Upload
cisco-russia
View
1.091
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
© 2011 Cisco and/or its affiliates. All rights reserved. 1
Принимайте активное участие в Cisco Expo и получите в подарок Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua
© 2011 Cisco and/or its affiliates. All rights reserved. 2
Архитектурный подход к обеспечению ИБ современного предприятия
Алексей Лукацкий
Менеджер по развитию бизнеса
© 2011 Cisco and/or its affiliates. All rights reserved. 3
• Большое количество требующих контроля каналов взаимодействия с партнерами, контрагентами, поставщиками
• Забывчивость в отношении аутсорсинговых и международных партнеров
Разработчики ПО
Обслуживающий персонал
Сотрудники облачных провайдеров
• Активное развитие вредоносных технологий
Целью является все
• Концентрация на внутренней безопасности
«Забывчивость» в отношении внешних аспектов – операторы связи, партнеры, аутсорсеры, облачные вычисления, BYOD и т.п.
© 2011 Cisco and/or its affiliates. All rights reserved. 4
• Конфликт ИБ и ИТ
Отсутствие контроля привилегированных пользователей
Отсутствие требований по ИБ к разработке собственного ПО
Кто отвечает за эксплуатацию средств защиты?
• Концентрация на «классической» ИБ
Что насчет защиты нетрадиционных направлений (принтеры, СКУД, видеонаблюдение и т.п.)?
Как насчет контроля поведения (профилирования) клиентов?
• Неготовность к неконтролируемым ситуациям
Фишинг, информационные войны…
• (Недо/пере)оценка роли регуляторов
Деятельность регуляторов четко регулируются законами
Отсутствие контроля выпуска новых нормативных актов
© 2011 Cisco and/or its affiliates. All rights reserved. 5
• Отсутствие стандартизации и унификации технологий, продуктов, методов и подходов
Рост операционных затрат
Сложность поддержки и интеграции
• Повтор и избыточность
Не путать с резервированием
Нехватка ресурсо-затрат
• Упущения неочевидных вещей
• Отсутствие планов развития
Нехватка гибкости и адаптивности к новым требованиям
© 2011 Cisco and/or its affiliates. All rights reserved. 6
• Финансирование по остаточному принципу
• Неудовлетворенность пользователей, снижение их продуктивности и рост цены их поддержки
• Потенциальные наезды со стороны регуляторов
• Неэффективность ИБ в виду забывчивости в отношении некоторых направлений бизнеса
• Несогласованность действий подразделение
Дизайн и архитектура
• 1Х
Внедрение
• 5Х
Тесты интеграции
• 10Х
Бета-тестирование
• 15Х
Боевой запуск
• 30Х
© 2011 Cisco and/or its affiliates. All rights reserved. 7
Изменение бизнеса
Улучшение бизнеса
Развитие вместе с бизнесом
«Хаос»
© 2011 Cisco and/or its affiliates. All rights reserved. 8
Бизнес-приоритеты
• Переход к системам коллективной работы, облачным вычислениям и концепции BYOD
• Сдвиг продаж в «поля» (PoS, PoD)
• Снижение операционных и капитальных затрат
Приоритеты ИБ
• Акцент на очерчивание периметра и его защиту
• Защита центра обработки данных
• Создание наложенной системы безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 9 Чего-то не хватает?!..
© 2011 Cisco and/or its affiliates. All rights reserved. 10
Смогли бы вы построить…
… здание, не имея архитектурного проекта?
Одна проблема порождает другую Временные затраты на решение
проблем Дорогостоящие изменения
Применение опыта специалиста Экономия драгоценного времени Снижение совокупной стоимости владения
Без плана развертывания С планом развертывания
© 2011 Cisco and/or its affiliates. All rights reserved. 11
• Архитектура описывает желаемую структуру инфраструктуры безопасности организации и других связанных с ИБ компонентов и интерфейсов
Включает процессы, людей, техологии и разные типы информации
Создается с точки зрения бизнеса и учитывает его текущие и будущие потребности
• 2 главных вопроса архитектуры ИБ
ЧТО? Из чего строить систему защиты?
КАК? Как строить систему защиты?
© 2011 Cisco and/or its affiliates. All rights reserved. 12
© 2011 Cisco and/or its affiliates. All rights reserved. 13
Требование
разнообразия устройств
Смешение частного и
служебного
Нужен доступ к
критичных ресурсам
© 2011 Cisco and/or its affiliates. All rights reserved. 14
Цель
Расширение спектра
целевых угроз Атаки на новые
технологии
Рост экосистемы
киберпреступности
# !
%
© 2011 Cisco and/or its affiliates. All rights reserved. 15
Инкапсуляция
коммуникаций
Виртуализация
центров обработки
данных
Переход к облачному
хранению
# !
%
© 2011 Cisco and/or its affiliates. All rights reserved. 16
Рост трафика на ПК Драматический рост
трафика в ЦОД
Взаимодействие видео
и социальных сетей
# !
%
Business Pipeline
Социальные сети
Web-почта
Приложения
Hotmail
© 2011 Cisco and/or its affiliates. All rights reserved. 17
Внимание руководства
Рост
Глобализация
Соответствие
Привлечение людей
Разрешить
Внимание
ИТ
Соответствие
Риск-менеджмент
Регулирование
Персданные
Защитить
Внимание
ИБ
© 2011 Cisco and/or its affiliates. All rights reserved. 18
Не пустить плохих
Пустить хороших
Соответствовать
Учесть BYOD
Разрешить виртуализацию
Быть готовым к облакам
Политика
Организационно – КТО?
