Your SlideShare is downloading. ×
Обзор продуктов в области информационной безопасности
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Обзор продуктов в области информационной безопасности

1,206
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,206
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1Обзор продуктов в областиинформационнойбезопасностиМихаил Кадерmkader@cisco.com
  • 2. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2• Межсетевые экраны• Системы обнаружения и предоствращения вторжений• Система управления информационной безопасностьюпредприятия
  • 3. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3Межсетевые экраны
  • 4. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4Multi-Service(Firewall/VPN и IPS)PerformanceandScalabilityData CenterCampusBranch OfficeSOHO Internet EdgeASA 5585 SSP-60(40 Gbps, 350K cps)ASA 5585 SSP-40(20 Gbps, 200K cps)ASA 5585 SSP-20(10 Gbps, 125K cps)ASA 5585 SSP-10(4 Gbps, 50K cps)ASA 5540(650 Mbps,25K cps)ASA 5520(450 Mbps,12K cps)ASA 5510(300 Mbps,9K cps)ASA 5505(150 Mbps, 4K cps)ASA 5550(1.2 Gbps, 36K cps)ASA 5580-20(10 Gbps, 90K cps)ASA 5580-40(20 Gbps, 150K cps)
  • 5. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5Показатель ЗначениеПроизводительность шасси 64 Гбит/секПроизводительность модуля 16 Гбит/секОдновременных сессий 10MНовых соединений в секунду 350KКонтекстов безопасности 250VLANs 1K
  • 6. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6ASA 5512-XПропускнаяспособностьмежсетевого экрана 1Гбит/сASA 5515-XПропускнаяспособностьмежсетевого экрана 1,2Гбит/сASA 5525-XПропускнаяспособностьмежсетевого экрана 2Гбит/сASA 5545-XПропускнаяспособностьмежсетевого экрана 3Гбит/сASA 5555-XПропускнаяспособностьмежсетевого экрана 4Гбит/с1. Пропускная способность науровне нескольких Гбит/сДля удовлетворения растущихтребований к пропускной способности2. Встроенные средства ускорениясервисов(дополнительное оборудование нетребуется)Для поддержки меняющихсяпотребностей бизнеса3. Платформа с поддержкойсервисов нового поколенияДля защиты инвестиций
  • 7. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7Cisco® ASA 5585 Cisco ASA 8.4 Cisco ASA 9.0НадежнаяплатформаПроизводительность Кластеризация64-разрядноеПО
  • 8. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8согласованный коэффициент масштабирования• Общая пропускная способность = Кол-во x Пропускнаяспособностьодного узла x Коэффициент масштабируемостиПример. Кластер из 4 узлов с Cisco® ASA 5585-S60 сEMIX обеспечивает 64 миллиона подключений и пропускную способность 64 Гбит/с.• Коэффициент линейного масштабированиенезависимо от количестваПример. Если кластер из 4 узлов поддерживает 32 миллиона подключений,кластер из 8 узлов будет поддерживать64 миллиона подключений для трафика того же профиля.• Общая кол-во подключений = Кол-во x Кол-воподключенийодного узла x Коэффициент масштабируемостиПример. Кластер из 4 узлов с Cisco ASA 5585-S60 может поддерживать32 миллиона подключений.
  • 9. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9высокая доступность• Все устройства в кластере являются активными ипередают трафик.• Все устройства в кластере являются либо основнымиустройствами, либо резервными, используемыми отсеанса к сеансу.• В случае сбоя узла проведение сеанса переходит нарезервные устройства.• Благодаря протоколу LACP соседние коммутаторыпрекращают передачу трафика по неработающемуканалу.
  • 10. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10• Единая консоль конфигурации и автоматическаясинхронизация конфигурации в кластере.Управление кластером из 8 устройств осуществляет всего одинэкземпляр Cisco ASDM.• Обработка удаленных команд выполняется на любомузле.• Статистические данные использования ресурсов врамках кластераИспользование ресурсов ЦП и памяти для любого узла.Использование канала управления кластером.• Поддержка Cisco® Security Manager
  • 11. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11мастер конфигурации
  • 12. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12системная панель мониторинга
  • 13. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13использование ресурсовИспользованиересурсов ЦП ипамяти для любогоузла в кластереКоличествоподключений всекунду для всегокластера и длякаждого узла
  • 14. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14вкладка «Пропускная способность»Общая пропускнаяспособность ипропускнаяспособностькаждого узла
  • 15. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15сведения о распределении нагрузки ииспользовании канала управления кластеромИспользованиеканалауправлениякластеромРаспределениенагрузки междучленами кластера
  • 16. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16захват пакетов
  • 17. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
  • 18. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18Лучшая в своем классебезопасность сетиЛучшая в своем классеweb-защита на основеоблака
  • 19. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19ScriptPDFFlashJava.exeНесколькосканеровAVWeb-страница«Чистый»контентИзвестные вредоносные программы заблокированыГлубокийанализконтентаВиртуализован-наяэмуляцияскриптовСтруктурноеизучениеконтентаДаНовыевредоносныепрограммызаблокированыWeb-контентКонтрольисходящеготрафикаScript-сканированиеСканированиерепутацииPDF-сканированиеFlash-сканированиеJava-сканированиеExe-сканирование
  • 20. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20прозрачность и контроль web-приложенийЧТОКлассификация и контрольweb-трафикаБолее 1000приложенийПодробная классификация иконтроль поведениймикроприложений иприложенийБолее 75 000микроприложений Контрольпропускнойспособности
  • 21. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
  • 22. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22• Web-защита на основе облака с учетом контекста• Поддержка перенаправления контекста в решение Cisco ScanSafe Cloud Web Security• Несколько антивирусных механизмов и сканеров web-содержимого• Cisco ScanSafe Cloud Web Security и Cisco AVC поддерживают более 1000 web-приложений и 75 000 микроприложений?Cisco® ASAУтвержденныесайтыОграниченныйдоступЦентр. офисКадроваяслужбаCIC
  • 23. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
  • 24. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24SGT f Пользователь,группа,состояние, кодустройства, IP-адрес,сертификат……
  • 25. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25Cisco ISE
  • 26. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26расширение политики CiscoASAПравила Cisco TrustSec® можно использовать в сочетании с правилами на основепяти кортежей в устройстве Cisco® ASA. Для настройки политик можноиспользовать SGT (0008) или имя группы безопасности (sgt_marketing).
