Immagine virtuale di sicurezza

Per ottenere semplificazione e coerenza, la soluzione Cisco SD-WAN è stata rinominata Cisco Catalyst SD-WAN. Inoltre, da Cisco IOS XE SD-WAN versione 17.12.1a e Cisco Catalyst SD-WAN versione 20.12.1, sono applicabili le seguenti modifiche ai componenti: da Cisco vManage a Cisco Catalyst SD-WAN Manager, da Cisco vAnalytics a Cisco Catalyst SD-WAN Analytics, Cisco vBond per Cisco Catalyst SD-WAN Validator e Cisco vSmart per Cisco Catalyst SD-WAN Controller. Consulta le note di rilascio più recenti per un elenco completo di tutte le modifiche ai marchi dei componenti. Durante la transizione ai nuovi nomi, potrebbero essere presenti alcune incoerenze nella documentazione a causa di un approccio graduale agli aggiornamenti dell'interfaccia utente del prodotto software.

Cisco SD-WAN Manager utilizza un'immagine virtuale di sicurezza per abilitare funzionalità di sicurezza come Intrusion Prevention System (IPS), Intrusion Detection System (IDS), URL Filtraggio (URL-F) e Protezione antimalware avanzata (AMP) sui dispositivi Cisco  IOS XE Catalyst SD-WAN. Queste funzionalità consentono l'hosting di applicazioni, l'analisi del traffico in tempo reale e la registrazione dei pacchetti su reti IP. Una volta che l'immagine file viene caricato nel repository software Cisco SD-WAN Manager, puoi creare policy, profilee modelli di dispositivi che invieranno automaticamente i criteri e gli aggiornamenti ai dispositivi corretti.
Prima di utilizzare queste funzionalità, è necessario installare e configurare IPS/IDS, URL-Per AMP policy di sicurezza, quindi caricare l'immagine virtuale di sicurezza pertinente su Cisco SD-WAN Manager. Dopo aver aggiornato il software sul dispositivo, devi aggiornare anche Security Virtual Image.
In questo capitolo viene descritto come eseguire queste attività.

• Installa e configura IPS/IDS, URL-Per AMP Politiche di sicurezza, a pagina 1
• Identificare la versione dell'immagine virtuale di sicurezza consigliata, a pagina 4
• Caricare l'immagine virtuale di sicurezza Cisco su Cisco SD-WAN Manager, a pagina 4
• Aggiornamento di un'immagine virtuale di sicurezza, a pagina 5

Installa e configura IPS/IDS, URL-Per AMP Politiche di sicurezza

Installazione e configurazione IPS/IDS, URL-Per AMP le politiche di sicurezza richiedono il seguente flusso di lavoro:
Attività 1: creare un modello di politica di sicurezza per IPS/IDS, URL-Per AMP Filtraggio
Attività 2: creare un modello di funzionalità per l'hosting delle app di sicurezza
Attività 3: crea un modello di dispositivo

Attività 4: collegare i dispositivi al modello di dispositivo
Creare un modello di politica di sicurezza

1. Dal menu Cisco SD-WAN Manager, scegliere Configurazione > Sicurezza.
2. Fare clic su Aggiungi politica di sicurezza.
3. Nella finestra Aggiungi politica di sicurezza, seleziona il tuo scenario di sicurezza dall'elenco di opzioni.
4. Fare clic su Procedi.

Creare un modello di funzionalità per l'hosting di app di sicurezza
La funzionalità professionalefile template configura due funzioni:

• NAT: abilita o disabilita Network Address Translation (NAT), che protegge gli indirizzi IP interni quando sono all'esterno del firewall.
• Professionista delle risorsefile: assegna risorse predefinite o elevate a sottoreti o dispositivi diversi.

Una funzionalità professionalefile il modello, sebbene non strettamente richiesto, è consigliato.

