Introduction
Ce document décrit le passage des politiques Web aux politiques basées sur des règles dans Cisco Umbrella.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur Cisco Umbrella Secure Internet Gateway (SIG).
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Aperçu
À compter du 31 mars 2021, une nouvelle fonctionnalité appelée « Politique basée sur des règles » a été mise à la disposition générale des clients de la passerelle Internet sécurisée (SIG) Umbrella. Les stratégies Web ont été transférées de leur modèle de stratégie actuel vers un modèle de règle. Les anciennes stratégies Web utilisaient un ordre statique d'opérations pour les composants de stratégie qui représentent une ou plusieurs destinations car les composants incluent les listes de destinations d'autorisation/blocage, les paramètres d'application et les catégories de contenu. L'ordre statique des opérations était le suivant :
1. Autoriser les listes de destinations
2. Autoriser les paramètres d'application
3. Blocs de catégorie de sécurité
4. Bloquer les listes de destinations
5. Bloquer les paramètres d'application
6. Blocs de catégorie de contenu
Une autre restriction du modèle de stratégie était que toutes les identités associées à la stratégie recevraient la stratégie. Par conséquent, si un seul utilisateur ou groupe d'identités doit être modifié dans sa stratégie Web, une nouvelle stratégie Web doit être créée pour eux.
Cependant, le nouveau modèle de règle place le contrôle total entre les mains de l'administrateur. Certaines règles ont été créées pour affecter un grand groupe d'identités, tandis que d'autres s'appliquent à une seule identité ou à des groupes plus petits d'identités, sans qu'il soit nécessaire de déplacer ces identités vers une stratégie distincte. En outre, l'administrateur peut facilement contrôler l'ordre des opérations en réordonnant simplement les règles.
Comparaison des règles avec l'ancien modèle de stratégie
Les nouvelles règles permettent aux utilisateurs finaux d'effectuer ces actions alors que l'ancien modèle ne peut pas :
- Remplacer la sécurité après l'exécution d'une action Autoriser
- Horaires Heure et Jour de la semaine pour l'application de la règle
- Exécuter une action « Avertir » pour les catégories de contenu
- Créez un navigateur virtuel qui « isole » les requêtes des hôtes vers les destinations en fonction des identités définies par la règle
Capture d'écran_2021-05-05_at_3.51.38_PM.png
Pour plus d'informations, veuillez lire la documentation de configuration d'Umbrella : Gérer la stratégie Web
Actions de transition
Un nouveau langage de règles a dû être créé dans Umbrella pour faciliter le traitement des règles, et avec cela une nouvelle base de données a été créée pour stocker ces règles. La transition s'est déroulée en deux étapes :
1. Les composants de stratégie existants ont été copiés de l'ancienne base de données utilisée par les stratégies Web vers la nouvelle base de données utilisée par les règles. Ces composants ont été retirés de toute action (comme autoriser ou bloquer) car les règles peuvent transmettre l'action. Ainsi, les composantes politiques sont devenues agnostiques en termes d'action. Cependant, les composants copiés ont hérité d'une étiquette « autoriser » ou « bloquer » à leur nom pour désigner leur intention dans l'ancien système pour le contexte. Les paramètres d'application constituaient un cas particulier, car ils étaient uniques en ce sens qu'ils comportaient des actions d'autorisation et de blocage. Tous les composants de paramètres d'application qui exécutaient les deux actions ont été divisés en deux : une pour les applications autorisées et une pour les applications bloquées. Jusqu'à 5 règles ont été créées pour chaque stratégie Web en transition. Si tous les types de composants de stratégie n'étaient pas configurés pour une stratégie Web, seuls les composants configurés pour cette stratégie Web qui ont été transférés ont été transférés, ce qui réduit le nombre de règles générées automatiquement. Cette capture d'écran est un exemple de stratégie Web qui a été transférée avec les 5 règles générées automatiquement :

2. Une fois que le back-end a été entièrement transféré, la nouvelle interface utilisateur a été activée. Notez que jusqu'à ce que la nouvelle interface utilisateur soit activée, toute personne se connectant au tableau de bord a toujours vu et a pu interagir avec l'ancienne interface utilisateur.
- Toutes les modifications apportées aux stratégies Web à cette étape incomplète ont été enregistrées lorsque la nouvelle interface utilisateur a été activée.
Moment De La Transition
Une date et un délai vous ont été fournis pour la transition et ont été relayés par votre représentant Customer Success et/ou le système de messagerie d'Umbrella dans votre tableau de bord. Une règle générée automatiquement a pris la place et l'ordre de priorité de chaque composant de stratégie configuré pour toutes les stratégies Web précédentes. Une fois la nouvelle interface utilisateur activée, le basculement était transparent et, puisque les règles générées automatiquement reflétaient la même action et la même priorité des stratégies Web héritées, il n'y avait aucun changement de comportement lors de la transition des stratégies Web vers les ensembles de règles. Il n'y a pas eu de temps d'arrêt pour les applications de stratégie Web pendant cette transition.
Changements après le 31 mars 2021
Au cours de la transition, toutes les modifications apportées à vos stratégies Web ont été capturées dans les nouveaux ensembles de règles. Cela est dû à la copie des composants de stratégie existants de l'ancienne base de données vers la nouvelle. Une fois la copie terminée, l'activation de la nouvelle interface utilisateur a été retardée. Tant que la nouvelle interface utilisateur n'était pas activée, les stratégies Web étaient actives et toute modification apportée à ces stratégies Web était écrite dans l'ancienne base de données et non convertie en règles.
Assistance technique
Si vous travaillez avec un responsable de la réussite des clients, un responsable de compte technique ou un responsable de la prestation de services, ils peuvent répondre aux questions.Signalez les problèmes techniques à l'assistance Cisco Umbrella.