使用入门

First Published: April 12, 2023

关于本指南

本文档适用于载入 Cisco Secure Workload:

  • 介绍关键的 Cisco Secure Workload 概念:分段、工作负载标签、范围、分层范围树和策略发现。

  • 解释使用首次用户体验向导创建范围树的第一个分支的过程。

  • 介绍了根据实际流量为所选应用自动生成策略的过程。

简介

传统上,网络安全的目的是通过网络边缘的防火墙将恶意活动阻挡在网络之外。但是,您还需要保护组织免受入侵网络或来自网络内部的威胁。网络分段或微分段有助于通过控制工作负载与网络上其他主机之间的流量来保护工作负载;因此,只允许贵组织出于业务目的所需的流量,而拒绝所有其他流量。

Cisco Secure Workload 使用组织的流量数据来建议策略,您可以在执行策略前对其进行评估和批准。此外,您也可以手动创建这些策略来对网络进行分段。

例如,您可以使用策略来阻止托管面向公众的网络应用程序的工作负载与数据中心的研发数据库进行所有通信,或阻止非生产工作负载与生产工作负载进行联系。

向导之旅

欢迎使用 Cisco Secure Workload。标记和分组工作负载对于 Cisco Secure Workload 的强大功能至关重要。

载入是一种用户友好的引导方法,可帮助您在环境中安全地设置和部署应用。您可以对网络进行分段,只允许业务所需的流量,并阻止所有其他通信。

为帮助您开始操作,请选择左侧菜单上的“概述”(Overview),导航至“快速入门向导”(Quick Start Wizard)。该向导通常会为 Cisco Secure Workload 做好准备,以便开始创建分段策略来控制网络上的流量,并提供一系列步骤,每个步骤都侧重于特定的安全方面,并提示用户做出明智的选择,以安全地配置其工作负载。

以下用户角色可以访问该向导:

  • 站点管理员

  • 客户支持

  • 范围所有者

安装代理

在 Cisco Secure Workload 中,您可以在应用工作负载上安装软件代理。软件代理会收集有关网络接口和主机系统上运行的活动进程的信息。

可通过两种方式来安装软件代理:

  • 代理脚本安装程序 - 使用此方法在安装软件代理时进行安装、跟踪和故障排除。支持的平台包括 Linux、Windows、Kubernetes、AIX 和 Solaris。

  • 代理映像安装程序 - 下载软件代理映像,为您的平台安装特定版本和软件代理类型。支持的平台包括 Linux 和 Windows。

载入向导会根据所选的安装程序方法引导您完成安装代理的过程。有关软件代理安装的信息,请参阅 Cisco Secure Workload UI 和《Cisco Secure Workload 用户指南》中的说明。

对工作负载进行分组和标记

组织会为一组工作负载分配标签以创建范围。分层范围树有助于将工作负载划分为较小的组,同时为单个应用保留范围树中的最低分支。

从范围树中选择父范围来创建新范围,新范围包含父范围成员的子集。

在此窗口中,按层次结构将工作负载分为不同的组。将网络划分为不同层次的组,以提高策略发现和定义的灵活性和可扩展性。

该向导有助于将标签应用于工作负载,这些标签是描述工作负载或端点的关键参数,以键值对的形式表示。然后将这些标签分组到范围中,并根据相关标签自动将工作负载分组到范围中。您可以根据范围来定义分段策略。

将鼠标悬停在树状图中的每个块或范围上,即可了解更多有关其包含的工作负载或主机类型的信息。

在“开始使用范围和标签”(Get Started with Scopes and Labels) 窗口中,“组织”(Organization)、“基础设施”(Infrastructure)、“环境”(Environment) 和“应用”(Application) 是键,与每个键并列的灰色框中的文本是值。

例如,属于应用 1 的所有工作负载都由这组标签定义:

  • 组织 = 内部

  • 基础设施 = 数据中心

  • 环境 = 预生产

  • 应用 = 应用 1

标签和范围树的强大功能

标签驱动 Cisco Secure Workload 的强大功能,根据标签创建的范围树不仅仅是网络的摘要:

  • 标签可让您立即了解您的策略:

    "Deny all traffic from Pre-Production to Production"

    将此策略与没有标签的相同策略进行比较:

    "Deny all traffic from 172.16.0.0/12 to 192.168.0.0/16"

  • 在资产中添加(或删除)贴有标签的工作负载时,基于标签的策略会被自动应用(或停止应用)。随着时间的推移,这些基于标签的动态分组会大大减少维护部署所需的工作量。

  • 工作负载根据其标签分组到范围中。通过这些分组,您可以轻松地将策略应用于相关工作负载。例如,您可以轻松地将策略应用于预生产范围内的所有应用。

  • 在单个范围中创建策略后,这些策略会自动应用到树中下级范围的所有工作负载,从而最大限度地减少必须管理的策略数量。

    例如,您可以轻松地将策略广泛定义并应用于组织内的所有工作负载,或狭义定义并应用于特定应用程序的工作负载,或两者之间的任何级别(例如,数据中心的所有工作负载)。

  • 您可以将每个范围的责任分配给不同的管理员,让更熟悉网络的人负责策略管理。

为您的组织构建分层

开始构建层次结构或范围树;这包括识别资产并对其进行分类、确定范围、定义角色和职责、制定政策和程序以创建范围树的分支。

向导会引导您创建范围树的一个分支。为每个蓝色轮廓的范围输入 IP 地址或子网,标签会根据范围树自动应用。

前提条件:

