Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Creación de un conector de cumplimiento de políticas para nubes públicas y privadas

Antes de empezar

  • Para el conector de Amazon Web Services (AWS):

    • Cree la clave de acceso y la contraseña para su cuenta de AWS. Este será un nombre de usuario y contraseña únicos para su cuenta de Amazon necesarios para crear un conector. Consulte Administración de claves de acceso para su cuenta de AWS.

    • Cree nubes privadas virtuales (VPC) para la región requerida. Consulte Introducción a Amazon VPC.

    • Cree una instancia de la instancia de vSRX en la VPC necesaria y establezca el identificador de etiqueta, por ejemplo, AWS_SDSN_VSRX. Este identificador de etiqueta debe coincidir con la clave de etiqueta de instancia vSRX en AWS.

    • Cree un grupo de seguridad en AWS necesario para crear una política de prevención de amenazas para el conector de AWS.

    • Implemente cargas de trabajo en la VPC necesaria y establezca las etiquetas de recursos en las cargas de trabajo.

  • Para el conector de Microsoft Azure:

Realice las siguientes acciones para configurar conectores para las nubes pública y privada.

Para configurar la solución de amenazas para una nube pública o privada, debe instalar y registrar el complemento de solución de amenazas con el Agente de cumplimiento de políticas de la siguiente manera:

  1. Seleccione Administración > Agente de cumplimiento de políticas > Conectores.

    Aparecerá la página Conectores.

  2. Haga clic en el icono de creación (+).

    Aparecerá la página Crear conector.

  3. Complete la configuración con la información de la Tabla 1.
  4. Haga clic en Aceptar.
    Nota:

    Una vez configurado, seleccione el nombre del conector como punto de cumplimiento en Secure Fabric.
Tabla 1: Campos en la página Crear conector para AWS y Contrail

Campo

Descripción

General

Nombre

Introduzca una cadena única que debe comenzar con un carácter alfanumérico y puede incluir guiones bajos; no se permiten espacios; 63 caracteres máximo.

Descripción

Introduzca una descripción; La longitud máxima es de 1024 caracteres. Debe hacer que esta descripción sea lo más útil posible para todos los administradores.

Tipo de conector

Seleccione Amazon Web Services, Contrail o Microsoft Azure de la lista para conectarse a su estructura segura y crear políticas para esta red.

Dirección IP/URL

Introduzca la dirección IP (IPv4 o IPv6) o la URL de AWS, Contrail o Microsoft Azure.

En el caso de AWS, este campo está establecido en www.aws.amazon.com de forma predeterminada. Aquí es donde se encuentran todas las VPC. No puede editar este campo.

Para Microsoft Azure, este campo está establecido en management.azure.com de forma predeterminada. Aquí es donde se encuentran todas las redes virtuales. No puede editar este campo.

Puerto

Para los conectores de AWS y Microsoft Azure, el puerto se establece en 443 de forma predeterminada y no puede editar este campo.

Para el conector Contrail, proporcione el número de puerto como 8081.

Nombre de usuario

Introduzca el nombre de usuario del servidor para el tipo de conector seleccionado.

En el caso de AWS, introduzca la clave de acceso generada para su cuenta de Amazon. Esto no es lo mismo que el nombre de usuario de su cuenta de Amazon.

Contraseña

Introduzca la contraseña para el tipo de conector seleccionado.

En el caso de AWS, escriba la contraseña secreta generada junto con la clave de acceso. Esta no es la misma contraseña que su cuenta de amazon.

ID de suscripción

(only for Microsoft Azure connector)

Escriba el identificador de suscripción de Azure disponible por inquilino.

ID de inquilino

(only for Microsoft Azure connector)

Escriba el identificador de inquilino de Microsoft Azure.

Network Details

Tipo de conector: AWS

Nubes privadas virtuales

Se detectan una o más redes virtuales bajo la cuenta de AWS. Se denominan nube privada virtual (VPC). Solo se administran las VPC que tienen instancias vSRX implementadas. Las VPC son específicas de cada región. Seleccione una región de la lista Región y aparecerán las VPC correspondientes. De forma predeterminada, se enumeran las VPC de la primera región disponible.