Операционно – КАК?
Технологически – ЧТО?
Access
Identity
Compliance
Endpoint
Intrusion
Management
Wired
Wireless
VPN
In the Network
On the Network
On the Device
Compliance Ops.
Network Ops.
Application Team
Endpoint Team
Security Ops.
HR
Контроль доступа
Identity Mgmt
Соответствие
Endpoint
Вторжения
Управления
Проводное
Беспроводное
VPN
В сети
Поверх сети
На устройстве
Application Team
Security Ops.
HR
Endpoint Team
Network Ops.
Compliance Ops.
© 2011 Cisco and/or its affiliates. All rights reserved. 20
Сеть
Объединить людей и информацию... Безопасно
Исследования в области ИБ
Политика
Управление
Точки приложения сил
Устройства &
Пользователи Активы & Информация
© 2011 Cisco and/or its affiliates. All rights reserved. 21
Соответствие
Сервисы
Сеть как несущая конструкция всей системы
Distributed
Workforce & BYOD
Защищенный
универсальный
доступ
Защита сетевого
периметра
Threat
Defense
Защищенный
переход к
облачным
вычислениям
Virtualization
& Cloud
Application
Visibility & Control
Авторизованное
использование
контента
Исследование угроз
Контекстная политика
© 2011 Cisco and/or its affiliates. All rights reserved. 22
Эффективное решение бизнес-задач
Borderless Networks
Data Center/ Virtualization
Collaboration Service Provider
SecureX
© 2011 Cisco and/or its affiliates. All rights reserved. 23
Как...
DoS-атаки
Устройства без поддержки 802.11
Вредоносные точки доступа
Хакерская атака с промежуточного узла (Man-in-the-Middle)
защитить мою проводную и беспроводную сеть от атак через эфир?
получить представление о состоянии радиочастотного спектра?
обеспечить соответствие нормативным требованиям и защитить мои радиоресурсы?
Низкие капитальные затраты
Простота управления
Самая низкая совокупная стоимость владения
Упрощение обучения
Функциональность, противостоящая новейшим угрозам
Адаптируемость к новым функциям
Встроенная Лучшая в своем классе
Глубина защиты
Гибкость и масштабируемость за счет MSE
Объединенная защита проводных и беспроводных сетей
Адаптивная система wIPS наилучшее решение для обоих типов сетей
© 2011 Cisco and/or its affiliates. All rights reserved. 24
Прогресс за последние годы
vm v
m vm
vm v
m vm
vm v
m vm
Internet
1. Интегрированные IOS Firewall, VPN, IPS
2. Будущее: ASA-CX на IOS-XE
3. 802.1x, TrustSec, Security Group Tags
4. Сегментация и динамические политики через ISE
5. ISE, интегрированный с Prime
6. Virtual Firewall на Nexus 1000V
7. Virtual Email и Web Security на UCS
8. ASA Module for 6500, Будущее: Nexus 7K
9. ScanSafe Connector
ЦОД
Кампус или филиал
© 2011 Cisco and/or its affiliates. All rights reserved. 25
© 2011 Cisco and/or its affiliates. All rights reserved. 26
Соответствие: PCI 1.0/2.0 HIPAA SOX ПДн ISO 27001
THE THE
THE
Сервисы:
Сеть:
Distributed
Workforce & BYOD
Threat
Defense
Virtualization
& Cloud
Application
Visibility & Control
Исследование угроз:
Политика:
Web Security
Appliance
VPN
Identity Services Engine TrustSec
Cisco Advanced Services Partner Shared Services
AnyConnect
Cloud Web
Security
WLAN Controller
Adaptive
Security
Intrusion
Prevention
Virtual Security
Gateway
Nexus 1000v
Router Security
Email | Web
Security
Adaptive
Security (CX)
Router Security
Web Security
Virtual ASA
NCS Prime: Networks/Security
Router Switch Appliance Cloud Virtual
Identity Services
Engine
© 2011 Cisco and/or its affiliates. All rights reserved. 27
SensorBase Threat Operations Center Dynamic Updates
WEB -ЗАПРОСОВ
30B СООБЩЕНИЙ EMAIL
100M МИРОВОГО ТРАФИКА
35%
ГЛОБАЛЬНЫХ СЕНСОРОВ
750,000+ ДАННЫХ В ДЕНЬ
4 TB
© 2011 Cisco and/or its affiliates. All rights reserved. 28
Threat Operations Center
ИНЖЕНЕРОВ, ТЕХНАРЕЙ И
АНАЛИТИКОВ
500 ЯЗЫКОВ
40+ Ph.D.s, CCIE, CISSPs, MSCEs
80+
Dynamic Updates
ИНВЕСТИЦИЙ В
ИССЛЕДОВАНИЯ И РАЗРАБОТКУ
$100M ОПЕРАЦИИ
24x7x365
© 2011 Cisco and/or its affiliates. All rights reserved. 29
Threat Operations Center
ПУБЛИКАЦИЙ
20+ КОНТРОЛЬ ПАРАМЕТРОВ
200+ ПРАВИЛ В ДЕНЬ
8M+
Dynamic Updates
ВЫПУЩЕНО СИГНАТУР IPS
6,500+ ИНТЕРВАЛЫ ОБНОВЛЕНИЙ
3 - 5
© 2011 Cisco and/or its affiliates. All rights reserved. 30
Согласованная политика
на основании результатов
идентификации на всех
уровня – от устройства до
ЦОД – в соответствии с
бизнес-потребностями
Распространение сведений
о политиках и
интеллектуальных
механизмов по сети
Метки групп безопасности
позволяют обеспечить
масштабируемое
применение политик
с учетом контекста
РЕШЕНИЕ CISCO
Решения на основании состояния 1. Разрешение/блок в соответствии с политикой
2. Авторизованным устройствам назначаются
метки политики
3. Теги политики учитываются при работе в сети
VPN
ЦОД
Виртуальные машины в ЦОД
ОК
СТОП
КТО
ЧТО
ГДЕ
КОГДА
КАК ? ? ?
