Cisco Secure Workload の開始

現代のネットワークには、ベアメタル、仮想化、クラウドベース、およびコンテナベースのワークロードを使用し、ハイブリッドなマルチクラウド環境で実行されるアプリケーションが含まれています。このような環境における重要な課題は、俊敏性を損なうことなくアプリケーションとデータのセキュリティを向上させることです。Cisco Secure Workload は、アプリケーションにふさわしいセキュリティを提供し、アプリケーションの動作に基づいてセキュリティ態勢を調整することで、包括的なワークロード保護を実現します。Secure Workload は、高度な機械学習および行動分析技術を使用してこの調整を達成します。次のセキュリティユースケースをサポートする、すぐに使用できるソリューションが用意されています。

  • ビジネス目的で必要なトラフィックのみを許可するマイクロセグメンテーション ポリシーにより、ゼロトラストモデルを実装する。

  • 行動的ベースラインおよび分析を使用して、ワークロードの異常を特定する。

  • サーバーにインストールされたソフトウェアパッケージの Common Vulnerabilities and Exposures を検出する。

  • ポリシーを適用して通信をブロッキングした後も脆弱性が残る場合に、サーバーの隔離を推奨する。

Secure Workload のワークロードと IP アドレス

Cisco Secure Workload では、ワークロードは、エージェントワークロード(ホストまたはワークロードにインストールされたソフトウェアエージェント)またはエージェントレス クラウド ワークロード(Azure、AWS、GCP などのクラウドコネクタ)になります。IP アドレスは、エージェントワークロードまたはエージェントレス クラウド ワークロードに関連付けられていない IP を指します。


注目

最近の GUI の更新により、ユーザーガイドで使用されているイメージやスクリーンショットの一部に、製品の現在の設計が完全に反映されていない可能性があります。最も正確に視覚的に参照するには、このガイドを最新バージョンのソフトウェアと組み合わせて使用することを推奨します。

(注)  

お使いの製品のエンドユーザーライセンス契約および補足エンドユーザーライセンス契約を表示するには、「エンドユーザーライセンス 契約」および「補足エンドユーザーライセンス契約」を参照してください。

ウィザードのツアー

Secure Workload へようこそ。ラベルの割り当てとワークロードのグループ化は、Secure Workload の機能に不可欠です。Secure Workload では、オンボーディングは使いやすいガイド付きアプローチで、環境内でアプリケーションを安全にセットアップして展開するのに役立ちます。ネットワークをセグメント化することで、ビジネスに必要なトラフィックのみを許可し、他のすべての通信をブロックすることができます。

開始するには、ナビゲーションメニューで [概要(Overview)] を選択して、[クイックスタート(Quick Start)] ウィザードに移動します。ウィザードでは通常、Secure Workload でネットワーク上のトラフィックを制御するセグメンテーションポリシーの作成を開始するための準備をし、それぞれが特定のセキュリティ側面に焦点を当てた一連のステップを提示し、ユーザーが情報に基づいて選択を行い、ワークロードを安全に設定できるようにします。

次のユーザーロールがこのウィザードにアクセスできます。

  • サイト管理者:ユーザー、エージェントなどを管理する機能を提供します。サイト管理者は、すべての機能とデータを表示および編集できます。少なくとも 1 人のサイト管理者が必要です。

  • カスタマーサポート:クラスタメンテナンス機能へのアクセスを提供します。サイト管理者と同じアクセス権が付与されますが、ユーザーは変更できません。通常は、テクニカルサポートまたはアドバンスドサービスのロールです。

