ซอฟต์แวร์ปริมาณงานที่ปลอดภัยของ CISCO

คู่มือเริ่มใช้งาน Cisco Secure Workload ฉบับย่อสำหรับรีลีส 3.8

Cisco Secure Workload เป็นซอฟต์แวร์ที่อนุญาตให้ผู้ใช้ติดตั้งตัวแทนซอฟต์แวร์บนปริมาณงานแอปพลิเคชันของตน ตัวแทนซอฟต์แวร์รวบรวมข้อมูลเกี่ยวกับอินเทอร์เฟซเครือข่ายและกระบวนการที่ทำงานอยู่บนระบบโฮสต์

รู้เบื้องต้นเกี่ยวกับการแบ่งส่วน

คุณสมบัติการแบ่งเซ็กเมนต์ของ Cisco Secure Workload ช่วยให้ผู้ใช้สามารถจัดกลุ่มและติดป้ายกำกับปริมาณงานของตนได้ ซึ่งจะช่วยในการกำหนดนโยบายและขั้นตอนสำหรับแต่ละกลุ่มและรับประกันการสื่อสารที่ปลอดภัยระหว่างพวกเขา

เกี่ยวกับคู่มือนี้

คู่มือนี้เป็นคู่มือเริ่มต้นใช้งานอย่างย่อสำหรับ Cisco Secure Workload Release 3.8 มันให้มากกว่าview ของวิซาร์ดและแนะนำผู้ใช้ตลอดกระบวนการติดตั้งเอเจนต์ การจัดกลุ่มและการติดป้ายกำกับปริมาณงาน และสร้างลำดับชั้นสำหรับองค์กรของตน

ทัวร์ของพ่อมด

วิซาร์ดจะแนะนำผู้ใช้ตลอดกระบวนการติดตั้งเอเจนต์ การจัดกลุ่มและการติดป้ายกำกับปริมาณงาน และสร้างลำดับชั้นสำหรับองค์กรของตน

ก่อนที่คุณจะเริ่มต้น

บทบาทของผู้ใช้ต่อไปนี้สามารถเข้าถึงตัวช่วยสร้าง:

• ผู้ดูแลระบบขั้นสูง
• ผู้ดูแลระบบ
• ผู้ดูแลระบบความปลอดภัย
• เจ้าหน้าที่รักษาความปลอดภัย

ติดตั้งตัวแทน

หากต้องการติดตั้งเอเจนต์ซอฟต์แวร์บนปริมาณงานแอปพลิเคชันของคุณ:

1. เปิดตัวช่วยสร้าง Cisco Secure Workload
2. เลือกตัวเลือกเพื่อติดตั้งตัวแทน
3. ทำตามคำแนะนำที่ได้รับจากวิซาร์ดเพื่อดำเนินการติดตั้งให้เสร็จสิ้น

จัดกลุ่มและติดป้ายกำกับปริมาณงานของคุณ

หากต้องการจัดกลุ่มและติดป้ายกำกับภาระงานของคุณ:

1. เปิดตัวช่วยสร้าง Cisco Secure Workload
2. เลือกตัวเลือกเพื่อจัดกลุ่มและติดป้ายกำกับภาระงานของคุณ
3. ทำตามคำแนะนำที่ได้รับจากวิซาร์ดเพื่อสร้างสาขาของแผนผังขอบเขตและกำหนดป้ายกำกับให้กับแต่ละกลุ่ม

สร้างลำดับชั้นสำหรับองค์กรของคุณ

หากต้องการสร้างลำดับชั้นสำหรับองค์กรของคุณ:

1. เปิดตัวช่วยสร้าง Cisco Secure Workload
2. เลือกตัวเลือกเพื่อสร้างลำดับชั้นสำหรับองค์กรของคุณ
3. ปฏิบัติตามคำแนะนำที่ได้รับจากวิซาร์ดเพื่อกำหนดขอบเขตภายใน ขอบเขตศูนย์ข้อมูล และขอบเขตก่อนการผลิต

บันทึก: ชื่อขอบเขตควรสั้นและมีความหมาย ตรวจสอบให้แน่ใจว่าคุณไม่ได้ระบุที่อยู่ของแอปพลิเคชันใดๆ ที่ใช้ในการดำเนินธุรกิจจริงในขอบเขตก่อนการผลิต

