시작하기 전에

Secure Workload에서 FMC 커넥터를 생성하여 Secure Firewall Management Center와의 통신을 설정합니다.

1. Manage(관리) > Workloads(워크로드) > Connector(커넥터)로 이동합니다.

2. Firewall(방화벽)에서 Cisco Secure Firewall을 클릭합니다.

3. Configure your new Connector here(여기에서 새 커넥터 구성)를 클릭합니다.

4. New Connection(새 연결) 페이지에서 자격 증명 및 기타 연결 설정을 다음과 같이 입력합니다.

   필드	설명
   이름	FMC 커넥터의 고유 이름을 입력합니다.
   설명	설명을 입력합니다.
   Username and Password(사용자 이름 및 비밀번호)	FMC와 통신하는 데 사용되는 자격 증명을 입력합니다.
   CA 인증서	Secure Workload가 이 FMC를 인증하는 데 사용하는 CA 인증서를 입력합니다. 또는 네트워크를 신뢰할 수는 있지만 Secure Workload가 인증서를 검증하지 않는 경우 Enable Insecure(안전하지 않음 활성화) 할 수 있습니다. 개체 관리 워크플로우를 사용하여 FMC에서 CA 인증서를 가져올 수 있습니다.
   호스트	연결된 FMC의 호스트 이름 및 포트 번호를 입력합니다. 형식은 <FQDN> : <Port> 또는 <IP> : <Port>입니다. 호스트 이름은 FMC의 IP 또는 FMC(Fully Qualified Domain Name)여야 합니다.
   네트워크에서 FMC에 연결하는 데 HTTP 프록시가 필요합니까	<proxy.host> :<proxy.port> 형식으로 프록시 URL을 입력합니다.
   Secure Connector(보안 커넥터)	Secure Workload에서 FMC로 연결을 터널링하는 데 보안 커넥터를 사용하는 경우 활성화합니다. 이 옵션을 활성화하려면 먼저 보안 커넥터를 구축해야 합니다.
   다음으로 시작합니다.	Segmentation Config(세분화 구성) 또는 Virtual Patching Config(가상 패치 설정 설정)를 선택합니다. a) Segmentation Config(세분화 구성): 범위에 액세스 제어 정책을 할당하고 추가 매개변수를 구성합니다. b) Virtual Patching Config(가상 패치 구성): FMC에 게시할 CVE의 규칙을 구성합니다.

5. Next(다음)를 클릭합니다.

   

Secure Workload 시행 세분화 정책은 Secure Firewall Management Center에서 동적 개체로 변환된 범위, 인벤토리 필터 및 클러스터의 IP 주소 집합을 기반으로 하는 액세스 제어 정책으로 변환됩니다.

Secure Workload에서 변환된 세분화 정책은 액세스 제어 정책의 각 섹션에 규칙으로 Secure Firewall Management Center에 추가됩니다. Absolute(절대) 정책은 Mandatory(필수) 규칙 섹션에 추가되고 Default(기본) 정책은 Default(기본) 규칙 섹션에 추가됩니다.

다음 유형의 액세스 제어 규칙이 추가됩니다.

• 접두사가 Workload_golden_인 규칙:

  골든 규칙이라고 하는 이러한 규칙은 Secure Workload가 보안 방화벽 뒤에 있는 워크로드에 설치된 모든 Secure Workload 에이전트와 통신할 수 있도록 합니다.

• 접두사가 Workload_인 규칙:

  이는 시행이 활성화된 애플리케이션 워크스페이스의 세분화 정책에서 변환된 규칙입니다.

• 접두사가 Workload_ca_인 규칙:

  이는 시행된 각 애플리케이션 워크스페이스에 대해 변환된 포괄 규칙입니다. Secure Workload 버전부터는 FMC 커넥터를 설정하는 동안 Use Secure Workload Catch-All(Secure Workload 포괄 사용) 옵션을 선택한 경우에만 Secure Workload의 포괄 규칙을 사용할 수 있습니다.

• 접두사가 WorkloadObj_인 동적 개체가 생성됩니다.

참고	FMC에서 이러한 규칙을 삭제하거나 수정하는 경우 다음에 Secure Workload가 FMC에 업데이트를 푸시할 때 변경 사항을 덮어씁니다. 이 통합과 독립적인 추가 액세스 제어 규칙을 FMC에서 생성하고 기존 규칙을 덮어쓰지 않고 병합하도록 통합을 구성하는 경우 위에 설명된 접두사를 사용합니다.

ACP 매핑 생성

1. Settings(설정)에서 Segmentation Config(세분화 구성)를 선택하면 Create ACP Mapping(ACP 매핑 생성) 창으로 이동합니다.

2. 드롭다운에서 Access Policy(액세스 정책)를 선택하고 이를 Scope(범위)에 매핑합니다. 액세스 정책은 하나의 범위에만 매핑할 수 있습니다.

