Cisco Cloud Security

Cisco Expo 2010

Павел Антонов, Инженер-консультант

[email protected]

Безопасность информационных бизнес коммуникаций как услуга «из облака»

mailto:[email protected]

© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 2Cisco Public

План доклада

Почему SaaS?

Почему Email и Web?

Облачные услуги безопасности Cisco

IronPort Hosted Email Security

ScanSafe Web Security

Примеры использования


Преимущества SaaS

Нулевые CapEx

Предсказуемые OpEx

Освобождение ресурсов

для бизнес задач

Минимальные сроки

внедрения

Простые и удобные

средства управления

Откройте новые возможности


"Облачная" система безопасности Cisco

Multi-tenant архитектура для обслуживания множества заказчиков

Распределенная масштабируемая платформа с резервированием

Постоянное наращивание производительности и внедрение новых ЦОД

Глобальная система мониторингаугроз

Встроенная система управления и формирования отчетов

Глобальная платформа для мобильных пользователей


IPSSensor

Cisco Security Intelligence Operations (SIO)Глобальная система мониторинга угроз

WebSensor

Email Security Solutions

Web Security Solutions

Firewalls IPS Devices

Cisco SecurityIntelligence Operations

IPSSensor

EmailSensor

WebSensor

FirewallSensor

WebSensor

FirewallSensor

EmailSensor

EmailSensor

IPSSensor

EmailSensor


Характеристики облака Cisco

Люди

Обрабатывает

HTTP-транзакций в день

3

Защищает

сотрудников клиентов

235Получает

статистики в день

500

30%

мирового Email

трафика

Предоставляет оценок

IP-репутации в день

2.8

Более100

выделенных экспертов

ТехнологииПередовые технологии

безопасности, Глобальная

система оценки угроз

РесурсыТысячи устройств в десятках

ЦОД по всему миру

Млрд.

Млн.

Млрд.

Гбайт

Получает

статистику о

© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID Cisco Public

Фокус на Email и Web


Почему Email и Web?

1. Сегодня это основные виды информационных бизнес коммуникаций

2. Они же основные каналы распространения угроз

3. Облачные по своей природе


Объемы

• Ежегодное двукратное увеличение объемов спама

• Ежегодный рост численности ботнетов

Сложность

• Комбинированные угрозы

• Использование социальных технологий

Тенденции развития Email угрозРост объемов и сложности

“Изощренные”

технологии спама (1%-2%)


HTTP – это новый TCP?

IM

FTP

Web-трафик10


Web страница – рецепт заражения

Как работает web сайт?

1. HTML код содержит список ссылок на объекты

2. Получая этот список web-браузер скачивает с указанных источников все объекты, включая:

• Файлы с изображениями

• Скрипты

• Исполняемый код

• Другие web-страницы


Типичное поведение Вашего браузера

Адресов в браузере: 1

HTTP запросов: 162

Изображений: 66 с 18 разных доменов

Скриптов: 87 с 7 доменов

Cookie: 118 с 15 доменов

Flash объектов: 8 c 4доменов


Уязвимая экосистема Web браузеров

IE and Firefox vulnerable“…hundreds of vulnerabilities in ActiveX controls installed by software vendors have been discovered.”

Media Players & Browser Helper Objects (BHO)• RealPlayer, iTunes, Flash, Quicktime, Windows Media

• Explosion of BHOs and third-party plug-ins

• Plug-ins are installed (semi) transparently by website. Users unaware an at-risk helper object or plug-in is installed … introducing more avenues for hackers to exploit users visiting malicious web sites.

SANS Top 20 Security Risks

http://www.sans.org/top20/#c1


Уязвимые Web серверы

“Web application vulnerabilities account for almost half

the total number of vulnerabilities being discovered in

the past year**. These vulnerabilities are being exploited

widely to convert trusted web sites into malicious servers

serving client-side exploits and phishing scams.”