ตีพิมพ์ครั้งแรก: 2023-04-12
ปรับปรุงล่าสุด: 2023-05-19

รู้เบื้องต้นเกี่ยวกับการแบ่งส่วน

โดยทั่วไปแล้ว การรักษาความปลอดภัยเครือข่ายมีจุดมุ่งหมายเพื่อป้องกันกิจกรรมที่เป็นอันตรายออกจากเครือข่ายของคุณด้วยไฟร์วอลล์ที่อยู่รอบขอบเครือข่ายของคุณ อย่างไรก็ตาม คุณยังต้องปกป้ององค์กรของคุณจากภัยคุกคามที่ละเมิดเครือข่ายของคุณหรือที่มีต้นกำเนิดภายในเครือข่ายด้วย การแบ่งส่วน (หรือการแบ่งส่วนย่อย) ของเครือข่ายจะช่วยปกป้องปริมาณงานของคุณผ่านการควบคุมการรับส่งข้อมูลระหว่างปริมาณงานและโฮสต์อื่นๆ บนเครือข่ายของคุณ ดังนั้น อนุญาตเฉพาะการรับส่งข้อมูลที่องค์กรของคุณต้องการเพื่อวัตถุประสงค์ทางธุรกิจ และปฏิเสธการรับส่งข้อมูลอื่นๆ ทั้งหมด สำหรับเช่นampอย่างไรก็ตาม คุณสามารถใช้นโยบายเพื่อป้องกันการสื่อสารทั้งหมดระหว่างปริมาณงานที่โฮสต์ต่อหน้าสาธารณะของคุณได้ web แอปพลิเคชันจากการสื่อสารกับฐานข้อมูลการวิจัยและพัฒนาของคุณในศูนย์ข้อมูลของคุณ หรือเพื่อป้องกันปริมาณงานที่ไม่ใช่การผลิตจากการติดต่อกับปริมาณงานการผลิต Cisco Secure Workload ใช้ข้อมูลโฟลว์ขององค์กรเพื่อแนะนำนโยบายที่คุณสามารถประเมินและอนุมัติก่อนที่จะบังคับใช้ หรือคุณสามารถสร้างนโยบายเหล่านี้ด้วยตนเองสำหรับการแบ่งกลุ่มเครือข่ายได้

เกี่ยวกับคู่มือนี้

เอกสารนี้ใช้ได้กับ Secure Workload รุ่น 3.8:

• แนะนำแนวคิดหลักเกี่ยวกับภาระงานที่ปลอดภัย: การแบ่งส่วน ป้ายกำกับภาระงาน ขอบเขต แผนผังขอบเขตลำดับชั้น และการค้นพบนโยบาย
• อธิบายกระบวนการสร้างสาขาแรกของแผนผังขอบเขตของคุณโดยใช้วิซาร์ดประสบการณ์ผู้ใช้ครั้งแรกและ
• อธิบายกระบวนการอัตโนมัติในการสร้างนโยบายสำหรับแอปพลิเคชันที่เลือกตามโฟลว์การรับส่งข้อมูลจริง

ทัวร์ของพ่อมด

ก่อนที่คุณจะเริ่มต้น
บทบาทของผู้ใช้ต่อไปนี้สามารถเข้าถึงตัวช่วยสร้าง:

• ผู้ดูแลเว็บไซต์
• การสนับสนุนลูกค้า
• เจ้าของขอบเขต

ติดตั้งตัวแทน

รูปที่ 1: หน้าต่างต้อนรับ

ติดตั้งตัวแทน
ใน Secure Workload คุณสามารถติดตั้งเอเจนต์ซอฟต์แวร์บนปริมาณงานแอปพลิเคชันของคุณได้ ตัวแทนซอฟต์แวร์รวบรวมข้อมูลเกี่ยวกับอินเทอร์เฟซเครือข่ายและกระบวนการที่ทำงานอยู่บนระบบโฮสต์

มีสองวิธีที่คุณสามารถติดตั้งเอเจนต์ซอฟต์แวร์:

• โปรแกรมติดตั้งสคริปต์ตัวแทน-ใช้วิธีนี้ในการติดตั้ง ติดตาม และแก้ไขปัญหาขณะติดตั้งตัวแทนซอฟต์แวร์ แพลตฟอร์มที่รองรับ ได้แก่ Linux, Windows, Kubernetes, AIX และ Solaris
• โปรแกรมติดตั้งอิมเมจเอเจนต์ - ดาวน์โหลดอิมเมจตัวแทนซอฟต์แวร์เพื่อติดตั้งเวอร์ชันและประเภทซอฟต์แวร์เอเจนต์เฉพาะสำหรับแพลตฟอร์มของคุณ แพลตฟอร์มที่รองรับ ได้แก่ Linux และ Windows

วิซาร์ดการเริ่มต้นใช้งานจะนำคุณเข้าสู่กระบวนการติดตั้งเอเจนต์ตามวิธีการติดตั้งที่เลือก โปรดดูคำแนะนำในการติดตั้งบน UI และดูคู่มือผู้ใช้สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับการติดตั้งตัวแทนซอฟต์แวร์

จัดกลุ่มและติดป้ายกำกับปริมาณงานของคุณ

กำหนดป้ายกำกับให้กับกลุ่มภาระงานเพื่อสร้างขอบเขต
โครงสร้างขอบเขตแบบลำดับชั้นช่วยแบ่งปริมาณงานออกเป็นกลุ่มเล็กๆ สาขาที่ต่ำที่สุดในแผนผังขอบเขตสงวนไว้สำหรับแอปพลิเคชันแต่ละรายการ
เลือกขอบเขตหลักจากแผนผังขอบเขตเพื่อสร้างขอบเขตใหม่ ขอบเขตใหม่จะมีชุดย่อยของสมาชิกจากขอบเขตหลัก

