V podnikové síti aplikace SD-WAN Orchestrator podporuje shromažďování vázaných událostí a protokolů brány firewall SD-WAN Orchestrator pocházejících z podnikových Zařízení SD-WAN Edge na jeden nebo více centralizovaných vzdálených kolektorů syslog (serverů) v nativním formátu syslog. Pokud má kolektor syslogů z nakonfigurovaných Edge v podnikové síti na úrovni profilu obdržet události a protokoly brány firewall směrované do aplikace SD-WAN Orchestrator, je nutné za použití následujících kroků nakonfigurovat podrobnosti kolektoru syslogů pro každý segment v rámci SD-WAN Orchestrator.
Požadavky
- Ujistěte se, že je pro Zařízení SD-WAN Edge (ze které vázané události SD-WAN Orchestrator pocházejí) nakonfigurována cloudová virtuální privátní síť (nastavení větve do VPN větve) pro vytvoření cesty mezi Zařízení SD-WAN Edge a kolektory syslog. Další informace naleznete v tématu Konfigurace cloudové VPN pro profily.
Procedura
Jak pokračovat dále
Další informace o nastavení brány firewall na úrovni profilu naleznete v části Konfigurace brány firewall pro profily.
Podpora zabezpečeného předávání syslogu
Verze 5.0 podporuje schopnost zabezpečeného předávání syslogu. Zajištění bezpečnosti předávání syslogů je vyžadováno pro federální certifikace a je nutné, aby splňovaly požadavky na posílení zařízení Edge velkých podniků. Proces zabezpečeného předávání syslogu začíná tím, že je k dispozici server Syslog podporující TLS. V současnosti umožňuje systém SD-WAN Orchestrator předávat protokoly na server Syslog s podporou TLS. Verze 5.0 umožňuje systému SD-WAN Orchestrator řídit předávání syslogů a provádět výchozí kontrolu zabezpečení, jako je ověření hierarchické PKI, ověřování CRL atd. Kromě toho také umožňuje přizpůsobovat bezpečnost předávání definováním podporovaných šifrovacích sad, nepovolováním samostatně podepsaných certifikátů atd.
Jiný aspekt zabezpečeného předávání syslogu je způsob, jakým jsou informace o odvolání shromažďovány nebo integrovány. Systém SD-WAN Orchestrator nyní může povolit vstup informací o odvolání od operátora, který je možné načíst ručně nebo pomocí externího procesu. Systém SD-WAN Orchestrator vyzvedne informace seznamu CRL a použije je k ověření zabezpečení před navázáním všech připojení. Kromě toho nástroj SD-WAN Orchestrator pravidelně načítá informace seznamu CRL a používá je při ověřování připojení.
Vlastnosti systému
Zabezpečené předávání syslogů začíná konfigurací parametrů předávání protokolu SD-WAN Orchestrator, aby se mohl připojit k serveru Syslog. To provedete tak, že SD-WAN Orchestrator přijme formátovaný řetězec JSON, aby bylo možné dosáhnout následujících konfiguračních parametrů, které jsou konfigurovány v Systémových vlastnostech (System Properties).
- dendrochronological: konfigurace integrace syslogu back-endové služby
- log.syslog.portal: konfigurace integrace syslogu portálu služby
- log.syslog.upload: nahrát konfiguraci integrace syslog služby
Při konfiguraci vlastností systému lze použít následující řetězec JSON konfigurace Secure Syslog.
config
<Objekt>enable:
<true> <false> Aktivujte nebo deaktivujte předávání syslogu. Všimněte si, prosím, že tento parametr řídí celkové předávání syslogu i v případě, že je aktivováno zabezpečené předávání.options
<Objekt>host:
<string> hostitele se systémem syslog, který je ve výchozím nastavení localhost.- port: <number> port na hostiteli, na kterém je spuštěn syslog, výchozí hodnota pro výchozí port syslogd.
