Présentation des licences Smart et meilleures pratiques pour la sécurité de la messagerie électronique et du web Cisco (ESA, WSA, SMA)

Introduction

Ce document décrit le processus d'activation, les définitions et le dépannage du service Smart Licensing sur ESA/SMA/WSA.

Conditions préalables

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Appareil de sécurité de la messagerie (ESA) AsyncOS version 12.0 et ultérieure.
• Appliance de gestion de la sécurité (SMA) AsyncOS version 12.0 et ultérieure.
• Appareil de sécurité Web (WSA) AsyncOS version 11.7 et ultérieure

Note: L'activation de la fonctionnalité Smart License sur le ESA/SMA/WSA est permanente et ne permet pas de rétablir un appareil en mode Licence classique.

Informations générales

Smart Licensing permet de :

• Gérez toutes vos licences de produits depuis un site central
• Normalise le processus entre Physical a Virtual ESA/SMA/WSA, en utilisant 1 méthode pour appliquer et gérer les licences
• Appliquer facilement une licence à votre ESA/SMA/WSA
• Recevoir des alertes relatives à l'expiration de la licence
• Le modèle matériel ESA/SMA/WSA, prêt à l'emploi, dispose d'une période d'évaluation de 90 jours pour tous les services

Récapitulatif du sujet global de la licence Smart de Cisco

Bien que l'objectif principal de cet article soit de configurer les services Smart Licensing sur l'ESA/SMA/WSA, nous avons inclus des liens ci-dessous pour fournir une orientation générale sur le sujet.

Pour enregistrer l'hôte ESA/SMA/WSA avec une licence Smart, le propriétaire de l'appliance doit d'abord posséder un compte Smart.

• Les comptes Smart sont émis par domaine.
• L'administrateur du compte Smart peut créer des comptes virtuels de sous-niveau permettant la séparation des ressources.
• Les comptes virtuels peuvent être utilisés pour restreindre l'accès aux différentes licences de produits Cisco en fonction des besoins des clients.
• Les clients accèdent à Cisco Smart Software Manager (CSSM) pour gérer les licences et télécharger TOKENS

Les liens suivants fournis par Cisco incluent des vidéos, des guides et des explications relatifs aux licences Smart :

• Créer un nouveau compte Smart ou demander d'ajouter un utilisateur à un compte existant
• Présentation des licences Smart Software Cisco WebPage
• Guide de déploiement des licences Smart

• Page Cisco Smart Accounts

• Page Smart Software Manager Cisco

• Cisco Smart Software Manager (CSSM)

Hors du boîtier

• Tous les modèles matériels ESA/SMA/WSA achetés incluent des licences d'évaluation de 90 jours pour toutes les fonctionnalités
• Tous les modèles matériels qui migrent avec des licences classiques (CL) existantes recevront des licences d'évaluation de 90 jours
• Tous les modèles ESA/SMA/WSA virtuels nécessitent un fichier VLN (.xml) de base chargé sur l'appliance pour le lier au serveur de mise à niveau/mise à jour
• Tous les modèles ESA/SMA/WSA virtuels, lorsqu'ils sont créés, n'incluent PAS de licences de 90 jours et doivent être enregistrés via le VLN de licence classique (.xml)
• Tous les modèles ESA/SMA/WSA virtuels migrés avec les licences classiques existantes (CL) incluent des licences d'évaluation de 90 jours

Exigences de communication

• Communication réseau ou proxy smartphone.cisco.com sur le port TCP 443

Description de l'outil CSSM et des onglets.

Illustration de base des onglets CSSM

• Onglet Général
  
  • Emplacement de génération du jeton (le jeton est basé sur le temps et peut être utilisé pour enregistrer plusieurs ESA/SMA/WSA
  • S'assurer que le compte virtuel approprié a été sélectionné car un client peut avoir plusieurs comptes virtuels
  • Nouveau jeton, ouvrira un modèle à compléter et obtiendra une entrée de ligne « jeton » dans le tableau
  • Les actions peuvent être exécutées de manière répétée selon les besoins et afficheront des options sur ; Copier, télécharger, révoquer le jeton

Onglet Général CSSM

• Onglet Licences
  • Emplacement pour vérifier et confirmer la présence et la disponibilité des licences
  • La colonne Licence répertorie les noms des services ou des offres groupées achetés.
  • La colonne Acheté répertorie la présence de clés utilisables
  • La colonne Alertes affiche des messages importants concernant une licence spécifique

