Cuprins ascunde
1 Software CISCO Secure Workload
2 Introducere în segmentare
3 Instalați agenți
4 Flux de lucru cu pornire rapidă
5 Procedură
6 Mai multe informații
7 Documente/Resurse
7.1 Referințe
8 Postări înrudite

CISCO-LOGO

Software CISCO Secure Workload

CISCO Secure Workload Software-FIG2

Ghid de pornire rapidă Cisco Secure Workload pentru versiunea 3.8

Cisco Secure Workload este un software care permite utilizatorilor să instaleze agenți software pe sarcinile de lucru ale aplicațiilor. Agenții software colectează informații despre interfețele de rețea și procesele active care rulează pe sistemul gazdă.

Introducere în segmentare

Caracteristica de segmentare a Cisco Secure Workload permite utilizatorilor să-și grupeze și să eticheteze sarcinile de lucru. Acest lucru ajută la definirea politicilor și procedurilor pentru fiecare grup și la asigurarea unei comunicări sigure între ele.

Despre acest ghid

Acest ghid este un ghid de pornire rapidă pentru Cisco Secure Workload Versiunea 3.8. Oferă un overview a expertului și ghidează utilizatorii prin procesul de instalare a agenților, gruparea și etichetarea sarcinilor de lucru și construirea unei ierarhii pentru organizația lor.

Turul Vrăjitorului

Expertul ghidează utilizatorii prin procesul de instalare a agenților, gruparea și etichetarea sarcinilor de lucru și construirea unei ierarhii pentru organizația lor.

Înainte de a începe

Următoarele roluri de utilizator pot accesa asistentul:

  • Super admin
  • Admin
  • Administrator de securitate
  • Operator de securitate

Instalați agenți

Pentru a instala agenți software pe sarcinile de lucru ale aplicației:

  1. Deschideți expertul Cisco Secure Workload.
  2. Selectați opțiunea pentru a instala agenți.
  3. Urmați instrucțiunile oferite de expert pentru a finaliza procesul de instalare.

Grupați și etichetați sarcinile de lucru

Pentru a grupa și eticheta sarcinile de lucru:

  1. Deschideți expertul Cisco Secure Workload.
  2. Selectați opțiunea de grupare și etichetare a sarcinilor de lucru.
  3. Urmați instrucțiunile oferite de expert pentru a crea o ramură a arborelui domeniului și a atribui etichete fiecărui grup.

Construiți ierarhia pentru organizația dvs

Pentru a construi o ierarhie pentru organizația dvs.:

  1. Deschideți expertul Cisco Secure Workload.
  2. Selectați opțiunea pentru a construi ierarhia pentru organizația dvs.
  3. Urmați instrucțiunile oferite de expert pentru a defini domeniul intern, domeniul de aplicare al centrului de date și domeniul de pre-producție.

Nota: Numele domeniului de aplicare ar trebui să fie scurte și semnificative. Asigurați-vă că nu includeți adresele niciunei aplicații care sunt utilizate pentru a desfășura afaceri reale în domeniul de pre-producție.

Prima publicație: 2023-04-12
Ultima modificare: 2023-05-19

Introducere în segmentare

În mod tradițional, securitatea rețelei vizează menținerea activităților rău intenționate în afara rețelei dvs. cu firewall-uri în jurul marginii rețelei. Cu toate acestea, trebuie să vă protejați organizația de amenințările care v-au încălcat rețeaua sau care au provenit din ea. Segmentarea (sau microsegmentarea) rețelei ajută la protejarea sarcinilor de lucru prin controlul traficului dintre sarcinile de lucru și alte gazde din rețea; prin urmare, permițând numai traficul pe care organizația dvs. ar avea nevoie în scopuri comerciale și interziceți orice alt trafic. De example, puteți folosi politici pentru a preveni orice comunicare între sarcinile de lucru care găzduiesc dvs. public web aplicația să nu comunice cu baza de date de cercetare și dezvoltare din centrul dvs. de date sau pentru a preveni încărcările de lucru care nu sunt de producție să contacteze sarcinile de producție. Cisco Secure Workload utilizează datele de flux ale organizației pentru a sugera politici pe care le puteți evalua și aproba înainte de a le aplica. Alternativ, puteți crea și manual aceste politici pentru segmentarea rețelei.