MACSec
© 2011 Cisco and/or its affiliates. All rights reserved. 31
Сценарий Ограниченный Базовый Расширенный Передовой
Бизнес
политика Блокировать доступ
Доступ по ролям
изнутри сети
Гранулир. доступ
внутри и снаружи
Полноценное
мобильное рабочее
место
ИТ-
требования
Технологии
• Знать “кто” и “что”
включено в сеть
• Давать доступ
только
корпоративным
устройствам
• Предоставлять
персональным и
гостевым
устройствам
доступ в
Интернет и
ограниченному
числу внутренних
ресурсов
• Гранулированный
доступ изнутри
сети
• Гранулированный
удаленный
доступ к
ресурсам через
Интернет
• Использование
VDI
• Обеспечение
родных
приложений для
мобильных
устройств
• Управление
мобильными
устройствами
(MDM)
Cisco Switches, Cisco Routers, Cisco Wireless LAN Infrastructure Сетевая
инфраструктура
Управление
Идентификация и политики
Удаленный доступ и
безопасность
Приложения
Cisco Prime NCS
Third Party MDM
Cisco Identity Services Engine
Cisco ASA/ESA/WSA
Cisco AnyConnect
ScanSafe
Корпоративные приложения и VDI
© 2011 Cisco and/or its affiliates. All rights reserved. 32
WLAN AP
Access Switch
Adaptive Security
Appliance (ASA)
Identity Services
Engine (ISE)
Certificate Authority
(CA)
Mobile Device
Manager (MDM)
Wireless Router
Integrated Services
Router G2 (ISR G2)
Aggregation Services
Router (ASR)
Campus
Switching Core
Branch Office
Home Office
Active Directory
(AD)
AnyConnect
WLAN Controller
(WLC)
Prime NCS
RSA Secure ID
Не доверенная сеть
Доверенная корпоративная
сеть
Internet
Mobile Network
Public Wi-Fi
WAN
BYOD устройства
Проводной, Беспроводный, Мобильный доступы
Шлюзы безопасности Инфраструктура защиты и управлениям политиками
Инфраструктура доступа
© 2011 Cisco and/or its affiliates. All rights reserved. 33
Инвентаризация
Инициализация
устройства
Безопасность данных на
устройстве
Безопасность приложен.
Управление затратами
Полная или частичная
очистка удаленного
устройства
Защита устройства Контроль доступа и защита от сетевых угроз
Cisco ISE AnyConnect ASA ScanSafe WSA
Аутентификация
пользователей и
устройств
Оценка состояния
Применение
политики доступа
Безопасный
удаленный доступ
Защита от угроз
Политика
использования
Web
Защита от утечек
информации
© 2011 Cisco and/or its affiliates. All rights reserved. 34
КОГДА ЧТО
ГДЕ
КАК КТО
Идентификация
Атрибуты
политики
безопасности
Модуль централизованных политик
Политики,
относящиеся к бизнесу
Пользователи и
устройства
Динамическая политика и реализация
УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ
МОНИТОРИНГ И
ОТЧЕТНОСТЬ
РЕАЛИЗАЦИЯ ПОЛИТИК
БЕЗОПАСНОСТИ
© 2011 Cisco and/or its affiliates. All rights reserved. 35
Администрирование
политики Принятие решений на
базе политик
Реализация
политик
На основе TrustSec
Информация
о политике
На основе TrustSec
Доступ на основе идентификации — это не опция, а свойство сети,
включая проводные, беспроводные сети и VPN
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,
инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000
Identity Services Engine (ISE) Система политик доступа на основе идентификации
Агент NAC Web-агент
AnyConnect или запрашивающий
клиент, встроенный в ОС
Запрашивающий клиент 802.1x
Бесплатные клиенты с постоянным или временным
подключением для оценки состояния и устранения проблем
© 2011 Cisco and/or its affiliates. All rights reserved. 36
Отличительные особенности
идентификации
Режим монитора
Гибкая последовательность
аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных
настольных систем
Коммутатор Cisco Catalyst®
Web-
аутентификация
Функции аутентификации
IEEE 802.1x Обход аутентификации по
MAC-адресам
Web-
аутентификация
Полная прозрачность
Сетевое
устройство
802.1X
IP-
телефоны
Авторизо-
ванные
пользователи
Гости
MAB и
профилирование
Планшеты
На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации
© 2011 Cisco and/or its affiliates. All rights reserved. 37
ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Множество устройств в проводной и беспроводной сети
Должно быть предусмотрено управление политиками для каждого типа устройств
Необходима гарантия того, что устройство соответствует цифровым меткам
Быстрый рост числа
устройств
и идентификация для
реализации политик
Проблема
© 2011 Cisco and/or its affiliates. All rights reserved. 38
Временный
ограниченный доступ к
сети до устранения
проблем
Пример политики для сотрудника
• Исправления и обновления Microsoft установлены
• Антивирус McAfee установлен, обновлен и работает
• Корпоративный ресурс проходит проверку
• Приложение предприятия выполняется
Проблема:
• Наличие сведений о работоспособности устройства
• Различие уровней контроля над устройствами
• Затраты на устранение проблем
Ценность:
• Временный (на web-основе) или постоянный агент
• Автоматическое устранение проблем
• Реализация дифференцированных политик на основе ролей
Пользователь
проводной,
беспроводной,
виртуальной сети
Полная прозрачность
Не
соответствует
требованиям
© 2011 Cisco and/or its affiliates. All rights reserved. 39
Гостевые
политики
Гости
Web-
аутентификация
Беспроводный или проводной доступ
Доступ только к Интернету
Выделение ресурсов: гостевые учетные записи
на спонсорском портале
Уведомление:
сведения о гостевой учетной
записи в бумажном виде, по
электронной почте или SMS
Управление:
права спонсоров,
гостевые учетные записи и
политики, гостевой портал
Отчет:
по всем аспектам гостевых
учетных записей
Интернет
Полная прозрачность
© 2011 Cisco and/or its affiliates. All rights reserved. 40
Масштабируемая
реализация
Сети VLAN
Списки управления доступом (ACL)
Метки групп безопасности *
Шифрование MACSec *
Управление
доступом на
основе политик
Удаленный пользователь
VPN
Пользователь с беспроводным
доступом
Пользователь с проводным доступом
Устройства
Абсолютный контроль
* =
СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ
И УЧЕТОМ КОНТЕКСТА
Виртуальный рабочий стол
Центр обработки данных
Интранет Интернет Зоны
безопасности
Инновации
Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. 41
Динамические или
именованные ACL-списки
• Меньше перебоев в работе
оконечного устройства (не
требуется смена IP-адреса)
• Повышение удобства для
пользователей
Сети VLAN
• Не требует управления
ACL-списками на портах
коммутатора
• Предпочтительный выбор
для изоляции путей
Доступ для групп
безопасности
• Упрощение управления
ACL-списками
• Единообразная
реализация политик
независимо от топологии
• Детализированное
управление доступом
Гость
VLAN 4 VLAN 3
Устранение проблем
Сотрудники Подрядчик
Сотрудник Любой IP-
адрес
Доступ для групп безопасности
— SXP, SGT, SGACL, SGFW
Гибкие механизмы реализации политик в вашей инфраструктуре
Широкий диапазон доступных клиенту вариантов доступа
Абсолютный контроль
Инновации
Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. 42
Политики на основе понятного технического языка
Таблица доступа согласно политике на основе ролей
Ресурсы
D1
(10.156.78.100)
Медицинские
карты
пациентов
D3
(10.156.54.200)
Электронная
почта
в интранет-сети
D5 (10.156.100.10)
Финансова
я служба D6
D4
D2
Разрешения
Интранет
-
портал
Почтовый
сервер
Серверы
финансовой
службы
Медицинские
карты
пациентов
Врач Интернет IMAP Нет
доступа Совместный web-
доступ к файлам
Финансовая
служба Интернет IMAP Интернет Нет доступа
ИТ-
админист-
ратор
WWW,
SQL, SSH
Полный
доступ SQL SQL
Матрица политик
Совместный
web-доступ к
файлам
permit tcp S1 D1 eq https permit tcp S1 D1 eq 8081 deny ip S1 D1 …… …… permit tcp S4 D6 eq https permit tcp S4 D6 eq 8081 deny ip S4 D6
Требует затрат времени
Ручные операции
Предрасположенность к
ошибкам
Простота
Гибкость
Учет характера
деятельности
permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 permit tcp dst eq 135 deny ip
ACL-список "Врач - карта пациента"
Врачи
Финансовая служба
ИТ-администраторы
S1
(10.10.24.13)
S2 (10.10.28.12)
S3 (10.10.36.10)
S4 (10.10.135.10)
Отдельные пользователи
© 2011 Cisco and/or its affiliates. All rights reserved. 43
• Клиент IPSec/SSL/DTLS VPN
Client/Clientless
• Оценка состояния
• Location-Specific Web Security
На периметре (Ironport WSA) или через облако (ScanSafe)
• Защищенный доступ в облако через SSO
• Контроль сетевого доступа
802.1X Authentication and Posture
MACsec encryption
Cisco TrustSec devices (план)
• Windows, Mac, Linux, Windows Mobile, Apple iOS, Palm, Symbian, Android, Windows Phone (план)
Internet-Bound Web Communications
ScanSafe
© 2011 Cisco and/or its affiliates. All rights reserved. 44
Новости Электронная
почта
Социальные сети Корпоративная
SaaS-система
Cisco WSA
Обмен данными между ASA и
WSA
Corporate AD
ASA
AnyConnect
© 2011 Cisco and/or its affiliates. All rights reserved. 45
Wired или Wireless
Cisco Catalyst Switches
Window или OS X ПК
Cisco WLAN Controller
ISE
MDM Mgr Контекстная политика
Смартфоны, включая устройства с iOS или
Android Wireless
AD/LDAP
User X User Y
?
Интеграция с лидерами рынка MDM
• MobileIron, Airwatch, Zenprise, Good
• Заказчики могут выбирать
Функции:
• Всесторонний анализ устройств
• Детальный контекст пользователей
и устройств
• Расширенная защита устройств и
приложений
© 2011 Cisco and/or its affiliates. All rights reserved. 46
РЕШЕНИЕ CISCO
КТО
ЧТО
ГДЕ
КОГДА
КАК Политика с учетом контекста
IPS
WSA
ASA
ESA
СЕТЬ
Полномасштабное
решение: ASA, IPS,
«облачные» сервисы
защиты web-трафика и
электронной почты
Политика с учетом
контекста точнее
соответствует бизнес-
потребностям в сфере ИБ
Простота
развертывания и
обеспечения защиты
распределенной среды
© 2011 Cisco and/or its affiliates. All rights reserved. 47
ASA 5512-X Пропускная
способность
межсетевого экрана 1
Гбит/с
ASA 5515-X Пропускная
способность
межсетевого экрана 1,2
Гбит/с
ASA 5525-X Пропускная
способность
межсетевого экрана 2
Гбит/с
ASA 5545-X Пропускная
способность
межсетевого экрана 3
Гбит/с
ASA 5555-X Пропускная
способность
межсетевого экрана 4
Гбит/с
1. Пропускная способность на
уровне нескольких Гбит/с Для удовлетворения растущих
требований к пропускной способности
2. Встроенные средства ускорения
сервисов
(дополнительное оборудование не
требуется) Для поддержки меняющихся
потребностей бизнеса
3. Платформа с поддержкой
сервисов нового поколения Для защиты инвестиций
© 2011 Cisco and/or its affiliates. All rights reserved. 48
Кластеризация
IPv6
Cisco® Cloud Web Security
Улучшения мультиконтекстных возможностей
Смешанный режим
Cisco TrustSec®
Шифрование нового поколения
Бесклиентские VPN-подключения
Улучшения производительности и масштабируемости
VPN в Cisco ASA-SM
© 2011 Cisco and/or its affiliates. All rights reserved. 49
Пр
ои
зв
од
ите
ль
но
сть
, м
ас
шта
би
руем
ос
ть
, а
да
пти
вн
ос
ть
Комплекс
зданий
Интернет-
периметр Филиал
Cisco IPS 4360
Cisco® IPS 4345
Центр обработки
данных
Cisco IPS 4510
Cisco IPS 4520
Новинка
Новинка
Новинка
Новинка
© 2011 Cisco and/or its affiliates. All rights reserved. 50
Пр
ои
зв
од
ите
ль
но
сть
, м
ас
шта
би
руем
ос
ть
, а
да
пти
вн
ос
ть
Комплекс
зданий
Интернет-
периметр Филиал SOHO Центр обработки
данных
Cisco ASA 5585-X-S60P60
Cisco ASA 5585-S40P40
Cisco ASA 5585-S20P20
Cisco ASA 5585-S10P10
Cisco® ASA 5512- X IPS
Cisco ASA 5515-X IPS
Cisco ASA 5525-X IPS
Cisco ASA 5545-X IPS
Cisco ASA 5555-X IPS
Новинка
Новинка
Новинка
Новинка
Новинка
© 2011 Cisco and/or its affiliates. All rights reserved. 51
• Платформа для межсетевого экрана нового поколения с поддержкой защитных сервисов
• Устройства ASA среднего уровня с функцией ПО IPS с учетом контекста
• IPS в виде виртуальных блейдов – аппаратные модули не требуются
• Cisco® ASA 5525-X , ASA 5545-X и ASA 5555-X имеют аппаратное ускорение для IPS
• 1 интерфейс Gigabit Ethernet
• Доступны платы расширения ввода-вывода
Новый межсетевой экран с поддержкой сервисов и функцией IPS
© 2011 Cisco and/or its affiliates. All rights reserved. 52
• Специализированная платформа IPS среднего уровня с учетом контекста
• Четырехкратное увеличение производительности Cisco® IPS серии 4200 за половину стоимости
• Обработка с аппаратным ускорением Regex
• Интерфейсы Gigabit Ethernet
• Bypass-платы будут доступны в октябре
© 2011 Cisco and/or its affiliates. All rights reserved. 53
• Специализированные высокоскоростные устройства IPS с учетом контекста
• Обработка с аппаратным ускорением Regex
• Развертывания на уровне ядра ЦОД или предприятия
• Интерфейсы Gigabit Ethernet, интерфейсы 10 Gigabit Ethernet и слот SFP
• Масштабируемость: доступен слот для будущего наращивания мощностей
© 2011 Cisco and/or its affiliates. All rights reserved. 54
Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520
Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)
Процессор 4 ядер
4 потока
4 ядер
8 потока
8 ядер
16 потока
12 ядер
24 потока
Память 8 GB 16 ГБ 24 ГБ 48 GB
Базовые порты данных 8 x 1 GE Cu 8 x 1 GE Cu
6 x 1 GE Cu
4 x 10 GE SFP
6 x 1 GE Cu
4 x 10 GE SFP
Ускоритель Regex Одинарный Одинарный Одинарный Двойной
Электропитание Постоянное значение
переменного тока
2 с возможностью
горячей замены
2 с возможностью
горячей замены
2 с возможностью
горячей замены
© 2011 Cisco and/or its affiliates. All rights reserved. 55
Специализированная система
Cisco IPS 4500 • Прозрачна и незаметна в сети
• Ввод-вывод на основе IPS
• Нормализация под управлением IPS
• Свободный слот для использования в
будущем
Интегрированное устройство
Cisco ASA 5585-X IPS • Прозрачность как вариант.
• Ввод-вывод принадлежит межсетевому
экрану.
• Нормализацией управляет межсетевой экран.
• Для выбора политики IPS доступны
дополнительные возможности (5 элементов
потока, код пользователя и т. д.).
Основные отличия
© 2011 Cisco and/or its affiliates. All rights reserved. 56
Все типы оборудования
• SCADA
• DCS
• PLC
• SIS
• EMS
• Все основные производители
• Schneider
• Siemens
• Rockwell
• GE, ABB
• Yokogawa
• Motorola
• Emerson
• Invensys
• Honeywell
• SEL
• И это не конец…
© 2011 Cisco and/or its affiliates. All rights reserved. 57
Cisco ASA CX
Cisco Web Security
Лучшие показатели (простота,
согласованность, интеграция),
снижение затрат и повышение
производительности при работе с
приложениями
Оптимизация и защита
приложений на периметре
URL-фильтрация
AAA
Профилирование устройств
Контроль на разных уровнях
Широкий функционал
Безопасность + контроль
работы приложений
$
+
ASA CX
РЕШЕНИЕ CISCO
Центральный
офис
© 2011 Cisco and/or its affiliates. All rights reserved. 58
Понимание контекста
Классический МСЭ ASA
Устройство Интегрированное решение Виртуализация
Широкий спектр платформ
© 2011 Cisco and/or its affiliates. All rights reserved. 59
• Межсетевой экран нового поколения
• Context-Aware Firewall
• Активная/Пассивная аутентификация
• Application Visibility and Control/DPI с анализом контента
• Репутационная фильтрация
КОГДА ЧТО ГДЕ/ОТКУДА КАК КТО
© 2011 Cisco and/or its affiliates. All rights reserved. 60
Покрытие широкого спектра сценариев идентификации
* Future
КТО
TRUSTSEC*
Network Identity
Group information
Any tagged traffic User Authentication • Auth-Aware Apps
• Mac, Windows, Linux
• AD/LDAP user credential
AD/LDAP Identity • Non-auth-aware apps
• Any platform
• AD/LDAP credential
IP Surrogate
AD Agent
NTLM
Kerberos
© 2011 Cisco and/or its affiliates. All rights reserved. 61
ЧТО
75,000+ MicroApps
MicroApp Engine
Глубокий анализ трафика
приложений
Поведение
приложений
Контроль действий
пользователя внутри
приложений
Покрытие… … классификация всего
трафика
1,000+ приложений
© 2011 Cisco and/or its affiliates. All rights reserved. 62
Бизнес-задача Как решается ASA CX Пример
Нарушение полосы
пропускания
Контроль использования приложений
Peer-to-Peer
Конфиденциальная
информация
загружается в облако
Контроль использования сервисов
общего пользования
Продуктивность
пользователей
Блокирование «нерабочих»
приложений, оставляя при этом
доступ к нужным ресурсам
Удаленный контроль ПК
с помощью
вредоносного ПО
Блокирование приложений
удаленного доступа, оставляя,
например, WebEx
Маскировка
вредоносного ПО под
обычные приложения
Идентификация и контроль
приложений, который работают на
известных портах
© 2011 Cisco and/or its affiliates. All rights reserved. 63
ЧТО
Маркетинг Юристы Финансы
языков
стран
mn URLs
покрытие
60
200
20
98%
© 2011 Cisco and/or its affiliates. All rights reserved. 64
Бизнес-задача Как решается ASA CX
Реализация политик
разрешенного
использования
Блокирование для всех сайтов категорий: Adult, Child
Abuse Content, Gambling, Hate Speech, Illegal Activities и
т.д.
Создание защищенного
окружения для обучения
Запрет студентам, но разрешение для других категорий
доступа к следующим категориям сайтов: Entertainment,
Arts, Dining and Drinking, Online Trading
Поддержка продуктивности
пользователей
Запрет доступа сотрудников к следующим категориям
сайтов: Sports and Recreation, Travel, Photo Search and
Images
Контроль сайтов,
съедающих полосу
пропускания
Запрет доступа сотрудников к следующим категориям
сайтов: File Transfer Services, Freeware and Shareware,
Illegal Downloads, Internet Telephony
Пользователи, обходящие
правила Блокирование прокси и анонимайзеров
© 2011 Cisco and/or its affiliates. All rights reserved. 65
ГДЕ/ОТКУДА
ОФИС
ОТЕЛЬ
© 2011 Cisco and/or its affiliates. All rights reserved. 66
Информация с 100,000,000 оконечных устройств
Устройство Состояние
AV
Registry Files
Версия ОС
Identity Services Engine
КАК
© 2011 Cisco and/or its affiliates. All rights reserved. 67
• Система управления для ASA CX
• Встроенный в ASA CX для управления одним МСЭ
• Отдельное устройство для поддержки нескольких ASA CX
• RBAC
• Конфигурация, события и репортинг
• Виртуальная машина или устройство UCS
© 2011 Cisco and/or its affiliates. All rights reserved. 68
ASA
• Ядро или ЦОД
• Multi-tenant
• Active/Active Failover
ASA CX
• Кампус или граница
• Контроль приложений
• Next-gen Firewall
© 2011 Cisco and/or its affiliates. All rights reserved. 69
WSA
• Прокси-сервер
• Кеширование
• Сканирование Anti-Malware
• DLP
• Полная Web-безопасность
ASA CX
• Next-gen Firewall
• Inline
• Все порты/протоколы
• Базовая Web-безопасность
© 2011 Cisco and/or its affiliates. All rights reserved. 70
Лучшая в своем классе безопасность сети
Лучшая в своем классе web-защита на основе
облака
© 2011 Cisco and/or its affiliates. All rights reserved. 71
Script
Flash
Java
.exe
Несколько
сканеров
AV
Web-страница
«Чисты
й»
контент
Известные вредоносные программы заблокированы
Глубокий
анализ
контента
Виртуализован-
ная
эмуляция
скриптов
Структурное
изучение
контента
Да
Новые вредоносные программы
заблокированы
Web-контент
Контроль исходящего
трафика
Script-
сканирова
ние
Сканирование
репутации
PDF-
сканирова
ние
Flash-
сканирова
ние
Java-
сканирова
ние
Exe-
сканирова
ние
© 2011 Cisco and/or its affiliates. All rights reserved. 72
ЧТО
Классификация и контроль
web-трафика
Более 1000 приложений
Подробная классификация и
контроль поведений
микроприложений и
приложений
Более 75 000 микроприложений Контроль
пропускной
способности
© 2011 Cisco and/or its affiliates. All rights reserved. 73
Высокопроизводи-
тельные устройства
обеспечения ИБ
для ЦОД
Унификация систем защиты
физических и виртуальных
сред; тонки настройки
основанной на зонах политики
с учетом контекста
Распространение политик
Безопасная работа с приложениями
Поддержка Vmotion
Защищенная сегментация VM
Защищенная сегментация «облака»
РЕШЕНИЕ CISCO
Nexus 1000v
Cisco ASA и ASA 1000V
Сенсоры IPS
ЗАЩИЩЕННЫЕ
ЧАСТНЫЕ «ОБЛАКА» ЗАЩИЩЕННЫЕ
ОБЩЕДОСТУПНЫЕ «ОБЛАКА»
Cisco Virtual Security Gateway
ЗАЩИЩЕННЫЕ
ГИБРИДНЫЕ «ОБЛАКА»
© 2011 Cisco and/or its affiliates. All rights reserved. 74
Virtualization
Security
V-Motion (Memory)
V-Storage (VMDK)
VM Segmentation
Hypervisor Security
VM Sprawl
Patch Management
VM OS Hardening
Role Based Access
Physical Security
Virtual Security Gateway на
Nexus 1000V с vPath
© 2011 Cisco and/or its affiliates. All rights reserved. 75
Security Admin
Port Group
Service Admin
Virtual Network Management Center • Консоль управления VSG
• Запуск на одной из VMs
Virtual Security Gateway • Программный МСЭ
• Запускается на одной из VMs
• Сегментация и политики для всех VMs
Nexus 1000V with vPath • Распределенный virtual
switch
• Запускается как часть гипервизора
Физический сервер • UCS или
• Другой x86 server
© 2011 Cisco and/or its affiliates. All rights reserved. 76
• Согласованность традиционной и виртуальной безопасности
• Модель объединенной безопасности
Виртуальный шлюз безопасности Cisco Virtual Secure Gateway (VSG) для пользовательских защищенных зон
Cisco ASA 1000V для управления периметром пользовательской сети
• Прозрачная интеграция
С помощью коммутатора Cisco Nexus® 1000V и Cisco vPath
Пользователь Б Пользователь А
VDC Виртуальное
приложение vApp
Виртуальное
приложение vApp
Гипервизор
Cisco Nexus® 1000V
Cisco vPath
VDC
Центр управления виртуальными сетями Cisco®
(VNMC)
VMware vCenter
Cisco
VSG Cisco
VSG
Cisco
VSG
Cisco ASA
1000V
Cisco ASA
1000V
Cisco
VSG
© 2011 Cisco and/or its affiliates. All rights reserved. 77
© 2011 Cisco and/or its affiliates. All rights reserved. 78
• Набор лучших практик по построению надежной и защищенной сети
Дизайны и конфигурации
• 354 страницы
• Множество интерпретаций базового SAFE для различных технологий (ЦОД, UC, виртуализация) и отраслей (финансы, ТЭК и т.д.)
