CISCO 3.7 Release Secure Workload Owner's Manual

Úvod do segmentace

Tradičně se zabezpečení sítě zaměřovalo na to, aby se škodlivé aktivity nedostaly do vaší sítě umístěním firewallů na okraj vaší sítě. Musíte však také chránit svou organizaci před hrozbami, které narušily vaši síť – nebo pocházejí z ní. Segmentace (v tomto případě známá také jako mikrosegmentace) pomáhá chránit pracovní zátěže ve vaší síti tím, že vám umožňuje řídit provoz mezi pracovními zátěžemi a jinými hostiteli ve vaší síti, takže můžete povolit pouze provoz, který vaše organizace vyžaduje pro obchodní účely, a odepřít veškerý ostatní provoz. Napřample, můžete použít politiku segmentace k zamezení veškeré komunikace mezi pracovní zátěží, která je hostitelem vašeho veřejného přístupu web aby aplikace nekomunikovala s vaší přísně tajnou výzkumnou a vývojovou databází ve vašem datovém centru, nebo abyste zabránili neprodukčním pracovním zátěžím (které jsou často méně vyhovující a méně pečlivě chráněné) v kontaktování produkčních úloh. Cisco Secure Workload využívá aktuální toková data vaší organizace k navrhování zásad segmentace, které vyhodnotíte a schválíte před jejich vynucením. Zásady můžete také vytvořit ručně.

O této příručce

Tuto příručku můžete použít s verzí Secure Workload 3.7. Tento dokument:

• Seznámí vás s klíčovými koncepty bezpečné pracovní zátěže: Segmentace, popisky pracovní zátěže, rozsahy, hierarchické stromy rozsahu a zjišťování zásad;
• Provede vás procesem vytvoření první větve vašeho stromu rozsahu pro jednu aplikaci (pomocí průvodce pro první uživatelskou zkušenost v Secure Workload); a
• Ukazuje vám, jak automaticky generovat zásady pro vybranou aplikaci na základě skutečných toků provozu.

Průvodce rychlým spuštěním Secure Workload nevyžaduje externí dokumentaci, ale pro ty, kteří si před prací na novém produktu raději přečtou dopředu, je tato příručka pro začlenění volitelným doprovodným a doplňkovým zdrojem informací.

Prohlídka Čaroděje

Úvodní stránka

Začněte s rozsahy a štítky

O štítcích

Síla Secure Workload spočívá na štítcích přiřazených vašim pracovním zátěžím. Štítky jsou páry klíč–hodnota, které popisují každou pracovní zátěž. Podívejte se na strom nahoře. Tlačítka štítků se zobrazí na levé straně stromu. Hodnoty štítků jsou text v šedých polích v souladu s každým klíčem. Průvodce vám pomůže použít tyto štítky na vaše úlohy. Přiřazení štítků k úlohám vám umožňuje seskupit je do skupin nazývaných obory. Každé šedé pole ve stromě výše je rozsah. Jak vidíte ve výše uvedeném stromu, všechna pracovní zatížení patřící do oboru Aplikace 1 (v pravé dolní části tohoto stromu) jsou definována následující sadou štítků:

• Organizace = Interní
• Infrastruktura = datová centra
• Prostředí = Pre-Production
• Aplikace = Aplikace 1

Síla štítků a stromů rozsahu

Štítky podporují výkon zabezpečeného pracovního zatížení a strom rozsahu vytvořený z vašich štítků je více než jen souhrn vaší sítě:

• Štítky vám umožní okamžitě porozumět vašim zásadám: „Odmítnout veškerý provoz od předprodukce po produkci“ Porovnejte to se stejnou zásadou bez štítků: „Odmítnout veškerý provoz od 172.16.0.0/12 do 192.168.0.0/16“
• Zásady založené na štítcích se automaticky použijí (nebo se přestanou používat), když jsou do inventáře přidány (nebo z něj odstraněny) úlohy označené štítky. Tato dynamická seskupení založená na štítcích postupem času výrazně snižují množství úsilí potřebného k udržení vašeho nasazení.
• Úlohy jsou seskupeny do oborů na základě jejich štítků. Tato seskupení vám umožňují snadno aplikovat zásady na související úlohy. Napřample, můžete snadno aplikovat zásady na všechny aplikace v rozsahu Pre-Production.
• Zásady vytvořené jednou v jednom oboru lze automaticky použít na všechny úlohy v potomkových oborech ve stromu, čímž se minimalizuje počet zásad, které potřebujete spravovat. Zásady můžete snadno definovat a aplikovat široce (napřample, na všechny úlohy ve vaší organizaci) nebo úzce (pouze na úlohy, které jsou součástí konkrétní aplikace) nebo na jakoukoli úroveň mezi tím (např.ample, na všechny pracovní zátěže ve vašem datovém centru.
• Odpovědnost za každý rozsah můžete přidělit různým správcům a delegovat správu zásad na lidi, kteří jsou nejlépe obeznámeni s každou částí vaší sítě.

Začněte budovat hierarchii pro vaši organizaci
Nyní, když víte, co a proč stavíte, můžete začít vytvářet svůj vlastní strom rozsahu.

Než budete pokračovat, musíte si vybrat aplikaci, se kterou budete pracovat. Viz pokyny v části Výběr aplikace pro tohoto průvodce, na straně 10. Pamatujte, že po spuštění průvodce se nebudete moci vrátit na tyto informační stránky, dokud průvodce nerestartujete.

Definujte vnitřní rozsah
Interní rozsah zahrnuje všechny IP adresy, které definují interní síť vaší organizace, včetně veřejných a privátních IP adres.

Průvodce vás provede přidáváním IP adres do každého oboru ve větvi stromu. Když přidáváte adresy, průvodce přiřadí každé adrese štítky, které definují daný rozsah. Na této stránce tedy průvodce přiřadí každé IP adrese, kterou zadáte, štítek Organization = Internal. Ve výchozím nastavení průvodce přidává IP adresy do soukromého prostoru internetových adres, jak je definováno v RFC 1918. Nemusíte nyní přidávat všechny IP adresy ve vaší interní síti, ale musíte zahrnout IP adresy spojené s vámi vybraným aplikaci a měli byste zahrnout tolik dalších, kolik můžete snadno zahrnout. Zbytek můžete přidat později.

Definujte rozsah datových center
Tento rozsah zahrnuje IP adresy, které definují vaše místní datová centra. Název rozsahu můžete změnit, ale význam ponechat stejný. Názvy rozsahu by měly být krátké a smysluplné.

Na této stránce musí být adresy IP, které zadáte, podmnožinou adres vaší interní sítě, které jste zadali na předchozí stránce. Musíte také zahrnout IP adresy spojené s vámi vybranou aplikací a v ideálním případě byste měli zahrnout další adresy, které představují pracovní zátěž ve vašich datových centrech – ale pokud je nemáte k dispozici, můžete pokračovat bez nich. (Pokud máte více datových center, zahrnete je do tohoto rozsahu všechna, abyste mohli definovat jednu sadu zásad.) Později můžete kdykoli přidat další adresy. Průvodce přiřadí každé zadané IP adrese označení Organizace = Interní a Infrastruktura = Datová centra.

Definujte předprodukční rozsah
Tento rozsah zahrnuje IP adresy neprodukčních aplikací a hostitelů, jako jsou vývojové, laboratorní, testovací nebo staging systémů. NESMÍ obsahovat adresy žádných aplikací, které používáte k provozování skutečného podnikání, které budou součástí rozsahu výroby, který definujete později.

IP adresy, které zadáte na této stránce, musí být podmnožinou adres, které jste zadali pro svá datová centra, a musí opět zahrnovat adresy vámi zvolené aplikace. V ideálním případě by také měly obsahovat předprodukční adresy, které nejsou součástí vámi zvolené aplikace. Opět můžete přidat další adresy později.