  • 收集与预生产环境、数据中心和内部网络相关的 IP 地址或子网。

  • 尽可能多地收集 IP 地址或子网,稍后再添加其他 IP 地址或子网。

  • 在构建树的过程中,可以为树上的其他范围(灰色块)添加 IP 地址或子网。

要创建范围树,请执行以下任务:

定义内部范围

内部范围包括定义组织内部网络的所有 IP 地址,包括公共和专用 IP 地址。

该向导将引导您向树分支机构中的每个范围添加 IP 地址。在添加地址时,向导会为定义范围的每个地址分配标签。

例如,在此“范围设置”(Scope Setup) 窗口中,向导会为每个 IP 地址 
Organization=Internal
分配标签。

默认情况下,向导会在 RFC 1918 中定义的专用互联网地址空间中添加 IP 地址

无需一次性输入所有 IP 地址,但必须包括与所选应用相关的 IP 地址,其他 IP 地址可稍后再添加。

定义数据中心范围

此范围包括定义本地数据中心的 IP 地址。输入定义内部网络的 IP 地址/子网

范围名称应简短且有意义。

在此窗口中,输入为组织输入的 IP 地址,这些地址必须是内部网络地址的子集。如果您有多个数据中心,则将所有这些数据中心都包括在此范围内,以便您可以定义一组策略。

您可以在稍后阶段添加更多地址。例如,向导会为每个 IP 地址分配这些标签:

Organization=Internal
Infrastructure=Data Centers

定义预生产范围

此范围包括非生产应用和主机的 IP 地址,例如开发、实验、测试或暂存系统。

确保不包含用于开展实际业务的任何应用的地址,将它们用于稍后定义的生产范围。

在此窗口输入的 IP 地址必须是为数据中心输入的地址的子集,包括所选应用的地址。理想情况下,它们还应包括不属于所选应用的预生产地址。


您可以在稍后阶段添加更多地址。

查看范围树、范围和标签

在开始创建范围树之前,请查看左侧窗口中的层次结构。根范围显示为所有已配置 IP 地址和子网自动创建的标签。在流程的后期阶段,应用会被添加到该范围树中。

您可以展开和折叠分支,并向下滚动以选择特定范围。在右侧窗格中,您可以看到为特定范围的工作负载分配的 IP 地址和标签。在此窗口中,您可以在将应用添加到此范围之前查看、修改范围树。

如果您想在退出向导后查看这些信息,请从导航菜单中选择组织 (Organize) > 范围和资产 (Scopes and Inventory)

查看范围树

在开始创建范围树之前,必须查看范围层次结构。根范围显示为所有已配置 IP 地址和子网自动创建的标签。在流程的后期阶段,应用会被添加到该范围树中。

快速启动向导 - 查看范围树

您可以展开和折叠分支,并向下滚动以选择特定范围。在右侧窗格中,您可以看到为特定范围的工作负载分配的 IP 地址和标签。在此窗口中,您可以在将应用添加到范围之前查看、修改范围树。

如果您想在退出向导后查看这些信息,请从导航窗格中选择组织 (Organize) > 范围和资产 (Scopes and Inventory)

创建范围树

在查看范围树后,创建范围树。

创建范围树

有关范围树的信息,请参阅《Cisco Secure Workload 用户指南》中的“范围和资产”部分。

后续步骤

安装 Agent

在与所选应用程序相关的工作负载上安装 SecureWorkload 代理。代理收集的数据用于根据网络上的现有流量生成建议的策略。数据越多,制定的政策就越准确。有关详细信息,请参阅《Cisco Secure Workload 用户指南》中的“软件代理”部分。

添加应用

将第一个应用添加到范围树。选择在数据中心的裸机或虚拟机上运行的预生产应用。添加应用后,您可以开始发现此应用的策略。有关详细信息,请参阅《Cisco Secure Workload 用户指南》的“范围和资产”部分。

在内部范围设置通用策略

在“内部”范围应用一组通用策略。例如,只允许通过特定端口从网络向网络外传输流量。

用户可以使用“集群”、“资产过滤器”和“范围”手动定义策略,也可以使用自动策略发现从流数据中发现和生成策略。

安装代理并让流量数据积累至少几个小时后,就可以启用 Cisco Secure Workload,以便根据流量发现策略。有关详细信息,请参阅《Cisco Secure Workload 用户指南》的“自动发现策略”部分。

在内部(或内部或根)范围内应用这些政策,以有效审查政策。

添加 Cloud Connector

如果您的组织在 AWS、Azure 或 GCP 上有工作负载,请使用 Cloud Connector 将工作负载添加到您的范围树。有关详细信息,请参阅《Cisco Secure Workload 用户指南》中的“Cloud Connector”部分。