ในหน้าต่างนี้ คุณสามารถจัดระเบียบปริมาณงานของคุณออกเป็นกลุ่มต่างๆ ซึ่งจัดเรียงตามโครงสร้างแบบลำดับชั้น การแบ่งเครือข่ายออกเป็นกลุ่มตามลำดับชั้นทำให้สามารถค้นพบและกำหนดนโยบายได้อย่างยืดหยุ่นและปรับขนาดได้
ป้ายกำกับคือพารามิเตอร์หลักที่อธิบายปริมาณงานหรือจุดสิ้นสุด โดยจะแสดงเป็นคู่คีย์-ค่า วิซาร์ดจะช่วยนำป้ายกำกับไปใช้กับปริมาณงานของคุณ จากนั้นจัดกลุ่มป้ายกำกับเหล่านี้ออกเป็นกลุ่มที่เรียกว่าขอบเขต ปริมาณงานจะถูกจัดกลุ่มเป็นขอบเขตโดยอัตโนมัติตามป้ายกำกับที่เกี่ยวข้อง คุณสามารถกำหนดนโยบายการแบ่งส่วนตามขอบเขตได้
วางเมาส์เหนือแต่ละบล็อกหรือขอบเขตในแผนผังเพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับประเภทของปริมาณงานหรือโฮสต์ที่บล็อกนั้นรวมอยู่

บันทึก

ในหน้าต่างเริ่มต้นใช้งานขอบเขตและป้ายกำกับ องค์กร โครงสร้างพื้นฐาน สภาพแวดล้อม และแอปพลิเคชันคือคีย์ และข้อความในกล่องสีเทาในแนวเดียวกับแต่ละคีย์คือค่า
เช่นampเนื่องจากปริมาณงานทั้งหมดที่เป็นของแอปพลิเคชัน 1 ถูกกำหนดโดยชุดป้ายกำกับเหล่านี้:

• องค์กร = ภายใน
• โครงสร้างพื้นฐาน = ศูนย์ข้อมูล
• สิ่งแวดล้อม = ก่อนการผลิต
• ใบสมัคร = ใบสมัคร 1

พลังของฉลากและแผนผังขอบเขต

ป้ายกำกับขับเคลื่อนพลังของ Secure Workload และแผนผังขอบเขตที่สร้างจากป้ายกำกับของคุณเป็นมากกว่าข้อมูลสรุปของเครือข่ายของคุณ:

• ป้ายกำกับช่วยให้คุณเข้าใจนโยบายของคุณได้ทันที:
  “ปฏิเสธการรับส่งข้อมูลทั้งหมดตั้งแต่ก่อนการผลิตจนถึงการผลิต”
  เปรียบเทียบสิ่งนี้กับนโยบายเดียวกันที่ไม่มีป้ายกำกับ:
  “ปฏิเสธการรับส่งข้อมูลทั้งหมดจาก 172.16.0.0/12 ถึง 192.168.0.0/16”
• นโยบายตามป้ายกำกับจะใช้โดยอัตโนมัติ (หรือหยุดใช้) เมื่อมีการเพิ่มปริมาณงานที่มีป้ายกำกับใน (หรือลบออกจาก) สินค้าคงคลัง เมื่อเวลาผ่านไป การจัดกลุ่มแบบไดนามิกเหล่านี้ตามป้ายกำกับจะลดความพยายามที่จำเป็นในการบำรุงรักษาการปรับใช้ของคุณลงอย่างมาก
• ภาระงานถูกจัดกลุ่มเป็นขอบเขตตามป้ายกำกับ การจัดกลุ่มเหล่านี้ทำให้คุณสามารถใช้นโยบายกับปริมาณงานที่เกี่ยวข้องได้อย่างง่ายดาย สำหรับอดีตampคุณสามารถใช้นโยบายกับแอปพลิเคชันทั้งหมดในขอบเขตก่อนการผลิตได้อย่างง่ายดาย
• นโยบายที่สร้างขึ้นเพียงครั้งเดียวในขอบเขตเดียวสามารถนำไปใช้กับปริมาณงานทั้งหมดในขอบเขตสืบทอดในแผนผังได้โดยอัตโนมัติ ช่วยลดจำนวนนโยบายที่คุณต้องจัดการให้เหลือน้อยที่สุด
  คุณสามารถกำหนดและใช้นโยบายในวงกว้างได้อย่างง่ายดาย (เช่นample ให้กับปริมาณงานทั้งหมดในองค์กรของคุณ) หรืออย่างแคบ (เฉพาะปริมาณงานที่เป็นส่วนหนึ่งของแอปพลิเคชันเฉพาะ) หรือระดับใดๆ ในระหว่างนั้น (เช่นampไปยังปริมาณงานทั้งหมดในศูนย์ข้อมูลของคุณ
• คุณสามารถมอบหมายความรับผิดชอบสำหรับแต่ละขอบเขตให้กับผู้ดูแลระบบที่แตกต่างกัน มอบหมายการจัดการนโยบายให้กับผู้ที่คุ้นเคยกับแต่ละส่วนของเครือข่ายของคุณมากที่สุด