- protokol: <string> tcp4, udp4, tls4. Poznámka: (tls4 aktivuje zabezpečené předávání syslogu s výchozím nastavením. Chcete-li ho konfigurovat, pročtěte si následující objekt secureOptions
- <number> pid: PID procesu, který protokolu zpráv přichází z (Default process.pid).
- localhost: <string> hostitel, který udává, že zprávy z protokolu pocházejí z (Default: localhost).
- app_name: <string> Název aplikace (uzel-portál, uzel-backend atd.) (Default: process.title).
secureOptions
<Objekt>disableServerIdentityCheck:
<boolean> volitelně přeskočit kontrolu SAN při ověřování, např. lze použít, pokud certifikace serveru nemá SAN pro certifikáty podepsané svým držitelem. Výchozífalse
.fetchCRLEnabled:
<boolean> Pokud nenífalse
, nástroj SD-WAN Orchestrator načte informace seznamu CRL, které jsou vloženy do poskytnutých certifikačních ředitelů. Výchozí:true
rejectUnauthorized:
<boolean> Pokud není nepravda, systém SD-WAN Orchestrator použije na seznamu poskytnutých certifikačních společností ověření hierarchické PKI. Výchozí:true
. (Toto je převážně vyžadováno pro testovací účely. Nepoužívejte ho ve výrobě.)caCertificate:
<string> systému SD-WAN Orchestrator může přijmout řetězec, který obsahuje certifikáty formátované v PEM, a tím volitelně přepsat důvěryhodné certifikáty CA (může obsahovat více seznamů CRLs v otevřela popisného formuláři). Ve výchozím nastavení je třeba důvěřovat dobře známým certifikačním serverům sjednoceným Mozillou. Tato možnost může být použita pro povolení přijímat místní CA, které je řízeno subjektem. Například pro zákazníky v místním nasazení, kteří mají své vlastní certifikační nástroje a PKI.crlPem:<string>
SD-WAN Orchestrator může přijmout řetězec, který obsahuje seznamy CR s formátem PEM (může obsahovat více seznamů CRLs v otevře popisný řetězový formulář). Tuto možnost lze použít k povolení přijímat místní seznamy CRLs. Pokud jefetchCRLEnabled
nastaveno na hodnotu true, nástroj SD-WAN Orchestrator zkombinuje tyto informace s načtenými seznamy CRLs. To je převážně nezbytné pro specifický scénář, kdy certifikáty nemají informace o bodu distribuce CRL.- crlDistributionPoints: <Array> Nástroj SD-WAN Orchestrator může volitelně přijmout pole URI distribučních bodů seznamu CRL v protokolu „http“. SD-WAN Orchestrator nepřijímá žádný identifikátor URI „https“.
- crlPollIntervalMinutes: <number> pokud není fetchCRLEnabled nastaven jako nepravda, nástroj SD-WAN Orchestrator dotazuje seznamy CRLs každých 12 hodin. Tento parametr však může volitelně přepsat toto výchozí chování a aktualizovat seznam CRL podle zadaného čísla.
