Upload
moldovaictsummit2016
View
215
Download
0
Embed Size (px)
Citation preview
1© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Архитектура безопасности Cisco SAFE
Елена ЛещенкоCisco pre-sale specialistMUK.
2© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Вендоры продают решения для борьбы с сегодняшними угрозами…
3© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Сложность системы увеличивает вероятность ошибки!
4© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Точечные продукты не умеют «говорить» друг с другом
5© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
6© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Что лучше – зоопарк или целостная система?
7© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Cisco SAFE - это решение названных задач
8© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Cisco SAFE
9© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Мы стартуем с определения актуальных угроз…
10© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
…и защищаемся от них.
11© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• SAFE снижает сложность
• Игровая модель позволяет упростить общение на одном языке
• Достоверные и проверенные архитектуры и дизайны с базовым уровнем безопасности
Что такое SAFE?
12© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• Снижение сложности• Предоставление эталонной модели • Целостный взгляд на защиту всего предприятия, а не только
отдельных его компонентов• Интеграция всех компонентов между собой• Возможность поэтапной реализации
Преимущества Cisco SAFE
13© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
С чего начать?
14© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Мы должны защитить ключевые сегменты
Взгляд со стороны инфраструктуры
Выстраивание системы отражения
вторжений
ДОКонтроль
Применениеполитик
Сдерживание
15© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Ключевые сегменты
ЗащищенныйЦОД
Защищенный филиал
Защищенная WAN
Защищенное облако
Защищенный комплекс зданий
Защищенный периметр
16© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Взгляд со стороны эксплуатации
Не забывать про непрерывность защиты
Выстраивание системы реагирования на
инциденты
Обнаружение Блокировка
Защита
ВО ВРЕМЯ ПОСЛЕОхват
ИзоляцияУстранение
17© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Ключ к Cisco SAFE
18© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Поэтапное упрощение вопроса обеспечения безопасности
Фаза возможностей
Фаза архитектуры Фаза дизайна
19© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
1. Этап «Возможности»
20© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
ЦОД
Банкомат
WAN
Дочернее предприятие
Электронная коммерция
Центральный офис
Банк
Интернет-периметр
Соответствие требованиям
Разбейте сеть на элементы и области
21© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Говоря о возможностях, мы упрощаем принятие решения, так как внимание фокусируется на функциях продукта, а не на самом продукте
Нам не нужен межсетевой экран, нам нужно решение для разграничения сетевого трафика
У Cisco это может быть решено с помощью многофункциональных устройств ASA, маршрутизатора ISR с IOS Firewall, виртуального устройства ASAv, маршутизатора ASR с IOS Firewall, облачного МСЭ Meraki, коммутаторов Catalyst 6000 с модулем МСЭ…
Возможности
22© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Отдельные элементы
23© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
С помощью чего мы боремся: возможности
Управлениедоступом
с использованиемTrustSec
Анализ/корреляцияОбнаружениеаномалий
Анти-вредоносное ПО
Анти-спам Мониторинги контроль
приложений (AVC)
Безопасностьклиента
Cisco Cloud WebSecurity
Предотвращениеутечки данных
База данных Защитаот DDoS-атак
Шифрованиеэлектронной
почты
Защитаэлектронной
почты
Коммутацияфабрики
Межсетевойэкран
Межсетевойэкран
Анализ потока Идентификация Авторизация
Идентификация Авторизация
Обнаружениевторжений
Предотвращениевторжений
Коммутация L2 Виртуальнаякоммутация L2
Сеть L2/L3
Сеть L2/L3 Коммутация L3 Балансировщикнагрузки
Регистрацияв журнале/отчетность
Песочницадля вредоносного ПО
Управление мобильнымиустройствами
Мониторинг Политики/
конфигурация
24© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Место в сети ДоверенныеНедоверенные
Межсетевой экран
Сеть L2/L3Оценка состояния
МСЭ веб-приложений
Балансировщикнагрузки
Защита от DDoS-атак
Доступ
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрацияв журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Безопасность веб-трафика
Совместно используемые
База данных
Сервер
Хранение
Приложение
Угрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
Предотвращениевторжений
Стратегия возможностей
25© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Видео
Управлениеуязвимостями
Аналитика угроз
Голос
Клиент
Хранение
Сервер
МСЭвеб-приложений
РазгрузкаTLS
Синхронизациявремени
VPN-концентратор
Оценкасостояния
Безопасностьвеб-трафика
Репутация/фильтрациявеб-трафика
Обнаружениевторжений
в беспроводнойсети
Беспроводноеподключение
Виртуальнаячастная сеть
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Мониторинги контроль
приложений
Безопасностьклиента
Cisco Cloud WebSecurity
Отказв обслуживании
(DDoS)
Мониторинг
Управление мобильнымиустройствами
Защитаэлектронной
почты
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
Песочницадля вредоносного
ПО
Предотвращение вторжений
в беспроводнойсети
ОблакоОбщ. доступ
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Возможности SAFE
Доступ
ПРИЛОЖЕНИЕ
Балансировканагрузки
ПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ
АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО БЕСПРОВОДНАЯ СЕТЬ
Безопасностьсервера
Регистрацияв журнале/отчетность
Мостконференции
26© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Видео
Управлениеуязвимостями
Аналитика угроз
Голос
Клиент
Синхронизациявремени
Оценкасостояния
Обнаружениевторжений
в беспроводнойсети
Беспроводноеподключение
Виртуальнаячастная сеть
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Безопасностьклиента
