ポリシー管理用ワークスペース
ワークスペース(以前は「アプリケーション ワークスペース」または「アプリケーション」と呼ばれていました)は、Secure Workload のポリシーを管理する場所です。
ワークスペース内の特定の範囲、またはその範囲に関連付けられたワークスペースのポリシーの定義、分析、適用など、ポリシー関連のアクティビティを実行します。
各ワークスペースは隔離された環境を提供するため、他のワークスペースに影響を与えずに実験を行うことができます。ネットワーク化されたアプリケーションのセット、および他の範囲のメンバーである「外部」ワークロードとの相互作用の分析に役立つ、多くの可視化ツールが提供されています。
ワークスペースへのユーザーアクセス
ワークスペースは、同じチームの複数のユーザーが共有ドキュメントとして使用するためのものです。
ワークスペースへのアクセスレベルは、ワークスペースに関連付けられた範囲に対して定義されたロールから定義できます。「ロール」を参照してください。
ワークスペースページへの移動
既存のアプリケーション ワークスペースを表示するか、新しいワークスペースを作成するには、ウィンドウの左側にあるナビゲーションバーから
を選択します。あるワークスペースを表示していて、ワークスペースのリストに戻りたい場合は、表示しているページの右上隅の近くにある [ワークスペースの切り替え(Switch Workspace)] リンクをクリックします。
ワークスペースの作成
新しいワークスペースを作成するには、次の手順を実行します。
-
[セグメンテーション(Segmentation)] ページで、[ワークスペース(Workspaces)] ボタンをクリックします。
-
左ペインの範囲にカーソルを合わせ、青いプラス記号が表示されたらクリックします。
-
フォームに入力し、完了したら [作成(Create)] をクリックします。
フィールドの説明:
フィールド名 |
定義 |
---|---|
Name |
ワークスペース名 |
説明 |
(オプション)後で参照するためのワークスペースの説明 |
スコープ |
ワークスペースが関連付けられる範囲を指定します。これにより、このワークスペース内のポリシーの影響を受ける可能性のある一連のワークロードが決まります。 このワークスペースのユーザーロールとアクセス制御は、範囲を介して定義されます。 詳細については、「スコープ」の項を参照してください。 |
分析および適用されたポリシー
[セグメンテーション(Segmentation)] ページの上部にある [分析されたポリシー(Analyzed Policies)] タブと [適用されたポリシー(Enforced Polices)] タブには、分析されたポリシーと適用されたポリシーのグローバルビューがそれぞれ表示されます。このビューを使用して、親/祖先ワークスペースのポリシーの順序と優先度を検証できます。
![ポリシーの優先度順の適用されたポリシーのリスト](/c/dam/en/us/td/i/400001-500000/460001-470000/468001-469000/468927.jpg)
同じルート範囲の下にある範囲またはフィルタを最初に選択し、選択した範囲またはフィルタをコンシューマまたはプロバイダーとして含むもののみにポリシーのリストを制限することができます。加えて、ポリシーのリストは、「ポート = 80」または「Action = Deny」などの追加フィールドによってさらにフィルタリングできます。
使用可能なフィルタ:
フィルタ名 |
定義 |
---|---|
ポート(Port) |
照合するポリシーのポート(例:80)。 |
[Protocol] |
照合するポリシーのプロトコル(TCP など)。 |
承認済み(Approved) |
[承認済み(Approved)] としてマークされているポリシーを照合します。承認済みポリシー |
外部?(External?) |
ポリシーがワークスペース/範囲の境界を越えるかどうか。 |
アクション(Action) |
ポリシーアクション:許可または拒否(Allow または Deny) |
コンシューマとプロバイダーが異なる範囲にある場合:ポリシーオプション
次の状況は、クロス範囲ポリシーが必要な場合の例です。
範囲階層には、認証アプリケーション(プロバイダー)を含むネットワークサービス範囲が含まれています。範囲階層の別のブランチ上の範囲のメンバーである HR アプリケーションは、認証アプリケーションによって提供されるサービスのコンシューマです。
