In una rete aziendale, SD-WAN Orchestrator supporta la raccolta di eventi associati a SD-WAN Orchestrator e registri del firewall provenienti da SD-WAN Edge dell'azienda per uno o più agenti di raccolta syslog remoti centralizzati (server), nel formato di syslog nativo. Affinché l'agente di raccolta syslog riceva gli eventi associati a SD-WAN Orchestrator e i registri del firewall dagli Edge configurati in un'azienda a livello di profilo, configurare i dettagli dell'agente di raccolta syslog per segmento in SD-WAN Orchestrator eseguendo i passaggi descritti nella procedura seguente.

Prerequisiti

  • Assicurarsi che la VPN del cloud (impostazioni VPN da filiale a filiale) sia configurata per SD-WAN Edge (da dove provengono gli eventi associati a SD-WAN Orchestrator) per stabilire un percorso tra SD-WAN Edge e gli agenti di raccolta syslog. Per ulteriori informazioni, vedere Configurazione della VPN cloud per i profili.

Procedura

  1. In SD-WAN Orchestrator, passare a Configura (Configure) > Profili (Profiles).
    Viene visualizzata la pagina Profili di configurazione (Configuration Profiles).
  2. Selezionare il profilo in cui si desidera configurare le impostazioni di syslog e fare clic sull'icona sotto la colonna Dispositivo (Device).
    Viene visualizzata la pagina Impostazioni dispositivo (Device Settings) per il profilo selezionato.
  3. Dal menu a discesa Configura segmento (Configure Segment), selezionare un segmento di profilo per configurare le impostazioni del syslog. Per impostazione predefinita, è selezionata l'opzione Segmento globale [regolare] (Global Segment [Regular]).
  4. Passare all'area Impostazioni syslog (Syslog Settings) e configurare i dettagli seguenti.
    1. Dal menu a discesa Codice funzionalità (Facility Code), selezionare un valore di syslog standard che mappa il modo in cui il server syslog utilizza il campo della funzionalità per gestire i messaggi per tutti gli eventi da SD-WAN Edge. I valori consentiti sono da local0 a local7.
      Nota: Il campo Codice funzionalità (Facility Code) è configurabile solo per Segmento globale (Global Segment), indipendentemente dal fatto che le impostazioni di syslog siano abilitate o meno per il profilo. Gli altri segmenti erediteranno il valore del codice funzionalità dal segmento globale.
    2. Selezionare la casella di controllo Syslog abilitato (Syslog Enabled).
    3. Nella casella di testo IP immettere l'indirizzo IP di destinazione dell'agente di raccolta di syslog.
    4. Dal menu a discesa Protocollo (Protocol), selezionare TCP o UDP come protocollo di syslog.
    5. Nella casella di testo Porta (Port), immettere il numero di porta dell'agente di raccolta di syslog. Il valore predefinito è 514.
    6. Poiché le interfacce dell'Edge non sono disponibili a livello di profilo, il campo Interfaccia origine (Source Interface) è impostato su Automatico (Auto). L'Edge seleziona automaticamente un'interfaccia con il campo "Annuncia (Advertise)" impostato come interfaccia di origine.
    7. Dal menu a discesa Ruoli (Roles), selezionare una delle opzioni seguenti:
      • EVENTO EDGE (EDGE EVENT)
      • EVENTO FIREWALL (FIREWALL EVENT)
      • EVENTO EDGE E FIREWALL (EDGE AND FIREWALL EVENT)
    8. Dal menu a discesa Livello syslog (Syslog Level), selezionare il livello di gravità di syslog che deve essere configurato. Ad esempio, se è configurata la gravità CRITICA (CRITICAL), SD-WAN Edge invierà tutti gli eventi impostati come critici, avviso o emergenza.
      Nota: Per impostazione predefinita, i registri degli eventi del firewall vengono inoltrati con livello di gravità di syslog INFORMAZIONI (INFO).

      I livelli di gravità di syslog consentiti sono:

