Your SlideShare is downloading. ×

Cisco TrustSec и Cisco ISE

17,194

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
17,194
On Slideshare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • What are the transformations.. And the specific challengesNeed to make this more impactful.Focus on three themes:Slide #1 Device Proliferation - 15 Billion devices by 2015 that will be connecting to your network - Every person has 3-4 devices on them that connects to the network - 40% of Staff are bringing their own devices to work2) Next Generation Workforce - Work is no longer a place you go to work - People are willing to take a pay cut as long as they are able to work from home - Globalization, acquisitions, increased competitiveness - Need anywhere, anytime, any device access3) Virtualization No content yet, just put placeholderSlide #2Device ProliferationHow do I ensure consistent experience on all devices? How and what do I support?How do I implement multiple security policies per user, device? What devices are on my networks?  2) Changing WorkforceAm I hindering my workforce to be competitive?How do I retain top talent?How do I ensure compliance with SOX, HIPAA, etc?Can I handle partners, consultants, guest appropriately? 3) VirtualizationHow do I know who is accessing my virtual desktop infrastructure?How do I secure access to my data across the cloud.. in a scalable wayCan I ensure compliance across geographic boundaries
  • The trustsec portfolio is now enhanced with the introduction of our new policy manager ISE.Policy decision point and the platform for delivery of services is ISEPolicy enforcement is our infrastructureFinally client capabilities (802.1X, MACSec) is integrated into the Anyconnect. Or customers can use native supplicants. The NAC posture agent will be integrated into AC in the 1H CY2012
  • Cisco has considerable investment in identity features on our infrastructure. A number of differentiators include monitor mode that allows you to authenticate users wthout enforcement. Another differentiator is flex auth, our ability to order authentication appropriately along with the right behavior when authentication fails. Interop with IP telephony and in VDI environments are also supportedThese features are delivered consistently across our entire switch portfolio, so whether you’re deploying a Cat 3K, 4K or 6K, the customer just has to select the right switch
  • Problems - Different kinds of device types appearing on the network (wired & wireless) : ipads, printers, phones etc - IT needs visibility into all devices - IT may choose to have different policy for certain kinds of devices (don’t allow ipad on the network) - IT needs assurance that a device conforms with its signature for security reasons 
  • Device Profiling + IOS sensorSolution Components – ISE (Identity Services Engine) and Switch sensor (IOS SW that resides on 3k)Steps : Collection: A device (for example – a printer) gets plugged into a port on a switchSwitch detects a new device has been plugged inSwitch collects data related to the device (DHCP, LLDP, CDP, and MAC OUI data) by snooping on the traffic sent by the deviceSwitch sends collected data to ISE to aid ISE in device classification Classification :ISE uses rules engine to classify that device to be a printerISE provides a report of devices with  device types : device MAC addr, device IP addr, switch port, device type etc Authorization:If IT has defined a policy for that device type - “Printer”, ISE executes the policyIf Policy says  – put printer in a VLAN X, ISE tells the switch to place printer on VLAN XIf Policy says – don’t allow printer on the network, ISE tells the switch to block the portIf Policy says – provide restricted access to printer and limit it to ONLY talk to a Print server, ISE will ask the switch to enforce an ACL per the policyISE – can also collect “netflow” information from switchIf ISE notices that HP Printer is trying to talk to Internet (based on netflow data), it raises an alaram, as Printers are meant to be used for intranet usage only.  This eliminates data spoofing & improves security
  • Network-based sensorBroadest & deepest
  • The key component of the TrustSec architecture is ISE. It converges NAC and ACS functionality from AAA functions to security services like guest, profiling and posture into one appliance, making the choice of deploying either a “overlay mode” or “infrastructure integrated mode” a lot simpler for customers.Current NAC and ACS hardware platform is software upgradeable to ISELicense migration program for all software licensesData and Configurations migration tools available*
  • [Need animation on this slide]
  • Application Team – Control access to PCI Customer Data based on user, roleSystem Team – Identify data locations with PCI Customer DataNetwork Team – Create router, switch access controls for user IP addresses to Networks with PCI Customer Data
  • Problems - Different kinds of device types appearing on the network (wired & wireless) : ipads, printers, phones etc - IT needs visibility into all devices - IT may choose to have different policy for certain kinds of devices (don’t allow ipad on the network) - IT needs assurance that a device conforms with its signature for security reasons 
  • Business BenefitsScalable and Consistent Policy Enforcement- Highly scalable segmentation through context-aware network devices- Centralized distribution of policy controlsConsistent enforcement across wired, wireless, physical and virtualIncreased Business Agility- Reduced Interlock between server, network and security administration- Resource moves can be handled automaticallyReduced Operational Expense- Reduction in access control entries- Keep existing logical designs- Simplified audits of firewall and datacenter policies
  • Without Monitor Mode this is what will happen:User connects to networkFails 802.1x & also MAC address authenticationGets blocked from networkUser Calls help deskUser downtime until problem is resolved – loss of productivity
  • Without Monitor Mode this is what will happen:User connects to networkFails 802.1x & also MAC address authenticationGets blocked from networkUser Calls help deskUser downtime until problem is resolved – loss of productivity
  • Cisco is leading the industry with the introduction of Cisco Prime for Enterprise. Cisco Prime for Enterprise is a portfolio of products that deliver converged management for Borderless Networks, Data Center, and Collaboration. Cisco Prime for Enterprise offerings simplify and automate the management of network services and operations for the enterprise helping to decrease operational costs and increase IT efficiency. The first major proof point for Cisco Prime for Enterprise is the Network Control System 1.0 that offers the ability to evolve from wireless only management into user and endpoint management across wired and wireless. NCS also becomes the management solution for the Identity Services Engine. Additionally, the LMS 4.1 solution delivers complete management of network services including EnergyWise and Medianet as well as new Smart Services. Of course, both NCS and LMS handle the ongoing box (or element) level management for switching, routing and wireless. To provide network and application visibility to quickly isolate and troubleshoot application performance issues, we have enhanced our Cisco Prime Network Analysis Module (NAM) with software release 5.1. This release also includes a new 10 Gigabit blade for the Catalyst 6500 Series, availability on ISR G2 /SRE, integration with Performance Agent on ISR G2 and integrated reporting with WAAS Central Manager.
  • Cisco is leading the industry with the introduction of Cisco Prime for Enterprise. Cisco Prime for Enterprise is a portfolio of products that deliver converged management for Borderless Networks, Data Center, and Collaboration. Cisco Prime for Enterprise offerings simplify and automate the management of network services and operations for the enterprise helping to decrease operational costs and increase IT efficiency. The first major proof point for Cisco Prime for Enterprise is the Network Control System 1.0 that offers the ability to evolve from wireless only management into user and endpoint management across wired and wireless. NCS also becomes the management solution for the Identity Services Engine. Additionally, the LMS 4.1 solution delivers complete management of network services including EnergyWise and Medianet as well as new Smart Services. Of course, both NCS and LMS handle the ongoing box (or element) level management for switching, routing and wireless. To provide network and application visibility to quickly isolate and troubleshoot application performance issues, we have enhanced our Cisco Prime Network Analysis Module (NAM) with software release 5.1. This release also includes a new 10 Gigabit blade for the Catalyst 6500 Series, availability on ISR G2 /SRE, integration with Performance Agent on ISR G2 and integrated reporting with WAAS Central Manager.