  • 範囲所有者:ワークロードの範囲を管理および定義し、ポリシーの遵守を確認し、指定された範囲内でワークロードセキュリティを監視します。

各ロールと責任の詳細については、Cisco Secure Workload ユーザーガイド [英語] を参照してください。

ソフトウェアエージェントのインストール

Cisco Secure Workload は、仮想マシン、ベアメタルサーバー、コンテナ、Windows サーバー、Windows デスクトップ、Linux サーバー、Kubernetes、AIX、Solaris システムなど、さまざまな環境におけるさまざまなタイプのソフトウェアエージェントをサポートしています。これらのエージェントは、優れた可視性と適用機能を提供します。エージェントインストーラは Cisco Secure Workload から直接ダウンロードでき、インストール、アップグレード、およびモニタリング機能をサポートしています。詳細については、『Cisco Secure Workload ドキュメント』を参照してください。

アプリケーションのワークロードにソフトウェアエージェントをインストールできます。ソフトウェアエージェントによって、ネットワーク インターフェイスや、ホストシステムで実行されているアクティブなプロセスに関する情報を収集します。

ソフトウェアエージェントをインストールするには、次の 2 つの方法があります。

  • エージェント スクリプト インストーラ:この方法を使用して、ソフトウェアエージェントのインストール時に、インストール、追跡、および問題のトラブルシューティングを実行します。サポートされているプラットフォームは、Linux、Windows、Kubernetes、AIX、および Solaris です。

  • エージェント イメージ インストーラ:ソフトウェアエージェントのイメージをダウンロードして、プラットフォームに固有のバージョンとソフトウェアエージェントのタイプをインストールします。Linux および Windows プラットフォームがサポートされています。

オンボーディングウィザードでは、選択したインストーラ方式に基づいてエージェントをインストールするプロセスを、順を追って説明します。ソフトウェアエージェントのインストールの詳細については、Cisco Secure Workload UI の手順および『Secure Workload User Guide』を参照してください。

ワークロードのグループとラベル

組織がワークロードのグループにラベルを割り当てて、範囲を作成します。階層型範囲ツリーは、ワークロードをより小さなグループに分割するのに役立ちます。またスコープツリーの最下位のブランチは、個々のアプリケーションのために確保されます。

範囲ツリーから親範囲を選択して、新しい範囲を作成します。これには、親範囲のメンバーのサブセットが含まれます。

このウィンドウでは、ワークロードを階層構造のグループに整理します。ネットワークを階層グループに分割すると、より柔軟でスケーラブルなポリシーの検出と定義が可能になります。

ウィザードは、ワークロードにラベルを適用するのに役立ちます。ラベルは、ワークロードまたはエンドポイントを説明する主要なパラメータであり、キーと値のペアとして表されます。これらのラベルは範囲にグループ化され、ワークロードは関連付けられたラベルに基づいて各範囲に自動的にグループ化されます。この範囲に基づいて、セグメンテーションポリシーを定義できます。

ツリーの各ブロックまたは範囲にカーソルを合わせると、含まれるワークロードまたはホストのタイプに関する詳細情報が表示されます。


(注)  

[範囲とラベルの利用開始(Get Started with Scopes and Labels)] ウィンドウでは、[組織(Organization)]、[インフラストラクチャ(Infrastructure)]、[環境(Environment)]、[アプリケーション(Application)] がキーであり、各キーの横にある灰色のボックスに表示されたテキストが値です。

たとえば、[アプリケーション1(Application 1)] に属するすべてのワークロードは、次のラベルのセットによって定義されます。

  • 組織 = 内部

  • インフラストラクチャ= データセンター

  • 環境 = 生産前

  • アプリケーション = アプリケーション 1

ラベルと範囲ツリーの機能

ラベルは Cisco Secure Workload の機能を促進し、ラベルから作成された範囲ツリーはネットワークの単なるサマリーではありません。ラベルを使用する利点は次のとおりです。

  • ラベルによってポリシーを瞬時に理解できます。例:

    "Deny all traffic from Pre-Production to Production"

    ラベルがない同じポリシーとの比較は、次のようになります。

    "Deny all traffic from 172.16.0.0/12 to 192.168.0.0/16"

