Концепция BYOD в решениях Cisco

3,067 views
2,966 views

Published on

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,067
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide
  • Through our ISBG Group, Cisco has worked with customers to do some forecasting of our own. We’re predicting that by 2013 there will be one trillion devices connected to the network, up from 35 billion in today.That means that one trillion devices will connect people through SMS, video, social networks, email, instant messaging and even ways that we haven’t thought of to be together.Today, companies are wondering how to leverage that growth in the tremendous increase of even more people connecting through the network; how to adapt and take advantage of the collective power of the human network.This is part of what we’ll talk about in this presentation. ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Source: Cisco IBSG
  • We all know that the way we work is changing.Consumerization, continuous connectivity, device proliferation, and mobility are changing the way we work and share informationThese new trends requires us to acknowledge that our workforce are driving new demands and a new type of experience. Employees now expect the same experience in the workplace that they do online as consumers. Our goal is to help deliver the experience whilst helping enable our employees to increase their productivitySMARTPHONEThis has steadily grown since we made some of the big entitlement changes with users being moved from Corporate paid devices and voice/data contracts. This drove our client base to below 24,000 and since then he has increase to over 30,000 with the increase coming from users on personal contracts and devices – very much supporting the consumerization story The biggest growth continues to be iPhones, with Android growing the fastest month on month – very supporting the prior market slide  TABLET TIERThe tablet tier is the new tier where we are seeing more devices and driving multiple device use. This is driving requests for enterprise based services and support. With the bigger real estate – users what to do more with them and are looking at ways of it becoming more than a companion device. Its ideally the one device users wish to only carry. Its biggest shift demand is how to have it more than a consumption oriented device. With our own CIUS the internal demand is going to increase especially when you integrate with a full suite of Cisco solutions like IWE, Voice, Video and Virtual Desktop Experience. The content in this deck relates to how we enable smartphone and tablet devices at Cisco.
  • A recent Cisco Connected World Report shows that employees expect to have more flexible work options. For many, such flexibility is even more important than salary. IDC predicts that in 2012, the number of mobile devices is likely to reach 462 million, exceeding PC shipments.Such increased access methods and devices present major challenges for many organizations, as they try to maintain a high level of security while supporting productivity and work flexibility. Some specific challenges include:1) Mobile workers need access to resources on the internal network from anywhere, and they also need access to cloud-based services.2) The large number of user-owned mobile devices and many different types of these devices make it difficult for organizations to identify the devices and to ensure policy compliance.3) Without proper protection, data residing on the mobile devices becomes a high risk of corporate data loss as well as compliance violations.
  • In addition to the multi-dimensional complexity of the internet edge, the traffic traversing the internet edge is richer than ever before. Not many years ago the workstations were locked down and all the applications that you needed to use or access were installed or explicitly made accessible by IT on the your machine. If you needed a sales app or a finance app, IT would come and install the application or the fat client on the user’s machine. Today the situation is dramatically different. While email was one of the first applications enabling the borderless internet edge experience, the traffic today is much more complex and includes application types like web surfing, video, audio, SaaS, applications tunneling over the Web (IM, P2P). With more and more traffic going over the Web, HTTP has become the new TCP.It is becoming more and more of a common site where employees are logged into WebEx, Enterprise Email, Facebook / LinkedIn, their personal email – all at the same time, thus blurring the lines between business traffic and personal traffic at the internet edge. While this has in many ways improved collaboration and productivity, it raises new challenges for effective management of this traffic.
  • Transcript:So if work isn't a place, it's not something I can draw a line around and I can control, then I have this tension between enabling people to be global on one side of the scale, enabling them to be mobile, enabling them to go out and do these things, and then having it still be secure, making sure that someone doesn't put me out of business by doing something stupid. So that's another way this whole conversation can come up with TrustSec. Part of it is network evolution, as we went through before. The more recent conversations with the customers are happening around devices, though. BYOD, consumerized IT trends. Have you seen that? What's the mix? How many people see more-- I'm going to make you interact whether you want to or not. How many people have seen more BYOD than the network evolution of BN? So about half the room. How about the other way around? And the rest just didn't answer. OK. But there is a lot of BYOD way out there. Questions on how we're defining the problem set? I'm going to get into solutions in a second. We're still doing some of the ways that the customers will set these things up you. But are those clear so far? General grunts of assent.Author’s Original Notes:In the past, security has often been seen as an impediment to the business, or can get in the way of innovation and productivity. The security organization has imperatives such as protecting the organization against threats, achieving compliance, and supporting access to the network. That is balanced against the business imperatives of improving agility, enabling collaboration and driving operational efficiencies. There will always be some natural contention between the two sets of imperatives, but security touches so much of the business these days that better alignment can actually be a strength or an asset. Security can become the “safety” net” that allows the business to innovate and boost user productivity, allowing them to say yes more often, and move faster knowing they have a solid security architecture and strategy in place. And security costs cannot continue to increase, organizations are seeking ways to control cost and tie security to the operational aspects of the business. There is clearly a business driver for security to change.
