Архитектурный подход к обеспечению информационной безопасности современного предприятия

© 2011 Cisco and/or its affiliates. All rights reserved. 1

Принимайте активное участие в Cisco Expo и получите в подарок Linksys E900.

Как получить подарок:

• внимательно слушать лекции по технологиям Cisco

• посещать демонстрации, включенные в основную программу

• пройти тесты на проверку знаний

Тесты будут открыты:

с 15:00 25 октября по 16:30 26 октября

www.ceq.com.ua

http://www.ceq.com.ua


Архитектурный подход к обеспечению ИБ современного предприятия

Алексей Лукацкий

Менеджер по развитию бизнеса


• Большое количество требующих контроля каналов взаимодействия с партнерами, контрагентами, поставщиками

• Забывчивость в отношении аутсорсинговых и международных партнеров

Разработчики ПО

Обслуживающий персонал

Сотрудники облачных провайдеров

• Активное развитие вредоносных технологий

Целью является все

• Концентрация на внутренней безопасности

«Забывчивость» в отношении внешних аспектов – операторы связи, партнеры, аутсорсеры, облачные вычисления, BYOD и т.п.


• Конфликт ИБ и ИТ

Отсутствие контроля привилегированных пользователей

Отсутствие требований по ИБ к разработке собственного ПО

Кто отвечает за эксплуатацию средств защиты?

• Концентрация на «классической» ИБ

Что насчет защиты нетрадиционных направлений (принтеры, СКУД, видеонаблюдение и т.п.)?

Как насчет контроля поведения (профилирования) клиентов?

• Неготовность к неконтролируемым ситуациям

Фишинг, информационные войны…

• (Недо/пере)оценка роли регуляторов

Деятельность регуляторов четко регулируются законами

Отсутствие контроля выпуска новых нормативных актов


• Отсутствие стандартизации и унификации технологий, продуктов, методов и подходов

Рост операционных затрат

Сложность поддержки и интеграции

• Повтор и избыточность

Не путать с резервированием

Нехватка ресурсо-затрат

• Упущения неочевидных вещей

• Отсутствие планов развития

Нехватка гибкости и адаптивности к новым требованиям


• Финансирование по остаточному принципу

• Неудовлетворенность пользователей, снижение их продуктивности и рост цены их поддержки

• Потенциальные наезды со стороны регуляторов

• Неэффективность ИБ в виду забывчивости в отношении некоторых направлений бизнеса

• Несогласованность действий подразделение

Дизайн и архитектура

• 1Х

Внедрение

• 5Х

Тесты интеграции

• 10Х

Бета-тестирование

• 15Х

Боевой запуск

• 30Х


Изменение бизнеса

Улучшение бизнеса

Развитие вместе с бизнесом

«Хаос»


Бизнес-приоритеты

• Переход к системам коллективной работы, облачным вычислениям и концепции BYOD

• Сдвиг продаж в «поля» (PoS, PoD)

• Снижение операционных и капитальных затрат

Приоритеты ИБ

• Акцент на очерчивание периметра и его защиту

• Защита центра обработки данных

• Создание наложенной системы безопасности

© 2011 Cisco and/or its affiliates. All rights reserved. 9 Чего-то не хватает?!..


Смогли бы вы построить…

… здание, не имея архитектурного проекта?

Одна проблема порождает другую Временные затраты на решение

проблем Дорогостоящие изменения

Применение опыта специалиста Экономия драгоценного времени Снижение совокупной стоимости владения

Без плана развертывания С планом развертывания


• Архитектура описывает желаемую структуру инфраструктуры безопасности организации и других связанных с ИБ компонентов и интерфейсов

Включает процессы, людей, техологии и разные типы информации

Создается с точки зрения бизнеса и учитывает его текущие и будущие потребности

• 2 главных вопроса архитектуры ИБ

ЧТО? Из чего строить систему защиты?

КАК? Как строить систему защиты?



Требование

разнообразия устройств

Смешение частного и

служебного

Нужен доступ к

критичных ресурсам


Цель

Расширение спектра

целевых угроз Атаки на новые

технологии

Рост экосистемы

киберпреступности

# !

%


Инкапсуляция

коммуникаций

Виртуализация

центров обработки

данных

Переход к облачному

хранению

# !

%


Рост трафика на ПК Драматический рост

трафика в ЦОД

Взаимодействие видео

и социальных сетей

# !

%

Business Pipeline

Социальные сети

Web-почта

Приложения

Hotmail


Внимание руководства

Рост

Глобализация

Соответствие

Привлечение людей

Разрешить

Внимание

ИТ


Риск-менеджмент

Регулирование

Персданные

Защитить

Внимание

ИБ


Не пустить плохих

Пустить хороших

Соответствовать

Учесть BYOD

Разрешить виртуализацию

Быть готовым к облакам

Политика

Организационно – КТО?

