Упутство за употребу ЦИСЦО софтвера за безбедно оптерећење

Садржај сакрити

1 ЦИСЦО Сецуре Ворклоад Софтваре

2 Увод у сегментацију

3 Инсталирајте агенте

4 Брзи почетак рада

5 Процедура

6 Више информација

7 Документи / Ресурси

7.1 Референце

8 Релатед Постс

ЦИСЦО Сецуре Ворклоад Софтваре

Цисцо Сецуре Ворклоад Водич за брзи почетак за верзију 3.8

Цисцо Сецуре Ворклоад је софтвер који омогућава корисницима да инсталирају софтверске агенте на радна оптерећења својих апликација. Софтверски агенти прикупљају информације о мрежним интерфејсима и активним процесима који се покрећу на хост систему.

Увод у сегментацију

Функција сегментације Цисцо Сецуре Ворклоад-а омогућава корисницима да групишу и означе своја радна оптерећења. Ово помаже у дефинисању политика и процедура за сваку групу и обезбеђивању безбедне комуникације између њих.

О овом водичу

Овај водич је водич за брзи почетак за Цисцо Сецуре Ворклоад Релеасе 3.8. Обезбеђује завршетакview чаробњака и води кориснике кроз процес инсталирања агената, груписања и означавања радних оптерећења и изградње хијерархије за њихову организацију.

Обилазак чаробњака

Чаробњак води кориснике кроз процес инсталирања агената, груписања и означавања радних оптерећења и изградње хијерархије за њихову организацију.

Пре него што почнете

Следеће корисничке улоге могу да приступе чаробњаку:

Супер Админ
Админ

Сецурити Админ
Оператор безбедности

Инсталирајте агенте

Да бисте инсталирали софтверске агенте на радна оптерећења ваше апликације:

Отворите чаробњак Цисцо Сецуре Ворклоад.
Изаберите опцију за инсталирање агената.

Пратите упутства чаробњака да бисте довршили процес инсталације.

Групишите и означите своја радна оптерећења

Да бисте груписали и означили своја радна оптерећења:

Отворите чаробњак Цисцо Сецуре Ворклоад.

Изаберите опцију да групишете и означите своја радна оптерећења.
Пратите упутства чаробњака да бисте креирали грану стабла опсега и доделили ознаке свакој групи.

Изградите хијерархију за своју организацију

Да бисте изградили хијерархију за своју организацију:

Отворите чаробњак Цисцо Сецуре Ворклоад.
Изаберите опцију за изградњу хијерархије за своју организацију.

Пратите упутства чаробњака да бисте дефинисали интерни опсег, опсег центра података и обим пре производње.

Напомена: Називи опсега треба да буду кратки и смислени. Уверите се да не укључујете адресе било које апликације које се користе за обављање стварног пословања у опсегу пре производње.

Први пут објављено: 2023-04-12
Последња измена: 2023-05-19

Увод у сегментацију

Традиционално, мрежна безбедност има за циљ да спречи злонамерне активности у вашој мрежи помоћу заштитних зидова око ивице ваше мреже. Међутим, такође морате да заштитите своју организацију од претњи које су пробиле вашу мрежу или су настале унутар ње. Сегментација (или микросегментација) мреже помаже у заштити ваших радних оптерећења кроз контролу саобраћаја између радних оптерећења и других хостова на вашој мрежи; дакле, дозвољавање само саобраћаја који би вашој организацији било потребно за пословне сврхе, а ускраћивање осталог саобраћаја. Фор екampМожете користити смернице да спречите сву комуникацију између радних оптерећења која хостују ваше јавно суочење web апликација да комуницира са вашом истраживачком и развојном базом података у вашем центру података или да спречи да непроизводна радна оптерећења контактирају производна оптерећења. Цисцо Сецуре Ворклоад користи податке о току организације да би предложио смернице које можете да процените и одобрите пре него што их примените. Алтернативно, можете и ручно креирати ове смернице за сегментирање мреже.

О овом водичу

Овај документ је применљив за Сецуре Ворклоад издање 3.8:

Уводи кључне концепте безбедног радног оптерећења: сегментацију, ознаке радног оптерећења, опсеге, хијерархијско стабло опсега и откривање смерница.
Објашњава процес креирања прве гране вашег стабла опсега помоћу чаробњака за прво корисничко искуство и
Описује аутоматизовани процес генерисања смерница за изабрану апликацију на основу стварних токова саобраћаја.

