Implementación de CSDAC para objetos dinámicos O365 en FMC in situ

Introducción

Este documento describe cómo implementar e integrar CSDAC para objetos dinámicos de Microsoft 365 en un FMC en las instalaciones con Ansible en Ubuntu 20.04.

Prerequisites

Requirements

Cisco recomienda que conozca estos temas:

• Comandos Linux básicos.
• Conocimiento básico de Python, Docker y Ansible.
• Conocimientos básicos de Office 365.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco Firewall Management Center Virtual (FMCv) VMware con versión 7.2.5.
• Cisco Secure Dynamic Attributes Connector (CSDAC) versión 2.2.
• Ubuntu 4vCPU/8GB versión 20.04.
• Docker versión 24.0.6.
• Python 3.8.10.
• Ansible 2.12.10.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Los Cisco Secure Dynamic Attributes (CSDAC) permiten recopilar datos, como redes y direcciones IP, de proveedores de nube y enviarlos a Cisco Secure Firewall Management Center para que se puedan utilizar en las reglas de la política de control de acceso.

Cisco Secure Dynamic Attributes Connector permite utilizar etiquetas y categorías de servicio de diversas plataformas de servicios en la nube como AWS, Github, Google Cloud, Azure, Azure Service Tags, Microsoft Office 365 y vCenter.

Las construcciones de red, como las direcciones IP, no son fiables en entornos virtuales, de nube o de contenedores debido a la naturaleza dinámica de las cargas de trabajo y a la inevitabilidad de la superposición de direcciones IP. A veces, las reglas de directiva deben definirse en construcciones que no son de red, como el nombre de la máquina virtual (VM) o el grupo de seguridad. Por lo tanto, las políticas de firewall son persistentes incluso cuando cambia la dirección IP o la VLAN. Estas etiquetas y atributos se pueden recopilar mediante el conector de atributos dinámicos Docker contenedores que se ejecutan en máquinas virtuales Ubuntu, CentOs o Red Hat Enterprise Linux. Si desea instalar CSDAC en CentOS o Red Hat, consulte la guía de documentación oficial.

El conector de atributos dinámicos del host de Ubuntu se instala mediante la colección Ansible. Cisco Secure Dynamic Attributes admite 2 tipos de adaptadores.

• Secure Firewall Management Center in situ.
• Centro de gestión de firewall en la nube.

Este artículo se centra en la implementación de Cisco Secure Dynamic Attributes Connect en el host de Ubuntu para el servicio en la nube de Microsoft Office 365 con Secure Firewall Management Center in situ.

Configurar

Esta sección se divide en las siguientes secciones:

• Implementación de CSDAC en Ubuntu 20.04.
• Cree un conector de Office 365.
• Crear conector de vCenter.

Diagrama de la red

Implementación de CSDAC en Ubuntu 20.04

Esta sección trata sobre cómo instalar el software necesario en Ubuntu.

Paso 1: Validar Docker no está instalado.

root@tac:/home/tac# docker --version

Command 'docker' not found.

Advertencia: Si Docker está instalado, consulte la documentación de Docker para desinstalarlo.

Paso 2: Actualizar repositorios de Ubuntu.

root@tac:/home/tac# sudo apt -y update && sudo apt -y upgrade

Hit:1 http://security-ubuntu-site/ubuntu focal-security InRelease
Hit:2 http://ubuntu-repository-web-site/ubuntu focal InRelease
Hit:3 http://ubuntu-repository-web-site/ubuntu focal-updates InRelease
Hit:4 http://ubuntu-repository-web-site/ubuntu focal-backports InRelease
Reading package lists... Done
Building dependency tree 
Reading state information... Done
334 packages can be upgraded. Run 'apt list --upgradable' to see them.
Reading package lists... Done
Building dependency tree 
....

Paso 3: Confirme la versión de Python.

root@tac:/home/tac# /usr/bin/python3 --version
Python 3.8.10

Advertencia: Si la versión de Python es anterior a la 3.6, debe instalar la versión 3.6 o posterior.