3. Use Secure Workload Catch All(Secure Workload 포괄 사용) 확인란을 선택하여 Secure Workload에서 포괄 규칙을 활성화합니다. Secure Workload 포괄 규칙은 액세스 제어 정책의 기본 섹션에서 다른 모든 규칙 Secure Workload 규칙 및 FMC에서 직접 생성된 규칙(있는 경우)) 뒤에 나열됩니다. Secure Workload에서 포괄 규칙을 비활성화하려는 경우 FMC 액세스 제어 정책의 Default Action(기본 작업)을 사용하려면 이 옵션의 선택을 취소합니다.

4. Enforcement Mode(시행 모드)에서 옵션을 선택합니다.

   • Merge(병합): 사용자가 생성한 기존 규칙과 함께 Secure Workload 정책 규칙이 추가됩니다. 다음 단계에서 설명하는 대로 우선순위를 구성할 수 있습니다.

   • Override(재정의): 사용자가 생성한 기존 규칙이 Secure Workload 정책 규칙으로 대체됩니다.

   참고	우선 순위 드롭다운 메뉴 옵션은 Merge(병합)가 시행 모드로 선택된 경우에만 사용할 수 있습니다.

5. Absolute(절대) 및 Default Policies(기본 정책) 드롭다운 메뉴에서 필수 옵션을 선택하여 Secure Workload 정책의 우선순위를 FMC에 있는 액세스 제어 정책의 각 섹션에 있는 기존 규칙보다 더 높거나 낮게 설정합니다.

   • 기존의 필수 규칙 위의 Insert(삽입)를 선택하면 Secure Workload 정책이 필수 규칙보다 높은 우선 순위를 갖습니다.

   • 기존의 필수 규칙 아래에서 Insert(삽입)를 선택하면 Secure Workload 정책이 필수 규칙보다 우선순위가 낮습니다.

   예를 들어 Absolute Policies(절대 정책) 드롭다운 메뉴에서 기존 Mandatory(필수) 규칙 위에 Insert(삽입)를 선택하는 경우 Secure Firewall Management Center에서 필수 섹션의 시작 부분에 Secure Workload 규칙이 구성되고 그 뒤에 기존 액세스 제어 규칙이 구성됩니다. 새 규칙이 생성되면 Secure Workload에서 정책에 대해 선택한 우선순위에 따라 액세스 제어 정책의 규칙 순서가 업데이트됩니다.

   

6. Create(생성)를 클릭합니다.

ACP 매핑 편집

1. Segmentation(세분화) 탭에서 Edit(편집)를 클릭합니다.

2. Action(작업)에서 편집 아이콘을 클릭합니다.

3. 필요한 내용을 변경하고 Save(저장)를 클릭합니다.

4. 다른 ACP를 범위에 매핑하려면 + 아이콘을 클릭합니다.

5. Save(저장)를 클릭하여 모든 수정 사항을 저장합니다.

외부 패치 및 JIT 패치라고도 하는 가상 패치는 알려진 취약성으로부터 애플리케이션 및 컴퓨터 시스템을 보호하는 데 사용되는 보안 기술입니다. 원래 IPS(Intrusion Prevention System)에서 사용했던 가상 패치는 영구 패치를 개발하고 적용할 수 있을 때까지 취약성을 해결하기 위해 임시 수정 또는 해결 방법을 구현합니다.

예를 들어, 소프트웨어 개발 라이프사이클을 준수하는 조직은 새로운 버전의 애플리케이션을 탐지, 수정, 개발하는 데 시간을 할애합니다. 애플리케이션의 최신 버전이 출시될 때까지 방화벽을 도입하고 IPS 규칙을 추가하여 시스템을 보호할 수 있습니다. Secure Workload는 IPS 정책을 생성하는 동안 고려할 수 있도록 CVE를 방화벽에 게시합니다.

1. 설정에서 Virtual Patching Config(가상 패치 구성)를 선택하면 Create a Virtual Patching Rule(가상 패치 규칙 생성) 창으로 이동합니다.

2. Rule Name(규칙 이름) 및 Description(설명)을 입력합니다.

3. 기존 워크로드 필터를 선택하거나 새 필터를 만들 수 있습니다.

4. 기존 CVE 필터를 선택하거나 CVE 쿼리를 입력하여 CVE 필터를 추가할 수 있습니다.

5. Create(생성)를 클릭합니다.

6. Virtual Patching(가상 패치) 탭의 Rules(규칙) 아래에서 Add Rule(규칙 추가)을 클릭하여 하나 이상의 규칙을 추가합니다.

   

7. 추가된 가상 패치 규칙이 규칙 아래에 표시됩니다.