Обилазак чаробњака

Пре него што почнете
Следеће корисничке улоге могу да приступе чаробњаку:

админ сајта
корисничка подршка
власник обима

Инсталирајте агенте

Слика 1: Прозор добродошлице

Инсталирајте агенте
У безбедном радном оптерећењу можете да инсталирате софтверске агенте на радна оптерећења ваших апликација. Софтверски агенти прикупљају информације о мрежним интерфејсима и активним процесима који се покрећу на хост систему.

Постоје два начина како можете да инсталирате софтверске агенте:

Инсталатер скрипте агента – Користите овај метод за инсталирање, праћење и решавање проблема током инсталирања софтверских агената. Подржане платформе су Линук, Виндовс, Кубернетес, АИКС и Соларис
Агент Имаге инсталлер-Преузмите слику софтверског агента да бисте инсталирали одређену верзију и тип софтверског агента за своју платформу. Подржане платформе су Линук и Виндовс.

Чаробњак за укључивање вас води кроз процес инсталирања агената на основу изабраног метода инсталатера. Погледајте упутства за инсталацију на корисничком интерфејсу и погледајте упутство за употребу за додатне детаље о инсталирању софтверских агената.

Групишите и означите своја радна оптерећења

Доделите ознаке групи радних оптерећења да бисте креирали опсег.
Хијерархијско стабло опсега помаже да се радна оптерећења подели у мање групе. Најнижа грана у стаблу опсега резервисана је за појединачне апликације.
Изаберите надређени опсег из стабла опсега да бисте креирали нови опсег. Нови опсег ће садржати подскуп чланова из надређеног опсега.

У овом прозору можете организовати своја радна оптерећења у групе које су распоређене у хијерархијској структури. Разбијање ваше мреже у хијерархијске групе омогућава флексибилно и скалабилно откривање и дефинисање политике.
Ознаке су кључни параметри који описују радно оптерећење или крајњу тачку, представљени су као пар кључ-вредност. Чаробњак вам помаже да примените ознаке на радна оптерећења, а затим групише ове ознаке у групе које се називају опсеги. Радна оптерећења се аутоматски групишу у опсеге на основу њихових повезаних ознака. Можете дефинисати политике сегментације на основу опсега.
Задржите показивач миша изнад сваког блока или опсега у стаблу за више информација о типу радних оптерећења или хостова које укључује.

Напомена

У прозору Почетак рада са опсегом и ознакама, организација, инфраструктура, окружење и апликација су кључеви, а текст у сивим оквирима у линији са сваким кључем су вредности.
Фор екampда, сва радна оптерећења која припадају апликацији 1 су дефинисана овим скупом ознака:

Организација = интерна
Инфраструктура = Дата Центерс
Животна средина = Пре-продукција

Апликација = Апликација 1

Моћ ознака и стабала опсега

Ознаке покрећу снагу безбедног радног оптерећења, а стабло опсега креирано од ваших ознака је више од само резимеа ваше мреже:

Ознаке вам омогућавају да одмах разумете своје смернице:
„Забрани сав саобраћај од претпродукције до продукције“
Упоредите ово са истом политиком без ознака:
„Забрани сав саобраћај од 172.16.0.0/12 до 192.168.0.0/16“
Смернице засноване на ознакама се аутоматски примењују (или престају да се примењују) када се означена радна оптерећења додају (или уклоне из) инвентара. Временом, ова динамичка груписања заснована на ознакама у великој мери смањују количину напора потребног за одржавање ваше примене.
Радна оптерећења су груписана у опсеге на основу њихових ознака. Ова груписања вам омогућавају да лако примените смернице на повезана радна оптерећења. Фор екampможете лако применити смернице на све апликације у опсегу Пре-Продуцтион.

Смернице креиране једном у једном опсегу могу се аутоматски применити на сва радна оптерећења у обимима потомака у стаблу, минимизирајући број смерница којима треба да управљате.
Можете лако дефинисати и широко применити политику (нпрampле, на сва радна оптерећења у вашој организацији) или уско (само на оптерећења која су део одређене апликације) или на било који ниво између (нпр.ampле, свим радним оптерећењима у вашем центру података.
Одговорност за сваки опсег можете доделити различитим администраторима, делегирајући управљање политикама на људе који су највише упознати са сваким делом ваше мреже.