Paso 4: Instalar las bibliotecas comunes.

root@tac:/home/tac# sudo apt -y install software-properties-common
Reading package lists... Done
Building dependency tree 
Reading state information... Done
...

Paso 5: Instalación de Ansible.

root@tac:/home/tac# sudo apt-add-repository -y -u ppa:ansible/ansible && sudo apt -y install ansible
Hit:1 http://security-ubuntu-site/ubuntu focal-security InRelease 
Get:2 http://personal-package-archive-site/ansible/ansible/ubuntu focal InRelease [18.0 kB]
Hit:3 http://ubuntu-repository-web-siteubuntu focal InRelease 
Hit:4 http://ubuntu-repository-web-site/ubuntu focal-updates InRelease
Hit:5 http://ubuntu-repository-web-site/ubuntu focal-backports InRelease
Get:6 http://personal-package-archive-site/ansible/ansible/ubuntu focal/main amd64 Packages [1 132 B]
Get:7 http://personal-package-archive-site/ansible/ansible/ubuntu focal/main i386 Packages [1 132 B]
Get:8 http://personal-package-archive-site/ansible/ansible/ubuntu focal/main Translation-en [756 B]
Fetched 21.1 kB in 3s (7 526 B/s) 
Reading package lists... Done
Reading package lists... Done
Building dependency tree 
Reading state information... Done
...

Paso 6: Verifique la versión de Ansible.

root@tac:/home/tac# ansible --version
ansible [core 2.12.10]
config file = /etc/ansible/ansible.cfg
configured module search path = ['/root/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
ansible python module location = /usr/lib/python3/dist-packages/ansible
ansible collection location = /root/.ansible/collections:/usr/share/ansible/collections
executable location = /usr/bin/ansible
python version = 3.8.10 (default, May 26 2023, 14:05:08) [GCC 9.4.0]
jinja version = 2.10.1
libyaml = True

Nota: es normal que Ansible haga referencia a Python 2.x. El conector aún utiliza Python 3.6.

Paso 7: Obtenga el software Conector de atributos dinámicos con Ansible.

root@tac:/home/tac# ansible-galaxy collection install cisco.csdac
Starting galaxy collection install process
Process install dependency map
Starting collection install process
Downloading https://galaxy-ansible-site/download/cisco-csdac-2.2.1.tar.gz to /root/.ansible/tmp/ansible-local-52406urwp91ou/tmpqabv89vb/cisco-csdac-2.2.1-fr29zaq5
Downloading https://galaxy-ansible-site/download/community-crypto-2.15.1.tar.gz to /root/.ansible/tmp/ansible-local-52406urwp91ou/tmpqabv89vb/community-crypto-2.15.1-dkc897hb
Installing 'cisco.csdac:2.2.1' to '/root/.ansible/collections/ansible_collections/cisco/csdac'
cisco.csdac:2.2.1 was installed successfully
Installing 'community.crypto:2.15.1' to '/root/.ansible/collections/ansible_collections/community/crypto'
Downloading https://galaxy-ansible-site/download/community-general-7.4.0.tar.gz to /root/.ansible/tmp/ansible-local-52406urwp91ou/tmpqabv89vb/community-general-7.4.0-cr9imbx3
community.crypto:2.15.1 was installed successfully
Installing 'community.general:7.4.0' to '/root/.ansible/collections/ansible_collections/community/general'
community.general:7.4.0 was installed successfully

Paso 8: Vaya al directorio csdac.

root@tac:/home/tac# cd ~/.ansible/collections/ansible_collections/cisco/csdac/

Paso 9: Instale el servicio de recopilación.

root@tac:~/.ansible/collections/ansible_collections/cisco/csdac# ansible-playbook default_playbook.yml --ask-become-pass
BECOME password: 
[WARNING]: provided hosts list is empty, only localhost is available. Note that
the implicit localhost does not match 'all'
[WARNING]: running playbook inside collection cisco.csdac

PLAY [localhost] ***************************************************************

TASK [Gathering Facts] *********************************************************
ok: [localhost]

TASK [cisco.csdac.csdac : Define Python Interpreter] ***************************
ok: [localhost]

...

