Secure Dynamic Attribute Connector implementeren in FMC

Downloadopties

  • PDF     (1.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (816.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:25 juli 2024
Document-id:222101

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de Cisco Secure Dynamic Attribute Connector in FMC.

    Achtergrond – Probleem 

    CSDAC (Cisco Secure Dynamic Attributes Connector) kan worden geïntegreerd in FMC (Firepower Management Center) en biedt hetzelfde niveau van functionaliteit als de standalone CSDAC-toepassing en CSDAC in CDO. Voor standalone CSDAC ontlast het klanten van de overhead van het beheren en onderhouden van een afzonderlijke machine voor CSDAC. Als netwerkbeheerder wil ik dat de programmatische interfaces eenvoudig te integreren zijn en op de hoogte blijven van wijzigingen aan externe dynamische omgevingsproviders. Deze integratie lost het probleem op van het verzamelen van attributen uit dynamisch veranderende cloudomgevingen zonder een beleid te implementeren.

    Oplossing (samenvatting)

    CSDAC kan nu worden geconfigureerd in FMC om tagkenmerken op te halen van Azure, vCenter, AWS, GCP, Office 365 en Azure Service Tags, waardoor functionaliteit wordt geleverd met de zelfstandige CSDAC en CSDAC in CDO.

    • U kunt nu kiezen voor het gebruik 
      • CSDAC in FMC (of) 
      • CSDAC in CDO (of)
      • Standalone CSDAC
    • Doelmarkt: onderneming, dienstverlener

    Connector voor dynamische kenmerken in FMC-overzicht

    FMC Dynamic Attributes Connector:

    • Dashboardscherm om de functies van de Dynamic Attribute Connector te bouwen en te bedienen.
    • FMC UI voor het configureren van bronwerklastconnectors (AWS, Azure, vCenter, Office 365, GCP)
    • FMC UI voor het definiëren van dynamische attribuutfilters om dynamische objecten te maken

    Implementatievoorbeelden

    On-Prem CSDAC

    Vorig jaar implementeerde ik een speciale VM voor CSDAC om attributen van mijn AWS- en Azure-accounts te verzamelen.

    Het probleem

    Nu is mijn organisatie overgestapt naar de cloud en kan ik geen speciale virtuele machine voor CSDAC in mijn omgeving implementeren en beheren.

    Cloud Transition Challenges

    Optie 1: gebruik de Dynamic Attributes Connector die in de FMC is ingebouwd

    U kunt het probleem oplossen met behulp van de Dynamic Attributes Connector die in FMC is ingebouwd. De dynamische objecten die hierdoor worden gemaakt, kunnen worden gebruikt in het toegangsbeleid.

    Optie 2: gebruik door de cloud geleverde Dynamic Attributes Connector in CDO

    U kunt het probleem oplossen door Dynamic Attributes Connector in CDO te gebruiken. De dynamische objecten die door het kunnen worden gebruikt in 

    • CDO cloud-delivered FMC
    • CDO on-prem FMC

    Vereisten, ondersteunde platforms, licenties

    Minimaal ondersteunde software- en hardwareplatforms

    Min. ondersteunde beheerdersversie

    Beheerde apparaten

    Min. ondersteunde versie van beheerde apparaten vereist

    Opmerkingen

    VCC 7.4

    Elke FTD ondersteund

    Willekeurige 7,0+ FTD

    * Dynamic Attributes Connector wordt niet ondersteund op door FDM beheerde apparaten

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
    · Cisco Firewall Management Center met 7.4
    · Cisco Firepower Threat Defense met 7.4 of hoger.
    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Kenmerken en details

    Standalone CSDAC Overzicht (Momenteel vrijgegeven - 7.4)

    Met de Cisco Secure Dynamic Attributes Connector kunt u tags van verschillende cloudserviceplatforms gebruiken in de toegangscontroleregels van het Firewall Management Center (FMC).

    On-Prem CSDAC kan worden geïnstalleerd op een Linux-machine en ondersteunt het verkrijgen van attributen van:

    • AWS, Azure, VMware vCenter en NSX-T, Office 365, Azure Service Tags, GCP, GitHub.

    CSDAC in CDO Overzicht (Momenteel vrijgegeven - 7.4)

    Ondersteunt dezelfde functionaliteit als On-Prem CSDAC zonder dat u een speciale toepassing hoeft te installeren en te onderhouden.

    vCenter-connector wordt momenteel niet ondersteund in CDO.

    Ondersteunt het verzenden van de ontvangen attributen naar cloud-geleverde FMC en On-Prem FMC in CDO.