Изградите хијерархију за своју организацију

Почните да градите своју хијерархију или стабло опсега, ово укључује идентификацију и категоризацију средстава, одређивање обима, дефинисање улога и одговорности, развој политика и процедура за креирање гране стабла опсега.

Чаробњак вас води кроз креирање гране стабла опсега. Унесите ИП адресе или подмреже за сваки опсег означен плавом бојом, ознаке се аутоматски примењују на основу стабла опсега.

Предуслови:

Прикупите ИП адресе/подмреже повезане са вашим предпродукцијским окружењем, вашим центрима података и вашом интерном мрежом.
Прикупите што више ИП адреса/подмрежа, а додатне ИП адресе/подмреже можете касније.

Касније, док правите своје стабло, можете додати ИП адресе/подмреже за друге опсеге у стаблу (сиви блокови).

Да бисте креирали стабло опсега, извршите ове кораке:

Дефинишите унутрашњи опсег
Интерни опсег обухвата све ИП адресе које дефинишу интерну мрежу ваше организације, укључујући јавне и приватне ИП адресе.
Чаробњак вас води кроз додавање ИП адреса сваком опсегу у грани стабла. Док додајете адресе, чаробњак додељује ознаке свакој адреси која дефинише опсег.

Фор екampУ овом прозору за подешавање опсега, чаробњак додељује ознаку
Организација=Интерна

на сваку ИП адресу.
Подразумевано, чаробњак додаје ИП адресе у приватни простор интернет адреса као што је дефинисано у РФЦ 1918

Напомена
Све ИП адресе не морате уносити одједном, али морате укључити ИП адресе повезане са одабраном апликацијом, а остале ИП адресе можете додати касније.

Дефинишите опсег центра података
Овај опсег обухвата ИП адресе које дефинишу ваше локалне центре података. Унесите ИП адресе/подмреже које дефинишу вашу интерну мрежу

Напомена Називи опсега треба да буду кратки и смислени.

У овом прозору унесите ИП адресе које сте унели за организацију, те адресе морају бити подскуп адреса ваше интерне мреже. Ако имате више центара података, укључите их све у овај опсег како бисте могли да дефинишете један скуп смерница.

Напомена

Увек можете додати још адреса каснијеtagе. На пример, чаробњак додељује ове ознаке свакој од ИП адреса:
Организација=Интерна
Инфраструктура=Центри података

Дефинишите предпродукцијски обим
Овај опсег обухвата ИП адресе непроизводних апликација и хостова, као што су развојни, лабораторијски, тестни илиtagинг системи.

Напомена
Уверите се да не укључујете адресе апликација које се користе за обављање стварног пословања, користите их за обим производње који касније дефинишете.

ИП адресе које унесете у овај прозор морају бити подскуп адреса које сте унели за своје центре података, укључујући адресе одабране апликације. У идеалном случају, требало би да садрже и адресе пре производње које нису део одабране апликације.

Напомена Увек можете додати још адреса каснијеtage.

Review Стабло опсега, опсег и ознаке
Пре него што почнете да креирате стабло опсега, реview хијерархију коју можете видети на левом прозору. Основни опсег приказује ознаке које су аутоматски креиране за све конфигурисане ИП адресе и подмреже. У каснијем сtagе у процесу, апликације се додају овом стаблу опсега.
Слика 2:

Можете проширити и скупити гране и померити се надоле да бисте изабрали одређени опсег. У десном окну можете видети ИП адресе и ознаке додељене радним оптерећењима за одређени опсег. На овом прозору можете поновоview, измените стабло опсега пре него што додате апликацију у овај опсег.

Напомена
Ако желите view ове информације након што изађете из чаробњака, изаберите Организуј > Опсези и инвентар из главног менија,

Review Сцопе Трее

Пре него што почнете да креирате стабло опсега, реview хијерархију коју можете видети на левом прозору. Основни опсег приказује ознаке које су аутоматски креиране за све конфигурисане ИП адресе и подмреже. У каснијем сtagе у процесу, апликације се додају овом стаблу опсега.

Напомена
Ако желите view ове информације након што изађете из чаробњака, изаберите Организуј > Опсези и инвентар из главног менија.

Креирајте стабло опсега

Након што реview стабло опсега, наставите са креирањем стабла опсега.

