IP spojené s vami vybranou aplikáciou. Ostatné adresy IP môžete pridať neskôr.

Definujte rozsah dátového centra
Tento rozsah zahŕňa adresy IP, ktoré definujú vaše lokálne dátové centrá. Zadajte IP adresy/podsiete, ktoré definujú vašu internú sieť

Poznámka Názvy rozsahov by mali byť krátke a zmysluplné.

V tomto okne zadajte IP adresy, ktoré ste zadali pre organizáciu, tieto adresy musia byť podmnožinou adries pre vašu internú sieť. Ak máte viacero dátových centier, zahrňte ich všetky do tohto rozsahu, aby ste mohli definovať jeden súbor politík.

Poznámka

Ďalšie adresy môžete kedykoľvek pridať neskôrtage. Sprievodca napríklad priradí tieto označenia každej z adries IP:
Organizácia = Interná
Infraštruktúra = Dátové centrá

Definujte predprodukčný rozsah
Tento rozsah zahŕňa adresy IP neprodukčných aplikácií a hostiteľov, ako sú vývojové, laboratórne, testovacie alebo stagsystémov.

Poznámka
Uistite sa, že nezahŕňate adresy žiadnych aplikácií, ktoré sa používajú na vykonávanie skutočného podnikania, použite ich pre rozsah výroby, ktorý definujete neskôr.

IP adresy, ktoré zadáte do tohto okna, musia byť podmnožinou adries, ktoré ste zadali pre svoje dátové centrá, vrátane adries vami vybranej aplikácie. V ideálnom prípade by mali obsahovať aj predprodukčné adresy, ktoré nie sú súčasťou zvolenej aplikácie.

Poznámka Ďalšie adresy môžete kedykoľvek pridať neskôrtage.

Review Strom rozsahu, rozsahy a štítky
Skôr ako začnete vytvárať strom rozsahu, znovaview hierarchiu, ktorú môžete vidieť v ľavom okne. Koreňový rozsah zobrazuje štítky, ktoré boli automaticky vytvorené pre všetky nakonfigurované adresy IP a podsiete. Pri neskoršej stagV tomto procese sa do tohto stromu rozsahu pridajú aplikácie.
Obrázok 2:

Môžete rozbaliť a zbaliť vetvy a posúvať sa nadol, aby ste si vybrali konkrétny rozsah. Na pravej table môžete vidieť adresy IP a označenia priradené k pracovným zaťaženiam pre konkrétny rozsah. Na tomto okne môžete znovaview, pred pridaním aplikácie do tohto rozsahu upravte strom rozsahu.

Poznámka
Ak chcete view tieto informácie po ukončení sprievodcu vyberte z hlavnej ponuky Organizovať > Rozsahy a inventár,

Review Strom rozsahu

Skôr ako začnete vytvárať strom rozsahu, znovaview hierarchiu, ktorú môžete vidieť v ľavom okne. Koreňový rozsah zobrazuje štítky, ktoré boli automaticky vytvorené pre všetky nakonfigurované adresy IP a podsiete. Pri neskoršej stagV tomto procese sa do tohto stromu rozsahu pridajú aplikácie.

Poznámka
Ak chcete view tieto informácie po ukončení sprievodcu vyberte Organizovať > Rozsahy a inventár z hlavnej ponuky.

Vytvorte strom rozsahu

Potom, čo siview strom rozsahu, pokračujte vo vytváraní stromu rozsahu.

Informácie o strome rozsahu nájdete v časti Rozsahy a Inventár v používateľskej príručke.

Ďalšie kroky

Nainštalujte agentov
Nainštalujte agentov SecureWorkload na pracovné zaťaženia spojené s vami vybranou aplikáciou. Údaje, ktoré agenti zhromažďujú, sa používajú na generovanie navrhovaných politík na základe existujúcej prevádzky vo vašej sieti. Čím viac údajov, tým presnejšie politiky sa vytvárajú. Podrobnosti nájdete v časti Softvérových agentov v používateľskej príručke Secure Workload.

Pridať aplikáciu
Pridajte prvú aplikáciu do stromu rozsahu. Vyberte si predprodukčnú aplikáciu spustenú na holých alebo virtuálnych strojoch vo vašom dátovom centre. Po pridaní aplikácie môžete začať objavovať pravidlá pre túto aplikáciu. Ďalšie informácie nájdete v časti Rozsahy a inventár používateľskej príručky Secure Workload.