Операционно – КАК?

Технологически – ЧТО?

Access

Identity

Compliance

Endpoint

Intrusion

Management

Wired

Wireless

VPN

In the Network

On the Network

On the Device

Compliance Ops.

Network Ops.

Application Team

Endpoint Team

Security Ops.

HR

Контроль доступа

Identity Mgmt


Endpoint

Вторжения

Управления

Проводное

Беспроводное

VPN

В сети

Поверх сети

На устройстве

Application Team

Security Ops.

HR

Endpoint Team

Network Ops.

Compliance Ops.


Сеть

Объединить людей и информацию... Безопасно

Исследования в области ИБ

Политика

Управление

Точки приложения сил

Устройства &

Пользователи Активы & Информация



Сервисы

Сеть как несущая конструкция всей системы

Distributed

Workforce & BYOD

Защищенный

универсальный

доступ

Защита сетевого

периметра

Threat

Defense

Защищенный

переход к

облачным

вычислениям

Virtualization

& Cloud

Application

Visibility & Control

Авторизованное

использование

контента

Исследование угроз

Контекстная политика


Эффективное решение бизнес-задач

Borderless Networks

Data Center/ Virtualization

Collaboration Service Provider

SecureX


Как...

DoS-атаки

Устройства без поддержки 802.11

Вредоносные точки доступа

Хакерская атака с промежуточного узла (Man-in-the-Middle)

защитить мою проводную и беспроводную сеть от атак через эфир?

получить представление о состоянии радиочастотного спектра?

обеспечить соответствие нормативным требованиям и защитить мои радиоресурсы?

Низкие капитальные затраты

Простота управления

Самая низкая совокупная стоимость владения

Упрощение обучения

Функциональность, противостоящая новейшим угрозам

Адаптируемость к новым функциям

Встроенная Лучшая в своем классе

Глубина защиты

Гибкость и масштабируемость за счет MSE

Объединенная защита проводных и беспроводных сетей

Адаптивная система wIPS наилучшее решение для обоих типов сетей


Прогресс за последние годы

vm v

m vm

vm v

m vm

vm v

m vm

Internet

1. Интегрированные IOS Firewall, VPN, IPS

2. Будущее: ASA-CX на IOS-XE

3. 802.1x, TrustSec, Security Group Tags

4. Сегментация и динамические политики через ISE

5. ISE, интегрированный с Prime

6. Virtual Firewall на Nexus 1000V

7. Virtual Email и Web Security на UCS

8. ASA Module for 6500, Будущее: Nexus 7K

9. ScanSafe Connector

ЦОД

Кампус или филиал



Соответствие: PCI 1.0/2.0 HIPAA SOX ПДн ISO 27001

THE THE

THE

Сервисы:

Сеть:

Distributed

Workforce & BYOD

Threat

Defense

Virtualization

& Cloud

Application

Visibility & Control

Исследование угроз:

Политика:

Web Security

Appliance

VPN

Identity Services Engine TrustSec

Cisco Advanced Services Partner Shared Services

AnyConnect

Cloud Web

Security

WLAN Controller

Adaptive

Security

Intrusion

Prevention

Virtual Security

Gateway

Nexus 1000v

Router Security

Email | Web

Security

Adaptive

Security (CX)

Router Security

Web Security

Virtual ASA

NCS Prime: Networks/Security

Router Switch Appliance Cloud Virtual

Identity Services

Engine


SensorBase Threat Operations Center Dynamic Updates

WEB -ЗАПРОСОВ

30B СООБЩЕНИЙ EMAIL

100M МИРОВОГО ТРАФИКА

35%

ГЛОБАЛЬНЫХ СЕНСОРОВ

750,000+ ДАННЫХ В ДЕНЬ

4 TB


Threat Operations Center

ИНЖЕНЕРОВ, ТЕХНАРЕЙ И

АНАЛИТИКОВ

500 ЯЗЫКОВ

40+ Ph.D.s, CCIE, CISSPs, MSCEs

80+

Dynamic Updates

ИНВЕСТИЦИЙ В

ИССЛЕДОВАНИЯ И РАЗРАБОТКУ

$100M ОПЕРАЦИИ

24x7x365


Threat Operations Center

ПУБЛИКАЦИЙ

20+ КОНТРОЛЬ ПАРАМЕТРОВ

200+ ПРАВИЛ В ДЕНЬ

8M+

Dynamic Updates

ВЫПУЩЕНО СИГНАТУР IPS

6,500+ ИНТЕРВАЛЫ ОБНОВЛЕНИЙ

3 - 5


Согласованная политика

на основании результатов

идентификации на всех

уровня – от устройства до

ЦОД – в соответствии с

бизнес-потребностями

Распространение сведений

о политиках и

интеллектуальных

механизмов по сети

Метки групп безопасности

позволяют обеспечить

масштабируемое

применение политик

с учетом контекста

РЕШЕНИЕ CISCO

Решения на основании состояния 1. Разрешение/блок в соответствии с политикой

2. Авторизованным устройствам назначаются

метки политики

3. Теги политики учитываются при работе в сети

VPN

ЦОД

Виртуальные машины в ЦОД

ОК

СТОП

КТО

ЧТО

ГДЕ

КОГДА

КАК ? ? ?

MACSec


Сценарий Ограниченный Базовый Расширенный Передовой

Бизнес

политика Блокировать доступ

Доступ по ролям

изнутри сети

Гранулир. доступ

внутри и снаружи

Полноценное

мобильное рабочее

место

ИТ-

требования

Технологии

• Знать “кто” и “что”

включено в сеть

• Давать доступ

только

корпоративным

устройствам

• Предоставлять

персональным и

гостевым

устройствам

доступ в

Интернет и

ограниченному

числу внутренних

ресурсов

• Гранулированный

доступ изнутри

сети

• Гранулированный

удаленный

доступ к

ресурсам через

Интернет

• Использование

VDI

• Обеспечение

родных

приложений для

мобильных

устройств

• Управление

мобильными

устройствами

(MDM)

Cisco Switches, Cisco Routers, Cisco Wireless LAN Infrastructure Сетевая

инфраструктура


Идентификация и политики

Удаленный доступ и

безопасность

Приложения

Cisco Prime NCS

Third Party MDM

Cisco Identity Services Engine

Cisco ASA/ESA/WSA

Cisco AnyConnect

ScanSafe

Корпоративные приложения и VDI


WLAN AP

Access Switch

Adaptive Security

Appliance (ASA)

Identity Services

Engine (ISE)

Certificate Authority

(CA)

Mobile Device

Manager (MDM)

Wireless Router

Integrated Services

Router G2 (ISR G2)

Aggregation Services

Router (ASR)

Campus

Switching Core

Branch Office

Home Office

Active Directory

(AD)

AnyConnect

WLAN Controller

(WLC)

Prime NCS

RSA Secure ID

Не доверенная сеть

Доверенная корпоративная

сеть

Internet

Mobile Network

Public Wi-Fi

WAN

BYOD устройства

Проводной, Беспроводный, Мобильный доступы

Шлюзы безопасности Инфраструктура защиты и управлениям политиками

Инфраструктура доступа


Инвентаризация

Инициализация

устройства

Безопасность данных на

устройстве

Безопасность приложен.

Управление затратами

Полная или частичная

очистка удаленного


Защита устройства Контроль доступа и защита от сетевых угроз

Cisco ISE AnyConnect ASA ScanSafe WSA

Аутентификация

пользователей и

устройств

Оценка состояния

Применение

политики доступа

Безопасный

удаленный доступ

Защита от угроз

Политика

использования

Web

Защита от утечек

информации


КОГДА ЧТО

ГДЕ

КАК КТО

Идентификация

Атрибуты

политики

безопасности

Модуль централизованных политик

Политики,

относящиеся к бизнесу

Пользователи и


Динамическая политика и реализация

УПРАВЛЕНИЕ

ПРИЛОЖЕНИЯМИ

МОНИТОРИНГ И

ОТЧЕТНОСТЬ

РЕАЛИЗАЦИЯ ПОЛИТИК

БЕЗОПАСНОСТИ


Администрирование

политики Принятие решений на

базе политик

Реализация

политик

На основе TrustSec

Информация

о политике

На основе TrustSec

Доступ на основе идентификации — это не опция, а свойство сети,

включая проводные, беспроводные сети и VPN

Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,

инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000

Identity Services Engine (ISE) Система политик доступа на основе идентификации

Агент NAC Web-агент

AnyConnect или запрашивающий

клиент, встроенный в ОС

Запрашивающий клиент 802.1x

Бесплатные клиенты с постоянным или временным

подключением для оценки состояния и устранения проблем


Отличительные особенности

идентификации

Режим монитора

Гибкая последовательность

аутентификации

Поддержка IP-телефонии

Поддержка сред виртуальных

настольных систем

Коммутатор Cisco Catalyst®

Web-

аутентификация

Функции аутентификации

IEEE 802.1x Обход аутентификации по

MAC-адресам

Web-


Полная прозрачность

Сетевое

устройство

802.1X

IP-

телефоны

Авторизо-

ванные

пользователи

Гости

MAB и

профилирование

Планшеты

На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации


ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Множество устройств в проводной и беспроводной сети

Должно быть предусмотрено управление политиками для каждого типа устройств

Необходима гарантия того, что устройство соответствует цифровым меткам

Быстрый рост числа

устройств

и идентификация для

реализации политик

Проблема


Временный

ограниченный доступ к

сети до устранения

проблем

Пример политики для сотрудника

• Исправления и обновления Microsoft установлены

• Антивирус McAfee установлен, обновлен и работает

• Корпоративный ресурс проходит проверку

• Приложение предприятия выполняется

Проблема:

• Наличие сведений о работоспособности устройства

• Различие уровней контроля над устройствами

• Затраты на устранение проблем

Ценность:

• Временный (на web-основе) или постоянный агент

• Автоматическое устранение проблем

• Реализация дифференцированных политик на основе ролей

Пользователь

проводной,

беспроводной,

виртуальной сети


Не

соответствует

требованиям


Гостевые

политики

Гости

Web-


Беспроводный или проводной доступ

Доступ только к Интернету

Выделение ресурсов: гостевые учетные записи

на спонсорском портале

Уведомление:

сведения о гостевой учетной

записи в бумажном виде, по

электронной почте или SMS

Управление:

права спонсоров,

гостевые учетные записи и

политики, гостевой портал

Отчет:

по всем аспектам гостевых

учетных записей

Интернет



Масштабируемая

реализация

Сети VLAN

Списки управления доступом (ACL)

Метки групп безопасности *

Шифрование MACSec *


доступом на

основе политик

Удаленный пользователь

VPN

Пользователь с беспроводным

доступом

Пользователь с проводным доступом

Устройства

Абсолютный контроль

* =

СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ

И УЧЕТОМ КОНТЕКСТА

Виртуальный рабочий стол

Центр обработки данных

Интранет Интернет Зоны


Инновации

Cisco


Динамические или

именованные ACL-списки

• Меньше перебоев в работе

оконечного устройства (не

требуется смена IP-адреса)

• Повышение удобства для

пользователей

Сети VLAN

• Не требует управления

ACL-списками на портах

коммутатора

• Предпочтительный выбор

для изоляции путей

Доступ для групп


• Упрощение управления

ACL-списками

• Единообразная

реализация политик

независимо от топологии

• Детализированное

управление доступом

Гость

VLAN 4 VLAN 3

Устранение проблем

Сотрудники Подрядчик

Сотрудник Любой IP-

адрес

Доступ для групп безопасности

— SXP, SGT, SGACL, SGFW

Гибкие механизмы реализации политик в вашей инфраструктуре

Широкий диапазон доступных клиенту вариантов доступа

Абсолютный контроль

Инновации

Cisco


Политики на основе понятного технического языка

Таблица доступа согласно политике на основе ролей

Ресурсы

D1

(10.156.78.100)

Медицинские

карты

пациентов

D3

(10.156.54.200)

Электронная

почта

в интранет-сети

D5 (10.156.100.10)

Финансова

я служба D6

D4

D2

Разрешения

Интранет

-

портал

Почтовый

сервер

Серверы

финансовой

службы

Медицинские

карты

пациентов

Врач Интернет IMAP Нет

доступа Совместный web-

доступ к файлам

Финансовая

служба Интернет IMAP Интернет Нет доступа

ИТ-

админист-

ратор

WWW,

SQL, SSH

Полный

доступ SQL SQL

Матрица политик

Совместный

web-доступ к

файлам

permit tcp S1 D1 eq https permit tcp S1 D1 eq 8081 deny ip S1 D1 …… …… permit tcp S4 D6 eq https permit tcp S4 D6 eq 8081 deny ip S4 D6

Требует затрат времени

Ручные операции

Предрасположенность к

ошибкам

Простота

Гибкость

Учет характера

деятельности

permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 permit tcp dst eq 135 deny ip

ACL-список "Врач - карта пациента"

Врачи

Финансовая служба

ИТ-администраторы

S1

(10.10.24.13)

S2 (10.10.28.12)

S3 (10.10.36.10)

S4 (10.10.135.10)

Отдельные пользователи


• Клиент IPSec/SSL/DTLS VPN

Client/Clientless

• Оценка состояния

• Location-Specific Web Security

На периметре (Ironport WSA) или через облако (ScanSafe)

• Защищенный доступ в облако через SSO

• Контроль сетевого доступа

802.1X Authentication and Posture

MACsec encryption

Cisco TrustSec devices (план)

• Windows, Mac, Linux, Windows Mobile, Apple iOS, Palm, Symbian, Android, Windows Phone (план)

Internet-Bound Web Communications

ScanSafe


Новости Электронная

почта

Социальные сети Корпоративная

SaaS-система

Cisco WSA

Обмен данными между ASA и

WSA

Corporate AD

ASA

AnyConnect


Wired или Wireless

Cisco Catalyst Switches

Window или OS X ПК

Cisco WLAN Controller

ISE

MDM Mgr Контекстная политика

Смартфоны, включая устройства с iOS или

Android Wireless

AD/LDAP

User X User Y

?

Интеграция с лидерами рынка MDM

• MobileIron, Airwatch, Zenprise, Good

• Заказчики могут выбирать

Функции:

• Всесторонний анализ устройств

• Детальный контекст пользователей

и устройств

• Расширенная защита устройств и

приложений



КТО

ЧТО

ГДЕ

КОГДА

КАК Политика с учетом контекста

IPS

WSA

ASA

ESA

СЕТЬ

Полномасштабное

решение: ASA, IPS,

«облачные» сервисы

защиты web-трафика и

электронной почты

Политика с учетом

контекста точнее

соответствует бизнес-

потребностям в сфере ИБ

Простота

развертывания и

обеспечения защиты

распределенной среды


ASA 5512-X Пропускная

способность

межсетевого экрана 1

Гбит/с



межсетевого экрана 1,2

Гбит/с




Гбит/с




Гбит/с




Гбит/с

1. Пропускная способность на

уровне нескольких Гбит/с Для удовлетворения растущих

требований к пропускной способности

2. Встроенные средства ускорения

сервисов

(дополнительное оборудование не

требуется) Для поддержки меняющихся

потребностей бизнеса

3. Платформа с поддержкой

сервисов нового поколения Для защиты инвестиций


Кластеризация

IPv6

Cisco® Cloud Web Security

Улучшения мультиконтекстных возможностей

Смешанный режим

Cisco TrustSec®

Шифрование нового поколения

Бесклиентские VPN-подключения

Улучшения производительности и масштабируемости

VPN в Cisco ASA-SM


Пр

ои

зв

од

ите

ль

но

сть

, м

ас

шта

би

руем

ос

ть

, а

да

пти

вн

ос

ть

Комплекс

зданий

Интернет-

периметр Филиал

Cisco IPS 4360

Cisco® IPS 4345

Центр обработки

данных

Cisco IPS 4510

Cisco IPS 4520

Новинка

Новинка

Новинка

Новинка


Пр

ои

зв

од

ите

ль

но

сть

, м

ас

шта

би

руем

ос

ть

, а

да

пти

вн

ос

ть

Комплекс

зданий

Интернет-

периметр Филиал SOHO Центр обработки

данных

Cisco ASA 5585-X-S60P60

Cisco ASA 5585-S40P40



Cisco® ASA 5512- X IPS

Cisco ASA 5515-X IPS




Новинка

Новинка

Новинка

Новинка

Новинка


• Платформа для межсетевого экрана нового поколения с поддержкой защитных сервисов

• Устройства ASA среднего уровня с функцией ПО IPS с учетом контекста

• IPS в виде виртуальных блейдов – аппаратные модули не требуются

• Cisco® ASA 5525-X , ASA 5545-X и ASA 5555-X имеют аппаратное ускорение для IPS

• 1 интерфейс Gigabit Ethernet

• Доступны платы расширения ввода-вывода

Новый межсетевой экран с поддержкой сервисов и функцией IPS


• Специализированная платформа IPS среднего уровня с учетом контекста

• Четырехкратное увеличение производительности Cisco® IPS серии 4200 за половину стоимости

• Обработка с аппаратным ускорением Regex

• Интерфейсы Gigabit Ethernet

• Bypass-платы будут доступны в октябре


• Специализированные высокоскоростные устройства IPS с учетом контекста

• Обработка с аппаратным ускорением Regex

• Развертывания на уровне ядра ЦОД или предприятия

• Интерфейсы Gigabit Ethernet, интерфейсы 10 Gigabit Ethernet и слот SFP

• Масштабируемость: доступен слот для будущего наращивания мощностей


Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520

Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)

Процессор 4 ядер

4 потока

4 ядер

8 потока

8 ядер

16 потока

12 ядер

24 потока

Память 8 GB 16 ГБ 24 ГБ 48 GB

Базовые порты данных 8 x 1 GE Cu 8 x 1 GE Cu

6 x 1 GE Cu

4 x 10 GE SFP

6 x 1 GE Cu

4 x 10 GE SFP

Ускоритель Regex Одинарный Одинарный Одинарный Двойной

Электропитание Постоянное значение

переменного тока

2 с возможностью

горячей замены






Специализированная система

Cisco IPS 4500 • Прозрачна и незаметна в сети

• Ввод-вывод на основе IPS

• Нормализация под управлением IPS

• Свободный слот для использования в

будущем

Интегрированное устройство

Cisco ASA 5585-X IPS • Прозрачность как вариант.

• Ввод-вывод принадлежит межсетевому

экрану.

• Нормализацией управляет межсетевой экран.

• Для выбора политики IPS доступны

дополнительные возможности (5 элементов

потока, код пользователя и т. д.).

Основные отличия


Все типы оборудования

• SCADA

• DCS

• PLC

• SIS

• EMS

• Все основные производители

• Schneider

• Siemens

• Rockwell

• GE, ABB

• Yokogawa

• Motorola

• Emerson

• Invensys

• Honeywell

• SEL

• И это не конец…


Cisco ASA CX

Cisco Web Security

Лучшие показатели (простота,

согласованность, интеграция),

снижение затрат и повышение

производительности при работе с

приложениями

Оптимизация и защита

приложений на периметре

URL-фильтрация

AAA

Профилирование устройств

Контроль на разных уровнях

Широкий функционал

Безопасность + контроль

работы приложений

$

+

ASA CX


Центральный

офис


Понимание контекста

Классический МСЭ ASA

Устройство Интегрированное решение Виртуализация

Широкий спектр платформ


• Межсетевой экран нового поколения

• Context-Aware Firewall

• Активная/Пассивная аутентификация

• Application Visibility and Control/DPI с анализом контента

• Репутационная фильтрация

КОГДА ЧТО ГДЕ/ОТКУДА КАК КТО


Покрытие широкого спектра сценариев идентификации

* Future

КТО

TRUSTSEC*

Network Identity

Group information

Any tagged traffic User Authentication • Auth-Aware Apps

• Mac, Windows, Linux

• AD/LDAP user credential

AD/LDAP Identity • Non-auth-aware apps

• Any platform

• AD/LDAP credential

IP Surrogate

AD Agent

NTLM

Kerberos


ЧТО

75,000+ MicroApps

MicroApp Engine

Глубокий анализ трафика


Поведение


Контроль действий

пользователя внутри


Покрытие… … классификация всего

трафика

1,000+ приложений


Бизнес-задача Как решается ASA CX Пример

Нарушение полосы

пропускания

Контроль использования приложений

Peer-to-Peer

Конфиденциальная

информация

загружается в облако

Контроль использования сервисов

общего пользования

Продуктивность


Блокирование «нерабочих»

приложений, оставляя при этом

доступ к нужным ресурсам

Удаленный контроль ПК

с помощью

вредоносного ПО

Блокирование приложений

удаленного доступа, оставляя,

например, WebEx

Маскировка

вредоносного ПО под

обычные приложения

Идентификация и контроль

приложений, который работают на

известных портах


ЧТО

Маркетинг Юристы Финансы

языков

стран

mn URLs

покрытие

60

200

20

98%


Бизнес-задача Как решается ASA CX

Реализация политик

разрешенного

использования

Блокирование для всех сайтов категорий: Adult, Child

Abuse Content, Gambling, Hate Speech, Illegal Activities и

т.д.

Создание защищенного

окружения для обучения

Запрет студентам, но разрешение для других категорий

доступа к следующим категориям сайтов: Entertainment,

Arts, Dining and Drinking, Online Trading

Поддержка продуктивности


Запрет доступа сотрудников к следующим категориям

сайтов: Sports and Recreation, Travel, Photo Search and

Images

Контроль сайтов,

съедающих полосу

пропускания

Запрет доступа сотрудников к следующим категориям

сайтов: File Transfer Services, Freeware and Shareware,

Illegal Downloads, Internet Telephony

Пользователи, обходящие

правила Блокирование прокси и анонимайзеров


ГДЕ/ОТКУДА

ОФИС

ОТЕЛЬ


Информация с 100,000,000 оконечных устройств

Устройство Состояние

AV

Registry Files

Версия ОС

Identity Services Engine

КАК


• Система управления для ASA CX

• Встроенный в ASA CX для управления одним МСЭ

• Отдельное устройство для поддержки нескольких ASA CX

• RBAC

• Конфигурация, события и репортинг

• Виртуальная машина или устройство UCS


ASA

• Ядро или ЦОД

• Multi-tenant

• Active/Active Failover

ASA CX

• Кампус или граница

• Контроль приложений

• Next-gen Firewall


WSA

• Прокси-сервер

• Кеширование

• Сканирование Anti-Malware

• DLP

• Полная Web-безопасность

ASA CX

• Next-gen Firewall

• Inline

• Все порты/протоколы

• Базовая Web-безопасность


Лучшая в своем классе безопасность сети

Лучшая в своем классе web-защита на основе

облака


Script

PDF

Flash

Java

.exe

Несколько

сканеров

AV

Web-страница

«Чисты

й»

контент

Известные вредоносные программы заблокированы

Глубокий

анализ

контента

Виртуализован-

ная

эмуляция

скриптов

Структурное

изучение

контента

Да

Новые вредоносные программы

заблокированы

Web-контент

Контроль исходящего

трафика

Script-

сканирова

ние

Сканирование

репутации

PDF-

сканирова

ние

Flash-

сканирова

ние

Java-

сканирова

ние

Exe-

сканирова

ние


ЧТО

Классификация и контроль

web-трафика

Более 1000 приложений

Подробная классификация и

контроль поведений

микроприложений и


Более 75 000 микроприложений Контроль

пропускной

способности


Высокопроизводи-

тельные устройства

обеспечения ИБ

для ЦОД

Унификация систем защиты

физических и виртуальных

сред; тонки настройки

основанной на зонах политики

с учетом контекста

Распространение политик

Безопасная работа с приложениями

Поддержка Vmotion

Защищенная сегментация VM

Защищенная сегментация «облака»


Nexus 1000v

Cisco ASA и ASA 1000V

Сенсоры IPS

ЗАЩИЩЕННЫЕ

ЧАСТНЫЕ «ОБЛАКА» ЗАЩИЩЕННЫЕ

ОБЩЕДОСТУПНЫЕ «ОБЛАКА»

Cisco Virtual Security Gateway

ЗАЩИЩЕННЫЕ

ГИБРИДНЫЕ «ОБЛАКА»


Virtualization

Security

V-Motion (Memory)

V-Storage (VMDK)

VM Segmentation

Hypervisor Security

VM Sprawl

Patch Management

VM OS Hardening

Role Based Access

Physical Security

Virtual Security Gateway на

Nexus 1000V с vPath


Security Admin

Port Group

Service Admin

Virtual Network Management Center • Консоль управления VSG

• Запуск на одной из VMs

Virtual Security Gateway • Программный МСЭ

• Запускается на одной из VMs

• Сегментация и политики для всех VMs

Nexus 1000V with vPath • Распределенный virtual

switch

• Запускается как часть гипервизора

Физический сервер • UCS или

• Другой x86 server


• Согласованность традиционной и виртуальной безопасности

• Модель объединенной безопасности

Виртуальный шлюз безопасности Cisco Virtual Secure Gateway (VSG) для пользовательских защищенных зон

Cisco ASA 1000V для управления периметром пользовательской сети

• Прозрачная интеграция

С помощью коммутатора Cisco Nexus® 1000V и Cisco vPath

Пользователь Б Пользователь А

VDC Виртуальное

приложение vApp

Виртуальное

приложение vApp

Гипервизор

Cisco Nexus® 1000V

Cisco vPath

VDC

Центр управления виртуальными сетями Cisco®

(VNMC)

VMware vCenter

Cisco

VSG Cisco

VSG

Cisco

VSG

Cisco ASA

1000V

Cisco ASA

1000V

Cisco

VSG



• Набор лучших практик по построению надежной и защищенной сети

Дизайны и конфигурации

• 354 страницы

• Множество интерпретаций базового SAFE для различных технологий (ЦОД, UC, виртуализация) и отраслей (финансы, ТЭК и т.д.)



Принципы ИТ

• Модульность / поэтапность

• Снижение TCO

• Стандартизация / унификация

• Гибкость

• Надежность

• Поддержка новых проектов

• Адаптивность / автоматизация

• Масштабируемость

Принципы ИБ

• Безопасность как свойство, а не опция

• Цель – любое устройство, сегмент, приложение

• Эшелонированная оборона

• Независимость модулей

• Двойной контроль

• Интеграция в инфраструктуру

• Соответствие требованиям


Уровень Блок Агрегация функций

Отказоустойчивость и резервирование

Разделение функций

Лучшие в отрасли

Модуль


Data

Center Campus

WAN

Edge Branch

Internet

Edge

E-comm-

erce

Cisco

Teleworker

Virtual

User

Partner

Sites

Сервисы

Policy and

Device

Management

Решения по ИБ PCI

DLP

Threat Control

Сетевые устройства Routers

Servers

Switches

Identify

Monitor

Correlate

Harden

Isolate

Enforce

Видимость Контроль

Secured Mobility, Unified Communications, Network Virtualization

Network Foundation Protection

Устройства ИБ VPNs

Monitoring

Admission Control

Intrusion Prevention

Firewall

Email Filtering


Примечание! Отображена реализация не всех требований

Credit Card

Storage

(PCI 1,3,5,6,7)

Удаленная площадка Периметр Интернет

ISR (PCI 4)

Catalyst

ASA (PCI 1,4)

6500 FWSM

CS-MARS (PCI 10)

NAC

Главный офис

6500 Switch

WAP

E-commerce (PCI 1,3,5,6,7)

ASA (PCI 1,4)

7200

CSA MC (PCI 10,12)

WAP

POS Cash Register

(PCI 1,3,5,6,7)

Мобильный

POS POS сервер

(PCI 1,3,5,6,7)

ПК

магазинного

работника

(PCI 1,3,5,6,7)

Блок управления

ЦОД

ACS (PCI 2, 10,12)

WAP

Internet

Беспроводное устройство

CSM (PCI 10,12)

ASA

http://cgl.microsoft.com/clipgallerylive/packages/j008/j0082705.cil


• Рекомендованная защищенная архитектура для проводных и беспроводных применений

• Тестирование в реальном окружении, включая POS-терминалы, сервера приложений, беспроводные устройства, банкоматы и системы защиты

• Система управления конфигурацией, мониторингом и аутентификацией

Партнеры по «железу»: Validated Design

Small Retail Store

http://www.intermec.com/


Соответствующие PCI DSS 1.2 архитектуры в зависимости от масштаба предприятия

Детальный отчет по соответствию

Руководства по внедрению

Детальные конфигурации

Малая Средняя Крупная


Требование PCI 1.3.5

Рекомендации Cisco

Иллюстрации обеспечивают ясность

Пример конфигурации



• КТО будет строить?

• КАКОВА квалификация строителей?

• МОГУ ли я сам построить?

• А вы меня МОЖЕТЕ научить?

• СООТВЕТСТВУЕТ требованиям?

• КАК осуществляется контроль качества?

• КАК проверить правильность постройки?

• А ИПОТЕКА есть?

• А вы проводите ИССЛЕДОВАНИЯ новых материалов?

→ Развитая сеть партнеров

→ Partner Specialization

→ Cisco Validated Design

→ Cisco Learning Partners

→ Сертификация в ГСССЗИ

→ Cisco PSIRT

→ Cisco Architecture Review

→ Cisco Capital

→ Cisco SIO


• Сложность

• Операционные затраты

• Число уязвимостей

• Обучение специалистов

• Поддержка

• Эксплуатация и управление

• Мониторинг и устранение неисправностей

• Конфигурация и обновление

• Интеграция



Политика

Кто Что Как Где/откуда Когда

Анализ

угроз

Dynamic Updates Operations Center SensorBase

Внедрение на

уровне сети

Интегрированная

инфраструктура

Высокоскоростная

навесная защита

Облачные

вычисления


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco


Спасибо!

[email protected]

Technology

Архитектурный подход к обеспечению информационной безопасности современного предприятия