Uporabniški priročnik za programsko opremo CISCO Secure Workload

Vsebina skriti

1 Programska oprema CISCO Secure Workload

2 Uvod v segmentacijo

Programska oprema CISCO Secure Workload

Cisco Secure Workload Quick Start Guide za izdajo 3.8

Cisco Secure Workload je programska oprema, ki uporabnikom omogoča namestitev programskih agentov na njihove delovne obremenitve aplikacij. Programski agenti zbirajo informacije o omrežnih vmesnikih in aktivnih procesih, ki se izvajajo v gostiteljskem sistemu.

Uvod v segmentacijo

Funkcija segmentacije Cisco Secure Workload uporabnikom omogoča združevanje in označevanje svojih delovnih obremenitev. To pomaga pri definiranju politik in postopkov za vsako skupino ter zagotavljanju varne komunikacije med njimi.

O tem priročniku

Ta priročnik je hiter vodnik za Cisco Secure Workload Release 3.8. Zagotavlja nadview čarovnika in vodi uporabnike skozi postopek nameščanja agentov, združevanja in označevanja delovnih obremenitev ter gradnje hierarhije za njihovo organizacijo.

Ogled čarovnika

Čarovnik vodi uporabnike skozi postopek nameščanja agentov, združevanja in označevanja delovnih obremenitev ter gradnje hierarhije za njihovo organizacijo.

Preden začnete

Do čarovnika lahko dostopajo naslednje uporabniške vloge:

Super Admin
skrbnik

Varnostni skrbnik
Varnostni operater

Namestite agente

Če želite namestiti programske agente na delovne obremenitve vaše aplikacije:

Odprite čarovnika Cisco Secure Workload.
Izberite možnost namestitve agentov.

Za dokončanje postopka namestitve sledite navodilom čarovnika.

Združite in označite svoje delovne obremenitve

Za združevanje in označevanje delovnih obremenitev:

Odprite čarovnika Cisco Secure Workload.

Izberite možnost združevanja in označevanja delovnih obremenitev.
Sledite navodilom čarovnika, da ustvarite vejo drevesa obsega in dodelite oznake vsaki skupini.

Zgradite hierarhijo za svojo organizacijo

Če želite zgraditi hierarhijo za svojo organizacijo:

Odprite čarovnika Cisco Secure Workload.
Izberite možnost za izgradnjo hierarhije za vašo organizacijo.

Sledite navodilom čarovnika, da določite notranji obseg, obseg podatkovnega centra in obseg predprodukcije.

Opomba: Imena obsegov naj bodo kratka in smiselna. Prepričajte se, da v predprodukcijskem obsegu ne vključite naslovov nobenih aplikacij, ki se uporabljajo za izvajanje dejanskih poslov.

Prvič objavljeno: 2023-04-12
Zadnja sprememba: 2023-05-19

Uvod v segmentacijo

Tradicionalno je cilj varnosti omrežja preprečiti zlonamerno dejavnost iz vašega omrežja s požarnimi zidovi ob robu vašega omrežja. Vendar pa morate svojo organizacijo zaščititi tudi pred grožnjami, ki so vdrle v vaše omrežje ali izvirajo iz njega. Segmentacija (ali mikrosegmentacija) omrežja pomaga zaščititi vaše delovne obremenitve z nadzorom prometa med delovnimi obremenitvami in drugimi gostitelji v vašem omrežju; zato dovolite le promet, ki bi ga vaša organizacija potrebovala za poslovne namene, in zavrnite ves drug promet. Na primerample, lahko uporabite pravilnike, da preprečite vso komunikacijo med delovnimi obremenitvami, ki gostijo vaš javni dostop web aplikaciji za komunikacijo z vašo zbirko podatkov o raziskavah in razvoju v vašem podatkovnem centru ali da preprečite, da bi neproizvodne delovne obremenitve stopile v stik s proizvodnimi delovnimi obremenitvami. Cisco Secure Workload uporablja podatke o pretoku organizacije, da predlaga politike, ki jih lahko ocenite in odobrite, preden jih uveljavite. Druga možnost je, da te pravilnike za segmentiranje omrežja ustvarite tudi ročno.