Nastavte spoločné zásady v internom rozsahu
Aplikujte súbor spoločných zásad v internom rozsahu. Naprample, povoľte iba prenos cez určitý port z vašej siete mimo vašu sieť.
Používatelia môžu definovať politiky manuálne pomocou klastrov, filtrov inventára a rozsahov, alebo ich možno zistiť a vygenerovať z údajov toku pomocou automatického zisťovania pravidiel.
Po nainštalovaní agentov a ponechaní aspoň niekoľkých hodín na zhromažďovanie údajov o toku premávky môžete povoliť zabezpečenému pracovnému zaťaženiu generovať (“objaviť”) politiky na základe tejto prevádzky. Podrobnosti nájdete v časti Automaticky zisťovať zásady používateľskej príručky Zabezpečené pracovné zaťaženie.
Aplikujte tieto zásady na interný (alebo interný alebo koreňový) rozsah, aby ste mohli efektívne znovaview politiky.

Pridajte Cloud Connector
Ak má vaša organizácia pracovné zaťaženia na AWS, Azure alebo GCP, použite cloudový konektor na pridanie týchto úloh do stromu rozsahu. Ďalšie informácie nájdete v časti Cloud Connectors používateľskej príručky Secure Workload.

Rýchly štart pracovného postupu

Krok	Urobte toto	Podrobnosti
1	(Voliteľné) Absolvujte komentovanú prehliadku sprievodcu	Prehliadka Čarodejníka, na strane 1
2	Vyberte aplikáciu a začnite svoju cestu segmentácie.	Ak chcete dosiahnuť najlepšie výsledky, postupujte podľa pokynov v Vyberte si Aplikácia pre tohto sprievodcu, na strane 10.
3	Zhromaždite adresy IP.	Sprievodca si vyžiada 4 skupiny IP adries. Podrobnosti nájdete v časti Zhromaždite adresy IP, na strane 9.
4	Spustite sprievodcu	Komu view požiadavky a prístup k sprievodcovi, viď Spustite sprievodcu na strane 11
5	Nainštalujte agentov Secure Workload na pracovné zaťaženie vašej aplikácie.	Pozrite si časť Inštalácia agentov.
6	Nechajte agentom čas na zhromaždenie údajov o toku.	Viac údajov vytvára presnejšie pravidlá. Minimálne množstvo potrebného času závisí od toho, ako aktívne sa vaša aplikácia používa.
7	Vygenerujte („objavte“) zásady na základe vašich skutočných údajov o toku.	Pozrite si časť Automatické generovanie politík.
8	Review vytvorené politiky.	Pozrite si časť Pozrite si vygenerované zásady.

Zhromaždite adresy IP
Budete potrebovať aspoň niektoré adresy IP v každej odrážke nižšie:

Adresy, ktoré definujú vašu internú sieť V predvolenom nastavení používa sprievodca štandardné adresy vyhradené pre súkromné internetové použitie.

Adresy, ktoré sú rezervované pre vaše dátové centrá.
Nepatria sem adresy používané počítačmi zamestnancov, cloudové alebo partnerské služby, centralizované IT služby atď.
Adresy, ktoré definujú vašu neprodukčnú sieť
Adresy pracovných zaťažení, ktoré tvoria vami zvolenú neprodukčnú aplikáciu
Zatiaľ nemusíte mať všetky adresy pre každú z vyššie uvedených odrážok; neskôr môžete kedykoľvek pridať ďalšie adresy.

Dôležité
Pretože každá zo 4 odrážok predstavuje podmnožinu adries IP odrážky nad ňou, každá adresa IP v každej odrážke musí byť zahrnutá aj medzi adresy IP odrážky nad ňou v zozname.

Vyberte aplikáciu pre tohto sprievodcu
Pre tohto sprievodcu vyberte jednu aplikáciu.
Aplikácia zvyčajne pozostáva z viacerých pracovných zaťažení, ktoré poskytujú rôzne služby, ako napr web služby alebo databázy, primárne a záložné servery atď. Tieto pracovné zaťaženia spoločne poskytujú funkčnosť aplikácie jej používateľom.

Pokyny pre výber vašej aplikácie
SecureWorkload podporuje pracovné zaťaženia bežiace na širokej škále platforiem a operačných systémov vrátane cloudových a kontajnerových pracovných zaťažení. Pre tohto sprievodcu si však vyberte aplikáciu s pracovnými záťažami, ktoré sú:

Beží vo vašom dátovom centre.
Beží na holých kovových a/alebo virtuálnych strojoch.

