CISCO Secure Workload Software Ръководство за потребителя

Съдържание скрий се

1 CISCO Secure Workload софтуер

2 Въведение в сегментацията

3 Инсталирайте агенти

4 Работен процес за бърз старт

5 Процедура

6 Повече информация

7 Документи / Ресурси

7.1 Референции

8 Свързани публикации

CISCO Secure Workload софтуер

Ръководство за бързо стартиране на Cisco Secure Workload за версия 3.8

Cisco Secure Workload е софтуер, който позволява на потребителите да инсталират софтуерни агенти в техните работни натоварвания на приложения. Софтуерните агенти събират информация за мрежовите интерфейси и активните процеси, изпълнявани на хост системата.

Въведение в сегментацията

Функцията за сегментиране на Cisco Secure Workload позволява на потребителите да групират и етикетират своите работни натоварвания. Това помага при определянето на политики и процедури за всяка група и осигуряването на сигурна комуникация между тях.

Относно това ръководство

Това ръководство е кратко ръководство за стартиране на Cisco Secure Workload Release 3.8. Осигурява надview на съветника и напътства потребителите през процеса на инсталиране на агенти, групиране и етикетиране на работни натоварвания и изграждане на йерархия за тяхната организация.

Обиколка на магьосника

Помощникът води потребителите през процеса на инсталиране на агенти, групиране и етикетиране на работни натоварвания и изграждане на йерархия за тяхната организация.

Преди да започнете

Следните потребителски роли имат достъп до съветника:

Супер администратор
Админ
Администратор по сигурността
Оператор по охрана

Инсталирайте агенти

За да инсталирате софтуерни агенти на вашите приложения:

Отворете съветника за безопасно работно натоварване на Cisco.
Изберете опцията за инсталиране на агенти.
Следвайте инструкциите, предоставени от съветника, за да завършите инсталационния процес.

Групирайте и маркирайте работните си натоварвания

За да групирате и етикетирате вашите работни натоварвания:

Отворете съветника за безопасно работно натоварване на Cisco.
Изберете опцията за групиране и етикетиране на вашите работни натоварвания.
Следвайте инструкциите, предоставени от съветника, за да създадете клон на дървото на обхвата и да присвоите етикети на всяка група.

Изградете йерархията за вашата организация

За да изградите йерархия за вашата организация:

Отворете съветника за безопасно работно натоварване на Cisco.
Изберете опцията за изграждане на йерархията за вашата организация.
Следвайте инструкциите, предоставени от съветника, за да дефинирате вътрешния обхват, обхвата на центъра за данни и обхвата на предпроизводството.

Забележка: Имената на обхвата трябва да са кратки и смислени. Уверете се, че не включвате адреси на приложения, които се използват за извършване на действителен бизнес в предпроизводствения обхват.

Първо публикувано: 2023-04-12
Последна промяна: 2023-05-19

Въведение в сегментацията

Традиционно мрежовата сигурност е насочена към предпазване на злонамерена дейност от вашата мрежа със защитни стени около ръба на вашата мрежа. Въпреки това, вие също трябва да защитите вашата организация от заплахи, които са нарушили вашата мрежа или произхождат от нея. Сегментирането (или микросегментирането) на мрежата помага да защитите вашите работни натоварвания чрез контролиране на трафика между работните натоварвания и други хостове във вашата мрежа; следователно, позволявайки само трафик, който вашата организация би изисквала за бизнес цели, и отказвайте целия друг трафик. Напримерample, можете да използвате политики, за да предотвратите всякаква комуникация между работните натоварвания, които хостват вашето публично лице web приложението да не комуникира с вашата база данни за изследвания и разработки във вашия център за данни или да попречи на непроизводствените натоварвания да се свържат с производствените натоварвания. Cisco Secure Workload използва данните за потока на организацията, за да предложи политики, които можете да оцените и одобрите, преди да ги приложите. Като алтернатива можете също ръчно да създадете тези правила за сегментиране на мрежата.

Относно това ръководство

Този документ е приложим за Secure Workload версия 3.8:

Представя ключовите концепции за защитено работно натоварване: сегментиране, етикети за работно натоварване, обхвати, йерархични дървета на обхвата и откриване на правила.
Обяснява процеса на създаване на първия клон на вашето дърво на обхвата с помощта на съветника за потребителско изживяване за първи път и
Описва автоматизирания процес на генериране на политики за избраното приложение въз основа на действителните потоци на трафик.

