In einem Unternehmensnetzwerk unterstützt SASE Orchestrator die Erfassung von SASE Orchestrator-gebundenen Ereignissen und Firewallprotokollen, die vom Unternehmens-SD-WAN Edge stammen, in einer oder mehreren zentralen Remote-Syslog-Collector-Instanzen (Server) im nativen Syslog-Format. Damit der Syslog-Collector SASE Orchestrator-gebundene Ereignisse und Firewallprotokolle von den konfigurierten Edges in einem Unternehmen empfangen kann, konfigurieren Sie auf der Profilebene die Details des Syslog-Collectors pro Segment auf der SASE Orchestrator-Instanz, indem Sie die Schritte in diesem Verfahren ausführen.

Voraussetzungen

  • Stellen Sie sicher, dass Cloud-Virtual Private Network (Zweigstelle-zu-Zweigstelle-VPN-Einstellungen) für den SD-WAN Edge konfiguriert ist (von dem die SASE Orchestrator-gebundenen Ereignisse stammen), um einen Pfad zwischen dem SD-WAN Edge und den Syslog-Collector-Instanzen einzurichten. Weitere Informationen finden Sie unter Konfigurieren von Cloud-VPN für Profile.

Prozedur

  1. Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Profile (Profiles). Auf der Seite Profile (Profiles) werden die vorhandenen Profile angezeigt.
  2. Klicken Sie zum Konfigurieren eines Profils auf den Link zum Profil oder auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Profils. Die Konfigurationsoptionen werden auf der Registerkarte Gerät (Device) angezeigt.
  3. Wählen Sie im Dropdown-Menü Segment konfigurieren (Configure Segment) ein Profilsegment aus, um die Syslog-Einstellungen zu konfigurieren. Standardmäßig ist Globales Segment [Normal] (Global Segment [Regular]) ausgewählt.
  4. Navigieren Sie unter Telemetrie (Telemetry) zum Bereich Syslog und konfigurieren Sie die folgenden Details.
    1. Wählen Sie im Dropdown-Menü Anlage (Facility) einen Syslog-Standardwert aus, der festlegt, wie Ihr Syslog-Server das Anlagenfeld verwendet, um Meldungen für alle Ereignisse aus SD-WAN Edge zu verwalten. Die zulässigen Werte reichen von local0 bis local7.
      Hinweis: Unabhängig von den Syslog-Einstellungen für das Profil ist das Feld Anlage (Facility) nur für Globales Segment (Global Segment) konfigurierbar. Die anderen Segmente erben den Wert des Anlagencodes aus dem globalen Segment.
    2. Aktivieren Sie das Kontrollkästchen Syslog aktivieren (Enable Syslog).
    3. Klicken Sie auf die Schaltfläche + Hinzufügen (+ ADD) und konfigurieren Sie die folgenden Details:
      Feld Beschreibung
      IP Geben Sie die Ziel-IP-Adresse des Syslog-Collectors ein.
      Protokoll Wählen Sie im Dropdown-Menü entweder TCP oder UDP als Syslog-Protokoll aus.
      Port Geben Sie die Portnummer des Syslog-Collectors ein. Der Standardwert ist 514.
      Quellschnittstelle Da Edge-Schnittstellen auf der Profilebene nicht verfügbar sind, wird das Feld Quellschnittstelle (Source Interface) auf Automatisch (Auto) festgelegt. Der Edge wählt automatisch eine Schnittstelle aus, bei der das Feld „Annoncieren (Advertise)“ als Quellschnittstelle eingestellt ist.
      Rollen Wählen Sie eine der folgenden Optionen aus:
      • EDGE-EREIGNIS (EDGE EVENT)
      • FIREWALL-EREIGNIS (FIREWALL EVENT)
      • EDGE- UND FIREWALL-EREIGNIS (EDGE AND FIREWALL EVENT)
      Syslog-Ebene Wählen Sie den Syslog-Schweregrad aus, der konfiguriert werden muss. Wenn beispielsweise KRITISCH (CRITICAL) konfiguriert ist, sendet der SD-WAN Edge alle Ereignisse, die entweder als kritisch oder als Alarm oder Notfall festgelegt sind.
      Hinweis: Firewallereignisprotokolle werden standardmäßig mit dem Syslog-Schweregrad INFO weitergeleitet.

