Dans un réseau d'entreprise, SD-WAN Orchestrator prend en charge la collecte des événements liés à SD-WAN Orchestrator et des journaux de pare-feu provenant du dispositif SD-WAN Edge d'entreprise vers un ou plusieurs collecteurs Syslog distants centralisés (serveurs), au format Syslog natif. Pour que le collecteur Syslog reçoive les événements liés à SD-WAN Orchestrator et les journaux de pare-feu provenant de dispositifs Edge configurés dans une entreprise, au niveau du profil, configurez les détails du collecteur Syslog par segment dans SD-WAN Orchestrator en suivant les étapes de cette procédure.
Conditions préalables
- Assurez-vous que le VPN (Virtual Private Network, réseau privé virtuel) cloud (paramètres VPN branche-vers-branche) est configuré pour le dispositif SD-WAN Edge (à partir de l'emplacement d'origine des événements liés à SD-WAN Orchestrator) pour établir un chemin entre le dispositif SD-WAN Edge et les collecteurs Syslog. Pour plus d'informations, reportez-vous à la section Configurer le VPN cloud pour les profils.
Procédure
Que faire ensuite
Pour plus d'informations sur les paramètres de pare-feu au niveau du profil, reportez-vous à la section Configurer le pare-feu pour les profils.
Prise en charge du transfert Syslog sécurisé
La version 5.0 prend en charge la capacité de transfert Syslog sécurisé. La garantie de la sécurité du transfert Syslog est requise pour les certifications fédérales et est nécessaire pour répondre aux exigences de sécurisation renforcée du dispositif Edge des grandes entreprises. Le processus de transfert Syslog sécurisé commence par la mise en place d'un serveur Syslog compatible TLS. Actuellement, SD-WAN Orchestrator permet de transférer des journaux vers un serveur Syslog prenant en charge TLS. La version 5.0 permet à SD-WAN Orchestrator de contrôler le transfert Syslog et d'effectuer des vérifications de sécurité par défaut telles que la vérification PKI hiérarchique, la validation CRL, etc. En outre, elle permet également de personnaliser la sécurité du transfert en définissant des suites de chiffrement prises en charge, en n'autorisant pas les certificats auto-signés, etc.
Un autre aspect du transfert Syslog sécurisé est la manière dont les informations de révocation sont collectées ou intégrées. SD-WAN Orchestrator peut désormais activer la saisie d'informations de révocation à partir d'un opérateur qui peut être extrait manuellement ou via un processus externe. SD-WAN Orchestrator récupère ces informations CRL et les utilise pour vérifier la sécurité du transfert avant l'établissement de toutes les connexions. En outre, SD-WAN Orchestrator extrait régulièrement ces informations CRL et les utilise lors de la validation de la connexion.
Propriétés système
Le transfert Syslog sécurisé commence par la configuration des paramètres de transfert Syslog de SD-WAN Orchestrator pour lui permettre de se connecter à un serveur Syslog. Pour ce faire, SD-WAN Orchestrator accepte une chaîne au format JSON pour exécuter les paramètres de configuration suivants, qui sont configurés dans Propriétés système (System Properties).
- dendrochronological : configuration de l'intégration Syslog du service principal
- log.syslog.portal : configuration de l'intégration Syslog du service de portail
- log.syslog.upload : charger la configuration de l'intégration Syslog du service
Lors de la configuration des propriétés système, la chaîne JSON de la configuration Syslog sécurisée suivante peut être utilisée.
config
<Object>enable:
<true> <false> Activez ou désactivez le transfert Syslog. Notez que ce paramètre contrôle le transfert Syslog global même si le transfert sécurisé est activé.options
<Object>host:
<string> L'hôte exécutant Syslog, par défaut localhost.- port : <number> Le port sur l'hôte sur lequel Syslog s'exécute, est défini par défaut sur le port par défaut de syslogd.
- protocol : <string> tcp4, udp4, tls4. Remarque : (tls4 active le transfert Syslog sécurisé avec les paramètres par défaut). Pour le configurer, consultez l'objet secureOptions suivant
- pid : <number> PID du processus d'où proviennent les messages de journal (par défaut : process.pid).
- localhost : <string> Hôte pour indiquer que les messages de journal proviennent de (par défaut : localhost).