Обиколка на магьосника

Преди да започнете
Следните потребителски роли имат достъп до съветника:

администратор на сайта
поддръжка на клиенти
собственик на обхват

Инсталирайте агенти

Фигура 1: Поздравителен прозорец

Инсталирайте агенти
В Secure Workload можете да инсталирате софтуерни агенти на вашите приложения. Софтуерните агенти събират информация за мрежовите интерфейси и активните процеси, изпълнявани на хост системата.

Има два начина да инсталирате софтуерните агенти:

Инсталатор на скрипт на агент – Използвайте този метод за инсталиране, проследяване и отстраняване на проблеми при инсталиране на софтуерните агенти. Поддържаните платформи са Linux, Windows, Kubernetes, AIX и Solaris
Инсталатор на изображение на агент – Изтеглете изображението на софтуерен агент, за да инсталирате конкретна версия и тип софтуерен агент за вашата платформа. Поддържаните платформи са Linux и Windows.

Съветникът за включване ви превежда през процеса на инсталиране на агентите въз основа на избрания метод за инсталиране. Обърнете се към инструкциите за инсталиране в потребителския интерфейс и вижте ръководството за потребителя за допълнителни подробности относно инсталирането на софтуерни агенти.

Групирайте и маркирайте работните си натоварвания

Присвоете етикети на група работни натоварвания, за да създадете обхват.
Йерархичното дърво на обхвата помага да се разделят натоварванията на по-малки групи. Най-долният клон в дървото на обхвата е запазен за отделни приложения.
Изберете родителски обхват от дървото на обхвата, за да създадете нов обхват. Новият обхват ще съдържа подмножество от членовете от родителския обхват.

В този прозорец можете да организирате работните си натоварвания в групи, които са подредени в йерархична структура. Разбиването на вашата мрежа на йерархични групи позволява гъвкаво и мащабируемо откриване и дефиниране на политики.
Етикетите са ключови параметри, които описват работно натоварване или крайна точка, те са представени като двойка ключ-стойност. Помощникът помага да приложите етикетите към вашите работни натоварвания и след това групира тези етикети в групи, наречени обхвати. Работните натоварвания се групират автоматично в обхвати въз основа на свързаните с тях етикети. Можете да дефинирате политики за сегментиране въз основа на обхватите.
Задръжте курсора на мишката върху всеки блок или обхват в дървото за повече информация относно типа работни натоварвания или хостове, които включва.

Забележка

В прозореца Първи стъпки с обхвати и етикети организация, инфраструктура, среда и приложение са ключовете, а текстът в сивите полета в ред с всеки ключ са стойностите.
Напримерample, всички работни натоварвания, принадлежащи към Приложение 1, се дефинират от този набор от етикети:

Организация = Вътрешна
Инфраструктура = Центрове за данни
Околна среда = Предварителна продукция
Приложение = Приложение 1

Силата на етикетите и дърветата на обхвата

Етикетите управляват силата на защитеното работно натоварване, а дървото на обхвата, създадено от вашите етикети, е повече от просто обобщение на вашата мрежа:

Етикетите ви позволяват незабавно да разберете вашите правила:
„Отказване на целия трафик от предварителна продукция към продукция“
Сравнете това със същата политика без етикети:
„Отказване на целия трафик от 172.16.0.0/12 до 192.168.0.0/16“
Политиките, базирани на етикети, се прилагат автоматично (или спират да се прилагат), когато етикетирани работни натоварвания се добавят към (или премахват от) инвентара. С течение на времето тези динамични групи, базирани на етикети, значително намаляват количеството усилия, необходими за поддържане на вашето внедряване.
Работните натоварвания са групирани в обхвати въз основа на техните етикети. Тези групи ви позволяват лесно да прилагате политика към свързани работни натоварвания. Напримерample, можете лесно да приложите политика към всички приложения в обхвата Pre-Production.
Политиките, създадени веднъж в един обхват, могат автоматично да се прилагат към всички работни натоварвания в наследствени обхвати в дървото, минимизирайки броя на политиките, които трябва да управлявате.
Можете лесно да дефинирате и прилагате политика широко (напрample, към всички работни натоварвания във вашата организация) или тясно (само към работните натоварвания, които са част от конкретно приложение) или до всяко ниво между тях (напр.ample, към всички работни натоварвания във вашия център за данни.
Можете да възложите отговорност за всеки обхват на различни администратори, като делегирате управлението на правилата на хората, които са най-запознати с всяка част от вашата мрежа.