  • Comprehensive device provisioningAutomated on premise MDM enrollment with appropriate device and application provisioningDetailed User and Device ContextHigh fidelity device info offer true visibility of what is connectedIncreased device details (OS version, serial number, etc) enhances policy decisioning.Increased Device and Application SecurityDevice tracking capabilities upon device loss
  • Cisco SecureX takes the elements outlined in the Security Architecture Model and blends them to provide an integrated and collaborative approach to securing the entire distributed network, from the data center to to most remote worker. It starts with a trusted infrastructure of secured and tuned devices. The network is far more than plumbing, but becomes the core of both your network services and security. The network provides real-time information for visibility into what is happening on the network, context-based information about such things as where devices are located, what resources they are attempting to access, etc. This is the who, what, when, where and how that then allows for enhanced control of the environment so that granular security decisions to be made with precision. This context-based information can then be used not just at the network layer, but can be shared to contribute to a variety of enforcement points, either integrated into network devices, operating as an overlay appliance, or even into the cloud.Fundamental to this is the ability to centrally create policy about who and what can access the network, and how resources are used, across a wide spectrum of scenarios, including time, place, device, groups, etc. And then, take this centralized policy and push it across the entire networked environment for distributed enforcement. This allows for consistent security implementation (including consistent access control for users, devices, and guests) across network zones, branch offices, remote workers, virtualized devices, remote workers, and cloud-based services.APIs allow Cisco to expand our solutions with the addition of a rich ecosystem of partners that can provide critical information and services into the network, and/or gather information in order to provide granular, detailed information about what is happening.Critical management tools and services, as well as highly trained partners specializing in network security, simplify the entire experience for customers.The final wrapper around this is Cisco’s industry-leading global security intelligence services. By analyzing vast amounts of real-time data across a spectrum of traffic, including web, email, network, cloud, and endpoints, Cisco is able to identify and deliver critical, real-time security updates to network and security devices to protect organizations from threats as they are occurring, as well as reputation-based information in order to significantly enhance the accuracy and effectiveness of local tools analyzing network traffic.
  • Dr. Thompson buys a 3G iPad during lunch, walks back to the hospital and hands his new iPad to IT and says I want to use this for my work. Now what?[TRANSITION]
  • His IT manager tells him that using his username and password, he can “onboard” the device and the network will apply all the correct policies and approved apps automaticallyThe IT manager knows the importance of keeping the network secure, and complying with regulations to protect patient data. So things like remote wipe and data loss prevention are critical. [TRANSITION]
  • Luckily, his system can help him apply contextual policies based on things like device type, user or location automatically, without user intervention. We’ve kept it simple for this example, but as you all know you can apply polices based on many more attributes.That’s it, Dr. Thompson has now on-boarded his new iPad. Keep in mind, to enable this seamless experience the network needs to support certain things: First, you need an 802.11n Wi-Fi network which can withstand the challenges of Mobility including complex RF interference. Second, you need identity-based network control for the contextual policy we just touched on. Mobile Device Management is required for functions such as installing enterprise applications or remote wipe if the device is lost. Last but not least, Make sure you have a management system for the infrastructure and a service assurance manager for visibility into what’s going on in the network, and what you need to do if things start going wrong. If you have branches in the Hospital, WAN optimization will help help keep network resources available.[TRANSITION]
  • Let’s get back to Dr. Thompson…. He is now attending to patients in the OR. His contextual policy has been defined from an application perspective such that when he is at work, he has full access electronic medical records, mobile telepresence, email and IM. Again, we are keeping it simple here in terms of applications used. It’s key to note that you can tailor this policy for unique job and regulatory requirements, with the doctor only allowed to access sensitive patient records while in the office due to HIPPA regulations.It’s now 2 o’clock and Dr. Thompson needs his afternoon coffee, what happens when he leaves the Hospital? [TRANSITION]
  • Doctor goes to OR, pulls up EMR and xray imagesCommunicates with staff via IMWe know that literally billions of devices are pouring onto networks – at hospitals that presents doctors, administrators, patients, and visitors. Each has unique needs, and along with tablets and smart phones, healthcare has specialized medical equipment, and wireless tracking tags, connecting in increasing numbersA wi-fi network must be designed to meet these challenges, these changing device profiles, application profiles, and device density.Capacity and performance to support the influx of clientsPerformance to handle new applications, such as two-way TP with patients, and EMR data housed centrally for a medical group, and application data now residing in the cloud Acceleration for all client types, even the medical asset tags, slower tablets and smart phonesPROACTIVE protection against wireless interference from things like blanket warmers and light controlsLocation tracking for assets and peoplePlus, patient data is protected by HIPPA regulations, so IT must carefully govern when and how this can be accessed
  • He decides to visit the coffee shop next door, which has a Wi-Fi hotspot. Now, his contextual policy becomes a roaming policy defined by the Hospital. The policy says that Dr. Thompson will not have access to EMR while at the coffee shop, but he will be able to use email, telepresence and IM[TRANSITION] While there, he gets a paged from his nurse, and gets into a video chat session to have a two-way video chat about his patient.
