CISCO 3.10.1.1 Bezpečná pracovní zátěž Návod k obsluze
Úvod do Cisco Secure Workload, verze 3.10.1.1
Platforma Cisco Secure Workload, dříve označovaná jako Cisco Tetration, je navržena tak, aby poskytovala komplexní zabezpečení pracovní zátěže vytvořením mikro perimetru kolem každé pracovní zátěže. Mikro perimetr je dostupný napříč vaším místním a multicloudovým prostředím pomocí brány firewall a segmentace, sledování souladu a zranitelnosti, detekce anomálií na základě chování a izolace pracovní zátěže. Platforma využívá pokročilé analytické a algoritmické přístupy k nabízení těchto schopností.
Tento dokument popisuje funkce, opravy chyb a případné změny chování v Cisco Secure Workload, verze 3.10.1.1.
Informace o tom, jak aktualizovat verzi softwaru, naleznete na Průvodce upgradem Cisco Secure Workload.
Informace o vydání
Verze: 3.10.1.1
Datum: 09. prosince 2024
Nové softwarové funkce v Cisco Secure Workload, verze 3.10.1.1
| Funkce Jméno | Popis |
| Snadné použití | |
| Přihlášení uživatele s nebo bez e-mailové adresy | Clustery lze nyní konfigurovat s nebo bez serveru SMTP s možností přepnout nastavení SMTP po nasazení clusteru. Správci stránek mohou vytvářet uživatele s uživatelskými jmény, která uživatelům umožňují přihlásit se pomocí e-mailové adresy nebo bez e-mailové adresy v závislosti na konfiguraci SMTP. Více informací viz Přidat uživatele |
| Evoluce produktu | |
| Funkce Jméno | Popis |
| Statistiky zásad AI | Funkce AI Policy Statistics v Cisco Secure Workload využívá nový AI engine ke sledování a analýze trendů výkonu zásad v průběhu času. Tato funkce je pro uživatele klíčová, nabízí pohled na efektivitu politiky a usnadňuje efektivní audity. Díky podrobným statistikám a podmínkám generovaným umělou inteligencí –Žádný provoz, Zastíněnoa Širokýmohou uživatelé identifikovat a řešit zásady, které vyžadují pozornost. Funkce AI Suggest v Secure Workload dále zpřesňuje přesnost zásad tím, že doporučuje optimální úpravy na základě aktuálních síťových toků. Tato komplexní sada nástrojů je nezbytná pro udržení silného bezpečnostního postavení, optimalizaci správy politik a sladění bezpečnostních opatření s cíli organizace. Další informace naleznete na Statistiky zásad AI |
| Podpora zjišťování zásad AI pro filtry zahrnutí | Filtry zahrnutí AI Policy Discovery (ADM) se používají k seznamu povolených toků používaných při běhech ADM. Po aktivaci ADM můžete vytvořit filtry zahrnutí, které odpovídají pouze požadované podmnožině toků.PoznámkaKombinace Zařazení a Vyloučení filtry lze použít pro běhy ADM. Více informací viz Zásady Discover Flow Filters |
| Nový vzhled uživatelského rozhraní Secure Workload | Uživatelské rozhraní Secure Workload bylo přepracováno tak, aby odpovídalo návrhovému systému Cisco Security. Pracovní postupy nebyly změněny, nicméně některé obrázky nebo snímky obrazovky použité v uživatelské příručce nemusí plně odrážet aktuální design produktu. Pro co nejpřesnější vizuální orientaci doporučujeme používat uživatelskou příručku (příručky) ve spojení s nejnovější verzí softwaru. |
| Schéma OpenAPI 3.0 | Pro uživatele je nyní k dispozici částečné schéma OpenAPI 3.0 pro API. Obsahuje asi 250 operací zahrnujících uživatele, role, agenty a forenzní konfigurace, správu politik, správu štítků a tak dále. Lze jej stáhnout z webu OpenAPI bez ověření. Další informace naleznete v tématu OpenAPI/schema @https://{FQDN}/openapi/v1/schema.yaml. |
| Hybridní multicloudové pracovní zatížení | |
| Vylepšené uživatelské rozhraní konektorů Azure a GCP | Pracovní postup konektorů Azure a GCP je revamped a zjednodušené pomocí průvodce konfigurací, který poskytuje jediné podokno view pro všechny projekty nebo předplatné konektorů. Další informace viz Cloudové konektory. |