O tem priročniku

Ta dokument velja za izdajo Secure Workload 3.8:

Predstavlja ključne koncepte varne delovne obremenitve: segmentacijo, oznake delovne obremenitve, obsege, hierarhična drevesa obsegov in odkrivanje pravilnikov.
Pojasnjuje postopek ustvarjanja prve veje vašega drevesa obsega z uporabo čarovnika za prvo uporabniško izkušnjo in
Opisuje avtomatiziran proces generiranja politik za izbrano aplikacijo na podlagi dejanskih prometnih tokov.

Ogled čarovnika

Preden začnete
Do čarovnika lahko dostopajo naslednje uporabniške vloge:

skrbnik spletnega mesta
podporo strankam
lastnik obsega

Namestite agente

Slika 1: Pozdravno okno

Namestite agente
V Secure Workload lahko namestite programske agente na delovne obremenitve vaše aplikacije. Programski agenti zbirajo informacije o omrežnih vmesnikih in aktivnih procesih, ki se izvajajo v gostiteljskem sistemu.

Programske agente lahko namestite na dva načina:

Namestitveni program agentskega skripta – to metodo uporabite za namestitev, sledenje in odpravljanje težav med nameščanjem programskih agentov. Podprte platforme so Linux, Windows, Kubernetes, AIX in Solaris
Namestitveni program za sliko agenta – prenesite sliko agenta programske opreme, da namestite določeno različico in vrsto agenta programske opreme za vašo platformo. Podprti platformi sta Linux in Windows.

Čarovnik za vkrcanje vas vodi skozi postopek namestitve agentov na podlagi izbrane metode namestitvenega programa. Glejte navodila za namestitev v uporabniškem vmesniku in uporabniški priročnik za dodatne podrobnosti o namestitvi programskih agentov.

Združite in označite svoje delovne obremenitve

Dodelite oznake skupini delovnih obremenitev, da ustvarite obseg.
Hierarhično drevo obsega pomaga razdeliti delovne obremenitve v manjše skupine. Najnižja veja v drevesu obsega je rezervirana za posamezne aplikacije.
V drevesu obsega izberite nadrejeni obseg, da ustvarite nov obseg. Novi obseg bo vseboval podnabor članov iz nadrejenega obsega.

V tem oknu lahko svoje delovne obremenitve organizirate v skupine, ki so urejene v hierarhični strukturi. Razčlenitev vašega omrežja v hierarhične skupine omogoča prilagodljivo in razširljivo odkrivanje in definiranje pravilnika.
Oznake so ključni parametri, ki opisujejo delovno obremenitev ali končno točko in so predstavljeni kot par ključ-vrednost. Čarovnik pomaga uporabiti oznake za vaše delovne obremenitve in nato te oznake združi v skupine, imenovane obsegi. Delovne obremenitve so samodejno razvrščene v obsege glede na njihove povezane oznake. Politike segmentacije lahko definirate na podlagi obsegov.
Premaknite miškin kazalec nad vsak blok ali obseg v drevesu za več informacij o vrsti delovnih obremenitev ali gostiteljih, ki jih vključuje.

Opomba

V oknu Get Started with Scopes and Labels so ključi Organizacija, Infrastruktura, Okolje in Aplikacija, vrednosti pa so besedilo v sivih poljih v vrsti z vsakim ključem.
Na primerample so vse delovne obremenitve, ki pripadajo aplikaciji 1, opredeljene s tem nizom oznak:

Organizacija = interna
Infrastruktura = podatkovni centri
Okolje = Predprodukcija

Aplikacija = Aplikacija 1

Moč oznak in dreves obsega

Oznake poganjajo moč varne delovne obremenitve in drevo obsega, ustvarjeno iz vaših oznak, je več kot le povzetek vašega omrežja:

