CISCO 3.7 Release Manuale del proprietario del carico di lavoro sicuro

Introduzione alla segmentazione

Tradizionalmente, la sicurezza della rete mirava a tenere le attività dannose fuori dalla rete posizionando i firewall lungo il perimetro della rete. Tuttavia, devi anche proteggere la tua organizzazione dalle minacce che hanno violato la tua rete o hanno origine al suo interno. La segmentazione (nota anche in questo caso come microsegmentazione) aiuta a proteggere i carichi di lavoro sulla tua rete consentendoti di controllare il traffico tra i carichi di lavoro e altri host sulla tua rete, in modo da poter consentire solo il traffico richiesto dalla tua organizzazione per scopi aziendali e negare tutto il resto del traffico. Per esample, puoi utilizzare i criteri di segmentazione per impedire tutte le comunicazioni tra il carico di lavoro che ospita il file pubblico web l'applicazione di comunicare con il database di ricerca e sviluppo top-secret nel data center o per evitare che i carichi di lavoro non di produzione (che spesso sono meno conformi e protetti con meno attenzione) entrino in contatto con i carichi di lavoro di produzione. Cisco Secure Workload utilizza i dati di flusso effettivi della tua organizzazione per suggerire criteri di segmentazione che valuti e approvi prima di applicarli. Puoi anche creare criteri manualmente.

Informazioni su questa guida

È possibile utilizzare questa guida con Secure Workload versione 3.7. Questo documento:

• Introduce i concetti chiave del carico di lavoro sicuro: segmentazione, etichette del carico di lavoro, ambiti, strutture gerarchiche degli ambiti e individuazione delle policy;
• Guida l'utente attraverso il processo di creazione del primo ramo dell'albero dell'ambito per una singola applicazione (utilizzando la procedura guidata per la prima esperienza utente in Secure Workload); E
• Mostra come generare automaticamente criteri per l'applicazione scelta in base ai flussi di traffico effettivi.

La procedura guidata di avvio rapido di Secure Workload non richiede documentazione esterna, ma per coloro che preferiscono leggere in anticipo prima di lavorare in un nuovo prodotto, questa guida all'onboarding è un complemento facoltativo e una fonte di informazioni supplementare.

Giro del Mago

Pagina iniziale

Inizia con gli ambiti e le etichette

Informazioni sulle etichette

La potenza di Secure Workload risiede nelle etichette assegnate ai tuoi carichi di lavoro. Le etichette sono coppie chiave-valore che descrivono ciascun carico di lavoro. Guarda l'albero sopra. Le chiavi dell'etichetta vengono visualizzate sul lato sinistro dell'albero. I valori dell'etichetta sono il testo nelle caselle grigie in linea con ciascuna chiave. La procedura guidata ti aiuta ad applicare queste etichette ai tuoi carichi di lavoro. L'assegnazione di etichette ai carichi di lavoro consente di raggrupparli in gruppi denominati ambiti. Ogni riquadro grigio nell'albero in alto è un ambito. Come si vede nell'albero sopra, tutti i carichi di lavoro appartenenti all'ambito Applicazione 1 (in basso a destra di questo albero) sono definiti dal seguente set di etichette:

• Organizzazione = Interna
• Infrastruttura = Data Center
• Ambiente = Pre-produzione
• Applicazione = Applicazione 1

Il potere delle etichette e degli scope tree

Le etichette guidano la potenza di Secure Workload e l'albero degli ambiti creato dalle tue etichette è più di un semplice riepilogo della tua rete:

• Le etichette ti consentono di comprendere immediatamente le tue politiche: "Nega tutto il traffico dalla pre-produzione alla produzione" Confronta questo con la stessa politica senza etichette: "Nega tutto il traffico da 172.16.0.0/12 a 192.168.0.0/16"
• Le policy basate sulle etichette si applicano automaticamente (o smettono di applicarsi) quando i carichi di lavoro etichettati vengono aggiunti (o rimossi dall'inventario). Nel tempo, questi raggruppamenti dinamici basati su etichette riducono notevolmente la quantità di lavoro necessaria per mantenere la distribuzione.
• I carichi di lavoro sono raggruppati in ambiti in base alle relative etichette. Questi raggruppamenti consentono di applicare facilmente i criteri ai carichi di lavoro correlati. Per esample, è possibile applicare facilmente i criteri a tutte le applicazioni nell'ambito della pre-produzione.
• Le policy create una volta in un singolo ambito possono essere applicate automaticamente a tutti i carichi di lavoro negli ambiti discendenti nell'albero, riducendo al minimo il numero di policy da gestire. Puoi facilmente definire e applicare la politica in generale (ad esample, a tutti i carichi di lavoro dell'organizzazione) o in modo ristretto (solo ai carichi di lavoro che fanno parte di un'applicazione specifica) o a qualsiasi livello intermedio (ad es.ample, a tutti i carichi di lavoro nel data center.
• Puoi assegnare la responsabilità di ciascun ambito a diversi amministratori, delegando la gestione delle policy alle persone che hanno più familiarità con ciascuna parte della tua rete.

Inizia a costruire la gerarchia per la tua organizzazione
Ora che sai cosa stai costruendo e perché, puoi iniziare a costruire il tuo scope tree.

Prima di continuare, devi scegliere l'applicazione con cui lavorare. Vedere le linee guida in Scegliere un'applicazione per questa procedura guidata, a pagina 10. Si noti che quando si esegue la procedura guidata, non sarà possibile tornare a queste pagine informative a meno che non si riavvii la procedura guidata.

Definire l'ambito interno
L'ambito interno include tutti gli indirizzi IP che definiscono la rete interna dell'organizzazione, inclusi gli indirizzi IP pubblici e privati.

La procedura guidata ti guida attraverso l'aggiunta di indirizzi IP a ogni ambito nel ramo dell'albero. Man mano che si aggiungono gli indirizzi, la procedura guidata assegna a ciascun indirizzo le etichette che ne definiscono l'ambito. Pertanto, in questa pagina, la procedura guidata assegna l'etichetta Organizzazione = Interna a ciascun indirizzo IP inserito. Per impostazione predefinita, la procedura guidata aggiunge gli indirizzi IP nello spazio degli indirizzi Internet privato come definito in RFC 1918. Non è necessario aggiungere ora tutti gli indirizzi IP nella rete interna, ma è necessario includere gli indirizzi IP associati alla rete scelta applicazione e dovresti includere tutti gli altri che puoi includere facilmente. Puoi aggiungere il resto in seguito.

Definire l'ambito dei data center
Questo ambito include gli indirizzi IP che definiscono i data center locali. È possibile modificare il nome dell'ambito, ma mantenere lo stesso significato. I nomi degli ambiti devono essere brevi e significativi.

In questa pagina, gli indirizzi IP immessi devono essere un sottoinsieme degli indirizzi della rete interna immessi nella pagina precedente. Devi anche includere gli indirizzi IP associati all'applicazione scelta e, idealmente, dovresti includere altri indirizzi che rappresentano i carichi di lavoro nei tuoi data center, ma puoi continuare senza di essi se non li hai disponibili. (Se disponi di più data center, li includerai tutti in questo ambito in modo da poter definire un singolo set di criteri.) Puoi sempre aggiungere più indirizzi in un secondo momento. La procedura guidata assegna le etichette Organizzazione = Interno e Infrastruttura = Data Center a ogni indirizzo IP inserito.

Definire l'ambito di pre-produzione
Questo ambito include gli indirizzi IP di applicazioni e host non di produzione, come sviluppo, laboratorio, test o stagsistemi di ing. NON dovrebbe includere gli indirizzi di alcuna applicazione che stai utilizzando per condurre affari effettivi, che faranno parte dell'ambito di produzione che definirai in seguito.

Gli indirizzi IP che inserisci in questa pagina devono essere un sottoinsieme degli indirizzi che hai inserito per i tuoi data center e devono includere nuovamente gli indirizzi dell'applicazione scelta. Idealmente, dovrebbero includere anche indirizzi di pre-produzione che non fanno parte dell'applicazione scelta. Ancora una volta, puoi aggiungere altri indirizzi in seguito.

