このページでは、Cisco Secure Application の使用を開始する手順を順を追って説明します。 

argento.enabled=true を指定して、コントローラに複数のテナントがある場合は<tenant>.<controller dns name> を使用してコントローラにサインインする必要があります。これを行わないと、コントローラ UI に [ Security] タブを表示できません。

Cisco Secure Application サービスのインストール

ドメインネームシステムの設定

ドメインネームシステム(DNS)を設定するには、次の手順を実行します。

  1. /var/appd/globals.yaml.gotmpldnsDomain と一致する仮想アプライアンス IP アドレスのレコードがあることを確認します
    これにより、コントローラトラフィックが仮想アプライアンスを介してプロキシに送信されます。
  2. スタンドアロンコントローラのホスト名のレコードがあることを確認します。 
  3. Cisco Secure Application を使用して、コントローラで有効になっている各テナントの DNS にエントリを追加します。
    たとえば、/var/appd/globals.yaml.gotmpldnsDomainappd.mycompany.com の場合、テナント名は customer1 になります。
    Cisco Secure Application 対応のテナントが複数ある場合は、customer1.appd.mycompany.com の DNS レコードを追加します。次に、customer1-tnt-authn.appd.mycompany.com の DNS エントリを追加します。

仮想アプライアンス入力証明書の作成

デフォルトの自己署名証明書の代わりに入力証明書を仮想アプライアンスにインポートする場合は、入力証明書に追加のサブジェクト代替名を含める必要があります。サブジェクト代替名は、[Configure Domain Name System] セクションで作成されたすべての DNS レコードと一致する必要があります。

フィードファイルの適用

フィードファイルを適用する目的は次のとおりです。

  • Cisco Secure Application システムは、フィードファイルがダウンロードされてシステムにインポートされるまで、完全には機能しません。
  • 最新のセキュリティ署名を受信するには、フィードファイルを毎日更新する必要があります。これは、最新のセキュリティ脆弱性と攻撃検出をモニターします。

フィードファイルを展開にインポートする 2 つの方法には、自動フィードダウンロードと手動フィードダウンロードがあります。

1 つのダウンロードプロセスに従う必要があり、両方を組み合わせて使用することはできません。自動ダウンロードを設定しながら、手動ダウンロードも設定することは、サポートされていません。 

自動フィードダウンロード

フィードデータがないと、Cisco Secure Application システムが制限されるため、フィードダウンロードを設定する必要があります。フィードデータは、自動フィード ダウンロードプロセスによって毎日更新されます。 Cisco AppDynamics ポータルでユーザーをプロビジョニングし、コマンドライン インターフェイス(CLI)を使用して、それらのログイン情報をオンプレミスの Cisco Secure Application 展開に提供する必要があります。

Cisco AppDynamics ポータルのテナントの下に、管理者権限を持たないユーザーを作成することをお勧めします。これは、自動フィードダウンロードに使用できます。

自動ダウンロード設定のコマンド例:

appduser@jason-1:~$ ./appdcli run secapp_feedinit
Enter controller username: admin
Enter controller accountname: customer1
Enter controller password: 
Enter download portal username: john.doe@domain.com
Enter download portal password: 
SecApp feed download configuration completed.
CODE

手動フィードダウンロード

オンプレミス 展開がエアギャップ環境にあり、インターネットにアクセスできない場合は、手動フィードダウンロードが必要です手動フィードダウンロードの場合、カスタマーサポートにエアギャップフィードキーを要求し、CLI を使用してそのキーを設定する必要があります。設定したら、ダウンロードポータルからフィードファイルを定期的にダウンロードし、CLI を使用してオンプレミス展開にアップロードする必要があります。これを毎日実行することをお勧めします。

エアギャップキーを設定するコマンドの例:

このコマンドは 1 回だけ使用する必要があります。最初のインスタンスの後、日次アップロードを開始できます。

appduser@jason-1:~$ ./appdcli run secapp_airgap_key
Enter controller username: admin
Enter controller accountname: customer1
Enter controller password: 
Enter air-gap feed key: <your key here> 
SecApp air-gap feed key set.
CODE

ポータルからダウンロードした後にフィードファイルをアップロードするコマンドの例:

これを毎日行うことをお勧めします。ダウンロードポータルからフィードファイルをダウンロードできます

appduser@jason-1:~/appd-charts$ ../appdcli run secapp_feedupload
Enter controller username: admin
Enter controller accountname: customer1
Enter controller password:
Enter path to feed file: ../secapp-data-001714012719.dat
SecApp feed upload completed.
CODE

セキュアソケットレイヤ(SSL)証明書の設定

仮想アプライアンスが自己署名証明書を使用している場合は、.NET エージェントの構成を更新します。
仮想アプライアンスが自己署名証明書を使用しているかどうかを確認するには、/var/appd/globals.yaml.gotmplingress.defaultCert の値を確認します。値 true は自己署名証明書を示します。 

{
"controller": {
"host": "ec2-18-236-232-10.us-west-2.compute.amazonaws.com",
"port": 443,
"ssl": true,
"certfile": "_path_to_single_certificate_file_"
}
}
JSON 
<controller host="ec2-18-236-232-10.us-west-2.compute.amazonaws.com" port="443" ssl="true" enable_tls12="true" ssl-certificate-file="_path_to_single_certificate_file_">
...
</controller>
XML

Cisco Secure Application の参考資料

Cisco Secure Application を設定するには、次の手順を実行します。


ステップ参考資料
1

.NET および Java エージェントの場合は、ノードプロパティを追加する必要があります。

enable-secapp-service
CODE

Java エージェントの場合、バージョン 24.4.1 以降である必要があります。.NET エージェントの場合、バージョン 24.4.0.1 以降である必要があります。 

2

エージェントで使用する SSL 証明書を抽出します。

  1. クラスタノードにログインし、次のコマンドを実行します。

    kubectl get secret ingress-cert-secret -n ingress-master -o jsonpath="{.data.tls\.crt}" | base64 --decode &gt; certificate.crt
    CODE
    1. クラスタがデフォルト以外の自己署名証明書を使用している場合は、既存の証明書をグローバル設定の場所にコピーします。
    2. defaultCertfalse の場合、それからコマンドを実行します。
      kubectl get secret custom-ingress-secret -n ingress-master -o jsonpath="{.data.tls\.crt}" | base64 --decode &gt; certificate.crt
      CODE
      globals.yaml.gotmpl ファイルを参照してください。 
  2. エージェントで使用するためにこの証明書をコピーします。
3

Splunk AppDynamics 管理コンソールを使用してロールを割り当てます。

  1. Cisco Secure Application ダッシュボードの設定可能なフィールドを変更する必要があるユーザに [Configure Cisco Secure Application] アカウント権限を割り当てます。
  2. ダッシュボードのモニタのみが必要なユーザに [View Cisco Secure Application] アカウント権限を割り当てます。
アカウントの権限
4

上部のナビゲーションバーで [Security] タブをクリックします。

アカウントを使用して必要な Splunk AppDynamics アプリケーション ダッシュボードを起動し、上部ペインの [Security] をクリックします。

これにより、Cisco Secure Application ダッシュボードにリダイレクトされます。

Cisco Secure Application を使用したアプリケーション セキュリティのモニタ
5

Cisco Secure Application ダッシュボードから [Applications] ページに移動し、ターゲットアプリケーションの [Security Setting][Enabled] として設定します。

[ Security Setting] 値は、[Disabled] の設定不可能なテナント設定を継承するすべてのアプリケーションにおいてデフォルトで [Inherit] に設定されます。アプリケーションのセキュリティを有効にするには、[Security Setting][Enabled] に設定する必要があります

アプリケーションのセキュリティステータスのモニタリング
6

[Applications] ページから、アプリケーションノードが登録され、アクティブであることを確認します。

[Applications] ページで、特定のアプリケーションの [Active Nodes ] および [Registered Nodes] フィールドを確認します。アプリケーションノードがアクティブであることを確認します。ノードがアクティブでない場合、アプリケーションのセキュリティデータはダッシュボードに表示されません。

アプリケーションのセキュリティステータスのモニタリング
7

[Libraries] ページから、セキュリティで保護されたアプリケーションのリスクでソートされたライブラリを表示します。

[Libraries] ページには、選択したアプリケーションスコープに基づいて、アプリケーションのすべての既存のライブラリが表示されます。リスクスコアを使用して、修復タスクに優先順位を付けることができます。

ライブラリのモニタ

詳細については、「Getting Started with Cisco Secure Application」を参照してください。

トラブルシューティング

トラブルシューティングの一般的な手順については、「仮想アプライアンスの問題のトラブルシュート」を参照してください。