Посібник користувача програмного забезпечення CISCO Secure Workload

Зміст приховати

1 Програмне забезпечення CISCO Secure Workload

2 Введення в сегментацію

3 Встановити агенти

4 Робочий процес швидкого запуску

5 Процедура

6 Більше інформації

7 Документи / Ресурси

7.1 Список літератури

8 Пов’язані публікації

Програмне забезпечення CISCO Secure Workload

Короткий посібник із захищеного робочого навантаження Cisco для випуску 3.8

Cisco Secure Workload — це програмне забезпечення, яке дозволяє користувачам встановлювати програмні агенти на робочі навантаження своїх програм. Програмні агенти збирають інформацію про мережеві інтерфейси та активні процеси, що виконуються на хост-системі.

Введення в сегментацію

Функція сегментації Cisco Secure Workload дозволяє користувачам групувати та маркувати свої робочі навантаження. Це допомагає визначити політику та процедури для кожної групи та забезпечити безпечне спілкування між ними.

Про цей посібник

Цей посібник є коротким посібником для початку роботи з Cisco Secure Workload Release 3.8. Він забезпечує надview майстра та направляє користувачів через процес встановлення агентів, групування та маркування робочих навантажень, а також створення ієрархії для їхньої організації.

Тур Чарівника

Майстер проводить користувачів через процес встановлення агентів, групування та маркування робочих навантажень, а також створення ієрархії для їхньої організації.

Перш ніж почати

Доступ до майстра мають такі ролі користувачів:

Супер адміністратор
адмін

Адміністратор безпеки
Оператор служби безпеки

Встановити агенти

Щоб установити програмні агенти на робочі навантаження програми:

Відкрийте майстер безпечного робочого навантаження Cisco.
Виберіть опцію встановлення агентів.

Дотримуйтеся вказівок майстра, щоб завершити процес встановлення.

Згрупуйте та позначте свої навантаження

Щоб згрупувати та позначити робочі навантаження:

Відкрийте майстер безпечного робочого навантаження Cisco.

Виберіть опцію групування та позначення навантажень.
Дотримуйтеся вказівок майстра, щоб створити гілку дерева областей і призначити мітки кожній групі.

Побудуйте ієрархію для вашої організації

Щоб створити ієрархію для вашої організації:

Відкрийте майстер безпечного робочого навантаження Cisco.
Виберіть варіант побудови ієрархії для вашої організації.

Дотримуйтеся вказівок майстра, щоб визначити внутрішню область, область центру обробки даних і область попереднього виробництва.

Примітка: Назви областей мають бути короткими та зрозумілими. Переконайтеся, що ви не включаєте адреси будь-яких програм, які використовуються для ведення справжнього бізнесу в рамках попереднього виробництва.

Перша публікація: 2023-04-12
Остання зміна: 2023-05-19

Введення в сегментацію

Традиційно мережева безпека спрямована на запобігання зловмисним діям у вашій мережі за допомогою брандмауерів навколо мережі. Однак вам також потрібно захистити свою організацію від загроз, які проникли у вашу мережу або виникли в ній. Сегментація (або мікросегментація) мережі допомагає захистити ваші робочі навантаження шляхом контролю трафіку між робочими навантаженнями та іншими хостами у вашій мережі; отже, дозволяючи лише трафік, який потрібен вашій організації для бізнес-цілей, і забороняйте весь інший трафік. наприкладample, ви можете використовувати політики, щоб запобігти будь-якому зв’язку між робочими навантаженнями, які розміщують ваш публічний доступ web додатку від зв’язку з вашою базою даних досліджень і розробок у вашому центрі обробки даних або для запобігання контакту невиробничих робочих навантажень із робочими навантаженнями. Cisco Secure Workload використовує дані потоку організації, щоб запропонувати політики, які ви можете оцінити та схвалити перед їх застосуванням. Крім того, ви також можете вручну створити ці політики для сегментації мережі.

Про цей посібник

Цей документ стосується Secure Workload версії 3.8:

Знайомство з ключовими концепціями безпечного робочого навантаження: сегментація, мітки робочого навантаження, області дії, ієрархічні дерева областей і виявлення політики.
Пояснює процес створення першої гілки вашого дерева областей за допомогою майстра початкової взаємодії та
Описує автоматизований процес генерації політик для обраної програми на основі фактичних потоків трафіку.