TASK [cisco.csdac.csdac : verify that core services are started] ***************
ok: [localhost]

TASK [cisco.csdac.csdac : verify that core services are started] ***************
ok: [localhost]

TASK [cisco.csdac.csdac : verify that core services are started] ***************
ok: [localhost]

TASK [cisco.csdac.csdac : verify that core services are started] ***************
ok: [localhost]

TASK [cisco.csdac.csdac : Post task] *******************************************
ok: [localhost] => {}

MSG:

Please login in to https://172.16.1.53 to configure csdac application

PLAY RECAP *********************************************************************
localhost : ok=72 changed=8 unreachable=0 failed=0 skipped=35 rescued=0 ignored=0

Paso 10: inicie sesión en el conector mediante la dirección IP CSDAC mediante el protocolo HTTPS.

Nota: El inicio de sesión inicial es el nombre de usuario 'admin' y la contraseña 'admin'. El sistema solicita un cambio de contraseña después del primer inicio de sesión correcto.

Crear un conector de Office 365

Paso 1: Inicie sesión en el conector de atributos dinámicos.

Paso 2: Haga clic en 'Conectores'.

Paso 3: Agregar un conector de Office 365: haga clic en el icono Agregar (+) y luego en "Office 365".

Paso 4: Configure el conector con Name (Nombre), Base API URL (URL de la API base), Instance Name (Nombre de instancia) y Enable (Activar) o Disable (Desactivar) IP opcionales.

Piense en lo siguiente:

• El valor predeterminado del intervalo de extracción es de 30 segundos.
• La URL de la API base es la URL para recuperar información de Office 365. Consulte Dirección IP y servicio web de URL de Office 365 en la guía de documentación de Microsoft.

Paso 5: Haga clic en 'Probar' y asegúrese de que la prueba se realice correctamente antes de guardar la configuración del conector.

Paso 6: Guarde y asegúrese de que el estado es 'OK'.

Crear conector de vCenter

Paso 1: Inicie sesión en el conector de atributos dinámicos.

Paso 2: Haga clic en 'Adaptadores'.

Paso 3: Agregar un nuevo adaptador: haga clic en el icono Agregar (+) y, a continuación, en "Centro de administración de firewall en las instalaciones".

Paso 4: Configure el adaptador con el nombre, la dirección IP, el puerto y el usuario/contraseña.

Advertencia: cree un nuevo usuario de FMC en la interfaz de usuario dedicada a la conexión del adaptador. El uso de un usuario existente podría crear cierres de sesión inesperados en CSDAC o en la interfaz de usuario del centro de administración de firewall en las instalaciones.

Nota: La configuración del rol de usuario debe tener los roles de 'Administrador', 'Administrador de acceso' o 'Administrador de red'. Utilice el FQDN del centro de administración de firewall local en el campo de dirección IP.

Paso 5: Abra la interfaz de usuario del centro de administración segura del firewall in situ.

Paso 6: Descargue el certificado PEM (cadena) HTTPS del navegador: Haga clic en el candado HTTPS que se muestra en el navegador, Conexión segura, Más información, Ver certificado, PEM (cadena).

Esto descarga un archivo .pem con la cadena de certificados.

Nota: Los pasos para recopilar el certificado de HTTPS On-Prem Secure Firewall Management Center pertenecen al navegador Firefox. Busque pasos similares si utiliza otro navegador.

Paso 7: Abra Dynamic Attributes Connector y haga clic en 'Obtener certificado' y 'Examinar desde archivo...'.

Paso 8: cargue el certificado .pem y haga clic en 'PRUEBA' para asegurarse de que la prueba se realice correctamente.

Advertencia: asegúrese de que los servidores DNS configurados en la máquina Ubuntu pueden resolver el FQDN del centro de administración de firewall local; de lo contrario, la prueba puede fallar.

Paso 9: Guarde y asegúrese de que el estado es 'OK'.

Nota: no se pueden crear filtros de atributos dinámicos para Office 365.

Paso 10: Comience a crear reglas de directiva de control de acceso con atributos dinámicos de Office 365 en la interfaz de usuario del Centro de administración de firewall en las instalaciones.