Definujte rozsah aplikace 1
„Aplikace 1“ je aplikace, kterou si vyberete. Viz pokyny v části Výběr aplikace pro tohoto průvodce, na straně 10. Aplikace se skládá z více úloh.

Review Strom rozsahu, rozsahy a štítky

Vlevo vidíte jinou reprezentaci stejného stromu rozsahu, který je zobrazen na ostatních stránkách. Větve můžete rozbalit a sbalit a posouváním dolů kliknout na konkrétní rozsah. Vpravo vidíte adresy IP a štítky přiřazené k úlohám v rozsahu, na který jste klikli vlevo. Záhlaví sloupců jsou klíče štítků a buňky tabulky zobrazují hodnoty štítků. Na obrázku výše je vybrán rozsah nejvyšší úrovně, takže vidíte data pro všechny adresy IP, které jste zadali v průvodci. Prázdné buňky v tabulce čekají na budoucí označení, napřample pro pracovní zátěže, které nejsou ve vašem datovém centru nebo jsou součástí jiných neprodukčních aplikací, než je vámi vybraná aplikace. Pokud chceš view Tyto informace poté, co ukončíte průvodce, zvolte Uspořádat > Rozsahy a inventář z nabídky na levé straně okna.

Stránka Další kroky

Nainstalujte agenty
Agenty zabezpečené pracovní zátěže byste měli nainstalovat co nejdříve na úlohy spojené s vámi vybranou aplikací. Data, která agenti shromažďují, se používají ke generování navrhovaných zásad na základě stávajícího provozu ve vaší síti. Více dat vytváří přesnější zásady. Podrobnosti najdete v části Instalace agentů na pracovní zátěž,

Generovat zásady
Poté, co nainstalujete agenty a necháte alespoň několik hodin na shromažďování dat o toku provozu, můžete Secure Workload sdělit, aby na základě tohoto provozu vygenerovala (“objevila”) zásady. Podrobnosti najdete v části Automatické generování zásad na.

Ostatní
Pokud používáte navigační lištu v levé části okna, ujistěte se, že otevíráte nové stránky v samostatném okně nebo kartě, jinak se na tuto stránku nebudete moci vrátit.

Rychlé spuštění pracovního postupu

Krok	Udělejte toto	Podrobnosti
1	(Volitelné) Udělejte si komentovanou prohlídku průvodce	Prohlídka Čaroděje, na straně 2
2	Vyberte aplikaci, se kterou zahájíte svou cestu segmentace.	Chcete-li dosáhnout nejlepších výsledků, postupujte podle pokynů v Vyberte An Aplikace pro tohoto průvodce, na straně 10.
3	Shromážděte IP adresy	Průvodce si vyžádá 4 skupiny IP adres. Podrobnosti viz Shromážděte IP adresy, na straně 10.
4	Spusťte průvodce	Na view požadavky a přístup k průvodci, viz Spusťte průvodce, na straně 11
5	Nainstalujte agenty Secure Workload na pracovní zátěže vaší aplikace	Vidět Nainstalujte agenty do úloh, na stránce 12.
6	Dejte agentům čas na shromáždění dat toku.	Více dat vytváří přesnější zásady. Minimální požadovaný čas závisí na tom, jak aktivně je vaše aplikace používána.
7	Vytvářejte („objevujte“) zásady na základě vašich skutečných dat toku	Vidět Automaticky generovat zásady, na straně 13.
8	Review vytvořené zásady	Vidět Podívejte se na Vygenerované zásady na straně 14.