Мониторинг
Управление мобильными
устройствами
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
Предотвращениевторжений
в беспроводнойсети
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Кампусная сеть
Доступ
ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
БЕСПРОВОДНАЯ СЕТЬ
Регистрацияв журнале/отчетность
Мостконференции
27© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
=
Управлениеуязвимостями
Аналитика угроз
Хранение
Сервер
МСЭвеб-приложений
РазгрузкаTLS
Синхронизациявремени
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Мониторинги контроль
приложений
Мониторинг
Защитаэлектронной
почты
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
Песочницадля вредоносного ПО
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
ЦОД
Доступ
ПРИЛОЖЕНИЕ
Балансировканагрузки
ПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
БЕСПРОВОДНАЯ СЕТЬ
Безопасностьсервера
Регистрацияв журнале/отчетность
Мостконференции
28© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
2. Этап «Архитектура»
29© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• Создание традиционного представления архитектуры • Сопоставление возможностей с архитектурой • Создание архитектуры, которая будет лучше всего отражать
идентифицированные угрозы
Создание архитектуры безопасности
30© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Безопасность хоста
Беспроводная сеть
Беспроводная сетьПредотвращение вторжений в беспроводной сети
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сеть L2/L3
Сеть L2/L3
Безопасность хоста Оценка
состоянияУправление доступом +TrustSec
Анализ потока
Сервисы безопасности веб-трафика
МСЭ Система предотвращения вторжений нового поколения
Анти-вредоносное ПО
Анализ потока
Мониторинг
и контроль приложений (AVC)
Аналитика угроз
VPN
Менеджер, анализирующий информацию о продукте
Оператор, обрабатывающий транзакции по кредитным картам
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения/маршрутизатор
к ЦОД
к облаку
WAN
SAFE упрощает обеспечение ИБ: филиал
31© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Сеть L2/L3
Управление доступом +TrustSec
к комплексу зданий
Зона общих сервисов
Система предотвра-щения вторжений нового поколения
Зона сервера приложений
Зона соответствия
стандартам PCI
Зона базы данных
Анализ потока
Безопасность хоста
Баланси-ровщик нагрузки
Анализ потока
МСЭ
Антивре-доносное ПО
Анали-тика угроз
Управление доступом +TrustSec
Система предотвра-щения вторжений нового поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть L2/L3МСЭ VPN
Коммута-тор
МСЭ веб-приложений
Централизованное управление
Политики/Конфигурация
Мониторинг/контекст
Анализ/корреляция
Аналитика
Регистрация в журнале/отчетность
Аналитика угроз
Управлениеуязвимостями
Мониторингк периметру
Виртуализированные функции
WAN
SAFE упрощает обеспечение ИБ: ЦОД
32© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
к периметру
Зона общих
сервисов
Cisco Cloud Web Security
Облачный сервис CRM
Интернет
Интернет
Сервис поиска в Интернете
Аналитика угроз
Безопасность хоста
Мониторинг и контроль приложений (AVC)
Анти-вредоносное ПО
Обнаружение аномалий
Репутация/ фильтрация веб-трафика
к филиалу
SAFE упрощает обеспечение ИБ: облако
33© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
3. Этап «Дизайн»
34© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• Создание традиционного представления дизайна• Выбор продуктов, содержащих функциональные возможности,
определенные в архитектуре• Создание дизайна, наиболее подходящего для отражения ранее
определенных угроз, и учитывающего дополнительные потребности инфраструктуры, например, высокую доступность, производительность и затраты
Создание дизайнов для обеспечения безопасности
35© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Примеры компонентов дизайна
Блейд-сервер
КоммутаторCatalyst для ЦОД
Защитаэлектронной почты
FirePOWERУстройство
МСЭ
Обнаружениевторжений
Коммутатор L3
Балансировщикнагрузки
Nexus 1Kv
КоммутаторNexus для ЦОД
КоммутаторNexus для фабрики
КоммутаторNexus
36© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Место в сети ДоверенныеНедоверенные
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрацияв журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Совместно используемыеУгрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
G0/0
G0/1
G0/2
E1/2
E1/1
E1/1
E1/2G0/0
G0/1
E2/1-4
E2/1-4
E2/5-8
E2/5-8
G0/3
E1/1
E1/2
E2/1-4
E2/1-4
G0/2
G0/3
E1/1
E1/2
E1/3
E1/4
P1
P2
P3
P4
P1
P2
P3
P4
E1/3
E1/4
E1/1
E1/2
E1/1
E1/2
E2/1-4
E2/1-4
E2/5-8
E1/5-8
E2/5-8
E1/5-8
E1/5-8
E1/1-4
E1/1-4
E1/5-8
P1
P2
E1/3
E1/3
SAN/NAS
UCS 5108
UCS 5108
ASA5555-x
ASA5555-x
N77-C7706
N77-C7706
WAF-BBX UCS-FI-6248UP
WAF-BBX UCS-FI-6248UP
WS-C3850-48U
Стратегия дизайна
37© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Почему SAFE — это просто?
38© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Таким образом, вы сможете начать диалог очень просто, с описания возможностей
39© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Затем переходите к архитектурам, по которым вы можете быть доверенным консультантом
40© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Прежде чем перейти к обсуждению более сложных дизайнов и функций продуктов
41© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Где взять Cisco SAFE?
42© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Где найти?
www.cisco.com/go/cvd www.cisco.com/go/safe
43© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Структура справочных материалов по архитектуре SAFE
Возможности создания общей картины Архитектуры компонентов/областей
Утвержденные дизайны (CVD)
Обзор SAFE
Руководство по архитектуре
Инструкции
Краткий обзор
DIG
Возможности создания общей картины
Руководство по архитектуре
Дизайны CVD
Руководство «Обзор Safe»
Руководство по архитектуре для защищенного ЦОД
Как развертывать кластер ASA
Краткое руководство по созданию защищенного ЦОД
Создание кластера ASA с сервисами FirePOWER
44© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
На сайте Cisco документы уже есть!