• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Решения Cisco в области информационной безопасности
 

Решения Cisco в области информационной безопасности

on

  • 2,406 views

 

Statistics

Views

Total Views
2,406
Views on SlideShare
2,406
Embed Views
0

Actions

Likes
4
Downloads
0
Comments
1

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

11 of 1 previous next

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • хорошая презентация
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Just the facts…Sergeant Joe Friday is a LAPD detective with Dragnet.
  • Slide 11: SecureX Architecture Image- Cisco SecureX takes the elements outlined in the Security Architecture Model and blends them to provide an integrated and collaborative approach to securing the entire distributed network, from the data center to to most remote worker. - It starts with a trusted infrastructure of secured and tuned devices. The network is far more than plumbing, but becomes the core of both your network services and security.  - The network provides real-time information for visibility into what is happening on the network, context-based information about such things as where devices are located, what resources they are attempting to access, etc. - This is the who, what, when, where and how that then allows for enhanced control of the environment so that granular security decisions to be made with precision. - This context-based information can then be used not just at the network layer, but can be shared to contribute to a variety of enforcement points, either integrated into network devices, operating as an overlay appliance, or even into the cloud. - Core to this is the ability to centrally create policy about who and what can access the network, and how resources are used, across a wide spectrum of scenarios, including time, place, device, groups, etc.  - And then, take this centralized policy and push it across the entire networked environment for distributed enforcement. - This allows for consistent security implementation (including consistent access control for users, devices, and guests) across network zones, branch offices, remote workers, virtualized devices, remote workers, and cloud-based services. - APIs allow Cisco to expand our solutions with the addition of a rich ecosystem of partners that can provide critical information and services into the network, and/or gather information in order to provide granular, detailed information about what is happening. - Critical management tools and services, as well as highly trained partners specializing in network security, simplify the entire experience for customers. - The final wrapper around this is Cisco’s industry-leading global security intelligence services. By analyzing vast amounts of real-time data across a spectrum of traffic, including web, email, network, cloud, and endpoints, Cisco is able to identify and deliver critical, real-time security updates to network and security devices to protect organizations from threats as they are occurring, as well as reputation-based information in order to significantly enhance the accuracy and effectiveness of local tools analyzing network traffic.
  • Slide 11: SecureX Architecture Image- Cisco SecureX takes the elements outlined in the Security Architecture Model and blends them to provide an integrated and collaborative approach to securing the entire distributed network, from the data center to to most remote worker. - It starts with a trusted infrastructure of secured and tuned devices. The network is far more than plumbing, but becomes the core of both your network services and security.  - The network provides real-time information for visibility into what is happening on the network, context-based information about such things as where devices are located, what resources they are attempting to access, etc. - This is the who, what, when, where and how that then allows for enhanced control of the environment so that granular security decisions to be made with precision. - This context-based information can then be used not just at the network layer, but can be shared to contribute to a variety of enforcement points, either integrated into network devices, operating as an overlay appliance, or even into the cloud. - Core to this is the ability to centrally create policy about who and what can access the network, and how resources are used, across a wide spectrum of scenarios, including time, place, device, groups, etc.  - And then, take this centralized policy and push it across the entire networked environment for distributed enforcement. - This allows for consistent security implementation (including consistent access control for users, devices, and guests) across network zones, branch offices, remote workers, virtualized devices, remote workers, and cloud-based services. - APIs allow Cisco to expand our solutions with the addition of a rich ecosystem of partners that can provide critical information and services into the network, and/or gather information in order to provide granular, detailed information about what is happening. - Critical management tools and services, as well as highly trained partners specializing in network security, simplify the entire experience for customers. - The final wrapper around this is Cisco’s industry-leading global security intelligence services. By analyzing vast amounts of real-time data across a spectrum of traffic, including web, email, network, cloud, and endpoints, Cisco is able to identify and deliver critical, real-time security updates to network and security devices to protect organizations from threats as they are occurring, as well as reputation-based information in order to significantly enhance the accuracy and effectiveness of local tools analyzing network traffic.
  • So how does this fit in with the broader Cisco?Cisco has a philosophy of a “One Cisco” architecture –And for enterprise and commercial customers – it centers on Collaboration, Data Center/Virtualization, and Borderless NetworksEssentially this means that all of Cisco’s technologies are aligned to one of these three architectures – and they are not mutually exclusive.Borderless Networks has capabilities that encompass all architectures – for example, security and policy. And when you look at all three architectures, there are areas of overlap where each architecture
  • The changing business environment is also shifting user expectations of IT. The Cisco Connected World Report shows greater demand for the ability to work from anywhere with the user’s device of choice, while using video and rich media to enhance communications. Simultaneously, the report showed that IT is struggling with the performance and security implications associated with the proliferation of mobile devices and the delivery of a dynamic networked organization. 60% believe they don’t need to be in the office to be productive66% would accept a lower-paying job (10%) for more work flexibility45% work an extra 2-3 hours a day since they are able to work outside of the office (additional 25% work 4+ hours)45% of IT professionals unprepared to make workforces more mobile57% of IT professionals said security is the biggest challenge in supporting a mobile and distributed workforce
  • The CSO and Security team’s ultimate goal is to help the organization:Keep bad stuff out of their environmentKeep good stuff (critical assets) protected no matter where they resideBe “inbounds” or compliant with requirements for the businessFocus on consistent policies and controls, risk mitigation, auditing, reportingKeep critical services running and protected no matter whatEnsure at the application level, at the network level, and at data centerEnable productivity and innovation securelyImplement cost controls and footprint reduction when designing and implementing security solutions
  • Threat intelligence is a critical component of any security strategy and architecture as the threats we face become more and more sophisticated. Effectively defending against the latest threats requires visibility, information and intelligence about the threats that exist, and control, the ability to use that information to eliminate the risk. Attackers are targeting users’ trust and social media usage to deliver blended threats very effectively. The use of just local data and signature-based detection is not effective in delivering proactive protection against today’s threats and attacks. And worst of all, once users have been infected, undetected malware can change security configurations, steal data and provide ongoing remote access to systems.Attackers are targeting user trust around Facebook, beneficial due to its pervasive use with over 500 million users. Facebook is only growing in popularity, and criminals find it easy to fool people into thinking they’re downloading legitimate updates instead of dangerous malware. And as users access Facebook from many different devices, especially mobile devices, the risk is even greater. An example of this is Koobface. Koobface (or Facebook backwards) has been around for some time but continues to evolve. The Koobface worm hijacks a machine, by relying on a user to click through a link to download an update or visit a site. It will prompt the user with a message such as have you seen this video, upon which clicking prompts the user to download the latest update to their flash or video player, which is actually malware being installed onto their system. Without the latest threat intelligence on blended threats, users are likely to be infected with malware.Beyond social media, Criminals can make their exploits more successful by using names and brands that victims trust. In this case attackers use what appear to be legitimate message about updates from Microsoft to trick users into installing malware. In January, criminals sent emails that pretended to alert people to critical security updates from Microsoft. The email message was supposedly signed by Steve Lipner, who is actually a senior director of security engineering strategy at Microsoft – so recipients were led to believe the message was legitimate. Users were told to download what they thought were security patches. But what they actually downloaded was a corrupt ZIP file with malware. Since Microsoft is a such a trusted brand, we expect to see many more malware threats that use the company’s name to target unsuspecting users. These attacks often have the sophistication to disable security software on the host, change remote access permissions, and even change UI components to make it more difficult to remove or become aware that a host is compromised.And beyond sophistication, the threat intelligence needs to be very proactive and timely. Attackers are quick to put the latest national disaster, rise or fall of a pop star sensation or sporting event to use to lure users into taking action that can lead to a successful attack and installation of malware. Often these attacks are not only timely, but also new and sophisticated enough that they evade traditional signature only based detection, and require better, up to date global threat intelligence to quickly and effective identity and block the threat. A good example of this is the scam emails and websites created after the Haiti earthquake in 2010. This underscores how quickly criminals can and will jump on trends – they knew their potential victims would be aware of the disaster in Haiti. The scammers sent out fake emails supposedly from charities asking for donations for earthquake victims. Victims who clicked on the donation link in the email were taken to a fake website where they would enter credit card information. If you scanned these messages and websites solely for content, which is the outdated way to identify threats, you would not have blocked these scam messages. Threat intelligence is very effective at identifying these complex and blended threats and blocking them across multiple methods, whether it is via email, web or intrusion prevention.
  • The threat environment presents two challenges, protecting against attack targeted at or coming from internal users as well as protecting from attack from outsiders. As hackers become industrialized, meaning that they are organized and deliberate in their efforts, and that they operate from an actual for-profit business model, their efforts to break into and steal data, resources, personal information, and even electronic funds, goods, and services are becoming increasingly sophisticated. These threats are not only from the outside, but increasingly, are aided, or even initiated, by insiders.Traditional, legacy security solutions are poorly suited to address these new threats. They exist in siloed environments with no ability to see behaviors within a larger context, nor to leverage the network in order to better mitigate events. Signature-based solutions are becoming irrelevant as polymorphic threats are able to self-modify their code to avoid signature-matching security approaches. More often than not, these solutions also impede an organization’s ability to deploy new mobility or collaboration solutions because as the edges of the network blur these devices become even less effective.We need to have visibility into these inside and outside actions and apply greater context to effectively protect from successful attacks.
  • Instead, defending against this escalating attack environment requires proactive defense-in-depth that relies on the collaboration between security and network devices to increase visibility into the network and network traffic, and sophisticated control that allows the secured network to stop an attack at its source, whether inside the network, outside the network, or even in the cloud. It requires the ability to see users, devices, and events within a context that informs the sort of security that needs to be applied. Is the user inside or outside the network? Is the device healthy? Where are they located? What sort of connection do they have? What resources are they trying to access? It needs to understand the who, what, where, when and how.Cisco security solutions provide security across the entire spectrum of access methods. Not only do they provide traditional security services such as firewalling, IPS, or web or email protection, but they are designed to extend those services to the sorts of critical business applications and services organizations are running or are considering deploying. Cisco security solutions understand voice traffic, video traffic, data traffic, application traffic etc. and can coordinate with the network to inspect, secure, and manage them. Security can be deployed as high-performance appliances and is also integrated into network devices to provide a web of security that spans across the entire infrastructure.Security solutions such as the Cisco ASA, IPS, Email, Web, ScanSafe, and ISE appliances are updated with real-time threat information from Cisco SIO. The Cisco policy services platform creates unified and consistent security policy across security devices, network devices, and cloud and virtualized services.Finally, Cisco network devices themselves are designed with powerful security and communications tools to defend against a variety of threats, including the ability to protect themselves from control plane overflows, denial of service attacks, traffic management, or man in the middle attacks. They also provide real-time local network information to security devices using such things as NetFlow to ensure that security devices are able to synchronize themselves against attacks, collaborate with the network, and adapt to threats as the context of users, devices, and data changes.
  • The 5585 was designed from the beginning for flexibility and simple scalability. Since it is a passive chassis we have the ability to offer a variety of firewall and IPS modules at various perofrmance and capacity levels to match your needs. You can start out with a slower module and as your needs increase you can easily replace it without having to remove the chassis or worry about changes to your configuration or policy. Simply swap out the existing module for a faster one and reload your existing config and policy and you are ready to go.Now lets take a look at the performance numbers for these four modules. Since performance is very dpendant on the enviroment the product runs in and the policy defined in it we typically list perofrmance in one of three ways. Best case (though not realistic), IMIX which is a router standard that is a more accurate interperation of performance based on different packet types and sizes and EMIX wich is a uniqe mix based on an even more realistic test of mixed multi protocol application access. We have teamed up with breaking point to ensure we have the most accurate performance numbers we can get.The numbers listed here are for EMIX. We also publish our IMIX and best case numbers in our data sheets as well. Those numbers are even higher with the highest end module being 40 Gbps for example. So when you do a data sheet comparison be sure you look at the apples to apples numbers. Some vendors don’t publish anything expect their best case number because in a realistic environment they can see a drop of 60-70% from their best case numbers.Designed to scale.Perf measured in three ways, Best, IMIX, EMIX
  • Another key difference is the way ASA-SM and FWSM connect to the supervisor. FWSM uses a 6 port internal etherchannel across the backplane. ASA-SM connects using a single connection which prevents the unbalanced load issues found with the FWSM etherchannel backplane connection.ASA-SM also contains many of the features that ASA has and FWSM does not. These include many IPv6 features, Multicast routing features, Botnet Traffic Filter, etc.
