关于 Cisco Secure Dynamic Attributes Connector
Cisco Secure Dynamic Attributes Connector 让您能够在 Firepower 管理中心 (FMC) 访问控制规则中使用来自各种云服务平台的服务标签和类别。
由于工作负载的动态性质和 IP 地址重叠的必然性,网络结构(例如 IP 地址)在虚拟、云和容器环境中并不可靠。客户需要根据非网络结构(例如虚拟机名称或安全组)定义策略规则,以便即使 IP 地址或 VLAN 发生更改,防火墙策略也能保持不变。
我们目前支持:
-
Microsoft Azure 服务器标签
有关详细信息,请参阅 Microsoft TechNet 上的虚拟网络服务标签等资源
-
Amazon Web 服务 (AWS) 服务标签
有关更多信息,请参阅 Amazon 文档站点上的标记 AWS 资源等资源
-
Office 365
有关详细信息,请参阅 docs.microsoft.com 上的 Office 365 URL 和 IP 地址范围。
-
vCenter 和 NSX-T 管理的 VMware 类别和标签
有关详细信息,请参阅 VMware 文档站点中 vSphere 标签和属性等资源
您可以使用在 Ubuntu 虚拟机上运行的 dynamic attributes connector Docker 容器来收集这些标签和属性。使用 Ansible 集合在 Ubuntu 主机上安装 dynamic attributes connector。
下图显示了系统的总体运行情况。
如图所示:
-
连接器(当前为 AWS、Azure 和 vCenter)包含要查询的标签和容器。
通常,这些标签会定义动态分配的网络和 IP 地址(比方说),而这些内容无法写入访问控制规则。来自连接器的源存储在 dynamic attributes connector 上,以便快速访问。
-
标签信息会保留在您创建动态属性过滤器的 dynamic attributes connector 上,这些过滤器会定义哪些信息必须用于访问控制规则中。
例如,如果 vCenter 为记帐和财务部门虚拟机定义网络,则可以创建仅指定财务网络的过滤器。
-
dynamic attributes connector 定义的 FMC 适配器会将这些动态属性过滤器作为动态对象接收,并允许您将它们用于访问控制规则中。