Тур Чарівника

Перш ніж почати
Доступ до майстра мають такі ролі користувачів:

адмін сайту
підтримка клієнтів
власник області

Встановити агенти

Рисунок 1: Вітальне вікно

Встановити агенти
У Secure Workload ви можете інсталювати програмні агенти на робочі навантаження програми. Програмні агенти збирають інформацію про мережеві інтерфейси та активні процеси, що виконуються на хост-системі.

Існує два способи встановлення програмних агентів:

Інсталятор сценарію агента – використовуйте цей метод для встановлення, відстеження та усунення проблем під час встановлення програмних агентів. Підтримувані платформи: Linux, Windows, Kubernetes, AIX і Solaris
Інсталятор образу агента – завантажте образ програмного агента, щоб установити певну версію та тип програмного агента для вашої платформи. Підтримувані платформи Linux і Windows.

Майстер адаптації проведе вас через процес встановлення агентів на основі вибраного методу встановлення. Зверніться до інструкцій зі встановлення в інтерфейсі користувача та перегляньте посібник користувача, щоб отримати додаткові відомості про встановлення програмних агентів.

Згрупуйте та позначте свої навантаження

Призначте мітки групі робочих навантажень, щоб створити область.
Ієрархічне дерево областей допомагає розділити навантаження на менші групи. Найнижча гілка в дереві областей зарезервована для окремих програм.
Виберіть батьківську область у дереві областей, щоб створити нову область. Нова область міститиме підмножину елементів із батьківської області.

У цьому вікні ви можете організувати робочі навантаження за групами, розташованими в ієрархічній структурі. Розбиття вашої мережі на ієрархічні групи забезпечує гнучке та масштабоване виявлення та визначення політики.
Мітки — це ключові параметри, які описують робоче навантаження або кінцеву точку, вони представлені як пара ключ-значення. Майстер допомагає застосувати мітки до ваших робочих навантажень, а потім групує ці мітки в групи, які називаються областями. Робочі навантаження автоматично групуються в області на основі пов’язаних міток. Ви можете визначити політики сегментації на основі областей.
Наведіть вказівник миші на кожен блок або область у дереві, щоб дізнатися більше про тип робочих навантажень або хостів, які він включає.

Примітка

У вікні «Почати роботу з областями та мітками» розділи «Організація», «Інфраструктура», «Середовище» та «Програма» — це ключі, а текст у сірих полях поруч із кожним ключем — це значення.
наприкладample, усі робочі навантаження, що належать до програми 1, визначаються цим набором міток:

Організація = Внутрішня
Інфраструктура = центри обробки даних
Середовище = Попереднє виробництво

Застосування = Застосування 1

Потужність міток і дерев області

Мітки створюють потужність безпечного робочого навантаження, а дерево областей, створене з ваших міток, — це більше, ніж просто короткий опис вашої мережі:

Мітки дозволяють миттєво зрозуміти вашу політику:
«Заборонити весь трафік від попереднього виробництва до робочого»
Порівняйте це з тією ж політикою без міток:
«Заборонити весь трафік від 172.16.0.0/12 до 192.168.0.0/16»
Політики на основі міток автоматично застосовуються (або припиняють застосовуватися), коли робочі навантаження з мітками додаються до (або видаляються) з інвентарю. Згодом ці динамічні групи на основі міток значно зменшують кількість зусиль, необхідних для підтримки вашого розгортання.
Робочі навантаження групуються в області на основі їхніх міток. Ці групи дозволяють легко застосовувати політику до пов’язаних робочих навантажень. наприкладample, ви можете легко застосувати політику до всіх програм у передвиробничій області.

Політики, створені один раз в одній області, можна автоматично застосовувати до всіх робочих навантажень у нащадкових областях у дереві, мінімізуючи кількість політик, якими вам потрібно керувати.
Ви можете легко визначити та широко застосувати політику (наприклад,ample, для всіх робочих навантажень у вашій організації) або вузько (лише для робочих навантажень, які є частиною певної програми) або до будь-якого проміжного рівня (наприклад,ample, для всіх робочих навантажень у вашому центрі обробки даних.
Ви можете призначити відповідальність за кожну область різним адміністраторам, делегуючи керування політикою людям, які найкраще знайомі з кожною частиною вашої мережі.

