V podnikové síti aplikace SASE Orchestrator podporuje shromažďování vázaných událostí a protokolů brány firewall SASE Orchestrator pocházejících z podnikových Zařízení SD-WAN Edge na jeden nebo více centralizovaných vzdálených kolektorů syslog (serverů) v nativním formátu syslog. Pokud má kolektor syslogů z nakonfigurovaných Edge v podnikové síti na úrovni profilu obdržet události a protokoly brány firewall směrované do aplikace SASE Orchestrator, je nutné za použití následujících kroků nakonfigurovat podrobnosti kolektoru syslogů pro každý segment v rámci SASE Orchestrator.

Požadavky

  • Ujistěte se, že je pro Zařízení SD-WAN Edge (ze které vázané události SASE Orchestrator pocházejí) nakonfigurována cloudová virtuální privátní síť (nastavení větve do VPN větve) pro vytvoření cesty mezi Zařízení SD-WAN Edge a kolektory syslog. Další informace naleznete v tématu Konfigurace cloudové VPN pro profily.

Procedura

  1. Ve službě SD-WAN podnikového portálu klikněte na možnost Konfigurovat (Configure) > Profily (Profiles). Na stránce Profily (Profiles) se zobrazí existující profily.
  2. Chcete-li nakonfigurovat profil, klikněte na odkaz k profilu nebo klikněte na odkaz Zobrazit (View) ve sloupci Zařízení (Device) profilu. Možnosti konfigurace jsou zobrazeny na kartě zařízení Zařízení (Device).
  3. Z rozevírací nabídky Konfigurovat segment (Configure Segment) vyberte segment profilu pro konfiguraci nastavení syslogu. Ve výchozím nastavení je vybrána možnost Globální segment [Řádný] (Global Segment [Regular]).
  4. V části Telemetrie (Telemetry) přejděte do oblasti Syslog (Syslog) a nakonfigurujte následující podrobnosti.
    1. Z rozevírací nabídky Zařízení (Facility) vyberte standardní hodnotu syslog, která mapuje, jak váš server syslog používá pole zařízení ke správě zpráv pro všechny události z Zařízení SD-WAN Edge. Povolené hodnoty jsou local0local7.
      Poznámka: Pole Zařízení (Facility) lze nakonfigurovat pouze pro Globální segment (Global Segment) bez ohledu na nastavení syslogu pro daný profil. Ostatní segmenty dědí hodnotu kódu přístroje z globálního segmentu.
    2. Zaškrtněte pole Povolit syslog (Enable Syslog).
    3. Klikněte na tlačítko +PŘIDAT (+ ADD) a nakonfigurujte následující údaje:
      Pole Popis
      IP Zadejte cílovou IP adresu kolektoru syslogu.
      Protokol Z rozevírací nabídky vyberte protokol syslogu, buď TCP nebo UDP.
      Port Zadejte číslo portu kolektoru syslogu. Výchozí hodnota je 514.
      Zdrojové rozhraní (Source Interface) Vzhledem k tomu, že rozhraní Edge nejsou na úrovni profilu k dispozici, pole Zdrojové rozhraní (Source Interface) je nastaveno na hodnotu Automatické (Auto). Edge automaticky zvolí rozhraní s polem „Oznamovat (Advertise)“ nastaveným jako rozhraní zdroje.
      Role Vyberte jednu z následujících možností:
      • UDÁLOST EDGE (EDGE EVENT)
      • UDÁLOST BRÁNY FIREWALL (FIREWALL EVENT)
      • UDÁLOST EDGE A BRÁNY FIREWALL (EDGE AND FIREWALL EVENT)
      Úroveň syslogu Vyberte úroveň závažnosti syslogu, kterou je třeba nakonfigurovat. Pokud například zvolíte možnost KRITICKÉ (CRITICAL), Zařízení SD-WAN Edge odešle všechny události, které jsou nastaveny jako „kritické“, „výstraha“ nebo „nouzové“.
      Poznámka: Ve výchozím nastavení jsou protokoly událostí brány firewall předávány s úrovní závažnosti syslogu INFO.

