在FMC中部署安全動態屬性聯結器
目錄
簡介
本檔案將介紹FMC中的Cisco安全動態屬性聯結器。
背景 — 問題
CSDAC(思科安全動態屬性聯結器)可整合到FMC(Firepower管理中心)中,提供的功能級別與獨立CSDAC應用和CDO中的CSDAC相同。對於獨立CSDAC,它可減輕客戶在管理和維護CSDAC的單獨機器方面的開銷。作為網路管理員,我希望程式設計介面易於整合,並及時更新外部動態環境提供者的變化。此整合解決了在不部署策略的情況下從動態變化的雲環境中收集屬性的問題。
解決方案(摘要)
現在,可以在FMC中配置CSDAC,以便從Azure、vCenter、AWS、GCP、Office 365和Azure服務標籤提取標籤屬性,從而提供與CDO中的獨立CSDAC和CSDAC的功能奇偶校驗。
- 現在,您可以選擇使用
- FMC中的CSDAC(或)
- CDO中的CSDAC(或)
- 獨立CSDAC
- 目標市場:企業、服務提供商
FMC摘要中的動態屬性聯結器
FMC動態屬性聯結器:
- 控制板螢幕用於構建和操作動態屬性聯結器功能。
- 用於配置源工作負載連線器(AWS、Azure、vCenter、Office 365、GCP)的FMC UI
- 用於定義動態屬性篩選器以創建動態對象的FMC UI
部署示例
內建CSDAC
去年,我為CSDAC部署了專用虛擬機器,以便從AWS和Azure帳戶收集屬性。
問題
現在,我的組織已遷移到雲,我無法在我的環境中為CSDAC部署和管理專用虛擬機器。
選項 1:使用內建於FMC中的動態屬性聯結器
通過使用內建於FMC中的動態屬性聯結器可以解決此問題。由它建立的動態對象可用於訪問策略中。
選項 2:在CDO中使用雲交付的動態屬性聯結器
您可以在CDO中使用動態屬性聯結器來解決問題。由它建立的動態對象可用於
- CDO雲交付的FMC
- 內部的CDO FMC
必要條件、支援的平台、許可
最低支援的軟體和硬體平台
|
支援的最低管理器版本 |
受管裝置 |
需要支援的最低受管裝置版本 |
備註 |
|
FMC 7.4 |
支援的任何FTD |
任何7.0+ FTD |
* FDM管理的裝置不支援動態屬性聯結器
採用元件
本文中的資訊係根據以下軟體和硬體版本:
·思科防火牆管理中心執行7.4
·運行7.4或更高版本的Cisco Firepower威脅防禦。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
功能詳細資訊
獨立CSDAC概述(當前發佈 — 7.4)
思科安全動態屬性聯結器使您能夠在防火牆管理中心(FMC)訪問控制規則中使用來自各種雲服務平台的標籤。
本地CSDAC可安裝在Linux電腦上,支援從以下位置獲取屬性:
- AWS、Azure、VMware vCenter和NSX-T、Office 365、Azure服務標籤、GCP、GitHub。
CDO中的CSDAC概述(當前發佈 — 7.4)
支援與本地CSDAC相同的功能,無需安裝和維護專用應用程式。
CDO中當前不支援vCenter聯結器。
支援在CDO中將接收的屬性傳送到雲交付的FMC和本地FMC。
FMC中的CSDAC
支援與獨立CSDAC相同的功能,無需安裝和維護專用應用程式。
FMC中的CSDAC支援從以下位置獲取屬性:
- AWS,Azure,VMware vCenter和NSX-T,Office 365,Azure服務標籤,GCP,GitHub
此處沒有明確的介面卡配置,因為它是FMC的本地配置。
工作方式
聯結器用於從AWS、Azure、o365和vCenter獲取屬性。
然後,使用本地介面卡將這些簡化屬性及其IP對映儲存在FMC中作為動態對象。
FMC將對映即時傳送到FTD(無需部署)。
在FMC中啟用CSDAC
導航到Integration > Dynamic Attributes Connector。
使用「切換」按鈕啟用聯結器。
FMC需要幾分鐘時間下載並開啟docker映像和容器。
只能在FMC全域性域中配置。
CSDAC儀表板
啟用CSDAC後,使用者會看到CSDAC控制面板頁面。儀表板用於配置和檢視統一聯結器和篩選器。
配置聯結器
從儀表板新增聯結器
在儀表板上,按一下所需聯結器的圖示以新增該聯結器。
配置時間間隔(在Pull Interval欄位中),以便聯結器能以配置的週期從提供程式提取資訊。
輸入提供程式憑據以獲取標籤屬性。配置聯結器後,可通過按一下「測試」按鈕來測試聯結器。
設定篩選條件
按一下「動態屬性聯結器」(Dynamic Attributes Connector)選單中的「動態屬性過濾器」(Dynamic Attribute Filters)頁籤,轉至「動態屬性過濾器」(Dynamic Attributes Filters)頁面。
新增篩選器
按一下+按鈕為屬性聯結器建立篩選器。