Definire l'ambito di applicazione 1
"Applicazione 1" è un'applicazione scelta dall'utente. Vedere le linee guida in Scegliere un'applicazione per questa procedura guidata, a pagina 10. Un'applicazione è costituita da più carichi di lavoro.

Review Struttura dell'ambito, ambiti ed etichette

A sinistra, viene visualizzata una rappresentazione diversa dello stesso albero dell'ambito mostrato nelle altre pagine. Puoi espandere e comprimere i rami e scorrere verso il basso per fare clic su un ambito specifico. A destra, vengono visualizzati gli indirizzi IP e le etichette assegnate ai carichi di lavoro nell'ambito su cui hai fatto clic a sinistra. Le intestazioni di colonna sono le chiavi dell'etichetta e le celle della tabella mostrano i valori dell'etichetta. Nell'immagine precedente è selezionato l'ambito di primo livello, quindi vengono visualizzati i dati per tutti gli indirizzi IP specificati nella procedura guidata. Le celle vuote nella tabella sono in attesa di etichettatura futura, ad esample per i carichi di lavoro che non si trovano nel data center o fanno parte di applicazioni non di produzione diverse dall'applicazione scelta. Se lo desidera view queste informazioni dopo essere usciti dalla procedura guidata, scegliere Organizza > Ambiti e inventario dal menu sul lato sinistro della finestra.

Pagina dei prossimi passi

Installare gli agenti
È necessario installare gli agenti Secure Workload il prima possibile sui carichi di lavoro associati all'applicazione scelta. I dati raccolti dagli agenti vengono utilizzati per generare criteri suggeriti in base al traffico esistente sulla rete. Più dati producono politiche più accurate. Per i dettagli, vedere Installa agenti sui carichi di lavoro,

Genera criteri
Dopo aver installato gli agenti e concesso almeno alcune ore per l'accumulo dei dati del flusso di traffico, è possibile indicare a Secure Workload di generare ("scoprire") criteri basati su tale traffico. Per i dettagli, vedere Generazione automatica di criteri, a pagina.

Altro
Se utilizzi la barra di navigazione a sinistra della finestra, assicurati di aprire le nuove pagine in una finestra o scheda separata, altrimenti non potrai tornare a questa pagina.

Flusso di lavoro di avvio rapido

Fare un passo	Fai questo	Dettagli
1	(Facoltativo) Fai un tour annotato della procedura guidata	Tour del mago, a pagina 2
2	Scegli un'applicazione con cui iniziare il tuo percorso di segmentazione.	Per ottenere i migliori risultati, seguire le linee guida in Scegli An Applicazione per questa procedura guidata, a pagina 10.
3	Raccogli gli indirizzi IP	La procedura guidata richiederà 4 gruppi di indirizzi IP. Per i dettagli, vedere Raccogliere indirizzi IP, a pagina 10.
4	Esegui la procedura guidata	A view requisiti e accedere alla procedura guidata, vedere Eseguire la procedura guidata, a pagina 11
5	Installa gli agenti Secure Workload sui carichi di lavoro della tua applicazione	Vedere Installare gli agenti sui carichi di lavoro, a pagina 12.
6	Consenti agli agenti di raccogliere i dati sul flusso.	Più dati producono criteri più accurati. Il tempo minimo richiesto dipende dall'utilizzo attivo dell'applicazione.
7	Genera ("scopri") criteri basati sui tuoi dati di flusso effettivi	Vedere Genera automaticamente criteri, a pagina 13.
8	Review le politiche generate	Vedere Guarda i criteri generati, a pagina 14.

Raccogli indirizzi IP
Avrai bisogno di almeno alcuni degli indirizzi IP in ogni punto elenco di seguito:

• Indirizzi che definiscono la tua rete interna Per impostazione predefinita, la procedura guidata utilizza gli indirizzi standard riservati per l'utilizzo privato di Internet.
• Indirizzi riservati ai tuoi data center. Ciò non include gli indirizzi utilizzati dai computer dei dipendenti, servizi cloud o partner, servizi IT centralizzati, ecc.
• Indirizzi che definiscono la tua rete non di produzione
• Indirizzi dei carichi di lavoro che compongono l'applicazione non di produzione prescelta Per ora, non è necessario disporre di tutti gli indirizzi per ciascuno degli elenchi puntati sopra; puoi sempre aggiungere altri indirizzi in un secondo momento.