  • While other “next-generation” firewalls allow you to add application and user awareness to firewalls…ASA CX is the only firewall that allows you to enforce security based on the complete context of a situation. This context includes the identity of the user (who), the application or web-site that the user is trying to access (what), the location of the access’ origin (where), the time of access (when) and the device - type, OS version and ownership - used for the access (how).While other “next-generation” firewalls depend on primitive methods like static risk ratings assigned to applications…ASA CX is the only firewall that combines web reputation with context-awareness to enable safe access to applications. Web Reputation uses the world’s largest threat analysis system, Cisco Security Intelligence Operations (CSIO), to block malicious transactions within genuine applications.This context and threat awareness is built on the solid classic firewall capabilities of ASA, a proven stateful inspection firewall with an installed base of more than a million appliances.With the widest networking portfolio, Cisco will be able to offer these capabilities as an appliance, as (in future) as part of secure routers, as blades in switches, and as part of a virtual firewall.So with ASA CX, you get industry’s deepest feature set, on proven Cisco technology.
  • While other “next-generation” firewalls allow you to add application and user awareness to firewalls…ASA CX is the only firewall that allows you to enforce security based on the complete context of a situation. This context includes the identity of the user (who), the application or web-site that the user is trying to access (what), the location of the access’ origin (where), the time of access (when) and the device - type, OS version and ownership - used for the access (how).While other “next-generation” firewalls depend on primitive methods like static risk ratings assigned to applications…ASA CX is the only firewall that combines web reputation with context-awareness to enable safe access to applications. Web Reputation uses the world’s largest threat analysis system, Cisco Security Intelligence Operations (CSIO), to block malicious transactions within genuine applications.This context and threat awareness is built on the solid classic firewall capabilities of ASA, a proven stateful inspection firewall with an installed base of more than a million appliances.With the widest networking portfolio, Cisco will be able to offer these capabilities as an appliance, as (in future) as part of secure routers, as blades in switches, and as part of a virtual firewall.So with ASA CX, you get industry’s deepest feature set, on proven Cisco technology.
  • First Generation – Packet FiltersSecond Generation – Stateful Packet Filters. Credit to Nir Zuk from Check Point, but first developed by AT&T Dave Presetto, Janardan Sharma, and Kshitij Nigam – circuit level firewallsThird Generations – Application Layers FirewallThird Generations – Deep Packet InspectionsDPI ApplicationDPI granular application
  • Where you need coarse, organization-wide or subnet-based rules, IP address-based rules are still valid. But where you need granular, user-specific rules, IP addresses are no longer a good proxy for users due to user mobility and dynamic assignment of IP addresses.The primary mechanism by which “next-generation” firewalls identify users is through a User-ID Agent. The User-ID Agent collects user-to-IP address mapping information from the Active Directory security logs and provides it to the firewall for use in security policies and logs. ASA CX supports this mechanism of user identification through an Active Directory Agent. This user identification mechanism is useful mainly to get visibility into user traffic, or to apply controls on non-critical traffic. For critical access control decisions, customers especially in highly regulated industries like Finance and Healthcare do not like to rely on user-to-IP address mapping, because the log information could be stale, rendering the user identification obtained through this mechanism unreliable. To address this problem, ASA CX supports true authentication schemes like NTLM and Kerberos. When these schemes are used, clients (like browsers) authenticate users seamlessly, without asking users to fill in credentials in an authentication prompt. These schemes are secure because they never send the password in the traffic. Authentication is done using a challenge-response method, based on the credentials used to login to the endpoint. In fact Kerberos is the default authentication mechanism on Active Directory 2000 and above. ASA CX provides you the flexibility to use Active Directory Agent or NTLM / Kerberos for different types of traffic.In future, ASA CX plans to integrate with TrustSec so that administrators can leverage the device and user identity that is already available in the network. With Cisco TrustSec, you can identify and tag traffic from employees, contractors, guests, and so on. You can leverage these tags on the TrustSec-enabled Cisco switches to control campus access, and on ASA CX to control access across the perimeter. As an example, you can use TrustSec to limit the Guest traffic to a Guest network, and use ASA CX to specify the narrow list of applications or web sites that the guests are allowed to access. No other firewall vendor is able to provide such diverse access control methods.
  • Due to proliferation of web-based applications (all traversing ports 80 and 443) and the port-hopping nature of several applications like Skype, ports are no longer a good proxy for applications.“Next-generation” firewalls address this by offering application-based visibility and control. However, merely classifying an application is no longer enough either. Now you must identify the “micro-applications” being used within a bigger application, and make the access controls decision based on all of these inputs.ASA CX offers very granular controls that allow administrators to create firewall policies that match the nuanced business needs of today. ASA CX not only identifies 1,000+ applications, but also identifies 75,000+ micro applications, like Farmville on Facebook. These micro applications are bucketed into easy-to-use categories so that firewall administrators can easily allow / deny access to the relevant parts of the application, for example, on Facebook these micro applications are categorized into business, community, education, entertainment, games, and so on. Similarly, other applications like Google+, LinkedIn, Twitter, iTunes etc are also broken down into micro applications.In addition to micro applications, ASA CX also identifies the application behavior, that is, what action is the user taking within that application. As an example, the Facebook Videos category identifies whether the user is uploading, tagging or posting a video. So an administrator may allow users to view and tag videos, but not allow users to upload a video. You could also deny any postings from users, effectively making Facebook read-only.
  • Only Cisco has an industry-leading firewall and secure web gateway.ASA CX uses the same URL filtering database as its web security solutions. This is Cisco-owned, unlike almost all other “next-generation” firewalls which use 3rd party URL filtering solutions. ASA CX allows you to create URL based rules for users and groups, creating differentiated access to the internet, unlike some other vendors that only allow 1 URL filtering policy for the enterprise.Cisco’s URL filtering database has industry-leading coverage and efficacy. It provides 65 URL categories and a comprehensive URL database that encompasses sites in more than 200 countries and more than 50 languages. Cisco SIO updates the database every five minutes, taking advantage of its visibility into more than a third of global Internet traffic to provide customers with the most effective and timely coverage. URL updates are sourced from automated web crawling and classification technologies, combined with manual classification from Cisco’s global categorization team of professional researchers. Periodic, automated aging out of unused domains and sites, along with regular updates of millions of new URLs, help maintain the industry’s highest-quality web filtering database. In addition, data from thousands of participating Cisco’s security appliances is delivered to Cisco SIO to classify uncategorized URLs. Any miscategorization requests are responded to quickly - often within minutes.
  • With users demanding access to data from anywhere, the choice for you is to either to keep your network very restrictive, which your business leaders do not like, or to fully open up access even if that makes your network more vulnerable.As an element of context, location can play an important role in determining whether the access request is legitimate or not. For example, if the CFO access the finance application from his laptop as well as iPad, maybe it is ok. However, the fact that the access from these two devices happened simultaneously from 2000 miles apart is a strong indication that one of the devices may be compromised.ASA CX allows you to create location-based policies. In the first release, you can create separate policies for local and VPN (AnyConnect) user traffic. As an example, you can allow access to a sensitive financial application from a local laptop, while denying access from a remote iPad.In future, the planned integration with TrustSec and Identity Services Engine (ISE) will allow you to set more granular policies based on where in the network you connected from. For example, if you are connecting from employee workstations in San Jose campus > Building H, you get a different level of access than if you were connecting from a lab environment.
  • According to a July 2011 Forrester Research survey(*), 60% of enterprises are enabling BYOD. There is tremendous pressure on security administrators to allow any time, any device access from anywhere. Often security administrators have little choice: they either keep the network closed, or open it up for all kinds of devices at the expense of security. A majority of them choose to open up network access, but this leads to complete loss of control over network access with absolutely zero visibility.Cisco security solutions like AnyConnect and Identity Services Engine (ISE) help customers enable BYOD securely.AnyConnect, installed on more than 100 mn endpoints, is the most ubiquitous VPN and secure mobility client in the market. It sends information about the device operating system and version, which ASA CX uses as elements of rich context for visibility and control.In near future, ASA CX will leverage even richer information from ISE, like device profile, device posture, 802.1x authentication information, and so on. This will allow customers to set differentiated policy, for example, restricting network access if the device is personally owned. This will complement TrustSec architecture which is used for campus access control. Leveraging the same information, ASA CX can be used for edge access control.None of the other firewall vendors combines such rich application and user controls with rich device information.NOTE: If a customer has neither AnyConnect nor ISE, ASA CX will extract the device operating system from the user agent parameter of HTTP traffic.* Reference: http://www.att.com/gen/press-room?pid=21555&cdvn=news&newsarticleid=32980&mapcode
  • 25 devices is not a hard limit, it is a recommendation. This will be tuned after performance testing and before FCS.
  • The context-aware capabilities are managed through the Cisco Prime Security Manager (PriSM).PriSM is built from the ground-up to address task-based workflows in a simple and efficient Web 2.0 based GUI.PriSM is available in two variants. The first is a web-based on device version that is integrated with the ASACX. The second is an off-box version that is typically used in situations where a network contains multiple ASACXs. The on-device version is identical to the off-box version except for the latter’s ability to manage multiple firewalls. Thus, from a security operator’s point of view, the experience of managing the ASACX is consistent irrespective of the management application variant – on-device or off-box – that the operator chooses.PriSM interacts with the firewalls in a schema-driven, standards-based fashion through REST API. In future, this will allow customers to write their own scripts or develop their own custom management application if they so choose.
  • Notes:Cisco’s portfolio is broader than any other. That helped build our market share and deployment coverage but those devices are very old.Furhter we recognize that we are trying to sell stand-alone IPSs that extend too far down in the speed continuum and not high enough.In March we replace the 4240 / 4255 / and 4260 with the 4345 and 4360. We drive lower level IPS to the integrated FW/IPS offerings that are in the 55xx family.The 4270 continues to be the only stand-alone IPS with 10G interfaces and fail-over. We continue to sell that until we deliver the Glen Rose product in the summer.
  • A recent Cisco Connected World Report shows that employees expect to have more flexible work options. For many, such flexibility is even more important than salary. IDC predicts that in 2012, the number of mobile devices is likely to reach 462 million, exceeding PC shipments.Such increased access methods and devices present major challenges for many organizations, as they try to maintain a high level of security while supporting productivity and work flexibility. Some specific challenges include:1) Mobile workers need access to resources on the internal network from anywhere, and they also need access to cloud-based services.2) The large number of user-owned mobile devices and many different types of these devices make it difficult for organizations to identify the devices and to ensure policy compliance.3) Without proper protection, data residing on the mobile devices becomes a high risk of corporate data loss as well as compliance violations.