      Zulässige Syslog-Schweregrade:

      • NOTFALL (EMERGENCY)
      • ALARM (ALERT)
      • KRITISCH (CRITICAL)
      • FEHLER (ERROR)
      • WARNUNG (WARNING)
      • HINWEIS (NOTICE)
      • INFO
      • DEBUGGEN (DEBUG)
      Tag Geben Sie optional ein Tag für das Syslog ein. Das Syslog-Tag kann verwendet werden, um die verschiedenen Ereignistypen auf dem Syslog-Collector zu unterscheiden. Die maximal zulässige Zeichenlänge beträgt 32 (getrennt durch einen Punkt).
      Alle Segmente Aktivieren Sie bei der Konfiguration eines Syslog-Collectors mit der Rolle FIREWALL-EREIGNIS (FIREWALL EVENT) oder EDGE- UND FIREWALL-EREIGNIS (EDGE AND FIREWALL EVENT) das Kontrollkästchen Alle Segmente (All Segments), wenn der Syslog-Collector Firewallprotokolle aus allen Segmenten erhalten soll. Wenn das Kontrollkästchen nicht aktiviert ist, empfängt der Syslog-Collector Firewallprotokolle nur von dem jeweiligen Segment, in dem der Collector konfiguriert ist.
      Hinweis: Wenn die Rolle EDGE-EREIGNIS (EDGE EVENT) verwendet wird, empfängt der in einem beliebigen Segment konfigurierte Syslog-Collector standardmäßig Edge-Ereignisprotokolle.
  5. Klicken Sie auf die Schaltfläche + Hinzufügen (+ ADD), um einen weiteren Syslog-Collector hinzuzufügen, oder klicken Sie auf Änderungen speichern (Save Changes). Der Remote-Syslog-Collector ist in SASE Orchestrator konfiguriert.
    Hinweis: Sie können maximal zwei Syslog-Collectors pro Segment und 10 Syslog-Collectors pro Edge konfigurieren. Wenn die Anzahl der konfigurierten Collector-Instanzen den maximal zulässigen Grenzwert erreicht, wird die Schaltfläche + deaktiviert.
    Hinweis: Basierend auf der ausgewählten Rolle exportiert der Edge die entsprechenden Protokolle mit dem angegebenen Schweregrad auf den Remote-Syslog-Collector. Wenn Sie möchten, dass die von SASE Orchestrator automatisch erstellen lokalen Ereignisse auf dem Syslog-Collector empfangen werden, müssen Sie Syslog auf der SASE Orchestrator-Ebene mithilfe der Systemeinstellungen log.syslog.backend und log.syslog.upload konfigurieren.
    Informationen zum Format einer Syslog-Nachricht für Firewall-Protokolle finden Sie unter Format der Syslog-Meldungen für Firewallprotokolle.

Nächste Maßnahme

SASE Orchestrator ermöglicht es Ihnen, die Funktion „Syslog-Weiterleitung (Syslog Forwarding)“ im Profil und auf dem Edge zu aktivieren. Aktivieren Sie auf der Seite Firewall der Profilkonfiguration die Schaltfläche Syslog-Weiterleitung (Syslog Forwarding), wenn Sie Firewallprotokolle, die vom Unternehmens- SD-WAN Edge stammen, an konfigurierte Syslog-Collector-Instanzen weiterleiten möchten.
Hinweis: Die Schaltfläche Syslog-Weiterleitung (Syslog Forwarding) ist auf der Seite Firewall der Profil- oder Edge-Konfiguration verfügbar und standardmäßig deaktiviert.

Weitere Informationen zu Firewalleinstellungen auf der Profilebene finden Sie unter Konfigurieren einer Profilfirewall.

Unterstützung für sichere Syslog-Weiterleitung

Version 5.0 unterstützt die Funktion für die sichere Syslog-Weiterleitung. Die Gewährleistung der Sicherheit der Syslog-Weiterleitung ist für behördliche Zertifizierungen und für die Erfüllung der Edge-Härtungsanforderungen großer Unternehmen erforderlich. Der Prozess der sicheren Syslog-Weiterleitung beginnt mit einem TLS-fähigen Syslog-Server. Derzeit ermöglicht SASE Orchestrator die Weiterleitung von Protokollen an einen Syslog-Server mit TLS-Unterstützung. Version 5.0 ermöglicht SASE Orchestrator die Steuerung der Syslog-Weiterleitung und das Durchführen von Standardsicherheitsprüfungen wie der hierarchischen PKI-Verifizierung, der CRL-Validierung usw. Darüber hinaus kann auch die Sicherheit der Weiterleitung angepasst werden, indem unterstützte Verschlüsselungssammlungen definiert werden, selbstsignierte Zertifikate nicht zugelassen werden usw.