  • 27. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27СервермаркетингаКаталоги ADи LDAPCiscoASASXPSGT(003)Пользователь= kpahareSXPКорпоративныесерверыSGT = 003Cisco®ISE AAA
  • 28. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28• Решение Cisco TrustSec® поддерживается толькочастью коммутаторов; оно позволяет выполнятьпоэтапные развертывания.• SGT может быть функцией одного или несколькихатрибутов. Допускает использование сложныхправил политик.• Политики доступа Cisco® ASA могут бытьсочетанием SGT и правил на основе пяти сетевыхпризнаков.
  • 29. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29Пользователь = Guest аутентифицируется с гостевого_iPad и ему назначаетсяSGT = 100/Guest (гость).На устройстве Cisco ASA: { если SGT = 100; разрешить доступтолько_в_Интернет}Пользователь = kpahare аутентифицируется с iPad (или некорпоративного_актива)и ему назначается SGT = 009/BYOD.На устройстве Cisco ASA: {если SGT=009; разрешить доступтолько_по_протоколу_rdp к финансовым_приложениям }Пользователь = kpahare аутентифицируется с корпоративного актива и емуназначается SGT = 007/Quarantine (карантин). Антивирусное ПО было отключено.После включения антивирусного ПО пользователю kpahare назначается008/Compliant (соответствует).На устройстве Cisco® ASA: { если SGT = 008; разрешитьполный_доступ кфинансовым_приложениям }
  • 30. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30* Предполагает группы объектов для IP-Источник Назначение ДействиеIPГруппа илипользователь ADГруппаобеспечениябезопасностиIPГруппаобеспечениябезопасностиПорт ДействиеЛюбой joeuser@cisco.com 10.1.1.1Любой Любой Гость с iPadГостевыесервисыhttp РазрешитьЛюбой ЛюбойПользовательцентраобработкивызовов навиртуальномрабочем месте(HVD)CRM http РазрешитьЛюбой ЛюбойПользователькадровойслужбы навиртуальномрабочем месте(HVD)База данныхкадровойслужбыhttps РазрешитьЛюбой Любой Любой Любой Любой Любой Запретить
  • 31. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
  • 32. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32• Адресация интерфейсов• Списки доступа IPv6• Статическая маршрутизация по протоколу IPv6• Обнаружение соседей по протоколу IPv6• Межсетевой экран в контекстах безопасности по протоколу IPv6• Прослушиватель MLDv2 в однопользовательском режиме по протоколу IPv6• Модули проверки приложений с поддержкой IPv6 включают сквозноепропускание по протоколамFTP, HTTP, ICMP, SIP, SMTP и IPsec• IPv6 в режиме прозрачного межсетевого экрана (уровень 2)• Поддержка IPv6 в Cisco® Adaptive Security Device Manager (ASDM).• Туннелирование VPN между площадками по протоколу IPv6, IKEv1 и IKEv2• Аварийное переключение по протоколу IPv6• Заголовок расширения IPv6• Поддержка Cisco ASDM по протоколу IPv6
  • 33. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
  • 34. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
  • 35. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
  • 36. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36несколько контекстовOSPFv2 EIGRPКол-во экземпляров,поддерживаемыхдля каждого контекста2 (процессы) 1 (экземпляр)Поддержка контекста Пользователь и администраторПоддержка перекрытия Да (область) Да (активный-резервный)Поддержка общегоинтерфейсаДаОдин и тот же интерфейсCLI в мульти- иодноконтекстномрежимахДа
  • 37. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37VPN-подключения междуплощадками в мультиконтекстном режимеЭтап 1 (этот выпуск).• VPN-подключения между площадками по протоколам IKEv1 иIKEv2:IPv4 и IPv6• Поддерживаются все режимы аварийного переключения:«активный/активный» и «активный/резервный»• Конфигурация аналогична конфигурации в режиме одногоконтекста• Ограничения и распределения ресурсов в системном контексте:распределение и распределение при резком увеличении спросана лицензии
  • 38. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38смешанный мультиконтекстный режим
  • 39. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39КластеризацияIPv6Cisco® Cloud Web SecurityУлучшения мультиконтекстных возможностейСмешанный режимCisco TrustSec®Шифрование нового поколенияБесклиентские VPN-подключенияУлучшения производительности имасштабируемостиVPN-подключения в Cisco ASA-SM