| Nové konektory výstrah pro Webex a Svár | Nové konektory upozornění –Webex a Svár jsou přidány do rámce výstrah v Cisco Secure Workload.Secure Workload nyní odesílá výstrahy Webex místností pro podporu integrace a konfigurace konektoru.Svár, což je další široce používaná platforma pro zasílání zpráv, nyní podporuje integraci pro odesílání výstrah Cisco Secure Workload. Další informace naleznete na Webex a Discord konektory. |
| Zálohování a obnova dat | |
| Resetování clusteru bez překreslení | Nyní můžete nakonfigurovat clustery Secure Workload na základě konfigurace SMTP:
|
| Vylepšení platformy | |
| Podpora servisní sítě | Zabezpečené pracovní zatížení poskytuje komplexní viditelnost a možnosti segmentace pro všechny aplikace běžící v clusterech Kubernetes nebo OpenShift, které mají povolenou službu Istio nebo OpenShift Service Mesh. Další informace naleznete na Zabezpečené pracovní zatížení pro viditelnost/vymáhání s Istio/Openshift Service Mesh |
| Vylepšená síťová telemetrie s podporou eBPF | Cisco Secure Workload Agent nyní využívá eBPF k zachycení síťové telemetrie. Toto vylepšení je k dispozici v následujících operačních systémech pro architekturu x86_64:
|
| Zabezpečená podpora agenta pracovní zátěže |
|
| Prosazování agentů | Agenti Cisco Secure Workload Agent nyní podporují vynucování zásad pro zóny sdílené IP v systému Solaris. Vynucování je řízeno agenty v globální zóně, což zajišťuje centralizované řízení a konzistentní aplikaci zásad ve všech zónách sdílených IP adres. |
| Konfigurace agenta Profile | Nyní můžete zakázat funkci hloubkové kontroly paketů Cisco Secure Workload Agents, která zahrnuje informace TLS, SSH, zjišťování FQDN a toky proxy. |
| Viditelnost toku dat | Pokud agenti Secure Workload Agents nejsou nakonfigurováni v clusteru, mohou agenti stále zachytávat a ukládat datové toky. Tyto toky jsou nyní označeny symbolem „hodinek“. Čas zahájení toku sloupec na Tok strana. |
| Klastrový certifikát | Nyní můžete spravovat dobu platnosti a práh obnovení certifikátu CA clusteru na stránce Konfigurace clusteru strana. Výchozí hodnoty pro dobu platnosti jsou nastaveny na 365 dní a 30 dní pro práh obnovení. Klientský certifikát s vlastním podpisem generovaný a používaný agenty pro připojení ke clusteru má nyní platnost jeden rok. Agenti automaticky obnoví certifikát do sedmi dnů od data vypršení jeho platnosti. |
Změny v chování v Cisco Secure Workload, verze 3.10.1.1
- Agent AIX nyní obsahuje rozšíření jádra IPFilter poskytované společností Cisco. Během přechodu z vynucení vypnuto na zapnuto agenti Secure Workload uvolní a odinstalují všechny filtry IP jiných výrobců než Cisco a poté načtou rozšíření Cisco IPFilter.
- The Údržba UI nebo setup-UI, které se používá pro upgrady a opravy, bylo migrováno na HTTPS URL schéma. Po upgradu na Secure Workload, Release 3.10, jsou správci povinni nahrát samostatné certifikáty pro Uživatelské rozhraní údržby.
- Když Data Plane je zakázáno v Konfigurace agenta Profile, agenti Secure Workload přestanou hlásit toky a zpracovávat síťové pakety. Toky provozu, které jsou odepřeny nebo blokovány zásadami zabezpečené pracovní zátěže, však budou i nadále hlášeny.
Vylepšení Cisco Secure Workload, verze 3.10.1.1
- Agenti bezpečné pracovní zátěže podporují pracovní uzel Kubernetes (K8) RHEL 8.
- Certifikát CA Secure Workload clusteru, který je vytvořen při nasazení clusteru s 10letou platností, je nyní autonomně obnovován před datem vypršení platnosti.
- Secure Workload nyní poskytuje podporu pro vynucování zásad pod v OpenShift pomocí Open Virtual Network (OVN) jako rozhraní CNI (Container Network Interface).