Verificación

Verifique el estado del contenedor en Ubuntu para los servicios, conectores y adaptadores principales.

root@tac://# docker ps -a
CONTAINER ID IMAGE                                                      COMMAND                CREATED      STATUS      PORTS                  NAMES
44f71f675ff1 public.ecr.aws/e6e4t5f5/muster_fmc_adapter:2.2.0-latest    "./docker-entrypoint…" 12 hours ago Up 12 hours 50070/tcp              muster-adapter-fmc.2.muster
88826cf0742f public.ecr.aws/e6e4t5f5/muster_o365_connector:2.2.0-latest "./docker-entrypoint…" 13 hours ago Up 13 hours 50070/tcp              muster-connector-o365.3.muster
4c2c73d351e2 public.ecr.aws/e6e4t5f5/muster_envoy:2.2.0-latest          "/docker-entrypoint.…" 2 days ago   Up 2 days   0.0.0.0:443->8443/tcp  muster-envoy
67f3afae2165 public.ecr.aws/e6e4t5f5/muster_ui:2.2.0-latest             "/docker-entrypoint.…" 2 days ago   Up 2 days   8080/tcp               muster-ui
722a764c54e9 public.ecr.aws/e6e4t5f5/muster_ui_backend:2.2.0-latest     "./docker-entrypoint…" 2 days ago   Up 2 days   50031/tcp              muster-ui-backend
038654545f30 public.ecr.aws/e6e4t5f5/muster_bee:2.2.0-latest            "/bin/sh -c /app/bee"  2 days ago   Up 2 days   50050/tcp, 50443/tcp   muster-bee
90cfd7e3a28b public.ecr.aws/e6e4t5f5/muster_etcd:2.2.0-latest           "etcd"                 2 days ago   Up 2 days   2379-2380/tcp          muster-etcd

Verifique el estado del conector desde la IU CSDAC.

Verifique el estado del adaptador desde la IU CSDAC.

Verifique los atributos dinámicos de Office 365 en el Centro de administración de firewalls.

Cree o edite una regla de política de control de acceso, haga clic en 'Atributos dinámicos', haga clic en 'Atributos disponibles' y seleccione 'Objetos dinámicos'.

Nota: si no aparecen los objetos dinámicos de Office 365, es posible que haya algún problema con la integración. Consulte la sección de resolución de problemas o póngase en contacto con Cisco TAC.

Troubleshoot

En caso de problemas de instalación de Secure Dynamic Attributes Connector con Ansible, recopile el archivo 'csdac.log' ubicado en el directorio '~/.ansible/Collections/ansible_collection/cisco/csdac/logs/'.

root@tac://# cd ~/.ansible/collections/ansible_collections/cisco/logs/
root@tac:~/.ansible/collections/ansible_collections/cisco/csdac/logs# ls -lth
total 276K
-rw-r--r-- 1 root root 272K sep 14 15:37 csdac.log

En este archivo se encuentran los registros de errores de instalación. Ábralo usando los comandos 'cat' o 'less' de Linux, explore los registros de fallas o comuníquese con el TAC de Cisco y proporcione este archivo.

A veces, la instalación de Ansible falla debido a 'permisos denegados'. Explore el archivo csdac.log y busque los registros de 'permiso denegado'.

TASK [cisco.csdac.csdac : print result of csdac command line start command (stderr)] ***
ok: [localhost] => {
"muster_cli_start_result.stderr_lines": [
"permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/volumes/create\": dial unix /var/run/docker.sock: connect: permission denied",
"permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/volumes/create\": dial unix /var/run/docker.sock: connect: permission denied",
"permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/volumes/create\": dial unix /var/run/docker.sock: connect: permission denied",
"permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/networks/create\": dial unix /var/run/docker.sock: connect: permission denied",
"docker: permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/create\": dial unix /var/run/docker.sock: connect: permission denied.",
"See 'docker run --help'.",
"docker: permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/create\": dial unix /var/run/docker.sock: connect: permission denied."

Si se encuentran registros similares, considere el ID de bug de Cisco CSCwh58312 o comuníquese con el TAC de Cisco para obtener ayuda.

