Compreender a visão geral do Smart Licensing e as práticas recomendadas para segurança de e-mail e Web

Introdução

Este documento descreve o processo de ativação, as definições e como solucionar problemas do serviço Smart Licensing no ESA/SMA/WSA.

Pré-requisitos

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Email Security Appliance (ESA) AsyncOS versão 12.0 e mais recente.
• Security Management Appliance (SMA) AsyncOS versão 12.0 e mais recente.
• Web Security Appliance (WSA) AsyncOS versão 11.7 e mais recente.

Note: A habilitação do recurso Smart License no ESA/SMA/WSA é permanente e não permite a opção de reverter um dispositivo para o modo de licença Classic.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

O Smart Licensing permite:

• Gerencie todas as suas licenças de produtos de um local central
• Normalizar o processo entre o ESA/SMA/WSA físico e virtual, com o uso de um método para aplicar e gerenciar licenças
• Aplique facilmente uma licença ao seu ESA/SMA/WSA
• Receber alertas relacionados à expiração da licença
• O modelo de hardware ESA/SMA/WSA, pronto para uso, tem um período de avaliação de 90 dias para todos os serviços

Resumo do tópico global sobre Smart License da Cisco

Embora o objetivo principal deste artigo seja configurar os Serviços de Licenciamento Inteligente no ESA/SMA/WSA, os links estão incluídos para fornecer instruções gerais sobre o tópico.

Para registrar o host ESA/SMA/WSA com licenciamento inteligente, primeiro é necessário que o proprietário do dispositivo possua uma Conta inteligente.

• Contas inteligentes são emitidas uma por domínio.
• O administrador da Smart Account pode criar Virtual Accounts de subnível que permitem a segregação de recursos.
• As Virtual Accounts podem ser usadas para restringir o acesso a diferentes licenças de produtos da Cisco, com base em suas necessidades.
• Seu acesso ao Cisco Smart Software Manager (CSSM) para gerenciar licenças e baixar tokens.

Os links fornecidos pela Cisco incluem vídeos, guias e explicações relacionadas ao Smart Licensing:

• Criar nova Smart Account ou solicitar para adicionar um usuário a uma conta existente
• Página da Web da Cisco de resumo do Smart Software Licensing
• Guia de implantação do Smart Licensing

• Página Cisco Smart Accounts

• Página da Cisco do Gerenciador Inteligente de Software

• Cisco Smart Software Manager (CSSM)

Pronto para uso

• Todos os modelos de hardware que o ESA/SMA/WSA adquiriu incluem licenças de avaliação de 90 dias para todos os recursos.
• Todos os modelos de hardware que migram com as licenças clássicas (CL) atuais recebem licenças de avaliação de 90 dias.
• Todos os modelos de Virtual ESA/SMA/WSA exigem um arquivo de Licença Virtual (VLN) (.xml) básico carregado no dispositivo para vincular ao servidor de atualização.
• Todos os modelos virtuais ESA/SMA/WSA, quando criados, NÃO incluem licenças de 90 dias e exigem registro pela licença Classic VLAN (.xml).
• Todos os modelos virtuais ESA/SMA/WSA que migram com as licenças clássicas (CL) atuais incluem licenças de avaliação de 90 dias.

Requisitos de comunicação

• Comunicação de rede ou proxy smartreceiver.cisco.com na porta TCP 443.

Para testar a conectividade do ESA, siga os seguintes passos:

Etapa 1. Fazer login na CLI.

Etapa 2. Digite telnet e pressione Enter.

Etapa 3. Escolha a interface que você espera que o ESA conecte ao servidor Smart License.

Etapa 4. Digite smartreceiver.cisco.com e pressione enter.

Etapa 5. Na seção da porta, digite 443 e pressione enter.

Uma conexão bem-sucedida mostrará

Tentando 146.112.59.81...
Conectado a 146.112.59.81.

Uma conexão malsucedida mostrará

Tentando 146.112.59.81...
telnet: conectar ao endereço 146.112.59.81: Timeout da operação

Para verificar se o IP correto está retornando, execute um nslookup

Etapa 1. Digite nslookup e pressione Enter.

Etapa 2. digite smartreceiver.cisco.com e pressione enter.

