CISCO 安全性工作負載軟體
思科安全工作負載快速入門指南 3.8 版
思科安全工作負載是一款允許使用者在其應用程式工作負載上安裝軟體代理程式的軟體。軟體代理程式收集有關網路介面和主機系統上運行的活動進程的資訊。
分段簡介
思科安全工作負載的分段功能可讓使用者對其工作負載進行分組和標記。這有助於為每個群組定義策略和程序,並確保它們之間的安全通訊。
關於本指南
本指南是思科安全工作負載版本 3.8 的快速入門指南。它提供了一個超過view 精靈並引導使用者完成安裝代理、分組和標記工作負載以及為其組織建立層次結構的過程。
巫師之旅
此精靈將引導使用者完成安裝代理程式、對工作負載進行分組和標記以及為其組織建立層次結構的過程。
開始之前
以下用戶角色可以訪問該嚮導:
- 超管理員
- 行政
- 安全管理員
- 保全員
安裝代理
若要在應用程式工作負載上安裝軟體代理程式:
- 開啟思科安全工作負載精靈。
- 選擇安裝代理程式的選項。
- 依照精靈提供的說明完成安裝程序。
將您的工作負載進行分組和標記
將工作負載分組並標記:
- 開啟思科安全工作負載精靈。
- 選擇對工作負載進行分組和標記的選項。
- 依照精靈提供的說明建立範圍樹的分支並為每個群組指派標籤。
為您的組織建立層次結構
要為您的組織建立層次結構:
- 開啟思科安全工作負載精靈。
- 選擇為您的組織建立層次結構的選項。
- 依照精靈提供的說明定義內部範圍、資料中心範圍和預生產範圍。
筆記: 範圍名稱應該簡短且有意義。確保您不包括任何用於在預生產範圍內開展實際業務的應用程式的地址。
首次發布: 2023-04-12
最後修改時間: 2023-05-19
分段簡介
傳統上,網路安全性旨在透過網路邊緣的防火牆將惡意活動排除在網路之外。但是,您還需要保護您的組織免受破壞您的網路或源自網路的威脅。網路分段(或微分段)有助於透過控制工作負載與網路上其他主機之間的流量來保護您的工作負載;因此,僅允許您的組織出於業務目的所需的流量,並拒絕所有其他流量。對於前amp文件中,您可以使用策略來阻止託管面向公眾的工作負載之間的所有通信 web 阻止應用程式與資料中心的研發資料庫進行通信,或防止非生產工作負載與生產工作負載聯繫。思科安全工作負載使用組織的流程資料來建議策略,您可以在實施之前評估和批准這些策略。或者,您也可以手動建立這些策略來對網路進行分段。
關於本指南
本文檔適用於 Secure Workload 版本 3.8:
- 介紹關鍵的安全工作負載概念:分段、工作負載標籤、範圍、分層範圍樹和策略發現。
- 解釋使用首次使用者體驗精靈建立範圍樹的第一個分支的過程以及
- 描述根據實際流量為所選應用程式產生策略的自動化過程。
巫師之旅
開始之前
以下用戶角色可以訪問該嚮導:
- 網站管理員
- 客戶支援
- 範圍所有者
安裝代理
圖 1:歡迎窗口
安裝代理
在安全性工作負載中,您可以在應用程式工作負載上安裝軟體代理程式。軟體代理程式收集有關網路介面和主機系統上運行的活動進程的資訊。
有兩種方法可以安裝軟體代理程式:
- 代理腳本安裝程式 - 使用此方法來安裝、追蹤和排除安裝軟體代理程式時出現的問題。支援的平台包括 Linux、Windows、Kubernetes、AIX 和 Solaris
- 代理映像安裝程式 - 下載軟體代理映像以安裝適合您平台的特定版本和類型的軟體代理程式。支援的平台有 Linux 和 Windows。
加入精靈將引導您根據所選的安裝程式方法完成安裝代理程式的過程。請參閱 UI 上的安裝說明並參閱使用者指南,以了解有關安裝軟體代理程式的其他詳細資訊。
將您的工作負載進行分組和標記
將標籤指派給一組工作負載以建立範圍。
分層範圍樹有助於將工作負載劃分為較小的群組。範圍樹中的最低分支是為各個應用程式保留的。
從範圍樹中選擇父範圍以建立新範圍。新作用域將包含父作用域中成員的子集。
在此視窗中,您可以將工作負載組織成群組,並按層次結構排列。將網路分解為分層組可以實現靈活且可擴展的策略發現和定義。