Importante
Poiché ognuno dei 4 punti rappresenta un sottoinsieme degli indirizzi IP del punto sopra di esso, ogni indirizzo IP in ogni punto deve essere incluso anche tra gli indirizzi IP del punto sopra nell'elenco.

Scegli un'applicazione per questa procedura guidata

Per questa procedura guidata, sceglierai una singola applicazione con cui lavorare. Un'applicazione è in genere costituita da più carichi di lavoro che forniscono servizi diversi, ad esempio web servizi o database, server primari e di backup, ecc. Insieme, questi carichi di lavoro forniscono la funzionalità dell'applicazione ai suoi utenti.

Linee guida per la scelta dell'applicazione
Secure Workload supporta carichi di lavoro in esecuzione su un'ampia gamma di piattaforme e sistemi operativi, inclusi carichi di lavoro basati su cloud e containerizzati. Tuttavia, per semplicità, per questa procedura guidata, dovresti scegliere un'applicazione con carichi di lavoro che sono:

• In esecuzione nel tuo data center
• Esecuzione su macchine bare metal e/o virtuali
• In esecuzione su piattaforme Windows, Linux o AIX supportate da agenti Secure Workload: vedere https://www.cisco.com/go/secureworkload/requirements/agents (In un passaggio futuro, dovrai installare gli agenti sui carichi di lavoro di questa applicazione)
• Distribuito in un ambiente di pre-produzione

Esegui la procedura guidata
Puoi eseguire la procedura guidata indipendentemente dal fatto che tu abbia scelto o meno un'applicazione e raccolto gli indirizzi IP, ma non sarai in grado di completare la procedura guidata senza eseguire queste operazioni.

Importante
Se non si completa la procedura guidata prima della disconnessione (o del timeout) di Secure Workload o se si passa a una parte diversa dell'applicazione utilizzando la barra di navigazione a sinistra, le configurazioni della procedura guidata non vengono salvate.

Prima di iniziare
I seguenti ruoli utente possono accedere alla procedura guidata:

• amministratore del sito
• assistenza clienti
• proprietario dell'ambito

Procedura

Passo 1 Accedi a Secure Workload.
Passo 2 Avvia la procedura guidata:
Se al momento non hai definito alcun ambito, la procedura guidata viene visualizzata automaticamente quando accedi a Secure Workload.

In alternativa:

• Fare clic sul collegamento Esegui la procedura guidata ora nel banner blu nella parte superiore di qualsiasi pagina.
• Scegli oltreview dal menu principale sul lato sinistro della finestra.

Passo 3 La procedura guidata spiegherà le cose che devi sapere. Non perdere i seguenti elementi utili:

• Passa il mouse sopra gli elementi grafici nella procedura guidata per leggerne le descrizioni.
• Fare clic sui collegamenti e sui pulsanti delle informazioni ( ) per informazioni importanti.

Prossimi passi

Mancia
Dopo aver completato la procedura guidata, è possibile visualizzare e utilizzare la struttura ad albero degli ambiti creata utilizzando la procedura guidata andando su Organizza > Ambiti e inventario.

Installa gli agenti sui carichi di lavoro
Per raccogliere i dati di flusso utilizzati per generare automaticamente suggerimenti per i criteri, installare gli agenti sui carichi di lavoro. Successivamente, questi agenti possono applicare la politica, ma gli agenti non applicano la politica fino a quando non glielo dici. Dovresti installare gli agenti il ​​prima possibile, per iniziare a raccogliere dati. Più dati producono suggerimenti di politica più accurati. Installa un agente su ogni carico di lavoro correlato all'applicazione scelta. Usa le impostazioni predefinite a meno che tu non abbia una buona ragione per non farlo. Se desideri ulteriori informazioni sull'installazione dell'agente, consulta il capitolo "Distribuzione di agenti software" nella guida in linea o nella guida per l'utente di Secure Workload