快速入门工作流程

步骤

相应操作

详细信息

1

(可选)带注释的向导导览

向导之旅

2

选择要开始分段之旅的应用。

为获得最佳效果,请遵循 选择应用中的准则。

3

收集 IP 地址。

向导将请求 4 组 IP 地址。

有关详细信息,请参阅收集 IP 地址

4

运行向导

要查看要求和访问向导,请参阅运行向导

5

为代理留出时间收集流数据。

更多的数据会产生更准确的策略。

所需的最短时间取决于应用的使用情况。

6

根据实际流数据生成(“发现”)策略。

有关如何生成策略的信息,请参阅自动生成策略

收集 IP 地址

至少收集以下列表中的部分 IP 地址:

  • 定义您的内部网络的地址

    默认情况下,向导使用为专用互联网保留的标准地址。

  • 为数据中心保留的地址。

    这不包括员工计算机、云或合作伙伴服务以及集中式 IT 服务所使用的地址。

  • 定义非生产网络的地址。

  • 构成所选非生产应用的工作负载的地址。

现在,您不需要拥有所有地址;以后可以随时添加更多地址。


重要

由于四个列表中的每个列表都是 IP 地址列表的子集,因此每个列表中的 IP 地址都应包含在列表的 IP 地址中。

选择应用

选择向导的应用。应用通常由提供不同服务的多个工作负载组成,例如 Web 服务或数据库、主服务器和备份服务器等。这些工作负载共同为其用户提供应用的功能。

应用选择指南

Cisco Secure Workload 支持在各种平台和操作系统上运行的工作负载,包括基于云的工作负载和容器化工作负载。但是,对于此向导,请选择具有以下工作负载的应用:

  • 在您的数据中心运行。

  • 在裸机和/或虚拟机上运行。

  • 在 Cisco Secure Workload 代理支持的 Windows、Linux 或 AIX 平台上运行,请参阅兼容性矩阵

  • 部署在预生产环境中。

即使没有选择应用程序和收集 IP 地址,也可以运行向导,但如果不执行这些操作,就无法完成向导。

如果在退出(或超时)或导航到安全工作负荷应用程序的其他部分(使用左侧导航栏)之前未完成向导,则不会保存向导配置。

有关如何添加范围或添加范围和标签的详细信息,请参阅《Cisco Secure Workload 用户指南》的“范围和资产”部分。

运行向导

无论您是否选择了应用和收集的 IP 地址,都可以运行向导,但不执行这些操作将无法完成向导。


重要

如果在注销(或超时)Cisco Secure Workload 之前未完成向导,或者如果使用左侧导航栏导航到应用的其他部分,则不会保存向导配置。

开始之前

以下用户角色可以访问该向导:

  • 站点管理员

  • 客户支持

  • 范围所有者

过程

步骤 1

登录 Cisco Secure Workload。

步骤 2

启动向导:

如果您当前未定义任何范围,则在您登录 Cisco Secure Workload 时会自动显示该向导。

或者:

  • 点击任何页面顶部蓝色横幅中的 立即运行向导 链接。

  • 从导航窗格中选择概述 (Overview)

如果已创建范围,则无法再次访问该向导,除非您删除所有现有范围。要执行此操作,请参阅(可选)重置范围树

步骤 3

向导会解释您需要了解的内容。

  • 将鼠标悬停在向导中的图形元素上可阅读其说明。

  • 有关详细信息,请点击链接和信息按钮(信息按钮)。

自动生成策略

Cisco Secure Workload 可根据工作负载与其他主机之间的现有流量生成或发现策略。您可以对工作负载进行修改、补充、分析,并最终批准和执行策略。

开始之前

  • 在应用的工作负载上安装代理。

  • 安装代理后,请留出一些时间来累积流数据。

过程

步骤 1

在快速启动向导的 下一步 页面上,点击 自动生成策略

或者, 您可以执行以下操作:

  1. 从导航窗格中,选择防御 (Defend) > 分段 (Segmentation)

  2. 在导航窗格的范围树或范围列表中,向下滚动到应用的范围。

  3. 在范围中选择

步骤 2

选择管理策略 (Manage Policies)

步骤 3

选择自动发现策略 (Automatically Discover Policies)

步骤 4

选择要包括的流数据的时间范围:

步骤 5

选择发现策略 (Discover Policies),生成的策略将显示在此页面上。

(可选)重置范围树

(可选)您可以删除使用向导创建的范围、标签和范围树,并再次运行向导。


提示

如果您想删除部分已创建的范围而不再运行向导,请删除单个范围,而不是重置整个范围树。要删除范围,请选择范围 (Scope) ,然后点击删除 (Delete)

开始之前

确保您拥有根范围的范围所有者权限。

如果您创建了更多工作空间、策略或其他依赖关系,请参阅《Cisco Secure Workload 用户指南》,了解有关重置范围树的完整信息。

过程

步骤 1

从导航菜单中,选择整理 (Organize) > 范围和资产 ( Scopes and Inventory )

步骤 2

点击树顶部的范围。

步骤 3

点击重置

步骤 4

确认您的选择。

步骤 5

如果重置 (Reset) 按钮变为待重置 (Pending Reset),请刷新浏览器页面。