  • Application Team – Control access to PCI Customer Data based on user, roleSystem Team – Identify data locations with PCI Customer DataNetwork Team – Create router, switch access controls for user IP addresses to Networks with PCI Customer Data
  • 20
  • No additional NICs supportedNo Host Bus Adapter (HBA)
  • Transcript

    • 1. TrustSec и IdentityServices EngineНадежная поддержка управления доступом на основе политик длявашего бизнеса© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 1
    • 2. Как управлять доступом к сети? Кто должен иметь доступ и к чему?© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 2
    • 3. Наши клиенты полны новых ожиданийЭволюция ландшафта рабочего места БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ В среднем каждый пользователь имеет К 2015 году 15 3–4 устройства, миллиардов устройств соединяющих его с сетью будут подключаться к сети 40 % сотрудников приносят свои собственные устройства на работу БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 3
    • 4. Наши клиенты полны новых ожиданийЭволюция ландшафта рабочего места КАДРЫ НОВОГО ПОКОЛЕНИЯ Люди готовы к снижению 70 % конечных пользователей Работа больше не то заработной платы ради признаются в нарушении место, куда нужно идти возможности работать дома правил ИТ-безопасности ради облегчения своей жизни Им необходим доступ любых устройств в любое время, из любого места БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 4
    • 5. Наши клиенты полны новых ожиданийЭволюция ландшафта рабочего места ВИРТУАЛИЗАЦИЯ «К 2013 году 60 % нагрузки серверов будет виртуализовано» “К 2013 году управление 20 % профессиональных ПК будет осуществляться в рамках модели размещаемых виртуальных настольных систем.” Центры обработки данных эволюционируют. Теперь приложения — это объекты, которые перемещаются по сети БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 5
    • 6. Проблемы, которые сразу приходят на умНа службы ИТ ложится тяжелое бремя • Как управлять риском, возникающим, когда сотрудники приносят свои собственные устройства? • Как обеспечить единообразное качество обслуживания для всех устройств? • Как реализовать множество политик безопасности для каждого отдельного пользователя и устройства? • Что поддерживать и как? БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 6
    • 7. Проблемы, которые сразу приходят на умНа службы ИТ ложится тяжелое бремя • Препятствую ли я своим сотрудникам в реализации конкурентных преимуществ? • Как удержать наиболее талантливые кадры? • Как обеспечить соответствие требованиям ФЗ-152, СТО БР и т. д.? • Как достойным образом обходиться с партнерами, консультантами, гостями? ПЕРСОНАЛ СТАНОВИТСЯ ДРУГИМ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 7
    • 8. Проблемы, которые сразу приходят на умНа службы ИТ ложится тяжелое бремя • Как узнать, кто осуществляет доступ к моей инфраструктуре виртуальных настольных систем? • Как обеспечить защищенный доступ к моим данным в облаке, сохраняя масштабируемость? • Как обеспечить соответствие нормативным требованиям без ограничения рамками географических регионов? ВИРТУАЛИЗАЦИЯ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 8
    • 9. Представляем Cisco TrustSecНадежная поддержка управления доступом на основе политик для вашего бизнеса Пользователь Сотрудник беспроводной Клиент Удаленный сети / гость пользователь, виртуальной подключенный машины Всеобъемлющий учет Полная по VPN IP-устройства контекста: кто, что, где,прозрачность когда, как Использование преимуществ сети для защищенного доступа к Инфраструктура с контролем критически важнымАбсолютный идентификационных ресурсам, нейтрализации контроль данных и учетом контекста рисков и поддержания соответствия нормативным требованиям Централизованное управление сервисамиЭффективное Центр обработки Интранет Интернет Зоны безопасности защищенного доступа и масштабируемыми управление данных средствами обеспечения Использование существующей соответствия инфраструктуры© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 9
    • 10. Архитектура Cisco TrustSecБезопасность, ориентированная на идентификацию и контекст Политики, относящиеся к бизнесу ГДЕ ЧТО КОГДА Атрибуты КТО КАК политики безопасности Модуль централизованных политик Идентификация Динамическая политика и реализация Пользователи и устройства РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 10
    • 11. Портфель решений Cisco TrustSec Администрирование политики Принятие решений на базе политик Identity Services Engine (ISE) Система политик доступа на основе идентификации Реализация политик Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, На основе TrustSec инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000 Информация о политике Агент NAC Web-агент Запрашивающий клиент 802.1x Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 11
    • 12. Комплексное решение для подхода BYOD(«принеси свое собственное устройство») ОГРАНИЧЕННЫЙ ДОСТУП БАЗОВЫЙ ДОСТУП РАСШИРЕННЫЙ ДОСТУП НОВОГО ДОСТУП ПОКОЛЕНИЯ Среда требует строгого Ориентирован на базовые Поддержка Собственные корп. контроля сервисы и удобный доступ дифференцированных сервисов, приложения, почти для всех адаптационный период, новые сервисы, защищенный доступ, но не для полный контроль собственных устройств Только устройства компании Более широкий круг устройств, Множество типов устройств и Множество типов устройств, Среда производителя но только Интернет методов доступа (корпоративных) Торговая площадка Здравоохранение Среды образовательных Инновационные предприятия Закрытые сети гос. органов учреждений Предприятия, первыми принявшие Электронная розничная торговля Традиционные предприятия Гос. учреждения подход BYOD Сервисы мобильной торговли Простые гости Доступ для подрядчиков (видео, совместная работа и т. д.)© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 12
    • 13. Как это работает?Более подробный обзор Cisco TrustSec
    • 14. Полная прозрачностьПолная прозрачностьКонтроль идентификационных данных и учет контекста Гостевой доступ Профилирование Оценка состояния КТО ЧТО ГДЕ КОГДА КАК КОНТЕКСТ Шлюз камеры видеонаблюдения Вася Пупкин Личный iPad Автономный ресурс Консультант Собственность сотрудника Тверской филиал Центральный офис, Беспроводный центральный отдел стратегий офис Удаленный доступ 18:00 Маша Петрова Федор Калязин Сотрудник, служба Гость маркетинга Беспроводная сеть Проводная сеть 9:00 15:00 ИДЕНТИФИКАЦИЯ 802.1X MAB WebAuth КОММУТАТОРЫ, МАРШРУТИЗАТОРЫ, БЕСПРОВОДНЫЕ ТОЧКИ ДОСТУПА CISCO Сеть с поддержкой идентификации (802.1X)© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 14
    • 15. Полная прозрачность Контроль идентификационных данных Использование существующей сетевой инфраструктуры Коммутатор Cisco Catalyst® Отличительные особенности идентификации Режим монитора Гибкая последовательность аутентификации Поддержка IP-телефонии Поддержка сред виртуальных Авторизо- Планшеты IP- Сетевое Гости настольных систем ванные телефоны устройствопользователи MAB и Web- 802.1X профилирование аутентификация Функции аутентификации IEEE 802.1x Обход аутентификации по Web- MAC-адресам аутентификация На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 15