Prima di iniziare

• Assicurati che tutti i carichi di lavoro su cui installerai gli agenti siano in esecuzione su piattaforme supportate. Vedere
  https://www.cisco.com/go/secure-workload/requirements/agents.
• Assicurati di disporre delle autorizzazioni per installare gli agenti su ciascun carico di lavoro. Se necessario, chiedi a qualcuno che disponga delle autorizzazioni necessarie per farlo

Procedura

Passo 1 Fare clic sul pulsante Installa agenti nella procedura guidata. In alternativa, puoi accedere ai programmi di installazione dell'agente in questo modo:
a) Accedi al carico di lavoro sicuro web portale.
b) Nella barra di navigazione a sinistra, seleziona Gestisci > Agenti.
c) Fare clic sulla scheda Programma di installazione.
Passo 2 Fare clic su Installa automaticamente l'agente utilizzando un programma di installazione, quindi fare clic su Avanti.
Passo 3 Se si utilizza Secure Workload on-premise: Se viene visualizzata questa opzione: In quale tenant verrà installato l'agente?: selezionare l'impostazione predefinita a meno che non si abbia un motivo per scegliere qualcos'altro. (Vedi questa opzione solo se utilizzi un carico di lavoro sicuro locale).
Passo 4 Salta questa opzione: quali etichette vorresti che applicassimo a questo carico di lavoro? (Opzionale).
Passo 5 Scegli la piattaforma su cui è in esecuzione la tua applicazione.
Passo 6 Immettere il proxy HTTP se necessario per il proprio ambiente.
Passo 7 Scegli le opzioni di scadenza del programma di installazione, se lo desideri.
Passo 8 Fare clic su Scarica programma di installazione.
Passo 9 Fare clic su Avanti.
Passo 10 Seguire le istruzioni di preverifica dell'installazione, quindi fare clic su Avanti.
Passo 11 Seguire le istruzioni di installazione. Usa le impostazioni predefinite a meno che tu non abbia una buona ragione per cambiarle. Non dovrebbe essere necessario modificare nessuno dei flag elencati per lo script del programma di installazione.
Passo 12 Fare clic su Avanti.
Passo 13 Seguire le istruzioni sullo schermo per verificare che l'agente sia stato installato correttamente.
Passo 14 Installa l'agente su ogni carico di lavoro associato alla tua applicazione.

Genera automaticamente criteri

Secure Workload genera ("scopre") criteri per te, in base al traffico esistente tra i tuoi carichi di lavoro e altri host. (La funzione di individuazione delle policy era precedentemente nota come "ADM", quindi potresti vederla o sentirla chiamata così.) Puoi modificare, integrare, analizzare ed eventualmente approvare e applicare queste policy quando sei pronto.

Nota Le politiche non vengono applicate fino a quando non le applichi.

Prima di iniziare

• Installa agenti sui carichi di lavoro della tua applicazione
• Attendere un po' di tempo dopo l'installazione dell'agente affinché i dati del flusso si accumulino.

Procedura

Passo 1 Nella pagina Passaggi successivi della procedura guidata di avvio rapido, fare clic su Genera criteri automaticamente. In alternativa, puoi fare quanto segue in qualsiasi momento:
a) Scegli Difendi > Segmentazione dal lato sinistro della finestra Carico di lavoro sicuro.
b) Nella struttura ad albero o nell'elenco degli ambiti nel riquadro a sinistra, scorri verso il basso fino all'ambito dell'applicazione.
c) Fai clic su Principale in quell'ambito.
(La procedura guidata ha creato per te l'area di lavoro principale per la tua applicazione.)
Passo 2 Fare clic su Gestisci criteri.
Passo 3 Fare clic su Rileva automaticamente criteri.
Passo 4 Scegli l'intervallo di tempo per i dati di flusso che vuoi includere. In generale, più dati producono criteri più accurati.
Passo 5 Fare clic su Scopri criteri.