สร้างลำดับชั้นสำหรับองค์กรของคุณ

เริ่มสร้างลำดับชั้นหรือแผนผังขอบเขต ซึ่งเกี่ยวข้องกับการระบุและจัดหมวดหมู่สินทรัพย์ การกำหนดขอบเขต การกำหนดบทบาทและความรับผิดชอบ การพัฒนานโยบายและขั้นตอนเพื่อสร้างสาขาของแผนผังขอบเขต

ตัวช่วยสร้างจะแนะนำคุณตลอดการสร้างสาขาของแผนผังขอบเขต ป้อนที่อยู่ IP หรือซับเน็ตสำหรับขอบเขตที่มีกรอบสีน้ำเงินแต่ละขอบเขต ป้ายกำกับจะถูกนำไปใช้โดยอัตโนมัติตามแผนผังขอบเขต

ข้อกำหนดเบื้องต้น:

• รวบรวมที่อยู่ IP/ซับเน็ตที่เกี่ยวข้องกับสภาพแวดล้อมก่อนการผลิต ศูนย์ข้อมูล และเครือข่ายภายในของคุณ
• รวบรวมที่อยู่ IP/เครือข่ายย่อยให้ได้มากที่สุด คุณสามารถรวบรวมที่อยู่ IP/เครือข่ายย่อยเพิ่มเติมได้ในภายหลัง
• หลังจากนั้น เมื่อคุณสร้างแผนผัง คุณสามารถเพิ่มที่อยู่ IP/ซับเน็ตสำหรับขอบเขตอื่นๆ ในแผนผังได้ (บล็อกสีเทา)

หากต้องการสร้างแผนผังขอบเขต ให้ทำตามขั้นตอนเหล่านี้:

กำหนดขอบเขตภายใน
ขอบเขตภายในประกอบด้วยที่อยู่ IP ทั้งหมดที่กำหนดเครือข่ายภายในองค์กรของคุณ รวมถึงที่อยู่ IP สาธารณะและส่วนตัว
ตัวช่วยสร้างจะแนะนำคุณเกี่ยวกับการเพิ่มที่อยู่ IP ลงในแต่ละขอบเขตในสาขาต้นไม้ เมื่อคุณเพิ่มที่อยู่ ตัวช่วยสร้างจะกำหนดป้ายกำกับให้กับแต่ละที่อยู่ที่กำหนดขอบเขต

เช่นampในหน้าต่างการตั้งค่าขอบเขตนี้ ตัวช่วยสร้างจะกำหนดป้ายกำกับ
องค์กร=ภายใน

ไปยังแต่ละที่อยู่ IP
ตามค่าเริ่มต้น ตัวช่วยสร้างจะเพิ่มที่อยู่ IP ในพื้นที่ที่อยู่อินเทอร์เน็ตส่วนตัวตามที่กำหนดไว้ใน RFC 1918

บันทึก
ไม่จำเป็นต้องป้อนที่อยู่ IP ทั้งหมดพร้อมกัน แต่คุณต้องรวมที่อยู่ IP ที่เชื่อมโยงกับแอปพลิเคชันที่คุณเลือก คุณสามารถเพิ่มที่อยู่ IP ที่เหลือได้ในภายหลัง

กำหนดขอบเขตของศูนย์ข้อมูล
ขอบเขตนี้รวมถึงที่อยู่ IP ที่กำหนดศูนย์ข้อมูลภายในองค์กรของคุณ ป้อนที่อยู่ IP/ซับเน็ตที่กำหนดเครือข่ายภายในของคุณ

บันทึก ชื่อขอบเขตควรสั้นและมีความหมาย

ในหน้าต่างนี้ ให้ป้อนที่อยู่ IP ที่คุณป้อนสำหรับองค์กร ที่อยู่เหล่านี้จะต้องเป็นส่วนย่อยของที่อยู่สำหรับเครือข่ายภายในของคุณ หากคุณมีศูนย์ข้อมูลหลายแห่ง ให้รวมศูนย์ข้อมูลทั้งหมดไว้ในขอบเขตนี้เพื่อให้คุณสามารถกำหนดนโยบายชุดเดียวได้

บันทึก

คุณสามารถเพิ่มที่อยู่ในภายหลังได้ตลอดเวลาtagจ. ตัวอย่างเช่น ตัวช่วยสร้างจะกำหนดป้ายกำกับเหล่านี้ให้กับที่อยู่ IP แต่ละรายการ:
องค์กร=ภายใน
โครงสร้างพื้นฐาน=ศูนย์ข้อมูล

กำหนดขอบเขตก่อนการผลิต
ขอบเขตนี้รวมถึงที่อยู่ IP ของแอปพลิเคชันและโฮสต์ที่ไม่ได้ใช้งานจริง เช่น การพัฒนา ห้องปฏิบัติการ การทดสอบ หรือtagระบบไอเอ็นจี.