Onglet Licence CSSM

•  Onglet Instances de produit
  
  • Affiche les noms, les modèles, la dernière communication et les alertes de chaque appareil

Onglet Instances de produit CSSM

Générer un jeton à partir de CSSM

• Lancer la page Web CSSM
  • Cisco Smart Software Manager (CSSM)
•  Haut de la page, sélectionnez Inventaire
  • Une fois chargé, sélectionnez le compte virtuel “ approprié : ” dans la partie supérieure gauche de la page
  • Une grande entreprise peut avoir plusieurs comptes virtuels attribués à un seul compte Smart, ce qui nécessite une sélection du compte virtuel approprié lié aux licences ESA/SMA/WSA
  • Onglets : Général, Licences, instances de produit, journal des événements
• Générer un jeton à partir de CSSM
  • Sélectionnez l'onglet “ Général, ”
  • Juste sous l'en-tête, “ Product Instance Registration Tokens, ” sélectionnez le bouton “ New Token ”
  • Une fenêtre apparaît pour compléter les valeurs Description “, ” et “ Expire après, ”
  • Créer un jeton
  • Pour revenir à l'onglet Général, sélectionnez l'onglet Actions “, ” de la liste déroulante pour copier ou télécharger le jeton

SAMPLE TOKEN FILE
Token:           M2UyYmIxYTktNzJmMy00ZxxxxxxxxxxxxxxxxxxxxZjVhMDMwLTE1NDE3Mzcx%0ANDU2ODR8RlluSVI5NmxCUS92SnVzUjUvcVViV0ZyVVFrcHBxNVh2TVdNa1My%0AeGJYMD0%3D%0A
Virtual Account:   ESA
Smart Account:      InternalTestDemoAccount.MY_DOMAIN.com
Token Description: SMA_token
Export-Controlled Functionality:  Allowed
Created by User:   my_CCOID
Contact Email:       ADMIN@MY_DOMAIN.com
Expiry Date:       2018-Nov-09 04:19:05 (in 18 days)

* Note: this token file was downloaded on October 22nd 2018
* Note: copy entire token string to use for product instance registration

Activer la fonctionnalité Smart License sur ESA/SMA/WSA

• Activation de l'interface utilisateur Web :
  
  • Accédez à Administration système > Licence logicielle Smart
  • Sélectionnez Activer la licence Smart Software
  • Les options disponibles permettent de demander des clés de fonction :
    • Option 1 : Utiliser un jeton pour enregistrer et demander les fonctionnalités requises
    • Option 2 : S'inscrire sans jeton et avoir une période d'évaluation de 90 jours
  • Sélectionner OK
  • Valider les modifications
• Activation CLI :
  
  • Exécuter la commande license_smart > Enable > Y
  • Les options 1 et 2 sont répertoriées de la même manière que la description de l'interface utilisateur ci-dessus
  • Sélectionner OK
  • Valider

Enregistrez le ESA/SMA/WSA dans un compte Smart à l'aide du jeton.

• Accédez à Administration système > Licence logicielle Smart
• Cliquez sur le bouton « S'inscrire » pour ouvrir la page d'inscription contextuelle
• Collez le jeton copié dans l'espace prévu à l'étape 4 ci-dessous
• Sélectionnez « S'inscrire » pour terminer les étapes (la fenêtre contextuelle se fermera)
• Actualiser la page « Licence Smart Software » après 30 secondes pour afficher le nouvel état
• Une fois complété, le champ « État de l'enregistrement » contient le mot « enregistré » ainsi que les dates d'expiration de l'enregistrement

Enregistrement des licences Smart SoftwarePage contextuelle Inscription.Confirmation d'inscription.

Actions

Des tâches supplémentaires peuvent être effectuées à partir du menu déroulant Actions de la licence Smart.

• Renouveler l'autorisation
  • Effectuez cette tâche pour renouveler manuellement le statut d'autorisation de licence pour toutes les licences répertoriées sous le type de licence

Note: L'autorisation de licence est renouvelée automatiquement tous les 30 jours. Le statut d'autorisation de licence expirera après 90 jours si le ESA/SMA/WSA ne communique pas avec le CSSM.

• Renouveler l'inscription
  • Effectuez cette action pour renouveler manuellement l'enregistrement

Note: L'inscription initiale est valable pour un an. Le renouvellement de l'enregistrement est effectué automatiquement tous les six mois si l'appliance est connectée au CSSM.