  • ラベルに基づくポリシーは、ラベル付きのワークロードがインベントリに追加(または削除)されると、自動的に適用(または適用を停止)します。時間の経過とともに、ラベルに基づいたこれらの動的グループ化により、展開を維持するために必要な労力が大幅に削減されます。

  • ワークロードは、ラベルに基づいて範囲にグループ化されます。これらのグループ化により、関連するワークロードにポリシーを容易に適用できます。たとえば、生産前範囲内のすべてのアプリケーションにポリシーを容易に適用できます。

  • ポリシーが単一の範囲で作成されると、ツリー内の子孫範囲のすべてのワークロードにポリシーを自動的に適用できるため、管理する必要のあるポリシーの数を最小限に抑えることができます。

    たとえば、ポリシーを広く(組織内のすべてのワークロードに)または狭く(特定のアプリケーションの一部であるワークロードにのみ)、あるいはその中間の任意のレベル(データセンター内のすべてのワークロードなど)に対して容易に定義して適用できます。

  • 各範囲の責任をさまざまな管理者に割り当て、ネットワークにより精通している人々にポリシー管理を委任できます。

組織階層の構築

階層または範囲ツリーの構築を開始します。これには、アセットの特定と分類、範囲の決定、ロールと責任の定義、範囲ツリーのブランチを作成するためのポリシーと手順の作成が含まれます。

ウィザードの指示に従って、範囲ツリーのブランチを作成します。青色で囲まれた各範囲の IP アドレスまたはサブネットを入力すると、範囲ツリーに基づいてラベルが自動的に適用されます。

前提条件:

  • 実稼働前環境、データセンター、および内部ネットワークに関連付けられている IP アドレスまたはサブネットを収集します。

  • できるだけ多くの IP アドレスまたはサブネットを収集します。後で IP アドレスまたはサブネットを追加できます。

  • ツリーを構築するときに、ツリー内の他の範囲(灰色のブロック)に IP アドレスまたはサブネットを追加できます。

範囲ツリーを作成するには、次のタスクを実行します。

内部範囲の定義

内部範囲には、パブリックおよびプライベート IP アドレスを含む、組織の内部ネットワークを定義するすべての IP アドレスが含まれます。

ウィザードは、ツリーブランチの各範囲に IP アドレスを追加する手順を案内します。アドレスを追加すると、ウィザードは各アドレスにその範囲を定義するラベルを割り当てます。

たとえば、この [範囲の設定(Scope Setup)] ウィンドウでは、ウィザードによって 
Organization=Internal
ラベルが各 IP アドレスに割り当てられます。

デフォルトでは、ウィザードは、RFC 1918 で定義されているように、プライベート インターネット アドレス空間の IP アドレスを追加します。


(注)  

すべての IP アドレスを一度に入力する必要はありませんが、選択したアプリケーションに関連付けられている IP アドレスを含める必要があります。残りの IP アドレスは後で追加できます。

データセンターの範囲の定義

この範囲には、オンプレミスデータセンターを定義する IP アドレスが含まれます。内部ネットワークを定義する IP アドレス/サブネットを入力します。


(注)  

範囲名は短く、意味のあるものにする必要があります。

このウィンドウで、組織用として指定した IP アドレスを入力します。これらのアドレスは、内部ネットワークのアドレスのサブセットにする必要があります。複数のデータセンターがある場合は、それらすべてをこの範囲に含めて、単一のポリシーセットを定義できるようにします。


(注)  

アドレスは、後の段階でいつでも追加できます。たとえば、ウィザードは各 IP アドレスに次のラベルを割り当てます。

Organization=Internal
Infrastructure=Data Centers

生産前範囲の定義

この範囲には、開発、ラボ、テスト、またはステージングシステムなどの非生産アプリケーションおよびホストの IP アドレスが含まれます。


(注)  