    • 16. Идентификация устройствКлассификация устройств вручную и реализация политик Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Быстрый рост числа Множество устройств Должно быть Необходима гарантия того, устройств в проводной и предусмотрено что устройство и идентификация для беспроводной сети управление политиками для соответствует цифровым реализации политик каждого типа устройств меткам© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 16
    • 17. Полная прозрачностьИдентификация устройств Компоненты НоваторствоАвтоматическая классификация устройств с использованием инфраструктуры Cisco ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей ПОЛИТИКА Принтер Личный iPad ISE Точка доступа Политика для Политика для CDP CDP принтера LLDP LLDP личного iPad DHCP DHCP MAC-адрес MAC-адрес [поместить в VLAN X] [ограниченный доступ] Точка доступа Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO Эффективная СБОР ДАННЫХ КЛАССИФИКАЦИЯ АВТОРИЗАЦИЯклассификация устройств Коммутатор собирает данные, ISE производит классификацию ISE реализует доступ на основе с использованием относящиеся к устройству, и устройства, сбор данных о политик для данного передает отчет в ISE трафике и формирует отчет об пользователя и устройства инфраструктуры использовании устройства© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 17
    • 18. Полная прозрачностьЭволюция идентификацииустройств: шире и глубже Инновации CiscoИнтегрированное профилирование:прозрачность и масштабируемостьСетевая инфраструктура обеспечивает локальнуюфункцию распознаванияДанные контекста передаются через RADIUS в ISE Активное сканирование оконечныхАктивное сканирование: устройствповышенная точностьISE расширяет пассивную телеметрию сетиданными активной телеметрии оконечныхустройств ISE Web-канал данныхWeb-канал данных об устройствах*: об устройствахидентификация с возможностьюмасштабирования Сенсор устройствИзготовители и партнеры постоянно предоставляют (функция сети)обновления для новых устройствКлиенты получают пакеты данных по web-каналамот Cisco Сенсор устройств Cisco * запланировано на осень 2012 г.© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 18
    • 19. Анализ с учетом контекста: Полная прозрачностьоценка состоянияОценка состояния средствами ISE обеспечивает проверку работоспособности оконечного устройства до получения доступа к сети Пользователь проводной, беспроводной, виртуальной сети Временный ограниченный доступ к Не сети до устранения соответствует проблем требованиямПример политики для сотрудника Проблема: Ценность:• Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или установлены работоспособности устройства постоянный агент• Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение обновлен и работает устройствами проблем• Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация дифференцированных политик• Приложение предприятия выполняется на основе ролей© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 19
    • 20. Полная прозрачностьАнализ с учетом контекста:управление гостевым доступомГостевой сервис ISE для управления гостями Гостевые Web- политики аутентификаци я Интернет Беспроводный или Гости проводной доступ Доступ только к ИнтернетуВыделение ресурсов: Управление: Уведомление: Отчет:гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей политики, гостевой портал электронной почте или SMS© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 20
    • 21. Абсолютный контрольАбсолютный контрольОбеспечивает реализацию политик Удаленный Пользователь с Пользователь с Виртуальный пользователь беспроводным проводным Устройства рабочий стол VPN доступом доступом Управление Масштабируемая доступом на реализация основе политик Сети VLAN СЕТЬ С КОНТРОЛЕМ Списки управления ИДЕНТИФИКАЦИОННЫХ ДАННЫХ доступом (ACL) И УЧЕТОМ КОНТЕКСТА Метки групп безопасности * Шифрование MACSec * *= Инновации Центр обработки Зоны Cisco данных Интранет Интернет безопасности© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 21
    • 22. Абсолютный контрольTrustSec: авторизация иреализация политик Инновации Cisco Динамические или Доступ для групп Сети VLAN именованные ACL-списки безопасности Сотрудник Любой IP- адрес Устранение проблем Подрядчик Сотрудники Гость Доступ для групп безопасности VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW• Меньше перебоев в работе • Не требует управления • Упрощение управления оконечного устройства (не ACL-списками на портах ACL-списками требуется смена IP-адреса) коммутатора • Единообразная• Повышение удобства для • Предпочтительный выбор реализация политик пользователей для изоляции путей независимо от топологии • Детализированное управление доступом Гибкие механизмы реализации политик в вашей инфраструктуре Широкий диапазон доступных клиенту вариантов доступа© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 22
    • 23. Повышение уровня реализации политик вовсей сети Политики на основе Таблица доступа согласно понятного технического языка политике на основе ролей Отдельные пользователи Разрешения Ресурсы Матрица политик Врачи Интранет Почтовый Серверы Медицинские D1 - финансовой карты S1 (10.156.78.100) сервер службы пациентов портал (10.10.24.13) Медицинские Нет Совместный Совместный web- D2 карты Врач Интернет IMAP web-доступ к доступ к файлам S2 доступа файлам пациентов (10.10.28.12) Финансовая Интернет IMAP Интернет Нет доступа служба D3 ИТ- (10.156.54.200) WWW, Полный Финансовая служба админист- SQL SQL SQL, SSH доступ ратор Электронная S3 D4 почта ACL-список "Врач - карта пациента" (10.10.36.10) в интранет-сети permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 ИТ-администраторы (10.156.100.10) deny ip S4 Финансова (10.10.135.10) D6 я служба permit tcp S1 D1 eq https Требует затрат времени permit deny tcp S1 D1 eq 8081 ip S1 D1 Простота Ручные операции …… Гибкость Предрасположенность к …… permit tcp S4 D6 eq https Учет характера ошибкам permit tcp S4 D6 eq 8081 деятельности deny ip S4 D6© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 23
    • 24. Абсолютный контроль Доступ для групп безопасности (SGA) Маркировка трафика данными о контексте Медицинские карты пациентов (конфиденциальная информация) Врач Неограниченный доступ для сотрудниковФинансовая служба Интернет Гость Инновации Cisco Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОММасштабируемая реализация ДЛЯ ГРУПП БЕЗОПАСНОСТИ (SGA) политик независимо от МАСШТАБИРУЕМАЯ И СНИЖЕНИЕ ПОВЫШЕНИЕ топологии сети ЕДИНООБРАЗНАЯ ЭКСПЛУАТАЦИОННЫХ МАНЕВРЕННОСТИ РЕАЛИЗАЦИЯ ПОЛИТИК РАСХОДОВ КОМПАНИИ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 24
    • 25. SGA: реальные сценарии развертывания уклиентов ПРИМЕРЫ РАЗВЕРТЫВАНИЯ Здравоохранение: гарантия конфиденциальности сведений о пациентах за счет доступа на основе ролей и сегментации во всей сети Розничная торговля: связь сетевых устройств внутри магазина, . обеспечивающая доступ к данным платежных карт только авторизованным пользователям и устройствам Технологии и прикладные науки: доступ к внутренним порталам и хранилищу корпоративных приложений для разрешенных планшетных устройств, принадлежащих сотрудникам Производство: маркировка трафика из внешней сети, обеспечивающая поставщику ПЛК удаленный доступ только к конкретной производственной зоне, а также доступ внешних партнеров по разработке только к серверам подразделения НИОКР© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 25