標籤是描述工作負載或端點的關鍵參數,它表示為鍵值對。此精靈有助於將標籤套用到您的工作負載,然後將這些標籤分組到稱為範圍的群組中。工作負載會根據其關聯標籤自動分組到範圍中。您可以根據範圍定義分段策略。
將滑鼠懸停在樹中的每個區塊或範圍上,以取得有關其包含的工作負載或主機類型的更多資訊。
筆記
在「範圍和標籤入門」視窗中,「組織」、「基礎設施」、「環境」和「應用程式」是鍵,每個鍵內嵌的灰色方塊中的文字是值。
對於前amp文件中,屬於應用程式 1 的所有工作負載均由以下標籤集定義:
- 組織 = 內部
- 基礎設施 = 數據中心
- 環境 = 預生產
- 應用程序 = 應用程序 1
標籤和範圍樹的力量
標籤驅動 Secure Workload 的力量,根據您的標籤創建的範圍樹不僅僅是您網絡的摘要:
- 標籤可讓您立即了解您的保單:
“拒絕從預生產到生產的所有流量”
將此與沒有標籤的相同策略進行比較:
“拒絕從 172.16.0.0/12 到 192.168.0.0/16 的所有流量” - 當帶標籤的工作負載添加到(或從)清單中刪除時,基於標籤的策略會自動應用(或停止應用)。 隨著時間的推移,這些基於標籤的動態分組大大減少了維護部署所需的工作量。
- 工作負載根據其標籤分組到範圍內。 這些分組讓您可以輕鬆地將策略應用於相關工作負載。 對於前amp文件中,您可以輕鬆地將策略應用於預生產範圍內的所有應用程序。
- 在單一範圍中建立一次的策略可以自動應用於樹中後代範圍中的所有工作負載,從而最大限度地減少需要管理的策略數量。
您可以輕鬆地廣泛定義和應用策略(例如ample,您組織中的所有工作負載)或狹義(僅限特定應用程序一部分的工作負載)或介於兩者之間的任何級別(例如ample,您數據中心的所有工作負載。 - 您可以將每個範圍的職責分配給不同的管理員,將策略管理委派給最熟悉網絡每個部分的人員。
為您的組織建立層次結構
開始建立層次結構或範圍樹,這涉及對資產進行識別和分類、確定範圍、定義角色和職責、制定策略和程序以創建範圍樹的分支。
此嚮導將指導您建立範圍樹的分支。為每個藍色輪廓範圍輸入 IP 位址或子網,標籤將根據範圍樹自動套用。
先決條件:
- 收集與您的預生產環境、資料中心和內部網路關聯的 IP 位址/子網路。
- 收集盡可能多的 IP 位址/子網,稍後您可以收集其他 IP 位址/子網路。
- 稍後,在建立樹時,您可以為樹中的其他範圍(灰色區塊)新增 IP 位址/子網路。
若要建立範圍樹,請執行下列步驟:
定義內部範圍
內部範圍包括定義組織內部網絡的所有 IP 地址,包括公共和專用 IP 地址。
此精靈將引導您將 IP 位址新增至分支中的每個範圍。新增位址時,精靈會為定義範圍的每個位址指派標籤。
對於前amp文件,在此「範圍設定」視窗中,精靈指派標籤
組織=內部
到每個IP位址。
預設情況下,精靈會依照 RFC 1918 中的定義將 IP 位址新增至專用 Internet 位址空間中
筆記
不需要一次輸入所有 IP 位址,但您必須包含與所選應用程式關聯的 IP 位址,您可以稍後新增其餘 IP 位址。
定義資料中心範圍
此範圍包括定義本機資料中心的 IP 位址。輸入定義您的內部網路的 IP 位址/子網
筆記 範圍名稱應該簡短且有意義。
在此視窗中,輸入您為組織輸入的 IP 位址,這些位址必須是您的內部網路位址的子集。如果您有多個資料中心,請將所有資料中心包含在此範圍內,以便您可以定義一組策略。
筆記
您以後隨時可以新增更多地址tage.例如,精靈將這些標籤指派給每個 IP 位址:
組織=內部
基礎設施=資料中心
定義預生產範圍
此範圍包括非生產應用程序和主機的 IP 地址,例如開發、實驗室、測試或 stag荷蘭國際集團系統。
筆記
確保不包含任何用於開展實際業務的應用程式的位址,將它們用於您稍後定義的生產範圍。
您在此視窗中輸入的 IP 位址必須是您為資料中心輸入的位址的子集,包括您選擇的應用程式的位址。理想情況下,它們還應該包括不屬於所選應用程式的預生產地址。
筆記 您以後隨時可以新增更多地址tage.