実際のビジネスを遂行するために使用するアプリケーションのアドレスは含めないでください。これは、後で定義する生産範囲の一部になります。

このウィンドウで入力する IP アドレスはデータセンター用に入力したアドレスのサブセットとし、これにも選択したアプリケーションのアドレスが含まれている必要があります。理想としては、選択したアプリケーションの一部ではない生産前アドレスも含める必要があります。


(注)  

アドレスは、後の段階でいつでも追加できます。

範囲ツリー、範囲、およびラベルの確認

範囲ツリーの作成を開始する前に、左側のウィンドウに表示される階層を確認します。ルート範囲には、設定済みのすべての IP アドレスとサブネットに対して自動的に作成されたラベルが表示されます。プロセスの後の段階で、アプリケーションがこの範囲ツリーに追加されます。

ブランチを展開したり折りたたんだりできるほか、下にスクロールして特定の範囲を選択することもできます。右側のペインには、特定の範囲のワークロードに割り当てられた IP アドレスとラベルが表示されます。このウィンドウでは、この範囲にアプリケーションを追加する前に、範囲ツリーを確認および変更できます。


(注)  

ウィザードを終了した後にこの情報を表示するには、ナビゲーションメニューから[整理(Organize)] > [範囲とインベントリ(Scopes and Inventory)] を選択します。

範囲ツリーの確認

範囲ツリーの作成を開始する前に、範囲階層を確認する必要があります。ルート範囲には、設定済みのすべての IP アドレスとサブネットに対して自動的に作成されたラベルが表示されます。プロセスの後の段階で、アプリケーションがこの範囲ツリーに追加されます。

クイックスタートウィザード:範囲ツリーの確認

ブランチを展開したり折りたたんだりできるほか、下にスクロールして特定の範囲を選択することもできます。右側のペインには、特定の範囲のワークロードに割り当てられた IP アドレスとラベルが表示されます。このウィンドウでは、範囲にアプリケーションを追加する前に、範囲ツリーを確認および変更できます。


(注)  

ウィザードを終了した後にこの情報を表示するには、ナビゲーションウィンドウから [整理(Organize)] > [範囲とインベントリ(Scopes and Inventory)] を選択します。

範囲ツリーの作成

範囲ツリーを確認したら、範囲ツリーを作成します。

範囲ツリーの作成

範囲ツリーの詳細については、『Secure Workload User Guide』の「Scopes and Inventory」セクションを参照してください。

次のステップ

エージェントのインストール

選択したアプリケーションに関連付けられたワークロードに、Cisco Secure Workload エージェントをインストールします。エージェントが収集したデータは、ネットワーク上の既存のトラフィックに基づいて推奨されるポリシーを生成するために使用されます。データが多いほど、より正確なポリシーが生成されます。詳細については、『Cisco Secure Workload ユーザーガイド』の「ソフトウェアエージェント」セクションを参照してください。

アプリケーションの追加

最初のアプリケーションを範囲ツリーに追加します。データセンターのベアメタルまたは仮想マシンで実行されている、実稼働前のアプリケーションを選択します。アプリケーションを追加したら、このアプリケーションに対応するポリシーの作成を開始できます。詳細については、『Cisco Secure Workload ユーザーガイド』の「範囲とインベントリ」セクションを参照してください。

内部範囲での共通ポリシーの設定

内部範囲で一連の共通ポリシーを適用します。たとえば、ネットワークからネットワーク外部への特定のポートを通過するトラフィックのみを許可します。

ユーザーは、クラスタ、インベントリフィルタ、および範囲を使用してポリシーを手動で定義することも、自動ポリシー検出を使用してフローデータから検出し、生成することもできます。

エージェントをインストールし、トラフィックフローデータが蓄積されるまで少なくとも数時間待った後、Cisco Secure Workload を有効にしてそのトラフィックに基づいたポリシーを検出できます。詳細については、『Secure Workload User Guide』の「Automatically Discover Policies」セクションを参照してください。