    • 26. Абсолютный контрольСоответствие нормативнымтребованиям защита данных путемшифрования на уровнях L3/L4 Шифрованные данные Прозрачность отсутствует КОРПОРАТИВНЫЕ РЕСУРСЫ Шифрование L3/L4 Проблема Типичный сценарий развертывания Шифрование Шифрование на Отсутствие прозрачности исключает уровне IP или на трафика для реализации прикладном уровне политик безопасности и QoS прозрачность для реализации политик© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 26
    • 27. MACSec: защита данных путем Абсолютный контрольшифрования с шифрованным Инновациидоступом на основе политик Cisco Шифрование Шифрование 802.1 AE 802.1 AE Шифрованные Шифрованные данные данные прозрачен Трафик для реализации политик КОРПОРАТИВНЫЕ РЕСУРСЫ Дешифрование на Шифрование на входном выходном интерфейсе интерфейсе Решение Типичный сценарий развертывания Конфиденциальность Шифрование L2 на Прозрачность трафика для Целостность меток данных последовательных реализации политик групп безопасности переходах безопасности и QoS в сочетании с прозрачностью© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 27
    • 28. Матрица функциональныхвозможностей TrustSecМатрица функциональных возможностей TrustSec 2.1 Доступ для групп безопасности MACSec Функции Коммута- Клиент – 802.1x / Сенсоры тор –Платформа Модели SGT SXP SGACL SG-FW комму- иденти- устройств коммута- татор фикации торCat 2K 2960, 2960-SCat 3K 3560, 3650E, 3750, 3750E, 3750-X 3560-X x 3560 CCat 4K Sup 6E , Sup 6L-E Sup 7E, Sup 7L-ECat 6K Sup32 / Sup720 Sup2TNexus 7KNexus 5K Pr1 / Pr2, 1001, 1002, 1004,ASR 1K 1006, 1013, ESP10/20/40, SIP 10/40ISR G2 88X 89X 19xx 29xx 39xxASAКонтроллербеспроводнойлокальнойсетиAnyConnect© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 28
    • 29. Эффективное управлениеЭффективное управлениеЭксплуатация Объединенный мониторинг безопасностью и политиками Состояние контекста и панели мониторинга для проводных и беспроводных сетей Централизованное планирование задач управления на несколько дней Рабочие потоки настройки инструктивного характера Сокращение сроков диагностики и устранения неполадок Интеграция с Cisco NCS Prime© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 29
    • 30. Эффективное управлениеЭффективное управлениеВовлечение конечного пользователя в управление Снижение нагрузки на ИТ-персонал Адаптационный период для устройств, саморегистрация, выделение ресурсов запрашивающему клиенту* Снижение нагрузки на службу технической поддержки Простой, интуитивно понятный интерфейс пользователя Модель самообслуживания Портал регистрации устройства пользователя*, портал для приглашения гостей * запланировано на лето 2012 г.© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 30
    • 31. Защищенное управление Эффективное управлениемобильными устройствамиЭкосистема управления мобильными устройствами (MDM) ИНТЕГРАЦИЯ С ВЕДУЩИМИ AD/LDAP ПОСТАВЩИКАМИ MDM * ISE • MobileIron, Airwatch, Zenprise Политика с MDM Manager учетом • Выбор предложений экосистемы для контекста ? клиентов Коммутаторы Cisco Catalyst Контроллер WLAN Cisco ФУНКЦИИ: • Безопасная инициализация устройстваПользователь X Пользователь Y • Подробный контекст пользователя и устройства • Повышение безопасности устройства и приложения Компьютеры с Смартфоны, включая Windows или OS X устройства с iOS или Android * запланировано на осень 2012 г. Проводное или Беспроводное подключение беспроводное подключение© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 31
    • 32. Пакеты и лицензирование TrustSec Лицензия ISE для Базовая Расширенная беспроводного НОВЫЕ ФУНКЦИИ TRUSTSEC В лицензия ISE лицензия ISE доступа ПАКЕТАХ ДЛЯ ИМЕЮЩИХСЯ КОММУТАТОРОВ Авторизованы ли мои Соответствуют ли мои Комплекс зданий (Cat 3K/4K): оконечные устройства? оконечные устройства Базовая + расширенная нормативным требованиям? • LAN Base — 802.1X, SXP, сенсор IOS, MACSec• Аутентификация / авторизация • Профилирование • Все базовые• Выделение ресурсов для устройств сервисы • IP Base — SGT, SGACL гостевого доступа • Оценка состояния узла • Все расширенные• Политики шифрования • Доступ для групп сервисы Уровень агрегации (Cat 6K): каналов безопасности • IP Base — 802.1X, SXP, SGT, SGACL Бессрочное лицензирование Лицензирование на срок 3 года / 5 лет Лицензирование на срок 5 лет Маршрутизатор (ASR 1K/ISR): • Базовый пакет — SXP Платформы устройства • Advanced/Security — SG FW Малая 3315/1121 | Средняя 3355 | Крупная 3395 | Виртуальное устройство Центр обработки данных (Nexus): • Лицензия Advanced LAN → базовый пакет В составе головного узла Примечание. Расширенная лицензия не включает базовую AnyConnect© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 32
    • 33. Обновление и миграция ACS NAC Guest NAC Profiler NAC Manager NAC Server • Выпускаемое оборудование допускает программное обновление (1121/3315/3355/3395) • Программа миграции для старого оборудования с большими скидками • Программа миграции лицензий для всех лицензий на программное обеспечение • Имеются инструментальные средства для миграции данных и конфигураций* * Будет реализовано в последующих выпусках Identity Services Engine Существующие инвестиции защищены© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 33
    • 34. Преимущества TrustSec: Отличия от конкурентов Наиболее комплексное решение для Единая политика для проводной, подхода BYOD на основе политик с беспроводной и виртуальной сети поддержкой всего круга потребностей бизнесаИнтегрированные сервисы жизненного Гибкие и масштабируемые варианты цикла (оценка состояния, авторизации с использованием профилирование, гостевой доступ) имеющейся инфраструктуры Дифференцированные функции идентификации (несколько методов Стандартные методы шифрования нааутентификации, гибкая последовательность уровне данных для защиты аутентификации, режим мониторинга) коммуникаций © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 34
    • 35. Признанный успех в отрасли «Инструментарий, обеспечивающий нам прозрачность, реализующий политики доступа, устраняющий недостатки, повышающий уровень соответствия требованиям» «На нас произвела впечатление гибкая модель политик в продукте» Занимает лидирующую позицию «TrustSec и ISE согласуются с нашими согласно отчету Gartner NAC Magic представлениями о комплексной безопасности Quadrant на основе идентификации, которая столь необходима современному предприятию, и Декабрь 2011 г. недостаток которой столь остро ощущается.»© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Forrester, 2011 г. Конфиденциальная информация Cisco 35
    • 36. Опыт развертывания Cisco TrustSec• Элемент программы авторизованных поставщиков технологий• Все партнеры, продающие ISE, проходят всестороннюю практическую подготовку• Проекты развертывания проходят проверку со стороны экспертов Cisco по ISE путем наставничества и анализа• Имеются проверенные и утвержденные Cisco проекты для ISE• Кроме того, имеются проекты для ISE, подготовленные в рамках услуг технического консалтинга Cisco, и пакеты услуг по отработке пилотного варианта «Cisco ISE позволит нашим клиентам справиться с проблемами, возникшими в результате взрывного роста числа iPad, планшетов и смартфонов в их сетях, без нарушения их корпоративных политик безопасности» © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 36