© 2011 Cisco and/or its affiliates. All rights reserved. 79
© 2011 Cisco and/or its affiliates. All rights reserved. 80
Принципы ИТ
• Модульность / поэтапность
• Снижение TCO
• Стандартизация / унификация
• Гибкость
• Надежность
• Поддержка новых проектов
• Адаптивность / автоматизация
• Масштабируемость
Принципы ИБ
• Безопасность как свойство, а не опция
• Цель – любое устройство, сегмент, приложение
• Эшелонированная оборона
• Независимость модулей
• Двойной контроль
• Интеграция в инфраструктуру
• Соответствие требованиям
© 2011 Cisco and/or its affiliates. All rights reserved. 81
Уровень Блок Агрегация функций
Отказоустойчивость и резервирование
Разделение функций
Лучшие в отрасли
Модуль
© 2011 Cisco and/or its affiliates. All rights reserved. 82
Data
Center Campus
WAN
Edge Branch
Internet
Edge
E-comm-
erce
Cisco
Teleworker
Virtual
User
Partner
Sites
Сервисы
Policy and
Device
Management
Решения по ИБ PCI
DLP
Threat Control
Сетевые устройства Routers
Servers
Switches
Identify
Monitor
Correlate
Harden
Isolate
Enforce
Видимость Контроль
Secured Mobility, Unified Communications, Network Virtualization
Network Foundation Protection
Устройства ИБ VPNs
Monitoring
Admission Control
Intrusion Prevention
Firewall
Email Filtering
© 2011 Cisco and/or its affiliates. All rights reserved. 83
Примечание! Отображена реализация не всех требований
Credit Card
Storage
(PCI 1,3,5,6,7)
Удаленная площадка Периметр Интернет
ISR (PCI 4)
Catalyst
ASA (PCI 1,4)
6500 FWSM
CS-MARS (PCI 10)
NAC
Главный офис
6500 Switch
WAP
E-commerce (PCI 1,3,5,6,7)
ASA (PCI 1,4)
7200
CSA MC (PCI 10,12)
WAP
POS Cash Register
(PCI 1,3,5,6,7)
Мобильный
POS POS сервер
(PCI 1,3,5,6,7)
ПК
магазинного
работника
(PCI 1,3,5,6,7)
Блок управления
ЦОД
ACS (PCI 2, 10,12)
WAP
Internet
Беспроводное устройство
CSM (PCI 10,12)
ASA
© 2011 Cisco and/or its affiliates. All rights reserved. 84
• Рекомендованная защищенная архитектура для проводных и беспроводных применений
• Тестирование в реальном окружении, включая POS-терминалы, сервера приложений, беспроводные устройства, банкоматы и системы защиты
• Система управления конфигурацией, мониторингом и аутентификацией
Партнеры по «железу»: Validated Design
Small Retail Store
© 2011 Cisco and/or its affiliates. All rights reserved. 85
Соответствующие PCI DSS 1.2 архитектуры в зависимости от масштаба предприятия
Детальный отчет по соответствию
Руководства по внедрению
Детальные конфигурации
Малая Средняя Крупная
© 2011 Cisco and/or its affiliates. All rights reserved. 86
Требование PCI 1.3.5
Рекомендации Cisco
Иллюстрации обеспечивают ясность
Пример конфигурации
© 2011 Cisco and/or its affiliates. All rights reserved. 87
© 2011 Cisco and/or its affiliates. All rights reserved. 88
• КТО будет строить?
• КАКОВА квалификация строителей?
• МОГУ ли я сам построить?
• А вы меня МОЖЕТЕ научить?
• СООТВЕТСТВУЕТ требованиям?
• КАК осуществляется контроль качества?
• КАК проверить правильность постройки?
• А ИПОТЕКА есть?
• А вы проводите ИССЛЕДОВАНИЯ новых материалов?
→ Развитая сеть партнеров
→ Partner Specialization
→ Cisco Validated Design
→ Cisco Learning Partners
→ Сертификация в ГСССЗИ
→ Cisco PSIRT
→ Cisco Architecture Review
→ Cisco Capital
→ Cisco SIO
© 2011 Cisco and/or its affiliates. All rights reserved. 89
• Сложность
• Операционные затраты
• Число уязвимостей
• Обучение специалистов
• Поддержка
• Эксплуатация и управление
• Мониторинг и устранение неисправностей
• Конфигурация и обновление
• Интеграция
© 2011 Cisco and/or its affiliates. All rights reserved. 90
© 2011 Cisco and/or its affiliates. All rights reserved. 91
Политика
Кто Что Как Где/откуда Когда
Анализ
угроз
Dynamic Updates Operations Center SensorBase
Внедрение на
уровне сети
Интегрированная
инфраструктура
Высокоскоростная
навесная защита
Облачные
вычисления
© 2011 Cisco and/or its affiliates. All rights reserved. 92
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco