V podnikové síti aplikace SD-WAN Orchestrator podporuje shromažďování vázaných událostí a protokolů brány firewall SD-WAN Orchestrator pocházejících z podnikových Zařízení SD-WAN Edge na jeden nebo více centralizovaných vzdálených kolektorů syslog (serverů) v nativním formátu syslog. Pokud má kolektor syslogů z nakonfigurovaných Edge v podnikové síti na úrovni profilu obdržet události a protokoly brány firewall směrované do aplikace SD-WAN Orchestrator, je nutné za použití následujících kroků nakonfigurovat podrobnosti kolektoru syslogů pro každý segment v rámci SD-WAN Orchestrator.

Požadavky

  • Ujistěte se, že je pro Zařízení SD-WAN Edge (ze které vázané události SD-WAN Orchestrator pocházejí) nakonfigurována cloudová virtuální privátní síť (nastavení větve do VPN větve) pro vytvoření cesty mezi Zařízení SD-WAN Edge a kolektory syslog. Další informace naleznete v tématu Konfigurace cloudové VPN pro profily.

Procedura

  1. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Profily (Profiles). Na stránce Profily (Profiles) se zobrazí existující profily.
  2. Chcete-li nakonfigurovat profil, klikněte na odkaz k profilu nebo klikněte na odkaz Zobrazit (View) ve sloupci Zařízení (Device) profilu. Možnosti konfigurace jsou zobrazeny na kartě zařízení Zařízení (Device).
  3. Z rozevírací nabídky Konfigurovat segment (Configure Segment) vyberte segment profilu pro konfiguraci nastavení syslogu. Ve výchozím nastavení je vybrána možnost Globální segment [Řádný] (Global Segment [Regular]).
  4. V části Telemetrie (Telemetry) přejděte do oblasti Syslog (Syslog) a nakonfigurujte následující podrobnosti.
    1. Z rozevírací nabídky Zařízení (Facility) vyberte standardní hodnotu syslog, která mapuje, jak váš server syslog používá pole zařízení ke správě zpráv pro všechny události z Zařízení SD-WAN Edge. Povolené hodnoty jsou local0local7.
      Poznámka: Pole Zařízení (Facility) lze nakonfigurovat pouze pro Globální segment (Global Segment) bez ohledu na nastavení syslogu pro daný profil. Ostatní segmenty dědí hodnotu kódu přístroje z globálního segmentu.
    2. Zaškrtněte pole Povolit syslog (Enable Syslog).
    3. Klikněte na tlačítko +PŘIDAT (+ ADD) a nakonfigurujte následující údaje:
      Pole Popis (Description)
      IP Zadejte cílovou IP adresu kolektoru syslogu.
      Protokol Z rozevírací nabídky vyberte protokol syslogu, buď TCP nebo UDP.
      Port Zadejte číslo portu kolektoru syslogu. Výchozí hodnota je 514.
      Zdrojové rozhraní (Source Interface) Vzhledem k tomu, že rozhraní Edge nejsou na úrovni profilu k dispozici, pole Zdrojové rozhraní (Source Interface) je nastaveno na hodnotu Automatické (Auto). Edge automaticky zvolí rozhraní s polem „Oznamovat (Advertise)“ nastaveným jako rozhraní zdroje.
      Role Vyberte jednu z následujících možností:
      • UDÁLOST EDGE (EDGE EVENT)
      • UDÁLOST BRÁNY FIREWALL (FIREWALL EVENT)
      • UDÁLOST EDGE A BRÁNY FIREWALL (EDGE AND FIREWALL EVENT)
      Úroveň syslogu Vyberte úroveň závažnosti syslogu, kterou je třeba nakonfigurovat. Pokud například zvolíte možnost KRITICKÉ (CRITICAL), Zařízení SD-WAN Edge odešle všechny události, které jsou nastaveny jako „kritické“, „výstraha“ nebo „nouzové“.
      Poznámka: Ve výchozím nastavení jsou protokoly událostí brány firewall předávány s úrovní závažnosti syslogu INFO.