  • Another key to making the experience seamless is by ensuring that the scanning elements are distributed throughout the network and not just at HQ—pressing out to the capillaries of the network through ISR integration; as well as in the cloud.The recent ScanSafe acquisition accelerates Cisco’s ability to deliver security services in the cloud. Over time, Cisco is planning to build a hybrid hosted model in which users will be able to attach to either a company-owned head-end or a cloud enforcement point—whichever provides the best user experience—while getting consistent policy enforcement and security.In the interim, customers have the choice of on-prem or cloud enforcement for their mobile users. For the cloud-based solution, the Anywhere+ client will re-direct web traffic to the Cisco-ScanSafe cloud for scanning and enforcement. In the near future, this client will converge with the AnyConnect client for a unified client footprint.Alternatively, customers can use the AnyConnect Secure Mobility client to connect to on-premise equipment for security. We’ll dig into this solution in more detail on the next slide.
  • Comprehensive device provisioningAutomated on premise MDM enrollment with appropriate device and application provisioningDetailed User and Device ContextHigh fidelity device info offer true visibility of what is connectedIncreased device details (OS version, serial number, etc) enhances policy decisioning.Increased Device and Application SecurityDevice tracking capabilities upon device loss
  • Why Cisco/network wins
  • A recent Cisco Connected World Report shows that employees expect to have more flexible work options. For many, such flexibility is even more important than salary. IDC predicts that in 2012, the number of mobile devices is likely to reach 462 million, exceeding PC shipments.Such increased access methods and devices present major challenges for many organizations. They need to maintain a high level of security while supporting productivity and work flexibility.Issues around these devices include: Making sure that users and devices are healthyEnsuring that devices are connected securely to servicesEnsuring that devices and users only have access to network resources appropriate to a number of context-based decisions, such as the user’s role, the kind of device being used, where is it located, what time is it, what sort of connection is being used, etc.The ability to provide consistent policy for any user or device, from the most remote endpoint, across the network, to the center of the data center.The ability to determine, based on policy, when and if data ought to be secured, and then being able to dynamically enforce data encryption.
  • What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • The trustsec portfolio is now enhanced with the introduction of our new policy manager ISE.Policy decision point and the platform for delivery of services is ISEPolicy enforcement is our infrastructureFinally client capabilities (802.1X, MACSec) is integrated into the Anyconnect. Or customers can use native supplicants. The NAC posture agent will be integrated into AC in the 1H CY2012
  • Cisco has considerable investment in identity features on our infrastructure. A number of differentiators include monitor mode that allows you to authenticate users wthout enforcement. Another differentiator is flex auth, our ability to order authentication appropriately along with the right behavior when authentication fails. Interop with IP telephony and in VDI environments are also supportedThese features are delivered consistently across our entire switch portfolio, so whether you’re deploying a Cat 3K, 4K or 6K, the customer just has to select the right switch
  • Problems - Different kinds of device types appearing on the network (wired & wireless) : ipads, printers, phones etc - IT needs visibility into all devices - IT may choose to have different policy for certain kinds of devices (don’t allow ipad on the network) - IT needs assurance that a device conforms with its signature for security reasons 
  • Device Profiling + IOS sensorSolution Components – ISE (Identity Services Engine) and Switch sensor (IOS SW that resides on 3k)Steps : Collection: A device (for example – a printer) gets plugged into a port on a switchSwitch detects a new device has been plugged inSwitch collects data related to the device (DHCP, LLDP, CDP, and MAC OUI data) by snooping on the traffic sent by the deviceSwitch sends collected data to ISE to aid ISE in device classification Classification :ISE uses rules engine to classify that device to be a printerISE provides a report of devices with  device types : device MAC addr, device IP addr, switch port, device type etc Authorization:If IT has defined a policy for that device type - “Printer”, ISE executes the policyIf Policy says  – put printer in a VLAN X, ISE tells the switch to place printer on VLAN XIf Policy says – don’t allow printer on the network, ISE tells the switch to block the portIf Policy says – provide restricted access to printer and limit it to ONLY talk to a Print server, ISE will ask the switch to enforce an ACL per the policyISE – can also collect “netflow” information from switchIf ISE notices that HP Printer is trying to talk to Internet (based on netflow data), it raises an alaram, as Printers are meant to be used for intranet usage only.  This eliminates data spoofing & improves security
  • The key component of the TrustSec architecture is ISE. It converges NAC and ACS functionality from AAA functions to security services like guest, profiling and posture into one appliance, making the choice of deploying either a “overlay mode” or “infrastructure integrated mode” a lot simpler for customers.Current NAC and ACS hardware platform is software upgradeable to ISELicense migration program for all software licensesData and Configurations migration tools available*
  • [Need animation on this slide]
  • Application Team – Control access to PCI Customer Data based on user, roleSystem Team – Identify data locations with PCI Customer DataNetwork Team – Create router, switch access controls for user IP addresses to Networks with PCI Customer Data
  • One of the challenges that organizations face is providing branch offices with the same security and consistent policy that is deployed at headquarters. Challenges include the cost of deployment of security devices, and even more, the cost associated with managing and tuning these devices due to limited IT or security resources in the branch. Lack of security consistency makes the branch office a prime target for determined hackers and criminals as they often represent a weak link in corporate security and a back door into corporate resources and the corporate data center.
  • To address these challenges, Cisco has integrated professional-grade security solutions into our branch and edge network devices. These solutions provide the exact same security as is deployed at the corporate headquarters, with the added bonus of being able to be deployed and managed remotely, and to have a consistent corporate security policy deployed and enforced across the entire WAN infrastructure.The Cisco ISRG2 family of routers provides a powerful and robust set of security services designed to not only protect the branch, but to secure and enable other critical services, such as voice and video, being extended to the branch office.Security solutions that can be deployed on the ISRG2 include the same firewall, IPS, and VPN solutions that run on the Cisco ASA. Mobile users and teleworkers can terminate their VPN connections directly to the branch router and receive the same secure access and rich network services as they would if they connected directly into corporate headquarters. A new ScanSafe solution on the ISRG2 provides consistent web security for branch users whether their web requests are pushed through the WAN to the corporate web server or are delivered to the Internet directly from the branch.The Cisco ASR routers at the corporate edge are also able to provide the same high-performance security to protect the corporate LAN from traffic originating from the branch or from outside users, such as mobile workers.Additionally, Cisco’s network devices are designed with a wide range of native security solutions, such as control and data plane protection, detection and protection against denial of service attacks, or a host of other sorts of threats. Finally, all of this lives within a larger secure network ecosystem on these devices, which extends security to such services as voice and video while providing a seamless LAN experience across the WAN.
  • Pointer to other sessions (IPS, NAC, 802.1x sessions) –BRK- 20101 (NFP)
  • Pointer to other sessions (IPS, NAC, 802.1x sessions) –BRK- 20101 (NFP)
  • Cloud computing and virtualization technologies spur higher levels of business growth and opportunities. In the mean time, new challenges start to emerge. The explosive growth of mobile computing requires an open infrastructure with trusted access to the cloud and virtualized data center resources. The new technologies change how workloads are handled, but the larger “attack surface” creates more vulnerability. Compliance mandates such as PCI DSS impose stringent requirements for policy enforcement and controls. Web 2.0 technologies and e-commerce require security that can scale to protect a mission-critical computing environment. Traditional security cannot protect new security “blindspots” such as security for a virtual and dynamic environment where virtual machines may move from one physical host to another, thus breaking static security boundaries such as VLAN based security.Another challenge is that many customers do not have experience and expertise to protect these new and dynamic environments. Finally, the massive workloads and consolidated infrastructure post high scalability and performance requirements on the security solutions.
  • The Cisco solution to secure cloud and virtualization includes the following components:- Cisco ASA 5585-X Appliance and Cisco Catalyst 6500 Series ASA Services Module (SM)- Cisco Nexus 1000V Series Switches - Cisco Virtual Security Gateway (VSG)- Cisco Intrusion Preventions System (IPS) sensorsCisco ASA 5585-X appliance is uniquely positioned to provide high performance security to protect the new virtualized data center and cloud with firewall and IPS capabilities. The ASA 5585-X MultiScale™ performance is a combination of breadth and depth. It provides rapid connections per second, an abundance of concurrent sessions, and accelerated throughput. It also enables multiple security services for exceptional flexibility. The ASA 5585-X can offer up to 20 Gbps of real-world HTTP traffic and up to 35 Gbps of large packet traffic. It supports up to 350,000 connections per second and a total of up to two million simultaneous connections initially. The ASA 5585-X deployment at the data center distribution layer provides a strong layer of protection for the high valued data center resources and services. The Cisco ASA Services Module provides similar high performance with a different deployment option as a plug-in module for Cisco Catalyst 6500 switches. Furthermore, Cisco also provides another IPS deployment option with IPS sensors to enable distributed and intelligent detection with precision response to network attacks.The Cisco Virtual Security Gateway (VSG) works with Cisco Nexus® 1000V switches to provide zone-based and policy-driven security at the virtual machine level, extending existing security policies into virtual and cloud environments. The Cisco Nexus 1000V adds additional security and monitoring capabilities at the access layer, including PVLAN, IP Source Guard, DHCP Snooping, ARP inspection, and NetFlow. Together with the Cisco ASA 5585-X, ASA Module and IPS sensors, the Cisco VSG and Cisco Nexus 1000V switches provide in-depth security for threat defense, secure segmentation, consistent policy and controls for virtualized data centers. The Cisco solution helps secure multi-tenancy which is a key element of private, public and hybrid cloud computing, defend against threats, and provide network traffic and activity visibility.
  • Architectural viewpoint; start on the leftWhat we are going to have in our virtualized collaboration workspace is a set of our own devices and an ecosystem. We have partnerships established with some of the key vendors: Wyse, Devon IT and Igel. In the thin client market, there are two leading vendors and they share market, and then there a few others. The two that are splitting the majority of the market are Wyse and HP. We’re partnering mostly with Wyse.In the network, one focus is performance optimization. There is a set of software on the desktop in the datacenter, and a little bit on the endpoint and between them is a desktop virtualization protocol. No industry standard right now. Citrix has ICA. VMware has PC over IP. And Microsoft likes RTP. We’re focused on these big three. Our product will be available next summer, and that will be VDS, virtual desktop service.All packets are put together in a single stream and encrypted. Much of our network magic around quality of service, we can’t see inside those strings. With VDS, we’re working with partners to get certified to be able to look inside those desktop protocols and start applying intelligent network capabilities. WAN acceleration is part of that.Other pieces include policy. Because I’ve separated my access from my virtual desktop, the corporate can apply policy when you connect. If I’m in the building, I get access to all my applications. When I’m remote, on my iPad, the network knows I’m not inside the building and I might get access to some but not all of my applications. Can restrict financial data, for instance. In the data center, at the storage level we’re partnering with EMC and NetApps for storage. We’re using UCS, with that running things like QUAD and CUCM. On top of that, hypervisor and desktop virtualization software, and then windows. We’re putting that all together and validating in an end to end system and providing the design guide to allow the customer to stand all that up and do it quickly and easily.
  • Now, we’re looking at an example where CSA is used in a network to enforce PCI compliance. On the right, there is a large network, with a data center housing various types of servers.Next to that is the main office, and the internet edge, and one of the representative remote locations is at the left.Various types of network and security devices are tagged with the numbers of PCI requirements that can be enforced by that device. Of course, not all numbers are listed, only the more relevant ones.CSA protects any management or production servers, desktops, and more. And of course, it provides additional mechanisms to ensure financial information cannot be compromised.
  • Now, we’re looking at an example where CSA is used in a network to enforce PCI compliance. On the right, there is a large network, with a data center housing various types of servers.Next to that is the main office, and the internet edge, and one of the representative remote locations is at the left.Various types of network and security devices are tagged with the numbers of PCI requirements that can be enforced by that device. Of course, not all numbers are listed, only the more relevant ones.CSA protects any management or production servers, desktops, and more. And of course, it provides additional mechanisms to ensure financial information cannot be compromised.