  • 40. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
  • 41. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41Понимание контекстаКлассический МСЭ ASAУстройство Интегрированное решение ВиртуализацияШирокий спектр платформ
  • 42. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42Cisco ASA CXПонимание контекстаКлассический МСЭ ASAУстройство Интегрированное решение ВиртуализацияШирокий спектр платформ
  • 43. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43• Межсетевой экран новогопоколения• Context-Aware Firewall• Активная/Пассивнаяаутентификация• Application Visibility andControl/DPI с анализом контента• Репутационная фильтрацияКОГДАЧТО ГДЕ/ОТКУДА КАККТО
  • 44. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44• Покрытие широкого спектра сценариев идентификации* FutureКТОTRUSTSEC*Network IdentityGroup informationAny tagged trafficUser Authentication• Auth-Aware Apps• Mac, Windows, Linux• AD/LDAP user credentialAD/LDAP Identity• Non-auth-aware apps• Any platform• AD/LDAP credentialIP SurrogateAD AgentNTLMKerberos
  • 45. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45ЧТО75,000+ MicroAppsMicroApp EngineГлубокий анализ трафикаприложенийПоведениеприложенийКонтроль действийпользователя внутриприложенийПокрытие…… классификация всеготрафика1,000+ приложений
  • 46. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46• Ameba• Yahoo! Mobage• 2Channel• Pinterest: блокировка выгрузкифайлов, блокировкаразмещения текстов,блокировка отметки«Нравится»• YandexИюль• Winamp Remote• Gree• Google Drive: выгрузка, загрузка, общийдоступ, редактирование• Scribd: выгрузка, загрузка, размещение• SkyDrive: выгрузка, загрузка,редактирование• SmugMug: выгрузка, загрузка, отметкакак «Нравится», общий доступ• Microsoft Windows Azure• Salesforce CRM• Microsoft CRM Dynamics Online• iscsi-target• LogMeIn• Mikogo• Незашифрованный трафикOracle e-Business Suite• Службы GoogleАвгустСентябрь• eBay• FileDropper• Mixi• AOL Mail: загрузка вложений, выгрузкавложений, отправка эл. почты• Photobucket: выгрузка файлов,загрузка файлов, общий доступ• Dailymotion: выгрузка файлов,размещение, использование контента сайта• Answers.com: размещение• DocStoc: выгрузка файлов, загрузкафайлов• Microsoft Lync• Gbridge• Tor• ShowMyPC• Facetime• Yahoo-Accounts• Camo-proxy• Glide• Nico Nico Douga• Twiddla• Suresome• Techinline• Vimeo: выгрузка, загрузка, размещениетекстовОктябрьПриложения, выпущенные с момента первыхпоставок ASA CX клиентам• ASProxy• CoralCDN• Proxono• Surrogafier• Symantec Live Update• Windows Updates• ZeluneНоябрь
  • 47. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
  • 48. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48ЧТОМаркетинг Юристы Финансыязыковстранmn URLsпокрытие602002098%
  • 49. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49ГДЕ/ОТКУДАОФИСОТЕЛЬ
  • 50. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50• Информация с 100,000,000 оконечных устройствУстройство СостояниеAVRegistryFilesВерсия ОСIdentity Services EngineКАК
  • 51. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51КОГДАЧТО ГДЕ/ОТКУДА КАККТОЗнание угроз
  • 52. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52www.facebook.com GOCisco SIO
  • 53. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53ASA• Ядро или ЦОД• Multi-tenant• Active/Active FailoverASA CX• Кампус или граница• Контрольприложений• Next-gen Firewall
  • 54. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54WSA• Прокси-сервер• Кеширование• Сканирование Anti-Malware• DLP• Полная Web-безопасностьASA CX• Next-gen Firewall• Inline• Все порты/протоколы• Базовая Web-безопасность
  • 55. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 55ASA SSPCX SSP
  • 56. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56Заказчику нужентолько ASA CX?Пусть заказываетодин модуль вшасси 5585-X!Заказчику нуженASA и ASA CX?Пусть заказываетдва модуля в шасси5585-X!
