代理会收集 Cisco Secure Workload 所需的流数据和其他信息，以便对工作负载进行分组并确定适当的策略。代理还会执行已批准的策略。有关详细信息（包括指向受支持平台和要求列表的链接），请参阅部署软件代理。

通过标签，您可以轻松了解每个工作负载的用途，并提供有关每个工作负载的其他关键信息。

您需要这些信息来对工作负载进行分组，应用适当的策略，并了解 Cisco Secure Workload 建议的策略。标签是维护可简化策略管理的组的基础。有关详细信息，请参阅工作负载标签和 导入自定义标签。

标签可帮助您创建的工作负载逻辑组称为“范围”，精心选择的一组标签可帮助您创建一个被称为“范围树”的网络层次结构图。这种网络工作负载的层次结构视图是高效创建和维护策略的关键。通过层次结构视图，您只需创建一次策略，就能将其自动应用到该树分支上的每个工作负载。通过该视图，您还可以将某些应用（或网络的某些部分）的责任委派给具有必要专业知识的人员，以便为这些工作负载确定正确的策略。

您可以查询工作负载，并根据其标签将它们归入范围。例如，您可以创建一个名为“Email-app”的范围，其中包括具有“Application = Email-app”和“Environment = Production”标签的所有工作负载。您可以使用查询 Environment = Production 为 Application = Email-app 范围创建父范围。Production 范围包括生产 Email-app 和标有 Environment = Production 的所有其他工作负载。

有关详细信息，请参阅范围和资产。

如果尚未创建任何范围，则可以使用快速入门向导创建范围树。有关详细信息，请参阅快速启动向导。

工作空间用于管理该范围内工作负载的策略。有关详细信息，请参阅工作空间。

例如，您可能希望允许所有内部工作负载访问 NTP 服务器，并拒绝所有外部流量，或者拒绝所有非内部主机的访问，除非明确允许。策略可以是绝对的，即不能被更具体的策略覆盖；也可以是默认的，即可以被更具体的策略覆盖。

有关详细信息，请参阅手动创建策略。

Cisco Secure Workload 具有可简化策略创建的策略模板。有关详细信息，请参阅策略模板。

您可以执行手动创建的策略，而无需等待策略被发现。有关详细信息，请参阅执行策略。

Cisco Secure Workload 会分析工作负载之间的流量，根据行为对工作负载进行分组，并建议一组允许组织所需流量的策略，以便您可以阻止所有其他流量。

在更长的时间段内对更多的数据流进行分析，可以得出更准确的策略建议。

您可以反复发现策略。（本程序后面部分提供了更多相关信息。）

1. 发现范围树分支的策略。

   如果您才刚刚开始，则可以制定一组临时策略，针对未来的威胁提供保护。

2. 发现单个范围的策略。

   通常，您将对位于范围树底部或附近的范围执行此操作。这些范围通常包括单个应用的工作负载。

有关详细信息，请参阅自动策略发现和 发现一个范围或范围树分支的策略。

仔细检查您的策略，确保它们能达到预期的效果，并且没有意外的副作用。

与组织中的主题专家和应用所有者合作，了解组织的需求以及所建议策略的适当性。

更多的流量流会产生更准确的策略建议。例如，对于月度报告而言，即使是三周的数据也可能无法捕获所有必要流量。继续发现策略，查看和分析新的策略建议。每次发现运行都会根据当前流量流提出策略建议。

您还可以反复发现策略，以捕获策略发现设置和已批准集群中的变化。有关详细信息，请参阅反复修改策略。

在重新运行自动策略发现之前，请确保已批准要保留的策略和集群。

每次重新发现策略时，都必须对其进行查看和分析。

在确定与工作空间（以及关联范围）关联的策略适当且将阻止不需要的流量而不中断基本服务后，您可以执行这些策略。

您可以反复执行策略；例如，您可能最初仅在树顶部附近的范围中执行手动创建的策略，然后随着时间的推移，在树中较低的范围中执行发现的策略。

有关详细信息，请参阅 执行策略。

对于每个工作负载，您还需要了解应用名称、应用所有者、环境（生产或非生产）以及其他信息，如决定要应用策略的地理区域。

如果您没有配置管理数据库 (CMDB)，则可以在电子表格中收集此信息。

要开始使用，请选择您可以关注的单个应用。

有关详细信息，请参阅部署软件代理。

有关详细信息，请参阅工作负载标签和 导入自定义标签。

或者，您可以运行快速启动向导，。有关该向导的详细信息，请参阅快速启动向导。

有关详细信息，请参阅范围和资产。

有关详细信息，请参阅工作空间。

有关详细信息，请参阅手动创建策略。

有关详细信息，请参阅自动策略发现和子主题。

有关信息，请参阅 查看和分析策略 和子主题。

有关信息，请参阅 反复修改策略 和子主题。

当您对每个工作空间中策略的行为感到满意时，即可执行策略。

您必须在工作空间和代理配置中执行策略。

有关详细信息，请参阅 执行策略。

云连接器在策略发现和执行中提供 VPC/VNet 级别的粒度。如果需要更精细的策略发现和执行，请在支持的平台上安装代理。

根据运行云服务的操作系统安装代理。有关详细信息，请参阅部署软件代理。

有关详情，请参阅：

• AWS 连接器。

• Azure 连接器。

• GCP 连接器

有关详细信息，请参阅工作空间。

发现每个 VPC/VNet 定义范围的策略，并在适用时发现更精细的范围。

有关详细信息，请参阅自动策略发现。

请参阅查看和分析策略以及子主题。

请参阅反复修改策略以及子主题。

您必须在适用的工作空间和连接器中为每个 VPC 或 VNet 以及在单个工作负载上安装的任何代理启用执行。

• 有关信息，请参阅 执行策略 和子主题。

• 有关详细信息：

  • 基于 AWS 的工作负载，请参阅对 AWS 资产执行分段策略时的最佳实践。

  • 基于 Azure 的工作负载，请参阅对 Azure 资产执行分段策略时的最佳实践。

  • 基于 GCP 的工作负载，请参阅对 GCP 资产执行分段策略时的最佳实践。

有关详细信息，请参阅 Kubernetes/OpenShift 代理 - 深度可视性和执行。

系统会在适用的 Kubernetes 服务管理的所有未来工作负载上自动安装代理。

有关详细信息：

• 普通 Kubernetes 和开源工作负载，请参阅Cisco Secure Workload 中的外部协调器和Kubernetes/OpenShift。

• 在 Amazon Web 服务 (AWS) 上运行的弹性 Kubernetes 服务 (EKS)，请参阅AWS 连接器和在 AWS (EKS) 上运行的托管 Kubernetes 服务。

• Azure Kubernetes 服务 (AKS)，请参阅Azure 连接器和在 Azure 上运行的托管 Kubernetes 服务 (AKS)

• 在 Google Cloud 平台 (GCP) 上运行的 Google Kubernetes Engine (GKE)，请参阅在 GCP (GKE) 上运行的托管 Kubernetes 服务。

有关详细信息，请参阅范围和资产。

有关详细信息，请参阅工作空间。

有关详细信息，请参阅自动策略发现。

有关详细信息，请参阅查看和分析策略。

有关详细信息，请参阅反复修改策略。

您必须在工作空间和代理中启用策略执行。

有关详细信息，请参阅执行策略和容器上的执行。