Etapa 3. Escolha o tipo de consulta; selecione o número que é igual ao valor para A pressione enter

Etapa 4. Verificar a saída para o endereço IP de retorno

Um IP verificado retornaria

A=146.112.59.81

*O endereço IP no teste pode ser diferente do que é observado em seu ambiente de produção.*

Descrição da ferramenta CSSM e das guias

Uma ilustração básica das guias do CSSM:

• Guia Geral
  
  • O local para gerar o token (o token é baseado em tempo e pode ser usado para registrar vários ESA/SMA/WSA.
  • Certifique-se de que o(a) apropriado(a) Virtual Account (a) tenha sido selecionado(a) porque um usuário pode ter várias Virtual Accounts.
  • Novo token, abre um modelo para ser concluído e resulta em umaTokenentrada de linha na tabela.
  • As ações podem ser executadas repetidamente, conforme necessário, e exibe opções para; Copy,DownloadeRevokeo token.

Guia Geral de CSSM

• Guia Licenças
  • O local para revisar e confirmar a presença e a disponibilidade de licenças.
  • A colunaLicenselista os nomes dos serviços ou pacotes adquiridos.
  • A colunaPurchasedlista a presença de chaves utilizáveis.
  • A coluna Alerts exibe mensagens importantes com relação a uma licença específica.

Guia Licença de CSSM

•  Guia Product Instances (Instâncias de Produto)
  
  • Exibe os nomes, modelos, última comunicação e Alertas individuais do equipamento.

Guia Instâncias de produto do CSSM

Gerar um token a partir do CSSM

• Inicie a página da Web do CSSM.
  • Cisco Smart Software Manager (CSSM)
•  Início da página, selecione Inventory.
  • Depois de carregada, selecione a opção apropriadaVirtual Accountna parte superior esquerda da página
  • Uma grande empresa pode ter várias Virtual Accounts atribuídas a uma única Smart Account, o que exige uma seleção da Virtual Account apropriada relacionada às licenças ESA/SMA/WSA
  • Guias: General,Licenses, Product Instances, e Event Log
• Gere um token a partir do CSSM.
  • Selecione a General guia
  • No cabeçalho Product Instance Registration Tokens, selecione o New Token botão
  • Uma janela é exibida para concluir os valoresDescriptioneExpire After.
  • Criar um token
  • Retorne àGeneralguia, selecione a guia suspensa Actions para copiar ou baixar o token

SAMPLE TOKEN FILE
Token:           M2UyYmIxYTktNzJmMy00ZxxxxxxxxxxxxxxxxxxxxZjVhMDMwLTE1NDE3Mzcx%0ANDU2ODR8RlluSVI5NmxCUS92SnVzUjUvcVViV0ZyVVFrcHBxNVh2TVdNa1My%0AeGJYMD0%3D%0A
Virtual Account:   ESA
Smart Account:      InternalTestDemoAccount.MY_DOMAIN.com
Token Description: SMA_token
Export-Controlled Functionality:  Allowed
Created by User:   my_CCOID
Contact Email:       ADMIN@MY_DOMAIN.com
Expiry Date:       2018-Nov-09 04:19:05 (in 18 days)

* Note: this token file was downloaded on October 22nd 2018
* Note: copy entire token string to use for product instance registration

Ative o recurso Smart License no ESA/SMA/WSA

• Ativação da interface do usuário da Web:
  
  • Navegue até System Administration > Smart Software Licensing.
  • Selecionar Enable Smart Software Licensing.
  • As opções listadas fornecem as opções para solicitar chaves de recurso:
    • Opção 1: Usar um token para registrar e solicitar os recursos necessários
    • Opção 2: Registrar sem um token e ter um Período de Avaliação de 90 dias
  • Selecionar OK.
  • Confirmar alterações.
• Ativação de CLI:
  
  • Execute o comando: license_smart > Enable > Y.
  • As Opções 1 e 2 são listadas da mesma forma que a descrição anterior da interface do usuário.
  • Selecionar OK.
  • Consolidação.

Registrar o ESA/SMA/WSA em uma Smart Account com o token

• Navegue até System Administration > Smart Software Licensing.
• Selecione oRegisterbotão para abrir a página pop-up de registro.
• Cole o token copiado no espaço fornecido na etapa 4.
• Selecione Register para concluir as etapas (A janela pop-up é fechada).
• Atualize a páginaSmart Software Licensingapós 30 segundos para exibir o novo status.
• Depois de concluído, o campo Registration Status mostra a palavra Registered, juntamente com as datas de vencimento do registro.

"Registro" do Smart Software Licensing

Pop-up de registro.

Confirmação de registro.

Ações

Tarefas adicionais podem ser executadas no menu suspenso Smart LicensingActions.

• Renovar autorização
  • Conclua esta tarefa para renovar manualmente o Status de Autorização de Licença para todas as licenças listadas sob o Tipo de Licença.

