Upload
cisco-russia
View
169
Download
3
Embed Size (px)
Citation preview
Безопасность
AnyConnect, NVM и AMP
Василий ТомилинИнженер-консультант
16 ноября 2016 г.
Недостаток квалифицированных специалистов в сфере безопасности
Для многих средств требуетсябольше ресурсов, чем
имеется для выполнения работы
50% компьютеров —мобильные
70% офисов — удаленныеБольшинство мобильных и удаленных
сотрудников не всегда включают VPN, большинство филиалов не обеспечивают обратный транзит трафика, а большая часть новых
оконечных устройств только обнаруживают угрозы
70-90% вредоносного ПО уникально для каждой
организацииСредства на основе сигнатур, реактивный интеллектуальный
анализ угроз и отдельное применение политик безопасности
не могут опередить атаки
Общие проблемы безопасности
3 подхода к защите мобильных пользователей
может требовать дополнительной экспертизы и
ресурсов
Обнаруживать IOCи аномалии в системной
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может потребовать от пользователей изменения поведения и может быть сложным во внедрении
Изолировать приложенияи данные
в гипервизоре/контейнерах
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по
любому порту, протоколу или приложению
Предотвращать соединения в Интернет-
активности
0 1 0 1 1 1 1 0 1 1 1
0
1 1 0 0 1 1 0 0 0 0 1
1
1 0 1 1 1 0 1 0 0 0 0
1
0 0 0 1 1 0 0 0 0 0 1
0
0 1 0 0 0 0 1 0 0 1 0
0
Необходимость доступа любых устройств из любой точки мира
Больше разных пользователей
Работа из большего количества мест
Использование большего количества устройств
Доступ к большему количеству различных приложений и передача важных данных
Местопо-ложение
Приложение
Устройство
С помощью любого приложения, к любым важным данным, для любого пользователя
Решение Cisco AnyConnect Secure Mobility Solution
Широкая поддержка платформ
• Apple IOS, Android, Blackberry, Windows Phone, Windows 7/8/10, MAC, Linux, ChromeOS
• Работа через клиента и через браузер
Постоянное подключение
• постоянно активное подключение, • выбор оптимального шлюза, • автоматическое восстановление подключения
Унифицированная безопасность и модульность
• Идентификация пользователей и устройств• Проверка соответствия• Интегрированная веб-безопасность• Интеграция с защитой от вредоносного кода• Поддержка VDI
Корпоративныйофис
Безопасный, ПостоянныйДоступ
ASA
Wired Wi-Fi
мобильнаяили Wi-Fi
Мобильный сотрудникДомашнийофис
Филиал
Поддерживаемые платформыУстройства пользователей и инфраструктура
ИнфраструктураКлиенты
Microsoft Windows Mac OS X Linux
Настольное устройство
Мобильные средства связиApple iOS
iPhone и iPad
• HTC• Motorola• Samsung• Версия 4.0 и
более поздние
• HTC• Lenovo• Motorola• Samsung• Версия 4.0 и
более поздние
Бесклиентскиеподключения
BlackBerry
+
AndroidСмартфоны Планшетные
компьютеры
Управление
ASDM CSMCLI
Защищенные соединения
Cisco ISR*
Cisco®
ASA
Cisco ASR*
Коммутаторы IEEE 802.1x
Интернет-безопасность
Cisco WSA
Cisco ISE
Идентификация и политика+
Cisco NAC
Cisco AnyConnectдля web-защитына основе облака
Windows Phone
IPSec, SSL VPN
802.1X
MACSec
Cisco AnyConnect для VPN-доступа
• Клиент полного туннелирования IPsec/SSL VPN• Постоянное подключение и высочайшее удобство работы
пользователей• Управление доступом в сеть• Оценка состояния настольных систем и мобильных устройств• Широкая поддержка платформ ОС настольных систем и
мобильных устройств
• Детализированный контроль доступа• Предоставление пользователям определенных ресурсов• Защищенное хранилище• Широкая поддержка браузеров и приложений
Клиент Cisco AnyConnect Secure Mobility
Портал бесклиентских VPN-подключений по протоколу SSL
Клиент AnyConnect -постоянное подключение
Автоматическое переподключение между сетями Wi-Fi, 3G и разрывах связи
Повторная аутентификация не требуется
Таймер максимальной продолжительности сеанса
Off Premises
Выбор оптимального шлюза
Подключение к наиболее оптимальному головному устройству
Время = 225 мсВремя = 223 мсВремя = 224 мс
Время = 110 мсВремя = 127 мсВремя = 125 мс
Время = 73 мсВремя = 75 мсВремя = 76 мс
МоскваВладивосток
СПб
Пороговое значение времени приостановки (часы)
Пороговое значение повышения производительности (%)
Параметры профиля:
Астана
Поддержка публикации:
• Внутренних веб-сайтов
• Веб-ориентированных приложений
• Файловых ресурсов NT/Active Directory
• Почтовых ресурсов POP3S, IMAP4S, and SMTPS. Microsoft Outlook Web Access Exchange Server 2000, 2003, and 2007, 2010.
• Поддержка плагинов для RDP, VNC SSH (Java/ActiveX)
• Подключение любых TCP-ориентированных приложений c технологией SmartTunnel на совместимых платформах
Безклиентский доступ по SSL
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-compatibility.html
AnyConnect – больше чем просто VPN
SSL / DTLS VPNIPsec VPN
Оценка состояния
(HostScan/ISE)
Cloud Web Security/OpenDNS
L2 саппликант
(Win Only)
Коммутаторы и контроллеры
WLC
ASA WSAISE/ACS Cloud Web Security + AMP
Центральные устройства
ASR/CSR
ISR
Базовый VPN Расширенный VPN Другие сервисы
Модуль сетевой
видимостиAMP
Enabler
Обеспечение интернет-безопасности с помощью Cisco WSA
Новости
Эл. почта
Социальные сети
Корпоративное ПОкак услуга (SaaS)
Устройство корпоративного доступаПользователи
вне сети
Пользователь проходит
аутентификацию
Устройство web-защиты Cisco
Устройство корпоративного
доступа
Cisco®
ASA
Идентификационные данные пользователя
WCCP
Доверенная сетьНедоверенная сеть
Клиент Cisco AnyConnect™Secure Mobility
Интернет-коммуникации
Внутренние коммуникации
Обеспечение интернет-безопасности с помощью решения Cisco Cloud Web Security/OpenDNS Umbrella
Cisco AnyConnect для web-защиты на основе облака
Cisco AnyConnectИнтернет-безопасность для Cisco Cloud Web Security
• Облачная служба — постоянно функционирует и всегда защищена
• Предоставляет политики допустимого использования;
защиту от угроз со стороны вредоносного ПО;
возможности управления использованием приложений;
возможность выбора пользователем систем защиты во время поездок (исключаются проблемы с языком).
• Может использоваться вместе с устройством обеспечения безопаснсти web-трафикаCisco® или отдельно.
Cisco AnyConnect для web-защиты на основе облака
Cisco Network Access Manager – управление проводным и беспроводным подключением
• Управление корпоративными подключениями
• Проводное (802.3) и беспроводное (802.11) подключение с помощью одной структуры аутентификации
• Аутентификация пользователей и устройств уровня 2:
–Продвинутый саппликант 802.1X, 802.1X-REV
–802.1AE (MACsec: проводное шифрование)
–Поддержка нескольких типов EAP
–802.11i (сеть с повышенной безопасностью)
• Поддержка конфигураций сети для администратора (офис) и пользователя (дом)
Локализация
• Cisco AnyConnect™ GUI и инсталлятор поддерживают локализацию на множество языков
• Некоторые поддерживаемые языки: Русский
Japanese
French (Canadian)
German
Chinese
Korean
Spanish (Latin American)
Czech
Polish
• Возможно делать кастомизированные локализации под задачи организации
Поддерживает оценку состояния для разных способов доступа
Упрощает управление с единым агентом
Предотвращает подключение несоответствующих устройств (проверка патчей, ключей реестра, антивирусов….)
