Upload
cisco-russia
View
193
Download
3
Embed Size (px)
Citation preview
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Решения Cisco по контролю и защите доступа в Интернет Позиционирование и сравнение Алексей Лукацкий Бизнес-консультант по безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Эксплоиты Кражи и шпионаж
Снижение продуктивности
Безопасность Web – ставки выше, чем когда-либо
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Web страницы содержат скрытые угрозы
• Flash • Java
• JPG
• Script
• .exe
• Etc.
Потенциальные угрозы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Черные и белые списки не помогают
• Технология «белых списков» подразумевает, что вы всегда знаете, какие сайты посещаете и планируете посещать А это разве так?
• Технология «черных списков» позволяет блокировать явно вредоносные сайты Что делать с легитимными, но зараженными сайтами? Что делать с сайтами, подгружающими контент с других ресурсов (возможно и из «черного списка»)?
• А еще есть сайты-однодневки и динамический DNS
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Современный Web-сайт выглядит так
cnn.com: 26 доменов 39 узлов 171 объект 557 соединений
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Сайты начинают решать множество задач – нужных и не очень
• Один сайт, много функций • Пример Facebook
Тонкий контроль функций Доступ к функциям ограничен определенному кругу пользователей Отдел маркетинга может публиковать сообщения, но не может играть в Candy Crush
• Микро-приложения и функции сайта должны контролироваться и блокироваться
• Как отличить приложения?
Blocked Status Posting
Blo
cked
A
dver
tisem
ents
Blocked Chat
Blocked Image Viewing
Blocked Facebook
Games
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
7 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Что может решить поставленную задачу?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Обеспечивает безопасность… …адресует продвинутые угрозы
Выберите правильное оружие для безопасности Web
Обеспечение защиты от продвинутых угроз (AMP &
CTA)
Требуется консолидация & ограничения бюджета
Масштабируемое расшифрование
HTTPS (SSL)
Использует имеющуюся
инфраструктуру (ISR, ASA)
Поддержка не-web приложений
Драйвера: URL filtering
AVC
Обеспечивает максимум безопасности Закрывает базовые потребности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Фильтрация контента следующего поколения История развития подходов к фильтрации
Фаза 1 L3/4
• Stateful Inspection • IP-адрес • Все порты
Фаза 2 UTM
• Идентификация пользователей • Приложения на уровне L7 • Вирусы/вредоносное ПО
Фаза 3 NGFW
• Понимание контекста • Кто, Что, Как, Где/Откуда • Продвинутые угрозы (APT)
Фаза 1 Категории
• Инспекция URL • IP-адреса • Порты Web Proxy
Фаза 2 Угрозы
• Идентификация пользователей • Контроль социальных сетей • Боты/Вредоносное ПО
Фаза 3 Масштаб
• Понимание контекста • Кто, Что, Как, Где/Откуда • Продвинутые угрозы (APT)
Кто: Идентификация/аутентификация Что: Приложения, категории URL, репутация Как: Устройства, ОС, User Agent Где: Локально, удаленно
МСЭ Web
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Отличия Cisco
§ Оптимальный набор
§ Гибкость развертывания благодаря разным форм-факторам
§ Интеграция в сеть
§ Построено для безопасности и управления
ASA с FirePOWER Services / Cisco FirePOWER Appliance
Cloud Web Security
Web Security Appliance (Physical & Virtual)
Cisco ISR с FirePOWER Services
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Когда предлагать Web Security Appliance (WSA)?
• Централизованным организациям нужна защита от продвинутых угроз с многоуровневой проверкой для web-трафика. Нужно поддерживать доступ к разрешенному контенту и контролировать посещение ненужных для работы сайтов.
• Ключевые требования Большое число пользователей в одном месте Сигнатурный антивирус Кеширование контента Контроль объема и времени использования Web Интеграция с корпоративными DLP через ICAP Большой процент HTTPS с необходимость его проверки
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Следующее поколение контентной фильтрации Cisco Web Security Appliance (WSA)
• Групповые политики: Создание групп пользователей и применение различных уровней доступа для различных групп пользователей
• Категории URL: Контроль доступа на базе категорий сайтов и их URL • Приложения: Гибкий контроль с помощью подсистемы AVC • Репутационные фильтры: Репутационные фильтры анализируют поведение и характеристики web-серверов
• Борьба с вредоносным кодом: Подсистемы Cisco IronPort DVS™, Webroot™, AMP и McAfee обеспечивают многоуровневую защиту от продвинутых угроз и вредоносного кода
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Когда предлагать Cloud Web Security (CWS)?
• Распределенные организации с большим числом удаленных работников. Необходимость защиты распределенного окружения и без необходимости больших затрат на поддержку. Инвестиции в Cisco, желание использовать используемые WAN-технологии Cisco
• Ключевые требования Большое число распределенных пользователей Пользователи AnyConnect для VPN Архитектура удаленных офисов на базе ISR/ASA Заказчики, позитивно относящиеся к облакам Большой % HTTPS с необходимостью его проверки
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Следующее поколение контентной фильтрации Cisco Cloud Web Security (CWS)
• Разгрузка сканирования контента и реализации политик за счет «облака» CWS – это полный Web-прокси, поддерживаемый Cisco
• Трафик посылается в ЦОД CWS для обработки, а затем ЦОД CWS подключается к запрошенному Web-сервису ЦОДы запускают множество уровней проверок политик, а также контентную фильтрация Web-запросов и ответов
• Контент фильтруется, включая сканирование от вредоносного ПО, до возврата данных пользователю
• Географически распределенное предложение облачных услуг • Использование коннекторов для прозрачного перенаправления трафика
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Когда предлагать Cisco FirePOWER?
• Смешанная популяция пользователей – удаленные и централизованные. Опасения относительно меняющих порты приложений, необходимость защиты инвестиций в существующую архитектуру с МСЭ
• Ключевые требования Поддержка известных или собственных протоколов (например, Skype) Пользователи AnyConnect для VPN Stateful Firewall / Базовая защита Web Установка «в разрыв» Функциональность IPS
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Следующее поколение контентной фильтрации Cisco FirePOWER Services / FirePOWER Appliance / FirePOWER for ISR
• Cisco FirePOWER Services запускаются на FirePOWER Appliances, на ASA 5500–X или на ISR 4k/G2
• FirePOWER Services имеют функции фильтрации контента Требует ‘Control License’ и ежегодную подписку на ‘URL filtering’
• Настраивается и управляется FireSIGHT Management Center (VM или Appliance) Мониторинг и управление множеством устройств
• Контроль любых приложений, включая поддержку собственных приложений, контроль входящего и исходящего трафика
• К приложениям могут быть применение пользовательские проверки, IPS или сканирование на предмет вредоносного кода
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Фильтрация Web - WSA/CWS & FirePOWER
• Фильтрация URL
• Репутация Web
• Web-приложения (Facebook, LinkedIn, Twitter и т.д.)
• Идентификация пользователей
• Действия с политиками: Allow/Warn/Block
• Предупреждение пользователей
• Продвинутая генерация отчетов
• AMP/Advanced Malware Protection
• Мониторинг трафика L4
• Кеширование (WSA)
• Ограничение полосы пропускания
• Сигнатурные антивирусы
• Расшифрование высокого % HTTPS
• Data Loss Prevention (WSA)
• Прозрачный / явный прокси (WSA)
• FTP & SOCKS Proxy (WSA)
• Мобильные пользователи (CWS)
• Расширенные функции Web-прокси
• SSO для приложений SaaS
• Inline Stateful Firewall
• Контроль не-web приложений (Skype, Oracle)
• Сетевые протоколы (SMTP, DNS, ICMP)
• Контроль доступа L3-7
• Сетевые возможности (NAT, Routing, VPN, TCP Intercept и т.д.)
• NGIPS (File Trajectory, IoC)
WSA / CWS ASA с FirePOWER
Корпоративный Web Proxy NGFW
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
WSA/CWS
Карта рынка МСЭ/ Web
Управление ИБ
Управлению сетью / ИТ
SMB Средний масштаб Крупные предприятия
ASA FirePOWER Services / ASAv
Размер/Сегмент
ISR / ASR
FirePOWER Appliances
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Что использовать?
Внедрение Inline Firewall Inline Firewall или только мониторинг
On Premise Redirect Transparent/Explicit Proxy
Redirect через ASA, ISR, WSA, AnyConnect, PAC
Высокая доступность A/S, A/A A/S, A/A, Clustering WCCP, L4 LB, CARP (VRRP) Cloud Towers
Фильтрация URL ü ü ü ü
Контроль приложений
L3/4 – Ports/Protocols (all)
L3/4 – Ports/Protocols (all) L7 – 3,000+ (AVC)
L3/4 - Ports (21, 80, 443) Protocols (HTTP/S, FTP)
L7 – 1,200+ (AVC)
L3/4 - Ports (80, 443) Protocols (HTTP/S) L7 – 1,200+ (AVC)
Защита от вредоносного
ПО û
AMP (Retrospective, File Trajectory,
Reputation, BTF)
AMP & SigAV (Retrospective, Reputation,
L4TM)
OI, Static Heuristic, AMP & SigAV
(Reputation, Content Analysis, CTA)
Отражение вторжений û ü û û
SSL-прокси û û ü ü VPN IPSec/SSL RA/S-S IPSec/SSL RA/S-S û û
Политики / Отчеты ASDM/CSM ASDM/CSM/FireSIGHT On-box/SMA/Adv Web
Reporting App ScanCenter/WIRe
Лицензии / Подписки
Perpetual or Premium 1Y / 3Y / 5Y
Based on ASA model 1Y / 3Y
Based on user count 1Y / 3Y / 5Y
Based on user count 1Y / 3Y / 5Y, Bandwidth and
ELA
ASAv Cloud Web Security WSA/WSAv ASA FirePOWER
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
20 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Детальное сравнение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Детальное сравнение Функции ASAv ASA
FirePOWER FirePOWER Appliance
WSA WSAv CWS
NGFW Base function IP Routing functionality ü ü ü û û
Firewall Functions ü ü ü û û VPN ü ü ü û û
Context Awareness û ü ü RM û Web Security û ü ü ü ü
IPS û ü ü û û Basic Connectivity & Proxy Functions Not Applicable Basic Support Basic Support Advanced Support Advanced Support
HTTP / Web 2.0 û û ü ü ü HTTPs - SSL Decrypt and Scan û û ü ü ü
URL/Web Categorization û ü ü ü ü Custom URL Category and Controls û ü ü ü ü
Web Reputation û ü ü ü ü SafeSearch û û û ü ü
Application Visibility and Control û ü ü ü ü Mobility Support - AnyConnect ü ü û ü ü
SaaS Controls û û û ü ü Caching û û û ü Connector*
Support non HTTP/HTTPS – Port Hopping ü ü ü û û IPV6 Support ü ü ü ü RM
SPDY/HTTP 2.0 û û û RM RM SOCKS û û û ü û
FTP Proxy û û û ü û Transparent Proxy û û û ü Connector*
Explicit Proxy û û û ü ü
HTTP Header Rewrite/Append/Delete û û û ü Customer egress in XFF; Custom Headers
HTTP URL Rewrite/Insert Custom Header û û û ü û Reverse Proxy û û û û û Volume Quota û û û ü ü
Time Quotas û û û ü ü Bandwidth Throttling û RM RM Media Apps û
Re-Auth/Upgrade Privileges û RM RM ü û De-Auth/Downgrade Privileges û RM RM ü ü
Connector* - See detailed presentation on connectors for CWS
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Детальное сравнение
Функции ASAv ASA FirePOWER
FirePOWER Appliance
WSA WSAv CWS
Compliance, Data Control, DLP Not Applicable Advanced Support Basic Support Basic DLP "On-Box" or integrated û û û ü RM
Adv DLP via ICAP û û û ü Connector* CIPA Compliance û û û ü ü
FIPS/FERC û ü û ü ü Security functions
Outbound Malware Scanning - AMP û ü ü û ü Inbound Malware Scanning - AMP û ü ü ü ü
Multi-Engine AV and Anti-Malware Scanning û û û ü ü CTA - Cognititve Threat Analytics û û û RM ü
ThreatGrid û RM RM RM RM Botnets CnC Traffic on non-Web Ports ü ü ü ü û
End User Identity & Auth Control Connector Dependent Auth Portal - Forms based ü ü RM RM ü
Local User Database ü û û û û LDAP Support ü ü ü ü ü SAML Support û û û ü iDP ü
TACACS OR TACACS+ ü ü û û Connector* RADIUS ü û û ü - Admin Connector*
SF Identity Agent û ü ü û û Multi-NTLM ü ü ü ü Connector*
Kerberos û û û ü Connector* ISE Integration û RM RM ü CDA
CDA ü û û ü Connector*
Connector* - See detailed presentation on connectors for CWS
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Детальное сравнение
Функции ASAv ASA FirePOWER
FirePOWER Appliance WSA(V) CWS
Reporting and Configuration Centralized Reporting ü ü ü ü ü
Centralized Configuration ü ü ü ü ü Role Based Administrative Controls ü ü ü ü ü
Extended 3rd party Support / Splunk ü ü ü ü ü Virtualized Form Factors ü û ü ü NA
High Availability ü ü ü ü ü In-Line ü ü ü û ü
Custom EUN’s û ü ü ü ü Custom EUN’s based on a template ü ü ü ü ü
GEO-IP Policy û ü ü û û IP Spoofing û û û ü û
Policy Routing RM RM û ü û NIC Redundancy ü ü ü û û
Service Scaling + Ease of Adding Capacity ü ü ü ü ü Hybrid Reporting û û û RM RM
Hybrid Management û û û RM RM Group Reporting û û û RM ü
Extended Time Range Reporting - 12 Month + û û û ü ü Advanced Reporting features * ü û û ü ü
Integration with FireSight / Defense Center RM ü ü RM û Search Ahead on search engine results û û û û ü
Delegated Admin ü ü û ü ü MultiTenant û û û û ü
Open API for Reporting ü ü ü RM û Open API for Configuration ü û û RM û
Connector* - See detailed presentation on connectors for CWS
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
24 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
В заключение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Решения Cisco по защите и контролю доступа в Интернет
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Благодарю за внимание