  • Today’s solutions – “the before”A piecemeal security approach requires lots of integration and staffing to supportSecurity based on physical structure no longer sufficient as world embraces virtualizationLoss of control with non-company devices, employee owned devices, risk data loss and malwareVulnerable, in-the-clear connections risks confidentiality and increases compliance complexityDuplicate efforts and inconsistent security policies between wired and wireless network access and so on.New Security ApproachArchitecture-based approach enables an in-depth security systemDistributed security policy and enforcement to address both physical and virtual environmentsSecured any device connectivity enabled by access control, malware detection and data protectionEncrypted, integrity protected end-to-end communicationsUnified management and policy for consistency across all access methods
  • The changing business environment is also shifting user expectations of IT. The Cisco Connected World Report shows greater demand for the ability to work from anywhere with the user’s device of choice, while using video and rich media to enhance communications. Simultaneously, the report showed that IT is struggling with the performance and security implications associated with the proliferation of mobile devices and the delivery of a dynamic networked organization. 60% believe they don’t need to be in the office to be productive66% would accept a lower-paying job (10%) for more work flexibility45% work an extra 2-3 hours a day since they are able to work outside of the office (additional 25% work 4+ hours)45% of IT professionals unprepared to make workforces more mobile57% of IT professionals said security is the biggest challenge in supporting a mobile and distributed workforce
  • The changing business environment is also shifting user expectations of IT. The Cisco Connected World Report shows greater demand for the ability to work from anywhere with the user’s device of choice, while using video and rich media to enhance communications. Simultaneously, the report showed that IT is struggling with the performance and security implications associated with the proliferation of mobile devices and the delivery of a dynamic networked organization. 60% believe they don’t need to be in the office to be productive66% would accept a lower-paying job (10%) for more work flexibility45% work an extra 2-3 hours a day since they are able to work outside of the office (additional 25% work 4+ hours)45% of IT professionals unprepared to make workforces more mobile57% of IT professionals said security is the biggest challenge in supporting a mobile and distributed workforce
  • Learn security considerations and solutions from cisco.com/….Call a Cisco or partner to perform a security assessmentAssess your security status based on the 7 Security questions (and assess our organization level of security in a 5-7 steps framework - TBD)Learn about Cisco solution from XYZ - (use the 7 Questions as a way to get to this like we do with BN) Learn from how Cisco has deployed these security solutions through Cisco-on-Cisco case studies and customer case studies
  • #3 casesTrusted security architecture with pervasive network visibility and control - reduce complexity and increase protectionThe industry’s most rich and innovative security portfolio - optimized for any organization size and needs today and into the futureUnique context aware threat protection and security intelligence discovers and protects against next generation of threatsConsistent enforcement of policy throughout an organization using posture and context to enable a secure borderless experience Network integration that enables security from the device, throughout the network, to the data center, gathering data and enforcing Validated with third-party ecosystem partners to ease integration and deployment

Решения Cisco в области информационной безопасности Решения Cisco в области информационной безопасности Presentation Transcript

  • Стратегия Cisco вобласти обеспеченияинформационнойбезопасностиАлексей Лукацкий, бизнес-консультант по безопасности© Cisco, 2010. Все права защищены. 1/124
  • Рост Соответствие Внимание ИТ Глобализация Риск-менеджмент Разрешить Защитить Соответствие Регулирование Внимание ИБ Привлечение людей Персданные Внимание руководства© Cisco, 2010. Все права защищены. 2/124
  • Организационно – КТО? Compliance Ops. Endpoint Team Network Ops. Security Ops. Политика Application Team HR Технологически – ЧТО?  Не пустить плохих  Пустить хороших Контроль доступа Endpoint  Соответствовать Identity Mgmt Вторжения  Учесть BYOD Соответствие Управления  Разрешить виртуализацию  Быть готовым к облакам Операционно – КАК? Проводное В сети Беспроводное Поверх сети VPN На устройстве© Cisco, 2010. Все права защищены. 3/124
  • ОТ К # ! % Поэтапный дизайн Координация систем Унифицированные точки Точечные решения применения политик Всесторонний контроль Ограничение обзора на 360 Проверка на «кошках» Проверенный дизайн© Cisco, 2010. Все права защищены. 4/124
  • Маршрутизация всех запросов Источники всех данных Управление всеми устройствами СЕТЬКонтроль всех потоков Контроль всех потоков Видимость всего трафика Контроль всех пользователей© Cisco, 2010. Все права защищены. 6/124
  • Исследования в области ИБ (SIO) Защищенный Защищенный Защищенный ЦОД и универсальный филиал и периметр облако доступ Косьюмеризация Депериметризация Виртуализация Политика Управление Точки приложения сил Сеть© Cisco, 2010. Все права защищены. 7/124
  • Исследования в области ИБ Политика Устройства & Пользователи Активы & Информация Управление Точки приложения сил Сеть© Cisco, 2010. Все права защищены. 8/124
  • Политика Кто Что Как Где/откуда КогдаАнализугроз SensorBase Operations Center Dynamic UpdatesВнедрение на Интегрированная Высокоскоростная Облачныеуровне сети инфраструктура навесная защита вычисления © Cisco, 2010. Все права защищены. 9/124
  • • Сложность• Операционные затраты• Число уязвимостей• Обучение специалистов• Поддержка• Эксплуатация и управление• Мониторинг и устранение неисправностей• Конфигурация и обновление• Интеграция© Cisco, 2010. Все права защищены. 10/124
  • Россия коренным образом отличается от всего мира в области информационной безопасности!!! Новые Угрозы технологии Требования регуляторов© Cisco, 2010. Все права защищены. ИНФРАСТРУКТУРА 11/124
  • © Cisco, 2010. Все права защищены. 12
  • Мотивация Известность Деньги Метод Дерзко Незаметно Фокус Все равно Мишень Средства Вручную Автомат Результат Подрыв Катастрофа Тип Уникальный код Tool kit Цель Инфраструктура Приложения Агент Изнутри Третье лицо© Cisco, 2010. Все права защищены. 13/124
  • © Cisco, 2010. Все права защищены. 14
  • СоциальныеАутсорсинг Виртуализация Облака Мобильность Web 2.0 сети © Cisco, 2010. Все права защищены. 15/124
  • © Cisco, 2010. Все права защищены. 16
  • Глобальные сложные угрозы Поддельные сайты «Сбор средств KOOBFACE Microsoft Update на восстановление Гаити» РИСК РИСК: ВЫСОКИЙ РИСК: ВЫСОКИЙ РИСК: СРЕДНИЙ ПРОБЛЕМА Высокая сложность Необнаруженное Надежность защиты Многовекторные атаки – вредоносное ПО ограничивается ни одна не похожа на Отключается системы ИБ, сигнатурными методами другую крадет данные, открывает и поиском по локальным© Cisco, 2010. Все права защищены. удаленный доступ к системе данным 17/124
  • 4 TB 750,000+ ДАННЫХ В ДЕНЬ ГЛОБАЛЬНЫХ СЕНСОРОВ 30B WEB -ЗАПРОСОВ 100M СООБЩЕНИЙ EMAIL 35% МИРОВОГО ТРАФИКА SensorBase Threat Operations Center Dynamic Updates© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
  • $100M 24x7x365 ИНВЕСТИЦИЙ В ОПЕРАЦИИ ИССЛЕДОВАНИЯ И РАЗРАБОТКУ 500 40+ 80+ ИНЖЕНЕРОВ, ТЕХНАРЕЙ И ЯЗЫКОВ Ph.D.s, CCIE, CISSPs, MSCEs АНАЛИТИКОВ Threat Operations Center Dynamic Updates© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
  • 3-5 6,500+ ИНТЕРВАЛЫ ОБНОВЛЕНИЙ ВЫПУЩЕНО СИГНАТУР IPS 20+ 200+ 8M+ ПУБЛИКАЦИЙ КОНТРОЛЬ ПАРАМЕТРОВ ПРАВИЛ В ДЕНЬ Threat Operations Center Dynamic Updates© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
  • Внешние и внутренниеугрозы Внутренние угрозы Внешние угрозы Ботнеты ВПО ПРОБЛЕМА Масштабирование Отсутствие глобальной Слабая координация производительности и информации об угрозах и действий систем своевременное контекстной информации обеспечения ИБ и распространение для обеспечения надежной сетевого оборудования обновлений© Cisco, 2010. Все права защищены. защиты 21/124
  • Защита от угроз ГДЕ ЧТО КОГДА КТО КАК Политика с учетом контекста IPS ASA WSA ESA СЕТЬ РЕШЕНИЕ CISCO Полномасштабное Политика с учетом Простота решение: ASA, IPS, контекста точнее развертывания и «облачные» сервисы соответствует бизнес- обеспечения защиты защиты web-трафика и потребностям в сфере ИБ распределенной среды электронной почты© Cisco, 2010. Все права защищены. 22/124
  • • Многоуровневый анализ пакетов и трафика МСЭ / Защита • Расширенные службы проверки приложений и протоколов приложений • Контроль сетевых приложений • Расширенная защита мультимедиа и голосовых приложений • Защита от сетевых червей и вирусов IPS / Анти- • Обнаружение и фильтрация вредоносного кода • Технология аккуратного предотвращения и упреждающее реагирование вирусная защита • Корреляция событий и упреждающее реагирование Контроль • Контроль на 4 и 3 уровне доступа и • Контроль состояния • Гибкость политик для пользователей, сетевых, приложений аутентификация • Не требующие вмешательства автоматически обновляемый Защита удаленный доступ по IPSec • Гибкие и защищенные сервисы SSL VPN соединений • Поддержка QoS, маршрутизации в VPN • Интегрированная защита от угроз для VPN Интеллектуальные • Малая задержка • Виртуализация сервисов сетевые • Различная топология • Сетевая сегментация • Поддержка Multicast • Маршрутизация, распределение нагрузки сервисы Cisco© Cisco, 2010. Все права защищены. 23/124
  • ASA 5585 SSP-60 (40 Gbps, 350K cps) ASA 5585 SSP-40 (20 Gbps, 200K cps) Multi-Service ASA 5585 SSP-20 (10 Gbps, 125K cps) (Firewall/VPN и IPS)Performance and Scalability ASA 5585 SSP-10 (4 Gbps, 50K cps) ASA 5540 (650 Mbps,25K cps) ASA 5520 (450 Mbps,12K cps) ASA 5510 (300 Mbps,9K cps) ASA 5505 (150 Mbps, 4K cps) ASA 5580-40 (20 Gbps, 150K cps) ASA 5580-20 (10 Gbps, 90K cps) ASA 5550 (1.2 Gbps, 36K cps) SOHO Branch Office Internet Edge Campus Data Center © Cisco, 2010. Все права защищены. 24/124
  • Показатель Значение Производительность шасси 64 Гбит/сек Производительность модуля 16 Гбит/сек Одновременных сессий 10M Новых соединений в секунду 350K Контекстов безопасности 250 VLANs 1K© Cisco, 2010. Все права защищены. 25/124
  • Функция ASASM FWSM Real-IP ACLs/ Да Нет Global ACLs 8 Bridge-groups 8 Bridge-groups Bridge-groups 4 Interfaces each 2 Interfaces each VirtualContexts 250 Max 250 Max Mixed-Mode Да Да AutoState Да Да Route Health Injection Нет* Да VPN FCS +6 Только управление© Cisco, 2010. Все права защищены. 26/124