Побудуйте ієрархію для вашої організації

Почніть будувати свою ієрархію або дерево обсягу, це передбачає ідентифікацію та категоризацію активів, визначення обсягу, визначення ролей і обов’язків, розробку політики та процедур для створення гілки дерева обсягу.

Майстер проведе вас через створення гілки дерева областей. Введіть IP-адреси або підмережі для кожної виділеної блакитним контуром області, мітки автоматично застосовуються на основі дерева областей.

Передумови:

Зберіть IP-адреси/підмережі, пов’язані з вашим середовищем Pre-Production, вашими центрами обробки даних і вашою внутрішньою мережею.
Зберіть якомога більше IP-адрес/підмереж, додаткові IP-адреси/підмережі можна буде додати пізніше.

Пізніше, будуючи своє дерево, ви можете додати IP-адреси/підмережі для інших областей у дереві (сірі блоки).

Щоб створити дерево областей, виконайте такі дії:

Визначте внутрішній обсяг
Внутрішня область включає всі IP-адреси, які визначають внутрішню мережу вашої організації, включаючи загальнодоступні та приватні IP-адреси.
Майстер допоможе вам додати IP-адреси до кожної області в гілці дерева. Коли ви додаєте адреси, майстер призначає мітки для кожної адреси, що визначає область.

наприкладample, у цьому вікні налаштування області майстер призначає мітку
Організація=Внутрішня

на кожну IP-адресу.
За замовчуванням майстер додає IP-адреси в приватний адресний простір Інтернету, як визначено в RFC 1918

Примітка
Усі IP-адреси не потрібно вводити одразу, але ви повинні включити IP-адреси, пов’язані з вибраною програмою, решту IP-адрес можна додати пізніше.

Визначте область дії центру обробки даних
Ця область включає IP-адреси, які визначають ваші локальні центри обробки даних. Введіть IP-адреси/підмережі, які визначають вашу внутрішню мережу

Примітка Назви областей мають бути короткими та змістовними.

У цьому вікні введіть IP-адреси, які ви ввели для організації, ці адреси мають бути підмножиною адрес вашої внутрішньої мережі. Якщо у вас є кілька центрів обробки даних, включіть їх усі в цю область, щоб можна було визначити єдиний набір політик.

Примітка

Ви завжди можете додати інші адреси пізнішеtagд. Наприклад, майстер призначає ці мітки кожній з IP-адрес:
Організація=Внутрішня
Інфраструктура=Центри обробки даних

Визначте обсяг підготовки до виробництва
Ця область включає IP-адреси невиробничих програм і хостів, таких як розробка, лабораторія, тестування абоtagсистем.

Примітка
Переконайтеся, що ви не включили адреси будь-яких програм, які використовуються для ведення фактичного бізнесу, використовуйте їх для обсягу виробництва, який ви визначите пізніше.

IP-адреси, які ви вводите в цьому вікні, мають бути підмножиною адрес, які ви ввели для ваших центрів обробки даних, включати адреси вибраної програми. В ідеалі вони також повинні містити адреси попереднього виробництва, які не є частиною вибраної програми.

Примітка Ви завжди можете додати інші адреси пізнішеtage.

Review Дерево областей, області та мітки
Перш ніж почати створювати дерево областей, повторітьview ієрархія, яку ви бачите в лівому вікні. Коренева область показує мітки, які були автоматично створені для всіх налаштованих IP-адрес і підмереж. Пізніше сtage у цьому процесі програми додаються до цього дерева областей.
малюнок 2:

Ви можете розгортати та згортати гілки та прокручувати вниз, щоб вибрати певну область. На правій панелі можна побачити IP-адреси та мітки, призначені робочим навантаженням для певної області. У цьому вікні ви можете повторноview, змініть дерево області перед додаванням програми до цієї області.

Примітка
Якщо ви хочете view цю інформацію після виходу з майстра виберіть «Упорядкувати» > «Області та інвентар» у головному меню,

Review Дерево області

Перш ніж почати створювати дерево областей, повторітьview ієрархія, яку ви бачите в лівому вікні. Коренева область показує мітки, які були автоматично створені для всіх налаштованих IP-адрес і підмереж. Пізніше сtage у цьому процесі програми додаються до цього дерева областей.

Примітка
Якщо ви хочете view цю інформацію після виходу з майстра виберіть «Упорядкувати» > «Області та інвентар» у головному меню.