Security Director sugiere un nombre de sitio de Secure Fabric predeterminado para la VPC, en el formato <connector name>_<vpc name>_site. Haga clic en el nombre del sitio de Secure Fabric para editarlo. Cuando edite el nombre, también verá los demás sitios de Secure Fabric que no tienen ningún conmutador o conector asignado. También puede asignar estos sitios de Secure Fabric a los conectores. Si el nombre del sitio editado ya existe con un conector o un conmutador, se muestra un mensaje de alerta y el nombre del sitio de Secure Fabric se revierte a su nombre anterior.

Debe habilitar las opciones de corrección de amenazas o Firewall de próxima generación, o ambas. No puede crear una instancia de conector sin habilitar al menos una opción. Si navega a la página siguiente sin habilitar estas opciones, se muestra un mensaje de error que insiste al usuario en que habilite la corrección de amenazas o el firewall de próxima generación para continuar.

Para obtener una vista detallada de la VPC, coloque el cursor sobre el nombre y haga clic en el icono Vista detallada. Consulte Visualización de VPC o detalles de proyectos.

Nota:

Puede realizar búsquedas en VPC. No se admite la búsqueda para los nombres de los sitios.

Tipo de conector: Microsoft Azure

Redes virtuales

Se detectan una o más redes virtuales bajo la cuenta de Microsoft Azure. Estas redes virtuales se basan en la suscripción de Azure por inquilino. Un inquilino puede tener más de una suscripción y una sola suscripción puede contener una o más redes virtuales.

Security Director sugiere un nombre de sitio predeterminado para el proyecto, en el formato <connector name>_<virtual network name>_site. Haga clic en el nombre del sitio para editarlo. Cuando edite el nombre del sitio, también verá los otros sitios que no tienen conmutadores o conectores asignados. También puede asignar estos sitios a los conectores. Si el nombre del sitio editado ya existe con un conector o un conmutador, se muestra un mensaje de alerta y el nombre del sitio se revierte a su nombre anterior.

Debe habilitar las opciones de corrección de amenazas o Firewall de próxima generación, o ambas. No puede crear una instancia de conector sin habilitar al menos una de las dos opciones. Si navega a la página siguiente sin habilitar estas opciones, se muestra un mensaje de error que insiste al usuario en que habilite la corrección de amenazas o el firewall de próxima generación para continuar.

Para obtener una vista detallada de la red virtual, coloque el cursor sobre el nombre y haga clic en el icono Vista detallada.

Tipo de conector: Contrail

Proyecto

Se muestra la información del inquilino determinada a partir del conector Contrail.

Security Director sugiere un nombre de sitio predeterminado para el proyecto, en el formato <connector name>_<project name>_site. Haga clic en el nombre del sitio para editarlo. Cuando edite el nombre del sitio, también verá los otros sitios que no tienen conmutadores o conectores asignados. También puede asignar estos sitios a los conectores. Si el nombre del sitio editado ya existe con un conector o un conmutador, se muestra un mensaje de alerta y el nombre del sitio se revierte a su nombre anterior.

Debe habilitar las opciones de corrección de amenazas o Firewall de próxima generación, o ambas. No puede crear una instancia de conector sin habilitar al menos una de las dos opciones. Si navega a la página siguiente sin habilitar estas opciones, se muestra un mensaje de error que insiste al usuario en que habilite la corrección de amenazas o el firewall de próxima generación para continuar.

Puede obtener una vista detallada del proyecto colocando el cursor sobre el nombre y haciendo clic en el icono Vista detallada. Consulte Visualización de VPC o detalles de proyectos.

Nota:

Puede realizar búsquedas en Nombres de proyecto. No se admite la búsqueda para los nombres de los sitios.

Subredes

La información de subred para Contrail, Microsoft Azure y AWS se determina a partir de los sistemas respectivos. Para AWS y Microsoft Azure, las subredes son las zonas de disponibilidad y para Contrail, las subredes son redes virtuales. Puede crear grupos de cumplimiento de directivas para una o varias de las subredes, si se selecciona la opción de corrección de amenazas.