これらのポリシーを内部(または内部またはルート)範囲で適用すると、ポリシーを効果的に確認できます。

クラウドコネクタの追加

組織に AWS、Azure、または GCP のワークロードがある場合は、クラウドコネクタを使用してワークロードを範囲ツリーに追加します。詳細については、『Secure Workload User Guide』の「Cloud Connectors」セクションを参照してください。

クイック スタート ワークフロー

手順

操作手順

詳細

1

(オプション)ウィザードの注釈付きツアーに参加する

ウィザードのツアー

2

セグメンテーションの工程を開始するためのアプリケーションを選択します。

最良の結果を得るには、アプリケーションの選択 のガイドラインに従ってください。

3

IP アドレスを収集します。

ウィザードは、 4 つのグループの IP アドレスを要求します。

詳細については、IPアドレスの収集を参照してください。

4

ウィザードを実行する

要件を表示してウィザードにアクセスするには、ウィザードの実行を参照してください。

5

エージェントがフローデータを収集する時間を確保します。

データが多いほど、より正確なポリシーが生成されます。

必要最小限の時間は、アプリケーションがどの程度アクティブに使用されているかによって異なります。

6

実際のフローデータに基づいてポリシーを生成(「検出」)します。

ポリシーの生成方法については、「ポリシーの自動生成」を参照してください。

IPアドレスの収集

次のリストの IP アドレスの少なくとも一部を収集します。

  • 内部ネットワークを定義するアドレス

    デフォルトでは、ウィザードはプライベートインターネット用に予約されている標準アドレスを使用します。

  • データセンター用に予約されているアドレス。

    これには、従業員のコンピューター、クラウドまたはパートナーサービス、および集中型 IT サービスで使用されるアドレスは含まれません。

  • 非生産ネットワークを定義するアドレス。

  • 選択した非生産アプリケーションを構成するワークロードのアドレス。

現時点では、すべてのアドレスを用意する必要はありません。後からいつでもアドレスを追加できます。


重要

4つの箇条書きリストはそれぞれ、IP アドレスリストのサブセットを表しているので、リストの IP アドレスの中に、各箇条書きリストの IP アドレスを含めます。

アプリケーションの選択

ウィザードのアプリケーションを選択します。通常、アプリケーションは、Web サービスやデータベース、プライマリサーバーとバックアップサーバーなど、さまざまなサービスを提供する複数のワークロードで構成されます。これらのワークロードが一緒になって、アプリケーションの機能をユーザーに提供します。

アプリケーションを選択するためのガイドライン

Cisco Secure Workload は、クラウドベースのワークロードやコンテナ化されたワークロードなど、広範なプラットフォームとオペレーティングシステムで実行されるワークロードをサポートします。ただし、このウィザードでは、次のようなワークロードを持つアプリケーションを選択してください。

  • データセンターで実行中。

  • ベアメタルや仮想マシンで実行中。

  • Cisco Secure Workload エージェントがサポートする Windows、Linux、または AIX プラットフォームで実行中(参照:『Compatibility Matrix』)

  • 生産前環境に展開済み。


(注)  

アプリケーションを選択せずに IP アドレスを収集した場合でもウィザードを実行できますが、これらの操作を行わずにウィザードを完了することはできません。

(注)  

Cisco Secure Workload アプリケーションからサインアウト(またはタイムアウト)する前にウィザードを完了しなかった場合、または左側のナビゲーションバーを使用してアプリケーションの別の部分に移動した場合、ウィザードの構成は保存されません。

任意の範囲を追加する方法や [範囲とラベル(Scope and Labels)] を追加する方法の詳細については、『Cisco Secure Workload User Guide』の「Scopes and Inventory」セクションを参照してください。

ウィザードの実行

アプリケーションを選択して IP アドレスを収集したかどうかにかかわらず、ウィザードを実行できますが、これらの操作を行わずにウィザードを完了することはできません。


重要

Cisco Secure Workload からサインアウト(またはタイムアウト)する前にウィザードを完了しなかった場合、または左側のナビゲーションバーを使用してアプリケーションの別の部分に移動した場合、ウィザードの構成は保存されません。

始める前に

次のユーザーロールがこのウィザードにアクセスできます。

  • サイト管理者

  • カスタマーサポート

  • 範囲所有者

手順

ステップ 1

Cisco Secure Workload にサインインします。

ステップ 2

ウィザードを起動します。

現在、範囲が定義されていない場合、Cisco Secure Workload にサインインすると、ウィザードが自動的に表示されます。

または、下記の手順も実行できます。

  • 任意のページの上部にある青いバナーにある [今すぐウィザードを実行する(Run the wizard now)] リンクをクリックします。

  • ナビゲーションウィンドウから、[概要(Overview)] を選択します。

範囲を既に作成している場合は、既存の範囲をすべて削除しない限り、ウィザードに再度アクセスすることはできません。これを行うには、(オプション)範囲ツリーをリセットするを参照してください。

ステップ 3

ウィザードが、知るべき情報を説明します。

  • ウィザードのグラフィック要素にカーソルを合わせると、その説明が表示されます。

  • 詳細については、リンクと情報ボタン( 情報ボタン)をクリックしてください。

ポリシーの自動生成

Cisco Secure Workload は、ワークロードと他のホスト間の既存のトラフィックに基づいて、ポリシーを生成または検出します。準備ができたら、ワークロードのポリシーを変更、補足、分析し、最終的に承認して適用することができます。

始める前に

  • アプリケーションのワークロードにエージェントをインストールします。

  • エージェントのインストール後、フローデータが蓄積されるまでしばらく待機します。

手順

ステップ 1

クイックスタートウィザードの [次の手順(Next Steps)] ページで、[ポリシーの自動生成(Automatically Generate Policies)] をクリックします。

また、次の操作を実行できます。

  1. ナビゲーションウィンドウで、[防御(Defend)] > [セグメンテーション(Segmentation)] の順に選択します。

  2. ナビゲーションウィンドウの範囲ツリーまたは範囲のリストで、アプリケーションの範囲まで下にスクロールします。

  3. 範囲で [プライマリ(Primary)] を選択します。

ステップ 2

[ポリシーの管理(Manage Policies)] を選択します。

ステップ 3

[ポリシーを自動的に検出(Automatically Discover Policies)] を選択します。

ステップ 4

含めるフローデータの時間範囲を選択します。

ステップ 5

[ポリシーの検出(Discover Policies)] を選択すると、生成されたポリシーがこのページに表示されます。

(オプション)範囲ツリーをリセットする

(オプション)ウィザードを使用して作成した範囲、ラベル、および範囲ツリーを削除し、ウィザードを再度実行することができます。


ヒント

作成した範囲の一部のみを削除し、ウィザードを再度実行したくない場合は、ツリー全体をリセットする代わりに、個々の範囲を削除します。範囲を削除するには、[範囲(Scope)] を選択し、[削除(Delete)] をクリックします。

始める前に

ルート範囲の範囲所有者権限があることを確認します。


(注)  

追加のワークスペース、ポリシー、またはその他の依存関係を作成した場合は、範囲ツリーのリセットに関する詳細な情報について、Cisco Secure Workload のユーザーガイドを参照してください。

手順

ステップ 1

ナビゲーションメニューで、[整理(Organize)] > [範囲とインベントリ(Scopes and Inventory)] の順に選択します。

ステップ 2

ツリーの上部にある範囲をクリックします。

ステップ 3

[リセット(Reset)] をクリックします。

ステップ 4

選択を確認します。

ステップ 5

[リセット(Reset)] ボタンが [リセットの保留中(Pending Reset)] に変わった場合は、ブラウザページを更新します。