- Solaris Agent nyní podporuje současnou instalaci v globálních i neglobálních zónách Solaris.
- Secure Workload nyní podporuje vynucování zásad založených na doméně u toků obsluhovaných prostřednictvím HTTP Proxy v systému AIX.
- Komponenta CiscoSSL produktu Secure Workload Agent byla upgradována na verzi 1.1.1y.7.2.569.
- Klient Secure Connector byl aktualizován, aby podporoval AlmaLinux 8.8, Rocky Linux 9.2 a RHEL 9.0.
- Verze Kubernetes až do 1.31 jsou podporovány pro vanilla instalace pro viditelnost a vynucení.
- Verze spravovaného cloudu Kubernetes až 1.31 jsou podporovány pro Azure AKS i Amazon EKS.
- Byla přidána podpora pro Red Hat OpenShift verze 4.16 a 4.17.
- Koncové body registrace agenta, konfigurace a metadat jsou nyní škálovatelnější, což vede k lepšímu výkonu a efektivitě.
- Zabezpečení produktu bylo zvýšeno modernizací zásobníku infrastruktury.
Zastaralé funkce v Cisco Secure Workload, verze 3.10.1.1
| Funkce | Funkce Popis |
| Konec podpory hardwaru | Podpora hardwaru M4 byla z verze 3.10.1.1 odstraněna. Upgrade na verzi 3.10.1.1 s hardwarem M4 bude mít za následek nedefinované chování nebo potenciální ztrátu dat. |
Vyřešené a otevřené problémy
Vyřešené a otevřené problémy tohoto vydání jsou dostupné prostřednictvím Nástroj Cisco Bug Search Tool. Tento webTento nástroj vám poskytuje přístup k systému sledování chyb Cisco, který uchovává informace o problémech a slabých místech v tomto produktu a dalších hardwarových a softwarových produktech Cisco.
Poznámka: Chcete-li se přihlásit a získat přístup k nástroji Cisco Bug Search Tool, musíte mít účet Cisco.com. Pokud žádný nemáte, zaregistrovat si účet.
Další informace o nástroji Cisco Bug Search Tool naleznete na Nápověda a časté dotazy k nástroji pro vyhledávání chyb.
Vyřešené problémy
| Identifikátor | Titulek |
| CSCwj92795 | Fragmenty IP nejsou správně zpracovávány pomocí ipfilter v systému AIX |
| CSCwm95816 | AIX: proces tet-main nelze spustit a generuje jádro |
| CSCwk96901 | Vysoké využití procesoru v agentech Windows díky žádným limitům CPU |
| CSCwn12420 | Agent se může po restartu hostitele přestat přihlašovat, pokud temp dir neexistuje |
| CSCwn20073 | V prostředí k8s je možná nepřetržitá odchylka od politiky |
| CSCwn20202 | Velké ipsety způsobují, že vynucovač kontejnerů selže při programování zásad |
| CSCwm97985 | Secure Workload protokoluje tokeny API do interní databáze |
| CSCwk70762 | Nelze view nebo si stáhněte více než 5 kB v analýze zásad |
| CSCwn24959 | Možná odchylka od zásad se zapnutým zachováním pravidel |
| CSCwn21811 | Možná trvalá odchylka od politiky v prostředí k8s |
| CSCwm98742 | Atribut LDAP v konektoru ISE je nastaven jako jiný zdroj štítku |
| CSCwn17369 | Toky nebyly přijaty z koncového bodu zabezpečeného klienta a konektoru |
| CSCwn25335 | Neočekávaná verze tet-senzoru a selhání na Solaris SPARC |
| CSCwn21608 | Azure Enforcement nefunguje, pokud jsou nakonfigurovány protokoly toků a ve virtuálním počítači je více než 100 virtuálních počítačů. |
| CSCwn21611 | Identity Connector: Azure Active Directory se zpracovává pouze prvních 20 skupin na uživatele |
| CSCwn21622 | Konektor Azure Kubernetes AKS nefunguje s konfigurací nemístních účtů |
| CSCwn21713 | Konektor Amazon Elastic Kubernetes Service (EKS) nefunguje s konfigurací přístupu pouze pro EKS-API |
| CSCwf43558 | Selhání služeb po upgradu s názvem DNS orchestrátoru nelze vyřešit |