Review 範圍樹、範圍和標籤
在開始建立範圍樹之前,重新view 您可以在左側視窗中看到的層次結構。根範圍顯示為所有配置的 IP 位址和子網路自動建立的標籤。在稍後的stag在此過程中,應用程式將新增至此範圍樹。
圖2:
您可以展開和折疊分支並向下捲動以選擇特定範圍。在右側窗格中,您可以查看指派給特定範圍的工作負載的 IP 位址和標籤。在此視窗中,您可以重新view,在將應用程式新增至此範圍之前修改範圍樹。
筆記
如果你想 view 退出精靈後,從主選單中選擇“組織”>“範圍和清單”,以取得此信息,
Review 範圍樹
在開始建立範圍樹之前,重新view 您可以在左側視窗中看到的層次結構。根範圍顯示為所有配置的 IP 位址和子網路自動建立的標籤。在稍後的stag在此過程中,應用程式將新增至此範圍樹。
您可以展開和折疊分支並向下捲動以選擇特定範圍。在右側窗格中,您可以查看指派給特定範圍的工作負載的 IP 位址和標籤。在此視窗中,您可以重新view,在將應用程式新增至此範圍之前修改範圍樹。
筆記
如果你想 view 退出精靈後,請從主選單中選擇「組織」>「範圍和清單」來取得此資訊。
建立範圍樹
在你重新view 範圍樹,繼續建立範圍樹。
有關範圍樹的信息,請參閱使用者指南中的範圍和清單部分。
下一步
安裝代理
在與您選擇的應用程式關聯的工作負載上安裝 SecureWorkload 代理程式。數據越多,政策就越準確。有關詳細信息,請參閱安全工作負載使用者指南中的軟體代理程式部分。
添加申請
將第一個應用程式新增至範圍樹。選擇在資料中心的裸機或虛擬機器上執行的預生產應用程式。新增應用程式後,您可以開始發現該應用程式的策略。有關更多信息,請參閱安全工作負載使用者指南的範圍和清單部分。
在內部範圍內制定通用政策
在內部範圍應用一組通用策略。對於前amp文件,只允許流量透過特定連接埠從您的網路傳送到您的網路外部。
使用者可以使用群集、清單過濾器和範圍手動定義策略,也可以使用自動策略發現從流資料中發現和產生這些策略。
安裝代理程式並允許至少幾個小時累積流量資料後,您可以啟用 Secure Workload 基於該流量產生(「發現」)策略。有關詳細信息,請參閱 Secure Workload 使用者指南的自動發現策略部分。
在內部(或內部或根)範圍應用這些策略,以有效地重新view 政策。
新增雲端連接器
如果您的組織在 AWS、Azure 或 GCP 上有工作負載,請使用雲端連接器將這些工作負載新增至您的範圍樹。有關更多信息,請參閱 Secure Workload 使用者指南的雲端連接器部分。
快速啟動工作流程
| 步 | 這樣做 | 細節 |
| 1 | (可選)帶註釋的嚮導導覽 | 嚮導導覽,第 1 頁 |
| 2 | 選擇一個應用程式來開始您的細分之旅。 | 為獲得最佳效果,請遵循中的指南 選擇一個 此嚮導的應用程序,第 10 頁. |
| 3 | 收集 IP 位址。 | 此精靈將請求 4 組 IP 位址。
詳細資訊請參見 收集 IP 地址,第 9 頁. |
| 4 | 運行嚮導 | 到 view 要求和訪問嚮導,請參閱 運行嚮導,第 11 頁 |
| 5 | 在應用程式的工作負載上安裝安全性工作負載代理程式。 | 請參閱安裝代理程式。 |
| 6 | 留出時間讓代理收集流量數據。 | 更多數據產生更準確的政策。
所需的最短時間取決於應用程式的使用活躍程度。 |
| 7 | 根據您的實際流量資料產生(「發現」)策略。 | 請參閱自動產生策略。 |
| 8 | Review 產生的策略。 | 請參閱查看產生的策略。 |
收集 IP 地址
您將至少需要下面每個項目符號中的一些 IP 地址:
- 定義內部網絡的地址 默認情況下,嚮導使用為私人 Internet 使用保留的標準地址。
- 為您的資料中心保留的地址。
