信任政策分析-第三部分:政策验证

内第一部分Cisco信任分析博客序列塞缪尔布朗谈到设计、执行和验证安全政策方面的挑战,并介绍Cisco安全网络分析新报告,帮助完成这些任务内第二部分深入理解需要可见度和如何利用这些新报告 — — 特别是信任安全分析报告 — — 以设计帮助实施安全政策并深入验证安全政策进程, 以及第二次报告-信任安全政策分析报告-帮助完成这项任务

sco身份服务引擎(ISE)可实现安全策略。理论上说,这意味着我们也许能够执行信任安全政策矩阵,类似于下文矩阵,即我们不仅在网络中执行分组分配任务,即当主机往返网络时,它们分配安全集团,而且还在这些安全集团中应用控件

图一下左侧显示它标记为“可实现性 ”, 即安全策略正在制作并强制实施现在,作为一个管理员,我们正面临着基本问题:

• 安全策略按原计划执行
• 安全策略正确吗

信任安全网络分析新报告有目的地帮助解答问题

安全策略按原计划执行

当我们在图1中创建生产信任政策矩阵并部署时, 我们的意图是网络将开始执行该策略举例说,在上述矩阵中,我们本可期望所有IP间流量雇员安全集团Production_Bottling_Line安全组拒绝类似地 所有交通Production_Bottling_Line并Production_Users安全集团将依据访问控制列表执行信任安全政策分析报告图2快速验证

信任安全政策分析报告上图2显示与信任安全分析报告相区别之处第二部分覆盖层次政策分析 帮助解答问题 即道交通观察

• 灰度-无流量
• 绿色-有交通许可IPACL存在
• 红-有流量拒绝IPACL存在
• 蓝-有交通和规则许可IP或拒绝IP

快速验证我们认为应该发生的事情信任安全分析报表与信任安全分析报表的区别是加橙三角形,图2中某些单元格可见

立即引人关注红细胞橙三角-两个特殊兴趣跳出-

1. 雇员至Production_Bottling_Line
2. 雇员至PCI服务员

选择带源分组的单元格雇员和目的地分组Production_Bottling_Line图3快速发现两组间往返交通量,政策执行启动,据推测有拒绝IPACL到位,但有可疑违反策略指示数-该指示数通知我们所看到的交通量不符合ACL点击“查找归罪流量”将构建并运行流查询,提供触发通知的导理(见下图4),我们可以看到在RDP间的确存在单流雇员源群和Production_Bottling_Line目的地组网络界面都报告流线遥测, 以便追踪包路径并辨别为何拒绝IP执行在本案中,包路径上没有一个出口商能够执行信任安全策略

选择先前跳出我们的另一单元-带源组的单元雇员和目的地分组PCI服务员-我们注意到它有红色颜色,但没有橙色三角向我们表示,通过下图5我们可以确认的是,从源组观察到流量雇员淡入目标群PCI服务员,但是没有回流流量由于没有回流流量,报告分析总结说,政策正在得到遵守,没有疑似违章行为。

安全策略正确吗

第一个基本问题更多策略性问题,而这个问题略多点策略性问题:我们已经制定政策,并假设政策强制实施,它是否匹配我们初始意图?以某种方式重复我们在这个系列第二部分所分析的政策可视化, 但由于我们已经创建出我们的政策假设并投入使用, 我们反而评价我们的假设是否还属实(即上星期所发明的政策本周是否仍属实?通过执行策略,我们还创造了一套威胁检测条件-不符合我们策略的交通模式可以说是折中信号并可能值得安全操作队调查

图2中第三单元即时利益,蓝色单元与源安全组间橙色三角Production_Users和目的地组Production_Bottling_Line.回想蓝色表示有流量并有定制ACL点击图2显示图6显示两个安全集团间有流量并有涉嫌违反ACL规则

图6显示图7

上图7显示,我们之间存有单流Production_Users并Production_Bottling_Line安全组ACL禁止所有非TCP流量(原因类似于文章第一部分可能发生的情况,面对下层决策树进程

假设有合理的商业理由允许IMC生产用户与ProductionBotlingLine之间的通信,我们需要相应更新ISEACL

快速浏览数据分析结果 帮助解决组织安全策略精度的根本问题-确保安全策略按原意运作

分三部分编集中, 我们简单检视使用数据分析设计安全策略 并深入鸽子浏览Cisco安全网络解析学习更多

深入了解Cisco安全网络分析

深入了解Cisco身份服务引擎.

学习更多关于思科安全网络分析并看到新的信任分析报表投入使用

学习更多关于使用数据智能构建安全策略

无安全网分析通过访问学习更多www.cisco.com/go/secure-network-analytics或试解法今天自由可见度评估.