บันทึก
ตรวจสอบให้แน่ใจว่าคุณไม่ได้รวมที่อยู่ของแอปพลิเคชันใดๆ ที่ใช้ในการดำเนินธุรกิจจริง ใช้สำหรับขอบเขตการใช้งานจริงที่คุณกำหนดในภายหลัง

ที่อยู่ IP ที่คุณป้อนในหน้าต่างนี้จะต้องเป็นส่วนหนึ่งของที่อยู่ที่คุณป้อนสำหรับศูนย์ข้อมูลของคุณ รวมถึงที่อยู่ของแอปพลิเคชันที่คุณเลือก ตามหลักการแล้ว ควรรวมที่อยู่ก่อนการผลิตที่ไม่ได้เป็นส่วนหนึ่งของแอปพลิเคชันที่เลือกไว้ด้วย

บันทึก คุณสามารถเพิ่มที่อยู่ในภายหลังได้ตลอดเวลาtage.

Review โครงสร้างขอบเขต ขอบเขต และฉลาก
ก่อนที่คุณจะเริ่มสร้างแผนผังขอบเขต ให้อีกครั้งview ลำดับชั้นที่คุณเห็นในหน้าต่างด้านซ้าย ขอบเขตรากแสดงป้ายกำกับที่สร้างขึ้นโดยอัตโนมัติสำหรับที่อยู่ IP และเครือข่ายย่อยที่กำหนดค่าทั้งหมด ในเวลาต่อมาtage ในกระบวนการ แอปพลิเคชันจะถูกเพิ่มลงในแผนผังขอบเขตนี้
รูปที่ 2:

คุณสามารถขยายและยุบสาขาและเลื่อนลงเพื่อเลือกขอบเขตที่ต้องการได้ ในบานหน้าต่างด้านขวา คุณจะเห็นที่อยู่ IP และป้ายกำกับที่กำหนดให้กับปริมาณงานสำหรับขอบเขตเฉพาะ ในหน้าต่างนี้ คุณสามารถอีกครั้งได้viewให้แก้ไขแผนผังขอบเขตก่อนที่คุณจะเพิ่มแอปพลิเคชันลงในขอบเขตนี้

บันทึก
หากคุณต้องการที่จะ view ข้อมูลนี้หลังจากที่คุณออกจากวิซาร์ด ให้เลือกจัดระเบียบ > ขอบเขตและสินค้าคงคลังจากเมนูหลัก

Review ต้นไม้ขอบเขต

ก่อนที่คุณจะเริ่มสร้างแผนผังขอบเขต ให้อีกครั้งview ลำดับชั้นที่คุณเห็นในหน้าต่างด้านซ้าย ขอบเขตรากแสดงป้ายกำกับที่สร้างขึ้นโดยอัตโนมัติสำหรับที่อยู่ IP และเครือข่ายย่อยที่กำหนดค่าทั้งหมด ในเวลาต่อมาtage ในกระบวนการ แอปพลิเคชันจะถูกเพิ่มลงในแผนผังขอบเขตนี้

คุณสามารถขยายและยุบสาขาและเลื่อนลงเพื่อเลือกขอบเขตที่ต้องการได้ ในบานหน้าต่างด้านขวา คุณจะเห็นที่อยู่ IP และป้ายกำกับที่กำหนดให้กับปริมาณงานสำหรับขอบเขตเฉพาะ ในหน้าต่างนี้ คุณสามารถอีกครั้งได้viewให้แก้ไขแผนผังขอบเขตก่อนที่คุณจะเพิ่มแอปพลิเคชันลงในขอบเขตนี้

บันทึก
หากคุณต้องการที่จะ view ข้อมูลนี้หลังจากที่คุณออกจากวิซาร์ด ให้เลือกจัดระเบียบ > ขอบเขตและสินค้าคงคลังจากเมนูหลัก

สร้างแผนผังขอบเขต

หลังจากที่คุณกลับมาview แผนผังขอบเขต ดำเนินการสร้างแผนผังขอบเขตต่อไป

สำหรับข้อมูลเกี่ยวกับแผนผังขอบเขต โปรดดูส่วนขอบเขตและสินค้าคงคลังในคู่มือผู้ใช้

ขั้นตอนต่อไป

ติดตั้งตัวแทน
ติดตั้งตัวแทน SecureWorkload บนปริมาณงานที่เกี่ยวข้องกับแอปพลิเคชันที่คุณเลือก ข้อมูลที่ตัวแทนรวบรวมจะถูกใช้เพื่อสร้างนโยบายที่แนะนำตามปริมาณการใช้งานที่มีอยู่ในเครือข่ายของคุณ ยิ่งมีข้อมูลมากขึ้น จึงมีการสร้างนโยบายที่แม่นยำยิ่งขึ้น สำหรับรายละเอียด โปรดดูส่วน Software Agent ในคู่มือผู้ใช้ Secure Workload

