Introdução
Este documento descreve a mudança de políticas da Web para políticas baseadas em regras no Cisco Umbrella.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas no Cisco Umbrella Secure Internet Gateway (SIG).
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Overview
A partir de 31 de março de 2021, um novo recurso chamado "Rule-Based Policy" (Política baseada em regras) foi disponibilizado para clientes do Umbrella Secure Internet Gateway (SIG). As políticas da Web foram transferidas de seu modelo de política atual para um modelo de regra. As políticas da Web antigas usavam uma ordem estática de operações para componentes de política que representam um ou mais destinos pois os componentes incluem Listas de destinos de permissão/bloqueio, Configurações de aplicativo e Categorias de conteúdo. A ordem estática das operações era a seguinte:
1. Permitir Listas de Destino
2. Permitir Configurações do Aplicativo
3. Blocos de Categorias de Segurança
4. Bloquear Listas de Destino
5. Bloquear Configurações do Aplicativo
6. Blocos de Categoria de Conteúdo
Outra restrição do modelo de política era que todas as identidades associadas à política receberiam a política. Portanto, se um único usuário ou grupo de identidades precisar de uma alteração em sua política da Web, uma nova política da Web deverá ser criada para eles.
No entanto, o novo modelo de regra coloca o controle total nas mãos do administrador. Foram criadas algumas regras que afetam um grande grupo de identidades, enquanto outras regras se aplicam a uma única identidade ou a grupos menores de identidades sem a necessidade de mover essas identidades para uma política separada. Além disso, a ordem das operações é facilmente controlada pelo administrador, simplesmente reorganizando as regras.
Comparação de regras com o antigo modelo de política
As novas regras permitem que os usuários finais executem essas ações enquanto o modelo antigo não pode:
- Substituir a segurança após a execução de uma ação "Permitir"
- Programações de Hora do Dia e Dia da Semana para aplicação de regra
- Executar uma ação de "Aviso" para categorias de conteúdo
- Criar um navegador virtual que "Isole" as solicitações de host aos destinos pelas identidades do conjunto de regras
Screen_Shot_2021-05-05_at_3.51.38_PM.png
Para obter mais informações, leia a documentação de configuração do Umbrella: Gerenciar a política da Web
Ações de transição
Uma nova linguagem de regras tinha que ser criada no Umbrella para facilitar o processamento de regras e, com isso, um novo banco de dados foi criado para armazenar essas regras. A transição teve duas etapas:
1. Os componentes de política existentes foram copiados do banco de dados antigo usado pelas políticas da Web para o novo banco de dados usado pelas regras. Esses componentes foram removidos de qualquer ação (como permitir ou bloquear), pois as regras podem executar a ação. Assim, os componentes das políticas tornaram-se independentes da ação. No entanto, os componentes copiados herdaram um rótulo "permitir" ou "bloquear" para seu nome para designar qual era sua intenção no sistema antigo para contexto. As configurações do aplicativo eram um caso especial, pois eram exclusivas, pois carregavam ações de permissão e bloqueio. Qualquer componente de configurações do aplicativo que executasse ambas as ações seria dividido em dois: um para os aplicativos permitidos e outro para os aplicativos bloqueados. Até 5 regras foram criadas para cada política da Web transicionada. Se uma política da Web não tiver todos os tipos de componentes de política configurados para ela, somente os componentes que foram configurados para essa política da Web que foram transferidos resultarão em menos regras geradas automaticamente. Esta captura de tela é um exemplo de uma política da Web que foi transicionada com todas as 5 regras geradas automaticamente:

2. Depois que o back-end foi totalmente transicionado, a nova interface do usuário foi habilitada. Observe que, até que a nova interface do usuário seja habilitada, qualquer pessoa que fizer login no painel ainda verá e poderá interagir com a interface do usuário antiga.
- Todas as alterações feitas nas políticas da Web neste estágio incompleto foram salvas quando a nova interface do usuário foi habilitada.
Temporização da transição
Você recebeu uma data e um cronograma em que a transição ocorreu e foi retransmitida por seu representante de sucesso do cliente e/ou pelo sistema de mensagens da Umbrella em seu painel. Uma regra gerada automaticamente definiu o local e a ordem de prioridade de cada componente de política configurado para todas as políticas da Web anteriores. Uma vez que a nova interface do usuário foi habilitada, a transição foi perfeita e, como as regras geradas automaticamente refletiam a mesma ação e prioridade das políticas da Web herdadas, não houve alteração no comportamento de transição de políticas da Web para conjuntos de regras. Não houve tempo de inatividade para as aplicações de política da Web durante essa transição.
Mudanças após 31 de março de 2021
Durante a transição, todas as alterações feitas em suas políticas da Web foram capturadas nos novos conjuntos de regras. Isso ocorre devido à cópia de componentes de política existentes do banco de dados antigo para o novo. Após a conclusão da cópia, houve um atraso na ativação da nova IU. Até que a nova IU fosse habilitada, as políticas da Web estavam ativas e todas as alterações a essas políticas da Web eram gravadas no banco de dados antigo e não convertidas em regras.
Suporte Técnico
Se você estiver trabalhando com um gerente de sucesso do cliente, um gerente técnico de contas ou um gerente de prestação de serviços, eles poderão responder às perguntas.Relate problemas técnicos ao Cisco Umbrella Support.