  • Transcript:So now we finally get to solutions. What did we build to fix this? We built TrustSec. Similar to what we were talking about on the evolution of borderless networks. We learned our lesson through the years that we really needed to do all of these things together. TrustSec as a solution covers the areas of technology that we had with the appliance overlays. So with ACS, with NAC, with a NAC guest server, with a profiler, all these different boxes that we had. ISE is functionally replacing the orchestration. TrustSec technology built into the infrastructure is doing a lot of the enforcement works. So together as a solution, it's really replaced a lot of these things. We've also gotten smart about the devices in that process too. So it's not just PCs up here. It's now all these other things that we're talking about. It's the additional smart phones. It's the additional tablets. The main benefits to IT when that happens, or to the customer, is the productivity and risk management. So if you're building a value proposition for a customer out of this, those are the two that come up over and over again. The improved operational efficiency, eh. It's nice to have three things up there, and people always like seeing things in three. The two that matter are I'm going to give you a tool that makes your business work in a more modern fashion. That is a powerful message for a lot of customers. The other one is I'm going to make it safe for you to do that. I'm going to make sure that your risk is mitigated. And that's the core value proposition that we're trying to build with this stuff. You've got the problem set up of all these different types of devices, problem set up of all these different types of access methods. And what we're bringing you is a way to keep your network safe. We're bringing you a way to deal with that issue. How many people have had this customer conversation on some level on some technology in the past couple years? You guys up front? How did it go? AUDIENCE: I've got clients [INAUDIBLE] going on right now. And we need to talk after this. BRENDAN O CONNELL: Excellent. ISE pilot and follow up questions is the answer. AUDIENCE: [INAUDIBLE] data right now. BRENDAN O CONNELL: OK, good. Was the customer interest along these lines? Like they're buying it to mitigate risk, or they're buying it to improve efficiency for the pilots that you've got? AUDIENCE: That customer wanted TrustSec 18 months ago, or 12 months ago to solve the problem of third party access. They had people in their environment that aren't [INAUDIBLE] and they want to control where they go. BRENDAN O CONNELL: There we go. Yeah. So the comment was the customer's been after it for 18 months because they've had an issue with contractors and guests accessing their network. We'll talk about that. We'll do some deep dives on some of the solution aspects.
  • Why Cisco/network wins
  • Cisco Secure Remote Access is a best of breed solution, offering a full featured, mature solution resulting from 15+ years of VPN remote access expertise, proven innovation, and product integration.Our expert engineers have engineered and optimized several generations of Cisco VPN product lines and features, including the VPN3000 series, the PIX series and the ASA series, offering both IPsec or SSL VPN remote access., as well as VPN site to site.They have architected the solution for optimum VPN remote access, VPN site to site access, and integrated security services, thereby enabling each customer to build, “a la carte”, their VPN Secure Remote Access solution.The best testimonial of this successful design is the adoption of the Cisco VPN remote access solution by millions of remote access users.Planning to discontinue some platforms:WM, webOS, Symbian
  • Cisco’s on-premise solution is focused on enabling a seamless end-to-end user experience…transparently inserting security into every transaction. The two major components of this are the AnyConnect Secure Mobility Client and information exchange between the ASA (termination point for AnyConnect session) and WSA (policy enforcement & Web security).AnyConnect can be configured to provide an Always-On VPN, meaning that the user must have a secure VPN connection in order to access the Internet. Always-On VPN provides the foundation for changing from the occasionally-protected model (The “captive portal” case—providing access to login to a hotspot at a hotel or coffee shop—is fully supported. ) Rather than forcing the user to manually select the head-end, the optimal headend is detected and AnyConnect connects securely to it. If certificates are in use, then the user doesn’t even need to do anything to authenticate…the connection just happens.The ASA head-end then communicates to the WSA, providing information on who the user is (avoiding any additional authentication step for the user to access their web content) as well as the fact that they’re mobile. The WSA uses this information to apply location-aware policy—maybe both enforcing acceptable use and protecting from malware in the office, but just protecting from malware while mobile.
  • Another key to making the experience seamless is by ensuring that the scanning elements are distributed throughout the network and not just at HQ—pressing out to the capillaries of the network through ISR integration; as well as in the cloud.The recent ScanSafe acquisition accelerates Cisco’s ability to deliver security services in the cloud. Over time, Cisco is planning to build a hybrid hosted model in which users will be able to attach to either a company-owned head-end or a cloud enforcement point—whichever provides the best user experience—while getting consistent policy enforcement and security.In the interim, customers have the choice of on-prem or cloud enforcement for their mobile users. For the cloud-based solution, the Anywhere+ client will re-direct web traffic to the Cisco-ScanSafe cloud for scanning and enforcement. In the near future, this client will converge with the AnyConnect client for a unified client footprint.Alternatively, customers can use the AnyConnect Secure Mobility client to connect to on-premise equipment for security. We’ll dig into this solution in more detail on the next slide.
  • A recent Cisco Connected World Report shows that employees expect to have more flexible work options. For many, such flexibility is even more important than salary. IDC predicts that in 2012, the number of mobile devices is likely to reach 462 million, exceeding PC shipments.Such increased access methods and devices present major challenges for many organizations. They need to maintain a high level of security while supporting productivity and work flexibility.Issues around these devices include: Making sure that users and devices are healthyEnsuring that devices are connected securely to servicesEnsuring that devices and users only have access to network resources appropriate to a number of context-based decisions, such as the user’s role, the kind of device being used, where is it located, what time is it, what sort of connection is being used, etc.The ability to provide consistent policy for any user or device, from the most remote endpoint, across the network, to the center of the data center.The ability to determine, based on policy, when and if data ought to be secured, and then being able to dynamically enforce data encryption.