เพิ่มแอปพลิเคชัน
เพิ่มแอปพลิเคชันแรกลงในแผนผังขอบเขตของคุณ เลือกแอปพลิเคชันก่อนการผลิตที่ทำงานบน Bare Metal หรือเครื่องเสมือนในศูนย์ข้อมูลของคุณ หลังจากเพิ่มแอปพลิเคชันแล้ว คุณสามารถเริ่มค้นหานโยบายสำหรับแอปพลิเคชันนี้ได้ สำหรับข้อมูลเพิ่มเติม โปรดดูส่วนขอบเขตและสินค้าคงคลังของคู่มือผู้ใช้ปริมาณงานที่ปลอดภัย

ตั้งค่านโยบายทั่วไปในขอบเขตภายใน
ใช้ชุดนโยบายทั่วไปในขอบเขตภายใน สำหรับเช่นampในกรณีนี้ อนุญาตเฉพาะการรับส่งข้อมูลผ่านพอร์ตบางพอร์ตจากเครือข่ายของคุณไปยังภายนอกเครือข่ายของคุณ
ผู้ใช้สามารถกำหนดนโยบายได้ด้วยตนเองโดยใช้คลัสเตอร์ ตัวกรองสินค้าคงคลัง และขอบเขต หรือสามารถค้นพบและสร้างจากข้อมูลโฟลว์โดยใช้การค้นพบนโยบายอัตโนมัติ
หลังจากที่คุณติดตั้งเอเจนต์และอนุญาตให้รวบรวมข้อมูลโฟลว์การรับส่งข้อมูลอย่างน้อยสองสามชั่วโมง คุณสามารถเปิดใช้งาน Secure Workload เพื่อสร้างนโยบาย (“ค้นพบ”) ตามการรับส่งข้อมูลนั้น สำหรับรายละเอียด โปรดดูส่วนนโยบายค้นหาอัตโนมัติของคู่มือผู้ใช้ Secure Workload
ใช้นโยบายเหล่านี้ในขอบเขตภายใน (หรือภายในหรือรูท) เพื่อแก้ไขอย่างมีประสิทธิภาพview นโยบาย

เพิ่มตัวเชื่อมต่อคลาวด์
หากองค์กรของคุณมีปริมาณงานบน AWS, Azure หรือ GCP ให้ใช้ตัวเชื่อมต่อระบบคลาวด์เพื่อเพิ่มปริมาณงานเหล่านั้นลงในโครงสร้างขอบเขตของคุณ สำหรับข้อมูลเพิ่มเติม โปรดดูส่วน Cloud Connectors ของคู่มือผู้ใช้ Secure Workload

เวิร์กโฟลว์เริ่มต้นอย่างรวดเร็ว

ขั้นตอน	ทำสิ่งนี้	รายละเอียด
1	(ไม่บังคับ) ทัวร์ชมวิซาร์ดที่มีคำอธิบายประกอบ	ทัวร์ของพ่อมด ในหน้า 1
2	เลือกแอปพลิเคชันเพื่อเริ่มต้นเส้นทางการแบ่งส่วนของคุณ	เพื่อผลลัพธ์ที่ดีที่สุด ให้ปฏิบัติตามคำแนะนำใน เลือก แอปพลิเคชันสำหรับตัวช่วยสร้างนี้ ในหน้าที่ 10.
3	รวบรวมที่อยู่ IP	ตัวช่วยสร้างจะขอที่อยู่ IP 4 กลุ่ม ดูรายละเอียดเพิ่มเติมได้ที่ รวบรวมที่อยู่ IP, ในหน้า 9.
4	เรียกใช้ตัวช่วยสร้าง	ถึง view ข้อกำหนดและเข้าถึงตัวช่วยดู เรียกใช้ตัวช่วยสร้าง, ในหน้า 11
5	ติดตั้งตัวแทน Secure Workload บนปริมาณงานแอปพลิเคชันของคุณ	ดูการติดตั้งตัวแทน
6	ให้เวลาตัวแทนในการรวบรวมข้อมูลโฟลว์	ข้อมูลเพิ่มเติมจะสร้างนโยบายที่แม่นยำยิ่งขึ้น ระยะเวลาขั้นต่ำที่ต้องการขึ้นอยู่กับการใช้งานแอปพลิเคชันของคุณ
7	สร้างนโยบาย (“ค้นพบ”) ตามข้อมูลโฟลว์จริงของคุณ	ดูสร้างนโยบายโดยอัตโนมัติ
8	Review นโยบายที่สร้างขึ้น	ดูดูนโยบายที่สร้างขึ้น

