Σε ένα εταιρικό δίκτυο, το SD-WAN Orchestrator υποστηρίζει τη συλλογή δεσμευμένων συμβάντων SD-WAN Orchestrator και αρχείων καταγραφής τείχους προστασίας που προέρχονται από SD-WAN Edge επιχείρησης σε έναν ή περισσότερους κεντρικούς απομακρυσμένους συλλέκτες Syslog (Διακομιστές), σε native μορφή Syslog. Για να λαμβάνει ο συλλέκτης Syslog δεσμευμένα συμβάντα SD-WAN Orchestrator και αρχεία καταγραφής τείχους προστασίας από τα διαμορφωμένα Edge μιας Επιχείρησης, σε επίπεδο προφίλ, διαμορφώστε τις λεπτομέρειες συλλέκτη Syslog ανά τμήμα στο SD-WAN Orchestrator εκτελώντας τα βήματα αυτής της διαδικασίας.
Προϋποθέσεις
- Βεβαιωθείτε ότι το Εικονικό Ιδιωτικό Δίκτυο Cloud (ρυθμίσεις VPN από κλάδο σε κλάδο) έχει ρυθμιστεί για το SD-WAN Edge (από όπου προέρχονται τα δεσμευμένα συμβάντα SD-WAN Orchestrator) για να δημιουργήσετε μια διαδρομή μεταξύ του SD-WAN Edge και των συλλεκτών Syslog. Για περισσότερες πληροφορίες, δείτε Διαμόρφωση του Cloud VPN για Προφίλ.
Διαδικασία
Επόμενες ενέργειες
Για περισσότερες πληροφορίες σχετικά με τις ρυθμίσεις τείχους προστασίας σε επίπεδο Προφίλ, ανατρέξτε στο θέμα Διαμόρφωση τείχους προστασίας για Προφίλ.
Υποστήριξη ασφαλούς προώθησης syslog
Η έκδοση 5.0 υποστηρίζει τη δυνατότητα ασφαλούς προώθησης syslog. Η διασφάλιση της ασφάλειας της προώθησης syslog απαιτείται για τις ομοσπονδιακές πιστοποιήσεις και είναι απαραίτητη για την κάλυψη των απαιτήσεων ενίσχυσης του Edge των μεγάλων επιχειρήσεων. Η διεργασία ασφαλούς προώθησης syslog ξεκινά με την ύπαρξη ενός διακομιστή syslog με δυνατότητα TLS. Προς το παρόν, το SD-WAN Orchestrator επιτρέπει την προώθηση αρχείων καταγραφής σε έναν διακομιστή syslog που υποστηρίζει TLS. Η έκδοση 5.0 επιτρέπει στο SD-WAN Orchestrator να ελέγχει την προώθηση syslog και διεξάγει προεπιλεγμένο έλεγχο ασφαλείας, όπως ιεραρχική επαλήθευση PKI, επικύρωση CRL κ.λπ. Επιπλέον, επιτρέπει επίσης την προσαρμογή της ασφάλειας της προώθησης ορίζοντας υποστηριζόμενες σειρές κρυπτογράφησης, ενώ δεν επιτρέπει πιστοποιητικά αυτόματης υπογραφής κ.λπ.
Μια άλλη πτυχή της ασφαλούς προώθησης syslog είναι ο τρόπος συλλογής ή ενσωμάτωσης των πληροφοριών ανάκλησης. Το SD-WAN Orchestrator μπορεί τώρα να ενεργοποιήσει την εισαγωγή πληροφοριών ανάκλησης από έναν χειριστή οι οποίες μπορούν να ληφθούν με μη αυτόματο τρόπο ή μέσω εξωτερικής διεργασίας. Το SD-WAN Orchestrator θα πάρει αυτές τις πληροφορίες CRL και θα τις χρησιμοποιήσει για να επαληθεύσει την ασφάλεια της προώθησης πριν από τη δημιουργία όλων των συνδέσεων. Επιπλέον, το SD-WAN Orchestrator λαμβάνει αυτές τις πληροφορίες CRL τακτικά και τις χρησιμοποιεί κατά την επικύρωση της σύνδεσης.
