Webポリシーからルールベースのポリシーへの包括的な変更

はじめに

このドキュメントでは、Cisco UmbrellaでのWebポリシーからルールベースのポリシーへの変更について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco Umbrellaセキュアインターネットゲートウェイ(SIG)に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

概要

2021年3月31日から、Umbrella Secure Internet Gateway(SIG)のお客様は「ルールベースポリシー」と呼ばれる新機能を一般に利用できるようになりました。Webポリシーは、現在のポリシーモデルからルールモデルに移行されました。古いWebポリシーでは、1つ以上の宛先を表すポリシーコンポーネントに対して、許可/ブロックの宛先リスト、アプリケーション設定、およびコンテンツカテゴリなどの静的な操作順序が使用されていました。static 操作の順序は次のとおりです。

1. 宛先リストを許可する  

2. アプリケーション設定の許可  

3. セキュリティカテゴリブロック  

4. ブロック宛先リスト  

5. ブロックアプリケーションの設定  

6. コンテンツ分類ブロック 

ポリシーモデルのもう1つの制限は、ポリシーに関連付けられたすべてのIDがポリシーを受け取ることです。 そのため、1人のユーザまたはIDのグループがWebポリシーの変更を必要とする場合は、そのユーザ用に新しいWebポリシーを作成する必要があります。

ただし、新しいルールモデルでは、完全な制御は管理者が行います。大きなIDのグループに影響を与える一部のルールが作成されましたが、他のルールは単一のIDまたは小さなIDのグループに適用され、これらのIDを別のポリシーに移動する必要がありません。また、ルールを並べ替えるだけで、管理者が操作の順序を簡単に制御できます。 

ルールと古いポリシーモデルの比較

新しいルールでは、古いモデルでは実行できない次のアクションをエンドユーザが実行できます。

• 「許可」操作の実行後にセキュリティを上書きする
• ルール適用の時刻と曜日のスケジュール
• コンテンツカテゴリに対して「警告」アクションを実行する
• ルールのセットIDによって宛先へのホスト要求を「分離」する仮想ブラウザを作成します。

スクリーンショット_2021-05-05_at_3.51.38_PM.png

詳細については、Umbrellaのセットアップドキュメント「Manage the Web Policy」を参照してください。

移行アクション

ルールの処理を容易にするために、新しいルール言語をUmbrellaで作成する必要があり、これにより、これらのルールを保存するための新しいデータベースが作成されました。移行には2つのステップがありました。 

1. 既存のポリシーコンポーネントが、Webポリシーで使用される古いデータベースから、ルールで使用される新しいデータベースにコピーされました。これらのコンポーネントは、ルールがアクションを実行できるため、許可やブロックなどのアクションが取り除かれています。したがって、ポリシーコンポーネントはアクションに依存しなくなります。ただし、コピーされたコンポーネントの名前には「許可」または「ブロック」のラベルが継承され、コンテキストに対する古いシステムでの目的が示されます。アプリケーション設定は、許可アクションとブロックアクションの両方を含む固有の設定であるため、特殊なケースでした。両方のアクションを含むアプリケーション設定コンポーネントは、許可されたアプリケーション用とブロックされたアプリケーション用の2つに分割されました。移行されたWebポリシーごとに最大5つのルールが作成されました。Webポリシーにすべてのタイプのポリシーコンポーネントが設定されていない場合、そのWebポリシー用に設定されたコンポーネントだけが移行され、自動生成されるルールの数が少なくなります。次のスクリーンショットは、5つのルールすべてが自動生成されて移行されたWebポリシーの例です。

2. バックエンドが完全に移行されたら、新しいUIが有効になりました。新しいUIが有効になるまでは、ダッシュボードにログインしているユーザは古いUIを表示して操作できることに注意してください。 

• この未完了の段階でWebポリシーに加えられた変更は、新しいUIが有効にされたときに保存されました。

遷移タイミング

移行が発生し、カスタマーサクセス担当者またはUmbrellaのメッセージングシステムによってダッシュボードにリレーされた日付と期間が提示されました。自動生成されたルールが、以前のすべてのWebポリシーに設定されたポリシーコンポーネントの優先順位に従って実行されました。新しいUIが有効になると、カットオーバーはシームレスに行われ、自動生成されたルールは従来のWebポリシーと同じアクションと優先度を反映したため、動作がWebポリシーからルールセットに移行することはありませんでした。この移行期間中、Webポリシーの適用にダウンタイムはありませんでした。

2021年3月31日以降の変更

移行中に、Webポリシーに加えられた変更はすべて、新しいルールセットにキャプチャされました。これは、既存のポリシーコンポーネントを古いデータベースから新しいデータベースにコピーするためです。コピーが完了すると、新しいUIの有効化に遅延が発生しました。新しいUIが有効になるまで、Webポリシーはアクティブであり、これらのWebポリシーに対する変更は古いデータベースに書き込まれ、ルールに変換されません。

テクニカル サポート

カスタマーサクセスマネージャ、テクニカルアカウントマネージャ、またはサービスデリバリマネージャと連携している場合は、質問に回答できます。技術的な問題はCisco Umbrellaサポートに報告してください。