Beží na platformách Windows, Linux alebo AIX podporovaných agentmi Secure Workload, pozrite si časť https://www.cisco.com/go/secure-workload/requirements/agents.
Nasadené v predprodukčnom prostredí.

Poznámka
Sprievodcu môžete spustiť, aj keď ste si nevybrali aplikáciu a nezískali adresy IP, ale bez vykonania týchto vecí nemôžete sprievodcu dokončiť.

Poznámka
Ak nedokončíte sprievodcu pred odhlásením (alebo uplynutím časového limitu) alebo neprejdete do inej časti aplikácie Zabezpečené pracovné zaťaženie (použite ľavú navigačnú lištu), konfigurácie sprievodcu sa neuložia.

Podrobnosti o tom, ako pridať rozsah/pridať rozsah a štítky, nájdete v časti Rozsahy a inventár používateľskej príručky Cisco Secure Workload.

Spustite sprievodcu

Sprievodcu môžete spustiť bez ohľadu na to, či ste si vybrali aplikáciu a zhromaždili adresy IP, ale bez vykonania týchto vecí nebudete môcť sprievodcu dokončiť.

Dôležité
Ak nedokončíte sprievodcu pred odhlásením (alebo uplynutím časového limitu) zo Secure Workload, alebo ak prejdete do inej časti aplikácie pomocou ľavého navigačného panela, konfigurácie sprievodcu sa neuložia.

Skôr ako začnete
K sprievodcovi majú prístup tieto používateľské roly:

Postup

Krok 1
Prihláste sa do Secure Workload.
Krok 2
Spustite sprievodcu:
Ak momentálne nemáte definované žiadne rozsahy, sprievodca sa automaticky zobrazí, keď sa prihlásite do Secure Workload.

Prípadne:

Kliknite na odkaz Spustiť sprievodcu v modrom pruhu v hornej časti ľubovoľnej stránky.
Vyberte možnosť Overview z hlavnej ponuky na ľavej strane okna.
Krok 3
Sprievodca vám vysvetlí veci, ktoré potrebujete vedieť.
Nenechajte si ujsť nasledujúce užitočné prvky:
- Umiestnite kurzor myši na grafické prvky v sprievodcovi a prečítajte si ich popis.
- Kliknite na ľubovoľné odkazy a informačné tlačidlá ( ) pre dôležité informácie.

(Voliteľné) Ak chcete začať odznova, resetujte strom rozsahu

Môžete odstrániť rozsahy, štítky a strom rozsahov, ktoré ste vytvorili pomocou sprievodcu, a voliteľne spustiť sprievodcu znova.

Tip
Ak chcete odstrániť iba niektoré z vytvorených rozsahov a nechcete znova spustiť sprievodcu, môžete namiesto resetovania celého stromu odstrániť jednotlivé rozsahy: Kliknite na rozsah, ktorý chcete odstrániť, a potom kliknite na položku Odstrániť.

Skôr ako začnete
Vyžadujú sa privilégiá vlastníka rozsahu pre koreňový rozsah.
Ak ste vytvorili ďalšie pracovné priestory, politiky alebo iné závislosti, úplné informácie o resetovaní stromu rozsahu nájdete v Používateľskej príručke v položke Zabezpečené pracovné zaťaženie.

Postup

Krok 1 V navigačnej ponuke vľavo vyberte Usporiadať > Rozsahy a inventár .
Krok 2 Kliknite na rozsah v hornej časti stromu.

Krok 3 Kliknite na Reset.
Krok 4 Potvrďte svoj výber.
Krok 5 Ak sa tlačidlo Reset zmení na Destroy Pending, možno budete musieť obnoviť stránku prehliadača.

Viac informácií

Ďalšie informácie o pojmoch v sprievodcovi nájdete v časti:

Online pomocník v Bezpečnom pracovnom zaťažení
Používateľská príručka k bezpečnému pracovnému zaťaženiu vo formáte PDF pre vaše vydanie je k dispozícii z https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Dokumenty / zdroje

	CISCO Secure Workload Software [pdf] Používateľská príručka Vydanie 3.8, Bezpečné pracovné zaťaženie, Bezpečné pracovné zaťaženie, Softvér
	CISCO Secure Workload Software [pdf] Používateľská príručka 3.8.1.53, 3.8.1.1, Secure Workload Software, Secure, Workload Software, Software