| CSCwh45794 | U některých portů chybí mapování portů ADM a pid |
| CSCwh95336 | Stránka oboru a inventáře: Dotaz oboru: vrací nesprávné výsledky |
| CSCwi91219 | Souhrn informací o hrozbách NENÍ viditelný pro vlastníka nájemce |
| CSCwj68738 | Forenzní historické události náhle zmizí |
| CSCwk44967 | Online dokumentace nezahrnuje všechny vrácené atributy API |
| CSCwk80972 | Collector SSL Check a kolektorové služby selhávají |
| CSCwm30965 | Zvýšený počet DNS dotazů na metadata. google. interní z On-Prem Cluster Přechod na externí server DNS |
| CSCwm36263 | TetV Cluster přestane po nějaké době fungovat i s platnými licencemi |
| CSCwm80745 | Cisco Vulnerabilities Workloads V uživatelském rozhraní nefunguje vícenásobný výběr mezi stránkami |
| CSCwm89765 | Spustit proces obnovení je zašedlá |
| CSCwn15340 | Selhání při použití ručních aktualizací zpravodajství o hrozbách |
| CSCwn29275 | Instalační program skriptu agenta pro Azure Kubernetes Service může selhat u větších clusterů |
| CSCwn22608 | Instalace skriptu agenta pro platformu GKE Kubernetes ve službě Google Cloud se nezdařila |
Další informace pro bezpečné pracovní zatížení
| Informace | Popis |
| Informace o kompatibilitě | Informace o podporovaných operačních systémech, externích systémech a konektorech pro agenty zabezpečené pracovní zátěže naleznete v Matice kompatibility. |
| Limity škálovatelnosti | Informace o limitech škálovatelnosti platforem Cisco Secure Workload (39-RU) a Cisco Secure Workload M (8-RU) naleznete v tématu Cisco Secure Workload Platforma Datový list. |
Související zdroje
Tabulka 1: Související zdroje
| Zdroje | Popis |
| Zabezpečená dokumentace pracovního zatížení | Poskytuje informace o Cisco Secure Workload, jeho funkcích, funkčnosti, instalaci, konfiguraci a použití. |
| Cisco Secure Workload M6 Cluster Deployment PrůvodceCisco Tetration (Secure Workload) M5 Cluster Průvodce nasazením hardwaru | Popisuje fyzickou konfiguraci, přípravu místa a kabeláž instalace s jedním a dvěma stojany pro platformu Cisco Secure Workload (39RU) a Cisco Secure Workload M (8RU). |
| Cisco Secure Workload Virtual (Tetration-V) Průvodce nasazením | Popisuje nasazení virtuálních zařízení Cisco Secure Workload. |
| Datový list platformy Cisco Secure Workload Platform | Popisuje technické specifikace, provozní podmínky, licenční podmínky a další podrobnosti o produktu. |
| Nejnovější zdroje dat o hrozbách | Sady dat pro kanál Secure Workload, který identifikuje a umístí do karantény hrozby, které se automaticky aktualizují, když se váš cluster připojí k aktualizačním serverům Threat Intelligence. Pokud cluster není připojen, stáhněte si aktualizace a nahrajte je do zařízení Secure Workload. |
Kontaktujte střediska technické pomoci Cisco
Pokud nemůžete problém vyřešit pomocí online zdrojů uvedených výše, kontaktujte Cisco TAC:
- E-mail Cisco TAC: tac@cisco.com
- Zavolejte Cisco TAC (Severní Amerika): 1.408.526.7209 nebo 1.800.553.2447
- Zavolejte Cisco TAC (celosvětově): Kontakty celosvětové podpory Cisco
SPECIFIKACE A INFORMACE TÝKAJÍCÍ SE VÝROBKŮ V TOMTO NÁVODU SE MOHOU BEZ UPOZORNĚNÍ ZMĚNIT. VŠECHNA PROHLÁŠENÍ, INFORMACE A DOPORUČENÍ V TÉTO PŘÍRUČCE SE POVAŽUJE ZA PŘESNÉ, ALE JSOU PŘEDKLÁDÁNY BEZ ZÁRUKY JAKÉHOKOLI DRUHU, VÝSLOVNÉ NEBO PŘEDPOKLÁDANÉ. UŽIVATELÉ MUSÍ PŘEVZÍT PLNOU ODPOVĚDNOST ZA SVÉ POUŽITÍ JAKÝCHKOLI PRODUKTŮ.