這不包括員工電腦、雲端或合作夥伴服務、集中式 IT 服務等使用的地址。 - 定義非生產網絡的地址
- 構成您選擇的非生產應用程式的工作負載的位址
目前,您不需要擁有上述每個項目符號的所有位址;您以後隨時可以新增更多地址。
重要的
由於 4 個項目符號中的每一個都代表其上方項目符號的 IP 地址的子集,因此每個項目符號中的每個 IP 地址也必須包含在列表中其上方項目符號的 IP 地址中。
為此嚮導選擇一個應用程式
對於此嚮導,選擇一個應用程式。
一個應用程式通常由提供不同服務的多個工作負載組成,例如 web 服務或資料庫、主伺服器和備份伺服器等。
選擇應用程序的指南
SecureWorkload 支援在各種平台和作業系統上執行的工作負載,包括基於雲端和容器化的工作負載。但是,對於此嚮導,請選擇具有以下工作負載的應用程式:
- 在您的資料中心運行。
- 在裸機和/或虛擬機器上運作。
- 在受安全性工作負載代理程式支援的 Windows、Linux 或 AIX 平台上執行,請參閱 https://www.cisco.com/go/secure-workload/requirements/agents.
- 部署在預生產環境中。
筆記
即使您尚未選擇應用程式並收集 IP 位址,也可以執行該嚮導,但如果不執行這些操作,則無法完成該精靈。
筆記
如果您在登出(或逾時)或導覽至安全工作負載應用程式的其他部分(使用左側導覽列)之前未完成精靈,則不會儲存精靈設定。
有關如何新增範圍/新增範圍和標籤的詳細信息,請參閱《思科安全工作負載使用者指南》的範圍和清單部分。
運行嚮導
無論您是否選擇了應用程序並收集了 IP 地址,您都可以運行該嚮導,但如果不執行這些操作,您將無法完成該嚮導。
重要的
如果您在退出(或超時)Secure Workload 之前沒有完成該嚮導,或者如果您使用左側導航欄導航到應用程序的不同部分,則不會保存嚮導配置。
開始之前
以下用戶角色可以訪問該嚮導:
程式
- 步驟1
登錄到安全工作負載。 - 步驟2
啟動嚮導:
如果您當前未定義任何範圍,則該嚮導會在您登錄 Secure Workload 時自動出現。
或者:
- 單擊任何頁面頂部藍色橫幅中的立即運行嚮導鏈接。
- 選擇結束view 從窗口左側的主菜單。
- 步驟3
嚮導將解釋您需要了解的內容。
不要錯過以下有用的元素:- 將鼠標懸停在嚮導中的圖形元素上以閱讀它們的描述。
- 點擊任何連結和資訊按鈕(
) 取得重要資訊。
(可選)重新開始,重置範圍樹
您可以刪除使用嚮導創建的範圍、標籤和範圍樹,並可選擇再次運行嚮導。
提示
如果您只想刪除一些已創建的範圍並且不想再次運行該嚮導,您可以刪除單個範圍而不是重置整個樹:單擊要刪除的範圍,然後單擊刪除。
開始之前
需要根範圍的範圍擁有者權限。
如果您建立了其他工作區、政策或其他依賴項,請參閱安全性工作負載中的使用者指南,以取得有關重設範圍樹的完整資訊。
程式
- 步驟 1 從左側導覽功能表中選擇組織 > 範圍和清單。
- 步驟 2 點選樹頂部的範圍。
- 步驟 3 按一下「重置」。
- 步驟 4 確認您的選擇。
- 步驟 5 如果“重設”按鈕變成“銷毀待處理”,您可能需要重新整理瀏覽器頁面。
更多資訊
有關嚮導中概念的詳細信息,請參閱:
- Secure Workload 中的在線幫助
- 適用於您的版本的安全工作負載用戶指南 PDF,可從 https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html
© 2022 思科系統公司。
文件/資源
 |
CISCO 安全性工作負載軟體 [pdf] 使用者指南 版本 3.8,安全工作負載軟體,安全工作負載,軟體 |
 |
CISCO 安全性工作負載軟體 [pdf] 使用者指南 3.8.1.53、3.8.1.1、安全工作負載軟體、安全性、工作負載軟體、軟體 |