      Povolené úrovně závažnosti syslogu jsou tyto:

      • NOUZOVÉ (EMERGENCY)
      • VÝSTRAHA (ALERT)
      • KRITICKÉ (CRITICAL)
      • CHYBA (ERROR)
      • UPOZORNĚNÍ (WARNING)
      • OZNÁMENÍ (NOTICE)
      • INFO
      • LADĚNÍ (DEBUG)
      Označení Volitelně můžete zadat značku syslogu. Tag syslogu lze použít k rozlišení různých typů událostí v kolektoru syslogu. Maximální povolená délka je 32 znaků s výrazy oddělenými tečkou.
      Všechny segmenty Při konfiguraci kolektoru syslog s rolí UDÁLOST BRÁNY FIREWALL (FIREWALL EVENT) nebo UDÁLOST EDGE A BRÁNY FIREWALL (EDGE AND FIREWALL EVENT) zaškrtněte pole Všechny segmenty (All Segments), pokud má kolektor syslog přijímat protokoly brány firewall ze všech segmentů. Pokud toto políčko není zaškrtnuto, bude kolektor Syslog přijímat protokoly brány firewall pouze z konkrétního segmentu, ve kterém je kolektor nakonfigurován.
      Poznámka: Pokud je rolí UDÁLOST EDGE (EDGE EVENT), kolektor syslog nakonfigurovaný v jakémkoli segmentu bude přijímat protokoly události Edge ve výchozím nastavení.
  5. Kliknutím na tlačítko + PŘIDAT (+ ADD) přidejte další kolektor syslogu nebo klikněte na tlačítko Uložit změny (Save Changes). Vzdálený kolektor syslogu se konfiguruje v rámci SASE Orchestrator.
    Poznámka: Nakonfigurovat můžete maximálně dva kolektory syslogu pro každý segment a 10 kolektorů syslogu pro každé Edge. Když počet nakonfigurovaných kolektorů dosáhne maximálního povoleného limitu, tlačítko + bude deaktivováno.
    Poznámka: Na základě vybrané role začne Edge exportovat odpovídající protokoly se zvolenou úrovni závažnosti do vzdáleného kolektoru syslogu. Chcete-li, aby automaticky generované místní události nástroje SASE Orchestrator byly přijímány kolektorem syslog, musíte nakonfigurovat protokol syslog na úrovni SASE Orchestrator pomocí systémových vlastností log.syslog.backendlog.syslog.upload.
    Chcete-li porozumět formátu zprávy Syslog pro protokoly brány firewall, prostudujte si téma Formát zprávy Syslog pro protokoly brány firewall.

Jak pokračovat dále

SASE Orchestrator umožňuje aktivaci funkce předávání syslogu na úrovni profilu a Edge. Na stránce Brána firewall (Firewall) konfigurace profilu aktivujte tlačítko Předávání syslogu (Syslog Forwarding), chcete-li předávat protokoly brány firewall pocházející z  Zařízení SD-WAN Edge podniku do nakonfigurovaných kolektorů syslog.
Poznámka: Ve výchozím nastavení je tlačítko Předávání syslogu (Syslog Forwarding) k dispozici na stránce Firewall v konfiguraci Profil nebo Edge a je deaktivováno.

Další informace o nastavení brány firewall na úrovni profilu naleznete v části Konfigurace brány firewall profilu.

Podpora zabezpečeného předávání syslogu

Verze 5.0 podporuje schopnost zabezpečeného předávání syslogu. Zajištění bezpečnosti předávání syslogů je vyžadováno pro federální certifikace a je nutné, aby splňovaly požadavky na posílení zařízení Edge velkých podniků. Proces zabezpečeného předávání syslogu začíná tím, že je k dispozici server Syslog podporující TLS. V současnosti umožňuje nástroj SASE Orchestrator předávat protokoly na server Syslog s podporou TLS. Verze 5.0 umožňuje nástroji SASE Orchestrator řídit předávání syslogů a provádět výchozí kontrolu zabezpečení, jako je ověření hierarchické PKI, ověřování CRL atd. Kromě toho také umožňuje přizpůsobovat bezpečnost předávání definováním podporovaných šifrovacích sad, nepovolováním samostatně podepsaných certifikátů atd.

Jiný aspekt zabezpečeného předávání syslogu je způsob, jakým jsou informace o odvolání shromažďovány nebo integrovány. Nástroj SASE Orchestrator nyní může povolit vstup informací o odvolání od operátora, který je možné načíst ručně nebo pomocí externího procesu. Nástroj SASE Orchestrator vyzvedne informace seznamu CRL a použije je k ověření zabezpečení před navázáním všech připojení. Kromě toho nástroj SASE Orchestrator pravidelně načítá informace seznamu CRL a používá je při ověřování připojení.

Vlastnosti systému

Zabezpečené předávání syslogů začíná konfigurací parametrů předávání protokolu nástroje SASE Orchestrator, aby se mohl připojit k serveru Syslog. To provedete tak, že nástroj SASE Orchestrator přijme formátovaný řetězec JSON, aby bylo možné dosáhnout následujících konfiguračních parametrů, které jsou konfigurovány v Systémových vlastnostech (System Properties).

