Inleiding
In dit document wordt de wijziging beschreven van webbeleid naar op regels gebaseerd beleid in Cisco Umbrella.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op Cisco Umbrella Secure Internet Gateway (SIG).
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Overzicht
Vanaf 31 maart 2021 werd een nieuwe functie genaamd "Rule-Based Policy" algemeen beschikbaar gemaakt voor Umbrella Secure Internet Gateway (SIG) klanten. Het webbeleid werd voor het huidige beleidsmodel omgezet in een regel-model. Het oude webbeleid gebruikte een statische volgorde van bewerkingen voor beleidscomponenten die een of meer bestemmingen vertegenwoordigen omdat de componenten bestemmingslijsten toestaan/blokkeren, toepassingsinstellingen en inhoudscategorieën bevatten. De statische volgorde van bewerkingen was als volgt:
1. Bestemmingslijsten toestaan
2. Toepassingsinstellingen toestaan
3. Blokken van de beveiligingscategorie
4. Lijst van eindbestemmingen blokkeren
5. Toepassingsinstellingen blokkeren
6. Blokken voor inhoudscategorieën
Een andere beperking van het beleidsmodel was dat alle identiteiten die verband houden met het beleid beleid zouden ontvangen. Dus als een enkele gebruiker of groep identiteiten een wijziging in hun webbeleid nodig heeft, moet er een nieuw webbeleid voor hen worden gemaakt.
Het nieuwe regelmodel legt echter de volledige controle in handen van de beheerder. Sommige regels zijn gemaakt die van invloed zijn op een grote groep identiteiten, terwijl andere regels van toepassing zijn op een enkele identiteit of kleinere groepen identiteiten zonder dat deze identiteiten naar een afzonderlijk beleid hoeven te worden verplaatst. Ook de volgorde van de bewerkingen wordt gemakkelijk gecontroleerd door de beheerder door simpelweg regels opnieuw te ordenen.
Vergelijking met het oude beleidsmodel
Met nieuwe regels kunnen eindgebruikers deze acties uitvoeren, terwijl het oude model niet:
- Beveiliging negeren nadat een actie 'Toestaan' is uitgevoerd
- Tijdstip van de dag en de dag van de week Schema's voor de toepassing van de regel
- Een actie "Waarschuwen" uitvoeren voor inhoudscategorieën
- Maak een virtuele browser die de hosts-verzoeken naar bestemmingen "isoleert" op basis van de ingestelde identiteiten van de regel
Screen_Shot_2021-05-05_at_3.51.38_PM.png
Lees voor meer informatie de documentatie over het instellen van de paraplu: Beheer het webbeleid
Overgangsacties
In Umbrella moest een nieuwe regeltaal worden gecreëerd om de verwerking van regels te vergemakkelijken, en daarmee werd een nieuwe database gecreëerd om deze regels op te slaan. De overgang bestond uit twee stappen:
1. Bestaande beleidscomponenten werden gekopieerd van de oude database die door webbeleidsregels wordt gebruikt naar de nieuwe database die door regels wordt gebruikt. Deze componenten werden ontdaan van elke actie (zoals toestaan of blokkeren), omdat regels de actie kunnen uitvoeren. Beleidscomponenten werden dus actie-agnostisch. De gekopieerde componenten erfden echter een "allow" of "block" -label op hun naam om aan te geven wat hun bedoeling was in het oude systeem voor context. Toepassingsinstellingen waren een speciaal geval omdat ze uniek waren in die zin dat ze zowel toegestane als geblokkeerde acties uitvoerden. Elke component met toepassingsinstellingen die beide acties uitvoerde, werd in tweeën gesplitst: één voor de toegestane apps en één voor de geblokkeerde apps. Er zijn maximaal 5 regels gemaakt voor elk overgezet webbeleid. Als voor een webbeleid niet alle typen beleidscomponenten zijn geconfigureerd, worden alleen de componenten die voor dat webbeleid zijn geconfigureerd, overgezet, wat resulteert in minder automatisch gegenereerde regels. Deze screenshot is een voorbeeld van een webbeleid dat is omgezet met alle 5 regels die automatisch zijn gegenereerd:

2. Nadat de back-end volledig was overgezet, werd de nieuwe gebruikersinterface ingeschakeld. Merk op dat totdat de nieuwe gebruikersinterface is ingeschakeld, iedereen die zich aanmeldt op het dashboard nog steeds zag en in staat was om te communiceren met de oude gebruikersinterface.
- Alle wijzigingen die in dit onvolledige stadium in het webbeleid zijn aangebracht, zijn opgeslagen toen de nieuwe gebruikersinterface werd ingeschakeld.
overgangstijdstip
U hebt een datum en tijdsbestek ontvangen waarin de overgang heeft plaatsgevonden en is doorgegeven door uw vertegenwoordiger voor klantsucces en/of het berichtensysteem van Umbrella in uw dashboard. Een automatisch gegenereerde regel nam de plaats en prioriteitsvolgorde van elke geconfigureerde beleidscomponent voor alle vorige webbeleidsregels. Zodra de nieuwe gebruikersinterface was ingeschakeld, was de cutover naadloos en omdat de automatisch gegenereerde regels dezelfde actie en prioriteit van het bestaande webbeleid weerspiegelden, was er geen verandering in het gedrag in de overgang van webbeleid naar regels. Er was geen downtime voor handhaving van het webbeleid tijdens deze overgang.
Wijzigingen na 31 maart 2021
Tijdens de overgang, werden alle wijzigingen in uw web beleid vastgelegd in de nieuwe regelsets. Dit komt door het kopiëren van bestaande beleidscomponenten van de oude database naar de nieuwe database. Zodra de kopie is voltooid, is de nieuwe gebruikersinterface niet meer ingeschakeld. Totdat de nieuwe gebruikersinterface was ingeschakeld, was het webbeleid actief en werden eventuele wijzigingen in dat webbeleid naar de oude database geschreven en niet naar regels geconverteerd.
Technische ondersteuning
Als u werkt met een Customer Success Manager, Technical Account Manager of Service Delivery Manager, dan kunnen zij vragen beantwoorden.Meld technische problemen aan Cisco Umbrella Support.