Note: A autorização da licença é renovada automaticamente a cada 30 dias. O status de autorização da licença expira após 90 dias se o ESA/SMA/WSA não se comunicar com o CSSM.

• Renovar registro
  • Conclua esta ação para renovar manualmente o registro.

Note: O registro inicial é válido por um ano. A renovação do registro é executada automaticamente a cada seis meses, se o dispositivo tiver conectividade com o CSSM.

• Cancelar registro
  • Desconecta o ESA/SMA/WSA do CSSM.
  • O sistema faz a transição para o Modo de Avaliação.
  • As licenças consumidas pelo ESA/SMA/WSA são liberadas e creditadas na Smart Account para reutilização.

• Registrar novamente
  • Registre novamente o ESA/SMA/WSA no CSSM.

Note: O novo registro pode ser usado para migrar entre várias Virtual Accounts de uma empresa.

Definições relacionadas à Smart License

Tipos de licença:

• Licença clássica (CL): CL refere-se aos métodos herdados usados para licenças de hardware e virtuais.
• Licença inteligente (SL): SL refere-se ao Smart Licensing.
• Status de autorização da licença - É o status de uma determinada licença no equipamento.
• O ESA/WSA/SMA não exibe a data de expiração real na página Smart Licenses.
• Local: Web UI > System Administration > Licenses.
• Local: CLI > license_smart > summary.

O status de um recurso específico é exibido com um destes valores:

• Avaliação:
  • O Serviço SL foi habilitado em um novo (Hardware) ESA/SMA sem registro de token.
  • O Serviço SL foi habilitado em um dispositivo com o CL atual instalado.
• Avaliação expirada: 90 dias de avaliação de NS expiraram e o dispositivo passou para o período de cortesia adicional de 30 dias.
• Em conformidade: o dispositivo foi registrado com um token e atualmente o recurso consome uma licença válida.
• Fora de conformidade (período de cortesia) pode ser observado em 2 cenários:
  
  • A solicitação com um clique para uma licença de recurso temporária de 30 dias está em uso
  • Uma licença expirou no equipamento e o período de cortesia de 30 dias foi iniciado
• Fora de conformidade (expirado): Licença totalmente expirada e o serviço associado deixa de funcionar

Administração do sistema > Licenças

Note: As páginas do Smart Licensing da IU da Web contêm vários botões informativos na forma de um?para ajudar a definir valores.

Como visualizar a expiração da licença

Como posso ver a data de vencimento real?

As datas de expiração da licença podem ser visualizadas no site de gerenciamento de software inteligente do CSSM.

• Navegue até: Inventory > Virtual Account > Licenses >. Clique em um nome de licença para abrir a janela pop-up.
• A guiaOverviewmostra a contagem de licenças atual, as datas de compra e de expiração.
• A guiaTransaction Historymostra cada compra/expiração por transação.

CSSM: Exibir vencimento da licença.

Serviços de log para Smart Licensing

As atividades de log do ESA/SMA/WSA relacionadas ao Smart Licensing para ossmartlicenselogs. Os registros podem ser visualizados na CLI. Os logs também podem ser baixados para um computador local para revisão.

A saída mostrada é um exemplo da ação de registro dossmartlicenselogs:

Mon Jan 28 08:40:57 2019 Info: The administrator has requested to register the product with Smart Software Manager.
Mon Jan 28 08:41:07 2019 Info: Smart License: NotifyExportControlled notification has been ignored
Mon Jan 28 08:41:12 2019 Info: The product is registered successfully with Smart Software Manager.
Mon Jan 28 08:41:17 2019 Info: Smart License: Moved out of evaluation mode
Mon Jan 28 08:41:17 2019 Info: Renew authorization of the product with Smart Software Manager is successful.
Mon Jan 28 08:42:18 2019 Info: Email Security Appliance Anti-Spam License license has been moved to In Compliance successfully.
Mon Jan 28 08:42:23 2019 Info: Email Security Appliance Outbreak Filters license has been moved to In Compliance successfully.
Mon Jan 28 08:42:28 2019 Warning: Email Security Appliance Graymail Safe-unsubscribe license has been moved to Out of Complaince successfully.
Mon Jan 28 08:42:33 2019 Warning: Email Security Appliance Cloudmark Anti-Spam license has been moved to Out of Complaince successfully.
Mon Jan 28 08:42:44 2019 Warning: The Mail Handling is in Out of Compliance (OOC) state. You have 4 days remaining in your grace period.
Mon Jan 28 08:42:48 2019 Info: Email Security Appliance Sophos Anti-Malware license has been moved to In Compliance successfully.
Mon Jan 28 08:42:53 2019 Warning: Email Security Appliance PXE Encryption license has been moved to Out of Complaince successfully.
Mon Jan 28 08:42:59 2019 Warning: Email Security Appliance Data Loss Prevention license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:04 2019 Warning: Email Security Appliance Advanced Malware Protection license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:09 2019 Warning: Email Security Appliance McAfee Anti-Malware license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:14 2019 Warning: Email Security Appliance Intelligent Multi-Scan license has been moved to Out of Complaince successfully.
Mon Jan 28 08:43:15 2019 Warning: The Email Security Appliance Intelligent Multi-Scan is in Out of Compliance (OOC) state. You have 4 days remaining in your grace period.
Mon Jan 28 08:43:19 2019 Info: Email Security Appliance External Threat Feeds license has been moved to In Compliance successfully.
Mon Jan 28 08:43:24 2019 Info: Email Security Appliance Bounce Verification license has been moved to In Compliance successfully.
Mon Jan 28 08:43:29 2019 Info: Email Security Appliance Image Analyzer license has been moved to In Compliance successfully.
Mon Jan 28 10:18:56 2019 Info: Renew authorization of the product with Smart Software Manager is successful.