Ein weiterer Aspekt der sicheren Syslog-Weiterleitung ist die Art und Weise, wie Widerrufsinformationen erfasst oder integriert werden. SASE Orchestrator kann jetzt die Eingabe von Widerrufsinformationen durch einen Operator ermöglichen, die manuell oder über einen externen Prozess abgerufen werden können. SASE Orchestrator übernimmt diese CRL-Informationen und verwendet sie, um die Sicherheit der Weiterleitung zu überprüfen, bevor alle Verbindungen hergestellt werden. Darüber hinaus ruft SASE Orchestrator diese CRL-Informationen regelmäßig ab und verwendet sie bei der Validierung der Verbindung.

Systemeigenschaften

Die sichere Syslog-Weiterleitung beginnt mit der Konfiguration der Syslog-Weiterleitungsparameter von SASE Orchestrator, damit eine Verbindung mit einem Syslog-Server hergestellt werden kann. Zu diesem Zweck akzeptiert SASE Orchestrator eine JSON-formatierte Zeichenfolge, um die folgenden Konfigurationsparameter umzusetzen, die in den Systemeigenschaften konfiguriert werden.

Die folgenden Systemeigenschaften können konfiguriert werden, wie in der folgenden Liste und in der nachfolgenden Abbildung dargestellt:
  • log.syslog.backend: Konfiguration der Syslog-Integration des Back-End-Diensts
  • log.syslog.portal: Konfiguration der Syslog-Integration des Portaldiensts
  • log.syslog.upload: Konfiguration der Syslog-Integration des Upload-Diensts

Beim Konfigurieren von Systemeigenschaften kann die folgende JSON-Zeichenfolge für die sichere Syslog-Konfiguration verwendet werden.

  • config <Object>
    • enable: <true> <false> Aktivieren oder Deaktivieren der Syslog-Weiterleitung. Beachten Sie, dass dieser Parameter die gesamte Syslog-Weiterleitung steuert, auch wenn die sichere Weiterleitung aktiviert ist.
    • options <Object>
      • host: <string> Der Host, auf dem Syslog ausgeführt wird. Diese Option ist standardmäßig auf „localhost“ festgelegt.
      • Port: <number> Der Port auf dem Host, auf dem Syslog ausgeführt wird, ist standardmäßig der Standardport von Syslogd.
      • protocol: <string> tcp4, udp4, tls4. Hinweis: (tls4 ermöglicht eine sichere Syslog-Weiterleitung mit Standardeinstellungen. Informationen zur Konfiguration finden Sie im folgenden „secureOptions“-Objekt.
      • pid: <number> PID des Prozesses, von dem Protokollmeldungen stammen (Standard: „prozess.pid“).
      • localhost: <string> Host, der angibt, dass Protokollmeldungen von dort gesendet werden (Standard: „localhost“).
      • app_name: <string> Der Name der Anwendung („node-portal“, „node-backend“ usw.) (Standard: „process.title“).
    • secureOptions <Object>
      • disableServerIdentityCheck: <boolean> Optional wird die SAN-Prüfung während der Validierung übersprungen, d. h. diese Option kann verwendet werden, wenn die Serverzertifizierung kein SAN für selbstsignierte Zertifikate aufweist. Standard: false.
      • fetchCRLEnabled: <boolean> Wenn der Wert nicht auf false festgelegt ist, ruft SASE Orchestrator CRL-Informationen ab, die in den angegebenen Zertifizierungsstellen eingebettet sind. Standard: true
      • rejectUnauthorized: <boolean> Wenn der Wert nicht auf „false“ festgelegt ist, wendet SASE Orchestrator die hierarchische PKI-Validierung anhand der Liste der angegebenen Zertifizierungsstellen an. Standard: true. (Diese Option ist hauptsächlich für Testzwecke erforderlich. Verwenden Sie diese Option nicht in der Produktionsumgebung.)
      • caCertificate: <string> SASE Orchestrator kann eine Zeichenfolge akzeptieren, die PEM-formatierte Zertifikate enthält, um die vertrauenswürdigen CA-Zertifikate optional zu überschreiben (sie kann mehrere CRLs in OpenSSL-freundlicher verketteter Form enthalten). Standardmäßig wird den von Mozilla kuratierten bekannten Zertifizierungsstellen vertraut. Diese Option kann verwendet werden, um zuzulassen, dass eine lokale Zertifizierungsstelle akzeptiert wird, die von der Einheit verwaltet wird. Dies gilt beispielsweise für lokale Kunden, die über eigene Zertifizierungsstellen und PKIs verfügen.
      • crlPem:<string> SASE Orchestrator kann eine Zeichenfolge akzeptieren, die PEM-formatierte CRLs enthält (sie kann mehrere CRLs in OpenSSL-freundlicher verketteter Form enthalten). Diese Option kann verwendet werden, um zuzulassen, dass lokal verwaltete CRLs akzeptiert werden. Wenn fetchCRLEnabled auf „true“ festgelegt ist, kombiniert SASE Orchestrator diese Informationen mit abgerufenen CRLs. Dies ist vor allem in einem bestimmten Szenario erforderlich, in dem Zertifikate keine Informationen zu CRL-Verteilungspunkten enthalten.
      • crlDistributionPoints: <Array> SASE Orchestrator kann optional ein Array eines CRL-Verteilungspunkt-URIs im „http“-Protokoll akzeptieren. SASE Orchestrator akzeptiert keine „https“-URI
      • crlPollIntervalMinutes: <number> Wenn „fetchCRLEnabled“ nicht auf „false“ festgelegt ist, fragt SASE Orchestrator alle 12 Stunden CRLs ab. Mit diesem Parameter können Sie jedoch optional dieses Standardverhalten überschreiben und die CRLs entsprechend der angegebenen Nummer aktualisieren.