Изградете йерархията за вашата организация

Започнете да изграждате своята йерархия или дърво на обхвата, това включва идентифициране и категоризиране на активите, определяне на обхвата, дефиниране на роли и отговорности, разработване на политики и процедури за създаване на клон на дървото на обхвата.

Помощникът ви води през създаването на клон на дървото на обхвата. Въведете IP адреси или подмрежи за всеки очертан със синьо обхват, етикетите се прилагат автоматично въз основа на дървото на обхвата.

Предпоставки:

Съберете IP адреси/подмрежи, свързани с вашата предпроизводствена среда, вашите центрове за данни и вашата вътрешна мрежа.
Съберете колкото можете повече IP адреси/подмрежи, можете да добавите допълнителните IP адреси/подмрежи по-късно.
По-късно, докато изграждате своето дърво, можете да добавите IP адреси/подмрежи за другите обхвати в дървото (сивите блокове).

За да създадете дървото на обхвата, изпълнете следните стъпки:

Определете вътрешния обхват
Вътрешният обхват включва всички IP адреси, които определят вътрешната мрежа на вашата организация, включително публични и частни IP адреси.
Помощникът ви превежда през добавянето на IP адреси към всеки обхват в дървовидния клон. Докато добавяте адреси, съветникът присвоява етикети на всеки адрес, който определя обхвата.

Напримерample, в този прозорец за настройка на обхват съветникът присвоява етикета
Организация=Вътрешна

към всеки IP адрес.
По подразбиране съветникът добавя IP адресите в частното интернет адресно пространство, както е дефинирано в RFC 1918

Забележка
Не е необходимо всички IP адреси да се въвеждат наведнъж, но трябва да включите IP адресите, свързани с избраното от вас приложение, можете да добавите останалите IP адреси по-късно.

Определете обхвата на центъра за данни
Този обхват включва IP адресите, които определят вашите локални центрове за данни. Въведете IP адресите/подмрежите, които определят вашата вътрешна мрежа

Забележка Имената на обхвата трябва да са кратки и смислени.

В този прозорец въведете IP адресите, които сте въвели за организацията, тези адреси трябва да са част от адресите за вашата вътрешна мрежа. Ако имате няколко центъра за данни, включете всички в този обхват, за да можете да дефинирате единичен набор от правила.

Забележка

Винаги можете да добавите още адреси по-късноtagд. Например, съветникът присвоява тези етикети на всеки от IP адресите:
Организация=Вътрешна
Инфраструктура=Центрове за данни

Определете предпроизводствения обхват
Този обхват включва IP адреси на непроизводствени приложения и хостове, като разработка, лаборатория, тест или stagинж. системи.

Забележка
Уверете се, че не включвате адреси на приложения, които се използват за извършване на действителен бизнес, използвайте ги за производствения обхват, който дефинирате по-късно.

IP адресите, които въвеждате в този прозорец, трябва да бъдат подмножество от адресите, които сте въвели за вашите центрове за данни, да включват адресите на избраното от вас приложение. В идеалния случай те трябва да включват и предварителни адреси, които не са част от избраното приложение.

Забележка Винаги можете да добавите още адреси по-късноtage.

Review Дърво на обхват, обхвати и етикети
Преди да започнете да създавате дървото на обхвата, повторетеview йерархията, която можете да видите в левия прозорец. Основният обхват показва етикети, които са създадени автоматично за всички конфигурирани IP адреси и подмрежи. На по-късен stage в процеса приложенията се добавят към това дърво на обхвата.
Фигура 2:

Можете да разширявате и свивате клонове и да превъртате надолу, за да изберете конкретен обхват. В десния панел можете да видите IP адресите и етикетите, присвоени на работните натоварвания за конкретния обхват. В този прозорец можете да повторитеview, променете дървото на обхвата, преди да добавите приложение към този обхват.

Забележка
Ако искаш view тази информация, след като излезете от съветника, изберете Организиране > Обхвати и инвентар от главното меню,

Review Дърво на обхвата

Преди да започнете да създавате дървото на обхвата, повторетеview йерархията, която можете да видите в левия прозорец. Основният обхват показва етикети, които са създадени автоматично за всички конфигурирани IP адреси и подмрежи. На по-късен stage в процеса приложенията се добавят към това дърво на обхвата.