Створення дерева областей

Після того, як ви зновуview дерева областей, продовжуйте створення дерева областей.

Щоб отримати інформацію про дерево областей, перегляньте розділи Області та Інвентар у посібнику користувача.

Наступні кроки

Встановити агенти
Установіть агенти SecureWorkload для робочих навантажень, пов’язаних із вибраною програмою. Дані, які збирають агенти, використовуються для створення пропонованих політик на основі наявного трафіку у вашій мережі. Більше даних – точніші політики. Докладніше див. у розділі «Програмні агенти» в посібнику користувача «Безпечне робоче навантаження».

Додати додаток
Додайте першу програму до дерева областей. Виберіть попередню версію програми, яка працює на голому металі або віртуальних машинах у вашому центрі обробки даних. Після додавання програми ви можете розпочати пошук політик для цієї програми. Щоб отримати додаткові відомості, перегляньте розділ «Області та інвентар» посібника користувача «Безпечне робоче навантаження».

Налаштування загальних політик у внутрішній області
Застосуйте набір загальних політик у внутрішній області. наприкладample, дозвольте лише трафік через певний порт із вашої мережі за межі вашої мережі.
Користувачі можуть визначати політики вручну за допомогою кластерів, фільтрів інвентаризації та областей або їх можна виявити та створити з даних потоку за допомогою автоматичного виявлення політики.
Після того, як ви встановили агенти та дали принаймні кілька годин для накопичення даних про потік трафіку, ви можете ввімкнути Secure Workload для створення («виявлення») політик на основі цього трафіку. Додаткову інформацію див. у розділі «Політики автоматичного виявлення» посібника користувача «Безпечне робоче навантаження».
Застосуйте ці політики до внутрішньої (або внутрішньої чи кореневої) області, щоб ефективно перезавантажуватиview політики.

Додайте Cloud Connector
Якщо у вашій організації є робочі навантаження на AWS, Azure або GCP, використовуйте хмарний з’єднувач, щоб додати ці робочі навантаження до дерева областей. Додаткову інформацію див. у розділі Cloud Connectors у посібнику користувача Secure Workload.

Робочий процес швидкого запуску

Крок	Зробіть це	Подробиці
1	(Необов’язково) Ознайомтеся з майстром із коментарями	Подорож чарівника, на сторінці 1
2	Виберіть програму, щоб почати сегментацію.	Щоб отримати найкращі результати, дотримуйтеся вказівок у Виберіть Програма для цього майстра на сторінці 10.
3	Зберіть IP-адреси.	Майстер запитає 4 групи IP-адрес. Детальніше див Збір IP-адрес на сторінці 9.
4	Запустіть майстер	до view вимоги та доступ до майстра див Запустіть майстер, на сторінці 11
5	Встановіть агенти Secure Workload для робочих навантажень вашої програми.	Див. Інсталяційні агенти.
6	Дайте агентам час для збору даних про потік.	Більше даних створює точнішу політику. Мінімальний необхідний час залежить від того, наскільки активно використовується ваша програма.
7	Створюйте («виявляйте») політики на основі фактичних даних потоку.	Див. Автоматичне створення політик.
8	Review створені політики.	Див. Перегляд створених політик.

Зберіть IP-адреси
Вам знадобляться принаймні деякі з IP-адрес у кожному наведеному нижче списку:

Адреси, які визначають вашу внутрішню мережу. За замовчуванням майстер використовує стандартні адреси, зарезервовані для приватного використання в Інтернеті.

Адреси, зарезервовані для ваших центрів обробки даних.
Це не включає адреси, які використовуються комп’ютерами співробітників, хмарними чи партнерськими службами, централізованими ІТ-службами тощо.
Адреси, які визначають вашу невиробничу мережу
Адреси робочих навантажень, які складають вибрану вами невиробничу програму
На даний момент вам не потрібно мати всі адреси для кожного з наведених вище маркерів; ви завжди можете додати інші адреси пізніше.

важливо
Оскільки кожен із 4 маркерів представляє підмножину IP-адрес маркера над ним, кожна IP-адреса в кожному маркері також має бути включена до списку IP-адрес маркера над ним.

