Introduzione
Questo documento descrive il passaggio dai criteri Web ai criteri basati su regole in Cisco Umbrella.
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Il riferimento delle informazioni contenute in questo documento è il SIG (Cisco Umbrella Secure Internet Gateway).
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Panoramica
A partire dal 31 marzo 2021, una nuova funzione chiamata "Policy basata su regole" è stata resa disponibile per i clienti SIG (Secure Internet Gateway) Umbrella. È stata eseguita la transizione dei criteri Web dal modello di criteri corrente a un modello di regole. I criteri Web precedenti utilizzavano un ordine statico di operazioni per i componenti dei criteri che rappresentano una o più destinazioni poiché i componenti includevano elenchi di destinazioni consentite/bloccate, impostazioni delle applicazioni e categorie di contenuto. L'ordine statico delle operazioni è il seguente:
1. Consenti elenchi di destinazione
2. Consenti impostazioni applicazione
3. Blocchi delle categorie di sicurezza
4. Blocca elenchi di destinazione
5. Blocca impostazioni applicazione
6. Blocchi delle categorie di contenuto
Un'altra restrizione del modello di criteri consisteva nel fatto che tutte le identità associate al criterio avrebbero ricevuto il criterio. Pertanto, se un singolo utente o gruppo di identità necessita di una modifica nel proprio criterio Web, è necessario creare un nuovo criterio Web per loro.
Tuttavia, il nuovo modello di regole consente all'amministratore di disporre del controllo completo. Sono state create alcune regole che interessano un ampio gruppo di identità, mentre altre regole si applicano a una singola identità o a gruppi di identità più piccoli senza la necessità di spostare queste identità in criteri separati. Inoltre, l'ordine delle operazioni è facilmente controllato dall'amministratore semplicemente riordinando le regole.
Confronto delle regole con il modello di criteri precedente
Le nuove regole consentono agli utenti finali di eseguire queste azioni mentre il vecchio modello non è in grado di:
- Sostituisci protezione dopo l'esecuzione di un'azione "Consenti"
- Pianificazioni per l'ora del giorno e il giorno della settimana per l'applicazione della regola
- Eseguire un'azione "Avvisa" per le categorie di contenuto
- Creare un browser virtuale che "isoli" le richieste degli host alle destinazioni in base alle identità impostate della regola
Screen_Shot_2021-05-05_at_3.51.38_PM.png
Per ulteriori informazioni, consultare la documentazione relativa alla configurazione di Umbrella: Gestire i criteri Web
Azioni di transizione
In Umbrella è stato creato un nuovo linguaggio delle regole per facilitare l'elaborazione delle regole, e con questo è stato creato un nuovo database per memorizzare queste regole. La transizione ha avuto due fasi:
1. I componenti dei criteri esistenti sono stati copiati dal vecchio database utilizzato dai criteri Web nel nuovo database utilizzato dalle regole. Questi componenti sono stati eliminati da qualsiasi azione (come Consenti o Blocca) poiché le regole possono trasportare l'azione. Pertanto, le componenti delle politiche sono diventate indipendenti dall'azione. Tuttavia, i componenti copiati hanno ereditato un'etichetta "consenti" o "blocco" al loro nome per indicare la loro intenzione nel vecchio sistema per il contesto. Le impostazioni dell'applicazione rappresentavano un caso speciale in quanto erano univoche in quanto contenevano sia azioni di tipo Consenti che azioni di tipo Blocca. I componenti delle impostazioni dell'applicazione che eseguivano entrambe le azioni sono stati suddivisi in due parti: uno per le app consentite e uno per le app bloccate. Sono state create fino a 5 regole per ogni criterio Web di transizione. Se per un criterio Web non sono stati configurati tutti i tipi di componenti, solo i componenti configurati per il criterio Web di cui è stata eseguita la transizione determineranno un numero inferiore di regole generate automaticamente. Questa schermata è un esempio di un criterio Web che è stato sottoposto a transizione con tutte e 5 le regole generate automaticamente:

2. Una volta completata la transizione del back-end, la nuova interfaccia utente è stata abilitata. Si noti che, fino a quando la nuova interfaccia utente non viene abilitata, chiunque acceda al dashboard è ancora in grado di interagire con la vecchia interfaccia utente.
- Tutte le modifiche apportate ai criteri Web in questa fase incompleta sono state salvate quando è stata abilitata la nuova interfaccia utente.
Intervallo di transizione
La data e l'intervallo di tempo in cui si è verificata la transizione sono stati comunicati dal rappresentante per il successo dei clienti e/o dal sistema di messaggistica di Umbrella nel dashboard. Una regola generata automaticamente ha preso il posto e l'ordine di priorità di ogni componente dei criteri configurato per tutti i criteri Web precedenti. Una volta abilitata la nuova interfaccia utente, il passaggio è stato senza interruzioni e, poiché le regole generate automaticamente riflettevano la stessa azione e la stessa priorità dei criteri Web legacy, non vi è stato alcun cambiamento nel comportamento della transizione dai criteri Web ai set di regole. Non c'è stato tempo di inattività per l'applicazione dei criteri Web durante questa transizione.
Modifiche dopo il 31 marzo 2021
Durante la transizione, tutte le modifiche apportate ai criteri Web sono state acquisite nei nuovi set di regole. Ciò è dovuto alla copia dei componenti dei criteri esistenti dal vecchio database al nuovo database. Al termine della copia, si è verificato un ritardo nell'attivazione della nuova interfaccia utente. Fino a quando la nuova interfaccia utente non è stata attivata, i criteri Web erano attivi e qualsiasi modifica apportata a tali criteri Web veniva scritta nel vecchio database e non convertita in regole.
Supporto tecnico
Se state lavorando con un Customer Success Manager, un Technical Account Manager o un Service Delivery Manager, possono rispondere alle domande.Segnalare i problemi tecnici al supporto Cisco Umbrella.