    • 37. Перспективный план развития ISEна 2 года Объединенная Унифицированный Межсетевой экран платформа политик агент на основе идентификации NAC ACS Гостевой ISE доступ ПРОДАЖИ Профайлер КАДРЫ Реализация политик Сотрудники на для группы Чукотке пользователей • AAA, 802.1x, гостевой доступ, • Поддержка технологии Cisco AnyConnect™: профилирование, оценка состояния безопасность внутри и вне помещений • Политики для отдельных пользователей, • Мониторинг и диагностика систем • Расширение 802.1x и клиента VPN + NAC групп, устройств • ISE: новое поколение ACS + NAC • Распространение управления на Positron • Платформы ASA и Positron Расширенное Мониторинг и диагностика в профилирование устройств Локализация поражения сети масштабе системы Инициализация Политика сетевых идентификации Cisco Security устройств Intelligence Ops Управление Мониторинг и клиентами диагностика • Cisco предоставляет web-канал шаблонов • Упрощение процесса локализации, изоляции устройств и устранения проблем • Единый инструментарий для администратора • Коммутаторы собирают и передают цифровые • Использование показателя репутации и web- • Проводная и беспроводная инфраструктура метки устройств без реорганизации трафика кагалов NIPS© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 37
    • 38. Перспективный план развития TrustSec 2012-й календарный год 2013-й календарный год 2-й кв. 3-й кв. 4-й кв. 1-й кв. 2-й кв. 3-й кв. TS2.1 TS2.2 TS3.0Инфраструктура: Инфраструктура: Инфраструктура:•Улучшение идентификации (важные голосовые •Расширенные платформы: •NGWCсети VLAN, замена MAC-адресов, …) •Платформа Cat 4K Predator – 4540X и 4524X (40 •Улучшение идентификации — eEdge, ASPv4•Встроенная идентификация в ISR G2 и 24 порта) •Согласование идентификации с ASA VPN•MACSec в восходящем / нисходящем канале 3K/4K •Sup 7E-L с YAP SW •Идентификация в центре обработки данных•Сенсор устройств (3K и 4K) •Усовершенствования контроллера WLC— Идентификация на уровне 3 Сенсор устройств, профилирование устройств средствами локально коммутируемого Unison — контекст на основе политик для Flexconnect филиала (сервисы безопасности и сетевые сервисы)Управление / политики Управление / политики Управление / политики•ISE 1.1 / ISE 1.1MnR (режим мониторинга, •ISE 1.2 (BYOD, MDM, загрузчик) •ISE 2.0локализация, FIPS, •Поддержка МСЭ на основе зон Lumos в NCS •NCS 2.0адаптационный период, BYOD) WAN 1.1•NCS 1.1 •Поддержка NCS 1.2 — API M&T•LMS 4.2 •LMS 4.3Клиент Клиент Клиент•AnyConnect 3.0.5 (с CSSC) Intel и MACSec нового •AnyConnect - связывание EAP •AnyConnect — интеграция NAC AgentпоколенияДоступ для групп безопасности Доступ для групп безопасности Доступ для групп безопасности•SXP в беспроводной сети •Cat3K — SGT, SGACL •N1000V SXP, SGT, SGACL•Nexus 5K/2K — SXP, SGT, SGACL •Cat 2K — SXP •ISR/ASR1K — SGT поверх каналов GET VPN•ISR — встроенная поддержка SXP, SGT •ISR/ASR1K—SGT поверх каналов IPSec VPN •Cat4K — SGT, SGACL•VDI и Cisco AnyConnect™ + RDP •Привязка сетей VLAN N7K к SGT •Функция прокси SGAМежсетевой экран групп безопасности Реализация политик межсетевого Реализация политик межсетевого•Реализация политик межсетевого экрана групп экрана экранабезопасности: межсетевой экран ISR, ASR1K •SGFW: межсетевой экран ASA •SGFW: Ducati © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 38
    • 39. Защищенный доступ к вашей сети – сейчас! «Прозрачность и «BYOD – принеси «Защищенный управление» свое собственное центр обработки устройство» данных» Предложение «Расширенная Предложение Идентификация / SGA + + базовая лицензия ISE» «Лицензия ISE для расширенная лицензия ISE беспроводного доступа», расширение для проводной сети TrustSec™ – надежная поддержка управления доступом на основе политик для вашего бизнеса© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 39
    • 40. © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 40
    • 41. Вспомогательныеслайды© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 41
    • 42. Архитектура Cisco SecureX Стратегический анализ угроз Cisco Secure Intelligence Operations (SIO) Защищенная виртуальная и облачная инфраструктура Защищенное оконечное устройство Nexus 1K и сеть, подключенная к облаку Политика с учетом контекста Управление доступом Управление доступом AnyConnect TrustSec TrustSec Инфраструктура Cisco Реализация политик с учетом контекста. Облачная Встроенная Оверлейная среда Сеть Прозрачность Контекст Управление Программный интерфейс приложений Управление Сервисы Партнеры© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 42
    • 43. Комплексное решение Cisco дляподхода BYODТолько Cisco может увязать всеэлементы вместе! ISE NCS Prime IronPort WSA Коммутаторы MDM Cisco Catalyst Manager Контроллер WLAN Cisco Стороннее приложение MDM CSM / Устройства в ASDM проводной сети AC NAM (только AC NAM Windows) (только Windows) AC VPN (все мобильные системы) AC Cloud Web Security (все ПК)© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 43
    • 44. Подход BYOD: Cisco TrustSec вдействииСценарий применения
    • 45. © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 45Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 45
    • 46. Доверенная сеть WiFi Адаптационный период  Аутентификация пользователя  Цифровая метка устройства  Применение корпоративной конфигурации  Корпоративные приложения:  Автоматические политики © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 46Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 46
    • 47. Wi-Fi 802.11n Доверенная сеть WiFi Политика с учетом контекста Управление доступом на основе Применение идентификации установленных профилей политики, исходя из: типа устройства пользователя местоположения приложения Управление мобильными устройствами © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 47Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 47
    • 48. Доверенная се ть W i F i Политика с учетом контекста Доступ: ПОЛНЫЙ Нет Да Электронные медицинские карты Мобильная технология TelePresence Электронная почта Мгновенный обмен сообщениями © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 48Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 48
    • 49. Wi-Fi 802.11n Доверенная сеть WiFi Управление доступом на основе идентификации Анализы г-на Путина уже готовы? Еще нет, но я дам вам знать, когда они поступят Управление мобильными устройствами © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 49Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 49
    • 50. Недоверенная сеть WiFi Политика роуминга Доступ: ограниченный Нет Да Электронные медицинские карты Мобильная технология TelePresence Электронная почта Мгновенный обмен сообщениями © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 50Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 50
    • 51. Wi-Fi 802.11n Управление доступом на основе идентификации Сеть VPN Совместная работа/UC © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 51Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 51
    • 52. Доступ для группбезопасностиВспомогательные слайды
    • 53. Операция маркировки • Уникальной роли назначается уникальная 16-битовая (64K) метка Метка группы • Метка = привилегии исходного пользователя, устройства или объекта безопас- ности • Маркируется весь входящий трафик домена TrustSec • Фильтруется весь исходящий трафик домена TrustSec (средствами SG- ACL) • В ACE не требуется IP-адрес (IP-адрес привязан к SGT) SGACL SG • Политики (ACL-списки) распределяются с центрального сервера • Обеспечивает независимую от топологии политику • Гибкая и масштабируемая политика на основе ролей пользователей • Централизованное управление политиками для динамической инициализации политик© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 53