- app_name : <string> Nom de l'application (node-portal, node-backend, etc.) (Par défaut : process.title).
secureOptions
<Object>disableServerIdentityCheck:
<boolean> Ignorer éventuellement la vérification SAN lors de la validation. Cette valeur peut être utilisée si la certification du serveur ne dispose pas d'un SAN pour les certificats auto-signés. Par défautfalse
.fetchCRLEnabled:
<boolean>Si nonfalse
, SD-WAN Orchestrator extrait les informations CRL intégrées dans les autorités de certification fournies. Par défaut :true
rejectUnauthorized:
<boolean> Si non false, SD-WAN Orchestrator applique la validation PKI hiérarchique par rapport à la liste des autorités de certification fournies. Par défaut :true
. (Cela est principalement requis à des fins de test. Ne l'utilisez pas en production.)caCertificate:
<string> SD-WAN Orchestrator peut accepter une chaîne contenant des certificats au format PEM pour éventuellement remplacer les certificats d'autorité de certification approuvés (peut contenir plusieurs CRL sous forme concaténée conviviale openssl). La valeur par défaut est de faire confiance aux autorités de certification connues organisées par Mozilla. Cette option peut être utilisée pour permettre d'accepter une autorité de certification locale qui contrôlée par l'entité. Par exemple, pour les clients sur site qui disposent de leurs propres autorités de certification et PKI.crlPem:<string>
SD-WAN Orchestrator peut accepter une chaîne contenant des CRL au format PEM (peuvent contenir plusieurs CRL sous forme concaténée conviviale openssl). Cette option peut être utilisée pour permettre d'accepter des CRL conservées localement. Si la valeurfetchCRLEnabled
est définie sur true, SD-WAN Orchestrator combine ces informations avec les CRL extraites. Cela est principalement requis pour un scénario spécifique dans lequel les certificats ne contiennent pas d'informations sur les points CRLDistribution.- crlDistributionPoints : <Array> SD-WAN Orchestrator peut éventuellement accepter un URI de points de distribution CRL de tableau dans le protocole « http ». SD-WAN Orchestrator n'accepte aucun URI « https »
- crlPollIntervalMinutes : <number> si fetchCRLEnabled n'est pas défini sur false, SD-WAN Orchestrator interroge les CRL toutes les 12 heures. Cependant, ce paramètre peut éventuellement remplacer ce comportement par défaut et mettre à jour la CRL en fonction du nombre fourni.
Configuration de l'exemple de transfert Syslog sécurisé
{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt
Pour configurer le transfert Syslog, reportez-vous à l'exemple d'objet JSON suivant (image ci-dessous).
Si la configuration réussit, SD-WAN Orchestrator génère le journal suivant et commence le transfert.
[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Le journal distant a été configuré pour les options suivantes {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}
Transfert Syslog sécurisé en mode FIPS
Lorsque le mode FIPS est activé pour le transfert Syslog sécurisé, la connexion sera rejetée si le serveur Syslog ne propose pas les suites de chiffrement suivantes : "TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256." En outre, indépendamment du mode FIPS, la connexion est rejetée si le certificat du serveur Syslog ne dispose pas d'un champ d'utilisation de clé étendu qui définit l'attribut « ServerAuth ».
Extraction constante d'informations CRL
Si fetchCRLEnabled n'est pas défini sur false, SD-WAN Orchestrator met régulièrement à jour les informations CRL toutes les 12 heures via le mécanisme de tâche principale. Les informations CRL extraites sont stockées dans la propriété système correspondante intitulée, log.syslog.lastFetchedCRL.{serverName}. Ces informations CRL seront vérifiées à chaque tentative de connexion au serveur Syslog. Une erreur se produit lors de l'extraction. SD-WAN Orchestrator génère un événement d'opérateur.
Si fetchCRLEnabled est défini sur true, trois propriétés système supplémentaires suivent l'état de la CRL, comme suit : log.syslog.lastFetchedCRL.backend, log.syslog.lastFetchedCRL.portal, log.syslog.lastFetchedCRL.upload, comme indiqué sur l'image ci-dessous. Ces informations affichent l'heure de la dernière mise à jour de la CRL et des informations de celle-ci.
Journalisation
Si l'option « fetchCRLEnabled » est définie sur true, SD-WAN Orchestrator tente d'extraire les CRL. Si une erreur se produit, SD-WAN Orchestrator déclenche un événement, comme indiqué sur l'image suivante.