LICENCE NA SOFTWAR A OMEZENÁ ZÁRUKA NA DOPROVODNÝ PRODUKT JSOU UVEDENY V INFORMAČNÍM BALÍČKU, KTERÝ JE DODÁN S PRODUKTEM, A JSOU ZAHRNUTY V TOMTO ODKAZU. POKUD NEMŮŽETE NAJÍT SOFTWAROVOU LICENCI NEBO OMEZENOU ZÁRUKU, KONTAKTUJTE VAŠEHO ZÁSTUPCE CISCO PRO KOPII.
Implementace komprese hlaviček TCP společnosti Cisco je adaptací programu vyvinutého Kalifornskou univerzitou v Berkeley (UCB) jako součást veřejné verze operačního systému UNIX společnosti UCB. Všechna práva vyhrazena. Copyright © 1981, Regents of the University of California.
BEZ OHLEDU NA JAKÉKOLI JINÉ ZÁRUKY ZDE, VŠECHNY DOKUMENTY FILES A SOFTWARE TĚCHTO DODAVATELŮ JSOU POSKYTOVÁNY „TAK JAK JSOU“ SE VŠEMI CHYBAMI.
CISCO A VÝŠE JMENOVANÍ DODAVATELÉ ODMÍTÁ VŠECHNY ZÁRUKY, VÝSLOVNÉ NEBO PŘEDPOKLÁDANÉ, VČETNĚ, BEZ OMEZENÍ, ZÁRUK OBCHODOVATELNOSTI, VHODNOSTI PRO KONKRÉTNÍ ÚČEL A NEPORUŠENÍ, USA NEBO VYPLÝVAJÍCÍ Z CENY OD NÁŠHO VÝROBKU.
V ŽÁDNÉM PŘÍPADĚ NEBUDE CISCO ANI JEJÍ DODAVATELÉ ODPOVĚDNÍ ZA JAKÉKOLI NEPŘÍMÉ, ZVLÁŠTNÍ, NÁSLEDNÉ NEBO NÁHODNÉ ŠKODY, VČETNĚ, BEZ OMEZENÍ, ZTRÁTY ZISKU NEBO ZTRÁTY NEBO POŠKOZENÍ DAT VZNIKLÝCH V RÁMCI EVROPSKÉHO POUŽÍVÁNÍ ENUIL MAIFOR CISCO NEBO JEJÍ DODAVATELÉ BYLI UPOZORNĚNI NA MOŽNOST TAKOVÝCH ŠKOD.
Žádné adresy a telefonní čísla internetového protokolu (IP) použité v tomto dokumentu nejsou zamýšleny jako skutečné adresy a telefonní čísla. Jakýkoli exampsoubory, výstup příkazového displeje, schémata topologie sítě a další obrázky zahrnuté v dokumentu jsou uvedeny pouze pro ilustrativní účely. Jakékoli použití skutečných IP adres nebo telefonních čísel v ilustrativním obsahu je neúmyslné a náhodné.
Všechny tištěné kopie a duplikáty tištěných kopií tohoto dokumentu jsou považovány za nekontrolované. Nejnovější verzi naleznete v aktuální online verzi.
Cisco má po celém světě více než 200 poboček. Adresy a telefonní čísla jsou uvedeny na Cisco webmísto na www.cisco.com/go/offices.
Cisco a logo Cisco jsou ochranné známky nebo registrované ochranné známky společnosti Cisco a/nebo jejích přidružených společností v USA a dalších zemích. Na view seznam ochranných známek Cisco, přejděte sem URL:
https://www.cisco.com/c/en/us/about/legal/trademarks.html. Uvedené ochranné známky třetích stran jsou majetkem příslušných vlastníků. Použití slova partner neznamená partnerský vztah mezi společností Cisco a jakoukoli jinou společností. (1721R)
© 2024–2025 Cisco Systems, Inc. Všechna práva vyhrazena.
Dokumenty / zdroje
 |
CISCO 3.10.1.1 Bezpečná pracovní zátěž [pdfUživatelská příručka 3.10.1.1 Secure Workload, 3.10.1.1, Secure Workload, Workload |