SANS Top 20 Security Risks

http://www.sans.org/top20/#s1

** including open-source and custom-built applications


Пример: зараженная web-страница

Скрытая ссылка на скрипт в HTML коде


IronPort Hosted Email Security


Архитектура решения IronPort ESA

Anti Virus

Encryption

Inbound

Outbound

Anti Spam

Data Loss

Prevention


Сеть SenderBase – с чего начинался SIOГлобальная система Email репутации

Global Volume

Data

Message

Composition

Data

Spam Traps

Complaint

ReportsIP Blacklists

& Whitelists

Domain

Blacklist &

Safelists

Compromised

Host Lists

Web Site

Composition

Data

Other Data

Оценка IP репутации

+100- 10


Многоуровневое детектированиеспама

Multi-layer Spam Defense

Движок анализа

содержимого

Репутационная

фильтрация

Кто? Как?

Что? Куда?

Score

Блокирует >90% всего

поступающего спама

Блокирует >99%

оставшегося спама

Менее 1 ложного срабатывания

на 1Млн. сообщений


Многоуровневая защита от вредоносного кода

Multi-layer Virus Defense

Антивирусные движкиVirus Outbreak Filters

T = 0

-zip (exe) files

T = 5 mins

-zip (exe) files

-Size 50 to

55 KB

T = 15 mins

-zip (exe) files

-Size 50 to

55KB

-“Price” in the

filename

Преимущества Virus Outbreak Filters: Среднее время опережения* -13 часов

Заблокированных эпидемий* -175

Совокупное сохраненное время* - 94 дня


На объекте

заказчика

Единые политики | Централизованное управление | Единообразная защита

Форматы IronPort Email Security

Managed Email

Security

Customer Premise

Equipment (CPE)

Hosted Email Security (SaaS)

HybridHosted Email

Security В облаке Cisco

HybridHosted Email

Security


Преимущества размещения в облаке Cisco:

Быстрое развертывание

Снижение нагрузки по обслуживанию

Размещение, масштабирование, отказоустойчивость – наши заботы

2: Доставка проверенной

почты

1

2

3. Опционально: Фильтрация

исходящей почты

1: Очистка в облаке от спама и вирусов

Hosted Email Security

ЦОД Cisco

Заказчик

3


Лучшее из обоих миров

Очистка входящей почты – в облаке Cisco

Обработка исходящей почты, в т.ч. и DLP – у заказчика

Конфиденциальная информация не покидает сети заказчика

Единый интерфейс мониторинга

2. Доставка проверенной

почты

1

2

3Применение политик DLP,

интеграция с AD

1: Очистка в облаке от спама и вирусов

Hybrid Hosted Email Security

ЦОД Cisco

Заказчик


Отслеживание сообщений | Кейсы | ОтчетыЗаказчик

Об

сл

уж

ива

ни

еО

тчеты

ЦОД Cisco

Разделяемый доступ

Co-ManagedМы администрируем, Вы контролируете

CiscoМониторинг работоспособности | Обновления | Настройки

Объект заказчика


ScanSafe Web Security


Кто такой ScanSafe?

Профиль компании:

Основана в 2004г.

Пионер и мировой лидер в области SaaS услуг Web безопасности

Клиенты - от SMB до Large Enterprise в более чем 100 странах

100% Uptime за всю историю предоставления услуги

Является подразделением Cisco с Декабря 2009г.

Customers

Security product of the year 2008

Awards

Partners


Обзор решения


ЦОДы Cisco ScanSafe

Надежность 15 ЦОДов

100% доступность сервиса

за всю историю

SLA по непрерывности и

эффективности работы

Масштабируемость Multitenant архитектура

Обрабатывает ~3Млрд. web-

транзакций в день

Постоянное масштабирование


Архитектура защиты от Web-угроз

Статистика за 2009г.:

28М уникальных JavaScript в день

560К уникальных PDF в день

244 уникальных ShockWave в день

2 антивирусных движка (Symantec+ЛК)

False Positive \ False Negative rate < 0,0004%

Гарантированная доступность – 99,999%


Фильтрация контента Web 2.0

Традиционная URL-фильтрация

Расширенная функциональность

– Протоколы HTTPS, FTP over HTTP

– DLP, «предупредить, но не блокировать» (AUP) и анонимизация

Динамическая классификация неизвестных сайтов

– За 1/1000 секунды

– Эффективность детектирования сайтов для взрослых, криминальных и т.п. = 99%

Обработка поисковых запросов SearchAhead

– Классификация и уведомление пользователя

© 2005 Cisco Systems, Inc. All rights reserved.