• Désinscrire
  • Déconnecte le ESA/SMA/WSA du CSSM
  • Le système passe en mode Évaluation
  • Les licences utilisées par l'ESA/SMA/WSA sont libérées et créditées sur le compte Smart pour réutilisation

• Réenregistrer
  • Réinscrire ESA/SMA/WSA avec CSSM

Note: Le réenregistrement peut être utilisé pour migrer entre organisations plusieurs comptes virtuels

Définitions relatives à la licence Smart

Types de licences :

• Licence classique (CL) : CL fait référence aux anciennes méthodes utilisées pour les licences matérielles et virtuelles
• Licence Smart (SL) : SL fait référence aux licences Smart

License Authorization Status : état d'une licence donnée au sein de l'appareil.

• La page ESA/WSA/SMA n'affiche pas la date d'expiration réelle avec la page Smart Licenses.
• Emplacement: WebUI > Administration système > Licences.
• Emplacement: CLI > license_smart > summary.

L'état d'une fonction spécifique apparaît avec l'une des valeurs suivantes :

• Éval :
  • Le service SL a été activé sur un nouvel ESA/SMA (matériel) sans enregistrement de jeton
  • Le service SL a été activé sur une appliance avec CL existante installée
• Expiration de l'intervalle : le niveau de service d'évaluation de 90 jours a expiré et l'appliance a passé à la période de grâce supplémentaire de 30 jours
• Conformité : l'appliance a été enregistrée avec un jeton et la fonctionnalité consomme actuellement une licence valide
• Hors conformité (Période de grâce) peut être observé dans 2 scénarios
  
  • Une demande en un clic pour une licence de fonction temporaire de 30 jours est utilisée
  • Une licence a expiré sur l'appliance et la période de grâce de 30 jours a commencé
• Non conforme (expiré) : Terminaison expirée et le service associé cesse de fonctionner

Administration système > Licences

Note: Les pages WebUI Smart Licensing contiennent de nombreux boutons d'informations sous la forme d'un ? pour aider à définir des valeurs.

Comment afficher l'expiration de la licence

Comment puis-je voir la date d'expiration réelle ?

Les dates d'expiration des licences peuvent être affichées dans le site de gestion des logiciels intelligents CSSM.

• Accédez à : Inventaire > Compte virtuel > Recensements > Cliquez sur un nom de licence pour ouvrir la fenêtre contextuelle.
• L'onglet Vue d'ensemble affiche le nombre de licences, la date d'achat et la date d'expiration.
• L'onglet Historique des transactions affiche chaque achat/expiration par transaction.

CSSM : Afficher l'expiration de la licence.

Services de journalisation pour licences Smart

Les activités du journal ESA/SMA/WSA liées aux licences Smart dans les journaux « smartlicense ».  Les journaux sont visibles à partir de l'interface de ligne de commande. Les journaux peuvent également être téléchargés sur un ordinateur local pour analyse.

       

Le résultat suivant est un exemple de l'action d'enregistrement des journaux « smartlicense » :

Mon Jan 28 08:40:57 2019 Info: The administrator has requested to register the product with Smart Software Manager.
Mon Jan 28 08:41:07 2019 Info: Smart License: NotifyExportControlled notification has been ignored
Mon Jan 28 08:41:12 2019 Info: The product is registered successfully with Smart Software Manager.
Mon Jan 28 08:41:17 2019 Info: Smart License: Moved out of evaluation mode
Mon Jan 28 08:41:17 2019 Info: Renew authorization of the product with Smart Software Manager is successful.
Mon Jan 28 08:42:18 2019 Info: Email Security Appliance Anti-Spam License license has been moved to In Compliance successfully.
Mon Jan 28 08:42:23 2019 Info: Email Security Appliance Outbreak Filters license has been moved to In Compliance successfully.
Mon Jan 28 08:42:28 2019 Warning: Email Security Appliance Graymail Safe-unsubscribe license has been moved to Out of Complaince successfully.
Mon Jan 28 08:42:33 2019 Warning: Email Security Appliance Cloudmark Anti-Spam license has been moved to Out of Complaince successfully.
Mon Jan 28 08:42:44 2019 Warning: The Mail Handling is in Out of Compliance (OOC) state. You have 4 days remaining in your grace period.
Mon Jan 28 08:42:48 2019 Info: Email Security Appliance Sophos Anti-Malware license has been moved to In Compliance successfully.
Mon Jan 28 08:42:53 2019 Warning: Email Security Appliance PXE Encryption license has been moved to Out of Complaince successfully.
Mon Jan 28 08:42:59 2019 Warning: Email Security Appliance Data Loss Prevention license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:04 2019 Warning: Email Security Appliance Advanced Malware Protection license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:09 2019 Warning: Email Security Appliance McAfee Anti-Malware license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:14 2019 Warning: Email Security Appliance Intelligent Multi-Scan license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:15 2019 Warning: The Email Security Appliance Intelligent Multi-Scan is in Out of Compliance (OOC) state. You have 4 days remaining in your grace period.
Mon Jan 28 08:43:19 2019 Info: Email Security Appliance External Threat Feeds license has been moved to In Compliance successfully.
Mon Jan 28 08:43:24 2019 Info: Email Security Appliance Bounce Verification license has been moved to In Compliance successfully.
Mon Jan 28 08:43:29 2019 Info: Email Security Appliance Image Analyzer license has been moved to In Compliance successfully.
Mon Jan 28 10:18:56 2019 Info: Renew authorization of the product with Smart Software Manager is successful.

     

Exemple avec une interprétation des valeurs :

Cet exemple montre :

• La période d'évaluation a cessé de compter depuis l'enregistrement de l'hôte.
• L'hôte a été enregistré à l'aide du compte Smart : InternalTestDemo111.cisco.com.
• L'ESA est associé au compte virtuel : ESA_EMEA.
• Clés dans l'état « Hors conformité 18 jours. »
  • Les clés ont expiré et incrémentent le délai de grâce de 30 jours.
  • Clés de l'état « Défaut de conformité expiré. »
    • Les clés ont expiré et épuisé le délai de grâce de 30 jours. La fonction est désactivée.

Smart Licensing is : Enabled

Evaluation Period: Not In Use
Evaluation Period Remaining: 81 days 7 hours 32 minutes
Registration Status: Registered ( 30 Oct 2018 07:57 ) Registration Expires on:  ( 04 Dec 2019 16:11 )
Smart Account : InternalTestDemo111.cisco.com
Virtual Account : ESA_EMEA
Last Registration Renewal Attempt Status : SUCCEEDED on 04 Dec 2018 16:16
License Authorization Status: Out Of Compliance ( 30 Oct 2018 07:57 ) Authorization Expires on:  ( 05 Mar 2019 03:29 )
Last Authorization Renewal Attempt Status: SUCCEEDED on 05 Dec 2018 03:34
Product Instance Name: beta.ironport.com
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)


beta.ironport.com (SERVICE)> license_smart


Choose the operation you want to perform:
- URL - Set the Smart Transport URL.
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- DEREGISTER - Deregister the product from Smart Licensing.
- REREGISTER - Reregister the product for Smart Licensing.
- RENEW_AUTH - Renew authorization of Smart Licenses in use.
- RENEW_ID - Renew registration with Smart Licensing.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
[]> summary

Feature Name                                                        License Authorization Status      Grace Period
-----------------------------------------------------------------------------------------------------------------------------
Email Security Appliance Anti-Spam License                             In Compliance                     N/A
Email Security Appliance Outbreak Filters                              Out Of Compliance                 18 days
Email Security Appliance Graymail Safe-unsubscribe                     Out Of Compliance                 Expired
Email Security Appliance Cloudmark Anti-Spam                           Out Of Compliance                 Expired
Email Security Appliance Advanced Malware Protection Reputation        Out Of Compliance                 Expired
Mail Handling                                                          In Compliance                     N/A
Email Security Appliance Sophos Anti-Malware                           In Compliance                     N/A
Email Security Appliance PXE Encryption                                Out Of Compliance                 Expired
Email Security Appliance Data Loss Prevention                          Out Of Compliance                 Expired
Email Security Appliance Advanced Malware Protection                   Out Of Compliance                 Expired
Email Security Appliance McAfee Anti-Malware                           Out Of Compliance                 Expired
Email Security Appliance Intelligent Multi-Scan                        Out Of Compliance                 17 days
Email Security Appliance External Threat Feeds                         Out Of Compliance                 17 days
Email Security Appliance Bounce Verification                           Out Of Compliance                 17 days
Email Security Appliance Image Analyzer                                Out Of Compliance                 21 days

Informations connexes

• Guides d'utilisation ESA
• Notes de version ESA
• Guides de référence de l'interface CLI ESA
• Présentation des licences Smart Software Cisco WebPage

• Page Cisco Smart Accounts

• Page Smart Software Manager Cisco

• Cisco Smart Software Manager (CSSM)