  • ASA 5512-X Пропускная способность межсетевого экрана 1 Гбит/с 1. Пропускная способность на ASA 5515-X Пропускная уровне нескольких Гбит/с способность Для удовлетворения растущих межсетевого экрана 1,2 Гбит/с требований к пропускной способности ASA 5525-X 2. Встроенные средства ускорения Пропускная способность сервисов межсетевого экрана 2 Гбит/с (дополнительное оборудование не ASA 5545-X требуется) Пропускная Для поддержки меняющихся способность межсетевого экрана 3 потребностей бизнеса Гбит/с ASA 5555-X 3. Платформа с поддержкой Пропускная сервисов нового поколения способность межсетевого экрана 4 Для защиты инвестиций Гбит/с© Cisco, 2010. Все права защищены. 27/124
  • Широкий спектр платформ Устройство Интегрированное решение Виртуализация Понимание контекста Классический МСЭ ASA© Cisco, 2010. Все права защищены. 28/124
  • Широкий спектр платформ Устройство Интегрированное решение Виртуализация Cisco ASA CX Понимание контекста Классический МСЭ ASA© Cisco, 2010. Все права защищены. 29/124
  • • Межсетевой экран нового поколения• Context-Aware Firewall• Активная/Пассивная аутентификация• Application Visibility and Control/DPI с анализом контента• Репутационная фильтрация КТО ЧТО ГДЕ/ОТКУДА КОГДА КАК© Cisco, 2010. Все права защищены. 30/124
  • КТО• Покрытие широкого спектра сценариев идентификации AD/LDAP Identity • Non-auth-aware apps NTLM • Any platform Kerberos • AD/LDAP credential TRUSTSEC* Network Identity Group information User Authentication Any tagged traffic IP Surrogate • Auth-Aware Apps AD Agent • Mac, Windows, Linux • AD/LDAP user credential * Future© Cisco, 2010. Все права защищены. 31/124
  • ЧТО Покрытие… … классификация всего трафика 1,000+ приложений MicroApp Engine Глубокий анализ трафика приложений 75,000+ MicroApps Поведение приложений Контроль действий пользователя внутри приложений© Cisco, 2010. Все права защищены. 32/124
  • ЧТО 60 языков 200 стран 20 mn URLs 98% Маркетинг Юристы Финансы покрытие© Cisco, 2010. Все права защищены. 33/124
  • ГДЕ/ОТКУДА ОТЕЛЬ ОФИС© Cisco, 2010. Все права защищены. 34/124
  • КАК• Информация с 100,000,000 оконечных устройств Устройство Версия ОС Состояние AV Files Registry Identity Services Engine© Cisco, 2010. Все права защищены. 35/124
  • Заказчику нужен ASA и ASA CX? Пусть заказывает два модуля в шасси 5585-X! Заказчику нужен только ASA CX? Пусть заказывает один модуль в шасси 5585-X!© Cisco, 2010. Все права защищены. 36/124
  • • Система управления для ASA CX • Встроенный в ASA CX для управления одним МСЭ • Отдельное устройство для поддержки нескольких ASA CX • RBAC • Конфигурация, события и репортинг • Виртуальная машина или устройство UCS© Cisco, 2010. Все права защищены. 37/124
  • Cisco ASA CX Понимание контекста Понимание угроз Классический МСЭ ASA© Cisco, 2010. Все права защищены. 38/124
  • Исследования Обновления Обновления Контекст Сетевой Cisco в области ИБ сигнатур ядра контекст Защита от Модули Встроенная Контроль на обхода и обмана инспекции корреляция основе рисков IPS • ―Рейтинг рисков‖ • L3-7 Нормализация • Уязвимости вычисляется для трафика для • Meta Event каждого события • Эксплоиты Generator для противодействия • Реагирование зависит • Аномалии поведения корреляции попыткам скрыть от рейтинга рисков атаку • Аномалии протоколов событий • Фильтры • Универсальные модули Выбор Отражение и виртуального Сбор сигнализация сенсора доказательств • ―Рейтинг угрозы‖ • Трафик направляется • До атаки события показывает на нужный • В процессе атаки уровень снижения виртуальный сенсор рисков • После атаки ВЫХОД ВХОД© Cisco, 2010. Все права защищены. 39/124
  • 4510, 4520 (Glen Rose) Июнь 2012 ASA5585-S60P60 ASA5585-S40P40 ASA5585-S20P20Performance and Scalability IDSM-2 ASA5585-S10P10 ISR-NME ASA-SSM-40 ASA-SSM-20 ASA-SSM-10 IPS-4270 ASA-SSC-5 4360 (Saleen) IPS-4260 IPS-4255 Mar 2012 4345 (Saleen) IPS-4240 Mar 2012 ISR-AIM SOHO Филиалы Периметр Кампус ЦОД © Cisco, 2010. Все права защищены. 40/124
  • • IPS модуль для ASA- 5585• Высокая производительность – Масштаб до 10 Гбит/сек• Интеграция с межсетевым экраном© Cisco, 2010. Все права защищены. 41/124
  • • Ядро, ориентированное на многопроцессорность/многоядерность• 64-битная архитектура• Мониторинг функционирования (контроль IPS 4345 750 Мбит/сек IPS температуры и т.п.) ―реальный трафик‖ $39,995• Поддержка Jumbo-Frame• Поддержка Flow-Control• Аппаратный ускоритель Regex для IPS 4360 модуля IPS string-XL 1.25 Гбит/сек IPS ―реальный трафик‖ $59,995• 1RU© Cisco, 2010. Все права защищены. 42/124
  • • Платформа 5500-X ASA 5512-X включают FW, VPN и Пропускная способность IPS, запускаемые на межсетевого экрана 1 Гбит/с одном физическом ASA 5515-X устройстве без Пропускная способность дополнительных межсетевого экрана 1,2 Гбит/с аппаратных модулей ASA 5525-X Это значит, что для новых Пропускная способность платформ Cisco ASA 5500-X межсетевого экрана 2 (исключая 5585-X) отдельных Гбит/с ASA 5545-X физических модулей (SSM Пропускная или SSP) больше не способность межсетевого экрана 3 существует Гбит/с ASA 5555-X • Функционал IPS на ASA Пропускная способность межсетевого экрана 4 5500-X активируется Гбит/с отдельной лицензией© Cisco, 2010. Все права защищены. 43/124
  • • Бета-версия запущена в конце января• FCS в июне-июле• Модуль IPS в шасси 5585-X 3 Гбит/сек (4510) – цель от 2 до 5 Гбит/сек 6 Гбит/сек (4520) – от 4 до 11 Гбит/сек© Cisco, 2010. Все права защищены. 44/124
  • Anti-Spam RSA Email DLP• SenderBase Reputation Filtering • 100+ политик DLP• IronPort Anti-Spam (IPAS) • Аккуратность • Простота внедрения Входящая защита Cisco IronPort Email Исходящий контроль Security SolutionAnti-Virus Шифрование• Virus Outbreak Filters (VOF) • Защищенная доставка• McAfee Anti-Virus • Transport Layer Security• Sophos Anti-VirusЗащита сотрудников от Защита компаниифишинга, вредоносных от утечек важной программ и спама © Cisco, 2010. Все права защищены. информации 45/124
  • © Cisco, 2010. Все права защищены. 46/124
  • Точный jsmith@acme.comПолный Prescription for J Smith Правильное We need to fax the following prescription information for Roger McMillanИнтегрированный FEXOFENANDINE (ALLEGRA) 180 MG TABLET обнаружение имен Dosage: Take 1 tablet by mouth daily Prescribed by Dr. Joseph A. Kennedy, MD on 7/22/10 Please delivery to pharmacy stat. ============================================== SSN: 331075839 Разные номера (SSN, Matches are found кредитные карты) Name: Roger McMillan in close proximity Medical Record: 06135443 Primary Care Provider: Blue Cross Blue Shield CA Весовые Clinic: Stanford Hospital коэффициенты при Address: Соответствие повторе ключевых 177 Bovet Road уникальным правилам San Mateo, CA 94402 фрагментов© Cisco, 2010. Все права защищены. 47/124
  • Опции реагирования: Доставка, карантин, сброс или шифрование Модификация: Добавить дисклеймер, изменитьт тему Уведомить других: Копия администраторам или менеджерам Уведомление: Отправитель или получатель получают уведомление© Cisco, 2010. Все права защищены. 48/124
  • Guaranteed Read Receipt Guaranteed Recall© Cisco, 2010. Все права защищены. 49/124
  • 462 млн ПРОБЛЕМА Мобильным сотрудникам На разнообразных Кража/утеря устройств – требуется доступ к пользовательских высочайший риск утери сетевым и «облачным» устройствах используются корпоративных данных и сервисам как пользовательские, так и нарушения нормативных© Cisco, 2010. Все права защищены. корпоративные профили требований 50/124
  • Cisco AnyConnect Сервисы Cisco для Cisco ASA обеспечения безопасности контента© Cisco, 2010. Все права защищены. 51 51/124
  • • Клиент IPSec/SSL/DTLS VPN Client/Clientless• Оценка состояния• Location-Specific Web Security На периметре (Ironport WSA) или через ScanSafe облако (ScanSafe)• Защищенный доступ в облако через SSO• Контроль сетевого доступа Internet-Bound Web Communications 802.1X Authentication and Posture MACsec encryption Cisco TrustSec devices (план)• Windows, Mac, Linux, Windows Mobile, Apple iOS, Palm, Symbian, Android, Cius, Windows Phone (план)© Cisco, 2010. Все права защищены. 52/124
  • Новости Электронная почтаAnyConnect Обмен данными между ASA и WSA ASA Cisco WSA Социальные сети Корпоративная SaaS-система Corporate AD © Cisco, 2010. Все права защищены. 53/124
  • Запрет/ограничение Разреше Поддержка Энтузиазм ние Среды с жестким Базовые сервисы, Различные сервисы, Корпоративные контролем простой доступ, почти защищенное приложения, новые для всех подключение сервисы, управление Только Широкий спектр Различные типы корпоративные устройств/только Различные типы устройств, устройства Интернет устройств и методы MDM Производства Образование доступа, VDI Инновационные Госучреждения Общественные Здравоохранение корпорации (секретность!) организации Корпорации Ретайл© Cisco, 2010. Все права защищены. 54/124
  • AD/LDAP Интеграция с лидерами рынка MDM * ISE Контекстная MDM Mgr • MobileIron, Airwatch, Zenprise политика ? • Заказчики могут выбирать Cisco Catalyst Switches Cisco WLAN Controller Функции: User X User Y • Всесторонний анализ устройств • Детальный контекст пользователей и устройств • Расширенная защита устройств и приложений Window или OS X Смартфоны, включая ПК устройства с iOS или Android Wired или Wireless Wireless© Cisco, 2010. Все права защищены. 55/124
  • ISE NCS Prime IronPort WSA Коммутаторы Cisco MDM Manager Catalyst Контроллер WLAN Cisco Устройство стороннего поставщика (MDM) CSM / ASDM Устройства проводной сети AC NAM (только AC NAM Windows) (только Windows) AC VPN (все мобильные платформы) Интеграция AC с облачными сервисами (Все PC)© Cisco, 2010. Все права защищены. 56/124
  • Доступ с любого устройства КАФЕ ОФИС ПРОБЛЕМА Учет результатов Обеспечение Защита идентификации и ролевая выполнения политик: от конфиденциальности модель контроля доступа пользовательских в рамках всей сети Гостевой доступ устройств до ЦОД© Cisco, 2010. Все права защищены. 57/124
  • • Как управлять риском, возникающим, когда сотрудники приносят свои собственные устройства? • Как обеспечить единообразное качество обслуживания для всех устройств? • Как реализовать множество политик безопасности для каждого отдельного пользователя и устройства? • Что поддерживать и как? БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ© Cisco, 2010. Все права защищены. 58/124
  • • Препятствую ли я своим сотрудникам в реализации конкурентных преимуществ? • Как удержать наиболее талантливые кадры? • Как обеспечить соответствие требованиям ФЗ-152, СТО БР и т. д.? • Как достойным образом обходиться с партнерами, консультантами, гостями? ПЕРСОНАЛ СТАНОВИТСЯ ДРУГИМ© Cisco, 2010. Все права защищены. 59/124