Oznake vam omogočajo, da takoj razumete svoje pravilnike:
»Zavrni ves promet od predprodukcije do produkcije«
Primerjajte to z istim pravilnikom brez oznak:
»Zavrni ves promet od 172.16.0.0/12 do 192.168.0.0/16«
Politike, ki temeljijo na oznakah, se samodejno uporabijo (ali prenehajo uporabljati), ko so označene delovne obremenitve dodane (ali odstranjene) iz inventarja. Sčasoma te dinamične skupine, ki temeljijo na oznakah, močno zmanjšajo količino truda, potrebnega za vzdrževanje vaše uvedbe.
Delovne obremenitve so razvrščene v obsege glede na njihove oznake. Te skupine vam omogočajo enostavno uporabo pravilnika za povezane delovne obremenitve. Na primerample, lahko preprosto uporabite pravilnik za vse aplikacije v obsegu predprodukcije.

Politike, ustvarjene enkrat v enem obsegu, je mogoče samodejno uporabiti za vse delovne obremenitve v podrejenih obsegih v drevesu, kar zmanjša število pravilnikov, ki jih morate upravljati.
Politiko lahko preprosto definirate in uporabite na splošno (nprample, na vse delovne obremenitve v vaši organizaciji) ali ozko (samo na delovne obremenitve, ki so del določene aplikacije) ali na katero koli vmesno raven (npr.ample, za vse delovne obremenitve v vašem podatkovnem centru.
Odgovornost za vsak obseg lahko dodelite različnim skrbnikom in upravljanje pravilnika prenesete na ljudi, ki so najbolj seznanjeni s posameznimi deli vašega omrežja.

Zgradite hierarhijo za svojo organizacijo

Začnite graditi svojo hierarhijo ali drevo obsega, to vključuje identifikacijo in kategorizacijo sredstev, določanje obsega, opredelitev vlog in odgovornosti, razvoj politik in postopkov za ustvarjanje veje drevesa obsega.

Čarovnik vas vodi skozi ustvarjanje veje drevesa obsega. Vnesite naslove IP ali podomrežja za vsak modro obrobljen obseg, oznake se samodejno uporabijo glede na drevo obsega.

Predpogoji:

Zberite naslove IP/podomrežja, povezana z vašim predprodukcijskim okoljem, vašimi podatkovnimi centri in vašim notranjim omrežjem.
Zberite čim več naslovov IP/podomrežij, dodatne naslove IP/podomrežja lahko dobite pozneje.

Pozneje, ko gradite svoje drevo, lahko dodate naslove IP/podomrežja za druge obsege v drevesu (sivi bloki).

Če želite ustvariti drevo obsega, izvedite naslednje korake:

Določite notranji obseg
Notranji obseg vključuje vse naslove IP, ki določajo notranje omrežje vaše organizacije, vključno z javnimi in zasebnimi naslovi IP.
Čarovnik vas vodi skozi dodajanje naslovov IP vsakemu obsegu v drevesni veji. Ko dodajate naslove, čarovnik vsakemu naslovu dodeli oznake, ki določajo obseg.

Na primerample, v tem oknu Scope Setup čarovnik dodeli oznako
Organizacija=notranja

na vsak naslov IP.
Čarovnik privzeto doda naslove IP v zasebni internetni naslovni prostor, kot je določeno v RFC 1918

Opomba
Vseh naslovov IP ni treba vnesti hkrati, vendar morate vključiti naslove IP, povezane z vašo izbrano aplikacijo, preostale naslove IP lahko dodate pozneje.

Določite obseg podatkovnega centra
Ta obseg vključuje naslove IP, ki določajo vaše krajevne podatkovne centre. Vnesite naslove IP/podomrežja, ki določajo vaše interno omrežje

Opomba Imena obsegov naj bodo kratka in smiselna.

V tem oknu vnesite naslove IP, ki ste jih vnesli za organizacijo, ti naslovi morajo biti podnabor naslovov za vaše interno omrežje. Če imate več podatkovnih centrov, jih vse vključite v ta obseg, da boste lahko definirali en sam nabor pravilnikov.