Забележка
Ако искаш view тази информация, след като излезете от съветника, изберете Организиране > Обхвати и инвентар от главното меню.

Създайте дърво на обхвата

След като сте отновоview дървото на обхвата, продължете със създаването на дървото на обхвата.

За информация относно дървото на обхвата вижте разделите Обхвати и Инвентар в ръководството за потребителя.

Следващи стъпки

Инсталирайте агенти
Инсталирайте агентите SecureWorkload върху работните натоварвания, свързани с избраното от вас приложение. Данните, които агентите събират, се използват за генериране на предложени политики въз основа на съществуващия трафик във вашата мрежа. Колкото повече данни, толкова по-точни политики се създават. За подробности вижте раздела Софтуерни агенти в ръководството за потребителя за защитено работно натоварване.

Добавяне на приложение
Добавете първото приложение към вашето дърво на обхвата. Изберете предпроизводствено приложение, работещо на голи метални или виртуални машини във вашия център за данни. След като добавите приложение, можете да започнете да откривате правила за това приложение. За повече информация вижте раздела Обхвати и опис на потребителското ръководство за защитено работно натоварване.

Настройте общи политики във вътрешен обхват
Приложете набор от общи правила във вътрешния обхват. Напримерample, разрешавайте трафика само през определен порт от вашата мрежа към извън нея.
Потребителите могат да дефинират политики ръчно с помощта на клъстери, филтри за инвентар и обхвати или те могат да бъдат открити и генерирани от данни за поток с помощта на автоматично откриване на правила.
След като сте инсталирали агенти и сте оставили поне няколко часа за натрупване на данни за потока на трафика, можете да активирате Secure Workload за генериране („откриване“) на политики въз основа на този трафик. За подробности вижте раздела за правила за автоматично откриване на ръководството за потребителя за защитено работно натоварване.
Приложете тези правила във вътрешен (или вътрешен, или основен) обхват, за да възстановите ефективноview политики.

Добавете облачен конектор
Ако вашата организация има работни натоварвания на AWS, Azure или GCP, използвайте облачен конектор, за да добавите тези натоварвания към вашето дърво на обхвата. За повече информация вижте раздела за облачни конектори на потребителското ръководство за защитено работно натоварване.

Работен процес за бърз старт

стъпка	Направи това	Подробности
1	(По избор) Направете анотирана обиколка на съветника	Обиколка на магьосника, на страница 1
2	Изберете приложение, за да започнете вашето сегментиране.	За най-добри резултати следвайте указанията в Изберете Приложение за този съветник, на страница 10.
3	Съберете IP адреси.	Помощникът ще поиска 4 групи IP адреси. За подробности вж Събиране на IP адреси, на страница 9.
4	Стартирайте съветника	до view изисквания и достъп до съветника, вижте Стартирайте съветника, на страница 11
5	Инсталирайте агенти за защитено работно натоварване в работните натоварвания на вашето приложение.	Вижте агенти за инсталиране.
6	Дайте време на агентите да съберат данни за потока.	Повече данни произвеждат по-точни политики. Минималното необходимо време зависи от това колко активно се използва вашето приложение.
7	Генерирайте („открийте“) политики въз основа на вашите действителни данни за потока.	Вижте Автоматично генериране на правила.
8	Review генерираните политики.	Вижте Поглед към генерираните политики.

Съберете IP адреси
Ще ви трябват поне някои от IP адресите във всяка точка по-долу:

Адреси, които определят вашата вътрешна мрежа По подразбиране съветникът използва стандартните адреси, запазени за лична интернет употреба.
Адреси, които са запазени за вашите центрове за данни.
Това не включва адреси, използвани от компютри на служители, облачни или партньорски услуги, централизирани ИТ услуги и др.
Адреси, които определят вашата непроизводствена мрежа
Адреси на работните натоварвания, които съставляват избраното от вас непроизводствено приложение
Засега не е необходимо да имате всички адреси за всеки от горните куршуми; винаги можете да добавите още адреси по-късно.

важно
Тъй като всеки от 4-те водещи точки представлява подмножество от IP адресите на водещото място над него, всеки IP адрес във всяко водещо място трябва също да бъде включен сред IP адресите на водещото място над него в списъка.