За информације о стаблу опсега, погледајте одељке Опсези и инвентар у корисничком водичу.

Следећи кораци

Инсталирајте агенте
Инсталирајте СецуреВорклоад агенте на радна оптерећења повезана са вашом одабраном апликацијом. Подаци које агенти прикупљају се користе за генерисање предложених смерница на основу постојећег саобраћаја на вашој мрежи. Што више података, то су прецизније политике. За детаље погледајте одељак Софтверски агенти у корисничком водичу Сецуре Ворклоад.

Додајте апликацију
Додајте прву апликацију свом стаблу опсега. Изаберите претпродукцијску апликацију која ради на голом металу или виртуелним машинама у вашем центру података. Након што додате апликацију, можете почети да откривате смернице за ову апликацију. За више информација погледајте одељак Опсези и инвентар у корисничком водичу Сецуре Ворклоад.

Поставите заједничке политике у интерном опсегу
Примените скуп заједничких смерница на интерни опсег. Фор екampда дозволите само саобраћај кроз одређени порт од ваше мреже ка ван ваше мреже.
Корисници могу да дефинишу смернице ручно користећи кластере, филтере инвентара и опсеге или се оне могу открити и генерисати из података тока коришћењем аутоматског откривања смерница.
Након што инсталирате агенте и дозволите најмање неколико сати да се подаци о протоку саобраћаја акумулирају, можете омогућити безбедном радном оптерећењу да генерише („открива”) смернице на основу тог саобраћаја. За детаље погледајте одељак Аутоматско откривање смерница у корисничком водичу за безбедно радно оптерећење.
Примените ове смернице у интерном (или унутрашњем или коренском) опсегу да бисте ефективно поновоview политике.

Додајте Цлоуд Цоннецтор
Ако ваша организација има радна оптерећења на АВС-у, Азуре-у или ГЦП-у, користите конектор за облак да бисте додали та радна оптерећења у стабло опсега. За више информација погледајте одељак Цлоуд Цоннецторс у корисничком водичу за безбедно радно оптерећење.

Брзи почетак рада

Корак	Уради ово	Детаљи
1	(Опционално) Крените у обилазак чаробњака са коментарима	Обилазак чаробњака, на страни 1
2	Изаберите апликацију да бисте започели своје путовање сегментацијом.	За најбоље резултате, пратите упутства у Изаберите ан Апликација за овог чаробњака, на страни 10.
3	Прикупите ИП адресе.	Чаробњак ће захтевати 4 групе ИП адреса. За детаље погледајте Прикупите ИП адресе, на страници 9.
4	Покрените чаробњака	То view захтеве и приступ чаробњаку, види Покрените чаробњак, на страни 11
5	Инсталирајте Сецуре Ворклоад агенте на радна оптерећења ваше апликације.	Погледајте Инсталацијски агенти.
6	Оставите време агентима да прикупе податке о току.	Више података производи прецизније политике. Минимално потребно време зависи од тога колико се ваша апликација активно користи.
7	Генеришите („откријте“) смернице на основу ваших стварних података о току.	Погледајте Аутоматско генерисање смерница.
8	Review генерисане политике.	Погледајте Погледајте генерисане смернице.

Прикупите ИП адресе
Требаће вам бар неке од ИП адреса у сваком ознаци испод:

Адресе које дефинишу вашу интерну мрежу Чаробњак подразумевано користи стандардне адресе резервисане за приватну употребу Интернета.

Адресе које су резервисане за ваше центре података.
Ово не укључује адресе које користе рачунари запослених, услуге у облаку или партнерске услуге, централизоване ИТ услуге итд.
Адресе које дефинишу вашу непроизводну мрежу
Адресе радних оптерећења која чине вашу одабрану непродукцијску апликацију
За сада, не морате да имате све адресе за сваки од горе наведених знакова; увек можете додати још адреса касније.

Важно
Пошто сваки од 4 знака за набрајање представља подскуп ИП адреса ознаке за набрајање изнад њега, свака ИП адреса у сваком знаку за набрајање такође мора бити укључена међу ИП адресе ознаке за набрајање изнад ње на листи.

Изаберите апликацију за овог чаробњака
За овог чаробњака изаберите једну апликацију.
Апликација се обично састоји од вишеструких радних оптерећења која пружају различите услуге, као нпр web услуге или базе података, примарни и резервни сервери, итд. Заједно, ова радна оптерећења обезбеђују функционалност апликације њеним корисницима.