  • 57. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57• Система управления для ASA CX• Встроенный в ASA CX для управления одним МСЭ• Отдельное устройство для поддержки нескольких ASA CX• RBAC• Конфигурация, события и репортинг• Виртуальная машина или устройство UCS
  • 58. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58Cisco ASA CXПонимание контекстаКлассический МСЭ ASAПонимание угроз
  • 59. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59
  • 60. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60Производительность,масштабируемость,адаптивностьКомплексзданийИнтернет-периметрФилиалCisco IPS 4360Cisco® IPS 4345Центр обработкиданныхCisco IPS 4510Cisco IPS 4520НовинкаНовинкаНовинкаНовинка
  • 61. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61Производительность,масштабируемость,адаптивностьКомплексзданийИнтернет-периметрФилиалSOHO Центр обработкиданныхCisco ASA 5585-X-S60P60Cisco ASA 5585-S40P40Cisco ASA 5585-S20P20Cisco ASA 5585-S10P10Cisco® ASA 5512-X IPSCisco ASA 5515-X IPSCisco ASA5525-X IPSCisco ASA5545-X IPSCisco ASA 5555-X IPSНовинкаНовинкаНовинкаНовинкаНовинка
  • 62. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62Новый межсетевой экран с поддержкой сервисов ифункцией IPS• Платформа межсетевого экрананового поколения с поддержкойсервисов• Устройства ASA среднего уровня сфункцией ПО IPS с учетомконтекста• Cisco® ASA 5525-X , ASA 5545-X иASA 5555-X имеют аппаратноеускорение для IPS.• 1 интерфейс Gigabit Ethernet• Доступны платы расширенияввода-вывода
  • 63. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63• Специализированная платформаIPS среднего уровня с учетомконтекста• Четырехкратное увеличениепроизводительности Cisco® IPSсерии 4200 за половину стоимости• Обработка с аппаратнымускорением Regex• Интерфейсы Gigabit Ethernet• Платы аппаратного обхода будутдоступны в октябре
  • 64. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 64• Специализированныевысокоскоростные устройства IPS сучетом контекста• Обработка с аппаратным ускорениемRegex• Развертывания на уровне ядра ЦОДилипредприятия• Интерфейсы Gigabit Ethernet,интерфейсы 10 Gigabit Ethernet и слотSFP• Масштабируемость: доступен слотдля будущего наращиваниямощностей
  • 65. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)Процессор4 ядер4 потока4 ядер8 потока8 ядер16 потока12 ядер24 потокаПамять 8 GB 16 ГБ 24 ГБ 48 GBБазовые порты данных 8 x 1 GE Cu 8 x 1 GE Cu6 x 1 GE Cu4 x 10 GE SFP6 x 1 GE Cu4 x 10 GE SFPУскоритель Regex Одинарный Одинарный Одинарный ДвойнойЭлектропитаниеПостоянное значениепеременного тока2 с возможностьюгорячей замены2 с возможностьюгорячей замены2 с возможностьюгорячей замены
  • 66. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 66Производительность• Реальный средний показатель: 3 Гбит/с• Реальный диапазон показателей: 1.2-5 Гбит/с• Транзакционная передача по HTTP: 5 Гбит/сХарактеристики платформы:• 2 RU (шасси)• Многоядерный ЦП корпоративного класса (8ядер, 16 потоков)• 24 ГБ ОЗУ• Резервный источник питания• Аппаратное ускорение Regex• Открытый слот (в верхней части) дляиспользования в будущемМеста развертывания• Средние и крупные предприятия• ЦОД кампуса• Требуется 3 Гбит/с реальной пропускнойспособности IPS• Требуется резервный источник питания• Требуется специализированная система IPSПорт AUX иконсольИнтегрированныйввод-вывод6 GE CuИндикаторысостоянияПортыуправленияОтсеки дляжесткого диска(пустые)Интегрированныйввод-вывод4 слота 10 GESFP2 портаUSB
  • 67. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 67Производительность• Реальный средний показатель: 5 Гбит/с• Реальный диапазон показателей: 2.5-7.7 Гбит/с• Транзакционная передача по HTTP: 7,6 Гбит/сХарактеристики платформы:• 2 RU (шасси)• Многоядерный ЦП корпоративного класса (12ядер, 24 потоков)• 48 ГБ ОЗУ• Резервный источник питания• Аппаратное ускорение Regex (x2)• Открытый слот (в верхней части) дляиспользования в будущемМеста развертывания• Средние и крупные предприятия• Центр обработки данных• Требуется 5 Гбит/с реальной пропускнойспособности IPS• Требуется резервный источник питания• Требуется специализированная система IPSПорт AUX иконсольИнтегрированныйввод-вывод6 GE CuИндикаторысостоянияПортыуправленияОтсеки дляжесткогодиска (пустые)Интегрированныйввод-вывод4 слота 10 GESFP2 портаUSB
  • 68. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 68Специализированная системаCisco IPS 4500• Прозрачна и незаметна в сети• Ввод-вывод на основе IPS• Нормализация под управлением IPS• Свободный слот для использования вбудущемИнтегрированное устройствоCisco ASA 5585-X IPS• Прозрачность как вариант.• Ввод-вывод принадлежит межсетевомуэкрану.• Нормализацией управляет межсетевой экран.• Для выбора политики IPS доступныдополнительные возможности (5 элементовпотока, код пользователя и т. д.).Основные отличия
  • 69. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 69• Определение максимальной пропускной способности спомощью сочетанияразличных протоколов и размеров пакетов.• Для оценки используются средние показатели пяти тестов.• Сочетание типов трафика зависит от типа и расположения сети.• В тестах используются стандартные профили приложенийпределов прочности (сочетания трафика).• Тестирование предоставляет клиентамрекомендации.• Клиенты могут легко воспроизвеститесты.• Тесты не имеют отношения ккомпании Cisco.
  • 70. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70012345678Реальный средний показатель Транзакционная передача поHTTP4510 4520Максимальная производительность (Гбит/с)
  • 71. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71Значение Cisco IPS 4510Cisco IPS4520Реальный средний показатель(Гбит/с)Cisco использует пять стороннихтестов, которые показывают составсмешанного трафикаразвертываний.3 5Максимальнаяпроизводительность (Гбит/с)Максимальные уровни пропускнойспособности при полной проверкетрафика.5 10Количество подключений всекундуБеспроблемная обработкавсплесков подключений.72,000 100,000Максимальное количествооткрытых подключенийДинамично функционирующимцентрам обработки данныхтребуется большое количествоподключений.3,800,000 8,400,000Среднее время задержкиЗадержка может привести кпроблемам транзакций и повлиятьна производительность.< 150 мс < 150 мс
  • 72. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72Прозрачность контекстаIPSCisco® SIOПолитика с учетомконтекстав режиме Inline,корреляция вустройствев режиме Inline,оценка рисков длябизнеса на основеконтекста
  • 73. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73Текущие средстваконтроля:Порт IPПротоколСети VLANРабота с копией трафика ирежим inlineТребуются гибкие средства контроля для приведения политики всоответствие с направлениями угроз, повышения производительностипроверки и снижения количества ложноположительных результатов.