新增AWS
例如,我們可以假設您對AWS工作負載中的關鍵「HR」和價值「App」感興趣。
這是AWS中的情況。
FMC中的CSDAC
您可以通過按一下+按鈕建立「HR等於應用」規則。
本地FMC介面卡會將匹配的IP地址作為動態對象對映傳送到FMC
預覽
您還可以通過按一下「顯示」來檢視特定屬性規則的匹配IP地址 |隱藏預覽」按鈕。
動態對象
在FMC的「對象」(Objects)>「外部屬性」(External Attributes)、「動態對象」(Dynamic Object)中檢視CSDAC建立的動態對象
AC策略
組態: 訪問策略
在FMC中,新增訪問策略以允許或阻止從動態屬性聯結器接收的動態對象。
平台限制
- 聯結器限制基於可用的FMC記憶體。
- vFMC需要額外的1GB記憶體來支援5個聯結器
- Azure AD領域也包括在限制中,因為它也是CSDAC容器。
|
型號 |
支援的聯結器數 |
平台 |
基於記憶體的限制 |
|
Basic |
僅Azure AD |
1600 |
32GB |
|
小型 |
5 |
vFMC |
> 32 GB |
|
中 |
10 |
vFMC 300、2600 |
>= 64 GB |
|
大型 |
20 |
4600 |
>= 128 GB |
疑難排解/診斷
進行故障排除的最佳方式是從CSDAC聯結器將動態對象跟蹤到FMC中的動態屬性。許多內部日誌將此功能稱為「集」。您可以透過廣播鏈窺探系統狀態以隔離問題。CSDAC使用Docker容器。 日誌和其他檔案的消息和名稱必須稱為「docker」
檢查聯結器
首先確保聯結器可以連線到vCenter、AWS或Azure伺服器。
如果聯結器配置不正確,則下游進程無法獲得標籤資訊。
從「聯結器」(Connectors)頁籤檢視聯結器
聯結器狀態顯示在狀態欄位中,並且每15秒更新一次。
此處我們看到聯結器無法使用提供的憑證進行驗證。
檢查屬性篩選器
確保Rule預覽顯示查詢條件的匹配IP地址。
如果沒有匹配的IP地址,則FMC無法獲取動態對象對映。
檢查屬性篩選器
檢查動態屬性IP對映在預覽中是否可用。「顯示預覽」按鈕在動態屬性篩選器編輯彈出視窗中可用。
檢查FMC UI中的動態對象
首先,確保FMC伺服器包含所需的繫結。
- 在「對象管理」、「外部對象」頁籤下,檢查動態對象是否繫結。
- 如果FMC未獲取繫結,則FTD無法獲取繫結。
檢查FMC運行狀況監控器和通知,以獲取CSDAC運行狀況警報。
檢查動態對象
FMC對象管理器允許您下載當前動態對象IP地址。
CSDAC健康狀況警報
如果任何核心服務(包括動態屬性聯結器)出現故障,FMC的工作管理員會顯示運行狀況警報。 該警報包含有關服務名稱和狀態的資訊。
附註:在若干通知中我們仍有「集合」命名,在此需要提供服務名稱以瞭解詳細資訊。
此處我們看到麝蜜蜂和麝本地FMC介面卡是「不健康的」。
如果錯誤指示任何核心服務,則需要收集故障排除日誌以進行調試。
疑難排解中的CSDAC
生成CSDAC故障排除
- CSDAC日誌在FMC故障排除生成期間自動收集。捆綁包包含Docker狀態、日誌和離線調試問題所需的資料。
- 在重現錯誤之前啟用CSDAC調試模式,以便收集故障排除日誌。
從/usr/local/sf/csdac call ./muster-cli debug-on
在以下資料夾中的未跟蹤故障排除中查詢CSDAC日誌:
/results-XX/command-outputs/csdac_troubleshoot/info
它包含etcd資料庫中儲存的資料。
/results-XX/command-outputs/csdac_troubleshoot /log
它包含來自docker容器的日誌。
/results-XX/command-outputs/csdac_troubleshoot/status.log
這將顯示容器狀態、版本和docker映像詳細資訊。
CLI疑難排解
muster-cli指令碼可用於從FMC CLI檢查CSDAC的狀態。
如果任何服務的狀態為「已退出」或不同於「啟動」,則首先檢查該容器的日誌。
獲取日誌需要容器名稱;可以從輸出中獲得。
CSDAC偵錯模式
「muster-cli」指令碼可用於開啟和關閉調試日誌。預設情況下,容器記錄在INFO level.INFO上,DEBUG是唯一受支援的級別。
要啟用DEBUG級別使用者,請執行以下操作:./muster-cli debug-on。
這將提供用於診斷生成故障的詳細資訊以及調試幫助。重現問題時必須啟用此選項。
要返回到INFO級別,請使用:./muster-cli debug-off。
root@firepower:/usr/local/sf/csdac# ./muster-cli debug-on
Recreating muster-bee ...