      Povolené úrovně závažnosti syslogu jsou tyto:

      • NOUZOVÉ (EMERGENCY)
      • VÝSTRAHA (ALERT)
      • KRITICKÉ (CRITICAL)
      • CHYBA (ERROR)
      • UPOZORNĚNÍ (WARNING)
      • OZNÁMENÍ (NOTICE)
      • INFO
      • LADĚNÍ (DEBUG)
      Označení Volitelně můžete zadat značku syslogu. Tag syslogu lze použít k rozlišení různých typů událostí v kolektoru syslogu. Maximální povolená délka je 32 znaků s výrazy oddělenými tečkou.
      Všechny segmenty Při konfiguraci kolektoru syslog s rolí UDÁLOST BRÁNY FIREWALL (FIREWALL EVENT) nebo UDÁLOST EDGE A BRÁNY FIREWALL (EDGE AND FIREWALL EVENT) zaškrtněte pole Všechny segmenty (All Segments), pokud má kolektor syslog přijímat protokoly brány firewall ze všech segmentů. Pokud toto políčko není zaškrtnuto, bude kolektor Syslog přijímat protokoly brány firewall pouze z konkrétního segmentu, ve kterém je kolektor nakonfigurován.
      Poznámka: Pokud je rolí UDÁLOST EDGE (EDGE EVENT), kolektor syslog nakonfigurovaný v jakémkoli segmentu bude přijímat protokoly události Edge ve výchozím nastavení.
  5. Kliknutím na tlačítko + PŘIDAT (+ ADD) přidejte další kolektor syslogu nebo klikněte na tlačítko Uložit změny (Save Changes). Vzdálený kolektor syslogu se konfiguruje v rámci SD-WAN Orchestrator.
    Poznámka: Nakonfigurovat můžete maximálně dva kolektory syslogu pro každý segment a 10 kolektorů syslogu pro každé Edge. Když počet nakonfigurovaných kolektorů dosáhne maximálního povoleného limitu, tlačítko + bude deaktivováno.
    Poznámka: Na základě vybrané role začne Edge exportovat odpovídající protokoly se zvolenou úrovni závažnosti do vzdáleného kolektoru syslogu. Chcete-li, aby automaticky generované místní události nástroje SD-WAN Orchestrator byly přijímány kolektorem syslog, musíte nakonfigurovat protokol syslog na úrovni SD-WAN Orchestrator pomocí systémových vlastností log.syslog.backendlog.syslog.upload.
    Chcete-li porozumět formátu zprávy Syslog pro protokoly brány firewall, prostudujte si téma Formát zprávy Syslog pro protokoly brány firewall.

Jak pokračovat dále

SD-WAN Orchestrator umožňuje aktivaci funkce předávání syslogu na úrovni profilu a Edge. Na stránce Brána firewall (Firewall) konfigurace profilu aktivujte tlačítko Předávání syslogu (Syslog Forwarding), chcete-li předávat protokoly brány firewall pocházející z  Zařízení SD-WAN Edge podniku do nakonfigurovaných kolektorů syslog.
Poznámka: Ve výchozím nastavení je tlačítko Předávání syslogu (Syslog Forwarding) k dispozici na stránce Firewall v konfiguraci Profil nebo Edge a je deaktivováno.

Další informace o nastavení brány firewall na úrovni profilu naleznete v části Konfigurace brány firewall profilu pomocí nového uživatelského rozhraní systému Orchestrator.

Podpora zabezpečeného předávání syslogu

Verze 5.0 podporuje schopnost zabezpečeného předávání syslogu. Zajištění bezpečnosti předávání syslogů je vyžadováno pro federální certifikace a je nutné, aby splňovaly požadavky na posílení zařízení Edge velkých podniků. Proces zabezpečeného předávání syslogu začíná tím, že je k dispozici server Syslog podporující TLS. V současnosti umožňuje systém SD-WAN Orchestrator předávat protokoly na server Syslog s podporou TLS. Verze 5.0 umožňuje systému SD-WAN Orchestrator řídit předávání syslogů a provádět výchozí kontrolu zabezpečení, jako je ověření hierarchické PKI, ověřování CRL atd. Kromě toho také umožňuje přizpůsobovat bezpečnost předávání definováním podporovaných šifrovacích sad, nepovolováním samostatně podepsaných certifikátů atd.