  • The Cisco AnyConnect Secure Mobility Solution provides a comprehensive, highly secure enterprise mobility solution. The Cisco AnyConnect client, which is a piece of software running on mobile devices such as laptops or smart phones, is industry’s only unified client. The latest version, 3.0, supports the following security capabilities:SSLVPN and IPSec VPN802.1X authenticationMACsec encryptionWireless connection, authentication and encryptionCisco ScanSafe IntegrationThe Cisco AnyConnect client works with Cisco ASA, Cisco Identity Services Engine and additional Cisco security devices to deliver the following secure mobility solution offers:- Security policy enforcement that is context-aware, comprehensive, and preemptive. - Connectivity that is intelligent, simple, and always on. - Highly secure mobility across the rapidly increasing number of managed and unmanaged mobile devices.automatically creates an SSLVPN, IPSec VPN, or MACsec encrypted tunnelCatalyst Switch: Cisco TrustSec tags data with access policy, inspects MACsec encrypted traffic, assesses the health of the endpoint device, and provides role-based accessCisco ASA: Cisco ASA terminates SSL or IPSec VPN tunnel, provides traffic protectionCisco ISE: Cisco ISE provides role-based access policy and AAA (Authentication, Authorization, and Accounting) servicesNexus Switch: Cisco TrustSec inspects MACsec encrypted traffic, reads data policy tags, and enforces access policy
  • У кого какой тип доступа
  • Transcript:So now we finally get to solutions. What did we build to fix this? We built TrustSec. Similar to what we were talking about on the evolution of borderless networks. We learned our lesson through the years that we really needed to do all of these things together. TrustSec as a solution covers the areas of technology that we had with the appliance overlays. So with ACS, with NAC, with a NAC guest server, with a profiler, all these different boxes that we had. ISE is functionally replacing the orchestration. TrustSec technology built into the infrastructure is doing a lot of the enforcement works. So together as a solution, it's really replaced a lot of these things. We've also gotten smart about the devices in that process too. So it's not just PCs up here. It's now all these other things that we're talking about. It's the additional smart phones. It's the additional tablets. The main benefits to IT when that happens, or to the customer, is the productivity and risk management. So if you're building a value proposition for a customer out of this, those are the two that come up over and over again. The improved operational efficiency, eh. It's nice to have three things up there, and people always like seeing things in three. The two that matter are I'm going to give you a tool that makes your business work in a more modern fashion. That is a powerful message for a lot of customers. The other one is I'm going to make it safe for you to do that. I'm going to make sure that your risk is mitigated. And that's the core value proposition that we're trying to build with this stuff. You've got the problem set up of all these different types of devices, problem set up of all these different types of access methods. And what we're bringing you is a way to keep your network safe. We're bringing you a way to deal with that issue. How many people have had this customer conversation on some level on some technology in the past couple years? You guys up front? How did it go? AUDIENCE: I've got clients [INAUDIBLE] going on right now. And we need to talk after this. BRENDAN O CONNELL: Excellent. ISE pilot and follow up questions is the answer. AUDIENCE: [INAUDIBLE] data right now. BRENDAN O CONNELL: OK, good. Was the customer interest along these lines? Like they're buying it to mitigate risk, or they're buying it to improve efficiency for the pilots that you've got? AUDIENCE: That customer wanted TrustSec 18 months ago, or 12 months ago to solve the problem of third party access. They had people in their environment that aren't [INAUDIBLE] and they want to control where they go. BRENDAN O CONNELL: There we go. Yeah. So the comment was the customer's been after it for 18 months because they've had an issue with contractors and guests accessing their network. We'll talk about that. We'll do some deep dives on some of the solution aspects.
  • Cisco has considerable investment in identity features on our infrastructure. A number of differentiators include monitor mode that allows you to authenticate users wthout enforcement. Another differentiator is flex auth, our ability to order authentication appropriately along with the right behavior when authentication fails. Interop with IP telephony and in VDI environments are also supportedThese features are delivered consistently across our entire switch portfolio, so whether you’re deploying a Cat 3K, 4K or 6K, the customer just has to select the right switch
  • [Need animation on this slide]
  • Application Team – Control access to PCI Customer Data based on user, roleSystem Team – Identify data locations with PCI Customer DataNetwork Team – Create router, switch access controls for user IP addresses to Networks with PCI Customer Data
  • Problems - Different kinds of device types appearing on the network (wired & wireless) : ipads, printers, phones etc - IT needs visibility into all devices - IT may choose to have different policy for certain kinds of devices (don’t allow ipad on the network) - IT needs assurance that a device conforms with its signature for security reasons 
  • The key component of the TrustSec architecture is ISE. It converges NAC and ACS functionality from AAA functions to security services like guest, profiling and posture into one appliance, making the choice of deploying either a “overlay mode” or “infrastructure integrated mode” a lot simpler for customers.Current NAC and ACS hardware platform is software upgradeable to ISELicense migration program for all software licensesData and Configurations migration tools available*