    • 54. Формат кадра SGT Аутентифицировано Зашифровано DMAC SMAC Заголовок 802.1AE 802.1Q CMD ETYPE Полезная нагрузка ICV CRC CMD EtherType Версия Длина Тип опции SGT Значение Другие опции CMD SGT Метаданные Cisco. Поле кадра Ethernet• Заголовок 802.1AE CMD ICV — служебные данные L2 802.1AE + TrustSec• Кадр всегда маркируется на входном порте устройства с поддержкой SGT• Процесс маркировки предшествует другим сервисам уровня L2, например QoS• Отсутствует влияние на MTU/фрагментацию IP• Влияние на MTU кадра L2: ~ 40 байтов = меньше чем кадр Baby giant (~1600 байтов с MTU 1552 байта)© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 54
    • 55. Традиционное управление доступом Пользователь (источник) Серверы (узлы назначения) Управление доступом S1 — D1 Руководители S1 D1 permit tcp S1 D1 eq https (10.10.24.13) Продажи permit tcp S1 D1 eq 8081 S2 D2 permit tcp S1 D1 eq 445 (10.10.28.12) deny ip S1 D1 D3 Отч. кадровой службы Кадры Запись управления S3 D4 доступом (ACE) (10.10.36.10) Число ACE растет по мере роста числа D5 разрешений ИТ-администраторы Финансов S4 ая служба (10.10.135.10) D6• (число источников) * (число узлов назначения) * число разрешений = число ACE• Число источников (S1~S4) * число узлов назначения (S1~S6) * число разрешений (4) = 96 ACE для S1~4• Растущее количество ACE ведет к расходованию ресурсов в точке реализации политик• Администратор сети явным образом управляет каждой связью «IP источника — IP назначения»© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 55
    • 56. Как SGACL упрощает управление доступом Пользователь Группа безопасности Группа безопасности Серверы (источник) (узел назначения) S1 D1 Рук-во A (10 SGT) D2 Сервер S2 продаж Рук-во B (500 SGT) (20 SGT) D3 S3 Сервер D4 Отчеты кадров кадров (600 SGT) (30 SGT) D5 S4 ИТ-админ. Сервер финансов D6 (40 SGT) (700 SGT)• Администратор сети управляет каждой связью «группа источника — группа назначения»• Это отделяет топологию сети от политик и снижает количество правил политик, которые администратор должен поддерживать• Сеть автоматизирует привязку пользователей / серверов к группам© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 56
    • 57. Эффективность SGACL в эксплуатации• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))• 400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый С традиционным ACL-списком на межсетевом экране Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети 4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора) 1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE С использованием SGACL 4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 57
    • 58. Эффективность SGACL в эксплуатации (2) • Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой)) • 400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый С традиционным ACL-списком на межсетевом экране Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети 4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора) 1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE С использованием SGACL 4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 58
    • 59. Широкий охват SGA Идентификация и классификация Определение SGT Реализация политик пользователя / системы Политики SG-ACL SG-ACL или SG-FW Nexus 7000 Nexus 7000 Nexus 5500* Nexus 5500* Nexus 2000* Nexus 2000* Catalyst 6500 Sup 2T Catalyst 6500 Межсетевой экран ISR* Catalyst 4500 Межсетевой экран ASR * Catalyst 3k В перспективе: Identity Services Межсетевой экран WLC 7.2 * Engine ASA Catalyst 3k-X В перспективе: Catalyst 4k Catalyst 2k * запланировано на лето 2012 г.© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 59
    • 60. Защита ресурсов центра обработки данныхСегментация на основе ролей ISE SGFW Реализация политик SXP на межсетевом экране IP-адрес SGT Распределение меток групп 10.1.10.1 10.1.10.1 безопасности в плоскости управления Центр обработки данных Сеть комплекса зданийМетки групп безопасности назначаются на основе атрибутов SGT (пользователь, местоположение, оценка состояния, тип Маркировка в доступа, тип устройства) плоскости данных на основе типа оборудования SGACL Реализация политик на коммутаторе © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 60
    • 61. MACSecВспомогательные слайды
    • 62. Матрица функциональныхвозможностей MACSec Клиент Cat 3K Cat 4K Cat 6K N7K Программное AnyConnect 3.0 IOS 15.0(1)-SE IOS-XE 3.3.0 SG IOS 12.2.50-SY NXOS 5.2.1 обеспечение Оборудование Intel 82567LM Catalyst 3750X Catalyst 45xx-E Catalyst 65xx-E N7K-C70xx Intel 82579LM Catalyst 3560X WS-X45-Sup7-E VS-S2T-10G N7K-SUP1 C3KX-SM-10G WS-X4712-SFP+E VS-S2T-10G-XL N7K-M108X2-12L WS-X4748-UPOE+E WS-X6908-10G-2T N7K-M132XP-12 WS-C3560CPD-8PT-S * WS-X4748-RJ45V+E WS-X6908-10G-2TXL N7K-M132XP-12L WS-C3560CG-8TC- WS-X4748-RJ45-E N7K-M148GT-11 S * N7K-M148GT-11L WS-C3560CG-8PC-S * N7K-M148GS-11 N7K-M148GS-11L Соглашение о MKA (802.1X- MKA (802.1X-2010) MKA (802.1X-2010) Протокол SAP Протокол SAP ключах 2010) Доступ к хосту / Доступ к хосту / «коммутатор – «коммутатор – протокол SAP протокол SAP коммутатор» коммутатор» «коммутатор – «коммутатор – коммутатор» коммутатор» * MKA / только нисходящий канал Доступность Доступен Доступен сейчас Доступ к хосту: – 1-й Доступен сейчас Доступен сейчас сейчас кв. 2012 г. «Коммутатор – коммутатор»: 1-й кв. 2012 г.© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 62
    • 63. Развертывание ISEВспомогательные слайды
    • 64. Платформы ISE Оборудование Малая Средняя Крупная Виртуальная машина Модель 1121/3315 3355 3395 VMware Server v2.0 (Demos) На основе На основе На основе VMware ESX v4.0 / v4.1 IBM System x3250 M2 IBM System x3550 M2 IBM System x3550 M2 VMware ESXi v4.0 / v4.1 ЦП 1x 4-ядерный Xeon 2,66 ГГц 1x 4-ядерный Nehalem 2 ГГц 2x 4-ядерный Nehalem 2 ГГц >= 1 процессора ОЗУ 4 Гбайт 4 Гбайт 4 Гбайт 4 Гбайт (макс.) Диск 2 x 250 Гбайт SATA 2 x 300 Гбайт 2,5" SATA 4 x 300 Гбайт 2,5" SAS I Администрирование: >= 60 (доступно 500 Гбайт) (доступно 600 Гбайт) (доступно 600 Гбайт) Гбайт Сервис политик: >= 60 Гбайт Мониторинг: >= 200 Гбайт RAID Нет Да: RAID 0 Да: RAID 1 - Сеть 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet 4 x Gigabit Ethernet Блок питания Один, 650 Вт Резервированный, 659 Вт Резервированный, 659 Вт - Роли узла Все роли Все роли Все роли Без роли узла ISE для оценки состояния на пути трафика eth2 eth3 eth0 eth1 3315 eth2 eth3 eth0 eth1© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 64
    • 65. Ролевые функции в ISE Узел администрирования Интерфейс для настройки политик Узел мониторинга Интерфейс для ведения журналов и отчетности Узел сервиса политик Механизм принятия решений в рамках политик© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 65
    • 66. Узлы и ролевые функции ISE ISE ISE Администри Мониторинг Сервис Оценка состояния рование политик в потоке трафикаРолевая функция —одна или несколько Одиночный узел Одиночный узелиз следующих: оценки состояния ISE (устройство на пути трафика•Администрирование или виртуальная (только•Мониторинг машина) устройство)•Сервис политик © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 66
    • 67. Архитектура ISE Мониторинг Ведение журналов Ведение Просмотр журналов журналов/ отчетов Админист- Сервис Внешние рирование Просмотр / политик Атрибуты данные настройка запросов политик Контекст Ведение запроса / журналов ответа Оконечное Реализация Ресурс устройство Запрос Доступ к доступа ресурсу© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 67