Si 'docker ps -a' indica que los contenedores están inactivos o que se deben reiniciar en caso de problemas, los contenedores se pueden reiniciar con el comando 'docker restart container-id'.

Ejemplo: reiniciar Office 365 con el identificador de contenedor '88826cf0742f'.

root@tac://# docker ps -a
CONTAINER ID IMAGE                                                      COMMAND                 CREATED       STATUS      PORTS     NAMES
44f71f675ff1 public.ecr.aws/e6e4t5f5/muster_fmc_adapter:2.2.0-latest     "./docker-entrypoint…" 12 hours ago  Up 12 hours 50070/tcp muster-adapter-fmc.2.muster
88826cf0742f public.ecr.aws/e6e4t5f5/muster_o365_connector:2.2.0-latest  "./docker-entrypoint…" 13 hours ago  Up 13 hours 50070/tcp muster-connector-o365.3.muster

root@tac://# docker restart 88826cf0742f

root@tac://# docker ps -a
CONTAINER ID IMAGE                                                       COMMAND                CREATED       STATUS       PORTS     NAMES
44f71f675ff1 public.ecr.aws/e6e4t5f5/muster_fmc_adapter:2.2.0-latest     "./docker-entrypoint…" 12 hours ago  Up 12 hours  50070/tcp muster-adapter-fmc.2.muster
88826cf0742f public.ecr.aws/e6e4t5f5/muster_o365_connector:2.2.0-latest  "./docker-entrypoint…" 13 hours ago  Up 2 seconds 50070/tcp muster-connector-o365.3.muster

Verifique la conexión con CSDAC y valide si los objetos se han creado en Secure Firewall Management Center.

> expert
sudoadmin@firepower:~$ sudo su -
Password:

root@firepower:/Volume/home/admin# cat /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
17-Sep-2023 17:24:58.046,[INFO],(DefenseCenterServiceImpl.java:1462)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-2
** REST Request [ CSM ]
** ID : ff3e6259-2417-48cc-8e5e-a41d0bd04b39
** URL: POST /audit
{
  "version":"7.2.5",
  "requestId":"ff3e6259-2417-48cc-8e5e-a41d0bd04b39",
  "data":{
     "userName":"TAC",
     "subsystem":"API",
     "message":"POST https://FMC-FQDN/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f
   /object/bulkdynamicobjects Created (201) - The request has been fulfilled and resulted in a new resource being created",
     "sourceIP":"172.16.1.53",
     "domainUuid":"e276abec-e0f2-11e3-8169-6d9ed49b625f",
     "time":"1694971497660"},"deleteList":[]
}

Información Relacionada

Puede encontrar documentos adicionales relacionados con Cisco Secure Dynamic Attributes (CSDAC) aquí:

Acerca del conector de atributos dinámicos de Cisco

https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/integrations/dynamic-attributes-connector/220/cisco-secure-dynamic-attributes-connector-v220/m_about-the-cisco-dynamic-attributes-connector_21.html

Instalación y actualización de Cisco Secure Dynamic Attributes Connector

https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/integrations/dynamic-attributes-connector/220/cisco-secure-dynamic-attributes-connector-v220/install-the-cisco-secure-dynamic-attributes-connector.html

Configuración del conector de atributos dinámicos de Cisco

https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/integrations/dynamic-attributes-connector/220/cisco-secure-dynamic-attributes-connector-v220/configure-the-cisco-secure-dynamic-attributes-collector.html

Uso de objetos dinámicos en políticas de control de acceso

https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/integrations/dynamic-attributes-connector/220/cisco-secure-dynamic-attributes-connector-v220/use-dynamic-objects-in-access-control-rules.html

Resolución de problemas del conector de atributos dinámicos

https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/integrations/dynamic-attributes-connector/220/cisco-secure-dynamic-attributes-connector-v220/troubleshoot-the-dynamic-attributes-connector.html

Error en la instalación de CSDAC 2.2 "Permiso denegado con socket de daemon Docker" en Ubuntu 20.04.

Id. de error de Cisco CSCwh58312.