Виберіть програму для цього майстра
Для цього майстра виберіть одну програму.
Програма зазвичай складається з кількох робочих навантажень, які надають різні служби, наприклад web служби або бази даних, основний і резервний сервери тощо. Разом ці робочі навантаження забезпечують функціональність програми для її користувачів.

Інструкції щодо вибору програми
SecureWorkload підтримує робочі навантаження, що виконуються на широкому діапазоні платформ і операційних систем, включаючи хмарні та контейнерні робочі навантаження. Однак для цього майстра виберіть програму з такими навантаженнями:

Працює у вашому центрі обробки даних.
Працює на голому металі та/або віртуальних машинах.

Працює на платформах Windows, Linux або AIX, які підтримуються агентами Secure Workload, див https://www.cisco.com/go/secure-workload/requirements/agents.
Розгорнуто в попередньому середовищі.

Примітка
Ви можете запустити майстер, навіть якщо ви не вибрали програму та не зібрали IP-адреси, але ви не можете завершити майстер, не виконавши ці дії.

Примітка
Якщо ви не завершите роботу майстра перед виходом із системи (або закінченням часу очікування) або переходом до іншої частини програми безпечного робочого навантаження (використовуйте ліву панель навігації), конфігурації майстра не збережуться.

Докладні відомості про те, як додати область/додати область дії та мітки, див. у розділі Області дії та інвентар Посібника користувача Cisco Secure Workload.

Запустіть Майстра

Ви можете запустити майстер незалежно від того, вибрали ви програму та зібрали IP-адреси, але ви не зможете завершити роботу майстра, не виконавши ці дії.

важливо
Якщо ви не завершите роботу майстра перед виходом із системи Secure Workload (або закінченням часу очікування) або якщо ви перейдете до іншої частини програми за допомогою лівої панелі навігації, конфігурації майстра не збережуться.

Перш ніж почати
Доступ до майстра мають такі ролі користувачів:

Процедура

Крок 1
Увійдіть у Secure Workload.
Крок 2
Запустіть майстер:
Якщо у вас наразі не визначено жодних областей, майстер з’явиться автоматично, коли ви ввійдете в Secure Workload.

Альтернативно:

Натисніть посилання Запустити майстер зараз на синьому банері вгорі будь-якої сторінки.
Виберіть Overview з головного меню в лівій частині вікна.
Крок 3
Майстер пояснить те, що вам потрібно знати.
Не пропустіть такі корисні елементи:
- Наведіть курсор на графічні елементи у майстрі, щоб прочитати їхні описи.
- Натисніть будь-які посилання та кнопки інформації ( ) для отримання важливої інформації.

(Необов’язково) Щоб почати заново, скиньте дерево області

Ви можете видалити області, мітки та дерево областей, які ви створили за допомогою майстра, і за потреби запустити майстер знову.

Підказка
Якщо ви хочете видалити лише деякі зі створених областей і не бажаєте знову запускати майстер, ви можете видалити окремі області замість скидання всього дерева: клацніть область, яку потрібно видалити, а потім натисніть «Видалити».

Перш ніж почати
Потрібні права власника кореневої області.
Якщо ви створили додаткові робочі області, політики чи інші залежності, перегляньте Посібник користувача в розділі Безпечне робоче навантаження, щоб отримати повну інформацію про скидання дерева областей.

Процедура

Крок 1 У навігаційному меню ліворуч виберіть «Упорядкувати» > «Області та інвентар».
Крок 2 Клацніть область у верхній частині дерева.

Крок 3 Натисніть Скинути.
Крок 4 Підтвердьте свій вибір.
Крок 5. Якщо кнопка «Скинути» зміниться на «Очікує на знищення», можливо, потрібно буде оновити сторінку браузера.

Більше інформації

Щоб отримати додаткові відомості про поняття в майстрі, перегляньте:

Онлайн-довідка щодо безпечного робочого навантаження
Посібник користувача Secure Workload у форматі PDF для вашого випуску, доступний за адресою https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Документи / Ресурси

	Програмне забезпечення CISCO Secure Workload [pdfПосібник користувача Випуск 3.8, програмне забезпечення для безпечного робочого навантаження, безпечне робоче навантаження, програмне забезпечення
	Програмне забезпечення CISCO Secure Workload [pdfПосібник користувача 3.8.1.53, 3.8.1.1, безпечне програмне забезпечення робочого навантаження, безпечне програмне забезпечення робочого навантаження, програмне забезпечення