   • Rule name(규칙 이름) 및 Description(설명)을 기준으로 검색할 수 있습니다.

   • 표시할 열을 선택하려면 필터 아이콘을 클릭합니다.

   • Actions(작업)에서 Edit(편집) 아이콘을 클릭하여 가상 패치 규칙의 세부 정보를 수정합니다.

   • Actions(작업)에서 Bin(휴지통) 아이콘을 클릭하여 가상 패치 적용 규칙을 삭제합니다.

8. Workloads with Published CVEs(게시된 CVE가 있는 워크로드)가 오른쪽에 표시됩니다.

   • Rule Name(규칙 이름), Inventory Filter(인벤토리 필터), Workload(워크로드), Worst Score(최악 점수) 등의 속성을 입력하여 필터링할 수 있습니다.

   • 세부 정보를 JSON 및/또는 CSV 형식으로 다운로드하려면 메뉴 아이콘을 클릭합니다.

   • 항목을 정렬하려면 열 헤더를 클릭합니다.

   • Exported(내보내기함) 열에서 CVE List(CVE 목록)를 클릭하여 Workload에서 게시된 모든 CVE 목록을 확인합니다.

   • Audit Log(감사 로그)를 보려면 햄버거 메뉴를 클릭합니다. 지난 48시간 동안의 로그가 저장되어 표시됩니다.

1. Create a Virtual Patching Rule(가상 패치 적용 규칙 생성) 창에서 Rule Name(규칙 이름) 및 Description(설명)을 입력합니다.

2. 드롭다운에서 Existing Filter(기존 필터)를 선택합니다. 기존 범위를 선택하여 가상 패치 적용을 고려할 호스트를 선택할 수 있습니다.

   • 기본적으로 Use Filter as Host Query(필터를 호스트 쿼리로 사용) 확인란이 선택되어 있습니다. CVE 쿼리를 입력하여 계속 진행할 수 있습니다. 가상 패치 적용 필터를 생성할 필요 없이 구축할 수 있습니다. 호스트 쿼리는 선택한 필터의 내용을 포함합니다.

     

   • Use Filter as Host Query(필터를 호스트 쿼리로 사용)확인란의 선택을 취소하여 호스트 및 CVE 쿼리를 모두 입력합니다. 그러면 새 가상 패치 필터가 생성됩니다.

     

3. Host(호스트) 및 CVE 쿼리를 입력합니다. 쿼리를 더 추가하려면 + 아이콘을 클릭합니다.

   Note	지원되는 쿼리 형식을 보려면 정보 아이콘 위에 마우스를 올려 놓습니다. 기본적으로 가상 패치 적용 필터는 입력한 쿼리 조합을 기반으로 생성됩니다.

4. Next(다음)를 클릭합니다. Summary(요약) 창에 일치하는 Workload 및 CVE의 목록이 표시됩니다. Workload와 CVE는 쿼리에 따라 동적으로 일치합니다.

5. Create(생성)를 클릭합니다.

6. 추가된 가상 패치 규칙은 Rules(규칙) 아래에 표시됩니다. 속성을 입력하고 Filter(필터)를 클릭하여 검색 결과의 범위를 좁힙니다.

7. Workloads with Published CVEs(게시된 CVE가 있는 Workload)가 오른쪽에 표시됩니다.

   • 속성을 입력하고 Filter(필터)를 클릭하여 검색 결과의 범위를 좁힙니다.

   • 항목을 정렬하려면 열 헤더를 클릭합니다.

   • Exported(내보내기함) 열에서 CVE List(CVE 목록)를 클릭하여 Workload에서 게시된 모든 CVE 목록을 확인합니다.

   • Workload의 Audit Log(감사 로그)를 보려면 햄버거 메뉴를 클릭합니다. 지난 48시간 동안의 로그가 저장되어 표시됩니다.

Event Log(이벤트 로그) 탭에는 Secure Workload와 Secure Firewall Management Center 사이의 중요한 이벤트 또는 트랜잭션이 나열됩니다.

1. 기능, 이벤트 레벨, 네임스페이스 및 메시지를 기준으로 이벤트를 필터링할 속성을 입력합니다.

   참고	이벤트 레벨의 색상 코드는 정보(파란색), 경고(주황색) 및 오류(빨간색)입니다.

2. 항목을 정렬하려면 열 헤더를 클릭합니다.

3. 세부 사항을 JSON 및/또는 CSV 형식으로 다운로드하려면 점 3개로 된 메뉴 아이콘을 클릭합니다.

4. 모든 필터를 재설정하려면 Refresh(새로 고침)를 클릭합니다.