    CSDAC in FMC

    Ondersteunt dezelfde functionaliteit als Standalone CSDAC zonder dat een speciale toepassing hoeft te worden geïnstalleerd en onderhouden.

    CSDAC in FMC ondersteunt het verkrijgen van attributen van:

    • AWS, Azure, VMware vCenter en NSX-T, Office 365, Azure Service Tags, GCP, GitHub

    Er is hier geen expliciete adapterconfiguratie omdat deze lokaal is voor FMC.

    Hoe het werkt

    Connectors worden gebruikt om attributen te krijgen van AWS, Azure, o365, vCenter.

    Lokale adapter wordt vervolgens gebruikt om deze gestroomlijnde kenmerken en de IP-toewijzingen in FMC op te slaan als dynamische objecten.

    FMC stuurt de toewijzing realtime naar FTD (zonder implementatie).

    CSDAC Workflow

    CSDAC inschakelen in FMC

    Navigeer naar Integratie > Dynamische Attributen Connector.

    Gebruik de knop Toggle om de connector in te schakelen.

    FMC neemt een paar minuten de tijd om de docker-afbeeldingen en -containers te downloaden en naar voren te brengen.

    Dit kan alleen worden geconfigureerd in het globale FMC-domein.

    Enable CSDAC in FMC

    CSDAC-dashboard


    Nadat CSDAC is ingeschakeld, krijgt de gebruiker de CSDAC-dashboardpagina te zien. Dashboard wordt gebruikt voor het configureren en weergeven van geconsolideerde connectors en filters.

    CSDAC Dashboard

    Connectors configureren

    Connectors toevoegen vanuit Dashboard

    Klik op het dashboard op het pictogram voor de gewenste connector om deze toe te voegen.

    Add Connectors from Dashboard

    Configureer een tijdsinterval (in het veld Trek-interval) zodat de connectors informatie van providers kunnen ophalen met de geconfigureerde periodiciteit.

    Voer de referenties van de provider in om de tagkenmerken op te halen. Nadat u de connector hebt geconfigureerd, kunt u de connector testen door op de testknop te klikken.

    Configure time interval

    Filters configureren

    Klik op het tabblad "Dynamic Attribute Filters" in het menu "Dynamic Attributes Connector" om naar de pagina Dynamic Attributes Filters te gaan.

    Dynamic Attribute Filters tab

    Filters toevoegen

    Klik op de knop + om een filter voor attribuutconnectors te maken.

    Add Plus button to create

    AWS-tags toevoegen

    We kunnen er bijvoorbeeld van uitgaan dat u geïnteresseerd bent in de belangrijkste 'HR' en waarde 'App' in AWS-workloads.

    Zo ziet het er uit in AWS.

    AWS tags in AWS Workload

    CSDAC in FMC

    Je kunt een ‘HR equals App’ regel aanmaken door op de + knop te klikken.

    De lokale FMC-adapter verzendt de overeenkomende IP-adressen als dynamische objecttoewijzingen naar FMC

    Create Rule in ACP

    Voorbeeld

    U kunt ook de overeenkomende IP-adressen van een bepaalde attribuutregel bekijken door op de knop 'Weergeven | Voorbeeld verbergen' te klikken.

    check preview

    Dynamische objecten

    De dynamische objecten weergeven die door CSDAC zijn gemaakt in Objecten > Externe kenmerken, Dynamisch object in FMC

    View dynamic objects in Objects

    AC-beleid

    configuratie: toegangsbeleid

    Voeg in FMC toegangsbeleid toe om de ontvangen dynamische objecten van Dynamic Attribute Connector toe te staan of te blokkeren.

    add rule from Access Policy

    perrongrenzen

    • Connectorlimieten zijn gebaseerd op het beschikbare FMC-geheugen.
    • vFMC zou een extra 1 GB geheugen nodig hebben om 5 connectors te ondersteunen
    • Azure AD realm is ook opgenomen in de limiet, omdat het ook een CSDAC-container is.

    Modellen

    Aantal ondersteunde connectors

    platforms

    Limiet op basis van geheugen

    basis

    Alleen Azure AD

    1600

    32 GB

    klein

    5

    vFMC

    > 32 GB

    Gemiddeld

    10

    vFMC 300, 2600

    >= 64 GB

    groot

    20

    4600

    >= 128 GB

    Problemen oplossen/diagnostiek

    Problemen oplossen kan het best worden uitgevoerd door dynamische objecten van CSDAC-connectors tot Dynamics Attributes in FMC te traceren. Veel interne logs verwijzen naar deze functie als 'verzamelen'. U kunt in de systeemstatus langs de uitzendketen kijken om problemen te isoleren. CSDAC maakt gebruik van Docker containers.  Berichten en namen van logs en andere bestanden moeten worden aangeduid als "docker"

    Workflow to troubleshoot

    Controleer de aansluitingen

    Zorg er eerst voor dat connectors verbinding kunnen maken met vCenter-, AWS- of Azure-servers.

