Los Grupos Avanzados y Grupos en la Aplicación de Gestión de Cato (CMA) le permiten gestionar conjuntos de sitios, hosts, subredes y otras entidades como un único objeto en configuraciones de políticas.
Agrupar objetos le permite operar a gran escala separando la membresía de grupos de la aplicación de políticas. Este enfoque simplifica la gestión de políticas, separa las tareas del ciclo de vida de los objetos (por ejemplo, añadir o eliminar miembros) de la definición y aplicación de reglas, y clarifica las responsabilidades administrativas. Diferentes administradores pueden gestionar la pertenencia a un grupo y el uso de políticas de forma independiente
Cuando esté listo para crear un grupo, puede elegir entre dos tipos:
-
Grupos Avanzados
- Soporta la integración con API: API de mutación para crear y configurar, y API de consulta
- Valida dinámicamente que los miembros sean compatibles con las políticas de implementación soportadas
- Ofrecer una experiencia de usuario transparente e intuitiva, facilitando la identificación de qué grupos avanzados son válidos en cada contexto de política
- Construido para soportar futuras mejoras, así Cato puede actualizar fácilmente los grupos avanzados con diferentes tipos de miembros y nuevos objetos
-
Grupos - el tipo anterior que sigue siendo compatible para continuar con procesos y configuraciones existentes
- Los grupos también continúan soportando opciones de red personalizadas, como configuraciones personalizadas de DNS y DHCP
Los grupos avanzados son compatibles con estas políticas:
- Cortafuegos de Internet
- Firewall WAN
- Cortafuegos LAN de Socket Next Gen
- Reglas de Red
En el futuro, más políticas soportarán grupos avanzados. Todas las políticas soportan grupos.
Los campos en una regla (como Origen) muestran todos los grupos disponibles para selección, incluidos tanto Grupos como Grupos Avanzados.
- Grupos avanzados - Solo los grupos avanzados compatibles están disponibles para agregar a una regla
-
Grupos - Todos los grupos están disponibles para agregar a una regla
No hay validación para los grupos, y si el grupo incluye miembros no compatibles, entonces el comportamiento de la regla puede ser inconsistente.
Un grupo avanzado solo es compatible con una política si todos sus miembros son soportados. De lo contrario, el grupo avanzado no es compatible. Por ejemplo, la política de Reglas de Salud de Enlace solo soporta sitios, por lo que un grupo que contiene sitios y hosts no sería compatible con esa regla.
El CMA o API valida miembros basándose en las políticas y no le permite agregar miembros no conformes a un grupo avanzado. De manera similar, cuando se asigna un grupo avanzado a políticas, puede agregar nuevos miembros que sean compatibles con todas las políticas.
Rangos de IP le permite definir y reutilizar grandes conjuntos de rangos de IP en múltiples políticas, ayudando a reducir la configuración manual y asegurar la consistencia a gran escala. Los grupos avanzados soportan agregar Rangos de IP como un tipo de miembro, proporcionando:
- Gestione grandes conjuntos de rangos de IP globales como miembros de grupos avanzados en políticas de Cortafuegos de Internet y WAN
- Asegura que cualquier cambio que realice en un objeto de Rango de IP se aplique automáticamente en todas las reglas relevantes
Para más información sobre la creación de Rangos IP, consulte Usando Rangos IP en Políticas.
Para añadir un grupo y definir sus miembros:
- En el menú de navegación, haga clic en Recursos > Grupos Avanzados.
- Haz clic en Nuevo. Se abre el panel Crear.
- En la sección General, ingrese el Nombre del grupo y la Descripción.
- En la sección Miembros, agregue los elementos que forman parte de este grupo.
-
Haz clic en Guardar.
El grupo avanzado se guarda y añade a la CMA.
Puede crear grupos y aprovecharlos (además de los grupos predefinidos) como objetos globales en toda la CMA.
Define los elementos en la Aplicación de Gestión de Cato que son miembros del grupo. También puedes definir configuraciones especiales para grupos relativas a las Opciones DNS y DHCP.