Beispiel für die Konfiguration der sicheren Syslog-Weiterleitung

SASE Orchestrator bietet die folgenden Optionen für Systemeigenschaften, um die beschriebenen Parameter für eine sichere Syslog-Weiterleitung festzulegen.
Hinweis: Das folgende Beispiel sollte entsprechend der Vertrauensstellung der Kettenstruktur geändert werden.

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

Zum Konfigurieren der Syslog-Weiterleitung sehen Sie sich das folgende JSON-Objekt als Beispiel an (Abbildung unten).

Wenn die Konfiguration erfolgreich abgeschlossen wurde, erstellt SASE Orchestrator das folgende Protokoll und beginnt mit der Weiterleitung.

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Remote Log has been successfully configured for the following options {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

Sichere Syslog-Weiterleitung im FIPS-Modus

Bei aktiviertem FIPS-Modus für die sichere Syslog-Weiterleitung wird die Verbindung abgelehnt, wenn der Syslog-Server nicht die folgenden Verschlüsselungssammlungen anbietet: „TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256“. Unabhängig vom FIPS-Modus wird die Verbindung auch abgelehnt, wenn das Zertifikat des Syslog-Servers kein Feld für die erweiterte Schlüsselverwendung aufweist, mit dem das Attribut „ServerAuth“ festgelegt wird.

Kontinuierliches Abrufen von CRL-Informationen

Wenn „fetchCRLEnabled“ nicht auf „false“ festgelegt ist, aktualisiert SASE Orchestrator die CRL-Informationen regelmäßig alle 12 Stunden über den Back-End-Auftragsmechanismus. Die abgerufenen CRL-Informationen werden in der entsprechenden Systemeigenschaft namens „log.syslog.lastFetchedCRL.{serverName}“ gespeichert. Diese CRL-Informationen werden bei jedem Verbindungsversuch mit dem Syslog-Server überprüft. Wenn während des Abrufens ein Fehler auftritt, generiert SASE Orchestrator ein Operator-Ereignis.

Wenn „fetchCRLEnabled“ auf „true“ festgelegt ist, sind die drei zusätzlichen Systemeigenschaften „log.syslog.lastFetchedCRL.backend“, „log.syslog.lastFetchedCRL.portal“ und „log.syslog.lastFetchedCRL.upload“ verfügbar, um den Status der CRL zu verfolgen, wie in der Abbildung unten dargestellt. Diese Informationen zeigen den Zeitpunkt der letzten Aktualisierung der CRL und CRL-Informationen an.

Protokollierung

Wenn die Option „fetchCRLEnabled“ auf „true“ festgelegt ist, versucht SASE Orchestrator, CRLs abzurufen. Wenn ein Fehler auftritt, löst SASE Orchestrator ein Ereignis aus und wird auf der Seite „Operator-Ereignisse (Operator Events)“ angezeigt.