    Als connectors niet correct zijn geconfigureerd, kunnen downstreamprocessen geen taginformatie verkrijgen.

    Connectors weergeven op het tabblad Connectors

    De status van de connector wordt weergegeven in het statusveld en elke 15 seconden bijgewerkt.

    Hier zien we dat de connector niet kon worden geverifieerd met behulp van de verstrekte referenties.

    View connectors

    Controleer de Attribuutfilters

    Zorg ervoor dat de voorvertoning van de regel de overeenkomende IP-adressen voor uw queryvoorwaarde weergeeft.

    Als er geen overeenkomende IP-adressen zijn, kan FMC de dynamische objecttoewijzingen niet ophalen.

    De Attribuutfilters controleren

    Controleer of de IP-toewijzingen voor dynamische kenmerken beschikbaar zijn in Voorbeeld. De knop Voorbeeld weergeven is beschikbaar in het pop-upvenster Dynamisch kenmerkfilter bewerken.

    check attribute filters

    De dynamische objecten in de FMC-gebruikersinterface controleren 

    Zorg er eerst voor dat de FMC-server de bindingen bevat die u verwacht.

    • Kijk onder Objectbeheer, tabblad Externe objecten, controleer Dynamische objecten op bindingen.
    • Als FMC de bindingen niet krijgt, kan FTD ze niet krijgen.

    Controleer de FMC-gezondheidsmonitor en meldingen voor CSDAC-gezondheidswaarschuwingen.

    Dynamische objecten controleren

    Met FMC Object Manager kunt u de huidige IP-adressen voor dynamische objecten downloaden.

    Check Dynamic Objects Object Manager

    CSDAC-gezondheidswaarschuwingen

    In Taakbeheer van de FMC worden gezondheidswaarschuwingen weergegeven als een kernservice, inclusief de connector voor dynamische kenmerken, niet beschikbaar is.  De waarschuwing bevat informatie over de naam en status van de service.

    note-icon

    Opmerking: We hebben nog steeds de "verzamelnaam" in verschillende meldingen en het is hier vereist om de servicenaam voor gedetailleerde informatie op te geven.

    CSDAC Health Alerts Task Manager

    Hier zien we dat muster-bee en muster-local-fmc-adapter "ongezond" zijn.

    Als een fout een van de kernservices aangeeft, moeten er logboeken voor probleemoplossing worden verzameld voor het foutopsporingsonderzoek.

    Check Muster-bee Health Alerts

    CSDAC in probleemoplossingen

    Een CSDAC-probleemoplossing genereren

    • CSDAC-logs worden automatisch verzameld tijdens het genereren van FMC-probleemoplossing.De bundel bevat de status van de Docker, logs en gegevens die nodig zijn om het probleem offline op te sporen. 
    • Een goede praktijk is om de CSDAC-debugmodus in te schakelen voordat fouten worden gereproduceerd waarvoor logboeken voor probleemoplossing worden verzameld. 

    Van /usr/local/sf/csdac aanroepen./muster-cli debug-on

    Zoek de CSDAC-logs in Untarred Troubleshoot in deze mappen:

    /results-XX/command-outputs/csdac_troubleshoot/info

    Dit bevat de gegevens die zijn opgeslagen in de ETCD-database.

    /results-XX/command-outputs/csdac_troubleshoot /log

    Dit bevat de logs van de docker containers.

    /results-XX/command-outputs/csdac_troubleshoot/status.log

    Dit toont de status van de container, de versies en de details van de docker-afbeelding.

    CLI-probleemoplossing

    Met het muster-cli-script kunt u de status van CSDAC controleren vanuit de FMC CLI.

    Als de status voor een service is "Afgesloten" of anders anders dan "Omhoog", dan beginnen met het controleren van logs voor die container.

    De containernaam is nodig voor het ophalen van logs; deze kan worden verkregen uit de uitvoer.

    muster-cli script for CLI

    CSDAC-foutopsporingsmodus

    ‘muster-cli’ script kan worden gebruikt om de debug logs in en uit te schakelen.Standaard worden de containers geregistreerd op de INFO level.INFO en DEBUG zijn de enige ondersteunde niveaus.

    Om de gebruiker op DEBUG-niveau in te schakelen: ./muster-cli debug-on.

    Dit zou meer informatie voor het genereren van problemen en hulp bij debug.This optie moet worden ingeschakeld tijdens het reproduceren van een probleem.

