Présentation des licences Smart et des meilleures pratiques en matière de sécurisation de la messagerie et du web

Introduction

Ce document décrit le processus d'activation, les définitions et la façon de dépanner le service de licences Smart sur ESA/SMA/WSA.

Conditions préalables

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• ESA (Email Security Appliance) AsyncOS version 12.0 et ultérieure.
• Appliance de gestion de la sécurité (SMA) AsyncOS version 12.0 et ultérieure.
• Appareil de sécurité Web (WSA) AsyncOS Version 11.7 et ultérieure.

Remarque : l'activation de la fonction de licence Smart sur ESA/SMA/WSA est permanente et ne permet pas de rétablir une appliance en mode de licence classique.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Les licences Smart permettent de :

• Gérez toutes vos licences de produit depuis un emplacement centralisé
• Normalise le processus entre ESA/SMA/WSA physique et virtuel, en utilisant une seule méthode pour appliquer et gérer les licences
• Appliquer facilement une licence à votre ESA/SMA/WSA
• Recevoir des alertes relatives à l'expiration de la licence
• Le modèle matériel ESA/SMA/WSA prêt à l'emploi dispose d'une période d'évaluation de 90 jours pour tous les services

Résumé de la rubrique mondiale sur les licences Smart de Cisco

Bien que l'objectif principal de cet article soit de configurer les services de licences Smart sur ESA/SMA/WSA, des liens sont inclus pour fournir une orientation générale sur le sujet.

Pour enregistrer l'hôte ESA/SMA/WSA avec une licence Smart, le propriétaire de l'appliance doit d'abord posséder un compte Smart.

• Les comptes Smart sont attribués un par domaine.
• L'administrateur du compte Smart peut créer des comptes virtuels de sous-niveau qui permettent la séparation des ressources.
• Les comptes virtuels peuvent être utilisés pour restreindre l'accès à différentes licences de produit Cisco, en fonction de vos besoins.
• Accédez à Cisco Smart Software Manager (CSSM) pour gérer les licences et télécharger les jetons.

Les liens fournis par Cisco incluent des vidéos, des guides et des explications sur les licences Smart :

• Créer un nouveau compte Smart ou Demander à ajouter un utilisateur à un compte existant
• Présentation des licences logicielles Smart Page Web Cisco
• Guide de déploiement des licences Smart

• Page Cisco Smart Accounts Cisco

• Page Cisco Smart Software Manager

• Cisco Smart Software Manager (CSSM)

Prêt à l'emploi

• Tous les modèles matériels ESA/SMA/WSA achetés incluent des licences d'évaluation de 90 jours pour toutes les fonctionnalités.
• Tous les modèles matériels qui migrent avec les licences classiques (CL) actuelles reçoivent des licences d'évaluation de 90 jours.
• Tous les modèles ESA/SMA/WSA virtuels nécessitent un fichier de licence virtuelle de base (.xml) chargé sur l'appliance pour établir une liaison avec le serveur de mise à niveau/mise à jour.
• Tous les modèles ESA/SMA/WSA virtuels, lorsqu'ils sont créés, n'incluent PAS de licences de 90 jours et nécessitent un enregistrement par le VLAN de licence classique (.xml).
• Tous les modèles ESA/SMA/WSA virtuels qui migrent avec les licences classiques (CL) actuelles incluent des licences d'évaluation de 90 jours.

Exigences de communication

• Communication réseau ou proxy smartreceiver.cisco.com sur le port TCP 443.

Description de l'outil CSSM et des onglets

Illustration de base des onglets CSSM :

• Onglet Général
  
  • Emplacement de génération du jeton (le jeton est basé sur le temps et peut être utilisé pour enregistrer plusieurs ESA/SMA/WSA).
  • Assurez-vous que Virtual Account a été sélectionné car un utilisateur peut avoir plusieurs comptes virtuels.
  • Nouveau jeton, ouvre un modèle à compléter et génère un Token dans la table.
  • Les actions peuvent être exécutées à plusieurs reprises, selon les besoins, et affiche les options pour ; Copy, Download,et Revoke le jeton.

Onglet Général de CSSM

• Onglet Licences
  • L'emplacement où vérifier et confirmer la présence et la disponibilité des licences.
  • Les License répertorie les noms des services ou des offres groupées achetés.
  • Les Purchased répertorie la présence de clés utilisables.
  • Les Alerts affiche les messages importants relatifs à une licence spécifique.