Оценка состояния и безопасный VPN-доступ с унифицированным агентом и Cisco ISE
Подключает только разрешенные приложения через VPN
Избранное туннелирование через VPN
VPN
Обеспечивает безопасный удаленный доступ для выбранных приложений для определенного пользователя, устройства и роли (per-app VPN)
Уменьшает риски неразрешенных приложений, связанные с компрометацией данных
Поддерживает большое количество типов устройств и удаленных пользователей (сотрудники, партнеры, контрактники)
WWW
Схема лицензирования AnyConnect 4.x
Подписки по числу пользователей, 1/3/5 лет, возможность Perpetual для
Plus
Apex
§ Все функции Plus
§ Posture
§ Clientless
§ Suite B
§ NVM
Простая двухуровневая структура позволяет заказчикам экономить средства (лицензирование на базе пользователей, не устройств)
Схема лицензирования стала существенно проще
Лицензирование на уровне организации и возможность развертывания лицензии на любом концентраторе (ASA, ISE, ISR/ASR/CSR, ...) делает всё проще
Plus *
§ PC/Mobile VPN§ Mobile per-app
VPN§ Web security§ NAM
AnyConnect VPN Only
MOBILE License(per ASA model)
ADVANCED ENDPOINT
ASSESSMENT License
(per ASA)
Лицензия СТАРОГО типа(с привязкой к ASA)
Always-On, Clientless,Posture Assessment, Suite B
PREMIUM License(per user for each ASA)
AnyConnect VPN Only
Старая модель лицензированияЛимит: число подключений
(конкретная ASA)Тип: Perpetual
Кванты: 10-10K
Лимит: число подключений(конкретная ASA)
Тип: PerpetualКванты: 25-10K
Много пользователей, низкая активность
PHONELicense(per ASA model)
• Лицензирование по числу пользователей• L-AC-APX-LIC= (Apex): 25 пользователей, 1 год: 380 долларов (GPL)• L-AC-PLS-LIC= (Plus): 25 пользователей, 1 год: 158 долларов (GPL)• L-AC-PLS-P-G (Plus, Perpetual): 25 пользователей, 1136 долларов
(GPL), включая 33 доллара SASU
• Лицензирование по числу соединений на конкретном устройстве• L-AC-VPNO-xxxx=: 25 подключений, 4 994 доллара (GPL), включая
799 долларов SASU
Оценка по порядкам (на текущую дату)
Особенности VPN Onlyo Применяется к конкретной ASAo Учитываются одновременные подключения (НЕ пользователи) o Только сервисы AnyConnect VPN (нет OpenDNS, NVM, ISE Posture, …)o Нет возможности переносить, совместно использовать и т.п.o Не предусмотрен апгрейд до Plus/Apexo Не предусмотрено совместное использование с Plus или Apexo Требуется контракт SASU для доступа к ПО и технической поддержке
Что такое «пользователь»?
Авторизованный пользователь – пользователь, который будет использовать AnyConnect (частота не важна).
Лицензии Plus и Apex продаются на базе общего числа пользователей, НЕ одновременных подключений.
Если у пользователя много устройств, это всё ещё один пользователь.
Каждое «необитаемое» устройство (сервер, IoT, …) – это тоже пользователь.
А если мы собираемся использовать несколько ASA?
Число лицензий AnyConnect Plus и Apex основано на общем числе авторизованных пользователей сервиса, не важно, обслуживает их 1 устройство или 5000 устройств.
В рамках этого разговора мы не рассматриваем вопросы стоимости устройств ;).
Лицензия VPN Only привязывается к конкретной ASA и определяет число одновременно активных VPN-подключений. Для каждой ASA требуется своя лицензия VPN Only.
У нас 2 ASA, как регистрировать лицензииPlus/Apex?
Подписки Plus и Apex (L-AC-PLS-LIC=) / (L-AC-APX-LIC=)Можете сразу указать серийные номера нескольких ASA при начальной регистрации.
Можете воспользоваться функционалом Share (см. http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html#anc57, там есть скриншоты).
Plus perpetualРегистрируйте один серийный номер ASA при начальной регистрации. Для каждой регистрации используется количество 1. Последующие регистрации с помощью PAK.
Все лицензии на AnyConnect типа «подписка» включают доступ к обновлениям/исправлениям AnyConnect, а также технической поддержке в течение срока действия подписки.Все лицензии на AnyConnect типа “perpetual” требуют приобретения дополнительного контракта SASU для получения обновлений, исправлений и технической поддержки.Для поддержки оборудования VPN-концентратора требуется отдельный SMARTnet.
Я запутался с SASU, есть какое-то общее правило
Модуль сетевой видимости
Расширенный контекст об активностях устройства
Коллектор и системы отчетов
Расширяет сбор данных об устройствеинформацией о сетевой активности приложений/пользователей
АналитикаАудитНаблюдаемость
. . .
NVM – открытость
http://developer.cisco.com/site/network-visibility-module/
Новые возможности NVM
ParentProcessHash
DestinationHostname
DNSSuffix
L4ByteCountIn
L4ByteCountOut
VirtualStationName
OSName
OSVersion
SystemManufacturer
SystemType
OSEdition
ModuleNameList
ModuleNameHash
InterfaceIndex
InterfaceIndexType
InterfaceIndexName
Гибкая политика
сбора
Новые атрибуты
ПодавлениеBCAST/MCAST
Управление кэшем
Полный списокатрибутов
• vzFlow = Netflow(IPFIX) + дополнительные поля
• Именно vzFlow реализован в AnyConnect NVM
Посмотрим повнимательнее
ИД род. процесса (ID запустившего процесса)
Имя родительского процесса (запустившего iexplore.exe)
Запись Netflow (Source IP, Destination IP, …)
Уникальный Device ID (корреляция записей)
Имя устройства (bsmith-WIN7)
Локальный DNS (starbucks.com), целевой DNS (-> amceco.box.com)
Домен\имя пользователя (AMER\bsmith)
Имя процесса (iexplore.exe)
ИД процесса(ID iexplore.exe)
* Можно включать/отключать сбор полей данных
Контекст в трактовке NVMПриложение – пользователь – устройство – местоположение – цель
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: лицензии для оконечных устройств и облаков
FlowCollector
EndpointConcentrator
Много клиентов AnyConnect с NVM Серверы в AWS
CloudConcentrator
Лицензия Endpoint License и Endpoint Concentrator помогают собирать IPFIX от AnyConnect NVM (AnyConnect Apex!!!).
Лицензия Cloud License и Cloud Concentrator помогают собирать IPFIX от серверов, развернутых в AWS.
Модуль сетевой видимости
Модуль сетевой видимости
Модуль сетевой видимости
AMP-активатор расширяет защиту от malware
Обеспечивает быстрый и удобный путь включения функционала Advanced Malware Protection (AMP)
Обеспечивает защиту конечного устройства до туннелирования трафика в сеть
Минимизирует потенциальное влияние путем обеспечения проактивной защиты и быстрого устранения заражения
Больше защиты
Windows/MAC MobileМобильное устройство
Cisco AMP расширяет возможности NGFW и NGIPS
Ретроспективная безопасностьТочечное обнаружение
Непрерывная и постоянна защитаРепутация файла и анализ его поведения
Полная защита среды с помощью Cisco AMP
AMP Защита
Метод
Идеально для
Контент
Лицензия для ESA и WSA, а также для CES и CWS
Пользователей решений Cisco для защиты электронной почты и обеспечения безопасности веб-
трафика
Сеть
Отдельное устройство-или -
Включите AMP на устройствах FirePOWER или ISR G2/4k
Пользователей NGIPS/NGFW иISR
Хост
Установка на стационарные и мобильные устройства, включая
виртуальные
Windows, Mac, Android, VM
Cisco Advanced Malware Protection
Вектор угроз Email и Web Сеть Оконечные устройства
Cisco AMP защищает с помощью репутационнойфильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие
метки
Расширенная аналитика
Идентичнаясигнатура
Признаки компрометации
Сопоставление потоков устройств
Cisco AMP обеспечивает ретроспективную защиту
ТраекторияПоведенческиепризнаки
вторжения
Поискнарушений
Ретроспектива Создание цепочек атак
Пример ретроспективы процессов
На примере Cisco AMP for Endpoints
Пример траектории файла
Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox
Пример траектории файла
В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8
Пример траектории файла
Семь часов спустя файл был передан через бизнес-приложение на третье устройство (10.3.4.51)
Пример траектории файла
Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66)
Пример траектории файла
Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие
Пример траектории файла
Тотчас же устройство с AMP для Endpoints среагировало на ретроспективное событие и немедленно остановило ВПОи поместило в карантин только что определенное вредоносное ПО
Пример траектории файла
Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано
Пример траектории файла
Полная информация о вредоносном коде
Ретроспективный анализ процессов позволяет ответить на следующие вопросы
• Как угроза попала на узел?
• Что плохого происходит на моем узле?
• Как угроза взаимодействует с внешними узлами?
• Чего я не знаю на своем узле?
• Какова последовательность событий?
• AnyConnect – многофункциональный клиент для обеспечения комплексной безопасности.
• Схема лицензирования существенно упростилась и стала более прозрачной.
• Комплексные возможности включают не только различные функции предотвращения нарушений безопасности, но и средства мониторинга, а также модуль активации клиента АМР для оконечных устройств.
Резюме
CiscoRu Cisco CiscoRussia CiscoRu
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.