Despre acest ghid

Acest document este aplicabil pentru încărcarea de lucru securizată versiunea 3.8:

  • Prezintă conceptele cheie de încărcare de lucru securizată: segmentare, etichete de încărcare de lucru, domenii, arbori de domeniu ierarhic și descoperire de politici.
  • Explică procesul de creare a primei ramuri a arborelui domeniului utilizând expertul pentru experiența utilizatorului pentru prima dată și
  • Descrie procesul automat de generare a politicilor pentru aplicația aleasă pe baza fluxurilor de trafic reale.

Turul Vrăjitorului

Înainte de a începe
Următoarele roluri de utilizator pot accesa asistentul:

  • administratorul site-ului
  • asistență pentru clienți
  • proprietarul domeniului

Instalați agenți

Figura 1: Fereastra de bun venit

CISCO Secure Workload Software-FIG1

Instalați agenți
În Secure Workload, puteți instala agenți software pe încărcăturile de lucru ale aplicației. Agenții software colectează informații despre interfețele de rețea și procesele active care rulează pe sistemul gazdă.

CISCO Secure Workload Software-FIG3

Există două moduri în care puteți instala agenții software:

  • Agent Script installer-Utilizați această metodă pentru instalarea, urmărirea și depanarea problemelor în timpul instalării agenților software. Platformele acceptate sunt Linux, Windows, Kubernetes, AIX și Solaris
  • Program de instalare a imaginii agentului - Descărcați imaginea agentului software pentru a instala o anumită versiune și tip de agent software pentru platforma dvs. Platformele acceptate sunt Linux și Windows.

Expertul de onboarding vă ghidează prin procesul de instalare a agenților pe baza metodei de instalare selectate. Consultați instrucțiunile de instalare de pe interfața de utilizare și consultați ghidul utilizatorului pentru detalii suplimentare despre instalarea agenților software.

Grupați și etichetați sarcinile de lucru

Atribuiți etichete unui grup de sarcini de lucru pentru a crea un domeniu.
Arborele de domeniu ierarhic ajută la împărțirea sarcinilor de lucru în grupuri mai mici. Cea mai de jos ramură din arborele domeniului este rezervată pentru aplicații individuale.
Selectați un domeniu părinte din arborele domeniului pentru a crea un domeniu nou. Noul domeniu va conține un subset de membri din domeniul părinte.

CISCO Secure Workload Software-FIG4

În această fereastră, vă puteți organiza sarcinile de lucru în grupuri, care sunt aranjate într-o structură ierarhică. Împărțirea rețelei în grupuri ierarhice permite descoperirea și definirea politicilor flexibile și scalabile.
Etichetele sunt parametri cheie care descriu o sarcină de lucru sau un punct final, acesta fiind reprezentat ca o pereche cheie-valoare. Expertul vă ajută să aplicați etichetele la sarcinile dvs. de lucru și apoi grupează aceste etichete în grupuri numite domenii. Sarcinile de lucru sunt grupate automat în domenii pe baza etichetelor asociate. Puteți defini politici de segmentare în funcție de domenii.
Treceți cu mouse-ul peste fiecare bloc sau domeniu din arbore pentru mai multe informații despre tipul de încărcături de lucru sau gazde pe care le include.

Nota

În fereastra Începeți cu domeniile și etichetele, Organizația, Infrastructura, Mediul și Aplicația sunt cheile, iar textul din casetele gri în linie cu fiecare cheie sunt valorile.
De example, toate sarcinile de lucru aparținând aplicației 1 sunt definite de acest set de etichete:

  • Organizație = Internă
  • Infrastructură = Centre de date
  • Mediu = Pre-producție
  • Aplicație = Aplicație 1

Puterea etichetelor și a arborilor de acoperire

Etichetele conduc puterea încărcării de lucru securizate, iar arborele de domeniu creat din etichetele dvs. este mai mult decât un rezumat al rețelei dvs.:

  • Etichetele vă permit să înțelegeți imediat politicile dvs.:
    „Refuzați tot traficul de la pre-producție la producție”
    Comparați acest lucru cu aceeași politică fără etichete:
    „Refuză tot traficul de la 172.16.0.0/12 la 192.168.0.0/16”
  • Politicile bazate pe etichete se aplică (sau se opresc) automat atunci când încărcăturile de lucru etichetate sunt adăugate (sau eliminate din) inventar. În timp, aceste grupări dinamice bazate pe etichete reduc foarte mult efortul necesar pentru a vă menține implementarea.
  • Sarcinile de lucru sunt grupate în domenii pe baza etichetelor lor. Aceste grupări vă permit să aplicați cu ușurință politica sarcinilor de lucru asociate. De example, puteți aplica cu ușurință politica tuturor aplicațiilor din domeniul de pre-producție.
  • Politicile create o singură dată într-un singur domeniu pot fi aplicate automat tuturor încărcăturilor de lucru din domeniile descendente din arbore, reducând la minimum numărul de politici pe care trebuie să le gestionați.
    Puteți defini și aplica cu ușurință politica pe scară largă (de example, la toate sarcinile de lucru din organizația dvs.) sau în mod restrâns (doar la sarcinile de lucru care fac parte dintr-o anumită aplicație) sau la orice nivel între ele (de ex.ample, la toate sarcinile de lucru din centrul dvs. de date.
  • Puteți atribui responsabilitatea pentru fiecare domeniu diferiților administratori, delegând gestionarea politicilor persoanelor care sunt cel mai familiarizate cu fiecare parte a rețelei dvs.

Construiți ierarhia pentru organizația dvs

Începeți să vă construiți ierarhia sau arborele de domeniu, aceasta implică identificarea și clasificarea activelor, determinarea domeniului de aplicare, definirea rolurilor și responsabilităților, dezvoltarea politicilor și procedurilor pentru a crea o ramură a arborelui domeniului.

CISCO Secure Workload Software-FIG5

Expertul vă ghidează prin crearea unei ramuri a arborelui scop. Introduceți adrese IP sau subrețele pentru fiecare domeniu de aplicare conturat în albastru, etichetele sunt aplicate automat pe baza arborelui domeniului.

Cerințe preliminare:

  • Adunați adrese IP/subrețele asociate cu mediul dumneavoastră de pre-producție, centrele dumneavoastră de date și rețeaua dumneavoastră internă.
  • Strângeți cât mai multe adrese IP/subrețele, puteți să le puteți adăuga mai târziu.
  • Mai târziu, pe măsură ce vă construiți arborele, puteți adăuga adrese IP/subrețele pentru celelalte domenii din arbore (blocurile gri).

Pentru a crea arborele domeniului, parcurgeți acești pași:

Definiți domeniul intern
Domeniul intern include toate adresele IP care definesc rețeaua internă a organizației dvs., inclusiv adresele IP publice și private.
Expertul vă ghidează prin adăugarea de adrese IP la fiecare domeniu din ramura arborescentă. Pe măsură ce adăugați adrese, expertul atribuie etichete fiecărei adrese care definește domeniul de aplicare.

De example, în această fereastră Scope Setup, expertul atribuie eticheta
Organizație=Internă

la fiecare adresă IP.
În mod implicit, expertul adaugă adresele IP în spațiul de adrese de internet privat, așa cum este definit în RFC 1918

Nota
Nu este necesar să introduceți toate adresele IP odată, dar trebuie să includeți adresele IP asociate aplicației alese, puteți adăuga restul adreselor IP ulterior.

Definiți domeniul de aplicare al centrului de date
Acest domeniu include adresele IP care definesc centrele dvs. de date locale. Introduceți adresele IP/subrețelele care vă definesc rețeaua internă

Nota Numele domeniului de aplicare ar trebui să fie scurte și semnificative.