    • 68. Типы развертыванияЦентрализованное развертывание Все ролевые функции ISE развернуты на одном узле Админист- Монито- рирование ринг Кластер сервисов политик Узел оценки состояния на пути трафика AD/LDAP (высокой доступности) (внешнее ASA VPN хранилище идентификаторов/ Центр обработки атрибутов) данных A Контроллер WLC Коммутатор 802.1X 802.1X Точка доступа© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 68
    • 69. Типы развертыванияРаспределенное развертывание Все ролевые функции ISE развернуты на нескольких узлах Админи Монитор Кластер сервисов политик стриро инг Администри- Монито- Распределенные вание рование (S) ринг (S) сервисы политик Узел оценки состояния на пути трафика AD/LDAP (высокой доступности) (внешнее хранилище ASA VPN идентификаторов/ AD/LDAP атрибутов) Центр обработки (внешнее хранилище Центр обработки идентификаторов/ данных A данных B атрибутов) Коммутатор Коммутатор Контроллер Контроллер WLC 802.1X 802.1X WLC 802.1X 802.1X Точка Точка доступа доступа Филиал A Филиал B Коммутатор Коммутатор Точка 802.1X Точка 802.1X доступа доступа© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 69
    • 70. Оценка необходимогоколичества устройств 1 Определите необходимое количество узлов сервисов политик (PSN): Макс. число Число событий Число аутентификаций Платформа поддерживаемых профайлера с оценкой состояния оконечных устройств ISE-3315-K9 3,000 500 в секунду 70 в секунду ISE-3355-K9 6,000 500 в секунду 70 в секунду ISE-3395-K9 10,000 1200 в секунду 110 в секунду Централизованное развертывание PSN: • Макс. число оконечных устройств в кластере:. 100,000 • Число оконечных устройство на одно дополнительное устройство в кластере: • Для узлов PSN рекомендуется схема поддержания отказоустойчивости не ниже N+1© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 70
    • 71. Оценка необходимогоколичества устройств 2 Определите необходимое количество устройств для ролевых функций администрирования и мониторинга: Число узлов сервисов политик (PSN) в развертывании PSN = 2 PSN ≤ 5 5 < PSN ≤ 40 Использование PSN для ≤ 2,000 администрирования Число оконечных устройств в и мониторинга Ролевые функции Ролевые функции Ролевая функция администрирования и администрирования и администрирования: развертывании мониторинга поддерживаются мониторинга поддерживаются 2x ISE-3395-K9 ≤ 5,000 на одном и том же устройстве: на одном и том же устройстве: или 2x ISE-3355-K9 2x ISE-3355-K9 2x ISE-VM-K9= или или Ролевая функция 2x ISE-VM-K9= 2x ISE-VM-K9= мониторинга: Ролевые функции Ролевые функции 2x ISE-3395-K9 администрирования и администрирования и или мониторинга поддерживаются мониторинга поддерживаются 2x ISE-VM-K9= ≤ 10,000 на одном и том же устройстве: на одном и том же устройстве: 2x ISE-3395-K9 2x ISE-3395-K9 или или 2x ISE-VM-K9= 2x ISE-VM-K9=© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 71
    • 72. Вопросы проектирования распределенныхузлов PSNЖивучесть глобальной сети в рамках проекта• Насколько отказоустойчивы ваши каналы глобальной сети?• Насколько критична работоспособность оконечных устройств на удаленных объектах? Потребности развертывания выдвигают требование иметь узел PSN на удаленном объекте Для узлов PSN на удаленных объектах рекомендуется схема поддержания отказоустойчивости N+1© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 72
    • 73. Рекомендации по виртуализации• Спецификации для ISE в среде виртуальной машины (VM) см. в технических характеристиках платформы ISE в этой презентации• Технические характеристики хоста (сервера) для заданного числа оконечных устройств должны быть не хуже, чем у устройства ISE• Если технические характеристики хоста аналогичны характеристикам устройства ISE, рекомендуется запускать на хосте единственную виртуальную машину• Виртуальные машины для ISE должны размещаться на поддерживаемых системах ESX© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 73
    • 74. Оценка необходимогоколичества устройствПримеры для централизованного развертывания Количество оконечных устройств: 2,000 1 Определите необходимое количество узлов сервисов политик (PSN): 2 2 Определите необходимое количество устройств для администрирования и мониторинга: 2 (равно количеству PSN) Общее количество устройств: 2x ISE-3315-K9 или 2x ISE-VM-K9 Количество оконечных устройств: 3,000 1 Определите необходимое количество узлов сервисов политик (PSN): 2 Определите необходимое количество устройств для администрирования и 2 мониторинга: 2 Общее количество устройств: PSN: 2x ISE-3315-K9 или 2x ISE-VM-K9= Администрирование и мониторинг: 2x ISE-3355-K9 или 2x ISE-VM-K9=© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 74
    • 75. Оценка необходимогоколичества устройствПримеры для централизованного развертывания Количество оконечных устройств: 50,000 1 Определите необходимое количество узлов сервисов политик (PSN): 6 Определите необходимое количество устройств для администрирования и 2 мониторинга: 4 (равно количеству PSN) Общее количество устройств: PSN: 6x ISE-3395-K9 или 6x ISE-VM-K9= Администрирование: 2x ISE-3395-K9 или 2x ISE-VM-K9= Мониторинг: 2x ISE-3395-K9 или 2x ISE-VM-K9= Количество оконечных устройств: 100,000 1 Определите необходимое количество узлов сервисов политик (PSN): 11 Определите необходимое количество устройств для администрирования и 2 мониторинга: 4 Общее количество устройств: PSN: 11x ISE-3395-K9 или 11x ISE-VM-K9= Администрирование: 2x ISE-3395-K9 или 2x ISE-VM-K9= Мониторинг: 2x ISE-3395-K9 или 2x ISE-VM-K9=© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 75
    • 76. Узел ISE для оценки состояния на путитрафика (в режиме Inline)• Узел ISE обеспечивает реализацию политик на пути трафика для устройств доступа к сети, не поддерживающих RADIUS CoA• Основные сценарии применения включают шлюзы удаленного доступа по VPN и контроллеры беспроводной сети, не поддерживающие CoA.• Узел в режиме Inline логически находится на пути трафика между сетевым устройством и защищаемыми ресурсами (аналогично NAC Inband Appliance)• Узел в режиме Inline поддерживает: Функции RADIUS Proxy и CoA Реализацию политик с использованием dACL-списков Режим моста или маршрутизатора Анализ близости по отношению к шлюзу на уровне L2 или L3 Высокую доступность (активное/резервное устройство)Примечание. Узел оценки состояния на пути трафика выполняет функции прокси только для RADIUS. Поэтому шлюз, чтобы работать совместно с узлом оценки состояния на пути трафика, должен использовать RADIUS в качестве метода аутентификации.© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 76
    • 77. Узел ISE для оценки состояния на пути трафика (в режиме Inline) Примеры логической топологии Инфраструктура VPN eth1 eth0 Доверенная Интернет сетьПользователь ASA Коммутатор Сервисы политик Узел ISE для оценки VPN L3 1)Аутентификация RADIUS состояния на пути трафика для ASA Сеть VPN Проводная 2)Аутентификация/оценка сеть состояния для узла оценки состояния на пути трафика Точка входа для сторонней беспроводной инфраструктуры eth1 eth0Пользователь с Точка Сторонний Узел ISE для Коммутатор Сервисы политикбеспроводным доступа контроллер оценки состояния L3 1)Аутентификация 802.1X доступом для WLC на пути трафика Беспроводная Проводная 2)Аутентификация/оценка сеть сеть состояния для узла оценки состояния на пути трафика © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 77

    ×