Cisco Secure Workload は、この状況に対処するいくつかの方法を提供します。組織に最適な方法は、組織内の範囲の所有状況、および複雑さと制御の望ましいバランスによって異なります。
オプション |
手順 |
長所と短所 |
---|---|---|
コンシューマとプロバイダーの両方を子または子孫として含む親または祖先の範囲でこれらのポリシーを作成します。 |
|
これらの方法は、実装が最も簡単です。 これらの方法では、コンシューマとプロバイダーのペアごとに 1 つのポリシーのみが必要です。 |
クロス範囲ポリシーを作成するための高度な方法を使用する |
この方法は実装が複雑になりますが、ワークロードが存在する範囲と同じ範囲にポリシーを存在させることができます。 この方法では、コンシューマポリシーとプロバイダーポリシーが異なる人によって所有されている場合にもポリシーを作成できます。 この方法では、コンシューマとプロバイダーのペアごとに、コンシューマ用のポリシーとプロバイダー用のポリシーの 2 つのポリシーが必要です。 |
適用履歴
適用履歴には、適用されたワークスペースとそのバージョンのリストに対する変更のリストが表示されます。適用履歴を表示するには、[セグメンテーション(Segmentation)] ページの右側にあるキャレット記号をクリックして [ツール(Tools)] メニューを展開し、[適用履歴(Enforcement History)] をクリックします。各セクションで、イベントと変更内容の概要が定義されます。イベントをクリックすると、その時点で適用されていたすべてのポリシーに関する詳細が表示されます。
![適用履歴ビュー](/c/dam/en/us/td/i/400001-500000/460001-470000/467001-468000/467428.jpg)
ワークスペースの削除
ワークスペースの横にあるメニューアイコンをクリックし、[ワークスペースの削除(Delete Workspace)] を選択すると、[セグメンテーション(Segmentation)] ページからワークスペースを削除できます。削除できるのは、セカンダリ(プライマリではない)ワークスペースのみです。
[提供されるサービス(Provided Service)] の結果として、あるワークスペース内のクラスタが別のワークスペース内のポリシーによって参照される可能性があります。この場合、従属ワークスペースは削除できず、依存関係のリストが返されます。この情報を使用して、依存関係を修正できます。
![ワークスペースの削除を妨げる項目のリスト](/c/dam/en/us/td/i/400001-500000/460001-470000/467001-468000/467429.jpg)
まれに、ワークスペース A がワークスペース B のクラスタに依存し、ワークスペース B がワークスペース A のクラスタに依存する相互依存関係が発生することがあります。この場合、個々のポリシーや公開されたポリシーバージョン(p*)を削除する必要があります。「削除制限」エラーでは、すべてのポリシーへのリンクが表示されるため、この削除を実行できます。
ワークスペースの表示または編集
既存のワークスペースの名前をクリックして、そのワークスペースを表示または編集します。現在アクティブなワークスペースがリストで強調表示されます。
![ワークスペース管理ページ](/c/dam/en/us/td/i/400001-500000/460001-470000/468001-469000/468866.jpg)
プライマリおよびセカンダリワークスペース
範囲ごとに、1 つのプライマリワークスペースと複数のセカンダリワークスペースを作成できます。
適用は、プライマリワークスペースのみで可能です。プライマリワークスペースでのみ使用できるその他の機能には、ライブ ポリシー コンプライアンス レポートとコラボレーティブ セキュリティ ポリシー定義があります。
セカンダリワークスペースを使用して、他のワークスペース(現在適用されているプライマリワークスペースを含む)に影響を与えずにポリシーを試すことができます。
ワークスペース名の横にあるメニューアイコンをクリックし、[プライマリの切り替え(Toggle Primary)] を選択することで、いつでもワークスペースをプライマリからセカンダリに、またはその逆に切り替えることができます。
![プライマリとセカンダリの間でワークスペースを切り替える](/c/dam/en/us/td/i/400001-500000/460001-470000/468001-469000/468928.jpg)