În această fereastră, introduceți adresele IP pe care le-ați introdus pentru organizație, aceste adrese trebuie să fie un subset al adreselor pentru rețeaua dumneavoastră internă. Dacă aveți mai multe centre de date, includeți-le pe toate în acest domeniu, astfel încât să puteți defini un singur set de politici.

Nota

Puteți adăuga oricând mai multe adrese ulteriortage. De exemplu, expertul atribuie aceste etichete fiecărei adrese IP:
Organizație=Internă
Infrastructură=Centre de date

Definiți domeniul de pre-producție
Acest domeniu include adrese IP ale aplicațiilor și gazdelor care nu sunt de producție, cum ar fi dezvoltarea, laboratorul, testul sautagsisteme de ing.

Nota
Asigurați-vă că nu includeți adrese ale niciunei aplicații care sunt utilizate pentru a desfășura afaceri reale, folosiți-le pentru domeniul de producție pe care îl definiți mai târziu.

Adresele IP pe care le introduceți în această fereastră trebuie să fie un subset al adreselor pe care le-ați introdus pentru centrele dvs. de date, să includă adresele aplicației alese de dvs. În mod ideal, ar trebui să includă și adrese de pre-producție care nu fac parte din aplicația aleasă.

Nota Puteți adăuga oricând mai multe adrese ulteriortage.

CISCO Secure Workload Software-FIG6

Review Arborele domeniului, domeniile și etichetele
Înainte de a începe să creați arborele domeniului, review ierarhia pe care o puteți vedea în fereastra din stânga. Sfera rădăcină arată etichetele care au fost create automat pentru toate adresele IP și subrețelele configurate. La un s. mai târziutagÎn acest proces, aplicațiile sunt adăugate la acest arbore de domeniu.
Figura 2:

CISCO Secure Workload Software-FIG7

Puteți extinde și restrânge ramuri și puteți derula în jos pentru a alege un anumit domeniu. În panoul din dreapta, puteți vedea adresele IP și etichetele atribuite sarcinilor de lucru pentru domeniul specific. În această fereastră, puteți review, modificați arborele domeniului înainte de a adăuga o aplicație la acest domeniu.

Nota
Dacă doriți să view aceste informații după ce părăsiți expertul, alegeți Organizare > Domenii și inventar din meniul principal,

Review Arborele de aplicare

Înainte de a începe să creați arborele domeniului, review ierarhia pe care o puteți vedea în fereastra din stânga. Sfera rădăcină arată etichetele care au fost create automat pentru toate adresele IP și subrețelele configurate. La un s. mai târziutagÎn acest proces, aplicațiile sunt adăugate la acest arbore de domeniu.

CISCO Secure Workload Software-FIG8

Puteți extinde și restrânge ramuri și puteți derula în jos pentru a alege un anumit domeniu. În panoul din dreapta, puteți vedea adresele IP și etichetele atribuite sarcinilor de lucru pentru domeniul specific. În această fereastră, puteți review, modificați arborele domeniului înainte de a adăuga o aplicație la acest domeniu.

Nota
Dacă doriți să view aceste informații după ce părăsiți expertul, alegeți Organizare > Domenii și inventar din meniul principal.

Creați arborele de acoperire

După ce vei fiview arborele domeniului, continuați cu crearea arborelui domeniului.

CISCO Secure Workload Software-FIG9

Pentru informații despre arborele domeniului de aplicare, consultați secțiunile Scopuri și Inventar din ghidul utilizatorului.

Următorii pași

Instalați agenți
Instalați agenții SecureWorkload pe sarcinile de lucru asociate cu aplicația aleasă. Datele pe care agenții le adună sunt folosite pentru a genera politici sugerate pe baza traficului existent în rețeaua dumneavoastră. Mai multe date, politicile mai precise sunt produse. Pentru detalii, consultați secțiunea Agenți software din ghidul utilizatorului Secure Workload.

Adăugați aplicație
Adăugați prima aplicație în arborele dvs. de aplicare. Alegeți o aplicație de pre-producție care rulează pe bare metal sau mașini virtuale în centrul dvs. de date. După ce adăugați o aplicație, puteți începe să descoperiți politici pentru această aplicație. Pentru mai multe informații, consultați secțiunea Domenii și inventar din ghidul utilizatorului Secure Workload.

