Änderung von Webrichtlinien zu regelbasierten Richtlinien in Umbrella

Einleitung

In diesem Dokument wird der Wechsel von Webrichtlinien zu regelbasierten Richtlinien in Cisco Umbrella beschrieben.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Cisco Umbrella Secure Internet Gateway (SIG).

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Überblick

Seit dem 31. März 2021 steht Umbrella Secure Internet Gateway (SIG) Kunden eine neue Funktion mit der Bezeichnung "Rule-Based Policy" (Regelbasierte Richtlinie) zur Verfügung. Webrichtlinien wurden für ihr aktuelles Richtlinienmodell in ein Regelmodell überführt. Die alten Webrichtlinien verwendeten eine statische Reihenfolge der Vorgänge für Richtlinienkomponenten, die ein oder mehrere Ziele darstellen, da die Komponenten Ziellisten, Anwendungseinstellungen und Inhaltskategorien zulassen/blockieren. Die statische Reihenfolge der Vorgänge war wie folgt:

1. Ziellisten zulassen  

2. Anwendungseinstellungen zulassen  

3. Sicherheitskategorieblöcke  

4. Ziellisten sperren  

5. Anwendungseinstellungen blockieren  

6. Inhaltskategorie-Blöcke 

Eine weitere Einschränkung des Richtlinienmodells bestand darin, dass alle mit der Richtlinie verknüpften Identitäten eine Richtlinie erhalten. Wenn also ein einzelner Benutzer oder eine Gruppe von Identitäten eine Änderung in ihrer Webrichtlinie benötigt, muss für sie eine neue Webrichtlinie erstellt werden.

Das neue Regelmodell überlässt dem Administrator jedoch die vollständige Kontrolle. Einige Regeln wurden erstellt, die eine große Gruppe von Identitäten betreffen, während andere Regeln für eine einzelne Identität oder kleinere Gruppen von Identitäten gelten, ohne dass diese Identitäten in eine separate Richtlinie verschoben werden müssen. Außerdem kann die Reihenfolge der Vorgänge durch den Administrator einfach durch das Neuanordnen von Regeln gesteuert werden. 

Vergleichen von Regeln mit dem alten Richtlinienmodell

Neue Regeln ermöglichen es Endbenutzern, diese Aktionen auszuführen, während das alte Modell nicht:

• Überschreiben der Sicherheit, nachdem eine "Zulassen"-Aktion ausgeführt wurde
• Tageszeit und Wochentag Zeitpläne für Regelanwendung
• Führen Sie eine Warnaktion für Inhaltskategorien durch.
• Erstellen Sie einen virtuellen Browser, der die Hostanforderungen an Ziele anhand der festgelegten Identitäten der Regel "isoliert".

Screen_Shot_2021-05-05_at_3.51.38_PM.png

Weitere Informationen finden Sie in der Umbrella-Einrichtungsdokumentation: Webrichtlinie verwalten

Übergangsmaßnahmen

In Umbrella musste eine neue Regelsprache erstellt werden, um die Verarbeitung von Regeln zu erleichtern. Damit wurde eine neue Datenbank zum Speichern dieser Regeln erstellt. Der Übergang erfolgte in zwei Schritten: 

1. Vorhandene Richtlinienkomponenten wurden aus der alten, von Webrichtlinien verwendeten Datenbank in die neue, von Regeln verwendete Datenbank kopiert. Diese Komponenten wurden von allen Aktionen (wie Zulassen oder Blockieren) entfernt, da Regeln die Aktion ausführen können. Aus diesem Grund wurden politische Komponenten handlungsunfähig. Die kopierten Komponenten haben jedoch ein "Zulassen"- oder "Blockieren"-Label an ihren Namen vererbt, um ihre Absicht im alten System für Kontext festzulegen. Anwendungseinstellungen waren ein Sonderfall, da sie insofern einzigartig waren, als sie sowohl Zulassen- als auch Blockierungsaktionen übernahmen. Alle Anwendungseinstellungskomponenten, die beide Aktionen ausgeführt haben, wurden in zwei unterteilt: eine für die zulässigen und eine für die gesperrten Apps. Es wurden bis zu 5 Regeln für jede überarbeitete Webrichtlinie erstellt. Wenn für eine Webrichtlinie nicht alle Arten von Richtlinienkomponenten konfiguriert waren, wurden nur die Komponenten, die für diese Webrichtlinie konfiguriert waren, umgestellt, was zu weniger automatisch generierten Regeln führte. Dieser Screenshot ist ein Beispiel für eine Web-Richtlinie, die mit allen fünf automatisch generierten Regeln geändert wurde:

2. Nachdem das Back-End vollständig umgestellt wurde, wurde die neue Benutzeroberfläche aktiviert. Beachten Sie, dass bis zur Aktivierung der neuen Benutzeroberfläche alle Benutzer, die sich im Dashboard anmelden, die alte Benutzeroberfläche weiterhin sehen und mit dieser interagieren können. 

• Alle Änderungen, die in dieser unvollständigen Phase an Webrichtlinien vorgenommen wurden, wurden gespeichert, als die neue Benutzeroberfläche aktiviert wurde.

Übergangszeit

Sie haben ein Datum und einen Zeitrahmen erhalten, in dem der Übergang stattgefunden hat, und wurden von Ihrem Customer Success-Mitarbeiter und/oder dem Messaging-System von Umbrella in Ihrem Dashboard weitergeleitet. Eine automatisch generierte Regel hat den Ort und die Prioritätsreihenfolge jeder konfigurierten Richtlinienkomponente für alle vorherigen Web-Richtlinien festgelegt. Nachdem die neue Benutzeroberfläche aktiviert wurde, erfolgte die Umstellung nahtlos, und da die automatisch generierten Regeln die gleiche Aktion und Priorität der alten Webrichtlinien widerspiegelten, gab es keine Änderung im Verhalten beim Übergang von Webrichtlinien zu Regelsätzen. Es gab keine Ausfallzeiten für die Durchsetzung von Webrichtlinien während dieses Übergangs.

Änderungen nach dem 31. März 2021

Während des Übergangs wurden alle Änderungen, die an Ihren Webrichtlinien vorgenommen wurden, in den neuen Regelsätzen erfasst. Dies liegt daran, dass vorhandene Richtlinienkomponenten aus der alten Datenbank in die neue Datenbank kopiert werden. Nach Abschluss des Kopiervorgangs hat sich die Aktivierung der neuen Benutzeroberfläche verzögert. Bis zur Aktivierung der neuen Benutzeroberfläche waren Webrichtlinien aktiv, und alle Änderungen an diesen Webrichtlinien wurden in die alte Datenbank geschrieben und nicht in Regeln konvertiert.

Technischer Support

Wenn Sie mit einem Customer Success Manager, Technical Account Manager oder Service Delivery Manager zusammenarbeiten, können diese Personen Fragen beantworten.Melden Sie technische Probleme dem Cisco Umbrella Support.