Grupos Avançados e Grupos no Cato Management Application (CMA) permitem gerenciar conjuntos de sites, hosts, sub-redes e outras entidades como um único objeto nas configurações de política.
Agrupar objetos permite operar em escala, separando a associação de grupos da aplicação de políticas. Essa abordagem simplifica a gestão de políticas, separa tarefas do ciclo de vida dos objetos (por exemplo, adicionar ou remover membros) da definição e execução de regras, e esclarece responsabilidades administrativas. Diferentes administradores podem gerenciar a associação de grupos e o uso de políticas independentemente
Quando estiver pronto para criar um grupo, você pode escolher entre dois tipos:
-
Grupos Avançados
- Suporta a integração API: APIs de mutação para criar e configurar, e APIs de consulta
- Valida dinamicamente que os membros são compatíveis com as políticas suportadas
- Oferece uma experiência de usuário transparente e intuitiva, tornando fácil identificar quais grupos avançados são válidos em cada contexto de política
- Construído para suportar melhorias futuras, assim a Cato pode facilmente atualizar grupos avançados com diferentes tipos de membros e novos objetos
-
Grupos - o tipo anterior que continua a ser suportado para manter processos e configurações existentes
- Grupos também continuam a suportar opções de rede personalizadas, como configurações DNS e DHCP personalizadas
Grupos avançados são suportados nestas políticas:
- Firewall de Internet
- Firewall WAN
- Firewall de Próxima Geração LAN Socket
- Regras de Rede
Políticas adicionais suportarão grupos avançados no futuro. Todas as políticas suportam grupos.
Campos em uma regra (como Fonte) mostram todos os grupos disponíveis para seleção, incluindo tanto Grupos como Grupos Avançados.
- Grupos avançados - Apenas grupos avançados compatíveis estão disponíveis para adicionar a uma regra
-
Grupos - Todos os grupos estão disponíveis para adicionar a uma regra
Não há validação para grupos, e se o grupo incluir membros não compatíveis, então o comportamento da regra pode ser inconsistente.
Um grupo avançado é compatível com uma política apenas se todos os seus membros forem suportados. Caso contrário, o grupo avançado não é compatível. Por exemplo, a política de Regras de Saúde de Link só suporta sites, então um grupo que contenha sites e hosts seria não compatível para essa regra.
O CMA ou API valida membros com base nas políticas e não permite que você adicione membros não compatíveis a um grupo avançado. Similarmente, quando um grupo avançado é atribuído a políticas, você pode adicionar novos membros que sejam compatíveis com todas as políticas.
Intervalos de IP permitem definir e reutilizar grandes conjuntos de intervalos de IP em várias políticas, ajudando a reduzir a configuração manual e garantir consistência em escala. Grupos avançados suportam adicionar Intervalos de IP como um tipo de membro, proporcionando:
- Gerenciar grandes conjuntos de Intervalos de IP globais como membros de grupos avançados em políticas de Firewall de Internet e WAN
- Garante que quaisquer alterações feitas em um objeto de Intervalo de IP sejam automaticamente aplicadas a todas as regras relevantes
Para mais informações sobre a criação de Faixas de IP, veja Usando Faixas de IP em Políticas.
Para adicionar um grupo e definir seus membros:
- No menu de navegação, clique em Recursos > Grupos Avançados.
- Clique em Novo. O painel Criar é aberto.
- Na seção Geral, insira o grupo Nome e Descrição.
- Na seção Membros, adicione os itens que são membros deste grupo.
-
Clique em Salvar.
O grupo avançado é salvo e adicionado ao CMA.
Você pode criar grupos e aproveitá-los (além dos grupos pré-definidos) como objetos globais no CMA.
Defina os itens no CMA que são membros do grupo. Você também pode definir configurações especiais para grupos relacionados a Opções DNS e DHCP.
Estes são os tipos de grupos:
- Manual: Grupos que você define manualmente. Membros do grupo podem incluir várias entidades de rede (como Sites, Redes, Intervalos Flutuantes, e Hosts).
-
Sistema: Grupos que são pré-definidos no CMA. Estes são grupos dinâmicos que são atualizados automaticamente com novos membros quando os itens apropriados são adicionados. Por exemplo, quando um novo site é adicionado à sua conta, o grupo de sistema Todos os Sites é automaticamente atualizado com o novo site. Se este grupo for usado em uma regra de segurança, a regra também será aplicada ao novo site.
Os grupos do sistema incluem:
- Todos os Sites: Um grupo que inclui todos os sites
- Todas as Faixas Flutuantes: Um grupo que inclui todas as faixas flutuantes definidas no sistema
Você pode definir grupos e seus membros. Estes são os comportamentos para grupos de Sistema:
- Definições no painel Geral são definidas pelo CMA e não podem ser modificadas.
- Para grupos de Sistema, definições no painel Membros são definidas pelo CMA e não podem ser modificadas.
Para adicionar um grupo e definir seus membros:
- No menu de navegação, clique em Recursos > Grupos.
- Clique em Novo. O painel Criar abre.
- Digite o Nome do grupo e clique em Aplicar. O grupo é adicionado à tela.
- Clique no grupo. A tela Geral do grupo é aberta.
- (Opcional) Digite uma Descrição.
- Adicione os itens que são membros deste grupo:
- No menu de navegação, clique em Membros. Os membros do grupo são exibidos.
-
No menu suspenso Adicionar Membros, selecione o tipo de membro para adicionar (por exemplo, Site, Interface de Rede ou Host).
- Interface de Rede - Todo o tráfego na interface (todas as redes)
- Sub-rede de Interface - VLAN, faixas roteadas ou diretas, ou uma faixa nativa secundária AWS vSocket
- Alcance Global - Faixa nativa na interface
Cato recomenda que cada grupo contenha apenas um tipo de membro. Por exemplo, um grupo de todas as suas interfaces de rede.
-
Selecione todos os itens desse tipo que você está incluindo no grupo.
Os membros selecionados são adicionados à lista de Membros.
-
Clique em Salvar.
O grupo é salvo e adicionado ao CMA.
Para excluir um grupo ou grupo avançado, você deve primeiro removê-lo de qualquer política que utilize o grupo. Por exemplo, se você não remover o grupo da política de Firewall de Internet, então você não pode excluir o grupo.
P: Devo usar grupos avançados ou grupos?
R: Use grupos avançados se:
- Você irá gerenciá-los através da API
- Você quer usá-los nestas políticas: Firewall de Internet ou WAN
- Você não requer configurações personalizadas de DNS ou DHCP
- Caso contrário, você deve usar grupos
P: Quando devo usar contêineres e quando devo usar grupos avançados?
A: Contêineres são projetados para suportar valores como IPs e FQDN, e grupos avançados suportam objetos CMA. Aqui estão algumas diretrizes:
- Grupos Avançados - Oferecem recursos de gestão mais robustos, como descrições, pesquisa, e gerenciamento de membros individuais para objetos CMA
- Contêineres - Escalam para milhões de itens e são tipicamente usados para listas personalizadas de IoC (Indicadores de Comprometimento) que podem ser aplicadas a regras de inteligência de ameaças ou de Firewall de Internet
P: Qual é o plano para grupos avançados?
R: Grupos avançados gradualmente suportarão mais tipos de membros até atingir equivalência com grupos existentes, e novos tipos de membros também serão adicionados.
-
Configurações personalizadas de DNS e DHCP são suportadas apenas por grupos
Suporte alternativo para aplicar configurações personalizadas de DNS e DHCP a grupos avançados está no roteiro
- Apenas grupos suportam especificar sites para RBAC baseado em entidades
0 comentário
Por favor, entre para comentar.