Изберете приложение за този съветник
За този съветник изберете едно приложение.
Приложението обикновено се състои от множество работни натоварвания, които предоставят различни услуги, като напр web услуги или бази данни, основни и резервни сървъри и т.н. Заедно тези работни натоварвания осигуряват функционалността на приложението на неговите потребители.

Насоки за избор на вашето приложение
SecureWorkload поддържа работни натоварвания, работещи на широк набор от платформи и операционни системи, включително базирани на облак и контейнеризирани натоварвания. За този съветник обаче изберете приложение с натоварвания, които са:

Работи във вашия център за данни.
Работи на голи метални и/или виртуални машини.
Работи на Windows, Linux или AIX платформи, поддържани с агенти за защитено работно натоварване, вижте https://www.cisco.com/go/secure-workload/requirements/agents.
Внедрява се в предпроизводствена среда.

Забележка
Можете да стартирате съветника, дори ако не сте избрали приложение и не сте събрали IP адреси, но не можете да завършите съветника, без да направите тези неща.

Забележка
Ако не завършите съветника, преди да излезете (или да изтече времето за изчакване) или да навигирате до друга част на приложението за безопасно натоварване (използвайте лявата лента за навигация), конфигурациите на съветника не се запазват.

За подробности относно това как да добавите обхват/добавите обхват и етикети, вижте раздела Обхвати и инвентар на Ръководството за потребителя на Cisco Secure Workload.

Стартирайте съветника

Можете да стартирате съветника, независимо дали сте избрали приложение и сте събрали IP адреси, но няма да можете да завършите съветника, без да направите тези неща.

важно
Ако не завършите съветника, преди да излезете (или да изтече времето за изчакване) на Secure Workload, или ако отидете до друга част на приложението с помощта на лявата лента за навигация, конфигурациите на съветника не се запазват.

Преди да започнете
Следните потребителски роли имат достъп до съветника:

Процедура

Стъпка 1
Влезте в Secure Workload.
Стъпка 2
Стартирайте съветника:
Ако в момента нямате дефинирани обхвати, съветникът се появява автоматично, когато влезете в Secure Workload.

Алтернативно:

Щракнете върху връзката Стартирайте съветника сега в синия банер в горната част на всяка страница.
Изберете Надview от главното меню от лявата страна на прозореца.
Стъпка 3
Съветникът ще ви обясни нещата, които трябва да знаете.
Не пропускайте следните полезни елементи:
- Задръжте курсора на мишката над графичните елементи в съветника, за да прочетете техните описания.
- Щракнете върху произволни връзки и бутони за информация ( ) за важна информация.

(По избор) За да започнете отначало, нулирайте дървото на обхвата

Можете да изтриете обхватите, етикетите и дървото на обхвата, които сте създали с помощта на съветника, и по желание да стартирате съветника отново.

съвет
Ако искате да премахнете само някои от създадените обхвати и не искате да стартирате съветника отново, можете да изтриете отделни обхвати, вместо да нулирате цялото дърво: Щракнете върху обхват за изтриване, след което щракнете върху Изтриване.

Преди да започнете
Необходими са привилегии на собственик на обхват за основния обхват.
Ако сте създали допълнителни работни пространства, правила или други зависимости, вижте Ръководството на потребителя в Защитено работно натоварване за пълна информация относно нулирането на дървото на обхвата.

Процедура

Стъпка 1 От менюто за навигация вляво изберете Организиране > Обхвати и инвентар.
Стъпка 2 Щракнете върху обхвата в горната част на дървото.
Стъпка 3 Щракнете върху Нулиране.
Стъпка 4 Потвърдете избора си.
Стъпка 5 Ако бутонът Нулиране се промени на Предстоящо унищожаване, може да се наложи да опресните страницата на браузъра.

Повече информация

За повече информация относно концепциите в съветника вижте:

Онлайн помощ в Secure Workload
Ръководството на потребителя за защитено работно натоварване PDF за вашата версия, достъпно от https://www.cisco.com/c/en/us/support/security/tetration-analytics-g1/model.html

Документи / Ресурси

	CISCO Secure Workload софтуер [pdf] Ръководство за потребителя Версия 3.8, софтуер за защитено работно натоварване, защитено работно натоварване, софтуер
	CISCO Secure Workload софтуер [pdf] Ръководство за потребителя 3.8.1.53, 3.8.1.1, Сигурен софтуер за натоварване, Сигурен, Софтуер за натоварване, Софтуер