Ιδιότητες συστήματος (System Properties)
Η ασφαλής προώθηση syslog ξεκινά με τη διαμόρφωση των παραμέτρων προώθησης syslog του SD-WAN Orchestrator, ώστε να είναι δυνατή η σύνδεσή του με έναν διακομιστή syslog. Για να το κάνει αυτό, το SD-WAN Orchestrator αποδέχεται μια συμβολοσειρά μορφοποιημένη με JSON για να επιτύχει τις ακόλουθες παραμέτρους διαμόρφωσης, που ρυθμίζονται στις ιδιότητες συστήματος.
- dendrochronological: Διαμόρφωση ενσωμάτωσης syslog υπηρεσίας backend
- log.syslog.portal: Διαμόρφωση ενσωμάτωσης syslog υπηρεσίας πύλης
- log.syslog.upload: Διαμόρφωση ενσωμάτωσης syslog υπηρεσίας αποστολής
Κατά τη διαμόρφωση των ιδιοτήτων συστήματος, μπορεί να χρησιμοποιηθεί η ακόλουθη συμβολοσειρά JSON για τη διαμόρφωση ασφαλούς syslog.
config
<Object>enable:
<true> <false> Ενεργοποίηση ή απενεργοποίηση της προώθησης του Syslog. Σημειώστε ότι αυτή η παράμετρος ελέγχει τη συνολική προώθηση syslog ακόμα και αν είναι ενεργοποιημένη η ασφαλής προώθηση.options
<Object>host:
<string> Ο κεντρικός υπολογιστής που εκτελεί το syslog επανέρχεται από προεπιλογή σε localhost.- port: <number> Η θύρα στον κεντρικό υπολογιστή στον οποίο εκτελείται το syslog επανέρχεται από προεπιλογή στην προεπιλεγμένη θύρα του syslog.
- protocol: <string> tcp4, udp4, tls4. Σημείωση: το tls4 επιτρέπει την ασφαλή προώθηση syslog με προεπιλεγμένες ρυθμίσεις. Για να το διαμορφώσετε, ανατρέξτε στο ακόλουθο αντικείμενο secureOptions
- pid: <number> PID της διεργασίας από την οποία προέρχονται τα μηνύματα καταγραφής (Προεπιλογή: process.pid).
- localhost: <string> Κεντρικός υπολογιστής από τον οποίο προέρχονται τα μηνύματα καταγραφής (Προεπιλογή: localhost).
- app_name: <string> Το όνομα της εφαρμογής (node-portal, node-backend κ.λπ.) (Προεπιλογή: process.title).
secureOptions
<Object>disableServerIdentityCheck:
<boolean> Παραλείπει προαιρετικά τον έλεγχο SAN κατά την επικύρωση, δηλαδή μπορεί να χρησιμοποιηθεί εάν η πιστοποίηση του διακομιστή δεν διαθέτει SAN για πιστοποιητικά αυτόματης υπογραφής. Προεπιλογή:false
.fetchCRLEnabled:
<boolean> Εάν δεν είναιfalse
, το SD-WAN Orchestrator λαμβάνει πληροφορίες CRL που είναι ενσωματωμένες σε παρεχόμενες CA. Προεπιλογή:true
rejectUnauthorized:
<boolean> Εάν δεν είναι ψευδές, το SD-WAN Orchestrator εφαρμόζει ιεραρχική επικύρωση PKI στη λίστα των παρεχόμενων CA. Προεπιλογή:true
. (Αυτό απαιτείται κυρίως για σκοπούς δοκιμών. Μην το χρησιμοποιήσετε σε περιβάλλον παραγωγής.)caCertificate:
<string> Το SD-WAN Orchestrator μπορεί να δεχτεί μια συμβολοσειρά που περιέχει πιστοποιητικά μορφοποιημένα με PEM για να παρακάμψει προαιρετικά τα αξιόπιστα πιστοποιητικά CA (μπορεί να περιέχει πολλά CRL σε συνενωμένη μορφή φιλική προς το openssl). Προεπιλογή είναι να θεωρούνται αξιόπιστες οι γνωστές CA που επιλέγει η Mozilla. Αυτή η επιλογή μπορεί να χρησιμοποιηθεί για να επιτραπεί η αποδοχή μιας τοπικής CA που διέπεται από την οντότητα. Για παράδειγμα, για πελάτες εσωτερικής εγκατάστασης που έχουν τις δικές τους CA και PKI.crlPem:<string>
