使用 Cisco Defense Orchestrator 管理 AWS VPC

CDO 为您的 Amazon Web 服务 (AWS) 虚拟私有云 (VPC) 提供简化的管理界面。您可以在管理其他设备的同一界面中管理 AWS VPC 及其组件。

使用 CDO 执行这些任务：

• 载入 AWS VPC

• 查看 VPC 详细信息

• 使用安全组

• 与其他受管设备共享 AWS 对象

• 监控站点间 VPN 连接

• 监控 AWS 设备的更改

• 查看 AWS 站点间 VPN 隧道

这些是 CDO 期望在未来支持的常见 AWS 功能：

• 显示负载均衡器（弹性负载均衡器、网络负载均衡器和应用负载均衡器）与安全组的关系。

• 显示自动扩展组与安全组的关系。

您无法使用 CDO 管理安全组的以下方面：

• 创建安全组。

• 将安全组链接到实例。

• 将安全组分配给负载均衡器。

• VPC 对等互连

载入 AWS VPC

首先使用 CDO 的载入向导来载入 AWS VPC。有关更多信息，请参阅载入 AWS VPC。

请注意，如果 AWS VPC 包含标签，则在载入设备时，这些标签会被导入到 CDO 中。CDO 将标记表示为标签。与安全云对象或规则不同，标签不会自动同步到 AWS VPC。有关详细信息，请参阅 标签和标签组 。

通过 CDO 控制台处理 AWS VPC 登录凭证和权限。如果没有正确的凭证或权限，CDO 将无法与 AWS VPC 通信。有关更多信息，请参阅 更新 AWS VPC 连接凭证 和更改 IAM 用户的权限。

查看 AWS VPC 详细信息

在载入 AWS VPC 后，您可以查看 AWS VPC 的 ID、区域、安全组以及分配给这些安全组的规则和对象。

使用安全组

安全组是管理与安全组关联的所有 AWS 实例和其他实体的入站和出站网络流量的规则集合。在将 AWS VPC 载入 CDO 时，安全组将作为安全组对象存储在 CDO 中。

使用 CDO，您可以执行以下任务：

• 在安全组中创建新规则。

• 检查更改、编辑和删除安全组中的规则。

目前，您无法在 VPC 中创建新的安全组。

有关详细信息，请参阅这些主题：

• AWS VPC 安全组和实例

• 管理 AWS VPC 安全组规则

• 在 AWS 和其他受管设备之间共享对象

在 AWS 和其他受管设备之间共享对象

CDO 支持在规则中使用对象。对象是值的容器。例如，您可以拥有一个包含资源 IP 地址的网络对象，并为其指定一个有意义的名称。然后，您可以在访问规则中使用该对象作为规则的源或目标的一部分，而不是使用资源的文字 IP 地址。您可以将此对象重用不同的规则。如果更改对象的值一次，则使用该对象的任何规则都将开始使用新值。

在载入 AWS VPC 后，CDO 会将 AWS 概念转换为安全组对象以及现有安全组规则中的网络对象和服务对象。

网络对象和服务对象（有时称为端口对象）可以在 AWS VPC 和您使用 CDO 管理的其他设备之间共享。安全组对象对于 AWS 是唯一的。

有关详细信息，请参阅在 AWS 和其他受管设备之间共享对象。

监控站点间 VPN 连接

AWS 站点间 VPN 通过安全隧道将您的 AWS VPC 连接到您的企业网络。有关详细信息，请参阅AWS 站点间 VPN 管理。

监控对 AWS VPC 和 AWS 安全组的更改

更改日志会持续捕获在 CDO 中进行的配置更改。此单一视图包括所有受支持设备和服务的更改。以下是更改日志的一些功能：

• 并排比较对设备配置所做的更改。

• 所有更改日志条目的纯英文标签。

• 记录设备的自行激活和删除。

• 检测在 CDO 之外发生的策略更改冲突。

• 回答事件调查或故障排除期间的人员、内容和时间。

变更请求管理允许您将在第三方故障单系统中打开的变更请求及其业务理由与变更日志中的事件相关联。使用更改请求管理在 CDO 中创建更改请求，使用唯一名称进行标识，输入更改说明，并将更改请求与更改日志事件相关联。您可以稍后在更改日志中搜索更改请求名称。

支持常见管理任务

CDO 支持 AWS 安全组的以下常见管理任务：

• 批量部署设备配置

• 读取所有设备配置

• 检测带外更改

• 冲突检测

• 解决配置冲突