Cisco Secure Application のインストールおよび設定

このページでは、Cisco Secure Application の使用を開始する手順を順を追って説明します。

argento.enabled=true を指定して、コントローラに複数のテナントがある場合は、<tenant>.<controller dns name> を使用してコントローラにサインインする必要があります。これを行わないと、コントローラ UI に [Security] タブを表示できません。

Cisco Secure Application サービスのインストール

1	Cisco Secure Application サービスを有効化します。
2	Cisco Secure Application サービスをインストールします。

Cisco Secure Application サービスをインストールした後、フィードファイルを適用し、セキュアソケットレイヤ証明書を設定します。

1	Cisco Secure Application サービスを有効化します。
2	ドメインネームシステムを設定します。
3	仮想アプライアンス入力証明書を作成します。
4	Cisco Secure Application サービスをインストールします。
5	Cisco AppDynamics オンプレミスでスタンドアロンコントローラを設定します。

Cisco Secure Application サービスをインストールした後、フィードファイルを適用し、セキュアソケットレイヤ証明書を設定します。

ドメインネームシステムの設定

ドメインネームシステム（DNS）を設定するには、次の手順を実行します。

/var/appd/globals.yaml.gotmpl に dnsDomain と一致する仮想アプライアンス IP アドレスのレコードがあることを確認します。
これにより、コントローラトラフィックが仮想アプライアンスを介してプロキシに送信されます。
スタンドアロンコントローラのホスト名のレコードがあることを確認します。
Cisco Secure Application を使用して、コントローラで有効になっている各テナントの DNS にエントリを追加します。
ハイブリッド展開の場合は、シングルテナントかマルチテナントかに関係なく <tenant>-tnt-authn.mycompany.com を追加する必要があります。この例は、mycompany.com が dnsDomain の値である場合のみです。これは、コントローラが仮想アプライアンス認証に接続するために必要となります。標準の展開では、クラスタが内部 DNS で管理されるため、テナントを追加する必要はありません。

仮想アプライアンス入力証明書の作成

デフォルトの自己署名証明書の代わりに入力証明書を仮想アプライアンスにインポートする場合は、入力証明書に追加のサブジェクト代替名を含める必要があります。サブジェクト代替名は、[Configure Domain Name System] セクションで作成されたすべての DNS レコードと一致する必要があります。

フィードファイルの適用

フィードファイルを適用する目的は次のとおりです。

Cisco Secure Application システムは、フィードファイルがダウンロードされてシステムにインポートされるまで、完全には機能しません。
最新のセキュリティ署名を受信するには、フィードファイルを毎日更新する必要があります。これは、最新のセキュリティ脆弱性と攻撃検出をモニターします。

フィードファイルを展開にインポートする 2 つの方法には、自動フィードダウンロードと手動フィードダウンロードがあります。

1 つのダウンロードプロセスに従う必要があり、両方を組み合わせて使用することはできません。自動ダウンロードを設定しながら、手動ダウンロードも設定することは、サポートされていません。

自動フィードダウンロード

フィードデータがないと、Cisco Secure Application システムが制限されるため、フィードダウンロードを設定する必要があります。フィードデータは、自動フィードダウンロードプロセスによって毎日更新されます。Cisco AppDynamics ポータルでユーザーをプロビジョニングし、コマンドラインインターフェイス（CLI）を使用して、それらのログイン情報をオンプレミスの Cisco Secure Application 展開に提供する必要があります。

Cisco AppDynamics ポータルのテナントの下に、管理者権限を持たないユーザーを作成することを推奨します。これは、自動フィードダウンロードに使用できます。

自動ダウンロード設定のコマンド例：

appduser@jason-1:~$ ./appdcli run secapp_feedinit Enter controller username: admin Enter controller accountname: customer1 Enter controller password: Enter download portal username: john.doe@domain.com Enter download portal password: SecApp feed download configuration completed.

CODE

手動フィードダウンロード

オンプレミス展開がエアギャップ環境にあり、インターネットにアクセスできない場合は、手動フィードダウンロードが必要です。手動フィードダウンロードの場合、カスタマーサポートにエアギャップフィードキーを要求し、CLI を使用してそのキーを設定する必要があります。設定したら、ダウンロードポータルからフィードファイルを定期的にダウンロードし、CLI を使用してオンプレミス展開にアップロードする必要があります。これを毎日実行することをお勧めします。

エアギャップキーを設定するコマンドの例：

このコマンドは 1 回だけ使用する必要があります。最初のインスタンスの後、日次アップロードを開始できます。

appduser@jason-1:~$ ./appdcli run secapp_airgap_key Enter controller username: admin Enter controller accountname: customer1 Enter controller password: Enter air-gap feed key: <your key here> SecApp air-gap feed key set.