Per creare una funzionalità professionalefile modello, attenersi alla seguente procedura:

1. Dal menu Cisco SD-WAN Manager, scegliere Configurazione > Modelli.
2. Fare clic su Modelli di funzionalità e quindi su Aggiungi modello.
   In Cisco vManage versione 20.7.1 e versioni precedenti, i modelli di funzionalità sono chiamati funzionalità.
3. Dall'elenco Seleziona dispositivi, scegli i dispositivi che desideri associare al modello.
4. In Informazioni di base, fare clic su Hosting app di sicurezza.
5. Inserisci il nome e la descrizione del modello.
6. In Parametri della politica di sicurezza personalizzare i parametri della politica di sicurezza, se necessario.
   • Abilitare o disabilitare la funzione NAT (Network Address Translation), in base al caso d'uso. Per impostazione predefinita, NAT è attivo.
   • Fare clic sulla freccia a discesa per impostare i limiti della policy. L'impostazione predefinita è Predefinita.
   Globale: abilita NAT per tutti i dispositivi collegati al modello.
   Specifico del dispositivo: abilita NAT solo per i dispositivi specificati. Se selezioni Specifico del dispositivo, inserisci il nome di una chiave del dispositivo.
   Predefinito: abilita il criterio NAT predefinito per i dispositivi collegati al modello.
   • Imposta Risorsa Profile. Questa opzione imposta il numero di istanze di snort da utilizzare su un router. Il valore predefinito è Basso che indica un'istanza di snort. Medio indica due istanze e Alto indica tre istanze.
   • Fare clic sulla freccia a discesa per impostare i limiti per il Resource Profile. L'impostazione predefinita è Globale.
   Globale: abilita la risorsa selezionatafile per tutti i dispositivi collegati al modello.
   Specifico del dispositivo: abilita il professionistafile solo per i dispositivi specificati. Se selezioni Specifico del dispositivo, inserisci il nome di una chiave del dispositivo.
   Predefinito: abilita la risorsa predefinita Profile per i dispositivi collegati al modello.
7. Imposta Scarica URL Database sul dispositivo su Sì se desideri scaricare il file URL-F database sul dispositivo. In questo caso, il dispositivo cerca nel database locale prima di provare la ricerca nel cloud.
8. Fare clic su Salva.

Crea un modello di dispositivo
Per attivare le policy che desideri applicare, puoi creare un modello di dispositivo che invierà le policy ai dispositivi che ne hanno bisogno. Le opzioni disponibili variano in base al tipo di dispositivo. Per esample, i dispositivi Cisco SD-WAN Manager richiedono un sottoinsieme più limitato del modello di dispositivo più grande. Vedrai solo opzioni valide per quel modello di dispositivo.
Per creare un modello di dispositivo di sicurezza, segui questo example per i router modello vEdge 2000:

1. Dal menu Cisco SD-WAN Manager, scegliere Configurazione > Modelli.
2. Fare clic su Modelli dispositivo, quindi scegliere Crea modello > Da modello funzione.
   In Cisco vManage versione 20.7.1 e versioni precedenti, i modelli di dispositivo sono chiamati Dispositivo.
3. Dall'elenco a discesa Modello dispositivo, scegli il modello del dispositivo.
4. Dall'elenco a discesa Ruolo dispositivo, scegli il ruolo del dispositivo.
5. Inserisci il nome e la descrizione del modello.
6. Scorri la pagina fino ai sottomenu di configurazione che ti consentono di selezionare un modello esistente, creare un nuovo modello o view il modello esistente. Per esample, per creare un nuovo modello di sistema, fare clic su Crea modello.

Allega dispositivi al modello di dispositivo

1. Dal menu Cisco SD-WAN Manager, scegliere Configurazione > Modelli.
2. Fare clic su Modelli dispositivo, quindi scegliere Crea modello > Da modello funzione.
   In Cisco vManage versione 20.7.1 e versioni precedenti, i modelli di dispositivo sono chiamati Dispositivo.
3. Nella riga del modello di dispositivo desiderato, fare clic su … e scegliere Collega dispositivi.
4. Nella finestra Collega dispositivi, seleziona i dispositivi desiderati dall'elenco Dispositivi disponibili e fai clic sulla freccia rivolta verso destra per spostarli nell'elenco Dispositivi selezionati.
5. Fare clic su Allega.

Identificare la versione dell'immagine virtuale di sicurezza consigliata

A volte, potresti voler controllare il numero di versione SVI (Security Virtual Image) consigliato per un determinato dispositivo. Per verificarlo utilizzando Cisco SD-WAN Manager:
Passo 1
Dal menu Cisco SD-WAN Manager, scegliere Monitor > Dispositivi.
Cisco vManage versione 20.6.x e precedenti: dal menu Cisco SD-WAN Manager, scegliere Monitor > Rete.
Passo 2
Scegli WAN – Edge.
Passo 3
Scegli il dispositivo che eseguirà SVI.
Viene visualizzata la pagina Stato del sistema.
Passo 4
Scorrere fino alla fine del menu del dispositivo e fare clic su Tempo reale.
Viene visualizzata la pagina Informazioni di sistema.
Passo 5
Fare clic sul campo Opzioni dispositivo e scegliere Stato versione app di sicurezza dal menu.
Passo 6
Il nome dell'immagine viene visualizzato nella colonna Versione consigliata. Dovrebbe corrispondere all'SVI disponibile per il router dai download Cisco websito.