  • Policy is construct to tackle this problemBYOD multiple components – have to bring a broader policy solution set to cover this market to differentiateWhat’s going on in the market (Aruba buying Avenda would be a last decade solution) – hodge-podgeStitch it in a common domain – NAC framework orig vision – ubiquitous way for common policy centralized, distributed deployment
  • BYOD is a policy manifestationDifferent philosophical adoption curves – wherever org is, multiple capabilities are required to support the policyPhilosophy is what is your business policyMDM cannot control access on prem or VPNWhat do you want from a policy level to what you want from a management level
  • Comprehensive device provisioningAutomated on premise MDM enrollment with appropriate device and application provisioningDetailed User and Device ContextHigh fidelity device info offer true visibility of what is connectedIncreased device details (OS version, serial number, etc) enhances policy decisioning.Increased Device and Application SecurityDevice tracking capabilities upon device loss
  • Концепция BYOD в решениях Cisco

    1. 1. Концепция BYOD в решенияхCiscoАлексей ЛукацкийМенеджер по развитию бизнеса© 2011 Cisco and/or its affiliates. All rights reserved. 2010 Cisco Confidential 1/68 1
    2. 2. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие Платформа Cisco ISE Cisco BYOD в реальном мире© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2/68
    3. 3. План презентации Мобильность, BYOD, безопасность© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3/68
    4. 4. Быть свободным от границ рабочего стола, рабочего телефона, персонального компьютера и переговорных© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4/68
    5. 5. Создавать собственное рабочее пространство - когда хочешь, где хочешь и какое хочешь Видео- Presence транспорт Контроль Политики звонков Распознавание Конференции речи© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5/68
    6. 6. Чтобы рабочее место следовало за работником, а не наоборот – к заказчикам, к партнерам, в пути© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6/68
    7. 7. Работать вместе с тем, кто нужен, не взирая на его Маша Петрова местонахождение и часовой пояс ЗАЩИЩЕНО Наставник Организатор Директор Сын (в школе) Технолог Мама Исследователь Дизайнер Ася Букина Статус: Предпочтение: Вася Пупкин Статус: Предпочтение:© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7/68
    8. 8. Чтобы заказчик или партнеры стали полноправными участниками взаимодействия BILLING ISSUE Representative Tier 2 Rep© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8/68
    9. 9. Ускорить прохождение сделок, увеличить их число, ускорить бизнес-процессы, контролируя!© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9/68
    10. 10. Когда все что нужно, это защищенное подключение к сети, какое бы подключение вы не использовали© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10/68
    11. 11. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11/68
    12. 12. Мир ПК Эра пост-ПКz Приложения ОС пользователя ОС Сервера Клиентские устройства © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12/68
    13. 13. 2010 iPad + Mac = 12% рынка ПК 3.6Млрд 100+ миллионов Мобильных устройств* планшетников 300,000 1.8Млрд Ежедневных … имеют web- активаций Android доступ* 70% студентов США используют Mac**Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13/68
    14. 14. 2013 Скоро будетОдин триллион устройств подключенных к сети, по сравнению с 3.6 МЛРД в 2010 Cisco IBSG© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14/68
    15. 15. Бизнес вышел за рамки ПК© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15/68
    16. 16. Новый опыт ИТ-службы Cisco Консьюмеризация Непрерывное соединение Распространение устройств Мобильность Любое устройство, Везде, Всегда, Защищенно.... 2,454 iPads 70% рост Планшетники 11,762 1,164 15,403 3,289 iPhones Android BlackBerry Другие устройства 20% рост 76% рост 0% рост -18% рост© 2010 Cisco and/or its affiliates. All rights reserved. Смартфоны (КПК) Cisco Confidential 16/68
    17. 17. Традиционная архитектура не справляется с требованиями сегодняшнего дня Мобильность Социальность Видео ВиртуализацияОтсутствие поддержки Невозможно Низкое качество и Ограничения в работе смобильных устройств и OC взаимодействовать с совместимость голосом и видео через социальными сетями VDI X X X X© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17/68
    18. 18. Как я буду контролировать, кто и что получил доступ к моей сети?!© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19/68
    19. 19. BYOD: риски безопасностиМобильные устройства пользователей: главный источник рисков УГРОЗЫ • Трудно управлять и защищать (1/3 всех сотрудников постоянно вне офиса) • Вредоносное ПО (Web: основной вектор) • Причина уязвимости корпоративной инфраструктуры • Раскрытие данных на украденных или потерянных устройствах • Нарушение правил контроля доступа • Проблемы обеспечения соблюдения политик BYOD* ̶ основной рискSource: 2011 ISACA IT Risk/Reward Barometer, US Edition (www.isaca.org/risk-reward-barometer)© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20/68
    20. 20. Приоритеты заказчиков/реальные сценарииРеакция на угрозы, связанные с концепцией BYOD 1. Защита оконечных устройств от угроз, присущих web 2.0 2. Обеспечение защищенного удаленного доступа с любых устройств 3. Аутентификация и авторизация пользователей беспроводной сети (гости, временные сотрудники, подрядчики…) Менеджер по продажам заходит на salesforce.com со своего iPhone. Это безопасно?© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21/68
    21. 21. BYOD: спектр реакций Запрет/ограничение Разрешение Поддержка Энтузиазм Среды с жестким контролем Базовые сервисы, простой Различные Корпоративные доступ, почти для всех сервисы, защищенное приложения, новые подключение сервисы, управление Только корпоративные Широкий спектр устройства устройств/только Интернет Различные типы устройств, Производства Образование Различные типы устройств и MDM методы доступа, VDI Инновационные корпорации Биржи Общественные организации и общественные места Здравоохранение Розничные продажи Госучреждения (секретность!) Традиционные корпорации Простой гостевой доступ Корпорации, стремящиеся (Retail on Demand) внедрить BYOD Мобильные сотрудники Поддержка временных сотрудников (видео, среды совместной© 2010 Cisco and/or its affiliates. All rights reserved. работы, .) Cisco Confidential 22/68