Opomba

Kasneje lahko vedno dodate več naslovovtage. Čarovnik na primer dodeli te oznake vsakemu od naslovov IP:
Organizacija=notranja
Infrastruktura=Podatkovni centri

Določite obseg predprodukcije
Ta obseg vključuje naslove IP neprodukcijskih aplikacij in gostiteljev, kot so razvojni, laboratorijski, testni ali staging sistemov.

Opomba
Prepričajte se, da ne vključite naslovov nobenih aplikacij, ki se uporabljajo za izvajanje dejanskih poslov, uporabite jih za obseg proizvodnje, ki ga določite pozneje.

Naslovi IP, ki jih vnesete v to okno, morajo biti podmnožica naslovov, ki ste jih vnesli za vaše podatkovne centre, vključno z naslovi vaše izbrane aplikacije. V idealnem primeru bi morali vključevati tudi predprodukcijske naslove, ki niso del izbrane aplikacije.

Opomba Kasneje lahko vedno dodate več naslovovtage.

Review Drevo obsega, obsegi in oznake
Preden začnete ustvarjati drevo področja, ponovnoview hierarhijo, ki jo lahko vidite v levem oknu. Korenski obseg prikazuje oznake, ki so bile samodejno ustvarjene za vse konfigurirane naslove IP in podomrežja. Pri kasnejšem stage v procesu se v to drevo obsega dodajo aplikacije.
Slika 2:

Veje lahko razširite in strnete ter se pomaknete navzdol, da izberete določen obseg. V desnem podoknu si lahko ogledate naslove IP in oznake, dodeljene delovnim obremenitvam za določen obseg. V tem oknu lahko ponovnoview, spremenite drevo obsega, preden temu obsegu dodate aplikacijo.

Opomba
Če želite view te informacije, ko zapustite čarovnika, v glavnem meniju izberite Organiziraj > Obseg in inventar,

Review Obseg drevesa

Preden začnete ustvarjati drevo področja, ponovnoview hierarhijo, ki jo lahko vidite v levem oknu. Korenski obseg prikazuje oznake, ki so bile samodejno ustvarjene za vse konfigurirane naslove IP in podomrežja. Pri kasnejšem stage v procesu se v to drevo obsega dodajo aplikacije.

Opomba
Če želite view te informacije, ko zapustite čarovnika, v glavnem meniju izberite Organiziraj > Obseg in inventar.

Ustvari drevo področja

Potem ko steview drevesa obsega, nadaljujte z ustvarjanjem drevesa obsega.

Za informacije o drevesu obsega glejte razdelka Obseg in popis v uporabniškem priročniku.

Naslednji koraki

Namestite agente
Namestite agente SecureWorkload na delovne obremenitve, povezane z vašo izbrano aplikacijo. Podatki, ki jih zberejo agenti, se uporabljajo za ustvarjanje predlaganih pravilnikov na podlagi obstoječega prometa v vašem omrežju. Več podatkov, natančnejše politike so izdelane. Za podrobnosti glejte razdelek Programski agenti v uporabniškem priročniku Secure Workload.

Dodaj aplikacijo
Dodajte prvo aplikacijo v drevo obsega. Izberite predprodukcijsko aplikacijo, ki se izvaja na golih ali virtualnih strojih v vašem podatkovnem centru. Ko dodate aplikacijo, lahko začnete odkrivati pravilnike za to aplikacijo. Za več informacij si oglejte razdelek Obseg in inventar uporabniškega priročnika za varno delovno obremenitev.

Nastavite skupne pravilnike za notranji obseg
Uporabite nabor skupnih pravilnikov v notranjem obsegu. Na primerample, dovoli samo promet prek določenih vrat iz vašega omrežja v zunaj vašega omrežja.
Uporabniki lahko določijo pravilnike ročno z uporabo grozdov, filtrov inventarja in obsegov ali pa jih je mogoče odkriti in ustvariti iz podatkov o toku s pomočjo samodejnega odkrivanja pravilnika.
Ko ste namestili agente in pustili vsaj nekaj ur, da se naberejo podatki o prometnem toku, lahko omogočite varno delovno obremenitev za ustvarjanje (»odkrivanje«) pravilnikov na podlagi tega prometa. Za podrobnosti glejte razdelek Samodejno odkrij pravilnike v uporabniškem priročniku Secure Workload.
Uporabite te pravilnike v notranjem (ali notranjem ali korenskem) obsegu, da učinkovito popraviteview politike.