CODE

ポータルからダウンロードした後にフィードファイルをアップロードするコマンドの例：

これを毎日行うことをお勧めします。ダウンロードポータルからフィードファイルをダウンロードできます。

appduser@jason-1:~/appd-charts$ ../appdcli run secapp_feedupload Enter controller username: admin Enter controller accountname: customer1 Enter controller password: Enter path to feed file: ../secapp-data-001714012719.dat SecApp feed upload completed.

CODE

セキュアソケットレイヤ（SSL）証明書の設定

仮想アプライアンスが自己署名証明書を使用している場合は、.NET エージェントの構成を更新します。
仮想アプライアンスが自己署名証明書を使用しているかどうかを確認するには、/var/appd/globals.yaml.gotmpl の ingress.defaultCert の値を確認します。値 true は、自己署名証明書を示します。

{ "controller": { "host": "ec2-18-236-232-10.us-west-2.compute.amazonaws.com", "port": 443, "ssl": true, "certfile": "_path_to_single_certificate_file_" } }

JSON

<controller host="ec2-18-236-232-10.us-west-2.compute.amazonaws.com" port="443" ssl="true" enable_tls12="true" ssl-certificate-file="_path_to_single_certificate_file_" > ... </controller>

XML

Cisco Secure Application の参考資料

Cisco Secure Application を設定するには、次の手順を実行します。

	ステップ	参考資料
1	.NET および Java エージェントの場合は、ノードプロパティを追加する必要があります。 `enable-secapp-service` CODE Java エージェントの場合、バージョン 24.4.1 以降である必要があります。.NET エージェントの場合、バージョン 24.4.0.1 以降である必要があります。	Javaエージェントのインストール .NET Agent for Linux のインストール
2	エージェントで使用する SSL 証明書を抽出します。クラスタノードにログインし、次のコマンドを実行します。 `kubectl get secret ingress-cert-secret -n ingress-master -o jsonpath="{.data.tls\.crt}" \| base64 --decode > certificate.crt` CODE クラスタがデフォルト以外の自己署名証明書を使用している場合は、既存の証明書をグローバル設定の場所にコピーします。 `defaultCert` が `false` の場合は、次のコマンドを実行します。 `kubectl get secret custom-ingress-secret -n ingress-master -o jsonpath="{.data.tls\.crt}" \| base64 --decode > certificate.crt` CODE globals.yaml.gotmpl ファイルを参照してください。エージェントで使用するためにこの証明書をコピーします。	Javaエージェント用SSLの有効化 .NET エージェントの SSL 変数の設定
3	Splunk AppDynamics 管理コンソールを使用してロールを割り当てます。 Cisco Secure Application ダッシュボードの設定可能なフィールドを変更する必要があるユーザーに、[Configure Cisco Secure Application] アカウント権限を割り当てます。ダッシュボードのモニターのみが必要なユーザーに [View Cisco Secure Application] アカウント権限を割り当てます。	アカウントの権限
4	上部のナビゲーションバーで [Security] タブをクリックします。アカウントを使用して必要な Splunk AppDynamics アプリケーションダッシュボードを起動し、上部ペインの [Security] をクリックします。これにより、Cisco Secure Application ダッシュボードにリダイレクトされます。	Cisco Secure Application を使用したアプリケーションセキュリティのモニタ
5	Cisco Secure Application ダッシュボードから [Applications] ページに移動し、ターゲットアプリケーションの [Security Setting] を [Enabled] として設定します。 [Security Setting] 値は、[Disabled] の設定不可能なテナント設定を継承するすべてのアプリケーションにおいてデフォルトで [Inherit] に設定されます。アプリケーションのセキュリティを有効にするには、[Security Setting] を [Enabled] に設定する必要があります。	アプリケーションのセキュリティステータスのモニタリング
6	[Applications] ページから、アプリケーションノードが登録され、アクティブであることを確認します。 [Applications] ページで、特定のアプリケーションの [Active Nodes] および [Registered Nodes] フィールドを確認します。アプリケーションノードがアクティブであることを確認します。ノードがアクティブでない場合、アプリケーションのセキュリティデータはダッシュボードに表示されません。	アプリケーションのセキュリティステータスのモニタリング
7	[Libraries] ページから、セキュリティで保護されたアプリケーションのリスクでソートされたライブラリを表示します。 [Libraries] ページには、選択したアプリケーションスコープに基づいて、アプリケーションのすべての既存のライブラリが表示されます。リスクスコアを使用して、修復タスクに優先順位を付けることができます。	ライブラリのモニタ

詳細については、「Getting Started with Cisco Secure Application」を参照してください。

トラブルシューティング

トラブルシューティングの一般的な手順については、「仮想アプライアンスの問題のトラブルシュート」を参照してください。