Konfigurace příkladu zabezpečeného předávání syslogu
{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----MIID6TCCAtGgAwIBAgIUaauyk0AJ1ZK/U10OXl0GPGXxahQwDQYJKoZIhvcNAQELBQAwYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDAgFw0yMTA5MjgxOTMzMjVaGA8yMDczMTAwNTE5MzMyNVowYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMwG+Xyp5wnoTDxpRRUmE63DUnaJcAIMVABm0xKoBEbOKoW0rnl3nFu3l0u6FZzfq+HBJwnOtrBO0lf/sges2/QeUduCeBC/bqs5VzIRQdNaFXVtundWU+7Tn0ZDKXv4aRC0vsvjejU0H7DCXLg4yGF4KbM6f0gVBgj4iFyIjcy4+aMsvYufDV518RRB3MIHuLdyQXIe253fVSBHA5NCn9NGEF1e6Nxt3hbzy3Xe4TwGDQfpXx7sRt9tNbnxemJ8A2ou8XzxHPc44G4O0eN/DGIwkP1GZpKcihFFMMxMlzAvotNqE25gxN/O04/JP7jfQDhqKrLKwmnAmgH9SqvV0F8CAwEAAaOBmDCBlTAdBgNVHQ4EFgQUSpavxf80w/I3bdLzubsFZnwzpcMwHwYDVR0jBBgwFoAUSpavxf80w/I3bdLzubsFZnwzpcMwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwMgYDVR0fBCswKTAnoCWgI4YhaHR0cDovL2xvY2FsaG9zdDo1NDgzL2NybFJvb3QucGVtMA0GCSqGSIb3DQEBCwUAA4IBAQBrYkmg+4x2FrC4W8eU0S62DVrsCtA26wKTVDtor8QAvi2sPGKNlv1nu3F2AOTBXIY+9QV/Zvg9oKunRy917BEVx8sBuwrHW9IvbThVk+NtT/5fxFQwCjO9l7/DiEkCRTsrY4WEy8AW1CcaBwEscFXXgliwWLYMpkFxsNBTrUIUfpIR0Wiogdtc+ccYWDSSPomWZHUmgumWIikLue9/sOvV9eWy56fZnQNBrOf5wUs0suJyLhi0hhFOAMdEJuL4WnYthX5d+ifNon8ylXGO6cOzXoA0DlvSmAS+NOEekFo6R1Arrws0/nk6otGH/Be5+/WXFmp0nzT5cwnspbpA1seO-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt
Pokud budete chtít nakonfigurovat předávání syslogu, jako příklad (obrázek níže) si pročtěte následující objekt JSON.
Pokud je konfigurace úspěšná, SD-WAN Orchestrator vytvoří následující protokol a spustí přesměrování.
[portal:watch] 2021-10-19T20:08:47.150Z – informace: [process.logger.163467409.0] [660] Vzdálený protokol byl úspěšně konfigurován pro následující možnosti {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}
Zabezpečené předávání syslogu v režimu FIPS
Když je režim FIPS aktivován pro zabezpečené předávání syslogu, připojení bude odmítnuto, pokud server syslog nenabízí následující šifrovací sady: "TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:BERMUDHE-RSA-AES256-GCM-SHA384:JABHE-RSA-AES128-GCM-SHA256." Nezávisle na režimu FIPS, pokud certifikát serveru syslog nemá rozšířené pole použití klíče, které nastavuje atribut "ServerAuth", připojení bude odmítnuto.
Načítání informací o seznamu CRL
Pokud není funkce fetchCRLEnabled nastavena na hodnotu false, nástroj SD-WAN Orchestrator pravidelně aktualizuje informace seznamu CRL každých 12 hodin prostřednictvím mechanismu backendové úlohy. Načtené informace seznamu CRL jsou uloženy v odpovídající systémové vlastnosti s názvem log.syslog.lastFetchedCRL.{serverName}. Tyto informace seznamu CRL budou kontrolovány při každém pokusu o připojení k serveru Syslog. Pokud dojde k chybě během načítání, SD-WAN Orchestrator vygeneruje událost operátora.
Pokud je možnost fetchCRLEnabled nastavena na hodnotu true, budou existovat tři další systémové vlastnosti, které budou odpovídat stavu seznamu CRL následujícím způsobem: log.syslog.lastFetchedCRL.backend, log.syslog.lastFetchedCRL.portal, log.syslog.lastFetchedCRL.upload, jak je znázorněno na níže uvedeném obrázku. Tyto informace zobrazí čas poslední aktualizace informací seznamu CRL a seznamu CRL.
Protokolování
Pokud je nastavena možnost "fetchCRLEnabled", SD-WAN Orchestrator se pokusí načíst seznam CRL. Pokud dojde k chybě, systém SD-WAN Orchestrator zvyšuje událost, jak je znázorněno na následujícím obrázku.