Dodaj Cloud Connector
Če ima vaša organizacija delovne obremenitve na AWS, Azure ali GCP, uporabite povezovalnik v oblaku, da te delovne obremenitve dodate v drevo obsega. Za več informacij si oglejte razdelek Cloud Connectors uporabniškega priročnika Secure Workload.

Hiter začetek dela

korak	Naredi to	Podrobnosti
1	(Izbirno) Oglejte si predstavitev čarovnika s pripombami	Predstavitev čarovnika, na strani 1
2	Izberite aplikacijo, da začnete svojo segmentacijsko pot.	Za najboljše rezultate upoštevajte smernice v Izberite Aplikacija za ta čarovnik, na strani 10.
3	Zberite naslove IP.	Čarovnik bo zahteval 4 skupine naslovov IP. Za podrobnosti glejte Zberite naslove IP, na strani 9.
4	Zaženite čarovnika	Za view zahteve in dostop do čarovnika, glejte Zaženite čarovnika, na strani 11
5	Namestite agente Secure Workload na delovne obremenitve vaše aplikacije.	Glejte Namestitev agentov.
6	Pustite čas, da agenti zberejo podatke o pretoku.	Več podatkov daje natančnejše politike. Najmanjši potrebni čas je odvisen od tega, kako aktivno se uporablja vaša aplikacija.
7	Ustvarite (»odkrijte«) politike na podlagi vaših dejanskih podatkov o pretoku.	Glejte Samodejno ustvarjanje pravilnikov.
8	Review ustvarjene politike.	Glejte Poglejte ustvarjene pravilnike.

Zberite naslove IP
Potrebovali boste vsaj nekaj naslovov IP v vsaki spodnji točki:

Naslovi, ki določajo vaše interno omrežje Čarovnik privzeto uporablja standardne naslove, rezervirane za zasebno uporabo interneta.

Naslovi, ki so rezervirani za vaše podatkovne centre.
To ne vključuje naslovov, ki jih uporabljajo računalniki zaposlenih, storitve v oblaku ali partnerske storitve, centralizirane storitve IT itd.
Naslovi, ki določajo vaše neprodukcijsko omrežje
Naslovi delovnih obremenitev, ki sestavljajo vašo izbrano neprodukcijsko aplikacijo
Zaenkrat vam ni treba imeti vseh naslovov za vsako od zgornjih točk; pozneje lahko vedno dodate več naslovov.

Pomembno
Ker vsaka od 4 oznak predstavlja podnabor naslovov IP oznake nad njo, mora biti vsak naslov IP v vsaki oznaki vključen tudi med naslove IP oznake nad njo na seznamu.

Izberite aplikacijo za tega čarovnika
Za ta čarovnik izberite eno aplikacijo.
Aplikacija je običajno sestavljena iz več delovnih obremenitev, ki zagotavljajo različne storitve, kot npr web storitev ali podatkovnih baz, primarnih in rezervnih strežnikov itd. Te delovne obremenitve skupaj zagotavljajo funkcionalnost aplikacije njenim uporabnikom.

Smernice za izbiro vaše aplikacije
SecureWorkload podpira delovne obremenitve, ki se izvajajo na številnih platformah in operacijskih sistemih, vključno z delovnimi obremenitvami v oblaku in kontejnerskimi delovnimi obremenitvami. Vendar za tega čarovnika izberite aplikacijo z delovnimi obremenitvami, ki so:

Deluje v vašem podatkovnem centru.
Deluje na golih in/ali virtualnih strojih.