Následující vlastnosti systému mohou být nakonfigurovány, jak je znázorněno v níže uvedeném seznamu a na obrázku níže:
  • log.syslog.backend: konfigurace integrace syslogu back-endové služby
  • log.syslog.portal: konfigurace integrace syslogu portálu služby
  • log.syslog.upload: nahrát konfiguraci integrace syslog služby

Při konfiguraci vlastností systému lze použít následující řetězec JSON konfigurace Secure Syslog.

  • config <Objekt>
    • enable: <true> <false> Aktivujte nebo deaktivujte předávání syslogu. Mějte na paměti, že tento parametr řídí celkové předávání syslogu i v případě, že je aktivováno zabezpečené předávání.
    • options <Objekt>
      • host: <string> hostitele se systémem syslog, který je ve výchozím nastavení localhost.
      • port: <number> port na hostiteli, na kterém je spuštěn syslog, výchozí hodnota pro výchozí port syslogd.
      • protokol: <string> tcp4, udp4, tls4. Poznámka: (tls4 umožňuje zabezpečené předávání syslogu s výchozím nastavením. Chcete-li ho nakonfigurovat, podívejte se na následující objekt zabezpečených možností.
      • <number> pid: PID procesu, který protokolu zpráv přichází z (Default process.pid).
      • localhost: <string> hostitel, který udává, že zprávy z protokolu pocházejí z (Default: localhost).
      • app_name: <string> Název aplikace (uzel-portál, uzel-backend atd.) (Default: process.title).
    • secureOptions <Objekt>
      • disableServerIdentityCheck: <boolean> volitelně přeskočit kontrolu SAN při ověřování, např. lze použít, pokud certifikace serveru nemá SAN pro certifikáty podepsané svým držitelem. Výchozí false.
      • fetchCRLEnabled: <boolean> Pokud není false, nástroj SASE Orchestrator načte informace seznamu CRL, které jsou vloženy do poskytnutých certifikačních autorit. Výchozí: true
      • rejectUnauthorized: <boolean> Pokud není nepravda, nástroj SASE Orchestrator použije na seznamu poskytnutých certifikačních autorit ověření hierarchické PKI. Výchozí: true. (Toto je převážně vyžadováno pro testovací účely. Nepoužívejte ho ve výrobě.)
      • caCertificate: <string> SASE Orchestrator může přijmout řetězec, který obsahuje certifikáty formátované v PEM, a tím volitelně přepsat důvěryhodné certifikáty CA (může obsahovat více seznamů CRLs v zřetězené formě přátelské k openssl). Ve výchozím nastavení je třeba důvěřovat dobře známým certifikačním serverům sjednoceným Mozillou. Tato možnost může být použita pro povolení přijímat místní CA, které je řízeno subjektem. Například pro zákazníky v místním nasazení, kteří mají své vlastní certifikační nástroje a PKI.
      • crlPem:<string> SASE Orchestrator může přijmout řetězec, který obsahuje seznamy CR s formátem PEM (může obsahovat více seznamů CRLs v zřetězené formě přátelské k openssl). Tuto možnost lze použít k povolení přijímat místní seznamy CRLs. Pokud je fetchCRLEnabled nastaveno na hodnotu true, nástroj SASE Orchestrator zkombinuje tyto informace s načtenými seznamy CRL. To je převážně nezbytné pro specifický scénář, kdy certifikáty nemají informace o bodu distribuce CRL.
      • crlDistributionPoints: <Array> SASE Orchestrator může volitelně přijmout identifikátor URI distribučních bodů CRL pole v protokolu „http“. SASE Orchestrator nepřijímá žádné identifikátory URI „https“.
      • crlPollIntervalMinutes: <number>, pokud fetchCRLEnabled není nastaveno jako false, SASE Orchestrator dotazuje seznamy CRL každých 12 hodin. Tento parametr však může volitelně přepsat toto výchozí chování a aktualizovat seznam CRL podle zadaného čísla.

Konfigurace příkladu zabezpečeného předávání syslogu

SASE Orchestrator má následující možnosti vlastností systému k uspořádání popisných parametrů pro povolení zabezpečeného předávání syslogu.
Poznámka: Následující příklad by měl být modifikován dle důvěryhodnosti struktury řetězce.