Carica l'immagine virtuale di sicurezza Cisco su Cisco SD-WAN Manager

Ogni immagine del router supporta una gamma specifica di versioni per un'applicazione ospitata. Per IPS/IDS e URL-Filtraggio, puoi trovare la gamma di versioni supportate (e la versione consigliata) per un dispositivo nella sua pagina Opzioni dispositivo.
Quando una policy di sicurezza viene rimossa dai dispositivi Cisco IOS XE Catalyst SD-WAN, anche il motore Virtual Image o Snort viene rimosso dai dispositivi.

Passaggio 1 Dalla pagina di download del software per il router, individuare l'immagine UTD Engine per IOS XE SD-WAN.
Passaggio 2 Fare clic su Scarica per scaricare l'immagine file.
Passaggio 3 Dal menu Cisco SD-WAN Manager, scegliere Manutenzione > Repository software
Passaggio 4 Scegli Immagini virtuali.
Passaggio 5 Fare clic su Carica immagine virtuale e scegliere vManage o Server remoto – vManage. Si apre la finestra Carica immagine virtuale su vManage.
Passaggio 6 Trascinare e rilasciare oppure sfogliare l'immagine file.
Passaggio 7 Fare clic su Carica. Al termine del caricamento, viene visualizzato un messaggio di conferma. La nuova immagine virtuale viene visualizzata nel repository software delle immagini virtuali.

Aggiorna un'immagine virtuale di sicurezza

Quando un dispositivo Cisco IOS XE Catalyst SD-WAN viene aggiornato a una nuova immagine software, anche l'immagine virtuale di sicurezza deve essere aggiornata in modo che corrisponda. Se è presente una mancata corrispondenza nelle immagini del software, il push del modello VPN sul dispositivo non riuscirà.
Se l'opzione Aggiornamento firma IPS è abilitata, il pacchetto di firme IPS corrispondente viene aggiornato automaticamente come parte dell'aggiornamento. È possibile abilitare l'impostazione da Amministrazione > Impostazioni > Aggiornamento firma IPS.
Per aggiornare l'applicazione che ospita l'immagine virtuale per un dispositivo, attenersi alla seguente procedura:

Passaggio 1 Seguire i passaggi in Caricamento dell'immagine virtuale Cisco Security corretta su vManage per scaricare la versione consigliata di SVI per il router. Prendere nota del nome della versione.
Passaggio 2 Dal menu Cisco SD-WAN Manager, scegliere Manutenzione > Repository software > Immagini virtuali per verificare che la versione dell'immagine elencata nella colonna Versione consigliata corrisponda a un'immagine virtuale elencata nella tabella Immagini virtuali.
Passaggio 3 Dal menu Cisco SD-WAN Manager, scegliere Manutenzione > Aggiornamento software. Viene visualizzata la pagina di aggiornamento del software WAN Edge.
Passaggio 4 Scegli i dispositivi che desideri aggiornare e seleziona le caselle di controllo nella colonna più a sinistra. Dopo aver scelto uno o più dispositivi, viene visualizzata una riga di opzioni, insieme al numero di righe scelte.
Passo 5 Quando sei soddisfatto delle tue scelte, scegli Aggiorna immagine virtuale dal menu delle opzioni. Viene visualizzata la finestra di dialogo Aggiornamento immagine virtuale.
Passaggio 6 Per ciascun dispositivo scelto, scegliere la versione di aggiornamento corretta dal menu a discesa Aggiorna alla versione.
Passaggio 7 Dopo aver scelto una versione di aggiornamento per ciascun dispositivo, fare clic su Aggiorna. Una volta completato l'aggiornamento, viene visualizzato un messaggio di conferma.

Documenti / Risorse

Configurazione di sicurezza CISCO SD-WAN Catalyst [pdf] Guida utente SD-WAN, Configurazione di sicurezza Catalyst SD-WAN, Configurazione di sicurezza Catalyst, Configurazione di sicurezza, Configurazione

Riferimenti

• Manuale d'uso