Guarda le Politiche Generate
Dai un'occhiata alle politiche scoperte. (Se sei uscito dalla pagina, puoi tornarci seguendo i passaggi in View Politiche, a pagina 14.) Le politiche hanno senso? Le etichette dovrebbero aiutarti a capire il tipo di host con cui comunica ogni carico di lavoro. Vedi qualche mistero? Vedi se riesci a scoprire quali sono i carichi di lavoro o le comunicazioni misteriose. Puoi chiedere a un collega che abbia familiarità con questa applicazione di valutare le politiche suggerite. Man mano che i dati del flusso si accumulano, dovresti estendere l'intervallo di tempo configurato e scoprire nuovamente i criteri, tutte le volte che è necessario per generare criteri che gestiscano il tuo traffico.

View Politiche
Se sei uscito dalla pagina delle politiche dopo aver avviato l'individuazione delle politiche (o in qualsiasi altro momento), puoi farlo view policy generate ("scoperte") accedendo all'area di lavoro dell'applicazione associata all'ambito.

Prima di iniziare
Scopri le politiche. Vedere Genera automaticamente criteri,

Procedura

Passo 1 Nella barra di navigazione a sinistra, scegli Difendi > Segmentazione.
Passo 2 Nell'elenco degli ambiti sul lato sinistro della finestra, scorrere e fare clic sull'ambito per il quale si desidera view politiche.
Passo 3 Fare clic sull'area di lavoro in cui si desidera view politiche. Potrebbe trattarsi dell'area di lavoro principale o di un'area di lavoro secondaria, a seconda dell'area di lavoro in cui ti trovavi quando hai avviato l'individuazione dei criteri.
Passo 4 Fare clic su Gestisci criteri.
Passo 5 Se non viene visualizzato un elenco di suggerimenti per i criteri, fare clic su Criteri assoluti e predefiniti.
Passo 6 (Facoltativo) A view politiche in una versione diversa dell'area di lavoro (primaria o secondaria), utilizzare l'elenco a discesa nella parte superiore della pagina.
Passo 7 (Facoltativo) A view criteri per un ambito diverso, fare clic su Area di lavoro nella parte superiore della pagina, quindi fare clic su un ambito diverso nell'elenco a sinistra

(Facoltativo) Per ricominciare, reimpostare l'albero dell'ambito

È possibile eliminare gli ambiti, le etichette e l'albero degli ambiti creati utilizzando la procedura guidata e, facoltativamente, eseguire nuovamente la procedura guidata.

Mancia
Se si desidera rimuovere solo alcuni degli ambiti creati e non si desidera eseguire nuovamente la procedura guidata, è possibile eliminare singoli ambiti invece di reimpostare l'intero albero: fare clic su un ambito da eliminare, quindi fare clic su Elimina.

Prima di iniziare
Sono richiesti i privilegi del proprietario dell'ambito per l'ambito principale. Se sono state create aree di lavoro, criteri o altre dipendenze aggiuntive, consultare la Guida per l'utente in Secure Workload per informazioni complete sulla reimpostazione dell'albero dell'ambito.

Procedura

Passo 1 Dal menu di navigazione a sinistra, scegli Organizza > Ambiti e inventario .
Passo 2 Fare clic sull'ambito nella parte superiore dell'albero.
Passo 3 Fare clic su Reimposta.
Passo 4 Conferma la tua scelta.
Passo 5 Se il pulsante Reimposta cambia in Destroy Pending, potrebbe essere necessario aggiornare la pagina del browser.

Ulteriori informazioni

Per ulteriori informazioni sui concetti della procedura guidata, vedere:

• La guida in linea in Secure Workload
• Il PDF della Guida per l'utente di Secure Workload per la tua versione, disponibile da https://www.cisco.com/c/en/us/support/security/tetrationanalyticsg1/model.html

Documenti / Risorse

CISCO 3.7 Rilascio carico di lavoro sicuro [pdf] Manuale del proprietario Rilascio 3.7, 3.7 Rilascio carico di lavoro sicuro, carico di lavoro sicuro

Riferimenti

• Manuale d'uso