  • • Как узнать, кто осуществляет доступ к моей инфраструктуре виртуальных настольных систем? • Как обеспечить защищенный доступ к моим данным в облаке, сохраняя масштабируемость? • Как обеспечить соответствие нормативным требованиям без ограничения рамками географических регионов? ВИРТУАЛИЗАЦИЯ© Cisco, 2010. Все права защищены. 60/124
  • Пользователь Сотрудник беспроводной Клиент Удаленный сети / гость пользователь, виртуальной подключенный машины Всеобъемлющий учет Полная по VPN IP-устройства контекста: кто, что, где,прозрачность когда, как Использование преимуществ сети для защищенного доступа к Инфраструктура с контролем критически важнымАбсолютный идентификационных ресурсам, нейтрализации контроль данных и учетом контекста рисков и поддержания соответствия нормативным требованиям Централизованное управление сервисамиЭффективное Центр обработки Интранет Интернет Зоны безопасности защищенного доступа и масштабируемыми управление данных средствами обеспечения Использование существующей соответствия инфраструктуры© Cisco, 2010. Все права защищены. 61/124
  • Политики, относящиеся к бизнесу ГДЕ ЧТО КОГДА Атрибуты КТО КАК политики безопасности Модуль централизованных политик Идентификация Динамическая политика и реализация Пользователи и устройства РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ© Cisco, 2010. Все права защищены. 62/124
  • Администрирование политики Принятие решений на базе политик Identity Services Engine (ISE) Система политик доступа на основе идентификации Реализация политик Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, На основе TrustSec инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000 Информация о политике Агент NAC Web-агент Запрашивающий клиент 802.1x Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN© Cisco, 2010. Все права защищены. 63/124
  • Полная прозрачность Коммутатор Cisco Catalyst® Отличительные особенности идентификации Режим монитора Гибкая последовательность аутентификации Поддержка IP-телефонии Поддержка сред виртуальных Авторизо- Планшеты IP- Сетевое Гости настольных систем ванные телефоны устройствопользователи MAB и Web- 802.1X профилирование аутентификация Функции аутентификации IEEE 802.1x Обход аутентификации по Web- MAC-адресам аутентификация На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации © Cisco, 2010. Все права защищены. 64/124
  • Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Быстрый рост числа Множество устройств Должно быть Необходима гарантия того, устройств в проводной и предусмотрено что устройство и идентификация для беспроводной сети управление политиками для соответствует цифровым реализации политик каждого типа устройств меткам© Cisco, 2010. Все права защищены. 65/124
  • Полная прозрачность Компоненты Новаторство ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей ПОЛИТИКА Принтер Личный iPad ISE Точка доступа Политика для Политика для CDP CDP принтера LLDP LLDP личного iPad DHCP DHCP MAC-адрес MAC-адрес [поместить в VLAN X] [ограниченный доступ] Точка доступа Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO Эффективная СБОР ДАННЫХ КЛАССИФИКАЦИЯ АВТОРИЗАЦИЯклассификация устройств Коммутатор собирает ISE производит классификацию ISE реализует доступ на основе с использованием данные, относящиеся к устройства, сбор данных о политик для данного устройству, и передает отчет в трафике и формирует отчет об пользователя и устройства инфраструктуры ISE использовании устройства© Cisco, 2010. Все права защищены. 66/124
  • Полная прозрачность Пользователь проводной,беспроводной, вирт уальной сети Временный ограниченный доступ к Не сети до устранения соответствует проблем требованиямПример политики для сотрудника Проблема: Ценность:• Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или установлены работоспособности устройства постоянный агент• Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение обновлен и работает устройствами проблем• Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация дифференцированных политик• Приложение предприятия выполняется на основе ролей© Cisco, 2010. Все права защищены. 67/124
  • Полная прозрачность Гостевые Web- политики аутентификация Интернет Беспроводный или Гости проводной доступ Доступ только к ИнтернетуВыделение ресурсов: Управление: Уведомление: Отчет:гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей политики, гостевой портал электронной почте или SMS© Cisco, 2010. Все права защищены. 68/124
  • Абсолютный контроль Удаленный Пользователь с Пользователь с Виртуальный пользователь беспроводным проводным Устройства рабочий стол VPN доступом доступом Управление Масштабируемая доступом на реализация основе политик Сети VLAN СЕТЬ С КОНТРОЛЕМ Списки управления ИДЕНТИФИКАЦИОННЫХ ДАННЫХ доступом (ACL) И УЧЕТОМ КОНТЕКСТА Метки групп безопасности * Шифрование MACSec * *= Инновации Центр обработки Зоны Cisco данных Интранет Интернет безопасности© Cisco, 2010. Все права защищены. 69/124
  • Абсолютный контроль Инновации Cisco Динамические или Доступ для групп Сети VLAN именованные ACL-списки безопасности Сотрудник Любой IP- адрес Устранение проблем Подрядчик Сотрудники Гость Доступ для групп безопасности VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW• Меньше перебоев в работе • Не требует управления • Упрощение управления оконечного устройства (не ACL-списками на портах ACL-списками требуется смена IP-адреса) коммутатора • Единообразная• Повышение удобства для • Предпочтительный выбор реализация политик пользователей для изоляции путей независимо от топологии • Детализированное управление доступом Гибкие механизмы реализации политик в вашей инфраструктуре Широкий диапазон доступных клиенту вариантов доступа© Cisco, 2010. Все права защищены. 70/124
  • Политики на основе Таблица доступа согласно понятного технического языка политике на основе ролей Отдельные пользователи Разрешения Ресурсы Матрица политик Врачи Интранет Почтовый Серверы Медицинские D1 - финансовой карты S1 (10.156.78.100) сервер службы пациентов портал (10.10.24.13) Медицинские Нет Совместный Совместный web- D2 карты Врач Интернет IMAP web-доступ к доступ к файлам S2 доступа файлам пациентов (10.10.28.12) Финансовая Интернет IMAP Интернет Нет доступа служба D3 ИТ- (10.156.54.200) WWW, Полный Финансовая служба админист- SQL SQL SQL, SSH доступ ратор Электронная S3 D4 почта ACL-список "Врач - карта пациента" (10.10.36.10) в интранет-сети permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 ИТ-администраторы (10.156.100.10) deny ip S4 Финансова (10.10.135.10) D6 я служба permit tcp S1 D1 eq https Требует затрат времени permit tcp S1 D1 eq 8081 Простота Ручные операции deny ip S1 D1 Гибкость …… Предрасположенность к …… Учет характера ошибкам permit tcp S4 D6 eq https деятельности permit tcp S4 D6 eq 8081 deny ip S4 D6© Cisco, 2010. Все права защищены. 71/124
  • Центральный SaaS офис Филиал Интернет ЦОД Удаленный сотрудник ПРОБЛЕМА Использование SaaS-решений и Ограниченность числа «облачных» систем приводит к Нормативные ИТ-специалистов и раздельному туннелированию требования специалистов по ИБ в трафика — новые проблемы филиале, рост затрат безопасности© Cisco, 2010. Все права защищены. 72/124
  • Центральный офис Все функции для защиты филиала $ Лучшие показатели ROI (реплицируемые) + Безопасность + оптимизация работы приложений ISR G2 РЕШЕНИЕ CISCO VPN (IPSEc, GET Лучшие показатели ROI Оптимизация работы VPN, DMVPN, SSL), МСЭ, (простота, согласованность, приложений в WAN IPS, клиент ScanSafe интеграция), снижение затрат и WLAN/WAN повышение производительности Ethernet-коммутатор при раздельном туннелировании© Cisco, 2010. Все права защищены. Интегрированный сервер 73/124
  • Новый подход к построению сетей Новая плоскость управления Хранить Передавать Программы Платформа Обрабатывать Отделить Конвергировать Политики, как программы от системы и способ платформы с сервисы с целью внедрения, целью быстрого/ использования поддержания и гибкого включения единой унификации сервисов и защиты платформы сервисов инвестиций© Cisco, 2010. Все права защищены. 74/124
  • • Иерархическая архитектура • Cisco ISR G2 2900 или 3900, Catalyst 3750 & 3560, IP-телефоны • Скорость WAN соединения до 100 Мбит/сек • Высокая доступность и безопасность • Проектирование с учетов сетевых сервисов и масштабируемости • Соответствие требованиям регуляторов Ключевые функции Подключение – Маршрутизация (EIGRP, OSPF, eBGP), NAT/PAT, QoS Безопасность – МСЭ, IPS, AAA, Content Security, VPN Голос – CME, SRST, CUE, Gateway, RSVP, PRI Trunk, FXO Оптимизация WAN – WAAS© Cisco, 2010. Все права защищены. 75/124
  • Cisco ISR G2 Защищенные сетевые решения Непрерывное Защищенная Защищенная Нормативное ведение бизнеса голосовая связь мобильность соответствие Интегрированное управление угрозами 011111101010101 Усовершенствован- Фильтрация Предотвращение Гибкие Контроль Система ный межсетевой контента вторжений функции доступа 802.1x защиты экран сравнения к сети основания сети пакетов (FPM) Защищенные каналы связи Управление и контроль состояния Ролевой GET VPN DMVPN Easy VPN SSL VPN CCP доступ NetFlow IP SLA© Cisco, 2010. Все права защищены. 76/124
  • • Защита базовых сетевых сервисов Network Foundation Protection (NFP)• МСЭ с зональными политиками Zone based Firewall• Интеллект на уровне приложений Application Intelligence Control• Система предотвращения вторжений Intrusion Prevention System• Система контентной фильтрации Content Filtering Solution• Анализ содержимого пакетов Flexible Packet Matching (FPM)© Cisco, 2010. Все права защищены. 77/124
  • • Российские требования в области криптографической защиты информации• Учет используемых в организации решений по защите информации• Ориентация на продукцию российского производства для работы в критичных приложениях• Чего не хватает Cisco (и ISR G2) с этих точек зрения?! Антивирус VPN© Cisco, 2010. Все права защищены. 78/124
  • • Контроль HTTP и FTP• Проверка в реальном времени• Выбор параметров фильтрации• Проверка архивированных файлов• Выявление подозрительных программ• Групповые политики фильтрации• Уведомление пользователей• Прозрачность для пользователей© Cisco, 2010. Все права защищены. 79/124
  • • VPN-решения Cisco признаны лучшими во многих странах и признаны стандартом де-факто многими специалистами• Использование VPN-решений Cisco в России сопряжено с рядом трудностей Порядок ввоза на территорию Таможенного союза шифровальных средств Требование использования национальных криптографических алгоритмов Обязательная сертификация СКЗИ• На сайте www.slideshare.com/CiscoRu выложена презентация по регулированию криптографии в России© Cisco, 2010. Все права защищены. 80/124
  • Число нормативных актов с требованиями сертификации по требованиям безопасности 8 7 6 5 4 3 2 1 0 * - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ ―О национальной платежной системе‖, ФЗ ―О служебной тайне‖, новые приказы 81 ФСТЭК/ФСБ и т.д.)© Cisco, 2010. Все права защищены. 81/124
  • • Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства• Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России Относится только к встраиванию в прикладные системы (АБС, ERP, БД и т.д.)© Cisco, 2010. Все права защищены. 82/124
  • • Можно ли использовать сертифицированное криптоядро в составе VPN-решений? Можно• Будет ли такое использование легитимным? Нет!!!© Cisco, 2010. Все права защищены. 83/124
  • • Встраивание сертифицированных криптобиблиотек должно проводиться не только в соответствие с позицией ФСБ, но и в соответствии с документацией к сертифицированной СКЗИ• Формуляр на КриптоПро CSP Должна проводиться проверка корректности встраивания СКЗИ «КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ в случаях…если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ России© Cisco, 2010. Все права защищены. 84/124
  • • Компаниями Cisco и С-Терра СиЭсПи разработаны VPN- решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124- 1625, 124-1626 от 28 февраля 2011 года Сертификат по классу КС2 на оба решения Решение для удаленных офисов • На базе модуля для ISR G1 и G2 (2800/2900/3800/3900) Решение для ЦОД и штаб-квартир • На базе UCS C-200© Cisco, 2010. Все права защищены. 85/124
  • Сертификация производства Cisco ISR как межсетевого экрана по требованиям ФСТЭК (3-й класс) Сертификация производства Cisco ISR по требованиям безопасности ФСТЭК Сертификация CSP VPN Gate/модуля NME-RVPN в ФСБ как СКЗИ класса КС2 Сертификация CSP VPN Gate как межсетевого экрана по требованиям безопасности ФСТЭК (3-й класс), на отсутствие недекларированных возможностей (3-й уровень), а также на оценочный уровень доверия ОУД3+ Производство модуля NME-RVPN в России по согласованному с ФСБ порядку производства© Cisco, 2010. Все права защищены. 86/124
  • • Защита государственных органов (до гостайны)• Защита критически важных объектов АСУ ТП в Газпром, Smart Grid в РАО ЕЭС, сети связи и т.п.• Защита крупных заказчиков• Предоставление услуг Managed Services PCI СТО БР ПДн СТР-К КСИИ DSS ИББС На базе одного и того же решения!© Cisco, 2010. Все права защищены. 87/124
  • • В России открыто локальное производство С целью ускорения поставки оборудования, использования оборудования в критичных сферах, учета возможных требований по локализации оборудования• Первый этап – NME-RVPN• Второй этап – сетевое оборудование, STB, SmartGrid• Продолжается работа по сертификации продукции Cisco в соответствии с российскими требованиями по ИБ© Cisco, 2010. Все права защищены. 88/124
  • …и что предлагают Cisco и S-Terra• Стандартизация Полная и протестированная поддержка протоколов и алгоритмов IPSec (RFC 2401-RFC 2412), IKE (включая расширения – DPD, XAUTH и т.д.), ГОСТ 28147-89, RFC 2628, RFC 4357, MS CryptoAPI и др., обеспечивающая совместимость с решениями третьих фирм• Совместимость с инфраструктурой Cisco Протестированная интеграция с маршрутизатором Cisco ISR G1 и G2, вычислительной платформой Cisco UCS, IP-телефонией Cisco, решениями Cisco TelePresence и Cisco Tandberg, беспроводными решениями и т.д. Поддержка GRE, NAT, VLAN 802.1q и т.д.• Высокая производительность отдельного VPN-шлюза до 3,1 Гбит/сек на платформе UCS C-200 до 10 Гбит/сек на платформе UCS B© Cisco, 2010. Все права защищены. 89/124
  • …и что предлагают Cisco и S-Terra• Высокая надежность и отказоустойчивость Отказоустойчивость сети (множество сценариев обеспечения надежности) Высокая утилизация вычислительных мощностей (резервные шлюзы не простаивают) Малая (регулируемая) деградация производительности кластера шлюзов при единичном отказе• Поддержка качества сетевого обслуживания (QoS) Возможность построения и поддержка качества функционирования мультисервисных сетей Защита IP-телефонии, видеоконференцсвязи и TelePresence Устойчивая работа медийных сервисов в условиях избыточной загрузки системы трафиком данных Поддержка спутниковых каналов© Cisco, 2010. Все права защищены. 90/124
  • …и что предлагают Cisco и S-Terra• Удаленное и централизованное управление Централизованное управление с помощью собственной консоли управления Управление с помощью CLI Единая платформа управления для коммуникационного оборудования Cisco, средств защиты Cisco и VPN-шлюзов С-Терра СиЭсПи – Cisco Security Manager• Интеграция с инфраструктурой открытых ключей Применение единой ключевой системы для прикладных систем (например, документооборота) и сетевой защиты Поддержка PKCS#7,10,12, X.509 v.3 (RSA, DSA, ГОСТ), CRL,LDAP Протестированная интеграция с MS CA, КриптоПро УЦ, NotaryPRO, Keon и др.© Cisco, 2010. Все права защищены. 91/124
  • …и что предлагают Cisco и S-Terra• Мониторинг и аудит безопасности сети Централизация мониторинга и аудита Поддержка SNMP и Syslog Применение мощных современных индустриальных платформ мониторинга и аудита, например, CiscoWorks LMS, HP OpenView, Tivoli и др.• Простота эксплуатации, низкая совокупная стоимость владения Удобство и простота эксплуатации Экономия затрат на эксплуатацию Единство технологического процесса для эксплуатации для средств защиты информации и коммуникаций© Cisco, 2010. Все права защищены. 92/124
  • …и что предлагают Cisco и S-Terra• Обучение специалистов Авторизованный учебный курс по сетевой информационной безопасности в решении Cisco c учебным разделом по продуктам «С- Терра СиЭсПи»• Соответствие требованиям регуляторов и отраслевых стандартов Сертификат ФСБ – СКЗИ КС1/КС2 Сертификат ФСТЭК – 3-й уровень НДВ, 3-й класс МСЭ, ОУД 3+ Применение в АС класса 1Г и в ИСПДн 1-го класса включительно© Cisco, 2010. Все права защищены. 93/124
  • ПРОБЛЕМА Новые проблемы Совершенно новые Высокие требования безопасности, отсутств технологии, отсутствие к масштабированию ие систем мониторинга согласованности «облака»© Cisco, 2010. Все права защищены. 94/124
  • ЗАЩИЩЕННЫЕ ГИБРИДНЫЕ «ОБЛАКА» ЗАЩИЩЕННЫЕ ЧАСТНЫЕ «ОБЛАКА» ЗАЩИЩЕННЫЕ ОБЩЕДОСТУПНЫЕ «ОБЛАКА» Cisco Virtual Security Gateway Nexus 1000v Cisco ASA и ASA 1000V Сенсоры IPS РЕШЕНИЕ CISCO Высокопроизводи- Унификация систем защиты Распространение политик тельные устройства физических и виртуальных Безопасная работа с приложениями обеспечения ИБ сред; тонки настройки Поддержка Vmotion для ЦОД основанной на зонах политики Защищенная сегментация VM© Cisco, 2010. Все права защищены. с учетом контекста Защищенная сегментация «облака» 95/124
  • 1 Безопасность периметра ЦОД 2 Безопасность сети хранения данных (SAN) 3 Безопасность на уровне Nexus / Catalyst 4 Безопасность виртуализации 5 Безопасность ЛВС ЦОД© Cisco, 2010. Все права защищены. 96/124
  • • CTX Высокопроизводительные ASA Context Mode Firewall, VPN и IPS для ЦОД • vPC Virtual PortChannel • VDCs Nexus 7000 Series Virtual Поддержка и Device Contexts интеграция • VSS Cisco Catalyst 6500 Series Virtual Switching System • VXI Cisco Virtualization Experience Infrastructure© Cisco, 2010. Все права защищены. 97/124
  • V-Motion (Memory) Physical V-Storage Security (VMDK) Role VM Based Segmentation Access Virtualization Security VM OS Hypervisor Hardening Security Patch VM Management Sprawl Virtual Security Gateway на Nexus 1000V с vPath© Cisco, 2010. Все права защищены. 98/124
  • Virtual Network Nexus 1000V with vPath Management Center • Распределенный virtual • Консоль управления VSG switch • Запуск на одной из VMs • Запускается как часть гипервизора Port Group Физический Virtual Security Gateway сервер • Программный МСЭ • UCS или • Запускается на одной из VMs • Другой x86 server • Сегментация и политики для всех VMs Security Service Admin Admin© Cisco, 2010. Все права защищены. 99/124
  • • Проверенные технологии Cisco теперь и для виртуализированных сред• Совместная модель безопасности VSG для зон безопасности на уровне одного заказчика ASA 1000V для контроля безопасности границы между заказчиками• Бесшовная интеграция С Nexus 1000V & vPath• Масштабирование по необходимости© Cisco, 2010. Все права защищены. 100/124
  • SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) 6506 10.1.204.254 SG ACL Matrix IP Address to SGT Mapping HR Nexus 7000 Server #1 Core VDC 10.1.200.50 10.1.200.254 Nexus 7000 Agg VDC ASAFinance ✓ Finance VSG Finance Server #1Finance HR 10.1.200.100 © Cisco, 2010. Все права защищены. 101/124
  • © Cisco, 2010. Все права защищены. 102
  • • Большое количество требующих контроля каналов взаимодействия с партнерами, контрагентами, поставщиками• Забывчивость в отношении аутсорсинговых и международных партнеров Разработчики ПО Обслуживающий персонал• Активное развитие вредоносных технологий Целью является все• Концентрация на внутренней безопасности «Забывчивость» в отношении внешних аспектов – операторы связи, партнеры, аутсорсеры и т.п.© Cisco, 2010. Все права защищены. 103/124
  • • Конфликт ИБ и ИТ Отсутствие контроля привилегированных пользователей Отсутствие требований по ИБ к разработке собственного ПО Кто отвечает за эксплуатацию средств защиты?• Концентрация на «классической» ИБ Что насчет защиты нетрадиционных направлений (принтеры, СКУД, видеонаблюдение и т.п.)? Как насчет контроля поведения (профилирования) клиентов?• Неготовность к неконтролируемым ситуациям Фишинг, информационные войны…• (Недо/пере)оценка роли регуляторов Деятельность регуляторов четко регулируются законами Отсутствие контроля выпуска новых нормативных актов© Cisco, 2010. Все права защищены. 104/124
  • • Отсутствие стандартизации и унификации технологий, продуктов, методов и подходов Рост операционных затрат Сложность поддержки и интеграции• Повтор и избыточность Не путать с резервированием Нехватка ресурсо-затрат• Упущения неочевидных вещей• Отсутствие планов развития Нехватка гибкости и адаптивности к новым требования© Cisco, 2010. Все права защищены. 105/124
  • • Финансирование по остаточному Дизайн и архитектура принципу • 1Х• Неудовлетворенность пользователей, снижение их Внедрение • 5Х продуктивности и рост цены их поддержки Тесты интеграции• Потенциальные наезды со стороны • 10Х регуляторов• Неэффективность ИБ в виду Бета-тестирование забывчивости в отношении некоторых • 15Х направлений бизнеса Боевой запуск• Несогласованность отделов • 30Х© Cisco, 2010. Все права защищены. 106/124
  • © Cisco, 2010. Все права защищены. 107
  • Загрузить брошюру «Cisco SAFE» можно на сайте my.cisco.ru© Cisco, 2010. Все права защищены. 108/124
  • • Введение единой Цели безопасности Действия терминологии и таксономии Идентификация • Обеспечение Контроль согласованности решений и Обнаружение, Мониторинг сервисов мониторинг, сбор, обнаружение и классификация Корреляция • Особое внимание вопросам пользователей, трафика, приложений и эксплуатации протоколов Защита сетей, созданных в Управле- соответствии с архитектурой ние Изоляция • Помогает идентифицировать Защита, повышение Выполнение векторы угроз и выбрать надежности, ограничение доступа и изоляция технические средства устройств, пользователей, трафика, Описание действий, обеспечивающих защиты приложений и контроль и управление протоколов© Cisco, 2010. Все права защищены. 109/124