Как трафик попадает в облакоОпция 1 – при помощи имеющейся инфраструктуры заказчика

С изменениями настроек браузера:

Настройки Proxy загружаются на компьютерыиз AD (GPO / PAC file) или по DHCP

МСЭ блокирует исходящий HTTP трафик на все адреса кроме ScanSafe

Без изменения настроек браузера:

Имеющееся у заказчика устройство перенаправляет трафик в облако помощи функций Cascade Proxy или Port Foreward

Опционально – User/Group Granularity:

В HTTP-запросы пользователей добавляется защищенная (хеши) информация об имени пользователя/группы при помощи Login скриптов/GPO

Прозрачно для пользователя

ScanSafe

Websecurity Service

DC


ПО ScanSafe Connector

Устанавливается и настраивается один раз, в дальнейшем не требует администрирования и обновлений

Перенаправляет Web трафик в облако

Отвечает за взаимодействие с AD и предоставляет в облако защищенную информацию о пользователе/группе

В будущем – функциональность Connector интегрированная в маршрутизаторы и МСЭ Cisco

ScanSafe

Websecurity Service

DC Connector

Как трафик попадает в облакоОпция 2 – при помощи Connector


Как трафик попадает в облако Опция 3 – клиент Anywhere+ для мобильных пользователей

Устанавливается как сетевой драйвер, незаметен для пользователя

Автоматически определяет ближайший к пользователю ЦОД

Перенаправляет Web трафик пользователя в облако

Обеспечивает User/Group Granularity

Защищен от выключения пользователем

Факт: Мобильные пользователи только

17% времени в Интернет проводят в корпоративном VPN. Как контролировать

оставшиеся 83%?


Защита мобильных пользователейАвтоматический выбор: в облаке или на предприятии

News Email

Social Networking Enterprise SaaS

Cisco Web Security Appliance

Обмен информацией между ASA и WSA

Corporate AD

ASAСisco AnyConnect

ScanSafe Anywhere+(В будущем

Cisco AnyConnect )

Оптимальный выбор между облаком

и предприятием в зависимости от

местоположения пользователя

http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off

© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 35Cisco Public 3535

Клиентский портал ScanCenterНастройка политик, отчеты, мониторинг

Все настройки выполняются на портале

Более 5000 шаблонов отчетов

Возможность создания своих шаблонов отчетов и политик

75 анализируемых параметров трафика

Отчеты по расписанию

Информация как по клиенту так и глобальные тенденции


Условия


Полнофункциональный пробный доступ на 30 дней

Небольшой одноразовый платеж за включение услуги

Несколько $ за одно рабочее место в месяц (зависит от общего числа рабочих мест в организации)


Как оператору запустить эту услугу?

Мы помогаем развивать этот сервис операторам:

– Полное отсутствие финансовых затрат на внедрение услуги

– Обучение продавцов, служб маркетинга и инженеров

– Маркетинговые акции, семинары, telesales

– Снабжение маркетинговыми материалами, калькуляторы ROI



Как это выглядит для клиента


Заключение


Надежность Децентрализация Унификация

Задача

Web 2.0 стал неотъемлемым инструментом бизнеса , необходима передовая защита

Результаты

“Ряд механизмов безопасности лучше реализовывать в "облаке" для повышения уровня защищенности”

Задача

Для поддержки офисов по всему миру и мобильных пользователей требовались существенные ресурсы


“Достоинством решения является невиданная ранее простота развертывания"

Задача

Требовалось обеспечить развертывание политик и обеспечение отчетности по множеству объектов


"Контроль за ситуацией восстановлен, изменения политики распространяются практически мгновенно"

Истории успеха ScanSafe


Справочная информация

“Облачная” безопасность Ciscohttp://www.cisco.com/go/cloudsecurity

Решения и продукты Cisco в области ИБhttp://www.cisco.com/go/security (eng)http://www.cisco.com/web/RU/products/vpn.html (рус)

Центр ИБ Security Intelligence Operationshttp://tools.cisco.com/security/center/home.x

Ежегодный отчет Cisco о угрозах ИБhttp://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html

Брошюры по ИБhttp://www.cisco.com/web/RU/broch.html (рус)

http://www.cisco.com/go/cloudsecurity

http://www.cisco.com/go/security

http://www.cisco.com/web/RU/products/vpn.html

http://tools.cisco.com/security/center/home.x

http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html

http://www.cisco.com/web/RU/broch.html

Technology

Cisco Cloud Security