Расширенные группы и Группы в Приложении управления Cato (CMA) позволяют управлять наборами сайтов, хостов, подсетей и других сущностей как единственным объектом в конфигурациях политик.
Группировка объектов позволяет вам работать в масштабе, разделяя членство в группах и применение политик. Этот подход упрощает управление политиками, разделяет задачи жизненного цикла объектов (например, добавление или удаление членов) от определения и соблюдения правил и проясняет административные обязанности. Разные администраторы могут управлять членством в группах и использованием политик независимо.
Когда вы готовы создать группу, вы можете выбрать один из двух типов:
-
Расширенные группы
- Поддерживает интеграцию API: mutation APIs для создания и настройки, и query APIs
- Динамически проверяет совместимость участников с поддерживаемыми политиками
- Предлагает прозрачный и интуитивно понятный опыт пользователя, облегчая идентификацию, какие расширенные группы допустимы в каждом контексте политики
- Создан для поддержки будущих улучшений, чтобы Cato мог легко обновлять расширенные группы с различными типами участников и новыми объектами
-
Группы - более ранний тип, который остается поддерживаемым для продолжения существующих процессов и конфигураций.
- Группы также продолжают поддерживать настраиваемые сетевые параметры, такие как пользовательские DNS и настройки DHCP
Расширенные группы поддерживаются в этих политиках:
- Межсетевой экран для Интернета
- Межсетевой экран WAN
- Socket Next Gen LAN Firewall
- Сетевые правила
В будущем дополнительные политики будут поддерживать расширенные группы. Все политики поддерживают группы.
Поля в правиле (такие как Источник) показывают все доступные группы для выбора, включая как Группы, так и Расширенные группы.
- Расширенные группы - Доступны для добавления в правило только совместимые расширенные группы.
-
Группы - Все группы доступны для добавления в правило.
Для групп нет проверки, и если группа содержит несовместимых членов, то поведение правила может быть непоследовательным.
Расширенная группа совместима с политикой только в том случае, если все ее члены поддерживаются. В противном случае расширенная группа не совместима. Например, политика Правила состояния связи поддерживает только сайты, поэтому группа с сайтами и хостами будет несовместимой для этого правила.
CMA или API проверяет участников на основании политик и не позволяет добавлять участников, не соответствующих требованиям, в расширенную группу. Аналогично, когда расширенная группа назначена политике, вы можете добавлять новых членов, которые совместимы со всеми политиками.
Диапазоны IP позволяют определять и повторно использовать большие наборы диапазонов IP в нескольких политиках, помогая сократить ручную конфигурацию и обеспечить согласованность в масштабе. Расширенные группы поддерживают добавление диапазонов IP как типа членов, обеспечивая:
- Управление большими наборами глобальных диапазонов IP как членами расширенных групп в политиках Интернет и WAN Файрвол.
- Обеспечивает автоматическое применение любых изменений к объекту диапазона IP во всех соответствующих правилах.
Для получения дополнительной информации о создании диапазонов IP, см. Использование диапазонов IP в политиках.
Чтобы добавить группу и определить ее участников:
- В меню навигации нажмите Ресурсы > Расширенные группы.
- Нажмите Новый. Панель Создать открывается.
- В разделе Общее введите Имя группы и Описание.
- В разделе Члены добавьте элементы, которые являются членами этой группы.
-
Нажмите Сохранить.
Расширенная группа сохранена и добавлена в CMA.
Вы можете создавать группы и использовать их (в дополнение к предопределенным группам) как глобальные объекты по всей CMA.
Определите элементы в Приложении Управления Cato, которые являются членами группы. Вы также можете определить специальные настройки для групп, связанные с опциями DNS и DHCP.
Это типы групп:
- Вручную: Группы, которые вы определяете вручную. Члены группы могут включать различные сетевые сущности (например, Сайты, Сети, Плавающие диапазоны и Хосты).
-
Система: Группы, предопределенные в CMA. Это динамические группы, которые автоматически обновляются новыми участниками при добавлении подходящих элементов. Например, когда новый сайт добавляется в вашу учетную запись, системная группа Все сайты автоматически обновляется новым сайтом. Если эта группа используется в правиле безопасности, правило также будет применено к новому сайту.
Системные группы включают:
- Все сайты: Группа, включающая все сайты
- Все плавающие диапазоны: Группа, включающая все плавающие диапазоны, определенные в системе
Вы можете определить группы и их участников. Это поведение для системных групп:
- Определения на Общей панели определяются CMA и не могут быть изменены.
- Для системных групп определения на Членах панели определяются CMA и не могут быть изменены.
Чтобы добавить группу и определить ее членов:
- В меню навигации нажмите Ресурсы > Группы.
- Нажмите Новый. Панель Создать открывается.
- Введите Имя группы и нажмите Применить. Группа добавляется на экран.
- Нажмите на группу. Открывается экран Общие для группы.
- (Опционально) Введите Описание.
- Добавьте элементы, которые являются членами этой группы:
- В меню навигации нажмите Участники. Участники группы отображаются.
-
Из выпадающего меню Добавить участников выберите тип участника для добавления (например, Сайт, Сетевой интерфейс или Хост).
- Сетевой интерфейс - Весь трафик на интерфейсе (все сети)
- Подсеть интерфейса - VLAN, маршрутизируемый или прямой диапазоны, или вторичный собственный диапазон AWS vSocket
- Глобальный диапазон - Собственный диапазон на интерфейсе
Cato рекомендует, чтобы каждая группа содержала только один тип участника. Например, группа всех ваших сетевых интерфейсов.
-
Выберите все элементы этого типа, которые вы включаете в группу.
Выбранные участники добавляются в список Участников.
-
Нажмите Сохранить.
Группа сохранена и добавлена в CMA.
Чтобы удалить расширенную группу или группу, сначала необходимо удалить ее из любой политики, использующей группу. Например, если вы не удалите группу из политики Интернет Файрвол, то вы не сможете удалить группу.
Вопрос: Следует ли использовать расширенные группы или группы?
Ответ: Используйте расширенные группы, если:
- Вы будете управлять ими через API.
- Вы хотите использовать их в политике: Интернет или WAN Файрвол.
- Вам не требуются пользовательские настройки DNS или DHCP.
- В противном случае следует использовать группы.
Вопрос: Когда следует использовать контейнеры, а когда - расширенные группы?
О: Контейнеры разработаны для поддержки значений, таких как IP и FQDN, а расширенные группы поддерживают объекты CMA. Вот некоторые рекомендации:
- Расширенные группы - Обеспечивает более мощные функции управления, такие как описания, поиск и управление отдельными членами для объектов CMA.
- Контейнеры - Масштабируются до миллионов элементов и обычно используются для пользовательских списков IoC (индикаторы компрометации), которые можно применить к правилам угрозы или Интернет Файрвол.
Вопрос: Каков план для расширенных групп?
Ответ: Расширенные группы постепенно будут поддерживать больше типов членов, пока не достигнут паритета с существующими группами, и также будут добавлены новые типы членов.
-
Настройка DNS и DHCP поддерживается только группами.
Альтернативная поддержка для применения пользовательских настроек DNS и DHCP к расширенным группам находится в разработке.
- Только группы поддерживают указание сайтов для ролевого управления доступом на основе сущностей.
0 комментариев
Войдите в службу, чтобы оставить комментарий.