รวบรวมที่อยู่ IP
คุณต้องมีที่อยู่ IP อย่างน้อยบางส่วนในแต่ละหัวข้อด้านล่าง:

• ที่อยู่ที่กำหนดเครือข่ายภายในของคุณ ตามค่าเริ่มต้น ตัวช่วยสร้างจะใช้ที่อยู่มาตรฐานที่สงวนไว้สำหรับการใช้อินเทอร์เน็ตส่วนตัว
• ที่อยู่ที่สงวนไว้สำหรับศูนย์ข้อมูลของคุณ
  ไม่รวมถึงที่อยู่ที่ใช้โดยคอมพิวเตอร์ของพนักงาน บริการคลาวด์หรือพันธมิตร บริการไอทีแบบรวมศูนย์ ฯลฯ
• ที่อยู่ที่กำหนดเครือข่ายที่ไม่ใช่การผลิตของคุณ
• ที่อยู่ของปริมาณงานที่ประกอบด้วยแอปพลิเคชันที่ไม่ใช่การผลิตที่คุณเลือก
  ในตอนนี้ คุณไม่จำเป็นต้องมีที่อยู่ทั้งหมดสำหรับสัญลักษณ์แสดงหัวข้อย่อยด้านบนแต่ละหัวข้อ คุณสามารถเพิ่มที่อยู่เพิ่มเติมได้ในภายหลัง

สำคัญ
เนื่องจากสัญลักษณ์แสดงหัวข้อย่อยทั้ง 4 อันแสดงถึงชุดย่อยของที่อยู่ IP ของสัญลักษณ์แสดงหัวข้อย่อยที่อยู่ด้านบน ที่อยู่ IP แต่ละรายการในแต่ละสัญลักษณ์แสดงหัวข้อย่อยจะต้องรวมอยู่ในที่อยู่ IP ของสัญลักษณ์แสดงหัวข้อย่อยที่อยู่ด้านบนในรายการด้วย

เลือกแอปพลิเคชันสำหรับตัวช่วยสร้างนี้
สำหรับวิซาร์ดนี้ ให้เลือกแอปพลิเคชันเดียว
โดยทั่วไปแอปพลิเคชันจะประกอบด้วยปริมาณงานหลายรายการที่ให้บริการที่แตกต่างกัน เช่น web บริการหรือฐานข้อมูล เซิร์ฟเวอร์หลักและเซิร์ฟเวอร์สำรอง ฯลฯ ปริมาณงานเหล่านี้ร่วมกันมอบฟังก์ชันการทำงานของแอปพลิเคชันให้กับผู้ใช้

หลักเกณฑ์ในการเลือกใบสมัครของคุณ
SecureWorkload รองรับปริมาณงานที่ทำงานบนแพลตฟอร์มและระบบปฏิบัติการที่หลากหลาย รวมถึงปริมาณงานบนคลาวด์และแบบคอนเทนเนอร์ อย่างไรก็ตาม สำหรับวิซาร์ดนี้ ให้เลือกแอปพลิเคชันที่มีเวิร์กโหลดที่:

• ทำงานในศูนย์ข้อมูลของคุณ
• ทำงานบน Bare Metal และ/หรือเครื่องเสมือน
• รันบนแพลตฟอร์ม Windows, Linux หรือ AIX ที่สนับสนุนด้วยเอเจนต์ Secure Workload โปรดดู https://www.cisco.com/go/secure-workload/requirements/agents.
• ปรับใช้ในสภาพแวดล้อมก่อนการผลิต

บันทึก
คุณสามารถเรียกใช้ตัวช่วยสร้างได้แม้ว่าคุณจะไม่ได้เลือกแอปพลิเคชันและรวบรวมที่อยู่ IP แต่คุณไม่สามารถดำเนินการตัวช่วยสร้างให้เสร็จสมบูรณ์ได้โดยไม่ทำสิ่งเหล่านี้

บันทึก
หากคุณไม่ดำเนินการวิซาร์ดให้เสร็จสิ้นก่อนออกจากระบบ (หรือหมดเวลา) หรือนำทางไปยังส่วนอื่นของแอปพลิเคชันปริมาณงานที่ปลอดภัย (ใช้แถบนำทางด้านซ้าย) การกำหนดค่าวิซาร์ดจะไม่ถูกบันทึก

สำหรับรายละเอียดเกี่ยวกับวิธีเพิ่มขอบเขต/เพิ่มขอบเขตและป้ายกำกับ โปรดดูส่วนขอบเขตและสินค้าคงคลังของคู่มือผู้ใช้ Cisco Secure Workload

เรียกใช้ตัวช่วยสร้าง

คุณสามารถเรียกใช้วิซาร์ดได้ไม่ว่าคุณจะเลือกแอปพลิเคชันและรวบรวมที่อยู่ IP หรือไม่ก็ตาม แต่คุณจะไม่สามารถดำเนินการวิซาร์ดให้เสร็จสมบูรณ์ได้หากไม่ทำสิ่งเหล่านี้