  • Принципы ИТ Принципы ИБ • Модульность / • Безопасность как свойство, а не поэтапность опция • Снижение TCO • Цель – любое • Стандартизация / унификация устройство, сегмент, приложение • Гибкость • Эшелонированная оборона • Надежность • Независимость модулей • Поддержка новых проектов • Двойной контроль • Адаптивность / автоматизация • Интеграция в инфраструктуру • Масштабируемость • Соответствие требованиям© Cisco, 2010. Все права защищены. 110/124
  • Агрегация Уровень Блок Модуль функций Отказоустойчивость и резервирование Разделение функций Лучшие в отрасли© Cisco, 2010. Все права защищены. 111/124
  • Устройства ИБ  VPNs  Firewall  Admission Control Решения  Monitoring  Email Filtering  Intrusion Prevention Сетевые по ИБ устройства  PCI  Routers  DLP  Servers  Threat Policy and  Switches Control Device Management Identify Harden Monitor IsolateВидимость Контроль Correlate Enforce Data WAN Internet E-comm- Cisco Virtual Partner Campus Branch Center Edge Edge erce Teleworker User Sites Secured Mobility, Unified Communications, Network Virtualization Network Foundation Protection© Cisco, 2010. Все права защищены. Сервисы 112/124
  • • Cisco validated design Internet Edge• Контроль и защита• Системный подход Data Center Core Data Center Distribution VDC Nexus 7018 Nexus 7018 SAN ASA 5585-X ASA 5585-X VPC VPC VPC VPC VPC VPC VPC VPC VSS VSS Nexus 5000 Catalyst Series SERVICES Unified 6500 Nexus Nexus Computing 7000 2100 System Series Series Nexus Firewall ACE VSG Zone 1000V Multizone NAM IPS 10Gig 10Gig Unified Secure Access: Server Rack Server Rack Compute Cisco TrustSec and Cisco AnyConnect© Cisco, 2010. Все права защищены. 113/124
  • Виртуальный ЦОДВиртуальное рабочее пространство Сеть с поддержкой технологий CUPC MS Office Video виртуализации Рабочие Microsoft OS Устройства Клиент Филиал ЦОД Desktop Virtualization SoftwareCisco VXI ISR FC Hypervisor Бизнес-планшеты Тонкие Cisco клиенты WAN Nexus Virtual Virtual QUAD CUCM Cius Экосистема тонких клиентов WAAS Cisco UCS ASA ACE Broker vWAAS VSG Единый подход к вопросам безопасности, управления и автоматизации© Cisco, 2010. Все права защищены. 114/124
  • • Партнерство: VMWare, EMC, NetApp, BMC, Citrix , WYSE, Microsoft, и другие Vblock, FlexPod• Дизайн для бизнеса и операторов связи• Защищенный дизайн Multi-Tenant• Облачные вычисления & и автоматизация• Рекомендации по архитектуре – доступность, масштабируемость, безопасность, интеграция функционала, сервисы приложений и безопасности© Cisco, 2010. Все права защищены. 115/124
  • Уровень 4 Уровень 5 Si Internet/ Корпоративная Intranet/ Si ЛВС ТФОП/WANDMZ LAN/WANУровень 3 Уровень 2Уровень 1 Уровень 0 © Cisco, 2010. Все права защищены. 116/124 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 116
  • Удаленная площадка Периметр Главный Блок управления Мобильный POS Cash Register Интернет офис ACS POS (PCI 1,3,5,6,7) POS сервер (PCI 2, 10,12) CSM (PCI 10,12) (PCI 1,3,5,6,7) NAC CSA MC (PCI 10,12) ASA CS-MARS 7200 ASA WAP (PCI 10) (PCI 1,4) Internet Catalyst ISR (PCI 4) 6500 WAP 6500 Switch FWSM ASA ПК (PCI 1,4) Credit Card магазинного WAP работника Storage(PCI 1,3,5,6,7) (PCI 1,3,5,6,7) Беспроводное устройство E-commerce (PCI 1,3,5,6,7) ЦОД Примечание! Отображена реализация не всех требований© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 117
  • Допофис / отделение Периметр Платежный Блок управления ATM сегментМобильный POS-терминал ИнтернетPOS ACS CSM NAC Киоск NCM CS-MARS 7200 ASA WAP ASA Internet Catalyst ISR 6500 WAP 6500 Switch FWSM ASAПКбанковского WAP Серверработника процессинга Беспроводное Главный устройство Интернет- офис ЦОД Процессинг банк Примечание! Отображена реализация не всех элементов© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 118
  • © Cisco, 2010. Все права защищены. 119
  • Большое количество регуляторов Легитимный ввоз криптографии в соответствие с правилами Таможенного союза Использование легитимной криптографии Требования сертификации Собственные отраслевые стандарты Ориентация на продукты отечественного производства© Cisco, 2010. Все права защищены. 120/124
  • Газпром- ФСТЭК РЖД серт ФСО ФСБ PCI ЦБ ИБ Council Минком- СВР связь Рос- РКН МО стандарт© Cisco, 2010. Все права защищены. 121/124
  • Разграничение доступа Система утечек по техническимпроцессов Защита от управления Изоляция каналам Коммерческая РД ФСТЭК Документальное сопровождениеСТО БР ИББС Управление потоками Разграничение доступа Разграничениетайна Межсетевое экранирование доступа Управление жизненным циклом Межсетевое взаимодействие Регистрация действий Идентификация/аутентификаци Разграничение доступа VPN я Учет носителей Регистрация действий Документальное сопровождение Аутентификация иРегистрация действий идентификация Политика безопасности Обеспечение целостности Антивируснаятехническим доступа Защита от утечек по защита ИБ Контроль Криптозащита Организация Реакция на НСДМежсетевое взаимодействие Защита внешнего взаимодействия каналам Настройка МСЭ памяти Отсутствие НДВ (мандатный/ Шифрование информации Управление активамиОчистка Защита e-mail и архив почтыКСИИ по техническим каналам 15408 Защита от утечек Контроль паролей Антивирусная защита HRдискреционный) Антивирусная защита ЭЦП Безопасность PCI DSS Криптографияшифрованиефункций защиты Тестирование Документальное оформление Обнаружение вторженийи держателей карт Защита данных маркировка носителей ПакетноеУчет Физический доступ VLAN Анализ защищенности Платежные процессы Физическая безопасность вторжений Разграничение доступа в канале связи Шифрование VPN Стеганография Безопасность окружения целостности Обнаружение Контроль Технологические процессыантивируса действий Регистрация Обновление Регистрация действий Биллинг Регистрация действий Управление средствами связи BCP носителей Сигнализация Контроль доступа Разграничение доступа на инциденты Учет и маркировкаЗащита(одноуровневые/ ОС приложенийРеагирование Приобретение, разработка Учет и доступа ИСОценка рисков Обеспечение целостности обслуживание носителей Разграничение маркировка многоуровневые) Обнаружение вторжений и Идентификация ПМВ Резервирование осведомленности от и аутентификация Межсетевое взаимодействие СУБД Повышение ГОСТ Р ИСО Защита Четверокнижие Управление инцидентами СТР-К Криптографическая защита Антивирусная защита ФизическийIDS ошибок доступ Защита от сбоев, отказов ПДн BCP по и Защита ЛВС Аудит 17799:2005 Обеспечение Регистрация действий Защита коммуникаций Ловушки Соответствие Электронные замки целостности и надежности требованиям ТестированиеАнализ безопасности взаимодействия Сканеры защищенности Защита внешнего и контроль безопасности СУБД Документальное сопровождение© Cisco, 2010. Все права защищены. … 122/124
  • •Разграничение доступа (+ управление потоками) •Идентификация / аутентификация •Межсетевое взаимодействие •Регистрация действий •Учет и маркировка носителей (+ очистка памяти) •Документальное сопровождение •Физический доступ Общие •Контроль целостности •Тестирование безопасности •Сигнализация и реагирование •Контроль целостности •Защита каналов связи •Обнаружение вторжений •Антивирусная защита •BCP •Защита от утечки по техническим каналам •Защита специфичных процессов (биллинг, АБС, PCI…) Специфичные •Защита приложений (Web, СУБД…) •Нестандартные механизмы (ловушки, стеганография)© Cisco, 2010. Все права защищены. 123/124
  • • Персональные данные Отраслевые стандарты НАПФ, НАУФОР, Тритон, РСА, Мин здрав…• Финансовая отрасль PCI DSS СТО БР ИББС-1.0 ФЗ «О национальной платежной системе»• Критически важные объекты• Электронные госуслуги• Новый ФЗ о лицензировании• И др.© Cisco, 2010. Все права защищены. 124/124
  • КЦ РГ ПК127 ПК1 ТК362 АРБ ЦБ «Безопасность «Защита «Защита Консультации Разработка ИТ» (ISO SC27 в информации в информации» банков по рекомендаций по России) кредитных при ФСТЭК вопросам ПДн ПДн и СТО БР учреждениях» ИББС v4 ФСБ МКС НАУФОР Дума Слушания Экспертиза Разработка Отраслевой Экспертиза Оргкомитет документов документов стандарт документов Слушаний© Cisco, 2010. Все права защищены. 125/124
  • 500+ ФСБ НДВ 28 96 Сертификатов Сертифицировала Отсутствуют в Линеек Продуктовых ФСТЭК на решения Cisco ряде продукции линеек Cisco продукцию Cisco (совместно с С- продуктовых Cisco прошли сертифицированы Терра СиЭсПи) линеек Cisco сертификацию во ФСТЭК по схеме «серийное производство»© Cisco, 2010. Все права защищены. 126/124
  • Производство за Россияпределами России ПАРТНЕРЫ Оборудование без СISCO сертификации по требованиям ФСТЭК Партнер #1 Дистрибуторы Cisco Партнер #2 Systems, Inc Партнер #3 Оборудование с сертификатами ФСТЭК Партнер #N Kraftway Corporation PLC производство по & AMT требованиям ФСТЭК сертификационный пакет ФСТЭК ФСТЭК © Cisco, 2010. Все права защищены. 127/124
  • Ввоз и Разделение Нотификации vs. использование ввозимой ввоза по лицензии шифровальных криптографии по Минпромторга средств – это два длинам ключей и (после получения разных сферам применения разрешения ФСБ) законодательства (с 01.01.2010) Cisco не только ввозит свое оборудование легально, но и планирует запустить производство оборудования в России© Cisco, 2010. Все права защищены. 128/124
  • Антивирусный модуль от Лаборатории Касперского в 1 Cisco ISR G2 Интеграция с MaxPatrol от Positive Technologies 2 3 Интеграция с Traffic Monitor от Infowatch 4 Интеграция с Дозор-Джет от Инфосистемы Джет Антивирусный движок от Лаборатории Касперского в 5 сервисе облачной безопасности ScanSafe 6 Интеграция с VPN-решениями С-Терра СиЭсПи 7 Поддержка Dr.Web, Лаборатории Касперского в решениях Cisco NAC Appliance© Cisco, 2010. Все права защищены. 129/124
  • © Cisco, 2010. Все права защищены. 130
  • 1 Лидер мирового рынка сетевой безопасности. Обширное портфолио продуктов и услуг. Тесная интеграция с сетевой инфраструктурой. Архитектурный подход 2 Поддержка и защита самых современных ИТ. Контроль качества. Исследования в области ИБ. Обучение и сертификация специалистов. Собственное издательство 3 Сертификация на соответствие российским требованиям по безопасности. Сертифицированная криптография. Сертификация производства. Отраслевая экспертиза. Участие в разработке стандартов ИТ и ИБ, а также в 4 отраслевых группах и комитетах. Участие в экспертизе НПА по ИБ Финансирование проектов по ИБ. Легитимный ввоз оборудования. Круглосуточная 5 поддержка на русском языке. Склады запчастей по всей России. 1000+ партнеров© Cisco, 2010. Все права защищены. 131/124
  • http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco© Cisco, 2010. Все права защищены. 132/124
  • Спасибоза внимание! security-request@cisco.com