Onglet Licence CSSM

•  Onglet Instances de produit
  
  • Affiche les noms, les modèles, la dernière communication et les alertes de chaque appliance.

Onglet Instances de produit CSSM

Générer un jeton à partir de CSSM

• Lancez la page Web CSSM.
  • Cisco Smart Software Manager (CSSM)
•  Haut de la page, sélectionnez Inventory.
  • Une fois chargé, sélectionnez le Virtual Account dans la partie supérieure gauche de la page
  • Une grande entreprise peut disposer de plusieurs comptes virtuels affectés à un seul compte Smart, ce qui nécessite de sélectionner le compte virtuel approprié associé aux licences ESA/SMA/WSA
  • Onglets : General, Licenses, Product Instances, et Event Log
• Générez un jeton à partir du CSSM.
  • Sélectionnez le General tabulation
  • Sous le titre Product Instance Registration Tokens, sélectionnez l'option New Token bouton
  • Une fenêtre s'affiche pour terminer l' Description et Expire After valeurs
  • Créer un jeton
  • Revenir à la page General , sélectionnez l'option Actions pour copier ou télécharger le jeton.

SAMPLE TOKEN FILE
Token:           M2UyYmIxYTktNzJmMy00ZxxxxxxxxxxxxxxxxxxxxZjVhMDMwLTE1NDE3Mzcx%0ANDU2ODR8RlluSVI5NmxCUS92SnVzUjUvcVViV0ZyVVFrcHBxNVh2TVdNa1My%0AeGJYMD0%3D%0A
Virtual Account:   ESA
Smart Account:      InternalTestDemoAccount.MY_DOMAIN.com
Token Description: SMA_token
Export-Controlled Functionality:  Allowed
Created by User:   my_CCOID
Contact Email:       ADMIN@MY_DOMAIN.com
Expiry Date:       2018-Nov-09 04:19:05 (in 18 days)

* Note: this token file was downloaded on October 22nd 2018
* Note: copy entire token string to use for product instance registration

Activer la fonction de licence Smart sur ESA/SMA/WSA

• Activation de l'interface utilisateur Web :
  
  • Parcourir jusqu'à System Administration > Smart Software Licensing.
  • Sélectionner Enable Smart Software Licensing.
  • Les options répertoriées permettent de demander des clés de fonction :
    • Option 1 : utiliser un jeton pour enregistrer et demander les fonctionnalités requises
    • Option 2 : s'inscrire sans jeton et bénéficier d'une période d'évaluation de 90 jours
  • Sélectionner OK.
  • Valider les modifications.
• Activation CLI :
  
  • Exécutez la commande suivante : license_smart > Enable > Y.
  • Les options 1 et 2 sont répertoriées de la même manière que la description précédente de l'interface utilisateur.
  • Sélectionner OK.
  • Valider.

Enregistrer le ESA/SMA/WSA sur un compte Smart avec le jeton

• Naviguez jusqu'à System Administration > Smart Software Licensing.
• Sélectionnez le Register pour ouvrir la page d'inscription contextuelle.
• Collez le jeton copié dans l'espace prévu à l'étape 4.
• Sélectionner Register pour terminer les étapes (la fenêtre contextuelle se ferme).
• Actualisez le Smart Software Licensing après 30 secondes pour afficher le nouvel état.
• Une fois terminé, le Registration Status affiche le mot Registered, ainsi que les dates d'expiration de l'enregistrement.

Enregistrement des licences logicielles SmartPage contextuelle Inscription.Confirmation d'inscription.

Actions

Des tâches supplémentaires peuvent être effectuées à partir de la licence Smart Actions menu déroulant.

• Renouveler l'autorisation
  • Effectuez cette tâche pour renouveler manuellement l'état d'autorisation de licence pour toutes les licences répertoriées sous le type de licence.

Remarque : l'autorisation de licence est renouvelée automatiquement tous les 30 jours. L'état d'autorisation de licence expire au bout de 90 jours si ESA/SMA/WSA ne communique pas avec le CSSM.

• Renouveler l'inscription
  • Effectuez cette action pour renouveler manuellement l'inscription.

Remarque : l'enregistrement initial est valide pendant un an. Le renouvellement de l'enregistrement est effectué automatiquement tous les six mois, si l'appliance est connectée au CSSM.