Recreating muster-bee ... done
Recreating muster-user-analysis ... done
Recreating muster-local-fmc-adapter ... done
Recreating muster-ui-backend ... done
已記錄消息並帶有調試
啟用調試模式時,所有docker容器日誌也會包含調試消息
使用docker命令即時獲取日誌:docker logs -f <container_name>
在以下示例中,調試消息顯示觸發gRPC錯誤的原因
2022-12-12 14:33:29,649 [status_storage] DEBUG: Loading status from /app/status/aws.1_status.json...
2022-12-12 14:33:29,650 [status_storage] DEBUG: Loading status from /app/status/gcp.1_status.json...
2022-12-12 14:33:29,651 [status_storage] DEBUG: Loading status from /app/status/github.1_status.json...
2022-12-12 14:33:29,651 [status_storage] DEBUG: Loading status from /app/status/o365.1_status.json...
2022-12-12 14:33:43,279 [server] DEBUG: Got health status request.
2022-12-12 14:33:43,280 [bee_api] WARNING: Got gRPC error from BEE: StatusCode.UNAVAILABLE failed to connect to all addresses; last error: UNKNOWN: Failed to connect to remote host: No route to host
故障排除演練的示例問題
問題和疑難排解概述
問題:
我們遇到的最常見問題是FMC不能接收所有動態對象對映。
疑難排解:
若要解決此問題,我們
- 從「muster-cli」啟用調試模式
- 從FMC UI生成的故障排除檔案
- 已檢查收集的「Troubleshoot(故障排除)」中的CSDAC AWS聯結器日誌。
- 發現CSDAC AWS Connector僅查詢AWS例項中的第一個IP。
準備故障排除捆綁包
- 在FMC CLI中,我們使用。/muster-cli debug-on啟用調試模式。muster-cli工具可用於/usr/local/sf/csdac。
- 通過等待聯結器的狀態變為「正常」,然後檢查動態屬性篩選器重新建立問題。
- 從FMC UI收集故障排除日誌並提取它們。已檢查AWS Connector日誌中的快照內容
檢視IP的標籤屬性
給定IP的標籤屬性記錄在故障排除日誌中。對於AWS Connector,我們檢視了muster-connector-aws.1.muster-docker.log.gz
檢查摘要
聯結器和介面卡狀態是否正常?
檢查相應的「聯結器」、「介面卡」頁中的狀態。
聯結器是否獲取了所有對映?
檢查規則預覽以查詢匹配的IP地址。
檢查Connector docker日誌以檢視它是否正確查詢對映。
REST伺服器是否從聯結器收到動態標籤對映?
檢查FMC動態對象頁面。
檢查USMS日誌(在/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log中),檢視FMC REST伺服器是否正確處理了來自CSDAC的API請求。
問答
Q:哪種版本的本地CSDAC支援ISE聯結器,我在7.4.0版(內部版本1494)中也沒有看到這樣的聯結器?
A:這是位於獨立CSDAC中,而不是FMC或CDO中。 您需要一個CSDAC ansible包來測試此功能。
Q:發佈時,將是什麼本地CSDAC版本?
A:可能是2.1.0。
Q:螢幕上顯示了一個帶有API的裝置的螢幕。我認為是CSDAC;這是什麼意思?
A:此CSDAC中內建了API資源管理器,您可以從該頁面對CSDAC進行API呼叫。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
29-Jul-2024
|
初始版本 |
意見