Estos son los tipos de grupos:
- Manual: Grupos que defines manualmente. Los miembros del grupo pueden incluir varias entidades de red (como Sitios, Redes, Rangos Flotantes y Hosts).
-
Sistema: Grupos que están predefinidos en la CMA. Estos son grupos dinámicos que se actualizan automáticamente con nuevos miembros cuando se agregan los elementos apropiados. Por ejemplo, cuando un nuevo sitio se agrega a tu cuenta, el grupo de sistema Todos los Sitios se actualiza automáticamente con el nuevo sitio. Si este grupo se utiliza en una regla de seguridad, la regla también se aplicará al nuevo sitio.
Los grupos de sistema incluyen:
- Todos los Sitios: Un grupo que incluye todos los sitios
- Todos los Rangos Flotantes: Un grupo que incluye todos los rangos flotantes definidos en el sistema
Puedes definir grupos y sus miembros. Estos son los comportamientos para los grupos de Sistema:
- Las definiciones en el panel General son definidas por la CMA y no pueden ser modificadas.
- Para los grupos de Sistema, las definiciones en el panel de Miembros son definidas por la CMA y no pueden ser modificadas.
Para agregar un grupo y definir sus miembros:
- En el menú de navegación, haz clic en Recursos > Grupos.
- Haga clic en Nuevo. El panel Crear se abre.
- Introduce el Nombre del grupo y haz clic en Aplicar. El grupo se añade a la pantalla.
- Haz clic en el grupo. Se abre la pantalla General para el grupo.
- (Opcional) Introduce una Descripción.
- Agregue los elementos que son miembros de este grupo:
- En el menú de navegación, haz clic en Miembros. Se muestran los miembros del grupo.
-
Desde el menú desplegable Añadir Miembros, selecciona el tipo de miembro a añadir (por ejemplo, Sitio, Interfaz de Red o Host).
- Interfaz de Red - Todo el tráfico en la interfaz (todas las redes)
- Subred de Interfaz - VLAN, rangos enrutados o directos, o un rango nativo secundario de AWS vSocket
- Rango Global - Rango nativo en la interfaz
Cato recomienda que cada grupo contenga solo un tipo de miembro. Por ejemplo, un grupo de todas tus interfaces de red.
-
Selecciona todos los elementos de ese tipo que estás incluyendo en el grupo.
Los miembros seleccionados se añaden a la lista de Miembros.
-
Haga clic en Guardar.
El grupo se guarda y se añade a la Aplicación de Gestión de Cato.
Para eliminar un grupo avanzado o grupo, primero debe eliminarlo de cualquier política que use el grupo. Por ejemplo, si no elimina el grupo de la política de Cortafuegos de Internet, entonces no podrá eliminar el grupo.
P: ¿Debería usar grupos avanzados o grupos?
R: Use grupos avanzados si:
- Los gestionará a través del API
- Quiere usarlos en estas políticas: Cortafuegos de Internet o WAN
- No requiere configuraciones personalizadas de DNS o DHCP
- De lo contrario, debería usar grupos
P: ¿Cuándo uso contenedores y cuándo uso grupos avanzados?
A: Los contenedores están diseñados para soportar valores como IPs y FQDN, y los grupos avanzados soportan objetos CMA. Aquí hay algunas pautas:
- Grupos Avanzados - Ofrece características de gestión más fuertes como descripciones, búsqueda y gestión de miembros individuales para objetos CMA
- Contenedores - Escalan a millones de elementos y generalmente se utilizan para listas personalizadas de IoC (Indicadores de Compromiso) que pueden aplicarse a reglas de inteligencia de amenazas o Cortafuegos de Internet
P: ¿Cuál es el plan para los grupos avanzados?
R: Los grupos avanzados gradualmente soportarán más tipos de miembros hasta que alcancen la paridad con los grupos existentes, y también se agregarán nuevos tipos de miembros.
-
Solo los grupos soportan configuraciones personalizadas de DNS y DHCP
El soporte alternativo para aplicar configuraciones personalizadas de DNS y DHCP a grupos avanzados está en la hoja de ruta
- Solo los grupos soportan especificar sitios para RBAC basado en entidades
0 comentarios
Inicie sesión para dejar un comentario.