• Désenregistre
  • Déconnecte le module ESA/SMA/WSA du module CSSM.
  • Le système passe en mode Évaluation.
  • Les licences utilisées par ESA/SMA/WSA sont libérées et créditées sur le compte Smart pour être réutilisées.

• Ré-enregistrement
  • Réenregistrez l'ESA/SMA/WSA auprès du CSSM.

Remarque : le réenregistrement peut être utilisé pour effectuer la migration entre plusieurs comptes virtuels d'une organisation.

Définitions relatives à la licence Smart

Types de licence :

• Licence classique (CL) : CL fait référence aux méthodes traditionnelles utilisées pour les licences matérielles et virtuelles.
• Licence Smart (SL) : SL fait référence à la licence Smart.

License Authorization Status : état d'une licence donnée au sein de l'appliance.

• ESA/WSA/SMA n'affiche pas la date d'expiration réelle sur la page des licences Smart.
• Emplacement: Web UI > System Administration > Licenses.
• Emplacement: CLI > license_smart > summary.

L'état d'une fonction spécifique apparaît avec l'une des valeurs suivantes :

• Eval :
  • Le service SL a été activé sur un nouveau ESA/SMA (matériel) sans enregistrement de jeton
  • Le service SL a été activé sur un appareil sur lequel CL est actuellement installé
• Expiration de l'évaluation : le délai d'évaluation SL de 90 jours a expiré et l'appliance est passée au délai de grâce supplémentaire de 30 jours
• En conformité : l'appliance a été enregistrée avec un jeton et la fonctionnalité utilise actuellement une licence valide
• La non-conformité (délai de grâce) peut être observée dans 2 scénarios :
  
  • Une demande de licence de fonction temporaire de 30 jours en un clic est en cours d'utilisation
  • Une licence a expiré sur l'appliance et le délai de grâce de 30 jours a commencé
• Non conforme (expiré) : licence totalement expirée et le service associé cesse de fonctionner

Licences" />Administration système > Licences

Remarque : les pages Web UI Smart Licensing contiennent de nombreux boutons d'information sous la forme d'un ? pour aider à définir des valeurs.

Affichage de l'expiration des licences

Comment puis-je voir la date d'expiration réelle ?

Les dates d'expiration des licences peuvent être consultées sur le site de gestion de logiciels intelligents CSSM.

• Naviguez jusqu’à l’adresse : Inventory > Virtual Account > Licenses >. Cliquez sur un nom de licence pour ouvrir la fenêtre contextuelle.
• Les Overview affiche le nombre actuel de licences, les dates d'achat et d'expiration.
• Les Transaction History affiche chaque achat/expiration par transaction.

CSSM : afficher l'expiration de la licence.

Services de journalisation pour les licences Smart

Les activités du journal ESA/SMA/WSA liées aux licences Smart pour smartlicense journaux. Les journaux sont consultables à partir de l'interface de ligne de commande. Les journaux peuvent également être téléchargés sur un ordinateur local à des fins de révision.

       

Le résultat affiché est un exemple de l'action d'enregistrement du smartlicense journaux :

Mon Jan 28 08:40:57 2019 Info: The administrator has requested to register the product with Smart Software Manager.
Mon Jan 28 08:41:07 2019 Info: Smart License: NotifyExportControlled notification has been ignored
Mon Jan 28 08:41:12 2019 Info: The product is registered successfully with Smart Software Manager.
Mon Jan 28 08:41:17 2019 Info: Smart License: Moved out of evaluation mode
Mon Jan 28 08:41:17 2019 Info: Renew authorization of the product with Smart Software Manager is successful.
Mon Jan 28 08:42:18 2019 Info: Email Security Appliance Anti-Spam License license has been moved to In Compliance successfully.
Mon Jan 28 08:42:23 2019 Info: Email Security Appliance Outbreak Filters license has been moved to In Compliance successfully.
Mon Jan 28 08:42:28 2019 Warning: Email Security Appliance Graymail Safe-unsubscribe license has been moved to Out of Complaince successfully.
Mon Jan 28 08:42:33 2019 Warning: Email Security Appliance Cloudmark Anti-Spam license has been moved to Out of Complaince successfully.
Mon Jan 28 08:42:44 2019 Warning: The Mail Handling is in Out of Compliance (OOC) state. You have 4 days remaining in your grace period.
Mon Jan 28 08:42:48 2019 Info: Email Security Appliance Sophos Anti-Malware license has been moved to In Compliance successfully.
Mon Jan 28 08:42:53 2019 Warning: Email Security Appliance PXE Encryption license has been moved to Out of Complaince successfully.
Mon Jan 28 08:42:59 2019 Warning: Email Security Appliance Data Loss Prevention license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:04 2019 Warning: Email Security Appliance Advanced Malware Protection license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:09 2019 Warning: Email Security Appliance McAfee Anti-Malware license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:14 2019 Warning: Email Security Appliance Intelligent Multi-Scan license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:15 2019 Warning: The Email Security Appliance Intelligent Multi-Scan is in Out of Compliance (OOC) state. You have 4 days remaining in your grace period.
Mon Jan 28 08:43:19 2019 Info: Email Security Appliance External Threat Feeds license has been moved to In Compliance successfully.
Mon Jan 28 08:43:24 2019 Info: Email Security Appliance Bounce Verification license has been moved to In Compliance successfully.
Mon Jan 28 08:43:29 2019 Info: Email Security Appliance Image Analyzer license has been moved to In Compliance successfully.
Mon Jan 28 10:18:56 2019 Info: Renew authorization of the product with Smart Software Manager is successful.