      • EMERGENZA (EMERGENCY)
      • AVVISO (ALERT)
      • CRITICA (CRITICAL)
      • ERRORE (ERROR)
      • AVVISO (WARNING)
      • AVVISO (NOTICE)
      • INFORMAZIONI (INFO)
      • DEBUG
    9. Facoltativamente, nella casella di testo Tag, immettere un tag per syslog. Il tag di syslog può essere utilizzato per distinguere i vari tipi di eventi nell'agente di raccolta di syslog. Il numero massimo di caratteri consentito è 32, delimitati da un punto.
    10. Quando si configura un agente di raccolta syslog con il ruolo EVENTO FIREWALL (FIREWALL EVENT) o EVENTO EDGE E FIREWALL (EDGE AND FIREWALL EVENT), selezionare la casella di controllo Tutti i segmenti (All Segments) se si desidera che l'agente di raccolta Syslog riceva i registri del firewall da tutti i segmenti. Se la casella di controllo non è selezionata, l'agente di raccolta Syslog riceverà i registri del firewall solo da quel segmento specifico in cui è configurato l'agente di raccolta.
      Nota: Quando il ruolo è EVENTO EDGE (EDGE EVENT), l'agente di raccolta Syslog configurato in qualsiasi segmento riceverà i registri degli eventi Edge per impostazione predefinita.
  5. Fare clic sul pulsante + per aggiungere un altro agente di raccolta di syslog oppure fare clic su Salva modifiche (Save Changes). L'agente di raccolta di syslog remoto è configurato in SD-WAN Orchestrator.
    Nota: È possibile configurare al massimo due agenti di raccolta di syslog per segmento e 10 agenti di raccolta di syslog per Edge. Quando il numero di agenti di raccolta configurati raggiunge il limite massimo consentito, il pulsante + viene disattivato.
    Nota: In base al ruolo selezionato, l'Edge esporterà i registri corrispondenti con il livello di gravità specificato nell'agente di raccolta di syslog remoto. Se si desidera che gli eventi locali di SD-WAN Orchestrator generati automaticamente vengano ricevuti dall'agente di raccolta di syslog, è necessario configurare syslog a livello di SD-WAN Orchestrator utilizzando le proprietà di sistema log.syslog.backend e log.syslog.upload.
    Per informazioni sul formato di un messaggio syslog per i registri del firewall, vedere Formato del messaggio di syslog per i registri del firewall.

Operazioni successive

SD-WAN Orchestrator consente di abilitare la funzionalità Inoltro syslog (Syslog Forwarding) a livello di profilo e di Edge. Nella pagina Firewall della configurazione del profilo, abilitare il pulsante Inoltro syslog (Syslog Forwarding) se si desidera inoltrare i registri del firewall provenienti da SD-WAN Edge dell'azienda agli agenti di raccolta di syslog configurati.
Nota: Per impostazione predefinita, il pulsante Inoltro syslog (Syslog Forwarding) è disponibile nella pagina Firewall della configurazione del profilo o dell'Edge ed è disattivato.

Per ulteriori informazioni sulle impostazioni del firewall a livello di profilo, vedere Configurazione del firewall per i profili.

Supporto per l'inoltro sicuro del syslog

La versione 5.0 supporta la funzionalità di inoltro sicuro del syslog. La garanzia di sicurezza dell'inoltro del syslog è richiesta dalle certificazioni federali ed è necessaria per soddisfare i requisiti di protezione avanzata dell'Edge delle aziende di grandi dimensioni. Il processo di inoltro sicuro del syslog inizia con un server syslog con supporto TLS. Attualmente, SD-WAN Orchestrator consente l'inoltro dei registri a un server syslog che disponga del supporto TLS. La versione 5.0 consente a SD-WAN Orchestrator di controllare l'inoltro del syslog e di eseguire controlli di sicurezza predefiniti, come la verifica PKI gerarchica, la convalida CRL e così via. Consente inoltre di personalizzare la sicurezza dell'inoltro definendo suite di crittografia supportate, non consentendo certificati autofirmati e così via.

Un altro aspetto dell'inoltro sicuro del syslog è il modo in cui le informazioni di revoca vengono raccolte o integrate. SD-WAN Orchestrator può ora abilitare l'input delle informazioni di revoca da parte di un operatore e il recupero manuale o tramite un processo esterno di tali informazioni. SD-WAN Orchestrator acquisirà le informazioni CRL e le utilizzerà per verificare la sicurezza dell'inoltro prima che vengano stabilite tutte le connessioni. Inoltre, SD-WAN Orchestrator recupera regolarmente le informazioni CRL e le utilizza durante la convalida della connessione.

Proprietà di sistema

L'inoltro sicuro del syslog inizia con la configurazione dei parametri di inoltro del syslog di SD-WAN Orchestrator per consentire la connessione a un server syslog. A tale scopo, SD-WAN Orchestrator accetta una stringa in formato JSON per eseguire i seguenti parametri di configurazione, definiti nelle proprietà di sistema.

Come indicato nell'elenco e nella tabella di seguito, è possibile configurare le seguenti proprietà di sistema:
  • dendrochronological: configurazione dell'integrazione syslog del servizio back-end
  • log.syslog.portal: configurazione dell'integrazione syslog del servizio del portale
  • log.syslog.upload: configurazione dell'integrazione syslog del servizio di caricamento

Quando si configurano le proprietà di sistema, è possibile utilizzare la seguente stringa JSON di configurazione sicura del syslog.