Смернице за одабир ваше апликације
СецуреВорклоад подржава радна оптерећења која се покрећу на широком спектру платформи и оперативних система, укључујући радна оптерећења заснована на облаку и контејнере. Међутим, за овог чаробњака изаберите апликацију са радним оптерећењима која су:

Ради у вашем центру података.
Ради на голом металу и/или виртуелним машинама.

Покретање на Виндовс, Линук или АИКС платформама које подржавају агенти Сецуре Ворклоад, погледајте https://www.cisco.com/go/secure-workload/requirements/agents.
Примењено у претпродукцијском окружењу.

Напомена
Чаробњак можете покренути чак и ако нисте одабрали апликацију и прикупили ИП адресе, али не можете довршити чаробњак без ових ствари.

Напомена
Ако не довршите рад чаробњака пре него што се одјавите (или истекне време) или одете до другог дела апликације за безбедно радно оптерећење (користите леву траку за навигацију), конфигурације чаробњака се неће сачувати.

За детаље о томе како да додате опсег/додате опсег и ознаке, погледајте одељак Опсези и инвентар у корисничком водичу за Цисцо Сецуре Ворклоад.

Покрените чаробњака

Можете покренути чаробњак без обзира да ли сте изабрали апликацију и прикупили ИП адресе, али нећете моћи да довршите чаробњак без ових ствари.

Важно
Ако не довршите рад чаробњака пре него што се одјавите (или истекнете време) из безбедног радног оптерећења или ако се навигирате до другог дела апликације користећи леву траку за навигацију, конфигурације чаробњака се неће сачувати.

Пре него што почнете
Следеће корисничке улоге могу да приступе чаробњаку:

Процедура

Корак 1
Пријавите се на Сецуре Ворклоад.
Корак 2
Покрените чаробњака:
Ако тренутно немате дефинисан ниједан опсег, чаробњак се аутоматски појављује када се пријавите на Сецуре Ворклоад.

Алтернативно:

Кликните на везу Покрени чаробњака сада на плавом банеру на врху било које странице.
Изаберите Прекоview из главног менија на левој страни прозора.
Корак 3
Чаробњак ће вам објаснити ствари које треба да знате.
Не пропустите следеће корисне елементе:
- Пређите курсором преко графичких елемената у чаробњаку да бисте прочитали њихове описе.
- Кликните на било коју везу и дугмад са информацијама ( ) за важне информације.

(Опционално) Да бисте почели изнова, ресетујте стабло опсега

Можете да избришете опсеге, ознаке и стабло опсега које сте креирали помоћу чаробњака и опционо поново покренете чаробњака.

Савет
Ако желите да уклоните само неке од креираних опсега и не желите поново да покренете чаробњака, можете да избришете појединачне опсеге уместо да ресетујете цело стабло: Кликните на опсег који желите да избришете, а затим кликните на Избриши.

Пре него што почнете
Потребне су привилегије власника опсега за основни опсег.
Ако сте креирали додатне радне просторе, смернице или друге зависности, погледајте Упутство за кориснике у Сецуре Ворклоад за потпуне информације о ресетовању стабла опсега.

Процедура

Корак 1 У навигационом менију са леве стране изаберите Организуј > Опсези и инвентар .
Корак 2 Кликните на опсег на врху стабла.

Корак 3 Кликните на Ресет.
Корак 4 Потврдите свој избор.
Корак 5 Ако се дугме Ресет промени у Дестрои Пендинг, можда ћете морати да освежите страницу претраживача.

Више информација

За више информација о концептима у чаробњаку погледајте:

Помоћ на мрежи у Сецуре Ворклоад
Кориснички водич за безбедно радно оптерећење ПДФ за ваше издање, доступан од https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Документи / Ресурси

	ЦИСЦО Сецуре Ворклоад Софтваре [пдф] Упутство за кориснике Издање 3.8, Софтвер безбедног радног оптерећења, безбедно оптерећење, софтвер
	ЦИСЦО Сецуре Ворклоад Софтваре [пдф] Упутство за кориснике 3.8.1.53, 3.8.1.1, софтвер за безбедно оптерећење, сигуран, софтвер за оптерећење, софтвер