Travailler avec les groupes avancés CMA et les groupes

Aperçu

Les groupes avancés et les groupes dans le Cato Management Application (CMA) vous permettent de gérer des ensembles de sites, d'hôtes, de sous-réseaux et d'autres entités en tant qu'objet unique dans les configurations de politique.

Le regroupement des objets vous permet de fonctionner à grande échelle en séparant l'appartenance au groupe de l'application de la politique. Cette approche rationalise la gestion des politiques, sépare les tâches du cycle de vie des objets (par exemple, l'ajout ou la suppression de membres) de la définition et de l'application de règles, et clarifie les responsabilités administratives. Différents administrateurs peuvent gérer indépendamment l'appartenance à un groupe et l'utilisation de la politique

Lorsque vous êtes prêt à créer un groupe, vous pouvez choisir entre deux types:

  • Groupes Avancés 

    • Prend en charge l'intégration API : APIs de mutation pour créer et configurer, et APIs de requête
    • Valide dynamiquement que les membres sont compatibles avec les politiques supportées
    • Offre une expérience utilisateur transparente et intuitive, facilitant l'identification des groupes avancés valides dans chaque contexte politique
    • Conçu pour prendre en charge les améliorations futures, afin que Cato puisse facilement mettre à jour les groupes avancés avec différents types de membres et nouveaux objets

  • Groupes - le type antérieur qui continue d'être soutenu pour poursuivre les processus et configurations existants

    • Les groupes continuent également de supporter des options réseau personnalisées, telles que les paramètres DNS et DHCP personnalisés

Politiques prises en charge pour les groupes avancés

Les groupes avancés sont pris en charge dans ces politiques :

  • Pare-feu Internet
  • Pare-feu WAN
  • Pare-feu LAN Socket Next Gen
  • Règles réseau

D'autres politiques prendront en charge les groupes avancés à l'avenir. Toutes les politiques prennent en charge les groupes.

Utilisation des Groupes Avancés et des Groupes dans les Politiques

Les champs d'une règle (tels que Source) affichent tous les groupes disponibles pour la sélection, y compris les Groupes et les Groupes Avancés. 

  • Groupes avancés - Seuls les groupes avancés compatibles sont disponibles pour ajout à une règle

  • Groupes - Tous les groupes sont disponibles pour ajout à une règle 

    Il n'y a pas de validation pour les groupes, et si le groupe inclut des membres non compatibles, alors le comportement de la règle peut être incohérent.

Qu'est-ce qu'un Membre Compatible d'un Groupe Avancé ? 

Un groupe avancé n'est compatible avec une politique que si tous ses membres sont pris en charge. Sinon, le groupe avancé n'est pas compatible. Par exemple, la politique des règles de santé des liaisons ne prend en charge que les sites, donc un groupe contenant des sites et des hôtes serait non compatible pour cette règle. 

Le CMA ou l'API valide les membres sur la base des politiques et ne vous permet pas d'ajouter des membres non conformes à un groupe avancé. De même, lorsqu'un groupe avancé est attribué à des politiques, vous pouvez ajouter de nouveaux membres qui sont compatibles avec toutes les politiques.

Utilisation de plages d'adresses IP dans des groupes avancés

Les Plages IP vous permettent de définir et de réutiliser de grands ensembles de plages IP dans plusieurs politiques, vous aidant à réduire la configuration manuelle et à assurer la cohérence à l'échelle. Les groupes avancés prennent en charge l'ajout de plages d'IP en tant que type de membre, fournissant :

  • Gérez de grands ensembles de plages d'IP mondiales en tant que membres de groupes avancés dans les politiques de pare-feu Internet et WAN
  • Assure que toutes les modifications que vous apportez à un objet de plage IP sont automatiquement appliquées à toutes les règles pertinentes

Pour plus d'informations sur la création de plages IP, voir Utilisation des plages IP dans les politiques.

Gestion des Groupes Avancés

Ajout de Groupes Avancés

new_groups.png

Pour ajouter un groupe et définir ses membres :

  1. Dans le menu de navigation, cliquez sur Ressources > Groupes avancés.
  2. Cliquez sur Nouveau. Le panneau Créer s'ouvre.
  3. Dans la section Général, entrez le Nom et la Description du groupe.
  4. Dans la section Membres, ajoutez les éléments qui sont membres de ce groupe.

  5. Cliquez sur Sauvegarder.

    Le groupe avancé est enregistré et ajouté au CMA.

Gestion des Groupes

Vous pouvez créer des groupes et les utiliser (en plus des groupes prédéfinis) comme objets globaux à travers le CMA.

Définissez les éléments dans le CMA qui sont membres du groupe. Vous pouvez également définir des configurations spéciales pour les groupes concernant les Options DNS et DHCP.

Groupes.png

Ce sont les types de groupes :

  • Manuel : Groupes que vous définissez manuellement. Les membres du groupe peuvent inclure diverses entités réseau (telles que Sites, Réseaux, Plages Flottantes et Hôtes).

  • Système : Groupes qui sont prédéfinis dans le CMA. Ce sont des groupes dynamiques qui sont automatiquement mis à jour avec de nouveaux membres lorsque les éléments appropriés sont ajoutés. Par exemple, lorsqu'un nouveau site est ajouté à votre compte, le groupe de système Tous les Sites est automatiquement mis à jour avec le nouveau site. Si ce groupe est utilisé dans une règle de sécurité, la règle s'appliquera également au nouveau site.

    Les groupes système incluent :

    • Tous les Sites : Un groupe qui inclut tous les sites
    • Toutes les Plages Flottantes : Un groupe qui inclut toutes les plages flottantes définies dans le système

Affichage des Groupes et des Membres du Groupe

legacy_groups.png

Pour afficher les membres d'un groupe :

  1. Dans le menu de navigation, cliquez sur Ressources > Groupes.
  2. Dans le menu de navigation, cliquez sur Membres. Les membres du groupe sont affichés.

Ajouter les Groupes

Vous pouvez définir des groupes et leurs membres. Voici les comportements pour les groupes Système :

  • Les définitions dans le volet Général sont définies par le CMA et ne peuvent pas être modifiées.
  • Pour les groupes système, les définitions dans le volet Membres sont définies par le CMA et ne peuvent pas être modifiées.

Pour ajouter un groupe et définir ses membres :

  1. Dans le menu de navigation, cliquez sur Ressources > Groupes.
  2. Cliquez sur Nouveau. Le panneau Créer s'ouvre.
  3. Entrez le Nom du groupe et cliquez sur Appliquer. Le groupe est ajouté à l'écran.
  4. Cliquez sur le groupe. L'écran Général pour le groupe s'ouvre.
  5. (Optionnel) Entrez une Description.
  6. Ajoutez les éléments qui sont membres de ce groupe :
    1. Dans le menu de navigation, cliquez sur Membres. Les membres du groupe sont affichés.

    2. Dans le menu déroulant Ajouter des Membres, sélectionnez le type de membre à ajouter (par exemple, Site, Interface Réseau ou Hôte).

      • Interface Réseau - Tout le trafic sur l'interface (toutes les réseaux)
      • Sous-réseau d'Interface - VLAN, plages routées ou directes, ou une plage native secondaire AWS vSocket
      • Plage Globale - Plage native sur l'interface

      Cato recommande que chaque groupe contienne un seul type de membre. Par exemple, un groupe contenant toutes vos interfaces réseau.

    3. Sélectionnez tous les éléments de ce type que vous incluez dans le groupe.

      Les membres sélectionnés sont ajoutés à la liste des Membres.

  7. Cliquez sur Sauvegarder.

    Le groupe est sauvegardé et ajouté à l'Application de Gestion Cato.

Suppression des Groupes Avancés ou des Groupes

Pour supprimer un groupe avancé ou un groupe, vous devez d'abord le retirer de toute politique qui utilise le groupe. Par exemple, si vous ne supprimez pas le groupe de la politique de pare-feu Internet, vous ne pouvez pas supprimer le groupe.

Pour supprimer un groupe :

  1. Dans le menu de navigation, cliquez sur Ressources > Groupes Avancés ou Ressources > Groupes.

  2. Cliquez sur l'icône Supprimer à la fin de la ligne.

    Une fenêtre de confirmation s'ouvre.

  3. Cliquez sur Supprimer.

    Le groupe est supprimé.

FAQ pour les Groupes Avancés

Q : Dois-je utiliser des groupes avancés ou des groupes ? 

R : Utilisez des groupes avancés si :

  • Vous les gérerez via l'API
  • Vous souhaitez les utiliser dans ces politiques : Pare-feu Internet ou WAN
  • Vous n'avez pas besoin de paramètres DNS ou DHCP personnalisés
  • Sinon, vous devriez utiliser des groupes

Q : Quand dois-je utiliser des conteneurs et quand dois-je utiliser des groupes avancés ?

A : Conteneurs sont conçus pour prendre en charge des valeurs telles que IP et FQDN, et les groupes avancés supportent les objets CMA. Voici quelques directives :

  • Groupes Avancés - Offre des fonctionnalités de gestion plus solides telles que des descriptions, des recherches et la gestion des membres individuels pour les objets CMA.
  • Conteneurs - Passez à des millions d'éléments et sont généralement utilisés pour des listes IoC (Indicateurs de Compromission) personnalisées qui peuvent être appliquées aux règles de renseignement sur les menaces ou de pare-feu Internet.

Q : Quel est le plan pour les groupes avancés ? 

R : Les groupes avancés prendront progressivement en charge plus de types de membres jusqu'à atteindre la parité avec les groupes existants, et de nouveaux types de membres seront également ajoutés.

Limitations Connues pour les Groupes Avancés

  • Les paramètres DNS et DHCP personnalisés ne sont pris en charge que par les groupes

    Un support alternatif pour appliquer des paramètres DNS et DHCP personnalisés aux groupes avancés est sur la feuille de route

  • Seuls les groupes prennent en charge la spécification des sites pour le RBAC basé sur les entités

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 3

0 commentaire