    22. 22. Мобильника Интернет Автомобиля Партнера 97% 84% 64% 43%© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23/68
    23. 23. Многообразие устройств: это надолго Пользователи • Единообразие средств на различных платформах • Простой переход с устройства на устройство • Разделение рабочих 89% 26% и личных данных 75% • Следование технической и социальной моде 10% 36% ИТ-специалисты • Постепенное распространение 22% пользовательских/ мобильных устройств • Следование BYOD без 1% 23% жертв в сфере безопасности, управления, поддержания стандартов • Снижение затрат организации • Повышение гибкости© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24/68
    24. 24. Проблема контроля доступа ЦЕЛИ БИЗНЕСА ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ―Управление рисками, связанными с ―BYOD‖ персональными устройствами‖ ―Необходимо обеспечить работы глобального коллектива мобильных сотрудников (включая ―Кто в моей сети, что они делают?‖ партнеров и подрядчиков)‖ ―Необходимо соблюдать нормативные ―Хорошо бы провести сегментацию сети требования и быть готовыми к проверке‖ и ресурсов ЦОД, ограничив права доступа ‖© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25/68
    25. 25. Представляем Cisco TrustSec Идентификация пользователей, профилир ование устройств Удаленный Пользователь Пользователь Устройства Устройства пользователь беспроводной VPN (VPN) сети Гостевой доступ Сети VLAN Авторизация Инфраструктура в соответствии Профилирование с поддержкой Списки dACL с политикой Оценка состояния identity Метки SGT Доступ и сервисы Масштабируемые средства в соответствии обеспечения Оценка состояния и с политикой шифрование каналов ЦОД Зоны Интранет Интернет безопасности© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26/68
    26. 26. Решение Cisco для реализации концепции BYOD ISE NCS Prime IronPort WSA Коммутаторы Cisco MDM Manager Catalyst Контроллер WLAN Cisco Устройство стороннего поставщика (MDM) CSM / ASDM Устройства проводной сети AC NAM (только Windows) AC NAM (только Windows) AC VPN (все мобильные платформы) Интеграция AC с облачными сервисами (Все PC)© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27/68
    27. 27. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28/68
    28. 28. Защищенная мобильность: Cisco AnyConnect и другие Cisco AnyConnect Сервисы Cisco для обеспечения Cisco ASA безопасности контента 29
    29. 29. Защищенная мобильность: Cisco AnyConnect и другие Cisco AnyConnect 30
    30. 30. Основные сведения• Независимость от протоколов: с использованием клиента и без использования клиента; IPSec или SSL VPN• Автоматизация: поддержка работы в автоматическом режиме, постоянно активное подключение, выбор оптимального шлюза, автоматическое восстановление подключения• Постоянная защита: автоматическое определение ближайшего шлюза и переключение на него без повторного ввода учетных данных• Гибкие варианты лицензирования: Essentials, Premium, Mobile• Поддержка мобильных устройств: Поддержка Apple ios4+ (iphone, ipad, itouch), Cisco Cius, Samsung Android, Windows, MAC, Linux© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
    31. 31. Защищенная мобильность: AnyConnect и другиеСеть и безопасность идут за пользователем. Пользователь просто работает Корпоративный офис Мобильный Домашний офис пользователь Пров. сеть Wi-Fi Сотовая/ Wi-Fi Защищенный доступ в соответствии с политикой Голос, видео, приложения, данные© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
    32. 32. iPhone 3G/3GS/4/4S iPad и iPad 2 iTouch Поддержка платформ на базе Apple iOS 5Lenovo Thinkpad Samsung Galaxy HTC Cisco Cius Поддержка платформ на базе Android
    33. 33. Модульная структура AnyConnect Будущее SSL /DTLS VPN Оценка Облачные L2 Supplicant (Essential IPsec VPN состояния/ сервисы - (пока только Win) NAC Agent или (БЕСПЛАТНО) HostScan web-трафик (требуется ACS Mobile WAAS Premium) (Premium) (по подписке) или ISE) Платформа базовых сервисов AnyConnect Архитектура© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
    34. 34. Защищенная мобильность: AnyConnect и другие Cisco ASA 35
    35. 35. Поддержка самых разных потребностей ASA 5585 SSP-60 (40 Гбит/с, 350K c/с)Производительность и масштабируемость ASA 5585 SSP-40 (20 Гбит/с, 240K c/с) Мультисервисное решение ASA 5585 SSP-20 (МСЭ, VPN и IPS) (10 Гбит/с, 140K c/с) ASA 5585 SSP-10 (4 Гбит/с, 65K c/с) ASA 5540 (650 Мбит/с,25K c/с) ASA 5520 (450 Мбит/с,12K c/с) ASA 5510 (300 Мбит/с,9K c/с) ASA 5505 (150 Мбит/с, 4K c/с) Платформа ASA 5550 МСЭ и VPN (1,2 Гбит/с, 36K c/с) SOHO Филиал Интернет-периметр Комплекс зданий ЦОД
    36. 36. Защищенная мобильность: AnyConnect и другие Сервисы Cisco для защиты контента 37
    37. 37. Облачные сервисы ScanSafeИнтеграция с AnyConnect 3.0 Интернет-трафик VPN – внутренний трафик (опционально) AnyConnect Secure Mobility
    38. 38. Управление работой web-приложений Тонкое управление работой с web-приложениями Политика контроля доступа Нарушение политики• Мгновенные сообщения • Передача файлов по IM • Блокировка «взрослого» контента• Facebook: с ограничениями • Чат Facebook • Ограничение пропускной способности• Видео: не более 512 кбит/с • P2P Сотрудница бухгалтерии Тонкое управление работой с приложениями
    39. 39. Решение Cisco IronPort WSA Защита от угроз, связанных с Web 2.0• Фильтры web-репутации: учет более чем 200 параметров позволяет блокировать более 70% угроз категории "Day Zero"• Управление фильтрацией доступа к web-ресурсам: блокирование доступа к URL-адресам (отнесенных к определенным категориям и не классифицированным); динамический модуль сканирования контента успешно идентифицирует более 90% URL-адресов нежелательного контента• Модуль поиска вредоносного ПО: блокировка известного вредоносного ПО практически без задержек (как с использованием сигнатур, так и с использованием эвристического анализа)• Управление приложениями Web 2.0: Facebook, Twitter, You Tube и т. п.• Средства управления пропускной способностью для отдельных пользователей (You Tube и т. п.)