  • config <Oggetto>
    • enable: <true> <false> Consente di attivare o disattivare l'inoltro del syslog. Si tenga presente che questo parametro controlla l'inoltro generale del syslog anche se è abilitato l'inoltro sicuro.
    • options <Oggetto>
      • host: <string> Host che esegue il syslog. Per impostazione predefinita, è localhost.
      • port: <numero> Porta nell'host in cui è in esecuzione il syslog. Per impostazione predefinita, è la porta predefinita di syslogd.
      • protocol: <stringa> tcp4, udp4, tls4. Nota: tls4 abilita l'inoltro sicuro del syslog con le impostazioni predefinite. Per configurarlo, vedere il seguente oggetto secureOptions
      • pid: <numero> PID del processo da cui provengono i messaggi del registro (impostazione predefinita: process.pid).
      • localhost: <stringa> Host da cui provengono i messaggi del registro (impostazione predefinita: localhost).
      • app_name: <stringa> Nome dell'applicazione (node-portal, node-backend e così via) (impostazione predefinita: process.title).
    • secureOptions <Oggetto>
      • disableServerIdentityCheck: <booleano> Consente di ignorare facoltativamente il controllo SAN durante la convalida. Ad esempio, può essere utilizzato se la certificazione del server non dispone di una SAN per i certificati autofirmati. Impostazione predefinita false.
      • fetchCRLEnabled: <booleano> Se non è false, SD-WAN Orchestrator recupera le informazioni CRL incorporate nelle CA specificate. Impostazione predefinita: true
      • rejectUnauthorized: <booleano> Se non è alse, SD-WAN Orchestrator applica la convalida PKI gerarchica all'elenco delle CA fornite. Impostazione predefinita: true. (Opzione necessaria principalmente a scopo di test. Non utilizzarla in produzione).
      • caCertificate: <stringa> SD-WAN Orchestrator può accettare una stringa contenente certificati in formato PEM per sostituire facoltativamente i certificati CA attendibili (può contenere più CRL in formato concatenato descrittivo openssl). Per impostazione predefinita, vengono considerate attendibili le autorità di certificazione note gestite da Mozilla. Questa opzione può essere utilizzata per consentire di accettare un'autorità di certificazione locale governata dall'entità. Ad esempio, per i clienti locali che dispongono di proprie infrastrutture PKI e autorità di certificazione.
      • crlPem:<string> SD-WAN Orchestrator può accettare una stringa che contiene CRL in formato PEM (può contenere più CRL in un formato concatenato descrittivo openssl). Questa opzione può essere utilizzata per consentire di accettare CRL mantenuti a livello locale. Se fetchCRLEnabled è impostato su true, SD-WAN Orchestrator combina queste informazioni con i CRL recuperati. Questa operazione è necessaria principalmente nello scenario specifico in cui i certificati non contengono informazioni sul punto CRLDistribution.
      • crlDistributionPoints: <Array> SD-WAN Orchestrator può facoltativamente accettare un URI dei punti di distribuzione CRL di tipo array nel protocollo "http". SD-WAN Orchestrator non accetta alcun URI "https"
      • crlPollIntervalMinutes: <numero> Se fetchCRLEnabled non è impostato su false, SD-WAN Orchestrator esegue il polling dei CRL ogni 12 ore. Tuttavia, questo parametro può facoltativamente sostituire questo comportamento predefinito e aggiornare CRL in base al numero specificato.

Esempio di configurazione dell'inoltro sicuro del syslog

In SD-WAN Orchestrator sono disponibili le seguenti opzioni delle proprietà di sistema per organizzare i parametri descritti in modo da abilitare l'inoltro sicuro del syslog.
Nota: L'esempio seguente deve essere modificato in base alla struttura della catena di attendibilità.

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

Per configurare l'inoltro del syslog, vedere il seguente oggetto JSON come esempio (immagine qui sotto).

Se la configurazione viene eseguita correttamente, SD-WAN Orchestrator genera il registro seguente e inizia l'inoltro.

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Remote Log has been successfully configured for the following options {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

Inoltro sicuro del syslog in modalità FIPS

Quando la modalità FIPS è abilitata per l'inoltro sicuro del syslog, la connessione verrà rifiutata se il server syslog non offre le seguenti suite di crittografia: "TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256". Inoltre, indipendentemente dalla modalità FIPS, se il certificato del server syslog non dispone di un campo di utilizzo chiave esteso che imposta l'attributo "ServerAuth", la connessione verrà rifiutata.

Recupero continuo delle informazioni CRL

Se fetchCRLEnabled non è impostato su false, SD-WAN Orchestrator aggiorna regolarmente le informazioni CRL ogni 12 ore tramite il meccanismo del processo di back-end. Le informazioni CRL recuperate vengono memorizzate nella proprietà di sistema corrispondente, log.syslog.lastFetchedCRL.{serverName}. Queste informazioni CRL verranno controllate per ogni tentativo di connessione al server syslog. Se si verifica un errore durante il recupero, SD-WAN Orchestrator genera un evento operatore.

Se fetchCRLEnabled è impostato su true, saranno disponibili le tre seguenti proprietà di sistema aggiuntive per seguire lo stato del CRL, ovvero log.syslog.lastFetchedCRL.backend, log.syslog.lastFetchedCRL.portal, log.syslog.lastFetchedCRL.upload, come illustrato nell'immagine di seguito. Queste informazioni consentono di visualizzare l'ora dell'ultimo aggiornamento CRL e le informazioni CRL.

Registrazione

Se l'opzione "fetchCRLEnabled" è impostata su true, SD-WAN Orchestrator tenterà di recuperare i CRL. Se si verifica un errore, SD-WAN Orchestrator genera un evento, come illustrato nell'immagine seguente.