Configurați politici comune la sfera internă
Aplicați un set de politici comune la sfera Internă. De example, permiteți numai traficul printr-un anumit port din rețea dvs. în afara rețelei dvs.
Utilizatorii pot defini politicile manual folosind clustere, filtre de inventar și domenii sau acestea pot fi descoperite și generate din datele fluxului utilizând o Descoperire automată a politicilor.
După ce ați instalat agenți și ați permis cel puțin câteva ore pentru ca datele despre fluxul de trafic să se acumuleze, puteți activa Secure Workload pentru a genera politici (“descoperire”) bazate pe acel trafic. Pentru detalii, consultați secțiunea Descoperire automată a politicilor din ghidul utilizatorului Secure Workload.
Aplicați aceste politici în domeniul intern (sau interior sau rădăcină) pentru a restabili în mod eficientview politici.

Adăugați Cloud Connector
Dacă organizația dvs. are încărcături de lucru pe AWS, Azure sau GCP, utilizați un conector cloud pentru a adăuga acele sarcini în arborele dvs. de aplicare. Pentru mai multe informații, consultați secțiunea Cloud Connectors din ghidul utilizatorului Secure Workload.

Flux de lucru cu pornire rapidă

Pas Fă asta Detalii
1 (Opțional) Faceți un tur adnotat al vrăjitorului Turul vrăjitorului, la pagina 1
2 Alegeți o aplicație pentru a începe călătoria dvs. de segmentare. Pentru cele mai bune rezultate, urmați instrucțiunile din Alegeți un Aplicație pentru acest expert, la pagina 10.
3 Adunați adrese IP. Expertul va solicita 4 grupuri de adrese IP.

Pentru detalii, vezi Adunați adrese IP, la pagina 9.
4 Rulați vrăjitorul La view cerințe și accesați expertul, vezi Rulați Expertul, la pagina 11
5 Instalați agenți Secure Workload pe sarcinile de lucru ale aplicației dvs. Consultați Instalarea agenților.
6 Lăsați timp agenților să adune date de flux. Mai multe date generează politici mai precise.

Timpul minim necesar depinde de cât de activ este utilizată aplicația dvs.
7 Generați politici („descoperiți”) pe baza datelor dvs. reale de flux. Consultați Generarea automată a politicilor.
8 Review politicile generate. Consultați Priviți politicile generate.

Adunați adrese IP
Veți avea nevoie de cel puțin câteva dintre adresele IP din fiecare punct de mai jos:

  • Adrese care definesc rețeaua internă În mod implicit, expertul folosește adresele standard rezervate pentru utilizarea privată a internetului.
  • Adrese care sunt rezervate pentru centrele dvs. de date.
    Aceasta nu include adresele utilizate de computerele angajaților, serviciile cloud sau parteneri, serviciile IT centralizate etc.
  • Adrese care definesc rețeaua dvs. de non-producție
  • Adresele sarcinilor de lucru care cuprind aplicația non-producție aleasă de dvs
    Deocamdată, nu trebuie să aveți toate adresele pentru fiecare dintre marcatorii de mai sus; puteți adăuga oricând mai multe adrese mai târziu.

Important
Deoarece fiecare dintre cele 4 marcatori reprezintă un subset al adreselor IP ale marcatorului de deasupra acestuia, fiecare adresă IP din fiecare marcator trebuie, de asemenea, inclusă printre adresele IP ale marcatorului de deasupra acestuia în listă.

Alegeți o aplicație pentru acest expert
Pentru acest expert, alegeți o singură aplicație.
O aplicație constă de obicei din mai multe sarcini de lucru care oferă servicii diferite, cum ar fi web servicii sau baze de date, servere primare și de rezervă etc. Împreună, aceste sarcini de lucru oferă utilizatorilor săi funcționalitatea aplicației.

