Решения Cisco по контролю и защите доступа в Интернет. Сравнение и позиционирование

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Решения Cisco по контролю и защите доступа в Интернет Позиционирование и сравнение Алексей Лукацкий Бизнес-консультант по безопасности


Эксплоиты Кражи и шпионаж

Снижение продуктивности

Безопасность Web – ставки выше, чем когда-либо


Web страницы содержат скрытые угрозы

•  Flash •  Java

•  JPG

•  PDF

•  Script

•  .exe

•  Etc.

Потенциальные угрозы


Черные и белые списки не помогают

•  Технология «белых списков» подразумевает, что вы всегда знаете, какие сайты посещаете и планируете посещать А это разве так?

•  Технология «черных списков» позволяет блокировать явно вредоносные сайты Что делать с легитимными, но зараженными сайтами? Что делать с сайтами, подгружающими контент с других ресурсов (возможно и из «черного списка»)?

•  А еще есть сайты-однодневки и динамический DNS


Современный Web-сайт выглядит так

cnn.com: 26 доменов 39 узлов 171 объект 557 соединений


Сайты начинают решать множество задач – нужных и не очень

•  Один сайт, много функций •  Пример Facebook

Тонкий контроль функций Доступ к функциям ограничен определенному кругу пользователей Отдел маркетинга может публиковать сообщения, но не может играть в Candy Crush

•  Микро-приложения и функции сайта должны контролироваться и блокироваться

•  Как отличить приложения?

Blocked Status Posting

Blo

cked

A

dver

tisem

ents

Blocked Chat

Blocked Image Viewing

Blocked Facebook

Games


7 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.

Что может решить поставленную задачу?


Обеспечивает безопасность… …адресует продвинутые угрозы

Выберите правильное оружие для безопасности Web

Обеспечение защиты от продвинутых угроз (AMP &

CTA)

Требуется консолидация & ограничения бюджета

Масштабируемое расшифрование

HTTPS (SSL)

Использует имеющуюся

инфраструктуру (ISR, ASA)

Поддержка не-web приложений

Драйвера: URL filtering

AVC

Обеспечивает максимум безопасности Закрывает базовые потребности


Фильтрация контента следующего поколения История развития подходов к фильтрации

Фаза 1 L3/4

• Stateful Inspection •  IP-адрес • Все порты

Фаза 2 UTM

• Идентификация пользователей • Приложения на уровне L7 • Вирусы/вредоносное ПО

Фаза 3 NGFW

• Понимание контекста • Кто, Что, Как, Где/Откуда • Продвинутые угрозы (APT)

Фаза 1 Категории

• Инспекция URL •  IP-адреса • Порты Web Proxy

Фаза 2 Угрозы

• Идентификация пользователей • Контроль социальных сетей • Боты/Вредоносное ПО

Фаза 3 Масштаб

• Понимание контекста • Кто, Что, Как, Где/Откуда • Продвинутые угрозы (APT)

Кто: Идентификация/аутентификация Что: Приложения, категории URL, репутация Как: Устройства, ОС, User Agent Где: Локально, удаленно

МСЭ Web


Отличия Cisco

§  Оптимальный набор

§  Гибкость развертывания благодаря разным форм-факторам

§  Интеграция в сеть

§  Построено для безопасности и управления

ASA с FirePOWER Services / Cisco FirePOWER Appliance

Cloud Web Security

Web Security Appliance (Physical & Virtual)

Cisco ISR с FirePOWER Services


Когда предлагать Web Security Appliance (WSA)?

•  Централизованным организациям нужна защита от продвинутых угроз с многоуровневой проверкой для web-трафика. Нужно поддерживать доступ к разрешенному контенту и контролировать посещение ненужных для работы сайтов.

•  Ключевые требования Большое число пользователей в одном месте Сигнатурный антивирус Кеширование контента Контроль объема и времени использования Web Интеграция с корпоративными DLP через ICAP Большой процент HTTPS с необходимость его проверки


Следующее поколение контентной фильтрации Cisco Web Security Appliance (WSA)

•  Групповые политики: Создание групп пользователей и применение различных уровней доступа для различных групп пользователей

•  Категории URL: Контроль доступа на базе категорий сайтов и их URL •  Приложения: Гибкий контроль с помощью подсистемы AVC •  Репутационные фильтры: Репутационные фильтры анализируют поведение и характеристики web-серверов

•  Борьба с вредоносным кодом: Подсистемы Cisco IronPort DVS™, Webroot™, AMP и McAfee обеспечивают многоуровневую защиту от продвинутых угроз и вредоносного кода


Когда предлагать Cloud Web Security (CWS)?