สำคัญ
หากคุณไม่ได้ทำวิซาร์ดให้เสร็จก่อนที่จะออกจากระบบ (หรือหมดเวลา) ของ Secure Workload หรือหากคุณนำทางไปยังส่วนอื่นของแอปพลิเคชันโดยใช้แถบนำทางด้านซ้าย การกำหนดค่าวิซาร์ดจะไม่ถูกบันทึก

ก่อนที่คุณจะเริ่มต้น
บทบาทของผู้ใช้ต่อไปนี้สามารถเข้าถึงตัวช่วยสร้าง:

ขั้นตอน

• ขั้นตอนที่ 1
  ลงชื่อเข้าใช้ Secure Workload
• ขั้นตอนที่ 2
  เริ่มตัวช่วยสร้าง:
  หากคุณยังไม่ได้กำหนดขอบเขตใดๆ ตัวช่วยสร้างจะปรากฏขึ้นโดยอัตโนมัติเมื่อคุณลงชื่อเข้าใช้ Secure Workload

อีกทางเลือกหนึ่ง:

• คลิกลิงก์ Run the wizard now ในแบนเนอร์สีน้ำเงินที่ด้านบนของหน้าใดก็ได้
• เลือกมากกว่าview จากเมนูหลักทางด้านซ้ายของหน้าต่าง
• ขั้นตอนที่ 3
  ตัวช่วยจะอธิบายสิ่งที่คุณจำเป็นต้องรู้
  อย่าพลาดองค์ประกอบที่เป็นประโยชน์ต่อไปนี้:
  • วางเมาส์เหนือองค์ประกอบกราฟิกในตัวช่วยสร้างเพื่ออ่านคำอธิบาย
  • คลิกลิงก์และปุ่มข้อมูล ( ) สำหรับข้อมูลสำคัญ

(ไม่บังคับ) หากต้องการเริ่มต้นใหม่ ให้รีเซ็ตแผนผังขอบเขต

คุณสามารถลบขอบเขต ป้ายชื่อ และโครงสร้างขอบเขตที่คุณสร้างขึ้นโดยใช้วิซาร์ด และเลือกที่จะเรียกใช้วิซาร์ดอีกครั้ง

เคล็ดลับ
หากคุณต้องการลบขอบเขตที่สร้างขึ้นบางส่วนเท่านั้น และคุณไม่ต้องการเรียกใช้วิซาร์ดอีก คุณสามารถลบขอบเขตแต่ละรายการแทนการรีเซ็ตโครงสร้างทั้งหมด: คลิกขอบเขตเพื่อลบ จากนั้นคลิก ลบ

ก่อนที่คุณจะเริ่มต้น
ต้องมีสิทธิ์ของเจ้าของขอบเขตสำหรับขอบเขตรูท
หากคุณได้สร้างพื้นที่ทำงาน นโยบาย หรือการอ้างอิงอื่นๆ เพิ่มเติม โปรดดูคู่มือผู้ใช้ใน Secure Workload สำหรับข้อมูลทั้งหมดเกี่ยวกับการรีเซ็ตแผนผังขอบเขต

ขั้นตอน

• ขั้นตอนที่ 1 จากเมนูการนำทางด้านซ้าย ให้เลือกจัดระเบียบ > ขอบเขตและสินค้าคงคลัง
• ขั้นตอนที่ 2 คลิกขอบเขตที่ด้านบนของแผนผัง
• ขั้นตอนที่ 3 คลิกรีเซ็ต
• ขั้นตอนที่ 4 ยืนยันการเลือกของคุณ
• ขั้นตอนที่ 5 หากปุ่มรีเซ็ตเปลี่ยนเป็น ทำลายรอดำเนินการ คุณอาจต้องรีเฟรชหน้าเบราว์เซอร์

ข้อมูลเพิ่มเติม

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวคิดในตัวช่วยสร้าง โปรดดู:

• ความช่วยเหลือออนไลน์ใน Secure Workload
• PDF คู่มือผู้ใช้ Secure Workload สำหรับรุ่นของคุณ หาได้จาก https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

© 2022 Cisco Systems, Inc. สงวนลิขสิทธิ์

เอกสาร / แหล่งข้อมูล

	ซอฟต์แวร์ปริมาณงานที่ปลอดภัยของ CISCO [พีดีเอฟ] คู่มือการใช้งาน รีลีส 3.8 ซอฟต์แวร์เวิร์กโหลดที่ปลอดภัย เวิร์กโหลดที่ปลอดภัย ซอฟต์แวร์
	ซอฟต์แวร์ปริมาณงานที่ปลอดภัยของ CISCO [พีดีเอฟ] คู่มือการใช้งาน 3.8.1.53, 3.8.1.1, ซอฟต์แวร์ปริมาณงานที่ปลอดภัย, ปลอดภัย, ซอฟต์แวร์ปริมาณงาน, ซอฟต์แวร์

อ้างอิง

• คู่มือการใช้งาน