  • 74. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74ИД обходанормализациитрафикаАнализпротоколаИД атаки требуется полная прозрачность среди нескольких сигнатур,пользователей, протоколов и других компонентовМета-сигнатура XСигнатура A 10:17Сигнатура B 10:19Сигнатура C 10:19
  • 75. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75Уникальные параметры контекста формируютточную оценку бизнес-рисковРискдлябизнесаОбнаружение и применениерисков объекта атаки излоумышленника из Cisco® SIO илокальные данныеВнутренняя репутацияГлобальная репутацияКонтроль признаковоперационной системыКонечное значениеКонтексты атакиКонтексты злоумышленника иобъекта атакиПоток встроенной корреляции Механизм действийРискдлябизнесаОбнаружение и применение рисковэксплойтов из Cisco SIOСерьезностьТочность
  • 76. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76Приоритеты бизнеса ибезопасности• Пониманиебизнес-рисков• Точность• Быстродействие• Эффективность• ПрозрачностьИнновации в управлении угрозамиАрхитектура Cisco сучетом контекста• Динамическая оценка бизнес-рисков• Контекстные данные для точногоопределения риска исоответствующего действия• Встроенная корреляция,выполняемая немедленно (непосле свершения)• Отправка уведомлений илиэскалация (если необходимо)
  • 77. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 77Все типы оборудования• SCADA• DCS• PLC• SIS• EMS• Все основныепроизводители• Schneider• Siemens• Rockwell• GE, ABB• Yokogawa• Motorola• Emerson• Invensys• Honeywell• SEL• И это не конец…
  • 78. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 78• Cisco® Security Manager 4.3• Cisco IPS DeviceManager 7.1(4)*• Cisco IPS DeviceManager 7.1(5)• Cisco IME 7.2.3* При первых поставках клиенту Cisco IPS4510 и IPS 4520 поставляются с 7.1(4).
  • 79. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 79• Поддержка расширенногодекодирования HTTP.• Профили угроз для характерной дляразвертывания настройки (ЦОД ипериметр) с помощью мастера.• Статистические данные о нагрузкедля выполнения анализа.• Поддержка новых платформ.
  • 80. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 80• Базовая настройка сигнатур, адаптированная дляразличных расположений в сети• Текущая поддержка только наплатформах с аппаратнымускорением Regex• Пошаговый мастер• Шаблон,предназначенныйдля ЦОД
  • 81. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 81sco SecurityManager 4.3
  • 82. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 82Краткий обзор CSM Комплексное управлениеполитиками для FW, VPN и IPSна разнотипных устройствах(ASA, IPS, FWSM, PIX, ISR/ASR) Управление журналами —события межсетевого журнала(Syslogs) и IPS (SDEE) Мониторинг состояния ипроизводительности для ASA иIPS Отчеты для межсетевых экранови устройств IPS Управление образами для ASA иIPS API для доступа к политике Поддержка сотен устройств водном развертывании На основе Windows:конструктивные параметрыустройства, также доступен ввиде установки ПОCiscoSecurityManagerУправлениеполитикамиУправлениежурналамиОтчетыРаботоспо-собностьсетиУправлениеобразамиИнтерфейсAPI
  • 83. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 83Оптимизированныеоперации по обеспечениюбезопасностиРеальные результатыОбщее управлениесетьюПредставление политикПредставлениеустройствПредставлениетопологии
  • 84. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 84Перенос политик на несколькоустройств и переопределенияобъектов обеспечиваютсогласованное определение политик.СогласованностьИнтуитивный графический интерфейсс представлениями политик иобъектов.ПростотаНаследование политикобеспечивает реализациюкорпоративных политик.РеализацияполитикASA ASASM/FWSMISR ASR
  • 85. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 85Поиск пользователей и групппользователей на основеустановки и сопоставленияActive Directory.Интеграция ADПолитики моделирования наоснове пользователей игрупп пользователейПользователи игруппыпользователейПолитики моделирования наоснове FQDN (например,apps.cisco.com).Полныедоменные имена
  • 86. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 86Средства повышения производительностимежсетевых экрановУлучшенная эксплуатационная эффективностьСопоставление событий сполитиками упрощает процессизучения администратором.ИзучениеИнтегрированное средствоотслеживания пакетов дляглубокой диагностики иустранения неполадок.УстранениенеполадокЧисло попаданий в список ACL,запрос правил и отслеживаниесроков действия упрощают базовыефункции политики.УправлениеправиламиСредствоотслеживанияпакетов
  • 87. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 87Согласованные сигнатуры и реакциина события в датчике IPS.СогласованностьТехнология глобальногосопоставления на основе репутацийобеспечивает защиту сети вупреждающем режиме.УпреждающаязащитаДатчикиIPSASA AIP IDSM IOS IPSНавигация IPS от уведомлений ксигнатурам обеспечивает быструюнастройку проблемных сигнатур.Сокращениепомех
  • 88. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 88Автоматические обновления сигнатур и лицензийОтчеты об инвентаризационныхданных и лицензиях IPS, а такжеавтоматические обновления лицензийупрощают выполнение повседневныхзадач.Прозрачностьинвентаризационных данныхАвтоматические обновления сигнатури пакетов обеспечивают оперативнуюзащиту IPS.ОперативнаязащитаСервер CSMIPS IPS IPSIPSCiscoНавигация IPS от уведомлений ксигнатурам обеспечивает быструюнастройку проблемных сигнатур.Простаядиагностика иустранениенеполадок
  • 89. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 89Различные технологии, мастер установкиПростота развертывания в средеиз тысяч устройств, включаянеуправляемые устройствасторонних поставщиков.Согласованностьв крупномасштабныхразвертыванияхВозможности производственногоразвертывания для поддержкисуществующих VPN-подключений.МинимальноенарушениепроизводительностиПростой в использовании мастерустановки сетей VPNобеспечивает точность настроекна разных устройствах.СложныеразвертыванияМастер созданиясетей VPNIPSec GRE DMVPN GETVPN EasyVPNIPSecRASSLVPN
  • 90. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 90Упрощенный мониторинг, диагностика и устранениенеполадокДетализация привязки события кполитике позволяет выполнятьанализ основных причин и точнуюнастройку правил.Навигация отсобытий кполитикеПредставления событий ASA, IPS иVPN в режиме реального времени ив хронологическойпоследовательности.Отслеживание врежиме реальноговремени и вхронологическойпоследовательностиГибкие и комплексные критериисобытий исключаютвозникновение помех.Фильтры инастраиваемыепредставленияASA IPS VPN
  • 91. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 91Мониторинг состояния и производительностиКроме мониторинга ресурсовустройств, можно такжеконтролировать параметры трафика(нагрузка для выполнения анализа,пропущенные пакеты).Мониторинг IPSВозможность мониторинга ресурсовустройств ASA, параметров трафика(количество подключений и т. д.),аварийного переключения.МониторингмежсетевыхэкрановПользователь может контролироватьсостояние туннеля, пользователейRAVPN и т. д.Мониторинг сетейVPNASA IPS VPNПользователь может управлятьуведомлениями на основе важныхданных об устройствах (ЦП, память,срок действия лицензии, состояниеинтерфейса и т. д.).Управлениеуведомлениями
  • 92. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 92Пользователи могут создаватькомплекты образов (образ ASA,образы AnyConnect и т. д.) дляразвертывания.КомплектыобразовПодход на основе мастеров дляпроверки, развертыванияобновлений для образов, отправкиуведомлений об их выпуске(включая аварийное переключение).Управлениеобразами ASAИнтеграция с CCO, функцией подачизаявок CSM, развертыванием работ,утверждениями и т. д. дляобеспечения удобной работыпользователей.ПростаяинтеграцияASA IPS VPN
  • 93. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 93Данные можно экспортировать вформат PDF/Excel. Отчеты можнозапланировать для отправки поэлектронной почте.Экспортируемые ипланируемыеотчетыОтчеты, созданные на основеданных событий ASA, IPS иVPN.Системные инастраиваемыеотчетыДанные можно нагляднопредставить в форматах схем итаблиц.Схемы и таблицыASA IPS VPN
  • 94. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 94• Механизм подачи заявок с интеграцией на основеURL-адресов• Режим рабочих процессов с процессом утверждения• Глобальный семантический поиск во всех политиках• Встроенные функции RBAC (контроля доступа наоснове ролей)• Архивация конфигураций• Автоматическое резервное копирование ивосстановление
  • 95. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 95Cisco Security Manager 4.3В CSM 4.3 представлены новые возможности, связанные смониторингом состояния и производительности, управленияобразами, доступна на основе интерфейсов API, а также целыйряд усовершенствований в других областях.Новые возможности Cisco Security Manager 4.3• Мониторинг состояния и производительности устройств ASA и IPS.• Управление образами для устройств ASA.• Доступ на основе API к данным конфигурации политики CSM.• Представление концепции комплектов политик для назначения несколькихполитики нескольким устройствам.• Интеграция подачи заявок для отслеживания изменений политик.• Глобальный поиск устройств, политик и объектов политики во всей базеданных конфигурации.• Поиск сведений об использовании объектов.• Автообнаружение конфликтов для удаления ненужных записей из таблицыправил.• Обновления Policy Object Manager для улучшенной навигации.• Поддержка новых моделей — ASA 5512, 5515, 5525, 5535, 5545 и 5555.• Поддержка нового оборудования Cisco IPS серии 4300.
  • 96. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 96Старые страницы CS
  • 97. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 97• Связывание изменений с заявками• Поиск на основе ИД или описания заявки• Просмотр измененных заявок по развертыванию• Настройка и запуск по URL-адресу внешней системы подачи заявок• Сведения о последней измененной заявке, отображаемые в POM иправилах межсетевого экрана• ИД заявки не является обязательным; допускаются повторяющиесязаписи• Возможность указания нескольких ИД заявок, разделенных запятыми• Ticket Manager отображает журнал всех заявок• В новой установке эта возможность включена по умолчанию• После обновления существующие настройки рабочих процессов идругие параметры остаются без изменений• Для отключения возможности нужно последовательно выбрать AdminSettings (Настройки администрирования) -> Ticket Manager
  • 98. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 98
  • 99. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 99• Настраиваемые избранные типы объектов в дереве типов объектов• Отображение 10 последних измененных объектов в дереве• Просмотр сведений о ссылках на объекты с помощью одного щелчка• Больший объем информации в таблицеКоличество переопределений (если имеются) или переопределяемых объектовДата последнего изменения и последняя измененная заявка (или пользователь)Полное описаниеОбъект, который был указан в ссылке или нет (при нажатии кнопки «Referenced» (Ссылкана))• Перетаскивание и размещение объектовИз POM в представление правил межсетевого экрана и из представления объектов впредставление групп• Копирование, печать, экспорт (CSV)• Дерево типов объектов с возможностью поиска• Поддержка быстрой фильтрации
  • 100. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 100
  • 101. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 101• Семантическая фильтрация (IP / сеть) поддерживается в фильтрах таблицобъектов политик сети и узлов, а также в таблицах правил межсетевыхэкранов.• Копирование в виде текста в буфер обмена из большинства компонентовпользовательского интерфейса, таких как дерево, список, таблица, текст.• Поле быстрой фильтрации, используемое в таблицах «Инвентаризационныеданные», «Activity/Ticket Manager», «Policy Objects Manager» и «СигнатурыIPS».• Возможность поиска во всех деревьях (иерархических структурах) вConfiguration Manager.• Добавлен параметр «Expand-All / Collapse-All» (Развернуть все / Свернутьвсе) для всех деревьев и таблиц.• С экрана входа в клиент CSM удален параметр «Enable / Disable Httpsconnection» (Включить /отключить соединение по протоколу HTTPS).• Теперь в представлении политики отображаются прямые назначенияустройств, наследование и назначения с помощью комплектов политик.• Экспорт детализированной общей политики.• Настраиваемая панель инструментов.
  • 102. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 102• Автоматическая функция — ACD• Функция, на основе которой выполняются практические действия —AACD• Встроенные отчеты о конфликтах — при просмотре отчетов можноизменять правила. Таким образом решается проблемаиспользования, связанная с имеющимся средством анализа правил.• Функция используется только для автоматического обнаруженияконфликтов. Она не предоставляет возможности их автоматическогоустранения.• Она поддерживается только в интерфейсе с примененнымиправилами доступа.• Отчеты о конфликтах формируются на основе источника,назначения, сервисов, пользователей, интерфейсов. Значениядругих полей (например, для указания диапазона времени ипараметров ведения журнала) не учитываются.• Конфликты внутри объектов не поддерживаются.
  • 103. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 103 Фильтрация трафика на основе идентификационных данныхподдерживается с версии CSM 4.2. Уже поддерживаются такие средства, как «Запрос политики», «Найти изаменить», «Срок действия правила». CSM 4.3 расширит поддержку средств межсетевой защиты для учетакритериев идентификации в правилах межсетевых экранов. Сочетание правил — принятие во внимание не только сетей, интерфейсов исервисов, но и пользователей. Количество попаданий — отображение количества попаданий для записейправила доступа, содержащих пользователей. Импорт правил — усовершенствованная возможность импорта групппользователей и правил доступа с помощью групп объектов. Оптимизация внутреннего списка ACL — улучшенная возможностьоптимизации ACL на основе не только сетей, интерфейсов и сервисов, но ипользователей.
  • 104. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 104
  • 105. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 105• Предоставление возможностей мониторинга для устройствASA,VPN и IPS• Предоставление графиков тенденций важных показателей• Предоставление сводной панели для отображенияобъединенных сведений о состоянии, уведомлениях изначениях показателей в рамках представления• Предоставление механизма уведомлений для различныхотслеживаемых параметров• Предоставление набора предопределенногопредставления мониторинга.• Предоставление пользователям возможности создания,редактирования, изменения настраиваемогопредставления мониторинга
  • 106. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 106• Мониторинг ASA распространяется на следующиетипы показателей:ресурсы устройства — ЦП, память, интерфейсы;параметры трафика — количество подключений, скоростьподключений, количество трансляций, скорость трансляций,отброс пакетов, включая отброс при обнаружении угрозы,пропускная способность.Параметры аварийного переключенияУведомления ASA• Уведомления об аварийном переключении• Уведомления о состоянии интерфейса• Уведомления об использовании ресурсов ЦП• Уведомления об использовании ресурсов памяти
  • 107. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 107• Мониторинг сетей VPN распространяется наследующие типы параметров:• Мониторинг активного туннеля между площадками• Мониторинг пользователей удаленного доступа (RA) —пользователи – web-клиента VPN, IPSec и SSL, клиентаAnyconnect.• Сводные данные о сетях VPN — сводное представление длятуннеля между площадками, сеансов удаленного доступа,сведений о лицензиях и сертификатах.
  • 108. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 108 Мониторинг ASA распространяется на следующие типы параметров:• ресурсы устройства — ЦП, память, интерфейсы;• параметры трафика — нагрузка для выполнения анализа,пропущенные пакеты, режим обхода;• приложения IPS — основное приложение, приложение для датчиков,приложение для совместной работы.• Состояние устройств IPS и связанные параметры• Уведомления• Состояние приложения для совместной работы• Состояние приложения для датчиков• Режим обхода• Состояние интерфейса• Истечение срока действия лицензии• Использование ресурсов памяти• Пропущенные пакеты• Нагрузка для выполнения анализа
  • 109. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 109Деревопредставления мониторингаПанель сводныхданныхСведения овыбранныхустройствахВкладка «Alerts»(Оповещения)
  • 110. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 110 CSM Image Manager обеспечивает полное управление образами дляустройств ASA. Это средство используется на различных этапах процесса обновленияобразов для устройств ASA, предоставляя следующие возможности:загрузка и поддержка репозитория различных типов и версий образов,оценка образов,анализ влияния обновления этих образов на устройства (в анализ входит влияние обновленияна конфигурацию устройств),подготовка и планирование обновления ипредоставление надежного способа обновления устройств с использованием встроенныхмеханизмов резервирования и восстановления, что способствует сокращению временипростоев.• Недостатки предыдущего решения, RME, для управления образамиRME больше не входит в комплект CSM.Обновление образа с помощью RME рассматривалось как изменение OOB в CSM и требовалоповторного обнаружения устройств, что приводило к потере назначенных и общих политик вCSM.Механизм RME поддерживал только системное ПО. Отсутствует поддержка образов ASDM идругих образов SSLVPN.Отсутствует поддержка обновления аварийного переключения ASA, которое присутствует вбольшинстве развертываний ASA.