Las subredes de AWS, Microsoft Azure y Contrail se asignan para que estén dentro del esquema de administración de direcciones IP de inquilino (IPAM).

Configuration

Configuración

Metadata

Especifica la información de la etiqueta de recurso y los valores de etiqueta de recurso que ha determinado a partir de los proyectos o VPC. La información de la etiqueta solo aparece si la opción Firewall de próxima generación está habilitada.

Para el conector de AWS y Microsoft Azure, los valores de etiqueta de recurso se obtienen de AWS y Microsoft Azure para todos los puntos de enlace y, a continuación, se asignan a los nombres de metadatos generados por Security Director.

En función del nombre de la etiqueta de recurso, Security Director comprueba si ya hay disponibles metadatos con el mismo nombre de etiqueta de recursos. Si está disponible, asigna automáticamente el nombre de la etiqueta de recurso a sus metadatos. Si no se encuentra ninguna coincidencia, Security Director sugiere un nuevo nombre de metadatos para la etiqueta correspondiente. El nombre de metadatos sugerido es el mismo que el nombre de la etiqueta del recurso. También puede editar el nombre de metadatos sugerido y personalizar el nombre de la etiqueta del recurso.

Sin embargo, en la columna Nombre de metadatos generado, no puede utilizar los siguientes nombres de metadatos predefinidos:

  • Inquilino

  • Proveedor

  • Controlador

Si proporciona estos nombres, se muestra un mensaje de error apropiado para elegir un nombre diferente.

Seleccione la opción Asignar para asignar la etiqueta de recurso a los metadatos de Security Director generados al crear la instancia del conector. Si la opción Asignar no está seleccionada, la instancia del conector se crea para un proyecto o VPC sin ninguna etiqueta de recurso. Por ejemplo, si tiene varias etiquetas de recursos para un proyecto, puede elegir una o más etiquetas de recursos para asignar a los metadatos generados correspondientes, seleccionando la opción Importar. El proyecto o la VPC con las etiquetas de recursos seleccionadas se crean cuando se crea la instancia del conector.

La asignación de las etiquetas de recursos de conector de Contrail, Microsoft Azure y AWS a los metadatos de Security Director le permite crear las definiciones de políticas de firewall de próxima generación para las reglas de origen y destino, en función de las expresiones de metadatos. Policy Enforcer determina dinámicamente las instancias de VM coincidentes en AWS, Microsoft Azure o el conector de Contrail con las expresiones de metadatos y envía el contenido de la dirección IP como grupos de direcciones dinámicas a los puntos de cumplimiento en la instancia de firewall vSRX específica del inquilino.

En la columna Valor de configuración, proporcione cualquier información adicional necesaria para esta conexión de conector en particular. Por ejemplo, si el tipo de conector es ForeScout CounterACT, debe proporcionar el nombre de usuario y la contraseña de WebAPI. Del mismo modo, para otros conectores, si se requieren parámetros de configuración adicionales, se enumeran en esta columna.

Una vez finalizada correctamente, la subred que ha creado se asigna a esa instancia de conector en particular.

Para AWS y Microsoft Azure, proporcione los siguientes parámetros de configuración:

  • Nombre de usuario de SRX: especifique el nombre de usuario del dispositivo vSRX que ha instanciado para una VPC o una red virtual.

  • Etiqueta de identificador SRX: especifique el nombre de etiqueta del dispositivo vSRX, si no se utilizó el nombre vSRX recomendado. Si no especifica ningún valor para este campo, el Agente de cumplimiento de políticas utiliza vSRX como nombre de etiqueta predeterminado para identificar el dispositivo.

    Esto permite la detección de este dispositivo vSRX en particular en Junos Space. Este dispositivo vSRX también se agrega a un sitio de estructura segura específico.

  • Grupo de seguridad de host infectado: especifique el nombre del grupo de seguridad al que desea etiquetar como carga de trabajo infectada para solucionar amenazas.

  • Clave de autenticación SRX: especifique el archivo de clave de autenticación para acceder al dispositivo vSRX. Al editar esto en la cuadrícula, se le solicita que cargue el archivo de clave de autenticación o que vea una clave de autenticación cargada ya existente.