    Om terug te keren naar INFO-niveau gebruik: ./muster-cli debug-off.

    root@firepower:/usr/local/sf/csdac# ./muster-cli debug-on
    Recreating muster-bee ...
    Recreating muster-bee ... done
    Recreating muster-user-analysis     ... done
    Recreating muster-local-fmc-adapter ... done
    Recreating muster-ui-backend        ... done

    Geregistreerde berichten met foutopsporing

    Als de foutopsporingsmodus is ingeschakeld, bevatten alle dockercontainerlogs ook foutopsporingsberichten

    Logboeken in realtime verkrijgen met dockeropdrachten: dockerlogs -f <container_name>

    In het onderstaande voorbeeld laat het foutopsporingsbericht zien wat een gRPC-fout heeft veroorzaakt

    2022-12-12 14:33:29,649 [status_storage] DEBUG: Loading status from /app/status/aws.1_status.json...
    2022-12-12 14:33:29,650 [status_storage] DEBUG: Loading status from /app/status/gcp.1_status.json...
    2022-12-12 14:33:29,651 [status_storage] DEBUG: Loading status from /app/status/github.1_status.json...
    2022-12-12 14:33:29,651 [status_storage] DEBUG: Loading status from /app/status/o365.1_status.json...
    2022-12-12 14:33:43,279 [server] DEBUG: Got health status request.
    2022-12-12 14:33:43,280 [bee_api] WARNING: Got gRPC error from BEE: StatusCode.UNAVAILABLE failed to connect to all addresses; last error: UNKNOWN: Failed to connect to remote host: No route to host

    Voorbeeldprobleem met doorloop voor probleemoplossing

    Problemen oplossen en overzicht

    Probleem:

    Het meest voorkomende probleem dat we tegenkomen is dat FMC niet alle dynamische objectmappings ontvangt. 

    Problemen oplossen:

    Om het probleem op te lossen, hebben we

    • De foutopsporingsmodus inschakelen vanuit "muster-cli"
    • Gegenereerd probleemoplossingsbestand van FMC UI
    • De logbestanden van de CSDAC AWS-connector die zijn verzameld in de probleemoplossing zijn gecontroleerd.
    • Er is gebleken dat CSDAC AWS Connector alleen wordt gevraagd voor het eerste IP-adres in de AWS-instanties.

    Probleemoplossingsbundel voorbereiden

    • Vanuit FMC CLI hebben we de debug mode ingeschakeld met behulp van ./muster-cli debug-on. muster-cli tool is beschikbaar in /usr/local/sf/csdac.
    • Het probleem is opnieuw gemaakt door te wachten tot de connector de status OK heeft en vervolgens de filters voor dynamische kenmerken te controleren.
    • Verzamelde de logboeken voor probleemoplossing van de FMC UI en extraheerde ze.Controleer de logboeken van de AWS-connector op de inhoud van de momentopname

    CSDAC Debug Mode

    Kijk naar de tag attributen voor een IP

    De tagkenmerken voor een bepaald IP-adres worden geregistreerd in de logboeken voor probleemoplossing. Voor AWS Connector hebben we gekeken naar muster-connector-aws.1.muster-docker.log.gz

    Overzicht van cheques

    Ziet de status van de connector en adapter er goed uit?

          Controleer de status op de corresponderende pagina's Connector en Adapter.

    Hebben de connectors alle mappings gekregen?

          Controleer de voorvertoning van de regel voor overeenkomende IP-adressen.

          Controleer de Connector Docker-logs om te zien of de toewijzingen correct worden opgevraagd.

    Heeft de REST-server dynamische tagmappings van de connector ontvangen?

           Controleer de pagina FMC dynamische objecten.

           Controleer de USMS-logs (in /opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log ) om te zien of de FMC REST-server het API-verzoek van CSDAC correct heeft verwerkt.

    V&A

    V: ­Welke versie van on-premises CSDAC ondersteunt een ISE-connector, ­Ik zie ook geen dergelijke connector in versie 7.4.0 (build 1494)­ ­?

                A: ­Dit is in Standalone CSDAC en niet in FMC of in CDO. u hebt een CSDAC-geschikt pakket nodig om dit te testen­

    V: ­Wanneer vrijgegeven, welke on-premises CSDAC-versie zou het zijn?

                A: ­Waarschijnlijk 2.1.0­.

    V: Er is een scherm getoond met een versnelling die een API heeft. Ik denk dat het CSDAC is; wat betekent dat?

                A: ­API explorer is ingebouwd in deze CSDAC, u kunt vanaf die pagina API-oproepen naar CSDAC maken­

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    29-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Navin Sinha
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten