El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo implementar Cisco Firepower Threat Defense Virtual (FTDv) de escala automática en Azure en un entorno de alta confianza.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
FTDv lleva la funcionalidad de firewall de última generación de Cisco Firepower a los entornos virtualizados, lo que permite aplicar políticas de seguridad coherentes para seguir las cargas de trabajo en los entornos físicos, virtuales y de nube, así como entre nubes.
Dado que estas implementaciones están disponibles en un entorno virtualizado, el NGFW no admite HA. Por lo tanto, para proporcionar una solución de alta disponibilidad, el firewall de última generación (NGFW) de Cisco utiliza las funciones nativas de Azure, como conjuntos de disponibilidad y Virtual Machine Scale Set (VMSS), con el fin de que NGFW esté altamente disponible y se adapte al aumento del tráfico a demanda.
Este documento se centra en la configuración del NGFW de Cisco para AutoScale en función de diferentes parámetros en los que el NGFW se amplía a petición o a medida. Esto cubre el caso práctico en el que el cliente necesita utilizar Firepower Management Center (FMC), que está disponible en el Data Center de ubicación y que se necesita para gestionar de forma centralizada todos los NGFW. Además, los clientes no desean que FMC y FTD se comuniquen a través de IP pública para el tráfico de gestión.
Antes de profundizar en la configuración y el diseño, a continuación se muestran los pocos conceptos que deberían entenderse bien para Azure:
Actualmente, la solución AutoScale disponible para NGFW no proporciona un plan de administración para comunicarse con la IP privada local a VNet y requiere IP pública para intercambiar comunicación entre Firepower Management Center y NGFW.
Este artículo pretende resolver este problema hasta que la solución verificada esté disponible para la comunicación de Firepower Management Center y NGFW a través de IP privada.
Para crear una solución de NGFW de escala automática, se utiliza esta guía de configuración:
con varias modificaciones para poder abordar los siguientes casos prácticos:
Para crear una solución de NGFW AutoScaled, con los casos de uso mencionados anteriormente debe modificarlos en los pasos mencionados en la Guía oficial de Cisco:
La plantilla ARM se utiliza para habilitar la automatización en Azure. Cisco ha proporcionado una plantilla ARM verificada que se puede aprovechar para crear una solución de ampliación automática. Pero esta plantilla ARM disponible en Public Github https://github.com/CiscoDevNet/cisco-ftdv/tree/master/autoscale/azure/NGFWv6.6.0/ARM%20Template crea una aplicación de funciones que no se puede hacer para comunicarse con la red interna del cliente aunque se pueda acceder a ella a través de rutas Express. Por lo tanto, necesitamos modificarlo un poco para que Function App pueda ahora utilizar el modo Premium en lugar del Modo de consumo. Por lo tanto, la plantilla ARM necesaria está disponible en https://github.com/Madhuri150791/FunctionApp_with_Premiium_Plan.git
La aplicación Function es un conjunto de funciones de Azure. La funcionalidad básica incluye:
Como se menciona en el requisito, las distintas funciones que se crean para la creación o eliminación de NGFW bajo demanda se realizan en función de la IP pública del NGFW. Por lo tanto, necesitamos ajustar el código C# para obtener la IP privada en lugar de la IP pública. Después de tejer el código, el archivo zip para crear la aplicación Function está disponible en https://github.com/Madhuri150791/FunctionApp_with_Premiium_Plan.git
con el nombre ASM_Function.zip. Esto permite que la aplicación Functions se comunique con Recursos Internos sin tener la IP pública.
La aplicación Auto Scale Logic es un flujo de trabajo, es decir, un conjunto de pasos en una secuencia. Las funciones de Azure son entidades independientes y no pueden comunicarse entre sí. Este orquestador secuenciará la ejecución de estas funciones e intercambiará información entre ellas.
Nota: El detalle de la aplicación lógica disponible en https://github.com/Madhuri150791/FunctionApp_with_Premiium_Plan.git debe modificarse cuidadosamente y los siguientes elementos deben sustituirse por detalles de implementación, nombre de FUNSTIONAPP, nombre del grupo de recursos, ID de SUSCRIPCIÓN.
Esta imagen muestra cómo fluye el tráfico entrante y saliente dentro de un entorno de Azure a través de NGFW.
Ahora, cree varios componentes necesarios para una solución escalada automáticamente.
Utilice la plantilla ARM y cree VMSS, Logic APP, Function APP, App Insight, Network Security Group.
Vaya a Inicio > Crear un recurso > Buscar plantilla y, a continuación, seleccione Implementación de plantillas. Ahora haga clic en Crear y crear su propia plantilla en el editor.
Realice los cambios necesarios en esta plantilla y haga clic en Revisar +Crear.
https://<function_app_name>.scm.azurewebsites.net/DebugConsole
Cargue el archivo ASM_Function.zip y ftdssh.exe en la carpeta site/wwwroot/ (es obligatorio cargarlo en la ubicación especificada, de lo contrario la aplicación Function no identifica varias funciones).
Debería ser como esta imagen:
Vaya a <prefix>-vmss> Access Control (IAM) > Add role assignement. Proporcione a este VMSS un acceso de colaborador a <prefix>-function-app
Click Save.
https://github.com/CiscoDevNet/cisco-ftdv/tree/master/autoscale/azure/NGFWv6.6.0/Logic%20App
Aquí es necesario sustituir Azure Subscription, Resource Group Name y Function App Name antes de su uso; de lo contrario, no permite guardar correctamente.
Una vez habilitada la aplicación lógica, comienza inmediatamente a ejecutarse en el intervalo de 5 minutos.
Si todo está configurado correctamente, verá que las acciones de disparador se están realizando correctamente.
Además, VM se crea bajo VMSS.
Inicie sesión en FMC y verifique que FMC y NGFW estén conectados a través de FTDv Private IP:
Mientras inicia sesión en la CLI de NGFW, verá lo siguiente:
Por lo tanto, FMC se comunica con NGFW a través de Azure Private VNet Subnet.
A veces, Logic App falla mientras se crea un nuevo NGFW, para resolver tales problemas, se pueden realizar estos pasos:
Haga clic en el disparador que ha fallado.
Intente identificar el punto de falla del flujo de código. Del fragmento anterior, está claro que la lógica de ASM falló porque no pudo conectarse a FMC. A continuación, debe identificar por qué FMC no se pudo alcanzar según el flujo dentro de Azure.