보안 디바이스 커넥터 문제 해결
다음 주제를 사용하여 온프레미스 SDC(Secure Device Connector) 문제를 해결합니다.
이러한 시나리오와 일치하지 않는 경우 Cisco 기술 지원 센터에서 케이스를 엽니다.
SDC에 연결할 수 없음
CDO에서 연속으로 두 개의 하트비트 요청에 응답하지 못한 경우 SDC는 "도달할 수 없음" 상태입니다. SDC에 연결할 수 없는 경우 테넌트는 온보딩한 디바이스와 통신할 수 없습니다.
CDO는 다음과 같은 방식으로 SDC에 연결할 수 없음을 나타냅니다.
-
"일부 보안 디바이스 커넥터(SDC)에 연결할 수 없습니다."라는 메시지가 표시됩니다. CDO 홈페이지에서 이러한 SDC와 연결된 디바이스와 통신할 수 없습니다.
-
Secure Connectors(보안 커넥터) 페이지에서 SDC의 상태는 "연결할 수 없음"입니다.
먼저 이 문제를 해결하려면 SDC를 테넌트에 다시 연결해 봅니다.
-
SDC 가상 머신이 실행 중이고 해당 지역의 CDO IP 주소에 도달할 수 있는지 확인합니다. 매니지드 디바이스에 Cisco Defense Orchestrator 연결을 참조하십시오.
-
하트비트를 수동으로 요청하여 CDO와 SDC를 다시 연결해 봅니다. SDC가 하트비트 요청에 응답하면 "활성" 상태로 돌아갑니다. 하트비트를 수동으로 요청하려면 다음과 같이 작업합니다.
-
CDO 메뉴에서
를 선택합니다. -
연결할 수 없는 SDC를 클릭합니다.
-
작업 창에서 Request Heartbeat(하트비트 요청)를 클릭합니다.
-
Reconnect(다시 연결)를 클릭합니다.
-
-
테넌트에 수동으로 다시 연결하려고 시도한 후에도 SDC가 활성 상태로 돌아가지 않으면, 배포 후 SDC 상태가 CDO에서 활성화되지 않음의 지침을 따르십시오.
.
배포 후 SDC 상태가 CDO에서 활성화되지 않음
CDO가 배포 후 약 10분 동안 SDC가 활성 상태임을 나타내지 않으면 SDC를 배포할 때 생성한 cdo
사용자 및 암호를 사용하여 SSH를 사용하여 SDC VM에 연결합니다.
Procedure
Step 1 |
|
Step 2 |
로그를 검토하고 |
SDC의 변경된 IP 주소가 CDO에 반영되지 않음
SDC의 IP 주소를 변경한 경우 GMT 오전 3시 이후까지는 CDO에 반영되지 않습니다.
SDC와의 디바이스 연결 문제 해결
이 도구를 사용하여 CDO에서 SDC(보안 디바이스 커넥터)를 통해 디바이스로의 연결을 테스트합니다. 디바이스가 온보딩에 실패하거나 온보딩 전에 CDO가 디바이스에 연결할 수 있는지 확인하려는 경우 이 연결을 테스트할 수 있습니다.
Procedure
Step 1 |
CDO 메뉴에서 를 선택합니다. |
Step 2 |
SDC를 선택합니다. |
Step 3 |
오른쪽의 Troubleshooting(문제 해결) 창에서 Device Connectivity(디바이스 연결)를 클릭합니다. |
Step 4 |
문제 해결을 시도하거나 연결을 시도하는 디바이스의 유효한 IP 주소 또는 FQDN 및 포트 번호를 입력하고 Go(이동)를 클릭합니다. CDO는 다음 확인을 수행합니다. |
Step 5 |
디바이스에 대한 온보딩 또는 연결 문제가 계속 발생하는 경우 Defense Orchestrator 지원에 문의하십시오. |
간헐적으로 또는 SDC에 연결되지 않음
이 섹션에서 설명하는 솔루션은 온프레미스 SDC(보안 디바이스 커넥터)에만 적용됩니다.
증상: 간헐적으로 또는 SDC에 연결되지 않음
진단: 이 문제는 디스크 공간이 거의 찼을 때(80% 이상) 발생할 수 있습니다.
디스크 공간 사용량을 확인하려면 다음 단계를 수행합니다.
-
SDC(보안 디바이스 커넥터) VM용 콘솔을 엽니다.
-
사용자 이름 cdo로 로그인합니다.
-
최초 로그인 시 생성한 비밀번호를 입력합니다.
-
먼저 df -h를 입력하여 사용 가능한 디스크 공간이 없는지 확인하여 디스크 여유 공간을 확인합니다.
Docker에서 디스크 공간을 소비한 것을 확인할 수 있습니다. 정상적인 디스크 사용량은 2GB 미만일 것으로 예상됩니다.
-
Docker 폴더의 디스크 사용량을 보려면,
sudo du -h /var/lib/docker | sort -h를 실행합니다.
Docker 폴더의 디스크 공간 사용량을 볼 수 있습니다.
절차
Docker 폴더의 디스크 공간 사용량이 거의 가득 찬 경우 docker 구성 파일에서 다음을 정의합니다.
-
최대 크기: 현재 파일이 최대 크기에 도달하면 로그 회전을 강제합니다.
-
최대 파일: 최대 한도에 도달했을 때 초과 회전된 로그 파일을 삭제합니다.
다음을 수행하십시오.
-
sudo vi /etc/docker/daemon.json를 실행합니다.
-
파일에 다음 줄을 삽입합니다.
{
"log-driver": "json-file",
"log-opts": {"max-size": "100m", "max-file": "5" }
}
-
ESC 키를 누른 다음 :wq!를 입력합니다. 변경 사항을 쓰고 파일을 닫습니다.
참고
sudo cat /etc/docker/daemon.json을 실행하여 파일의 변경 사항을 확인할 수 있습니다.
-
sudo systemctl restart docker를 실행하여 doker 파일을 다시 시작합니다.
변경 사항이 적용되려면 몇 분 정도 걸립니다. sudo du -h /var/lib/docker | sort -h를 실행하여 docker 폴더의 업데이트된 디스크 사용량을 봅니다.
-
df -h를 실행하여 사용 가능한 디스크 크기가 증가했는지 확인합니다.
-
SDC 상태를 Unreachable(연결 불가)에서 Active(활성)로 변경하려면 먼저 CDO에서 Secure Connector(보안 커넥터) 페이지로 이동하여 Actions(작업) 메뉴에서 Request Reconnect(재연결 요청)를 클릭해야 합니다.
보안 디바이스 커넥터에 영향을 미치는 컨테이너 권한 상승 취약점: cisco-sa-20190215-runc
Cisco PSIRT(제품 보안 사고 대응 팀)는 Docker의 심각도가 높은 취약성에 대해 설명하는 보안 자문 cisco-sa-20190215-runc를 게시했습니다. 취약성에 대한 전체 설명은 전체 PSIRT 팀 자문을 참조하십시오.
이 취약성은 모든 CDO 고객에게 영향을 미칩니다.
-
CDO의 클라우드 배포 SDC(보안 디바이스 커넥터)를 사용하는 고객은 CDO 운영 팀에서 교정 단계를 이미 수행했으므로 아무 작업도 수행할 필요가 없습니다.
-
온프레미스에 배포된 SDC를 사용하는 고객은 최신 Docker 버전을 사용하도록 SDC 호스트를 업그레이드해야 합니다. 다음 지침에 따라 이 작업을 수행할 수 있습니다.
CDO-표준 SDC 호스트 업데이트
CDO 이미지를 사용하여 SDC를 배포한 경우 이 지침을 사용합니다.
프로시저
단계 1 |
SSH 또는 하이퍼바이저 콘솔을 사용하여 SDC 호스트에 연결합니다. |
||
단계 2 |
다음 명령을 실행하여 Docker 서비스 버전을 확인합니다.
|
||
단계 3 |
최신 VM(가상 머신) 중 하나를 실행 중인 경우 다음과 같은 출력이 표시됩니다. 여기에서 이전 버전을 볼 수 있습니다. |
||
단계 4 |
다음 명령을 실행하여 Docker를 업데이트하고 서비스를 다시 시작하십시오.
|
||
단계 5 |
docker version 명령을 다시 실행하십시오. 다음 출력이 표시되어야 합니다.
|
||
단계 6 |
마쳤습니다. 이제 패치가 적용된 최신 버전의 Docker로 업그레이드되었습니다. |
사용자 지정 SDC 호스트 업데이트
자체 SDC 호스트를 생성한 경우 Docker 설치 방법에 따라 업데이트 지침을 따라야 합니다. CentOS, yum 및 Docker-ce(커뮤니티 에디션)를 사용한 경우 이전 절차가 작동합니다.
Docker-ee(엔터프라이즈 버전)를 설치했거나 다른 방법을 사용하여 Docker를 설치한 경우 Docker의 고정 버전이 다를 수 있습니다. Docker 페이지를 확인하여 설치할 올바른 버전(Docker 보안 업데이트 및 컨테이너 보안 모범 사례)을 결정할 수 있습니다.
버그 추적
Cisco는 이 취약성을 계속 평가하고 있으며 추가 정보가 제공되는 대로 권고를 업데이트할 것입니다. 권고가 최종으로 표시되면 관련 Cisco 버그에서 자세한 내용을 참조할 수 있습니다.