     

Exemple avec une interprétation des valeurs :

Cet exemple montre :

• La période d'évaluation a cessé de compter, car l'hôte a été enregistré.
• L'hôte a été enregistré avec un compte Smart : InternalTestDemo111.cisco.com.
• L'ESA est associé au compte virtuel : ESA_EMEA.
• Clés dans l'état Out of Compliance 18 days.
  • Les clés ont expiré et incrémente le délai de grâce de 30 jours.
  • Clés dans l'état Out of Compliance Expired.
    • Les clés ont expiré et épuisé le délai de grâce de 30 jours. La fonctionnalité est désactivée.

Smart Licensing is : Enabled

Evaluation Period: Not In Use
Evaluation Period Remaining: 81 days 7 hours 32 minutes
Registration Status: Registered ( 30 Oct 2018 07:57 ) Registration Expires on:  ( 04 Dec 2019 16:11 )
Smart Account : InternalTestDemo111.cisco.com
Virtual Account : ESA_EMEA
Last Registration Renewal Attempt Status : SUCCEEDED on 04 Dec 2018 16:16
License Authorization Status: Out Of Compliance ( 30 Oct 2018 07:57 ) Authorization Expires on:  ( 05 Mar 2019 03:29 )
Last Authorization Renewal Attempt Status: SUCCEEDED on 05 Dec 2018 03:34
Product Instance Name: beta.ironport.com
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)


beta.ironport.com (SERVICE)> license_smart


Choose the operation you want to perform:
- URL - Set the Smart Transport URL.
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- DEREGISTER - Deregister the product from Smart Licensing.
- REREGISTER - Reregister the product for Smart Licensing.
- RENEW_AUTH - Renew authorization of Smart Licenses in use.
- RENEW_ID - Renew registration with Smart Licensing.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
[]> summary

Feature Name                                                        License Authorization Status      Grace Period
-----------------------------------------------------------------------------------------------------------------------------
Email Security Appliance Anti-Spam License                             In Compliance                     N/A
Email Security Appliance Outbreak Filters                              Out Of Compliance                 18 days
Email Security Appliance Graymail Safe-unsubscribe                     Out Of Compliance                 Expired
Email Security Appliance Cloudmark Anti-Spam                           Out Of Compliance                 Expired
Email Security Appliance Advanced Malware Protection Reputation        Out Of Compliance                 Expired
Mail Handling                                                          In Compliance                     N/A
Email Security Appliance Sophos Anti-Malware                           In Compliance                     N/A
Email Security Appliance PXE Encryption                                Out Of Compliance                 Expired
Email Security Appliance Data Loss Prevention                          Out Of Compliance                 Expired
Email Security Appliance Advanced Malware Protection                   Out Of Compliance                 Expired
Email Security Appliance McAfee Anti-Malware                           Out Of Compliance                 Expired
Email Security Appliance Intelligent Multi-Scan                        Out Of Compliance                 17 days
Email Security Appliance External Threat Feeds                         Out Of Compliance                 17 days
Email Security Appliance Bounce Verification                           Out Of Compliance                 17 days
Email Security Appliance Image Analyzer                                Out Of Compliance                 21 days

Informations connexes

• Guides d'utilisation ESA
• Notes de version ESA
• Guides de référence CLI ESA