Shromážděte IP adresy
Budete potřebovat alespoň některé z IP adres v každé odrážce níže:

• Adresy, které definují vaši interní síť Ve výchozím nastavení používá průvodce standardní adresy vyhrazené pro soukromé použití internetu.
• Adresy, které jsou rezervovány pro vaše datová centra. To nezahrnuje adresy používané počítači zaměstnanců, cloudovými nebo partnerskými službami, centralizovanými IT službami atd.
• Adresy, které definují vaši neprodukční síť
• Adresy úloh, které tvoří vámi vybranou neprodukční aplikaci Prozatím nemusíte mít všechny adresy pro každou z výše uvedených odrážek; vždy můžete později přidat další adresy.

Důležité
Protože každá ze 4 odrážek představuje podmnožinu IP adres odrážky nad ní, každá IP adresa v každé odrážce musí být také zahrnuta mezi IP adresy odrážky nad ní v seznamu.

Vyberte aplikaci pro tohoto průvodce

Pro tohoto průvodce si vyberete jedinou aplikaci, se kterou budete pracovat. Aplikace se obvykle skládá z více úloh, které poskytují různé služby, jako např web služby nebo databáze, primární a záložní servery atd. Tyto pracovní zátěže společně poskytují funkčnost aplikace jejím uživatelům.

Pokyny pro výběr vaší aplikace
Secure Workload podporuje pracovní zátěže běžící na široké škále platforem a operačních systémů, včetně cloudových a kontejnerových úloh. Pro zjednodušení byste však pro tohoto průvodce měli vybrat aplikaci s pracovními zátěžemi, které jsou:

• Běží ve vašem datovém centru
• Běží na holém kovu a/nebo virtuálních počítačích
• Spuštění na platformách Windows, Linux nebo AIX podporovaných agenty Secure Workload: Viz https://www.cisco.com/go/secureworkload/requirements/agents (V budoucím kroku budete muset nainstalovat agenty na pracovní zátěže této aplikace)
• Nasazeno v předprodukčním prostředí

Spusťte Průvodce
Průvodce můžete spustit bez ohledu na to, zda jste vybrali aplikaci a shromáždili IP adresy, ale bez provedení těchto věcí nebudete moci průvodce dokončit.

Důležité
Pokud nedokončíte průvodce před odhlášením (nebo vypršením časového limitu) zabezpečené pracovní zátěže nebo pokud přejdete do jiné části aplikace pomocí levého navigačního panelu, konfigurace průvodce se neuloží.

Než začnete
K průvodci mají přístup následující uživatelské role:

• správce webu
• zákaznickou podporu
• vlastník rozsahu

Postup

Krok 1 Přihlaste se do Secure Workload.
Krok 2 Spusťte průvodce:
Pokud aktuálně nemáte definované žádné rozsahy, průvodce se zobrazí automaticky, když se přihlásíte k zabezpečené pracovní zátěži.

Alternativně:

• Klikněte na odkaz Spustit průvodce nyní v modrém pruhu v horní části libovolné stránky.
• Zvolte Overview z hlavní nabídky na levé straně okna.

Krok 3 Průvodce vám vysvětlí věci, které potřebujete vědět. Nenechte si ujít následující užitečné prvky:

• Umístěte ukazatel myši na grafické prvky v průvodci a přečtěte si jejich popis.
• Kliknutím na libovolné odkazy a informační tlačítka ( ) zobrazíte důležité informace.

Další kroky

Tip
Po dokončení průvodce můžete zobrazit a pracovat se stromem oborů, který jste vytvořili pomocí průvodce, v části Uspořádat > Rozsahy a inventář.

Nainstalujte agenty na úlohy
Chcete-li shromažďovat data toku, která se používají k automatickému generování návrhů zásad, nainstalujte do svých úloh agenty. Později mohou tito agenti vynucovat politiku, ale agenti nevynucují politiku, dokud jim to neřeknete. Agenty byste měli nainstalovat co nejdříve, abyste mohli začít shromažďovat data. Více dat vytváří přesnější návrhy zásad. Nainstalujte agenta na každou pracovní zátěž, která souvisí s vámi vybranou aplikací. Pokud nemáte dobrý důvod, použijte výchozí nastavení. Pokud chcete další informace o instalaci agenta, nahlédněte do kapitoly „Nasazení softwarových agentů“ v online nápovědě nebo uživatelské příručce k zabezpečenému pracovnímu zatížení.