    40. 40. Защищенная мобильность: AnyConnect и другиеКомпоненты и их функции VPN-клиент AnyConnect Решение Cisco IronPort WSA 1 2  Удобство подключения (постоянное  Устранение вредоносного ПО подключение, обнаружение доверенной сети)  Фильтры репутации  Унифицированный агент (VPN, NAM, Scansafe,  Монитор трафика (L4) NAC-в следующей версии)  Контроль использования web-ресурсов  Интеграция/совместная работа Cisco ASA (МСЭ, VPN, IPS) Обмен данными между ASA и WSA Cisco® AnyConnect ASA Cisco WSA Facebook Salesforce.com Corporate AD Корпоративная Социальные сети SaaS-система
    41. 41. Новости Электронная почтаAnyConnect Обмен данными между ASA и WSA ASA Cisco WSA Социальные сети Корпоративная SaaS-система Corporate AD© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
    42. 42. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие Платформа Cisco ISE и TrustSec© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
    43. 43. Доступ с любого устройства КАФЕ ОФИС ПРОБЛЕМА Учет результатов идентификации и Обеспечение выполнения Защита конфиденциальности ролевая модель контроля доступа политик: от пользовательских в рамках всей сети Гостевой доступ устройств до ЦОД© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
    44. 44. Контроль доступа ГДЕ ЧТО КОГДА КТО КАК ? ? ? Виртуальные машины в ЦОД VPN MACSec Решения на основании состояния 1. Разрешение/блок в соответствии с политикой СТОП ЦОД 2. Авторизованным устройствам назначаются метки политики 3. Теги политики учитываются при работе в сети ОК РЕШЕНИЕ CISCO Согласованная политика на Распространение сведений о Метки групп безопасности основании результатов политиках и интеллектуальных позволяют обеспечить идентификации на всех уровня – от механизмов по сети масштабируемое применение устройства до ЦОД – в политик соответствии с бизнес- с учетом контекста потребностями© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
    45. 45. Пользователи и устройства Сотрудники, Контрактники, Телефоны, Принтеры… Виктория Катернюк Сотрудник Мария Сидорова IP-камера Проводной доступ Сотрудник HR Корпоративный ресурс Конфиденциальные ресурсы 15-00 Проводной доступ Ноутбук MAC: F5 AB 8B 65 00 D4 11-00 Корпоративный ресурс Сеть, устройства и Приложения Лаборатория 11 утра Множество методов доступа Анна Петрова Катя Жуковская Разные устройства, разные места сотрудник CEO сотрудник Удаленный доступ R&D 10 вечера WiFi Антон Алмазов 14:00 дня консультант Центральный офис Сергей Балазов Удаленный доступ контрактник 6:00 вечера Все необходимо контролировать IT Проводное подключение 10 утра IP телефон G/W Принтер Корпоративный актив Некорпоративный актив Финансовый департамент MAC: B2 CF 81 A4 02 D7© 2010 Cisco and/or its affiliates. All rights reserved. 11:00 вечера Cisco Confidential 48/68
    46. 46. Идентификация пользователей, профилир ование устройств Удаленный Пользователь Пользователь VPN Устройства Устройства пользователь беспроводной (VPN) сети Гостевой доступ Сети VLAN Авторизация Инфраструктура в соответствии Профилирование с поддержкой Списки dACL с политикой Оценка состояния identity Метки SGT Доступ и сервисы Масштабируемые средства в соответствии обеспечения Оценка состояния и с политикой шифрование каналов ЦОД Зоны Интранет Интернет безопасности© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49/68
    47. 47. Задание политики и сервисы обеспечения безопасности Identity Services Engine (ISE) Платформа идентификации и контроля доступа Обеспечение выполнения политик Cisco 2900/3560/3700/4500/6500 и Nexus 7000, Cisco ASA, ISR, ASR 1000 инфраструктура WLAN и инфраструктура маршрутизации Клиент NAC Agent Web Agent Саппликант 802.1x Бесплатные (постоянно и временно загружаемые) клиенты Саппликант AnyConnect или встроенный в ОС для оценки состояния и устранения несоответствий© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50/68
    48. 48. Представляем Cisco ISE Решение в области обеспечение ИБ следующего поколенияИдентификация и контроль доступа Cisco ACS AnyConnectИдентификация, контроль доступа, оценка состояния NAC Manager NAC Server Профилирование, выделение ISE ресурсов, мониторинг NAC Profiler NAC Collector Автономное устройство или лицензия на модуль NAC Server Управление жизненным циклом гостевого доступа NAC Agent NAC Guest Server
    49. 49. Консолидированные сервисы в Каталог текущих сессий одном продукте Гибкие схемы внедрения ACS User ID Access Rights NAC Manager Admin M&T All-in-One HA Console NAC Profiler Pair NAC Server ISE Distributed PDPs NAC Guest Location Device (& IP/MAC) Simplify Deployment & Admin Tracks Active Users & Devices Optimize Where Services Run Гибкость политик доступа Управление доступом на основе Групп Безопасн Функции детального мониторинга и поиска неисправностей SGT Public Private Staff Permit Permit Guest Permit Deny Link in Policy Information Points Keep Existing Logical Design Consolidate Data, Three-Click Drill-In