Para Contrail, proporcione los siguientes parámetros de configuración:

  • Nombre de usuario de SRX

  • Contraseña de SRX

  • Grupo de seguridad de host infectado
Nota:

  • Para los conectores de AWS, Microsoft Azure y Contrail, la asociación del sitio se logra en la propia página Conectores.

  • Cuando se agrega un conector al sitio, el Agente de cumplimiento de políticas detecta la serie vSRX asociada al conector y la asigna al sitio. Desplácese sobre el nombre del conector para ver el vSRX correspondiente con su dirección IP como información sobre herramientas.

  • Si el modo en la página Configuración de PE es Juniper Connected Security con ATP Cloud, debe crear el dominio de ATP Cloud y asignar los sitios asociados con la VPC o el proyecto al dominio. De lo contrario, las instancias de vSRX en la VPC o el proyecto no descargan los objetos del grupo de direcciones dinámicas, es decir, la lista de cargas de trabajo de la VPC o el proyecto que coinciden con una expresión de metadatos de política.

Threat Remediation Workflow

Una vez que cree un conector de AWS, Microsoft Azure o Contrail con la opción de corrección de amenazas, se creará un sitio en la página Estructura segura.

Realice las siguientes acciones para solucionar amenazas:

  1. Seleccione Configurar > prevención de amenazas > ATP Cloud Realms.

    Seleccione los sitios de Secure Fabric asociados a la VPC, redes virtuales o proyecto respectivos que se agregaron correctamente. Agregue el sitio de estructura segura a un ámbito ATP Cloud de Juniper e inscriba los dispositivos vSRX en la nube ATP de Juniper. Para inscribir dispositivos, haga clic en Agregar dispositivos en la vista de lista una vez creado el dominio.

  2. Seleccione Configurar > objetos compartidos > grupos de cumplimiento de directivas.

    Haga clic en el icono Agregar para crear un nuevo grupo de aplicación de directivas. Verá una lista de todas las subredes que ha creado en una VPC o red virtual. Seleccione las subredes necesarias para esta VPC o una red virtual y cree un grupo de cumplimiento de políticas. Asocie este grupo de cumplimiento de directivas a la directiva de corrección de amenazas.

  3. Seleccione Configurar políticas > de prevención de amenazas >.

    Haga clic en el icono Agregar para crear una nueva política de prevención de amenazas. Agregue la directiva de prevención de amenazas, incluidos los perfiles de uno o más tipos de amenazas. El grupo de seguridad que había seleccionado durante la configuración del conector se utiliza cuando el host se infecta en una VPC correspondiente o en una red virtual.

Next Generation Firewall Workflow

Cuando crea una opción de AWS, Microsoft Azure o un conector de contrail con firewall de próxima generación, significa que para una VPC concreta o una red virtual, la política de firewall de capa 7 está habilitada. Realice las siguientes acciones para habilitar el firewall de próxima generación:

  1. Seleccione Configurar > política de firewall.

  2. Seleccione la directiva para la que desea definir reglas y haga clic en Agregar regla.

    Aparecerá la página Crear reglas.

  3. En la ficha General, escriba el nombre de la regla y la descripción de la regla

  4. En la pestaña Origen, haga clic en Seleccionar para el campo Direcciones para seleccionar la dirección de origen.

    Aparecerá la página Dirección de origen.

    • En el campo Selección de direcciones, haga clic en la opción Por filtro de metadatos .

    • En el campo Proveedor de metadatos, seleccione PE como proveedor en la lista.

    • En el campo Filtro de metadatos, se enumeran todos los metadatos generados durante la configuración del conector. Con estos metadatos, cree una expresión de metadatos necesaria. Por ejemplo, Aplicación = Web y Nivel = Aplicación.

    • En el campo Direcciones coincidentes, se enumeran las direcciones que coinciden con los metadatos seleccionados. Esta dirección se utiliza como dirección de origen. Para cada expresión de metadatos, se crea un grupo de direcciones dinámicas (DAG) único.

    • Haga clic en Aceptar y complete la configuración de otros parámetros para la regla.

    • Publique y actualice la configuración inmediatamente o prográmela más tarde.

Documentación relacionada