Než začnete

• Ujistěte se, že všechny úlohy, na které budete agenty instalovat, běží na podporovaných platformách. Vidět
  https://www.cisco.com/go/secure-workload/requirements/agents.
• Ujistěte se, že máte oprávnění k instalaci agentů pro každou úlohu. V případě potřeby požádejte někoho, kdo má potřebná oprávnění, aby tak učinil

Postup

Krok 1 Klepněte na tlačítko Instalovat agenty v průvodci. Nebo se můžete k instalačním programům agentů dostat tímto způsobem:
a) Přihlaste se k zabezpečené pracovní zátěži web portál.
b) V navigační liště vlevo vyberte Spravovat > Agenti.
c) Klepněte na kartu Installer.
Krok 2 Klikněte na Automaticky nainstalovat agenta pomocí instalačního programu a poté klikněte na Další.
Krok 3 Pokud používáte zabezpečenou pracovní zátěž on-premises: Pokud vidíte tuto možnost: Pod kterým tenantem bude váš agent nainstalován?: Vyberte výchozí, pokud nemáte důvod zvolit něco jiného. (Tato možnost se zobrazí pouze v případě, že používáte místní zabezpečené pracovní zatížení.)
Krok 4 Přeskočit tuto možnost: Které štítky chcete, abychom na tuto zátěž použili? (Volitelný).
Krok 5 Vyberte platformu, na které vaše aplikace běží.
Krok 6 V případě potřeby zadejte HTTP Proxy pro vaše prostředí.
Krok 7 V případě potřeby vyberte možnosti vypršení platnosti instalačního programu.
Krok 8 Klikněte na Stáhnout instalační program.
Krok 9 Klepněte na tlačítko Další.
Krok 10 Postupujte podle pokynů k předběžné kontrole instalace a klepněte na tlačítko Další.
Krok 11 Postupujte podle pokynů k instalaci. Pokud nemáte dobrý důvod je změnit, použijte výchozí nastavení. Neměli byste měnit žádný z příznaků uvedených pro instalační skript.
Krok 12 Klepněte na tlačítko Další.
Krok 13 Postupujte podle pokynů na obrazovce a ověřte, zda byl agent úspěšně nainstalován.
Krok 14 Nainstalujte agenta na každou pracovní zátěž spojenou s vaší aplikací.

Automaticky generovat zásady

Zabezpečené pracovní zatížení pro vás generuje („objevuje“) zásady na základě existujícího provozu mezi vašimi pracovními zatíženími a jinými hostiteli. (Funkce zjišťování zásad byla dříve známá jako „ADM“, takže ji tak můžete vidět nebo slyšet.) Až budete připraveni, můžete tyto zásady upravovat, doplňovat, analyzovat a případně schvalovat a prosazovat.

Poznámka Zásady se nevynucují, dokud je neprosadíte.

Než začnete

• Nainstalujte agenty na pracovní zátěž vaší aplikace
• Po instalaci agenta počkejte, než se nashromáždí data toku.

Postup

Krok 1 Na stránce Další kroky v průvodci rychlým startem klikněte na Automaticky generovat zásady. Případně můžete kdykoli provést následující:
a) Zvolte Defend > Segmentation z levé strany okna Secure Workload.
b) Ve stromu oboru nebo seznamu oborů v podokně vlevo přejděte dolů na obor vaší aplikace.
c) V tomto oboru klikněte na Primární.
(Průvodce za vás vytvořil primární pracovní prostor pro vaši aplikaci.)
Krok 2 Klikněte na Spravovat zásady.
Krok 3 Klikněte na Automaticky zjišťovat zásady.
Krok 4 Vyberte časový rozsah pro data toku, která chcete zahrnout. Obecně platí, že více dat vytváří přesnější zásady.
Krok 5 Klikněte na možnost Objevit zásady.

Podívejte se na Vygenerované zásady
Podívejte se na objevené zásady. (Pokud jste stránku opustili, můžete se na ni vrátit podle kroků v View Zásady, na straně 14.) Dávají zásady smysl? Štítky by vám měly pomoci porozumět typu hostitelů, se kterými jednotlivé úlohy komunikují. Vidíte nějaké záhady? Podívejte se, zda můžete zjistit, jaké jsou záhadné úlohy nebo komunikace. Můžete požádat kolegu, který je obeznámen s touto aplikací, aby vyhodnotil navrhované zásady. Jak se toková data hromadí, měli byste prodloužit nakonfigurovaný časový rozsah a znovu objevovat zásady tak často, jak je potřeba, abyste vytvořili zásady, které řeší váš provoz.

View Zásady
Pokud jste po zahájení zjišťování zásad (nebo kdykoli jindy) opustili stránku zásad, můžete view generované („objevené“) zásady tím, že přejdete do pracovního prostoru aplikace spojeného s rozsahem.

Než začnete
Objevte zásady. Viz Automatické generování zásad,

Postup

Krok 1 V navigační liště vlevo zvolte Defend > Segmentation.
Krok 2 V seznamu oborů na levé straně okna přejděte na obor, pro který chcete, a klikněte na něj view politiky.
Krok 3 Klepněte na pracovní prostor, ve kterém chcete view policie. Může to být primární pracovní prostor nebo sekundární pracovní prostor v závislosti na tom, ve kterém pracovním prostoru jste se nacházeli, když jste spustili zjišťování zásad.
Krok 4 Klikněte na Spravovat zásady.
Krok 5 Pokud nevidíte seznam návrhů zásad, klikněte na Absolutní a výchozí zásady.
Krok 6 (Volitelné) Komu view zásad v jiné verzi pracovního prostoru (primární nebo sekundární), použijte rozevírací seznam v horní části stránky.
Krok 7 (Volitelné) Komu view zásady pro jiný rozsah, klikněte na Pracovní prostor v horní části stránky a poté klikněte na jiný rozsah v seznamu vlevo

(Volitelné) Chcete-li začít znovu, resetujte strom rozsahu

Můžete odstranit obory, štítky a strom oborů, které jste vytvořili pomocí průvodce, a volitelně spustit průvodce znovu.

Tip
Pokud chcete odstranit pouze některé z vytvořených oborů a nechcete znovu spouštět průvodce, můžete místo resetování celého stromu odstranit jednotlivé obory: Klikněte na obor, který chcete odstranit, a poté klikněte na Odstranit.

Než začnete
Jsou vyžadována oprávnění vlastníka oboru pro kořenový obor. Pokud jste vytvořili další pracovní prostory, zásady nebo jiné závislosti, úplné informace o resetování stromu oboru naleznete v Uživatelské příručce v Zabezpečené pracovní zatížení.

Postup

Krok 1 Z navigační nabídky vlevo zvolte Uspořádat > Rozsahy a inventář .
Krok 2 Klikněte na rozsah v horní části stromu.
Krok 3 Klikněte na Resetovat.
Krok 4 Potvrďte svou volbu.
Krok 5 Pokud se tlačítko Reset změní na Nevyřízeno zničení, možná budete muset obnovit stránku prohlížeče.

Další informace

Další informace o konceptech v průvodci naleznete v části:

• Online nápověda v Secure Workload
• Uživatelská příručka k bezpečnému pracovnímu zatížení ve formátu PDF pro vaši verzi, dostupná z https://www.cisco.com/c/en/us/support/security/tetrationanalyticsg1/model.html

Dokumenty / zdroje

CISCO 3.7 Release Secure Workload [pdfUživatelská příručka Release 3.7, 3.7 Release Secure Workload, Secure Workload

Reference

• Uživatelská příručka