    50. 50. “Сотрудники могут получать доступ ко всем ресурсам с личных и корпоративных устройств. Доступ внешних пользователей блокируется.” Интернет “Сотрудники должны использовать корпоративные устройства. Личные устройства Внутренние запрещены, гостевой доступ не предусмотрен.” ресурсы Сеть комплекса зданий Ограниченный набор ресурсов “Сотрудники могут получать доступ к любым ресурсам с корпоративных устройств. Сотрудникам, использующим личные устройства, Это важно! и партнерам предоставляется ограниченный доступ.” Сервисы политики© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
    51. 51. EAP Phase 1 Аутентификация устройства MAC, DHCP, DNS, HTTP Phase 2 Определение типа ISE Phase 3 Политика WLC Огр. Устр-во ОК?доступ QoS • Silver ACL • Allow-All Полный доступ • Сотрудники VLAN© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54/68
    52. 52. Cisco Catalyst® Switch Дифференциаторы Monitor Mode Гибкая последовательность аутентификации Поддержка IP Telephony Поддержка Virtual Desktop EnvironmentsПользователи Tablets IP Phones Сетевые устройства Гости 802.1X MAB and Profiling Web Auth Варианты аутентификации IEEE 802.1x MAC Auth Bypass Web Authentication © 2011 Cisco and/or its affiliates. All rights reserved. Поддержка на всех моделях коммутаторов Cisco Confidential 55
    53. 53. Метод авторизацииОпределяет поведение интерфейс на основании числа mac-адресовCisco IOS поддерживает 4 режима работы хостов Один хост Коммутатор Неск. хостов Коммутатор Разрешен только один MAC- адрес. 2й 1й MAC-адрес проходит MAC-адрес: нарушение аутентификацию. 2е устройство используется аутентификацию первого Хаб MAC-адреса. Хаб Аутентификация Обход VLAN dACL VLAN SGT Устройство 1 Устройство 2 SGT Устройство 1 Устройство 2 Аутент. MDA Коммутатор Несколько хостов в домене Коммутатор Для каждого домена (Voice или Data) Домен Voice: один MAC-адрес. Домен разрешен 1 MAC- адрес. 2й MAC-адрес в Data: несколько MAC-адресов. домене: нарушение Поддерживается dACL или одна VLAN Voice для всех устройств Voice Data Data Data VLAN dACL VLAN dACL SGT Устройство 1 Устройство 2 SGT Устройство 1 Устройство 2© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56/68
    54. 54. Смартфоны Минимальный уровень совпадения Несколько правил для формирования уровня совпадений Игровые консоли Рабочие станции© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57/68
    55. 55. После профилирования устройства сведения о нем сохраняются на ISE: MAC-адрес соответствует Apple? В имени есть строка ―iPad‖? Web-браузер Safari? ISE Apple iPad© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58/68
    56. 56. NAC Profiler ISE Profiler• OEM-решение (продажи прекращены) • Собственная разработка Cisco, полная интеграция с ISE• Технологии сканирования: • Технологии сканирования: NetMap (SNMP), NetTrap (SNMP), NetWatch Netflow, DHCP Helper, DHCP Span, HTTP, RADIUS, (Span), NetRelay (NetFlow) DNS, SNMP Query, SNMP Trap, активное и NetInquiry (Active Scannig) сканирование • Автономный сервер или распределенная• Распределенный модуль сбора инфраструктура информации, данные отсылаются на Profiler Server для обработки (клиент/сервер) • Более 90 профилей в конфигурации по умолчанию• Управление на базе SNMP для реакции • Управление на базе RADIUS для реакции • Более гибкий импорт данных об оконечных устройствах csv, LDAP, ...) • Интеграция с сенсором IOS© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59/68
    57. 57. • Включение типов сканирования• Использование заранее определенных наборов правил профайлера или создание собственных• Включение профиля как группы идентификации и использование его при аутентификации/авторизацииhttp://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_prof_pol.html© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60/68
    58. 58. Wireless Wired User Devices Virtual Desktop Remote VPN User User Контроль на базе Варианты контроля политик VLANs IDENTITY и CONTEXT AWARE Access Control Lists NETWORK Secure Group Tags * MACSec Encryption * *= Cisco Innovation ЦОД Intranet Internet Зоны безопасности© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61/68
    59. 59. Cisco Innovation DACL или Named ACL VLANS Security Group Access Employee IP Any Remediation Contractor Employees Guest Security Group Access— VLAN 3 VLAN 4 SXP, SGT, SGACL, SGFW• Минимальное воздействие на • Не требует управление ACL на • Простое управление ACL endpoint (не требуется менять IP- портах коммутатора адрес) • Универсальный • Лучший вариант для изоляции контроль, независящий от• Улучшенное восприятие топологии пользователями • Гранулированный и гибкий контроль доступа Гибкие механизмы применения на инфраструктуре Различные сценарии для различных заказчиков© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62/68