•  Распределенные организации с большим числом удаленных работников. Необходимость защиты распределенного окружения и без необходимости больших затрат на поддержку. Инвестиции в Cisco, желание использовать используемые WAN-технологии Cisco

•  Ключевые требования Большое число распределенных пользователей Пользователи AnyConnect для VPN Архитектура удаленных офисов на базе ISR/ASA Заказчики, позитивно относящиеся к облакам Большой % HTTPS с необходимостью его проверки


Следующее поколение контентной фильтрации Cisco Cloud Web Security (CWS)

•  Разгрузка сканирования контента и реализации политик за счет «облака» CWS – это полный Web-прокси, поддерживаемый Cisco

•  Трафик посылается в ЦОД CWS для обработки, а затем ЦОД CWS подключается к запрошенному Web-сервису ЦОДы запускают множество уровней проверок политик, а также контентную фильтрация Web-запросов и ответов

•  Контент фильтруется, включая сканирование от вредоносного ПО, до возврата данных пользователю

•  Географически распределенное предложение облачных услуг •  Использование коннекторов для прозрачного перенаправления трафика


Когда предлагать Cisco FirePOWER?

•  Смешанная популяция пользователей – удаленные и централизованные. Опасения относительно меняющих порты приложений, необходимость защиты инвестиций в существующую архитектуру с МСЭ

•  Ключевые требования Поддержка известных или собственных протоколов (например, Skype) Пользователи AnyConnect для VPN Stateful Firewall / Базовая защита Web Установка «в разрыв» Функциональность IPS


Следующее поколение контентной фильтрации Cisco FirePOWER Services / FirePOWER Appliance / FirePOWER for ISR

•  Cisco FirePOWER Services запускаются на FirePOWER Appliances, на ASA 5500–X или на ISR 4k/G2

•  FirePOWER Services имеют функции фильтрации контента Требует ‘Control License’ и ежегодную подписку на ‘URL filtering’

•  Настраивается и управляется FireSIGHT Management Center (VM или Appliance) Мониторинг и управление множеством устройств

•  Контроль любых приложений, включая поддержку собственных приложений, контроль входящего и исходящего трафика

•  К приложениям могут быть применение пользовательские проверки, IPS или сканирование на предмет вредоносного кода


Фильтрация Web - WSA/CWS & FirePOWER

•  Фильтрация URL

•  Репутация Web

•  Web-приложения (Facebook, LinkedIn, Twitter и т.д.)

•  Идентификация пользователей

•  Действия с политиками: Allow/Warn/Block

•  Предупреждение пользователей

•  Продвинутая генерация отчетов

•  AMP/Advanced Malware Protection

•  Мониторинг трафика L4

•  Кеширование (WSA)

•  Ограничение полосы пропускания

•  Сигнатурные антивирусы

•  Расшифрование высокого % HTTPS

•  Data Loss Prevention (WSA)

•  Прозрачный / явный прокси (WSA)

•  FTP & SOCKS Proxy (WSA)

•  Мобильные пользователи (CWS)

•  Расширенные функции Web-прокси

•  SSO для приложений SaaS

•  Inline Stateful Firewall

•  Контроль не-web приложений (Skype, Oracle)

•  Сетевые протоколы (SMTP, DNS, ICMP)

•  Контроль доступа L3-7

•  Сетевые возможности (NAT, Routing, VPN, TCP Intercept и т.д.)

•  NGIPS (File Trajectory, IoC)

WSA / CWS ASA с FirePOWER

Корпоративный Web Proxy NGFW


WSA/CWS

Карта рынка МСЭ/ Web

Управление ИБ

Управлению сетью / ИТ

SMB Средний масштаб Крупные предприятия

ASA FirePOWER Services / ASAv

Размер/Сегмент

ISR / ASR

FirePOWER Appliances


Что использовать?

Внедрение Inline Firewall Inline Firewall или только мониторинг

On Premise Redirect Transparent/Explicit Proxy

Redirect через ASA, ISR, WSA, AnyConnect, PAC

Высокая доступность A/S, A/A A/S, A/A, Clustering WCCP, L4 LB, CARP (VRRP) Cloud Towers

Фильтрация URL ü ü ü ü

Контроль приложений

L3/4 – Ports/Protocols (all)

L3/4 – Ports/Protocols (all) L7 – 3,000+ (AVC)

L3/4 - Ports (21, 80, 443) Protocols (HTTP/S, FTP)

L7 – 1,200+ (AVC)

L3/4 - Ports (80, 443) Protocols (HTTP/S) L7 – 1,200+ (AVC)

Защита от вредоносного

ПО û

AMP (Retrospective, File Trajectory,

Reputation, BTF)

AMP & SigAV (Retrospective, Reputation,

L4TM)

OI, Static Heuristic, AMP & SigAV

(Reputation, Content Analysis, CTA)

Отражение вторжений û ü û û

SSL-прокси û û ü ü VPN IPSec/SSL RA/S-S IPSec/SSL RA/S-S û û

Политики / Отчеты ASDM/CSM ASDM/CSM/FireSIGHT On-box/SMA/Adv Web

Reporting App ScanCenter/WIRe

Лицензии / Подписки

Perpetual or Premium 1Y / 3Y / 5Y

Based on ASA model 1Y / 3Y

Based on user count 1Y / 3Y / 5Y

Based on user count 1Y / 3Y / 5Y, Bandwidth and

ELA

ASAv Cloud Web Security WSA/WSAv ASA FirePOWER



Детальное сравнение


Детальное сравнение Функции ASAv ASA

FirePOWER FirePOWER Appliance

WSA WSAv CWS

NGFW Base function IP Routing functionality ü ü ü û û

Firewall Functions ü ü ü û û VPN ü ü ü û û

Context Awareness û ü ü RM û Web Security û ü ü ü ü

IPS û ü ü û û Basic Connectivity & Proxy Functions Not Applicable Basic Support Basic Support Advanced Support Advanced Support

HTTP / Web 2.0 û û ü ü ü HTTPs - SSL Decrypt and Scan û û ü ü ü

URL/Web Categorization û ü ü ü ü Custom URL Category and Controls û ü ü ü ü

Web Reputation û ü ü ü ü SafeSearch û û û ü ü

Application Visibility and Control û ü ü ü ü Mobility Support - AnyConnect ü ü û ü ü

SaaS Controls û û û ü ü Caching û û û ü Connector*

Support non HTTP/HTTPS – Port Hopping ü ü ü û û IPV6 Support ü ü ü ü RM

SPDY/HTTP 2.0 û û û RM RM SOCKS û û û ü û

FTP Proxy û û û ü û Transparent Proxy û û û ü Connector*

Explicit Proxy û û û ü ü

HTTP Header Rewrite/Append/Delete û û û ü Customer egress in XFF; Custom Headers

HTTP URL Rewrite/Insert Custom Header û û û ü û Reverse Proxy û û û û û Volume Quota û û û ü ü

Time Quotas û û û ü ü Bandwidth Throttling û RM RM Media Apps û

Re-Auth/Upgrade Privileges û RM RM ü û De-Auth/Downgrade Privileges û RM RM ü ü

Connector* - See detailed presentation on connectors for CWS



Функции ASAv ASA FirePOWER

FirePOWER Appliance

WSA WSAv CWS

Compliance, Data Control, DLP Not Applicable Advanced Support Basic Support Basic DLP "On-Box" or integrated û û û ü RM

Adv DLP via ICAP û û û ü Connector* CIPA Compliance û û û ü ü

FIPS/FERC û ü û ü ü Security functions

Outbound Malware Scanning - AMP û ü ü û ü Inbound Malware Scanning - AMP û ü ü ü ü

Multi-Engine AV and Anti-Malware Scanning û û û ü ü CTA - Cognititve Threat Analytics û û û RM ü

ThreatGrid û RM RM RM RM Botnets CnC Traffic on non-Web Ports ü ü ü ü û

End User Identity & Auth Control Connector Dependent Auth Portal - Forms based ü ü RM RM ü

Local User Database ü û û û û LDAP Support ü ü ü ü ü SAML Support û û û ü iDP ü

TACACS OR TACACS+ ü ü û û Connector* RADIUS ü û û ü - Admin Connector*

SF Identity Agent û ü ü û û Multi-NTLM ü ü ü ü Connector*

Kerberos û û û ü Connector* ISE Integration û RM RM ü CDA

CDA ü û û ü Connector*




Функции ASAv ASA FirePOWER

FirePOWER Appliance WSA(V) CWS

Reporting and Configuration Centralized Reporting ü ü ü ü ü

Centralized Configuration ü ü ü ü ü Role Based Administrative Controls ü ü ü ü ü

Extended 3rd party Support / Splunk ü ü ü ü ü Virtualized Form Factors ü û ü ü NA

High Availability ü ü ü ü ü In-Line ü ü ü û ü

Custom EUN’s û ü ü ü ü Custom EUN’s based on a template ü ü ü ü ü

GEO-IP Policy û ü ü û û IP Spoofing û û û ü û

Policy Routing RM RM û ü û NIC Redundancy ü ü ü û û

Service Scaling + Ease of Adding Capacity ü ü ü ü ü Hybrid Reporting û û û RM RM

Hybrid Management û û û RM RM Group Reporting û û û RM ü

Extended Time Range Reporting - 12 Month + û û û ü ü Advanced Reporting features * ü û û ü ü

Integration with FireSight / Defense Center RM ü ü RM û Search Ahead on search engine results û û û û ü

Delegated Admin ü ü û ü ü MultiTenant û û û û ü

Open API for Reporting ü ü ü RM û Open API for Configuration ü û û RM û




В заключение


Решения Cisco по защите и контролю доступа в Интернет


Пишите на [email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/


Благодарю за внимание

Technology

Решения Cisco по контролю и защите доступа в Интернет. Сравнение и позиционирование