Cisco safe

1© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco

Архитектура безопасности Cisco SAFE

Елена ЛещенкоCisco pre-sale specialistMUK.


Вендоры продают решения для борьбы с сегодняшними угрозами…


Сложность системы увеличивает вероятность ошибки!


Точечные продукты не умеют «говорить» друг с другом



Что лучше – зоопарк или целостная система?


Cisco SAFE - это решение названных задач


Cisco SAFE


Мы стартуем с определения актуальных угроз…


…и защищаемся от них.


• SAFE снижает сложность

• Игровая модель позволяет упростить общение на одном языке

• Достоверные и проверенные архитектуры и дизайны с базовым уровнем безопасности

Что такое SAFE?


• Снижение сложности• Предоставление эталонной модели • Целостный взгляд на защиту всего предприятия, а не только

отдельных его компонентов• Интеграция всех компонентов между собой• Возможность поэтапной реализации

Преимущества Cisco SAFE


С чего начать?


Мы должны защитить ключевые сегменты

Взгляд со стороны инфраструктуры

Выстраивание системы отражения

вторжений

ДОКонтроль

Применениеполитик

Сдерживание


Ключевые сегменты

ЗащищенныйЦОД

Защищенный филиал

Защищенная WAN

Защищенное облако

Защищенный комплекс зданий

Защищенный периметр


Взгляд со стороны эксплуатации

Не забывать про непрерывность защиты

Выстраивание системы реагирования на

инциденты

Обнаружение Блокировка

Защита

ВО ВРЕМЯ ПОСЛЕОхват

ИзоляцияУстранение


Ключ к Cisco SAFE


Поэтапное упрощение вопроса обеспечения безопасности

Фаза возможностей

Фаза архитектуры Фаза дизайна


1. Этап «Возможности»


ЦОД

Банкомат

WAN

Дочернее предприятие

Электронная коммерция

Центральный офис

Банк

Интернет-периметр

Соответствие требованиям

Разбейте сеть на элементы и области


Говоря о возможностях, мы упрощаем принятие решения, так как внимание фокусируется на функциях продукта, а не на самом продукте

Нам не нужен межсетевой экран, нам нужно решение для разграничения сетевого трафика

У Cisco это может быть решено с помощью многофункциональных устройств ASA, маршрутизатора ISR с IOS Firewall, виртуального устройства ASAv, маршутизатора ASR с IOS Firewall, облачного МСЭ Meraki, коммутаторов Catalyst 6000 с модулем МСЭ…

Возможности


Отдельные элементы


С помощью чего мы боремся: возможности

Управлениедоступом

с использованиемTrustSec

Анализ/корреляцияОбнаружениеаномалий

Анти-вредоносное ПО

Анти-спам Мониторинги контроль

приложений (AVC)

Безопасностьклиента

Cisco Cloud WebSecurity

Предотвращениеутечки данных

База данных Защитаот DDoS-атак

Шифрованиеэлектронной

почты

Защитаэлектронной

почты

Коммутацияфабрики

Межсетевойэкран

Межсетевойэкран

Анализ потока Идентификация Авторизация

Идентификация Авторизация

Обнаружениевторжений

Предотвращениевторжений

Коммутация L2 Виртуальнаякоммутация L2

Сеть L2/L3

Сеть L2/L3 Коммутация L3 Балансировщикнагрузки

Регистрацияв журнале/отчетность

Песочницадля вредоносного ПО

Управление мобильнымиустройствами

Мониторинг Политики/

конфигурация


Место в сети ДоверенныеНедоверенные

Межсетевой экран

Сеть L2/L3Оценка состояния

МСЭ веб-приложений

Балансировщикнагрузки

Защита от DDoS-атак

Доступ

Управлениеуязвимостями

Политики/конфигурация

МониторингРегистрацияв журнале/отчетность

Мониторинги контроль


Анализ/корреляция

Безопасность веб-трафика

Совместно используемые

База данных

Сервер

Хранение

Приложение

Угрозы

Проникновение наружу

Трояны

Черви

Шпионское ПО

Сервисы


Стратегия возможностей


Видео


Аналитика угроз

Голос

Клиент

Хранение

Сервер

МСЭвеб-приложений

РазгрузкаTLS

Синхронизациявремени

VPN-концентратор

Оценкасостояния

Безопасностьвеб-трафика

Репутация/фильтрациявеб-трафика


в беспроводнойсети

Беспроводноеподключение

Виртуальнаячастная сеть

Политики/Конфигурация

Анализ/Корреляция

Обнаружениеаномалий



приложений


Cisco Cloud WebSecurity

Отказв обслуживании

(DDoS)

Мониторинг

Управление мобильнымиустройствами


почты

МСЭ

Анализ потока



Сетеваяинфраструктура

Песочницадля вредоносного

ПО

Предотвращение вторжений


ОблакоОбщ. доступ

СЕТЬКЛИЕНТ

СРЕДА

БЕЗОПАСНОСТЬ

ОБЩИЕ

Возможности SAFE

Доступ

ПРИЛОЖЕНИЕ

Балансировканагрузки

ПОЛЬЗОВАТЕЛЬ

Динамика развития возможностей

ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ

ПРОВОДНАЯ СЕТЬ

АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО БЕСПРОВОДНАЯ СЕТЬ

Безопасностьсервера


Мостконференции


Видео



Голос

Клиент





Беспроводноеподключение

Виртуальнаячастная сеть







Управление мобильными

устройствами

МСЭ








СРЕДА


ОБЩИЕ

Кампусная сеть

Доступ

ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ



ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО

БЕСПРОВОДНАЯ СЕТЬ




=



Хранение

Сервер

МСЭвеб-приложений

РазгрузкаTLS







приложений



почты

МСЭ





Песочницадля вредоносного ПО


СРЕДА


ОБЩИЕ

ЦОД

Доступ

ПРИЛОЖЕНИЕ

Балансировканагрузки

ПОЛЬЗОВАТЕЛЬ



ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО

БЕСПРОВОДНАЯ СЕТЬ

Безопасностьсервера




2. Этап «Архитектура»


• Создание традиционного представления архитектуры • Сопоставление возможностей с архитектурой • Создание архитектуры, которая будет лучше всего отражать

идентифицированные угрозы

Создание архитектуры безопасности


Безопасность хоста

Беспроводная сеть

Беспроводная сетьПредотвращение вторжений в беспроводной сети


Управление доступом +TrustSec


Сеть L2/L3

Сеть L2/L3

Безопасность хоста Оценка

состоянияУправление доступом +TrustSec


Сервисы безопасности веб-трафика

МСЭ Система предотвращения вторжений нового поколения




и контроль приложений (AVC)


VPN

Менеджер, анализирующий информацию о продукте

Оператор, обрабатывающий транзакции по кредитным картам

Контроллер беспроводной сети

Коммутатор Межсетевой экран нового поколения/маршрутизатор

к ЦОД

к облаку

WAN

SAFE упрощает обеспечение ИБ: филиал


Сеть L2/L3


к комплексу зданий

Зона общих сервисов

Система предотвра-щения вторжений нового поколения

Зона сервера приложений

Зона соответствия

стандартам PCI

Зона базы данных



Баланси-ровщик нагрузки


МСЭ

Антивре-доносное ПО

Анали-тика угроз


Система предотвра-щения вторжений нового поколения

Межсетевой экран нового поколения Маршрутизатор

Сеть L2/L3МСЭ VPN

Коммута-тор

МСЭ веб-приложений

Централизованное управление


Мониторинг/контекст


Аналитика

Регистрация в журнале/отчетность



Мониторингк периметру

Виртуализированные функции

WAN

SAFE упрощает обеспечение ИБ: ЦОД


к периметру

Зона общих

сервисов

Cisco Cloud Web Security

Облачный сервис CRM

Интернет

Интернет

Сервис поиска в Интернете



Мониторинг и контроль приложений (AVC)


Обнаружение аномалий

Репутация/ фильтрация веб-трафика

к филиалу

SAFE упрощает обеспечение ИБ: облако


3. Этап «Дизайн»


• Создание традиционного представления дизайна• Выбор продуктов, содержащих функциональные возможности,

определенные в архитектуре• Создание дизайна, наиболее подходящего для отражения ранее

определенных угроз, и учитывающего дополнительные потребности инфраструктуры, например, высокую доступность, производительность и затраты

Создание дизайнов для обеспечения безопасности


Примеры компонентов дизайна

Блейд-сервер

КоммутаторCatalyst для ЦОД

Защитаэлектронной почты

FirePOWERУстройство

МСЭ


Коммутатор L3

Балансировщикнагрузки

Nexus 1Kv

КоммутаторNexus для ЦОД

КоммутаторNexus для фабрики

КоммутаторNexus


Место в сети ДоверенныеНедоверенные


Политики/конфигурация

МониторингРегистрацияв журнале/отчетность




Совместно используемыеУгрозы

Проникновение наружу

Трояны

Черви

Шпионское ПО

Сервисы

G0/0

G0/1

G0/2

E1/2

E1/1

E1/1

E1/2G0/0

G0/1

E2/1-4

E2/1-4

E2/5-8

E2/5-8

G0/3

E1/1

E1/2

E2/1-4

E2/1-4

G0/2

G0/3

E1/1

E1/2

E1/3

E1/4

P1

P2

P3

P4

P1

P2

P3

P4

E1/3

E1/4

E1/1

E1/2

E1/1

E1/2

E2/1-4

E2/1-4

E2/5-8

E1/5-8

E2/5-8

E1/5-8

E1/5-8

E1/1-4

E1/1-4

E1/5-8

P1

P2

E1/3

E1/3

SAN/NAS

UCS 5108

UCS 5108

ASA5555-x

ASA5555-x

N77-C7706

N77-C7706

WAF-BBX UCS-FI-6248UP

WAF-BBX UCS-FI-6248UP

WS-C3850-48U

Стратегия дизайна


Почему SAFE — это просто?


Таким образом, вы сможете начать диалог очень просто, с описания возможностей


Затем переходите к архитектурам, по которым вы можете быть доверенным консультантом


Прежде чем перейти к обсуждению более сложных дизайнов и функций продуктов


Где взять Cisco SAFE?


Где найти?

www.cisco.com/go/cvd www.cisco.com/go/safe


Структура справочных материалов по архитектуре SAFE

Возможности создания общей картины Архитектуры компонентов/областей

Утвержденные дизайны (CVD)

Обзор SAFE

Руководство по архитектуре

Инструкции

Краткий обзор

DIG

Возможности создания общей картины

Руководство по архитектуре

Дизайны CVD

Руководство «Обзор Safe»

Руководство по архитектуре для защищенного ЦОД

Как развертывать кластер ASA

Краткое руководство по созданию защищенного ЦОД

Создание кластера ASA с сервисами FirePOWER


На сайте Cisco документы уже есть!

Technology

Cisco safe