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----MIID6TCCAtGgAwIBAgIUaauyk0AJ1ZK/U10OXl0GPGXxahQwDQYJKoZIhvcNAQELBQAwYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDAgFw0yMTA5MjgxOTMzMjVaGA8yMDczMTAwNTE5MzMyNVowYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMwG+Xyp5wnoTDxpRRUmE63DUnaJcAIMVABm0xKoBEbOKoW0rnl3nFu3l0u6FZzfq+HBJwnOtrBO0lf/sges2/QeUduCeBC/bqs5VzIRQdNaFXVtundWU+7Tn0ZDKXv4aRC0vsvjejU0H7DCXLg4yGF4KbM6f0gVBgj4iFyIjcy4+aMsvYufDV518RRB3MIHuLdyQXIe253fVSBHA5NCn9NGEF1e6Nxt3hbzy3Xe4TwGDQfpXx7sRt9tNbnxemJ8A2ou8XzxHPc44G4O0eN/DGIwkP1GZpKcihFFMMxMlzAvotNqE25gxN/O04/JP7jfQDhqKrLKwmnAmgH9SqvV0F8CAwEAAaOBmDCBlTAdBgNVHQ4EFgQUSpavxf80w/I3bdLzubsFZnwzpcMwHwYDVR0jBBgwFoAUSpavxf80w/I3bdLzubsFZnwzpcMwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwMgYDVR0fBCswKTAnoCWgI4YhaHR0cDovL2xvY2FsaG9zdDo1NDgzL2NybFJvb3QucGVtMA0GCSqGSIb3DQEBCwUAA4IBAQBrYkmg+4x2FrC4W8eU0S62DVrsCtA26wKTVDtor8QAvi2sPGKNlv1nu3F2AOTBXIY+9QV/Zvg9oKunRy917BEVx8sBuwrHW9IvbThVk+NtT/5fxFQwCjO9l7/DiEkCRTsrY4WEy8AW1CcaBwEscFXXgliwWLYMpkFxsNBTrUIUfpIR0Wiogdtc+ccYWDSSPomWZHUmgumWIikLue9/sOvV9eWy56fZnQNBrOf5wUs0suJyLhi0hhFOAMdEJuL4WnYthX5d+ifNon8ylXGO6cOzXoA0DlvSmAS+NOEekFo6R1Arrws0/nk6otGH/Be5+/WXFmp0nzT5cwnspbpA1seO-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

Pokud budete chtít nakonfigurovat předávání syslogu, jako příklad (obrázek níže) si pročtěte následující objekt JSON.

Pokud je konfigurace úspěšná, SASE Orchestrator vytvoří následující protokol a spustí přesměrování.

[portal:watch] 2021-10-19T20:08:47.150Z – informace: [process.logger.163467409.0] [660] Vzdálený protokol byl úspěšně konfigurován pro následující možnosti {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

Zabezpečené předávání syslogu v režimu FIPS

Když je režim FIPS aktivován pro zabezpečené předávání syslogu, připojení bude odmítnuto, pokud server syslog nenabízí následující šifrovací sady: „TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:BERMUDHE-RSA-AES256-GCM-SHA384:JABHE-RSA-AES128-GCM-SHA256.“ Nezávisle na režimu FIPS, pokud certifikát serveru syslog nemá rozšířené pole použití klíče, které nastavuje atribut "ServerAuth", připojení bude odmítnuto.

Načítání informací o seznamu CRL

Pokud není funkce fetchCRLEnabled nastavena na hodnotu false, SASE Orchestrator pravidelně aktualizuje informace seznamu CRL každých 12 hodin prostřednictvím mechanismu backendové úlohy. Načtené informace seznamu CRL jsou uloženy v odpovídající systémové vlastnosti s názvem log.syslog.lastFetchedCRL.{serverName}. Tyto informace seznamu CRL budou kontrolovány při každém pokusu o připojení k serveru Syslog. Pokud dojde k chybě během načítání, SASE Orchestrator vygeneruje událost operátora.

Pokud je možnost fetchCRLEnabled nastavena na hodnotu true, budou existovat tři další systémové vlastnosti, které budou odpovídat stavu seznamu CRL následujícím způsobem: log.syslog.lastFetchedCRL.backend, log.syslog.lastFetchedCRL.portal, log.syslog.lastFetchedCRL.upload, jak je znázorněno na níže uvedeném obrázku. Tyto informace zobrazí čas poslední aktualizace informací seznamu CRL a seznamu CRL.

Protokolování

Pokud je možnost „fetchCRLEnabled“ nastavena na hodnotu true, SASE Orchestrator se pokusí načíst seznam CRL. Pokud dojde k chybě, SASE Orchestrator vyvolá událost a zobrazí se na stránce Události operátora (Operator Events).