Проблема защиты информации в современном ЦОДе. Способы ее решения

1 C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.

ТЕНДЕНЦИИ ЦОД

ОБЛАЧНЫЕ

СРЕДЫ

ОБЛАЧНЫЕ

СРЕДЫ ВИРТУАЛИЗАЦИЯ ВИРТУАЛИЗАЦИЯ

СООТВЕТСТВИЕ

ТРЕБОВАНИЯМ

СООТВЕТСТВИЕ

ТРЕБОВАНИЯМ

C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 3

Давление со всех сторон

Глобальная

доступность

Использование

ресурсов

Защита

окружающей

среды

Соответствие

нормативным

требованиям

Оптимизация

эксплуатации

ЦОД Гибкость

сервисов

Быстрое

выделение

ресурсов

Производительность

приложений

Доступ

к сервисам

Совместно

работающие

приложения Пользователи

Внутренние

пользователи

Мобильные


Атакующие

Внешние



Виртуализация Облачная среда

Традиционный

центр обработки

данных

Виртуализованный

центр

обработки данных

(VDC)

Виртуализо-

ванные

настольные

системы

Внутренние, частные

облачные среды

Виртуальные частные

облачные среды (VPC)

Общедоступные

облачные среды

ВЫ

НАХОДИТЕСЬ

ЗДЕСЬ

?

Консолидация ресурсов

Виртуализация среды

Автоматизация предоставления

услуг

Стандартизация операций


• Сегментация физических и виртуальных ресурсов

• Виртуализация и различные гипервизоры

• Защита в сетях хранения данных

• Контроль приложений

• Утечки данных

• Соответствие требованиям

• Доступность и обеспечение бесперебойного функционирования

• Переход к облачным вычислениям


• Потребности бизнеса

Какие операции хочет осуществлять ваша организация с сетью?

• Анализ риска

Каково соотношение риска и затрат?

• Политика безопасности

Каковы политические правила, стандарты и рекомендации по удовлетворению потребностей бизнеса и снижению риска?

• Лучший отраслевой практический опыт

Каковы надежные, хорошо понятные и рекомендуемые лучшие практические приемы обеспечения безопасности?

• Операции обеспечения безопасности

Реакция на инциденты, мониторинг, сопровождение и аудит соответствия системы.

Технологии

безопасности

Операции безопасности Разрешение инцидентов, мониторинг

и сопровождение, проверки соответствия

Лучший

отраслевой

опыт

Нужды

бизнеса Анализ

риска

Политика безопасности Политические правила, принципы,

стандарты


• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака


СЕТЬ СЕТЬ

Видимость всего трафика

Маршрутизация всех запросов Источники всех данных

Контроль всех потоков

Управление всеми устройствами

Контроль всех пользователей

Контроль всех потоков


Интегрированная

архитектура ИБ

Локальный и

глобальный анализ

угроз

Общие политика

&

Управление

Сеть,

реализующая

политику

Многофункциона-

льное устройство

Анализ угроз

Политика &

Управление

Hardware

Сеть

Одноцелевое

устройство

Network

Security

Content

Security

Ана-

лиз

угроз

Policy

&

Mgmt

HW

Ана-

лиз

угроз

Policy

&

Mgmt

HW

Сеть

Архитектура Cisco обеспечивает:

• Понимание контекста

• Всесторонний обзор

• Масштабируемый контроль

• Динамическая адаптация к новым угрозам

• Защита данных и приложений


Архитектурный подход для…

Профессиональные сервисы, Соответствие, CVD

Cisco Intelligent Network

Общие политика и управление Общие политика и управление

Глобальный и локальный анализ угроз

Облако

Защита перехода к

виртуализации и облакам

BYOD

Защищенный доступ для

распределенного рабочего

места

Коммутаторы Устройства Wi-Fi Виртуалка Маршрутизаторы Частное облако

Интегрированная защита от угроз

Email МСЭ Web VPN Политика IPS

Сеть, реализующая политику

Взаимодействие

Защищенные приложения,

контент и трафик


Device

Location

Access Method

Hygiene

Reputation

Direction

Telemetry

Trustworthiness


C I2 I4 A

ЛОКАЛЬНО

Бизнес Контекст

Кто

Что

Как

Откуда

Когда

Внутри ВАШЕЙ сети

ГЛОБАЛЬНО

Ситуационный

анализ угроз

Снаружи ВАШЕЙ сети

Репутация

Взаимо-

действия

APP Приложения

URL Сайты


Динамический контекст Абстрагированная политика

Бизнес-политика

Ресурсы и требования

X X

Распределенное

применение

Пользователи и

устройства

Распределенный

движок политик


Обзор Контроль

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 Cisco SIO

1.6M ГЛОБАЛЬНЫХ СЕНСОРОВ

75TB ДАННЫХ ЕЖЕДНЕВНО

150M+ УСТАНОВЛЕННЫХ ENDPOINT

35% МИРОВОГО EMAIL ТРАФИКА

13B WEB-ЗАПРОСОВ

WWW

Email Web Устройства

IPS Endpoints Сети

24x7x365 ОПЕРАЦИИ

40+ ЯЗЫКОВ

600+ ИНЖЕНЕРОВ И ИССЛЕДОВАТЕЛЕЙ

80+ PH.D.S, CCIE, CISSP, MSCE

$100M+ ТРАТИТСЯ НА ИССЛЕДОВАНИЯ И

РАЗРАБОТКИ

От 3 до 5 МИНУТ ИНТЕРВАЛ МЕЖДУ

ОБНОВЛЕНИЯМИ

5,500+ IPS СИГНАТУР ВЫПУЩЕНО

8M+ ПРАВИЛ В ДЕНЬ

200+ ПАРАМЕТРОВ ОТСЛЕЖИВАЕТСЯ

70+ ПУБЛИКАЦИЙ ВЫПУЩЕНО

Облачный глобальный анализ угроз

Инф

орм

ац

ия

Дей

ств

ия

WWW

ESA ASA WSA

AnyConnect CWS IPS


Защищенный

унифицирован-

ный доступ

Интегрирован-

ная защита от

угроз


центр

обработки

данных

Использование

разрешенных

приложений &

контента


рабочее место &

BYOD


рабочее место &

BYOD

Расширенный

периметр & новые

угрозы

Расширенный

периметр & новые

угрозы

Применение новых

средств

взаимодействия

Применение новых

средств

взаимодействия

Переход к

виртуализации &

облакам

Переход к

виртуализации &

облакам

• Защищенная динамическая сегментация

• Встроенная защита от угроз

• Обзор через «физику», виртуалку и

облака

• Гибкие идентификация и контроль

приложений

• Внедрение в облаке и в локальной

инфраструктуре

• Federated identity (SAML)

• Гибкие опции внедрения

• Учет состояния / политики

• Понимание глобального /

локального контекста

• Идентификация всех устройств

• Контекстный доступ

• Унифицированный wired/wireless/VPN

доступ

Бизнес-контекст Бизнес-контекст Бизнес-контекст

УП

РА

ВЛ

ЕН

ИЕ

Вычисления В

ы

ч

и

с

л

е

н

и

я С

е

т

ь

Х

р

а

н

е

н

и

е

Сеть Хранение Управление УНИФИЦИРОВАННЫЙ

ЦЕНТР ОБРАБОТКИ

ДАННЫХ

БЕЗОПАСНОСТЬ Сегментация Защита от угроз Прозрачность

АПРОБИРОВАННАЯ

АРХИТЕКТУРА

Data Center Security CVD

Виртуальный мультисервисный центр обработки данных

Физическая | Виртуальная | Облачная среда


Сегментация

• Установление границ: сеть, вычисления, виртуальные ресурсы

• Реализация политики по функциям, устройствам, организациям

• Контроль доступа к сетям, ресурсам. приложениям

Защита от угроз

• Блокирование внутренних и внешних атак

• Контроль границ зоны и периметра

• Доступ к управляющей информации и ее

использование

Прозрачность

• Обеспечение прозрачности использования

• Применение бизнес-контекста к работе сети

• Упрощение отчетности по операциям и соответствию

нормативным требованиям


• Одно приложение на сервер

• Статическая

• Выделение ресурсов вручную

• Множество приложений на сервер

• Мобильная

• Динамическое выделение

ресурсов

• Множество пользователей на

сервер

• Адаптивная

• Автоматическое масштабирование

ГИПЕРВИЗОР ГИПЕРВИЗОР VDC-1 VDC-2

НАГРУЗКА В

ФИЗИЧЕСКОЙ

СРЕДЕ

НАГРУЗКА В

ВИРТУАЛЬНОЙ

СРЕДЕ

НАГРУЗКА

В ОБЛАЧНОЙ

СРЕДЕ

Cisco Nexus® 1000V, Nexus 1010, VM-FEX

UCS для виртуализованных сред

NetApp, EMC

Сеть

Вычисления

Хранение

Cisco Nexus 7K/6K/5K/4K/3K/2K

Cisco UCS для оборудования без

установленного ПО

EMC, NetApp

Мультиконтекстное устройство ASA, ASA 1000V,

виртуальное устройство WSA/ESA

VSG

Периметр

Зона

Cisco ASA5585, ASA-SM, IPS4500,

WSA

---

Проекты Data Center Security CVD Виртуальный мультисервисный центр

обработки данных (VMDC)


Сегментация с помощью

матрицы коммутации

UCS Fabric Interconnect

Сегментация сети Физическая среда

Виртуальная среда (VLAN, VRF)

Виртуализованная среда (зоны)

Сегментация с помощью

межсетевого экрана Динамический

аварийный/рефлективный список ACL

Мультиконтекстная

сеть VPN

Сегментация с учетом

контекста Метки для групп безопасности (SGT)

Протокол безопасной передачи (SXP)

ACL-списки для групп безопасности

TrustSec

Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем.


Фи

зи

чес

ка

я с

ре

да

Cisco® ASA 5585-X

Модуль ASA SM для

Cisco Catalyst 6500

• Проверка всего трафика центра обработки данных в

устройстве обеспечения безопасности периметра сети

• Высокая скорость для всех сервисов, включая всю систему

предотвращения вторжений (IPS), благодаря единой среде

передачи данных между зонами доверия

• Разделение внешних и внутренних объектов сети (трафик

«север-юг»)

Трафик «север - юг». Проверка всего входящего и

исходящего трафика центра обработки данных

Ви

ртуа

ль

на

я /

мн

ого

по

ль

зов

ате

ль

ска

я

ср

ед

а Виртуальный межсетевой экран ASA 1000V контролирует

границы сети

Виртуальный шлюз безопасности (VSG) контролирует зоны Виртуальный шлюз

безопасности Cisco

(VSG)

Cisco ASA 1000V Виртуальный

межсетевой экран

Трафик «восток-запад». Создание безопасных зон доверия

между приложениями и пользователями в центре обработки

данных

• Разделение пользователей в многопользовательских средах

• Разделяет приложения или виртуальные машины у одного

пользователя



Динамический контент

Пользователи и

устройства

Ресурсы и запросы

Маркировка трафика данными о контексте в рамках единой политики (устройство, группа, роль), невосприимчивая к изменениям сети

Несвязанная политика

Бизнес-политика

X X

Распределенная

реализация

Метка групп безопасности МЕТКА МЕТКА



Идентификация Классификация Назначение Распространение

Идентификатор:

Пользователь, устройство

Роль: Кадровая служба

компании

Метка: SGT 5 Совместное использование:

сетевые переходы

Приложения, данные и

сервисы

Отсутствие привязки политики, в результате чего определение отделяется от реализации

Классификация объектов: системы и пользователи

Контекст: роль системы или роль пользователя, устройство, местоположение и метод доступа

Распространение классификации на основе контекста с использованием меток групп безопасности

Межсетевые экраны, маршрутизаторы и коммутаторы используют метки групп в интеллектуальной политике

Коммутатор Маршрутизатор Межсетевой

экран ЦОД Коммутатор ЦОД Серверы



• Контроль доступа основанный на Группах Безопасности позволяет:

Сохранять существующий логический дизайн на уровне доступа

Изменять / применять политику для соответствия текущим бизнес-требованиями

Распределять политику с центрального сервера управления

SGACL

802.1X/MAB/Web Auth.

Финансы(SGT=10)

Кадры(SGT=11)

Я контрактор

Моя группа ИТ

Контрактор

& ИТ

SGT = 5

SGT = 100



Защита

Недовольные сотрудники

- Устройство обеспечения безопасности IPS 4500

- Контроль приложений Cisco® ASA CX

Хакеры

Киберпреступники

Организованная преступность

Защита компаний от внешних и внутренних угроз


Cisco IPS 4500 Защита для критически важных центров

обработки данных • Обеспечивает аппаратное ускорение проверки,

производительность, соответствующую реальным условиям

эксплуатации, высокую плотность портов и энергоэффективность в

расширяемом шасси

• Обеспечивает защиту от внешних и внутренних атак

Cisco ASA CX Межсетевой экран с учетом приложений и

контекста • Обеспечивает проверку с аппаратным ускорением,

производительность, соответствующую реальным условиям

эксплуатации, высокую плотность портов и энергоэффективность в

расширяемом шасси

• Обеспечивает защиту от внешних и внутренних атак



Управление и

отчетность • Cisco® Security Manager (SM)

• Центр управления виртуальными

сетями Cisco (VNMC)

Сбор информации • Cisco NetFlow

Координация политик • Cisco Identity Services Engine (ISE)

• Маркировка для групп безопасности Cisco TrustSec (SGT)

Поддержание соответствия нормативным требованиям и получение информации об операциях центра обработки данных


БEЗОПАСНОСТЬ

СЕТЬ ВЫЧИСЛЕНИЯ

БEЗОПАСНОСТЬ

СЕТЬ ВЫЧИСЛЕНИЯ

Атрибуты виртуальной машины Профили


Профили портов

vCenter vCenter Администратор

сервера

Администратор

сервера

vCenter Администратор

сервера

N1KV N1KV Администратор

сети


сети

N1KV Администратор

сети

CSM CSM Администратор




CSM Администратор


VNMC VNMC Администратор




VNMC Администратор


Физическая среда Виртуальная среда

NetFlow NetFlow Администратор

сети


сети

NetFlow Администратор

сети

Cisco® NetFlow



Испытано в лаборатории и утверждено архитектором.

Интернет-

периметр

РАСПРЕДЕЛЕНИЕ Сеть

хранения ASA 5585-

X

ASA 5585-

X

VDC Nexus 7018 Nexus 7018

ЯДРО

Nexus

серии

7000

Nexus

серии

5000

Nexus

серии

2100

Зона

Унифицированная

вычислительная

система

Nexus

1000V VSG

Многозонная

структура

Catalyst

6500 СЕРВИСЫ

VS

S

VS

S

Межсетевой

экран ACE

Модуль

анализа сети

(NAM)

Система

предотвращения

вторжений (IPS)

VS

S

VS

S VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC

Физический центр

обработки данных Безопасность,

апробированные

архитектуры Cisco (CVD)

Виртуальный центр

обработки данных Виртуализованный

мультисервисный центр

обработки данных (VMDC)

Проверено. Совместимость | Масштабируемость | Надежность



ТК22 ТК122 ТК362 РГ ЦБ

«Безопасность

ИТ» (ISO SC27 в

России)

«Защита

информации в

кредитных

учреждениях»

«Защита

информации»

при ФСТЭК

Разработка рекомендаций по ПДн,

СТО БР ИББС v4 и 382-П/2831-У

ФСБ МКС ФСТЭК РАЭК РКН

Экспертиза

документов Предложения

Экспертиза и

разработка

документов

Экспертиза и

разработка

документов

Консультативный

совет


Общие требования

Общие требования Конкретные

требования Конкретные требования


• №21 от 18.02.2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

• Отменяет Приказ ФСТЭК от 05.02.2010 №58

• Меры по защите ПДн в ГИС принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС


• №17 от 12.02.2013 «О защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

• Все новые и модернизируемые системы должны создаваться по новому приказу, а не по СТР-К

Старые системы «живут» по СТР-К

• Меры по защите ПДн в ГИС принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС


• Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям


Содержание мер УЗ4 УЗ3 УЗ2 УЗ1

ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в

виртуальной инфраструктуре, в том числе администраторов управления средствами

виртуализации

+ + + +

ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной

инфраструктуре, в том числе внутри виртуальных машин + + + +

ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре + + + ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная

передача) потоками информации между компонентами виртуальной инфраструктуры, а

также по периметру виртуальной инфраструктуры

ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера),

серверов управления виртуализацией

ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на

них данных + +

ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций + + ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного

обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной

инфраструктуры

+ +

ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре + + + ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной

инфраструктуры) для обработки персональных данных отдельным пользователем и

(или) группой пользователей

+ + +


550+ ФСБ НДВ 28 112

Сертификатов

ФСТЭК на

продукцию Cisco

Сертифицировала

решения Cisco

(совместно с С-

Терра СиЭсПи)

Отсутствуют в

ряде

продуктовых

линеек Cisco

Линеек

продукции

Cisco прошли

сертификацию

по схеме

«серийное

производство»

Продуктовых

линеек Cisco

сертифицированы

во ФСТЭК


• Многофункциональные защитные устройства

Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X

Cisco ASA 5585-X – уже сертифицирован

• Системы предотвращения вторжений

Cisco IPS 4345, 4360, 4510, 4520

Cisco IPS for АСУ ТП

• Межсетевые экраны

Cisco ASA 1000v

Cisco ASA SM

Cisco ASA CX

Cisco VSG

• Системы сегментации

Cisco Interconnect / Cisco Nexus 1000V / Cisco Nexus 3K/4K/5K/6K




CSM NetFlow VNMC ISE


ASA 5585-X ASA 1000V VSG Nexus 1000V TrustSec


IPS4500 ASA CX WSA

УНИФИЦИРОВАННЫЙ

ЦЕНТР ОБРАБОТКИ

ДАННЫХ

БЕЗОПАСНОСТЬ

АПРОБИРОВАННАЯ

АРХИТЕКТУРА

Средний

уровень Высокий

уровень

Низкий

уровень Текущие возможности


Интернет-

периметр

РАСПРЕДЕЛЕНИЕ

Сеть

хранения ASA 5585-X ASA 5585-X

VDC Nexus 7018 Nexus 7018

ЯДРО

= вычисления

= сеть

= безопасность

Nexus

серии

7000

Nexus

серии

5000

Nexus

серии

2100

Зона

Унифицированная

вычислительная

система

Nexus

1000V VSG

Многозонная

структура

Catalyst

6500 СЕРВИСЫ

VSS VSS

Межсетевой

экран ACE

Модуль

анализа сети

(NAM)

Система

предотвращения

вторжений (IPS)

VSS VSS VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC VPC

Серверная стойка 10G Серверная стойка 10 G Унифицированные

вычисления Унифицированный доступ

Формирование доверительных отношений

Защищенная инфраструктура распределенных сетевых сервисов

Защищенные подключения и доступ

Защищенное увеличение емкости

Защищенный доступ для пользователей, работающих в офисе, и мобильных пользователей

Защищенные приложения на распределенной платформе


Подтверждение соответствия нормативным требованиям

Безопасное расширение в среды XaaS

SaaS

IaaS

PaaS


доступ

Филиал

Мобильные


Внутренние


Защищенное

подключение

42


Структура и технологии ЦОД меняются

Эти изменения сильно сказываются

на системе обеспечения безопасности

Cisco располагает долговременной стратегией

создания защищенных ЦОД без границ

Сосредоточьтесь на развитии своего бизнеса, а

Cisco поможет построить ЦОД, удовлетворяющий

потребностям вашей компании

1

2

3


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blog.cisco.ru/

http://blogs.cisco.ru/

Благодарим за

внимание!

[email protected]

Technology

Проблема защиты информации в современном ЦОДе. Способы ее решения