Exemplo com uma interpretação dos valores:

Este exemplo mostra:

• O Período de Avaliação interrompeu sua contagem porque o host foi registrado.
• O host foi registrado com uma Smart Account: InternalTestDemo111.cisco.com.
• O ESA está associado à Virtual Account: ESA_EMEA.
• Chaves no estado Out of Compliance 18 days.
  • As chaves expiraram e aumentam o período de carência de 30 dias.
  • Chaves no estado Out of Compliance Expired.
    • As chaves expiraram e esgotaram o período de carência de 30 dias. O recurso está desabilitado.

Smart Licensing is : Enabled

Evaluation Period: Not In Use
Evaluation Period Remaining: 81 days 7 hours 32 minutes
Registration Status: Registered ( 30 Oct 2018 07:57 ) Registration Expires on:  ( 04 Dec 2019 16:11 )
Smart Account : InternalTestDemo111.cisco.com
Virtual Account : ESA_EMEA
Last Registration Renewal Attempt Status : SUCCEEDED on 04 Dec 2018 16:16
License Authorization Status: Out Of Compliance ( 30 Oct 2018 07:57 ) Authorization Expires on:  ( 05 Mar 2019 03:29 )
Last Authorization Renewal Attempt Status: SUCCEEDED on 05 Dec 2018 03:34
Product Instance Name: beta.ironport.com
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)


beta.ironport.com (SERVICE)> license_smart


Choose the operation you want to perform:
- URL - Set the Smart Transport URL.
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- DEREGISTER - Deregister the product from Smart Licensing.
- REREGISTER - Reregister the product for Smart Licensing.
- RENEW_AUTH - Renew authorization of Smart Licenses in use.
- RENEW_ID - Renew registration with Smart Licensing.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.
[]> summary

Feature Name                                                        License Authorization Status      Grace Period
-----------------------------------------------------------------------------------------------------------------------------
Email Security Appliance Anti-Spam License                             In Compliance                     N/A
Email Security Appliance Outbreak Filters                              Out Of Compliance                 18 days
Email Security Appliance Graymail Safe-unsubscribe                     Out Of Compliance                 Expired
Email Security Appliance Cloudmark Anti-Spam                           Out Of Compliance                 Expired
Email Security Appliance Advanced Malware Protection Reputation        Out Of Compliance                 Expired
Mail Handling                                                          In Compliance                     N/A
Email Security Appliance Sophos Anti-Malware                           In Compliance                     N/A
Email Security Appliance PXE Encryption                                Out Of Compliance                 Expired
Email Security Appliance Data Loss Prevention                          Out Of Compliance                 Expired
Email Security Appliance Advanced Malware Protection                   Out Of Compliance                 Expired
Email Security Appliance McAfee Anti-Malware                           Out Of Compliance                 Expired
Email Security Appliance Intelligent Multi-Scan                        Out Of Compliance                 17 days
Email Security Appliance External Threat Feeds                         Out Of Compliance                 17 days
Email Security Appliance Bounce Verification                           Out Of Compliance                 17 days
Email Security Appliance Image Analyzer                                Out Of Compliance                 21 days

Informações Relacionadas

• Guias do usuário do ESA
• Notas de versão do ESA
• Guias de referência CLI do ESA