Михаил Кадер Инженер - Cisco · Группа 3 Группа 4 Виртуальные системы Пассивный ID (Easy Connect) MAB, Профили-рование

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public

Чужие здесь не ходят

Михаил Кадер

Инженер

[email protected]

00I00I0I00I00I0I00I0II00II00I0 I00I 0I00 I00I 0I0 I000I I0 0I00II 00I0 I0I 00I I0I 00 I0I0I 00I I0I 00 I0I0 0I I00I 0I0I 0I0 0I0I0 I0 0 I0 0 I 0I0 0 I 0 I0I0 0I0I I0I0 I0 0 I00 I0 0I0

0 I0 I00 I 00 I0 0 I 0I0 0I0 0 I0 0 I 0 0I 0I 0I0 I00 I0I0I 00I I0I 00 I0I0 0I I0I0I 0 0I0II0 I00 I0I0I0I00 I0I0 I00 I0I0I 00I I0I 00 I0I0 0I I0I0I 0 0I0II0 I00II0 0I0I0I00 I0I0 I0I0I0I

00I I0I 00 I0I0 0I I0I0I 0 0I0II0 I00 I0I0I0I00 I0I0 I00 I0I0I 00I I0I 00 I0I0 0I I0I0I 0 0I0II0 I00 I0I0I0I00 I0I0 I00 I0I0I 00I I0I 00 I0I0 0I I0I0I 0 0 I0I0I 00I I0I 00 I0I0 0I I

TALOS

Stealth

WatchISE

Внутренняя

инфраструктура

WSA

NGFW

NGIPS

ESA

I0I I0

0I0

00I 0

000I0

0I0

0II0

I 00I0

0I 0

0I0

0II0

I I00I

I0I0

I00I 0

I0I 0

I0 0

I0I0

I0 0

I0 0

I 0I0

0 I 0

I0I0

0I0

I I0I0

I0 0

I00 0

0000I0

0I0

0II0

I 00I0

0I

Интернет


Преимущества интегрированной архитектуры безопасности, разработанной Cisco

ПОВЕДЕНЧЕСКИЕ IOC • ТРАЕКТОРИЯ ФАЙЛА

КАРАНТИНХОСТА ПО IP

СДЕРЖИВАНИЕПО SGT

CiscopxGrid

Автоматизация управления политиками

Ускорение нейтрализации

Web Security

Email Security

Identity ServicesEngine

Firepower NGFW/NGIPS

Stealthwatch

Осведомленность о контекстеУскорение расследования

AMP Cloud, Cognitive, и Threat Grid

NETFLOW И ENCRYPTED TRAFFIC ANALYTICSХЕШ • АРТЕФАКТ

ДОМЕН • IP • URL

Сетевоеоборудование

Компоненты DNA

AMP for Endpoints

Umbrella NGFW/NGIPS

Steathwatch

Cisco pxGrid

Полный объективный контрольУскорение обнаружения

Threat Intel/Активная защитаЭффективное предотвращение

Cisco Talos


Содержание

• Введение

• Что такое политика?

• Обеспечение видимости

• Обнаружение и классификация активов

• Определение связей и создание политики

• Заключение


Политика

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public

Зачем нужна сегментация?«Благодаря сегментации сети Eataly

удалось изолировать

скомпрометированный терминал POS

в одном из магазинов и предотвратить

потенциальную компрометацию

систем в 26 других филиалах сети в

разных частях света».«Сегментация сети… представляет собой одно из наиболее эффективных средств контроля, которые компания может реализовать для нейтрализации второго этапа вторжения, распространения или горизонтального продвижения угрозы в сети».«Благодаря эффективной

сегментации сети… уменьшается область, в которую злоумышленник может продвинуться в сети».


Сегментация и политика безопасности сети

Статич. ACL

Область DHCP

RAW-адреса

VLAN

Групповая политика

Политика безопасности должна устанавливать иерархию прав на доступ, то есть предоставлять пользователям доступ только к тем ресурсам,

которые необходимы для конкретной работы.

• https://en.wikipedia.org/wiki/Network_security_policy

Частная сеть VLANРезервирование

Маршрутизация

Межсетевой экран


Сегментация – это процесс

Определение задач

Видимость: анализ поведения

Определение кластеров и сегментов

Контроль: это будет работать?

Принудительное применение:активное принудительное

применение

Непрерывный мониторинг и контроль

Утверждение

Непрерывное совершенствование


Постановка задач и успешная реализация Пример задачи: соответствие установленным нормативным

требованиям и уменьшение поверхности угроз

Кто должен оценивать результаты выполнения этой задачи?

Даже если сегментация работает надлежащим образом, если аудитор недоволен, то задача не выполнена.


Старт проекта сегментации

Точки принудительного

применения политикиАнализ активов для

защиты

Механизмы

классификации

Пример:

данные о владельцах карт,

медицинские записи,

интеллектуальные данные

Пример:

динамический,

статический и т. д.

• Сегментация ЦОД

(виртуальные/физические

коммутаторы или

виртуальные/физические

межсетевые экраны в ЦОД)

• Контроль доступа

пользователей к ЦОД

• (Выявление задействуемых

коммутаторов или межсетевых

экранов на маршруте)

Методы

распространения

• Встроенное тегирование

• Внеполосное

«наложение»

• Подразумеваемый

• И прочее


Подход к проектированию

• Начните с поставленных целей, например,• контролируемого доступа к производственным системам или серверам PCI и т. д.

• Помните, что можно применять различные сценарии, адаптировав их к своим потребностям, например следующие.

• Контроль доступа пользователей к ЦОД• BYOD• Контроль доступа подрядчиков• Безопасность экстранета• Упрощение правил межсетевого экрана, доступа к VPN, списков ACL или правил WSA

• Начинать имеет смысл с задач с высокими операционными расходами

• Сложные списки ACL, сложность правил межсетевого экрана – вот хорошие примеры того, где динамические объекты (TrustSec, межсетевой экран с идентификацией и т. д.) могут быть максимально полезны


Старт проектирования• Прежде всего, определите активы для защиты.

• Данные о владельцах карт, медицинские устройства• Выберите механизмы классификации систем (назначение активам тегов SGT).• Используя цели политик, определите, где требуется принудительное применение

политик, например в следующем.• Сегментация приложений для производственных и непроизводственных зон

• (например, облачные/виртуальные/физические коммутаторы или облачные/виртуальные/физические межсетевые экраны, предназначенные для защиты таких активов)

• Контроль доступа пользователей к ЦОД• (выявление задействуемых коммутаторов или межсетевых экранов на маршруте, в которых можно

активировать функцию начального принудительного применения)

• Выберите объекты для устройств принудительного применения политик в автоматизированном режиме.• Плоскость менеджмента/управления – интерфейсы API REST с pus/sub, PxGrid, SXP и т. д.

• Плоскость данных – TrustSec (VXLAN, DMVPN и т. д.) ACI (VXLAN и т. д.)


Принтер 1 Принтер 2

Логические группы на основе бизнес-целей

• Бизнес-группы для

согласованного

применения политики

и контроля доступа,

независимо от

топологии сети

• Атрибуты применения,

например,

местоположение и тип

устройства для

определения

назначений в группу

Подрядчики Управление

зданием

Сотрудники

Подрядчик 1

Подрядчик 2

Подрядчик 3 Подрядчик 4

Сотрудник 1 Сотрудник 2 Сотрудник 3

Сотрудник 4

Сервер финансовой службы Принтеры

Фин. 1 Фин. 2

Датчик

температуры 1

Датчик

температуры 2

Устройство

видеонаблюдения 1

Устройство

видеонаблюдения 2

50°

50°


Упрощение процесса добавления, перемещения

и изменения

Использование групп для

защиты устройств, ошибки

в которых нельзя устранить

Использование групп для

представления подозрительных

устройств на основании

обнаруженного состояния угрозы

Упрощение

процесса

администрирования

Управление

сложностью

Сокращение

операционных

расходов

Более

согласованная

политика

безопасности

Уменьшение

времени на

внесение

изменений

Представление состояния

угрозы или уязвимых устройств

Простые способы добавления политики контроля доступа для

новых объектов

Приобретаемые

компании и партнерства

Облако

Интернет

вещей

BYOD

Групповые политики


Объекты безопасности сети – начальные соображения

• В отличие от традиционной сегментации/контроля доступа…• Процесс добавления в будущем динамически назначаемых групп должен быть несложным

(TrustSec/SD Access, ID FW и т. д.).• Никакого воздействия на конфигурацию инфраструктуры, процесс настройки групп полностью

централизованный.

• Максимально простая процедура поддержки групп при внесении изменений для обеспечения соответствия требованиям политики.

• Простая процедура добавления объектов безопасности в будущем, при необходимости.

• Не обязательно транслировать полностью существующие «сложности», как например, все группы AD, в объекты безопасности (не 1 AD: 1 объект безопасности).

• Цели обеспечения соответствия нормативам, роли, ранее используемые для назначения сетей VLAN, были простыми.

• Учитывать ситуацию, если для всех ролей будет требоваться назначенный объект

безопасности?

• Следует помнить, что членство в группе может изменяться очень часто, но группы

и групповые политики не должны изменяться часто.


Создание матрицы политик

Исходная группа

Целевая группа

Действие

• Как обнаружить активы?• Как создать группы?• Как выбрать политику?• Как узнать, что моя политика является

верной?• Как убедиться, что она работает?


Область обсуждения: корпоративная политика

Комплекс зданий

ЦОД

Облако

Филиал Общая политика и определения


Немного практики


Обеспечение видимости


Что значит видимость?

Знание оконечных устройств

Знание взаимосвязей

Сетевыесервера

ОС

Рутера и свитчи

Мобильныеустройства

Принтеры

VoIP телефоны

Виртуальныемашины

Файлы

Пользователи

Web приложения

Прикладныепротоколы

Сервисы

ВредоносноеПО

Серверауправленияботнетами


Атрибуты хоста

• Роль в транзакции

• Роль в организации

• Тип устройства

• Имя пользователя

• Обратный DNS

• …

• И прочее







• …

• И прочее

Моделирование сетевой транзакции

Атрибуты транзакции

• Время

• Число байт, пакетов

• Протоколы и порты

• Приложение

• Содержимое приложения

• Имя процесса

• …

• И прочее


Обеспечение видимости с помощью телеметрии

Маршрутизаторы

Идентификаторы

Облачные сервисы

…

Сбор данных Анализ

РезультатыИсточники данных

Любые данные, полезные для получения результата

Хранилище


Пример оборудования для сбора данных

Cisco Stealthwatch

Cisco Identity Services Engine

Cisco Stealthwatch: модуль сбора и агрегатор сетевых телеметрических данных для анализа и мониторинга системы

безопасности.

Cisco ISE: модуль сбора и агрегатор сетевых телеметрических данных для обеспечения защищенного сетевого доступа

следующего поколения.


ISE: создание таблицы сеансов

Профилирование (в режиме сбора данных)• Выполняется инфраструктурой• (DHCP, HTTP и т. д.)• На основе сигнатур

Активная аутентификация(выполняется хостом)• Аутентификация пользователей и устройств • Обходной механизм аутентификации

по MAC-адресам• Веб-портал

Активная аутентификация

Пассивная аутентификация (в режиме сбора данных)• WMI, агент, SPAN, Syslog, REST API, зонд

оконечного устройства

Таблица сеансов

Определения групп


Профилирование Cisco ISE

Сервис каналов

(онлайн/офлайн)

NetFlow DHCP DNS HTTP RADIUS NMAP SNMP

CDP LLDP DHCP HTTP H323 SIP MDNS

АКТИВНЫЕ ЗОНДЫ

СЕНСОР УСТРОЙСТВ

1,5 мил-лиона

550+

250+

устройств с ‘50’ атрибутами

в каждом (могут храниться)

Высокоуровневые готовые

профили. + Периодические

каналы

Профили медицинских

устройств

Cisco ISE

Сеть Cisco


Stealthwatch: создание таблицы потоков

NetFlow/IPFIX

Логи

Определения групп

Анализ угроз

Идентификатор пользователя/

устройства

Транзакционный Контекстный

Таблица потоков


Запись диалогового потока

КтоКтоЧто

Когда

Как

Где

Больше контекста


«Декорированная» запись диалогового потока

Телеметрия ISE

NBAR

Применяемая ситуативная осведомленность

Сенсор потоков

Привязка Geo-IP

Анализ угроз


Обнаружение и классификация активов


Классификация: задача Все активы, подключенные к сети


Классификация: задача

Не мои вещи

Мои вещи

ФункцияМестоположение

Приложение

СерверыNGFW

……

HQ Филиал

Колокация…

HR Изображения

…

Geo-IP Номера ASN

Исследование угроз


Пример подхода: анализ с наложением

• Цель: эффективное создание меток для моделирования политики между бизнес-активами

• Применение телеметрических данных для создания классификации

• «Декорирование» телеметрических данных с помощью данной классификации


Методы классификации

• Статический:• Хосты сопоставляются с классификацией, которая не

изменяется

• Динамический:• Хосты классифицируются повторно на основании своих

атрибутов


Принцип классификации: шаг 1

Начните с известных вам вещей

Корпоративные записи:

• IPAM, CMDB

• DNS

• Местоположение и подсеть

• И прочее

Контроллеры

• IOT Historian

• Например, Industrial NetworkDirector

• Контроллеры SD

• Сетевой доступ

• Назначения авторизации

• И прочее


Динамические механизмы

Статические механизмы

VN

Профиль виртуальн.

порта

IP-адрес Сети VLANПодсети

Интерфейс L3

Порт

ACI (для приложений)

Идеальный вариант для пользователей и мобильных устройств

Оконечные устройства пользователя

Внутренняя ИТ-инфраструктура и политика на основе топологии

Внутренние ресурсы

Внешние партнеры и сторонние подключения

Партнеры и внешн.Ста

тиче

ски

й.

Ди

нам

иче

ски

й

Группа 1

Группа 2

Группа 3

Группа 4

Виртуальные системы

Пассивный ID (Easy

Connect)

MAB,Профили-рование

802.1X.WebAuth

pxGridи интерфейс

REST API

Методы классификации Trustsec/SD-Access


Интерфейсы API групповой политики

• Обмен информацией о группе для упрощения управления политиками

• Обмен классификациями для сокращения операционных расходов, обеспечения согласованности и упрощения аудита

• Несколько облаков с согласованной политикой

Корпоративные группы безопасности – основа для

Cisco DNA/SDA

APICDC

ACI Группы

оконечных устройств

AWSГруппы

безопасности

Сеть Azure

Группы безопасности

API и интеграция скриптов между контроллерами




• Цель: согласованные группы безопасности и идентификация, используемые совместно между доменами TrustSec/SD Access и ACI

• Использование групп безопасности TrustSec/SD Access в политиках ACI

• Использование групп оконечных устройств (EPG) ACI в политиках в масштабе предприятия

• Упрощенное управление устройствами безопасности с помощью классификаций TrustSec/SD Access и ACI

Создание групповых политик на предприятии

Интернет Прил. БДФабрика ACI

ЦОДДомен политик APIC

APIC

Домен политик EPGДомен политик SGT

ISE 2.1+

Домен TrustSec/SD Access

Голос Сотрудники Поставщик BYOD

Комплекс зданий/филиал/ЦОД не типа ACIДомен политик TrustSec/SD Access

ГолосVLAN

ДанныеVLAN


Группы безопасности, подготовленные в ACI

ISE динамически подготавливает теги SGT в фабрике ACI как группы EPG

ACITrustSec/SD Access/SD Access

Теги группы безопасности/масштабируемой группы

Теги SGT, представленные в видевнешних групп EPG


ISE динамически узнает о группах EPG и привязках ВМ из фабрики ACI

ACI

ВМ 1

ВМ 1000

Домен TrustSec/SD Access

TrustSec/SD Access

Фабрика ACI

Контроль политик Доступ к ЦОД ACI

Домен TrustSec/SD Access/SD Access автоматически узнает о серверах приложений ACI


Облако IaaS – атрибуты

Получили теги?


Атрибуты рабочей нагрузки в облаке

IP 10.20.5.135

API

APIIP-адрес рабочей нагрузки Назначенная масштабируемая группа

10.20.5.135 Prod_Srvr

Сопоставление


Определение политики классификации

Атрибуты AWS (теги AWS, группы безопасности)

Информация, представляемая в сеть Cisco как SGT


Группы хостов Stealthwatch

Список, диапазон, блок IP-адресов

Иерархическая структура

Примеры:

• Мои серверы DNS – 10.1.1.10 и 10.1.1.11

• Все мои терминалы POS – 10.20.20.0/24

• Мой HQ – 10.0.0.0/8

• И прочее

• Хост может присутствовать в нескольких группах хостов

• Хост не может быть одновременно внутренним и внешним


Построение групп

Определения групп как телеметрия через API• IPAM• Анализ угроз• И прочее

Вручную• Ввод данных• Поиск

Автоматически• Классификатор

хоста

Постоянно помните о своих целях!

Группы удобны для аналитических заданий, но все сразу классифицировать

не нужно.


Автоматизация групп хостов

Базы данных ASN:IP

IPAM

Исследование угроз

И прочее

Контекстные определения IP-адресов

Преобразование в группы хостов с помощью скриптов

https://cisco.box.com/v/stealthwatch-hg-scripts

TetrationAnalytics


Пример: преобразование инвентарного реестра IND в группу Stealthwatch

Инвентарный реестр активов IND

Промежуточное ПО выполняет запланированный скрипт:

• для вызова API в IND для поиска в инвентарном реестре;

• для преобразования в файл Stealthwatch XML;

• для отправки нового XML-файла в SMC через API.


Принцип классификации: шаг 2

Определение местоположения активов на основе их поведения


Обнаружение серверов на основе поведения

• Поиск основных узлов, обслуживающих трафик

• Фильтрация по интересующим службам/приложениям

• Начните с хорошо известных сервисов

• DNS (UDP/53)

• Почтовые серверы (imap4, smtp)

• Контроллеры доменов

• Kerberos и NetBIOS и SMB и LDAP

• Файловые серверы и серверы резервного копирования (nfs, smb)


Пример обнаружения серверов DNS

Проанализируйте объем

Предположительно серверы DNS: необходимо проверить

Мошенничество или неправильная конфигурация

Резкое уменьшение


Приложение Stealthwatch Host Classifier

• Формирование предложений по размещению неклассифицированных хостов в группы

• Пользователь может рассматривать и подтверждать предложения, отклонять или исключать


Проверка достоверности классификации сервера

Утверждение

10.1.1.15

–

Сервер архива изображений

Проверка корпоративных записей

• Сравнение с любым IPAM


• Проверка достоверности корпоративного владения

• Местоположение и подсеть

Какие клиенты?

• Тип клиента (ISE)

• Конечные пользователиДругие действия

• Что еще он обслуживает?

• К чему еще он подключен?

• Другие приложения

• Порты/протоколы

Поиск потоков

• См. предыдущие 2 слайда


Обнаружение клиентовПоиск наиболее активных узлов, взаимодействующих с группой серверов архива изображений


Идентификация входящих клиентов

Все входящие клиенты за текущий день

Ранжирование по объему


Идентификация клиентов приложений

Фильтрация наиболее активных узлов по известным данным о

приложениях (https)

Идентификация потенциальных пользователей рентгеновских

исследований


Проверка достоверности и классификация клиентов

Взгляните, доктор!

Классификация в группу «клиент для рентгеновских

исследований»


Экспорт и анализ данных

StealthwatchFlow Collector



…

Сбор данных

Пример клиента модуля экспорта данных:https://developer.cisco.com/docs/stealthwatch/

ПО/скрипты для анализа данных

Другие источники данных

Классификации

https://developer.cisco.com/docs/stealthwatch/


Анализ кластеров


Определение связей и создание политики


Устр. 3 прил. 1

Униф. связь HVAC Биллинг

Гостевые устройства

Пол. 1 прил. 2

ИнтернетГости Партнер





Нетсоответствия

Админ.Аудит

Внешние

Устройства


Устр. 2Прил. 1



Прил. 1


Прил. 3

Устр. 2 Прил. 3

Униф. связь

Безопасность

HVACСервер ADСетевыеслужбы

Доступ BYOD



Приложения/службы

Сопоставление взаимосвязей между объектами безопасности – все группы








• …

• И прочее







• …

• И прочее

Учет требований бизнес

Атрибуты транзакции

• Время

• Число байт, пакетов

• Протоколы и порты

• Приложение

• Содержимое приложения

• Имя процесса

• …

• И прочее

У нас есть данные. Как они связаны с бизнесом?


Моделирование политик

Группа A Группа BПолитика корректна?

Используйте классификацию и политику как телеметрические данные


Сопоставление в Stealthwatch


Сопоставление в Stealthwatch

Межсистемные связи


Политики Tetration

Моделирование связи между кластерами


Агрегирование классификаций и связей

Используйте наши классификации и связи как телеметр. данные

Stealthwatch Cloud

Stealthwatch

Tetration

ISE

Active Directory DNS

и т. п.

ПО дляагрегирование

Cloud Native

Модель связей


Админ.


Биллинг

Пол. 1 прил. 1 Пол. 2 прил. 2

Устройства



Прил. 1 Прил. 2


Сервер AD

Сетевыеслужбы


Приложения/службы

Объект безопасности – анализ одного приложения


Пример: настраиваемое событие системы безопасности Stealthwatch

Тема(атрибуты)

Узел(атрибуты)

Сгенерируйте действие, когда одиночный поток будет соответствовать выбранным условиям

Соединение(атрибуты)

Обеспечивает эффективное моделирование и мониторинг политики


Stealthwatch CSE, использующий метаданные TrustSec/SD Access

Логическое описание настроенного события

Выполняемое действиеУсловия для темы, соединения и узла


CSE, использующее метаданные TrustSec/SD Access: событие


Детали потока в TrustSec/SD Access CSE

Такой обмен данными

разрешен?Настройка

Да

Реагирование

Нет


CSE, использующий TrustSec/SD Access и атрибуты Geo-IP


CSE, использующее метаданные TrustSec/SD Access: событие


Детали потока в TrustSec/SD Access и Geo-IP CSE

?


Уточнение связей

Группа A

Группа B

Группа C

Связь A<->B Связь A<->C Связь B<->C


Пример матрицы политик

✓ o o ✗ o o o o ✗ ✗ ✗ ✗ ✗ o o o ✗ ✗ o ✗ ✗

o ✓ o o o o o o o o o o o o o o o o o o o

o o ✓ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ o o o ✗ ✗ ✗ ✗ ✓

✗ o ✗ ✓ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗

o o ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✓ ✓ ✗ ✓ ✗ ✗ ✗ o ✗ ✗ ✗

o o ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ o ✗ ✓ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗

o o ✗ ✗ ✗ ✗ o ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗

o o o ✗ ✗ ✗ ✗ ✓ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o ✗

✗ o ✗ o ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o

✗ o ✗ ✗ ✗ ✗ o o ✗ ✓ ✗ ✗ ✗ o o o ✗ ✗ ✗ ✗ ✗

✗ o ✓ ✗ ✓ o ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗

✗ o ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗

✗ o ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗

o o o ✗ ✓ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ o o o ✗ o ✗ ✗ o

o o o ✗ ✗ ✓ ✗ ✗ ✗ o ✗ ✗ ✗ o o o ✗ o ✗ ✗ o

o o o ✗ ✗ ✗ ✓ ✗ ✗ o ✗ ✗ ✗ o o o ✗ o ✗ ✗ o

✗ o ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗

✗ o ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o o o ✗ o ✗ ✗ ✗

o o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o ✗ ✗

✗ o ✗ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ o ✗

✗ o ✓ ✗ ✗ ✗ ✗ ✗ o ✗ ✗ ✗ ✗ o o o ✗ ✗ ✗ ✗ o

Дом

ен у

прав

лени

я Ц

ОД

Серверы AD

Сетевые службы

Униф. коммуникации

HVAC

Прил. 1

Прил. 2

Корпоративный домен управления

Безо

пасн

ость

Кара

нтин

Устр

. 1 п

рил.

1

Устр

. 2 п

рил.

1

Устр

. 1 п

рил.

2

Пол.

1 п

рил.

1

Пол.

1 п

рил.

2

Пол.

1 п

рил.

3

HVAC

Дост

уп B

YOD




HVAC

Униф

.

ком

мун

икац

ии

Прил. 3

Приложения безопасности

Прил

ожен

ия

безо

пасн

ости

Дом

ен у

прав

лени

я VD

I пар

тнер

а

ДМЗ

в Ин

терн

ете

Прил

. 1

Прил

. 3

Домен управления VDI партнера

ДМЗ в Интернете

Целе

вая

груп

па

Дом

ен у

прав

лени

я ко

рпор

атив

ным

сай

том

Серв

еры

AD

Сете

вые

служ

бы

Униф

.

ком

мун

икац

ии

Исходная группа

Домен управления ЦОД

Доступ BYOD

Карантин

Безопасность

Униф. коммуникации

Прил

. 2



HVAC


Запрещено

Разрешено

ACL

Условные обозначения


Заключение


Итак

81

Технологии Cisco могутобеспечивать видимость

пользователей, устройств и действий

Политику безопасности можно эффективно

моделировать и проверять

Для создания эффективной политики безопасности нужны данные

Спасибо за внимание!

www.facebook.com/CiscoRu

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

www.vk.com/cisco

Оцените данную сессию в мобильном приложении конференции

Контакты:

Тел.: +7 495 9611410www.cisco.com

Documents

Михаил Кадер Инженер - Cisco · Группа 3 Группа 4 Виртуальные системы Пассивный ID (Easy Connect) MAB, Профили-рование