Jiný aspekt zabezpečeného předávání syslogu je způsob, jakým jsou informace o odvolání shromažďovány nebo integrovány. Systém SD-WAN Orchestrator nyní může povolit vstup informací o odvolání od operátora, který je možné načíst ručně nebo pomocí externího procesu. Systém SD-WAN Orchestrator vyzvedne informace seznamu CRL a použije je k ověření zabezpečení před navázáním všech připojení. Kromě toho nástroj SD-WAN Orchestrator pravidelně načítá informace seznamu CRL a používá je při ověřování připojení.

Vlastnosti systému

Zabezpečené předávání syslogů začíná konfigurací parametrů předávání protokolu SD-WAN Orchestrator, aby se mohl připojit k serveru Syslog. To provedete tak, že SD-WAN Orchestrator přijme formátovaný řetězec JSON, aby bylo možné dosáhnout následujících konfiguračních parametrů, které jsou konfigurovány v Systémových vlastnostech (System Properties).

Následující vlastnosti systému mohou být nakonfigurovány, jak je znázorněno v níže uvedeném seznamu a na obrázku níže:
  • dendrochronological: konfigurace integrace syslogu back-endové služby
  • log.syslog.portal: konfigurace integrace syslogu portálu služby
  • log.syslog.upload: nahrát konfiguraci integrace syslog služby

Při konfiguraci vlastností systému lze použít následující řetězec JSON konfigurace Secure Syslog.

  • config <Objekt>
    • enable: <true> <false> Aktivujte nebo deaktivujte předávání syslogu. Mějte na paměti, že tento parametr řídí celkové předávání syslogu i v případě, že je aktivováno zabezpečené předávání.
    • options <Objekt>
      • host: <string> hostitele se systémem syslog, který je ve výchozím nastavení localhost.
      • port: <number> port na hostiteli, na kterém je spuštěn syslog, výchozí hodnota pro výchozí port syslogd.
      • protokol: <string> tcp4, udp4, tls4. Poznámka: (tls4 umožňuje zabezpečené předávání syslogu s výchozím nastavením. Chcete-li ho konfigurovat, pročtěte si následující objekt secureOptions
      • <number> pid: PID procesu, který protokolu zpráv přichází z (Default process.pid).
      • localhost: <string> hostitel, který udává, že zprávy z protokolu pocházejí z (Default: localhost).
      • app_name: <string> Název aplikace (uzel-portál, uzel-backend atd.) (Default: process.title).
    • secureOptions <Objekt>
      • disableServerIdentityCheck: <boolean> volitelně přeskočit kontrolu SAN při ověřování, např. lze použít, pokud certifikace serveru nemá SAN pro certifikáty podepsané svým držitelem. Výchozí false.
      • fetchCRLEnabled: <boolean> Pokud není false, nástroj SD-WAN Orchestrator načte informace seznamu CRL, které jsou vloženy do poskytnutých certifikačních ředitelů. Výchozí: true
      • rejectUnauthorized: <boolean> Pokud není nepravda, systém SD-WAN Orchestrator použije na seznamu poskytnutých certifikačních společností ověření hierarchické PKI. Výchozí: true. (Toto je převážně vyžadováno pro testovací účely. Nepoužívejte ho ve výrobě.)
      • caCertificate: <string> systému SD-WAN Orchestrator může přijmout řetězec, který obsahuje certifikáty formátované v PEM, a tím volitelně přepsat důvěryhodné certifikáty CA (může obsahovat více seznamů CRLs v otevřela popisného formuláři). Ve výchozím nastavení je třeba důvěřovat dobře známým certifikačním serverům sjednoceným Mozillou. Tato možnost může být použita pro povolení přijímat místní CA, které je řízeno subjektem. Například pro zákazníky v místním nasazení, kteří mají své vlastní certifikační nástroje a PKI.
      • crlPem:<string> SD-WAN Orchestrator může přijmout řetězec, který obsahuje seznamy CR s formátem PEM (může obsahovat více seznamů CRLs v otevře popisný řetězový formulář). Tuto možnost lze použít k povolení přijímat místní seznamy CRLs. Pokud je fetchCRLEnabled nastaveno na hodnotu true, nástroj SD-WAN Orchestrator zkombinuje tyto informace s načtenými seznamy CRLs. To je převážně nezbytné pro specifický scénář, kdy certifikáty nemají informace o bodu distribuce CRL.
      • crlDistributionPoints: <Array> Nástroj SD-WAN Orchestrator může volitelně přijmout pole URI distribučních bodů seznamu CRL v protokolu „http“. SD-WAN Orchestrator nepřijímá žádný identifikátor URI „https“.
      • crlPollIntervalMinutes: <number> pokud není fetchCRLEnabled nastaven jako nepravda, nástroj SD-WAN Orchestrator dotazuje seznamy CRLs každých 12 hodin. Tento parametr však může volitelně přepsat toto výchozí chování a aktualizovat seznam CRL podle zadaného čísla.