Deluje na platformah Windows, Linux ali AIX, ki jih podpirajo agenti Secure Workload, glejte https://www.cisco.com/go/secure-workload/requirements/agents.
Razporejeno v predprodukcijskem okolju.

Opomba
Čarovnika lahko zaženete, tudi če niste izbrali aplikacije in zbrali naslovov IP, vendar čarovnika ne morete dokončati, ne da bi naredili te stvari.

Opomba
Če čarovnika ne dokončate, preden se odjavite (ali poteče časovna omejitev) ali se pomaknete na drug del aplikacije Secure workload (uporabite levo vrstico za krmarjenje), se konfiguracije čarovnika ne shranijo.

Za podrobnosti o tem, kako dodati obseg/dodati obseg in oznake, glejte razdelek Obseg in inventar uporabniškega priročnika za varno delovno obremenitev Cisco.

Zaženite čarovnika

Čarovnika lahko zaženete ne glede na to, ali ste izbrali aplikacijo in zbrali naslove IP, vendar ne boste mogli dokončati čarovnika, ne da bi naredili te stvari.

Pomembno
Če čarovnika ne dokončate, preden se odjavite (ali poteče čas) iz Secure Workload, ali če se pomaknete na drug del aplikacije z levo navigacijsko vrstico, se konfiguracije čarovnika ne shranijo.

Preden začnete
Do čarovnika lahko dostopajo naslednje uporabniške vloge:

Postopek

1. korak
Prijavite se v Secure Workload.
2. korak
Zaženite čarovnika:
Če trenutno nimate definiranih nobenih obsegov, se čarovnik prikaže samodejno, ko se prijavite v Secure Workload.

Druga možnost:

Kliknite povezavo Zaženi čarovnika zdaj v modri pasici na vrhu katere koli strani.
Izberite Čezview iz glavnega menija na levi strani okna.
3. korak
Čarovnik vam bo razložil stvari, ki jih morate vedeti.
Ne spreglejte naslednjih koristnih elementov:
- Premaknite miškin kazalec nad grafične elemente v čarovniku, da preberete njihove opise.
- Kliknite poljubne povezave in informacijske gumbe ( ) za pomembne informacije.

(Izbirno) Če želite začeti znova, ponastavite drevo obsega

Izbrišete lahko obsege, oznake in drevo obsegov, ki ste jih ustvarili s čarovnikom, in po želji znova zaženete čarovnika.

Nasvet
Če želite odstraniti le nekaj ustvarjenih obsegov in ne želite znova zagnati čarovnika, lahko izbrišete posamezne obsege, namesto da ponastavite celotno drevo: Kliknite obseg, ki ga želite izbrisati, nato kliknite Izbriši.

Preden začnete
Zahtevane so privilegije lastnika obsega za korenski obseg.
Če ste ustvarili dodatne delovne prostore, pravilnike ali druge odvisnosti, glejte uporabniški priročnik v razdelku Varna delovna obremenitev za popolne informacije o ponastavitvi drevesa obsega.

Postopek

1. korak V navigacijskem meniju na levi izberite Organiziraj > Obseg in inventar .
2. korak Kliknite obseg na vrhu drevesa.

3. korak Kliknite Ponastavi.
4. korak Potrdite svojo izbiro.
5. korak Če se gumb Ponastavi spremeni v Destroy Pending, boste morda morali osvežiti stran brskalnika.

Več informacij

Za več informacij o konceptih v čarovniku glejte:

Spletna pomoč v Secure Workload
Uporabniški priročnik za varno delovno obremenitev PDF za vašo izdajo, ki je na voljo na https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Dokumenti / Viri

	Programska oprema CISCO Secure Workload [pdf] Uporabniški priročnik Izdaja 3.8, programska oprema za varno delovno obremenitev, varna delovna obremenitev, programska oprema
	Programska oprema CISCO Secure Workload [pdf] Uporabniški priročnik 3.8.1.53, 3.8.1.1, varna programska oprema za delovno obremenitev, varno, programska oprema za delovno obremenitev, programska oprema