CISCO Secure Workload Software-FIG10

Instrucțiuni pentru alegerea aplicației dvs
SecureWorkload acceptă încărcături de lucru care rulează pe o gamă largă de platforme și sisteme de operare, inclusiv încărcături de lucru bazate pe cloud și containerizate. Cu toate acestea, pentru acest expert, alegeți o aplicație cu sarcini de lucru care sunt:

Nota
Puteți rula vrăjitorul chiar dacă nu ați ales o aplicație și nu ați adunat adrese IP, dar nu puteți finaliza vrăjitorul fără a face aceste lucruri.

Nota
Dacă nu finalizați expertul înainte de a vă deconecta (sau a expira) sau nu navigați la o altă parte a aplicației Secure workload (utilizați bara de navigare din stânga), configurațiile expertului nu sunt salvate.

Pentru detalii despre cum să adăugați un domeniu de aplicare/adăugați un domeniu de aplicare și etichete, consultați secțiunea Scopuri și inventar din Ghidul utilizatorului Cisco Secure Workload.

Rulați vrăjitorul

Puteți rula vrăjitorul indiferent dacă ați ales sau nu o aplicație și ați adunat adrese IP, dar nu veți putea finaliza vrăjitorul fără a face aceste lucruri.

Important
Dacă nu finalizați expertul înainte de a vă deconecta (sau de a expira) de la Secure Workload sau dacă navigați la o altă parte a aplicației utilizând bara de navigare din stânga, configurațiile expertului nu sunt salvate.

Înainte de a începe
Următoarele roluri de utilizator pot accesa asistentul:

Procedură

  • Pasul 1
    Conectați-vă la Secure Workload.
  • Pasul 2
    Porniți vrăjitorul:
    Dacă nu aveți în prezent niciun domeniu definit, expertul apare automat când vă conectați la Secure Workload.

Alternativ:

  • Faceți clic pe linkul Executați expertul acum din bannerul albastru din partea de sus a oricărei pagini.
  • Alege Pesteview din meniul principal din partea stângă a ferestrei.
  • Pasul 3
    Vrăjitorul vă va explica lucrurile pe care trebuie să le știți.
    Nu ratați următoarele elemente utile:
    • Plasați cursorul peste elementele grafice din expert pentru a citi descrierile acestora.
    • Faceți clic pe orice link și butoane de informații (CISCO Secure Workload Software-FIG11 ) pentru informații importante.

(Opțional) Pentru a începe din nou, resetați arborele scopului

Puteți șterge domeniile, etichetele și arborele de domeniu pe care le-ați creat folosind vrăjitorul și, opțional, puteți rula din nou expertul.

Sfat
Dacă doriți doar să eliminați unele dintre domeniile create și nu doriți să rulați din nou expertul, puteți șterge domenii individuale în loc să resetați întregul arbore: Faceți clic pe un domeniu pentru a șterge, apoi faceți clic pe Ștergere.

Înainte de a începe
Sunt necesare privilegii de proprietar pentru domeniul rădăcină.
Dacă ați creat spații de lucru suplimentare, politici sau alte dependențe, consultați Ghidul utilizatorului din Secure Workload pentru informații complete despre resetarea arborelui domeniului.

Procedură

  • Pasul 1 Din meniul de navigare din stânga, alegeți Organizare > Domenii și inventar .
  • Pasul 2 Faceți clic pe domeniul din partea de sus a arborelui.
  • Pasul 3 Faceți clic pe Resetare.
  • Pasul 4 Confirmați alegerea.
  • Pasul 5 Dacă butonul Resetare se schimbă în Distruge în așteptare, poate fi necesar să reîmprospătați pagina browserului.

Mai multe informații

Pentru mai multe informații despre conceptele din expert, consultați:

© 2022 Cisco Systems, Inc. Toate drepturile rezervate.

Documente/Resurse

Software CISCO Secure Workload [pdfGhid de utilizare
Versiunea 3.8, Secure Workload Software, Secure Workload, Software
Software CISCO Secure Workload [pdfGhid de utilizare
3.8.1.53, 3.8.1.1, Secure Workload Software, Secure, Workload Software, Software

Referințe

Postări înrudite

Lasă un comentariu

Adresa ta de e-mail nu va fi publicată. Câmpurile obligatorii sunt marcate *