  • 111. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 111 Поддержка репозитория различных типов и версий образов ASA. Проверка доступности новых образов на сайте Cisco.com. Загрузка образов с сайта Cisco.com. Проверка и анализ влияния обновлений образов на устройства. Совместимость устройств с образами. Объединение совместимых образов в комплект. Планирование обновления образа одного или несколькихустройств. Контроль пошагового выполнения операцииобновления. Управление изменениями для операций по обновлению образов.
  • 112. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 112 Полное управление образами для ASA** — поддержка системы ASA,ASDM, CSD, Hostscan, Anyconnect и подключаемого модуля SSLVPN (RDP,Telnet, SSH и т. д.). Поддержка обновления пары аварийного переключения«Активный/резервный». Тесная интеграция с Configuration Manager — пользователь получаетуведомления о влиянии обновления образа на конфигурацию устройства вCSM и сведения о действиях, которые необходимо выполнить до и послеобновления, чтобы обеспечить беспрепятственное управлениеконфигурациям устройств в CSM. Надежные обновления — проверки совместимости образов, проверкитребований к ОЗУ, проверки объема флэш-памяти, уведомления о влияниина конфигурации и т. д. Управление файлами флэш-памяти ASA. Комплект образов — объединение совместимых образов и их быстроеразвертывание. Элементарные проверки надежности на ранних этапах становленияуправления образами SSLVPN в Configuration Manager. Вывод сообщенийо недостатке места. Поддержка внешнего диска в ASA — диска 1.
  • 113. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 113• Выпуски ACS, вышедшие после версии 4.x, больше нельзя использовать вкачестве решения RBAC для CSM. NRBAC предоставляет те же функцииRBAC, которые присутствовали в ACS для CSM. Эти функции встроены вCSM, поэтому их использовать гораздо проще.• Одной из ведущих мотиваций перехода на RBAC является возможностьразделения обязанностей (Separation Of Duties, SOD).снижение риска случайного повреждения или мошенничестваограничение доступа к объектам (устройствам и политикам)• Что изменилось?Common Services (CS) имели авторизацию на уровне задач ипоставлялись только с пятью стандартными ролями. Они необеспечивали детализацию RBAC на уровне устройств.При использовании NRBAC вводится детализация на уровне устройств ипоставляется восемь (7 + 1) стандартных ролей. 1 роль не требуетсядля CSM.• Сохраняется поддержка ACS 4.x.
  • 114. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 114 Стандартные роли совпадают с ролями ACS 5 ролей являются общими для CS и CSM 1 роль является специальной для CS 2 роли являются специальными для CSСпециальные ролиCSMЛицо, утверждающее системыбезопасностиАдминистратор систембезопасностиСпециальная роль CSСуперадминистраторОбщие ролиУтверждающее лицоСлужба поддержкиАдминистратор сетиОператор сетиСистемный администратор
  • 115. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 115 Задачи приложения назначаются ролям. Задачаможет относиться к одному конкретному приложениюили использоваться для двух или более приложений.Типы приложений[AUTOUPDATE] — серверавтообновления[CSM] — Cisco Security Manager[CS] — Common ServicesПРИМЕЧАНИЕ. Изменитьразрешения для стандартныхролей нельзя.
  • 116. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 116 Группы устройств представляют собой контейнеры дляустройств и используются в конфигурации авторизации науровне устройств. Устройство может входить в несколько групп устройств.ПРИМЕЧАНИЕ. Устройство можетбыть связано с несколькимигруппами устройств [ 1:n ]. Дляконфигурации NRBAC не требуетсясвязывать с пользователем всегруппы устройств. Достаточно толькоодной группы устройств.Вывод. В системе могут находитьсягруппы устройств, имеющиесвязанные устройства, но никогда неиспользовавшиеся для авторизацииNRBAC на уровне устройств.
  • 117. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 117Полная авторизацияАвторизация на уровне задачАвторизация на уровне устройств
  • 118. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 118 NRBAC предоставляет возможность авторизации внешнимсерверам идентификации, используемым для аутентификации. Удаленных пользователей AAA следует создать локально и назначитьим роли. К некоторым серверам аутентификации, которые поддерживаются CS,относятся ACS 5.x как сервер TACACS+, Microsoft AD, локальнаяаутентификация Windows.• Создание настраиваемой роли• Создание новой строкипривилегии запрещено.• Следует использовать состорожностью.• ACS 4.x по-прежнему поддерживается«как есть». Требуется повторнаярегистрация, поскольку в CSMдобавлены дополнительные строкипривилегий для новых возможностей.
  • 119. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 119http://www.facebook.com/CiscoRuhttp://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMediahttp://www.flickr.com/photos/CiscoRussiahttp://vkontakte.ru/Ciscosecurity-request@cisco.com