Konfigurace příkladu zabezpečeného předávání syslogu

Systém SD-WAN Orchestrator má následující možnosti vlastností systému k uspořádání popisných parametrů pro povolení zabezpečeného předávání syslogu.
Poznámka: Následující příklad by měl být modifikován dle důvěryhodnosti struktury řetězce.

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

Pokud budete chtít nakonfigurovat předávání syslogu, jako příklad (obrázek níže) si pročtěte následující objekt JSON.

Pokud je konfigurace úspěšná, SD-WAN Orchestrator vytvoří následující protokol a spustí přesměrování.

[portal:watch] 2021-10-19T20:08:47.150Z – informace: [process.logger.163467409.0] [660] Vzdálený protokol byl úspěšně konfigurován pro následující možnosti {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

Zabezpečené předávání syslogu v režimu FIPS

Když je režim FIPS aktivován pro zabezpečené předávání syslogu, připojení bude odmítnuto, pokud server syslog nenabízí následující šifrovací sady: „TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:BERMUDHE-RSA-AES256-GCM-SHA384:JABHE-RSA-AES128-GCM-SHA256.“ Nezávisle na režimu FIPS, pokud certifikát serveru syslog nemá rozšířené pole použití klíče, které nastavuje atribut "ServerAuth", připojení bude odmítnuto.

Načítání informací o seznamu CRL

Pokud není funkce fetchCRLEnabled nastavena na hodnotu false, nástroj SD-WAN Orchestrator pravidelně aktualizuje informace seznamu CRL každých 12 hodin prostřednictvím mechanismu backendové úlohy. Načtené informace seznamu CRL jsou uloženy v odpovídající systémové vlastnosti s názvem log.syslog.lastFetchedCRL.{serverName}. Tyto informace seznamu CRL budou kontrolovány při každém pokusu o připojení k serveru Syslog. Pokud dojde k chybě během načítání, SD-WAN Orchestrator vygeneruje událost operátora.

Pokud je možnost fetchCRLEnabled nastavena na hodnotu true, budou existovat tři další systémové vlastnosti, které budou odpovídat stavu seznamu CRL následujícím způsobem: log.syslog.lastFetchedCRL.backend, log.syslog.lastFetchedCRL.portal, log.syslog.lastFetchedCRL.upload, jak je znázorněno na níže uvedeném obrázku. Tyto informace zobrazí čas poslední aktualizace informací seznamu CRL a seznamu CRL.

Protokolování

Pokud je nastavena možnost "fetchCRLEnabled", SD-WAN Orchestrator se pokusí načíst seznam CRL. Pokud dojde k chybě, systém SD-WAN Orchestrator zvyšuje událost, jak je znázorněno na následujícím obrázku.