Το SD-WAN Orchestrator μπορεί να δεχτεί μια συμβολοσειρά που περιέχει CRL μορφοποιημένα με PEM (μπορεί να περιέχει πολλαπλά CRL σε συνενωμένη μορφή φιλική προς το openssl). Αυτή η επιλογή μπορεί να χρησιμοποιηθεί για να επιτραπεί η αποδοχή CRL που διατηρούνται τοπικά. Εάν τοfetchCRLEnabled
οριστεί σε αληθές, το SD-WAN Orchestrator συνδυάζει αυτές τις πληροφορίες με τα ληφθέντα CRL. Αυτό απαιτείται κυρίως για ένα συγκεκριμένο σενάριο όπου τα πιστοποιητικά δεν έχουν πληροφορίες σημείου CRLDistribution.- crlDistributionPoints: <Array> Το SD-WAN Orchestrator μπορεί προαιρετικά να αποδεχτεί ένα URI σημείων CRL πίνακα στο πρωτόκολλο «http». Το SD-WAN Orchestrator δεν δέχεται κανένα URI «https»
- crlPollIntervalMinutes: <number> Εάν το fetchCRLEnabled δεν έχει οριστεί σε ψευδές, το SD-WAN Orchestrator κάνει σταθμοσκόπηση των CRL κάθε 12 ώρες. Ωστόσο, αυτή η παράμετρος μπορεί προαιρετικά να παρακάμψει αυτήν την προεπιλεγμένη συμπεριφορά και να ενημερώσει το CRL σύμφωνα με τον παρεχόμενο αριθμό.
Παράδειγμα διαμόρφωσης ασφαλούς προώθησης syslog
{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt
Για να διαμορφώσετε την προώθηση syslog, ανατρέξτε στο ακόλουθο αντικείμενο JSON ως παράδειγμα (εικόνα παρακάτω).
Εάν η διαμόρφωση είναι επιτυχής, το SD-WAN Orchestrator παράγει το ακόλουθο αρχείο καταγραφής και ξεκινά την προώθηση.
[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Remote Log has been successfully configured for the following options {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}
Ασφαλής προώθηση syslog σε λειτουργία FIPS
Όταν είναι ενεργοποιημένη η λειτουργία FIPS για ασφαλή προώθηση syslog, η σύνδεση θα απορριφθεί εάν ο διακομιστής syslog δεν προσφέρει τις ακόλουθες σειρές κρυπτογράφησης: «TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256.» Επίσης, ανεξάρτητα από τη λειτουργία FIPS, εάν το πιστοποιητικό διακομιστή syslog δεν διαθέτει ένα πεδίο εκτεταμένης χρήσης κλειδιού που ορίζει το χαρακτηριστικό "ServerAuth", η σύνδεση θα απορριφθεί.
Συνεχής λήψη πληροφοριών CRL
Εάν το fetchCRLEnabled δεν έχει οριστεί σε false, το SD-WAN Orchestrator ενημερώνει τακτικά τις πληροφορίες CRL κάθε 12 ώρες μέσω του μηχανισμού εργασίας backend. Οι πληροφορίες CRL που λαμβάνεται αποθηκεύονται στην αντίστοιχη ιδιότητα συστήματος με τίτλο log.syslog.lastFetchedCRL.{serverName}. Αυτές οι πληροφορίες CRL θα ελέγχονται σε κάθε προσπάθεια σύνδεσης στον διακομιστή syslog. Εάν παρουσιαστεί σφάλμα κατά τη λήψη, το SD-WAN Orchestrator δημιουργεί ένα συμβάν χειριστή.
Εάν το fetchCRLEnabled έχει οριστεί σε true, θα υπάρχουν τρεις πρόσθετες ιδιότητες συστήματος για την παρακολούθηση της κατάστασης του CRL, ως εξής: log.syslog.lastFetchedCRL.backend, log.syslog.lastFetchedCRL.portal, log.syslog.lastFetchedCRL.upload, όπως φαίνεται στην παρακάτω εικόνα. Αυτές οι πληροφορίες θα εμφανίζουν την τελευταία ώρα ενημέρωσης του CRL και των πληροφοριών CRL.
Καταγραφή (Logging)
Εάν η επιλογή «fetchCRLEnabled» έχει οριστεί σε true, το SD-WAN Orchestrator θα προσπαθήσει να λάβει CRL. Εάν παρουσιαστεί σφάλμα, το SD-WAN Orchestrator εγείρει ένα συμβάν, όπως φαίνεται στην παρακάτω εικόνα.