    60. 60. Политики на техническом языке Политики на базе ролевого управления Пользователи Права Ресурсы Матрица прав Оператор Intranet Email Financial D1 АСУ ТП S1 (10.156.78.100) Portal Server Servers (10.10.24.13) АСУ ТП Web File D2 Оператор Web IMAP No Access Web File Share Share S2 (10.10.28.12) Finance Web IMAP Web No Access D3 Full (10.156.54.200) IT Admin Web, SQL, SSH Access SQL SQL Finance S3 Email D4 Intranet Doctor - Patient Record ACL (10.10.36.10) permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 IT Admins (10.156.100.10) deny ip S4 D6 Finance (10.10.135.10) Долго permit permit tcp S1 D1 eq https tcp S1 D1 eq 8081 Просто deny ip S1 D1 Вручную …… …… Гибко Ошибки permit permit tcp S4 D6 eq https tcp S4 D6 eq 8081 Понятно deny ip S4 D6© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63/68
    61. 61. АСУ ТП (confidential) Оператор Неограничено для сотрудников Finance Internet Guest Cisco Innovation Решение СЦЕНАРИИ ВНЕДРЕНИЯ SECURITY GROUP ACCESS (SGA) Масштабируемое применениенезависимо от сетевой топологии МАСШТАБИРУЕМОЕ СНИЖЕНИЕ ОПЕРАЦИОННЫХ УСКОРЕНИЕ БИЗНЕС-ЦИКЛА ВНЕДРЕНИЕ ЗАТРАТ © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 64/68
    62. 62. Wired, Wireless, VN User Временный доступ до момента Не соответствует! приведения в соответствиеПример политик: Сложности: Ценность:• Microsoft patches updated • Понимание состояние устройства • Временный (web-based) или • Различные уровни доступа к постоянный агент• McAfee AV установлен, запущен и обновлен устройствам • Автоматическое приведение в • Цена приведения в соответствие соответствие• Запущены корпоративные приложения • Различные варианты© 2010 Cisco and/or its affiliates. All rights reserved. реагирования Cisco Confidential 65/68
    63. 63. Гостевая политика Web Authentication Internet Wireless или Wired Гости Access Доступ только в Интернет Заведение: Управление: Уведомление: Отчет:Гостевая учетная запись через Привилегии спонсора, Детали гостевой учетной Все аспекты гостевого доступа Sponsor Portal гостевые политики и учетные записи на принтер, почту или записи, гостевой портал SMS © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 66/68
    64. 64. TrustSec 2.1 Feature Matrix Security Group Access MACSec 802.1x / Device Switch to Client toPlatform Models Identity SGT SXP SGACL SG-FW Sensors Switch Switch FeaturesCat 2K 2960, 2960-SCat 3K 3560, 3650E, 3750, 3750E, 3750-X 3560-X x 3560 CCat 4K Sup6E , Sup 6L-E Sup7E, Sup 7L-ECat 6K Sup32 / Sup720 Sup2TNexus 7KNexus 5K Pr1 / Pr2, 1001, 1002, 1004, 1006,ASR 1K 1013, ESP10/20/40, SIP 10/40ISR G2 88X 89X 19xx 29xx 39xxASAWireless LANControllerAnyConnect© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 67/68
    65. 65. NCS Централизованный мониторинг сетей, ISE пользователей и устройств Центральная точка формирования политик для пользователей и устройств Унификация политики для проводных и беспроводных устройств (ISE) и управления (NCS)© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 68/68
    66. 66. Реализация BYOD на базе ISEКонтроль доступа Я хочу разрешить работу Сервисы аутентификации в моей сети только «нужных» пользователей и устройств Мне нужно, чтобы пользователи и устройства получали адекватный Сервисы авторизации доступ к сетевым сервисам (dACL, Qos, и т. п.) Cisco ISE Мне требуется разрешить Управление жизненным гостевой доступ к сети циклом гостевого доступа Мне требуется разрешить/запретить доступ с iPAD Сервисы профилирования в мою сеть(BYOD) Мне требуется уверенность, что мои оконечные устройства не Сервисы оценки состояния станут источником атаки
    67. 67. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие Платформа Cisco ISE Cisco BYOD в реальном мире© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
    68. 68. Мобильные + ПК Политика Распространение использования корпоративного ПО Классификация/ (AUP) Регистрация Управление профилирование Пользовательские (резервное копирование, устройства удаленная очистка, ...) Соответствие политикам Защищенный доступ к сети Предоставление (Jailbreak, пин-коды, ...) [(бес)проводной и VPN] сертификатов и саппликантов Защищенные Контекстнозависимый контейнеры контроль доступа данных Управление (роль, местоположение, ...) ресурсами Управляет Управляет ИТ Частичное управление у ИТ пользователь (не ИТ) (не пользователь) = Сетевые средства (ISE) = Полная управляемость (будущее)© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71
    69. 69. MDM Ecosystem Интеграция с лидерами рынка MDM * AD/LDAP ISE • MobileIron, Airwatch, Zenprise Контекстная MDM Mgr политика • Заказчики могут выбирать ? Cisco Catalyst Switches Cisco WLAN Controller Функции: User Y • Всесторонний анализ устройств User X • Детальный контекст пользователей и устройств • Расширенная защита устройств и приложений Window или OS X ПК Смартфоны, включая устройства с iOS или Android * Scheduled for Fall 2012 Wired или Wireless Wireless© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72
    70. 70. Устройства Безопасность Управление Форм Фактор Защищенное Управление соединение устройством ОС Контроль Слежение за приложений устройством Приложения Внедрение Защита Web Голос Конференции приложений Internal Web Apps Apps Видео Сообщения Защита Производительно устройства сть & Диагностика Соединение Управление Шифрование затратами на 2G/3G WiFi VPN данных связь© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73

    ×