Принимайте активное участие в Cisco Expo и получите в подарокLinksys E900.Как получить подарок:• внимательно слушать лекци...
Архитектурный подходк обеспечению ИБсовременногопредприятияАлексей ЛукацкийМенеджер по развитию бизнеса© 2011 Cisco and/or...
• Большое количество требующих контроля каналов взаимодействия      с партнерами, контрагентами, поставщиками• Забывчивост...
• Конфликт ИБ и ИТ   Отсутствие контроля привилегированных пользователей   Отсутствие требований по ИБ к разработке собств...
• Отсутствие стандартизации и      унификации технологий,      продуктов, методов и подходов            Рост операционных ...
• Финансирование по остаточному принципу                   Дизайн и архитектура                                           ...
Изменение бизнеса                                                           Улучшение бизнеса                             ...
Бизнес-приоритеты                        Приоритеты ИБ            • Переход к системам                           • Акцент ...
© 2011 Cisco and/or its affiliates. All rights reserved.   Чего-то не хватает?!..   9
Смогли бы вы построить…                                   … здание, не имея архитектурного проекта?                     Бе...
• Архитектура описывает желаемую структуру      инфраструктуры безопасности организации и      других связанных с ИБ компо...
© 2011 Cisco and/or its affiliates. All rights reserved.   12
Требование                 Смешение частного и   Нужен доступ к                                разнообразия устройств     ...
Цель                # !                %              Рост экосистемы             Расширение спектра   Атаки на новые     ...
# !                               Инкапсуляция                                      Виртуализация                         ...
Социальные сети                                                 Hotmail    Business Pipeline                              ...
Рост                                        Соответствие                                                             Внима...
Организационно – КТО?                                                           Compliance Ops.    Endpoint Team          ...
Объединить людей и информацию... Безопасно                                                           Исследования в област...
Distributed                       Threat          Application        Virtualization                               Workforc...
Эффективное решение бизнес-задач                                                           Borderless             Data Cen...
защитить мою проводную и беспроводную сеть от атак через эфир?Как...                                    получить представл...
Прогресс за последние годы  1. Интегрированные IOS Firewall, VPN,                    5.   ISE, интегрированный с Prime    ...
© 2011 Cisco and/or its affiliates. All rights reserved.   25
Distributed                           Threat                     Application              Virtualization                  ...
4 TB                               750,000+                                                    ДАННЫХ В ДЕНЬ              ...
$100M                    24x7x365                                              ИНВЕСТИЦИЙ В                  ОПЕРАЦИИ     ...
3-5                  6,500+                                                    ИНТЕРВАЛЫ ОБНОВЛЕНИЙ      ВЫПУЩЕНО СИГНАТУР...
ГДЕ                                                                 ЧТО                               КОГДА               ...
Сценарий                                             Ограниченный           Базовый                Расширенный            ...
BYOD                         Проводной, Беспроводный,                      Инфраструктура доступа         Шлюзы безопаснос...
Защита устройства                                        Контроль доступа и защита от сетевых угроз         Инвентаризаци...
Политики,                                                                                                                 ...
Администрирование       политики    Принятие решений на        базе политик                                               ...
Полная прозрачность                                        Коммутатор Cisco Catalyst®                                     ...
Проблема                                 ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ         Быстрый рост числа                       ...
Полная прозрачность      Пользователь       проводной,     беспроводной,    виртуальной сети                              ...
Полная прозрачность          Гостевые                                                 Web-          политики              ...
Абсолютный контроль                                                            Удаленный Пользователь с Пользователь с    ...
Абсолютный контроль                                                                                                       ...
Политики на основе                                                              Таблица доступа согласно                  ...
• Клиент IPSec/SSL/DTLS VPN            Client/Clientless• Оценка состояния• Location-Specific Web Security                ...
Новости          Электронная                                                                                              ...
AD/LDAP                                                                                            Интеграция с лидерами р...
ГДЕ                                                           ЧТО                             КОГДА                       ...
ASA 5512-X     Пропускная     способность     межсетевого экрана 1                                                        ...
Кластеризация                           IPv6                           Cisco® Cloud Web Security                          ...
Cisco IPS 4520                                                                                                            ...
Cisco ASA 5585-X-                                                                                                         ...
Новый межсетевой экран с поддержкой сервисов и функцией IPS• Платформа для межсетевого экрана      нового поколения с подд...
• Специализированная платформа      IPS среднего уровня с учетом      контекста• Четырехкратное увеличение      производит...
• Специализированные      высокоскоростные устройства IPS с      учетом контекста• Обработка с аппаратным ускорением      ...
Cisco® IPS 4345      Cisco IPS 4360       Cisco IPS 4510      Cisco IPS 4520 Основа платформы                             ...
Основные отличия                                                            Специализированная система                    ...
Все типы оборудования     • SCADA     • DCS     • PLC     • SIS     • EMS• Все основные производители    • Schneider    • ...
Центральный                                                                                                  офис         ...
Широкий спектр платформ                          Устройство                             Интегрированное решение   Виртуали...
• Межсетевой экран нового      поколения• Context-Aware Firewall• Активная/Пассивная      аутентификация• Application Visi...
КТОПокрытие широкого спектра сценариев идентификации                                                                      ...
ЧТО       Покрытие…      … классификация всего      трафика   1,000+ приложений      MicroApp Engine      Глубокий анализ ...
Бизнес-задача                                              Как решается ASA CX                 ПримерНарушение полосы     ...
ЧТО                                                                                   60                                  ...
Бизнес-задача                                              Как решается ASA CXРеализация политик                          ...
ГДЕ/ОТКУДА                                                           ОТЕЛЬ                      ОФИС© 2011 Cisco and/or it...
КАКИнформация с 100,000,000 оконечных устройств                                    Устройство             Версия ОС       ...
• Система управления для ASA CX• Встроенный в ASA CX для управления одним МСЭ• Отдельное устройство для поддержки нескольк...
• Ядро или ЦОД                              ASA                          • Multi-tenant                                   ...
•   Прокси-сервер                                                           •   Кеширование                           WSA ...
Лучшая в своем классе                                      Лучшая в своем классе  безопасность сети                       ...
Web-                                контент                                                                               ...
ЧТО Классификация и контроль web-трафика  Более 1000  приложений Подробная классификация и контроль поведений микроприложе...
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Upcoming SlideShare
Loading in...5
×

Архитектурный подход к обеспечению информационной безопасности современного предприятия.

724

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
724
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
27
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Архитектурный подход к обеспечению информационной безопасности современного предприятия.

  1. 1. Принимайте активное участие в Cisco Expo и получите в подарокLinksys E900.Как получить подарок:• внимательно слушать лекции по технологиям Cisco• посещать демонстрации, включенные в основную программу• пройти тесты на проверку знанийТесты будут открыты:с 15:00 25 октября по 16:30 26 октябряwww.ceq.com.ua© 2011 Cisco and/or its affiliates. All rights reserved. 1
  2. 2. Архитектурный подходк обеспечению ИБсовременногопредприятияАлексей ЛукацкийМенеджер по развитию бизнеса© 2011 Cisco and/or its affiliates. All rights reserved. 2
  3. 3. • Большое количество требующих контроля каналов взаимодействия с партнерами, контрагентами, поставщиками• Забывчивость в отношении аутсорсинговых и международных партнеров Разработчики ПО Обслуживающий персонал Сотрудники облачных провайдеров• Активное развитие вредоносных технологий Целью является все• Концентрация на внутренней безопасности «Забывчивость» в отношении внешних аспектов – операторы связи, партнеры, аутсорсеры, облачные вычисления, BYOD и т.п.© 2011 Cisco and/or its affiliates. All rights reserved. 3
  4. 4. • Конфликт ИБ и ИТ Отсутствие контроля привилегированных пользователей Отсутствие требований по ИБ к разработке собственного ПО Кто отвечает за эксплуатацию средств защиты?• Концентрация на «классической» ИБ Что насчет защиты нетрадиционных направлений (принтеры, СКУД, видеонаблюдение и т.п.)? Как насчет контроля поведения (профилирования) клиентов?• Неготовность к неконтролируемым ситуациям Фишинг, информационные войны…• (Недо/пере)оценка роли регуляторов Деятельность регуляторов четко регулируются законами Отсутствие контроля выпуска новых нормативных актов© 2011 Cisco and/or its affiliates. All rights reserved. 4
  5. 5. • Отсутствие стандартизации и унификации технологий, продуктов, методов и подходов Рост операционных затрат Сложность поддержки и интеграции• Повтор и избыточность Не путать с резервированием Нехватка ресурсо-затрат• Упущения неочевидных вещей• Отсутствие планов развития Нехватка гибкости и адаптивности к новым требованиям© 2011 Cisco and/or its affiliates. All rights reserved. 5
  6. 6. • Финансирование по остаточному принципу Дизайн и архитектура • 1Х• Неудовлетворенность пользователей, снижение их продуктивности и рост цены их поддержки Внедрение• Потенциальные наезды со стороны • 5Х регуляторов• Неэффективность ИБ в виду забывчивости в Тесты интеграции отношении некоторых направлений бизнеса • 10Х• Несогласованность действий подразделение Бета-тестирование • 15Х Боевой запуск • 30Х© 2011 Cisco and/or its affiliates. All rights reserved. 6
  7. 7. Изменение бизнеса Улучшение бизнеса Развитие вместе с бизнесом «Хаос»© 2011 Cisco and/or its affiliates. All rights reserved. 7
  8. 8. Бизнес-приоритеты Приоритеты ИБ • Переход к системам • Акцент на коллективной очерчивание работы, облачным периметра и его вычислениям и защиту концепции BYOD • Защита центра • Сдвиг продаж в обработки данных «поля» (PoS, PoD) • Создание • Снижение наложенной системы операционных и безопасности капитальных затрат© 2011 Cisco and/or its affiliates. All rights reserved. 8
  9. 9. © 2011 Cisco and/or its affiliates. All rights reserved. Чего-то не хватает?!.. 9
  10. 10. Смогли бы вы построить… … здание, не имея архитектурного проекта? Без плана развертывания С планом развертывания  Одна проблема порождает другую  Применение опыта специалиста  Временные затраты на решение  Экономия драгоценного времени проблем  Снижение совокупной стоимости владения  Дорогостоящие изменения© 2011 Cisco and/or its affiliates. All rights reserved. 10
  11. 11. • Архитектура описывает желаемую структуру инфраструктуры безопасности организации и других связанных с ИБ компонентов и интерфейсов Включает процессы, людей, техологии и разные типы информации Создается с точки зрения бизнеса и учитывает его текущие и будущие потребности• 2 главных вопроса архитектуры ИБ ЧТО? Из чего строить систему защиты? КАК? Как строить систему защиты?© 2011 Cisco and/or its affiliates. All rights reserved. 11
  12. 12. © 2011 Cisco and/or its affiliates. All rights reserved. 12
  13. 13. Требование Смешение частного и Нужен доступ к разнообразия устройств служебного критичных ресурсам© 2011 Cisco and/or its affiliates. All rights reserved. 13
  14. 14. Цель # ! % Рост экосистемы Расширение спектра Атаки на новые киберпреступности целевых угроз технологии© 2011 Cisco and/or its affiliates. All rights reserved. 14
  15. 15. # ! Инкапсуляция Виртуализация Переход к облачному % коммуникаций центров обработки хранению данных© 2011 Cisco and/or its affiliates. All rights reserved. 15
  16. 16. Социальные сети Hotmail Business Pipeline Web-почта Приложения # ! Рост трафика на ПК Взаимодействие видео Драматический рост % и социальных сетей трафика в ЦОД© 2011 Cisco and/or its affiliates. All rights reserved. 16
  17. 17. Рост Соответствие Внимание ИТ Глобализация Риск-менеджмент Разрешить Защитить Соответствие Регулирование Внимание ИБ Привлечение людей Персданные Внимание руководства© 2011 Cisco and/or its affiliates. All rights reserved. 17
  18. 18. Организационно – КТО? Compliance Ops. Endpoint Team Network Ops. Security Ops. Политика Application Team HR Технологически – ЧТО?  Не пустить плохих  Пустить хороших Контроль доступа Endpoint  Соответствовать Identity Mgmt Вторжения  Учесть BYOD Соответствие Управления  Разрешить виртуализацию  Быть готовым к облакам Операционно – КАК? Проводное В сети Беспроводное Поверх сети VPN На устройстве© 2011 Cisco and/or its affiliates. All rights reserved. 18
  19. 19. Объединить людей и информацию... Безопасно Исследования в области ИБ Политика Устройства & Пользователи Активы & Информация Управление Точки приложения сил Сеть© 2011 Cisco and/or its affiliates. All rights reserved. 20
  20. 20. Distributed Threat Application Virtualization Workforce & BYOD Defense Visibility & Control & Cloud Защищенный Защищенный Авторизованное Защита сетевого переход к универсальный использование периметра облачным доступ контента вычислениям Исследование угроз Контекстная политика Сеть как несущая конструкция всей системы Сервисы Соответствие© 2011 Cisco and/or its affiliates. All rights reserved. 21
  21. 21. Эффективное решение бизнес-задач Borderless Data Center/ Service Collaboration Networks Virtualization Provider SecureX© 2011 Cisco and/or its affiliates. All rights reserved. 22
  22. 22. защитить мою проводную и беспроводную сеть от атак через эфир?Как... получить представление о состоянии радиочастотного спектра? обеспечить соответствие нормативным требованиям и защитить мои радиоресурсы? Хакерская атака с промежуточного DoS- Устройства Вредоносные узла (Man-in-the- атаки без поддержки точки доступа Middle) 802.11 Адаптивная система wIPS наилучшее решение для Встроенная обоих типов сетей Лучшая в своем классе  Глубина защиты  Низкие капитальные затраты  Гибкость и масштабируемость  Функциональность,  Простота управления за счет MSE противостоящая новейшим  Объединенная защита угрозам  Самая низкая совокупная стоимость владения проводных и беспроводных  Адаптируемость к новым сетей функциям  Упрощение обучения © 2011 Cisco and/or its affiliates. All rights reserved. 23
  23. 23. Прогресс за последние годы 1. Интегрированные IOS Firewall, VPN, 5. ISE, интегрированный с Prime IPS 6. Virtual Firewall на Nexus 1000V 2. Будущее: ASA-CX на IOS-XE 7. Virtual Email и Web Security на UCS 3. 802.1x, TrustSec, Security Group Tags 8. ASA Module for 6500, Будущее: Nexus 7K 4. Сегментация и динамические политики 9. ScanSafe Connector через ISE v v v m m m v v v m m m Internet v v v m m m ЦОД Кампус или филиал© 2011 Cisco and/or its affiliates. All rights reserved. 24
  24. 24. © 2011 Cisco and/or its affiliates. All rights reserved. 25
  25. 25. Distributed Threat Application Virtualization Workforce & BYOD Defense Visibility & Control & Cloud Adaptive Adaptive AnyConnect Security Virtual ASA Security (CX) Web Security Email | Web Virtual Security Web Security Appliance Security Gateway Cloud Web Intrusion Router Security Nexus 1000v Security Prevention WLAN Controller Router Security VPN Identity Services Engine Исследование угроз: Политика: Identity Services Engine TrustSec NCS Prime: Networks/Security Сеть: Router Switch Appliance Cloud Virtual Сервисы: Cisco Advanced Services Partner Shared Services Соответствие: PCI 1.0/2.0 HIPAA SOX ПДн ISO 27001© 2011 Cisco and/or its affiliates. All rights reserved. 26
  26. 26. 4 TB 750,000+ ДАННЫХ В ДЕНЬ ГЛОБАЛЬНЫХ СЕНСОРОВ 30B WEB -ЗАПРОСОВ 100M СООБЩЕНИЙ EMAIL 35% МИРОВОГО ТРАФИКА SensorBase Threat Operations Center Dynamic Updates© 2011 Cisco and/or its affiliates. All rights reserved. 27
  27. 27. $100M 24x7x365 ИНВЕСТИЦИЙ В ОПЕРАЦИИ ИССЛЕДОВАНИЯ И РАЗРАБОТКУ 500 40+ 80+ ИНЖЕНЕРОВ, ТЕХНАРЕЙ И ЯЗЫКОВ Ph.D.s, CCIE, CISSPs, MSCEs АНАЛИТИКОВ Threat Operations Center Dynamic Updates© 2011 Cisco and/or its affiliates. All rights reserved. 28
  28. 28. 3-5 6,500+ ИНТЕРВАЛЫ ОБНОВЛЕНИЙ ВЫПУЩЕНО СИГНАТУР IPS 20+ 200+ 8M+ ПУБЛИКАЦИЙ КОНТРОЛЬ ПАРАМЕТРОВ ПРАВИЛ В ДЕНЬ Threat Operations Center Dynamic Updates© 2011 Cisco and/or its affiliates. All rights reserved. 29
  29. 29. ГДЕ ЧТО КОГДА КТО КАК ? ? ? Виртуальные машины в ЦОД VPN MACSec Решения на основании состояния 1. Разрешение/блок в соответствии с политикой СТОП ЦОД 2. Авторизованным устройствам назначаются метки политики ОК 3. Теги политики учитываются при работе в сети РЕШЕНИЕ CISCO Согласованная политика Распространение сведений Метки групп безопасности на основании результатов о политиках и позволяют обеспечить идентификации на всех интеллектуальных масштабируемое уровня – от устройства до механизмов по сети применение политик ЦОД – в соответствии с с учетом контекста бизнес-потребностями© 2011 Cisco and/or its affiliates. All rights reserved. 30
  30. 30. Сценарий Ограниченный Базовый Расширенный Передовой ПолноценноеБизнес Доступ по ролям Гранулир. доступ Блокировать доступ мобильное рабочееполитика изнутри сети внутри и снаружи местоИТ- • Знать “кто” и “что” • Предоставлять • Гранулированный • Обеспечениетребования включено в сеть персональным и доступ изнутри родных • Давать доступ гостевым сети приложений для только устройствам • Гранулированный мобильных корпоративным доступ в удаленный устройств устройствам Интернет и доступ к • Управление ограниченному ресурсам через мобильными числу внутренних Интернет устройствамиТехнологии ресурсов • Использование (MDM) VDI Сетевая инфраструктура Cisco Switches, Cisco Routers, Cisco Wireless LAN Infrastructure Cisco Prime NCS Управление Third Party MDM Идентификац ия и политики Cisco Identity Services Engine Удаленный Cisco ASA/ESA/WSA доступ и Cisco AnyConnect безопасность ScanSafe Приложения Корпоративные приложения и VDI© 2011 Cisco and/or its affiliates. All rights reserved. 31
  31. 31. BYOD Проводной, Беспроводный, Инфраструктура доступа Шлюзы безопасности Инфраструктура защиты иустройства Мобильный доступы управлениям политиками Не доверенная Доверенная Adaptive сеть Security корпоративная Mobile Network Appliance сеть (ASA) Active Certificate Internet Directory Authority Public Wi-Fi Prime (AD) (CA) NCS Switching WLAN Core WLAN AP Controller (WLC) Access Switch Campus Identity Mobile RSA Integrated Services Device Secure ID Services Engine (ISE) Manager Router G2 (MDM) (ISR G2) Branch Office WAN Aggregation Wireless Services Router Router (ASR)AnyConnect Home Office© 2011 Cisco and/or its affiliates. All rights reserved. 32
  32. 32. Защита устройства Контроль доступа и защита от сетевых угроз  Инвентаризация  Аутентификация  Защита от угроз  Безопасный  Инициализация пользователей и  Политика удаленный доступ устройства устройств использования  Безопасность данных на  Оценка состояния Web устройстве  Применение  Защита от утечек  Безопасность приложен. политики доступа информации  Управление затратами  Полная или частичная очистка удаленного Cisco ISE ScanSafe WSA AnyConnect ASA устройства© 2011 Cisco and/or its affiliates. All rights reserved. 33
  33. 33. Политики, относящиеся к бизнесу ГДЕ ЧТО КОГДА Атрибуты КТО КАК политики безопасности Модуль централизованных политик Идентификация Динамическая политика и реализация Пользователи и устройства РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ© 2011 Cisco and/or its affiliates. All rights reserved. 34
  34. 34. Администрирование политики Принятие решений на базе политик Identity Services Engine (ISE) Система политик доступа на основе идентификации Реализация политик Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, На основе TrustSec инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000 Информация о политике Агент NAC Web-агент Запрашивающий клиент 802.1x Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN© 2011 Cisco and/or its affiliates. All rights reserved. 35
  35. 35. Полная прозрачность Коммутатор Cisco Catalyst® Отличительные особенности идентификации Режим монитора Гибкая последовательность аутентификации Поддержка IP-телефонии Поддержка сред виртуальных Авторизо- Планшеты IP- Сетевое Гости настольных систем ванные телефоны устройствопользователи MAB и Web- 802.1X профилирование аутентификация Функции аутентификации IEEE 802.1x Обход аутентификации по Web- MAC-адресам аутентификация На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации © 2011 Cisco and/or its affiliates. All rights reserved. 36
  36. 36. Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Быстрый рост числа Множество устройств Должно быть Необходима гарантия того, устройств в проводной и предусмотрено что устройство и идентификация для беспроводной сети управление политиками для соответствует цифровым реализации политик каждого типа устройств меткам© 2011 Cisco and/or its affiliates. All rights reserved. 37
  37. 37. Полная прозрачность Пользователь проводной, беспроводной, виртуальной сети Временный ограниченный доступ к Не сети до устранения соответствует проблем требованиямПример политики для сотрудника Проблема: Ценность:• Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или установлены работоспособности устройства постоянный агент• Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение обновлен и работает устройствами проблем• Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация дифференцированных политик• Приложение предприятия выполняется на основе ролей© 2011 Cisco and/or its affiliates. All rights reserved. 38
  38. 38. Полная прозрачность Гостевые Web- политики аутентификация Интернет Беспроводный или Гости проводной доступ Доступ только к ИнтернетуВыделение ресурсов: Управление: Уведомление: Отчет:гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей политики, гостевой портал электронной почте или SMS© 2011 Cisco and/or its affiliates. All rights reserved. 39
  39. 39. Абсолютный контроль Удаленный Пользователь с Пользователь с Виртуальный пользователь беспроводным проводным Устройства рабочий стол VPN доступом доступом Управление Масштабируемая доступом на реализация основе политик Сети VLAN СЕТЬ С КОНТРОЛЕМ Списки управления ИДЕНТИФИКАЦИОННЫХ ДАННЫХ доступом (ACL) И УЧЕТОМ КОНТЕКСТА Метки групп безопасности * Шифрование MACSec * *= Инновации Центр обработки Зоны Cisco данных Интранет Интернет безопасности© 2011 Cisco and/or its affiliates. All rights reserved. 40
  40. 40. Абсолютный контроль Инновации Cisco Динамические или Доступ для групп Сети VLAN именованные ACL-списки безопасности Сотрудник Любой IP- адрес Устранение проблем Подрядчик Сотрудники Гость Доступ для групп безопасности VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW• Меньше перебоев в работе • Не требует управления • Упрощение управления оконечного устройства (не ACL-списками на портах ACL-списками требуется смена IP-адреса) коммутатора • Единообразная• Повышение удобства для • Предпочтительный выбор реализация политик пользователей для изоляции путей независимо от топологии • Детализированное управление доступом Гибкие механизмы реализации политик в вашей инфраструктуре Широкий диапазон доступных клиенту вариантов доступа© 2011 Cisco and/or its affiliates. All rights reserved. 41
  41. 41. Политики на основе Таблица доступа согласно понятного технического языка политике на основе ролей Отдельные пользователи Разрешения Ресурсы Матрица политик Врачи Интранет Почтовый Серверы Медицинские D1 - финансовой карты S1 (10.156.78.100) сервер службы пациентов портал (10.10.24.13) Медицинские Нет Совместный Совместный web- D2 карты Врач Интернет IMAP web-доступ к доступ к файлам S2 доступа файлам пациентов (10.10.28.12) Финансовая Интернет IMAP Интернет Нет доступа служба D3 ИТ- (10.156.54.200) WWW, Полный Финансовая служба админист- SQL SQL SQL, SSH доступ ратор Электронная S3 D4 почта ACL-список "Врач - карта пациента" (10.10.36.10) в интранет-сети permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 ИТ-администраторы (10.156.100.10) deny ip S4 Финансова (10.10.135.10) D6 я служба permit tcp S1 D1 eq https Требует затрат времени permit deny tcp S1 D1 eq 8081 ip S1 D1 Простота Ручные операции …… Гибкость Предрасположенность к …… permit tcp S4 D6 eq https Учет характера ошибкам permit tcp S4 D6 eq 8081 деятельности deny ip S4 D6© 2011 Cisco and/or its affiliates. All rights reserved. 42
  42. 42. • Клиент IPSec/SSL/DTLS VPN Client/Clientless• Оценка состояния• Location-Specific Web Security ScanSafe На периметре (Ironport WSA) или через облако (ScanSafe)• Защищенный доступ в облако через SSO Internet-Bound Web Communications• Контроль сетевого доступа 802.1X Authentication and Posture MACsec encryption Cisco TrustSec devices (план)• Windows, Mac, Linux, Windows Mobile, Apple iOS, Palm, Symbian, Android, Windows Phone (план)© 2011 Cisco and/or its affiliates. All rights reserved. 43
  43. 43. Новости Электронная почтаAnyConnect Обмен данными между ASA и WSA ASA Cisco WSA Социальные сети Корпоративная SaaS-система Corporate AD © 2011 Cisco and/or its affiliates. All rights reserved. 44
  44. 44. AD/LDAP Интеграция с лидерами рынка MDM ISE Контекстная MDM Mgr • MobileIron, Airwatch, Zenprise, Good политика ? • Заказчики могут выбирать Cisco Catalyst Switches Cisco WLAN Controller Функции: User X User Y • Всесторонний анализ устройств • Детальный контекст пользователей и устройств • Расширенная защита устройств и приложений Window или OS X Смартфоны, включая ПК устройства с iOS или Android Wired или Wireless Wireless© 2011 Cisco and/or its affiliates. All rights reserved. 45
  45. 45. ГДЕ ЧТО КОГДА КТО КАК Политика с учетом контекста IPS ASA WSA ESA СЕТЬ РЕШЕНИЕ CISCO Полномасштабное Политика с учетом Простота решение: ASA, IPS, контекста точнее развертывания и «облачные» сервисы соответствует бизнес- обеспечения защиты защиты web-трафика и потребностям в сфере ИБ распределенной среды электронной почты© 2011 Cisco and/or its affiliates. All rights reserved. 46
  46. 46. ASA 5512-X Пропускная способность межсетевого экрана 1 1. Пропускная способность на Гбит/с уровне нескольких Гбит/с ASA 5515-X Для удовлетворения растущих Пропускная способность требований к пропускной способности межсетевого экрана 1,2 Гбит/с 2. Встроенные средства ускорения ASA 5525-X сервисов Пропускная способность (дополнительное оборудование не межсетевого экрана 2 Гбит/с требуется) ASA 5545-X Для поддержки меняющихся Пропускная потребностей бизнеса способность межсетевого экрана 3 Гбит/с 3. Платформа с поддержкой ASA 5555-X сервисов нового поколения Пропускная Для защиты инвестиций способность межсетевого экрана 4 Гбит/с© 2011 Cisco and/or its affiliates. All rights reserved. 47
  47. 47. Кластеризация IPv6 Cisco® Cloud Web Security Улучшения мультиконтекстных возможностей Смешанный режим Cisco TrustSec® Шифрование нового поколения Бесклиентские VPN-подключения Улучшения производительности и масштабируемости VPN в Cisco ASA-SM© 2011 Cisco and/or its affiliates. All rights reserved. 48
  48. 48. Cisco IPS 4520 НовинкаПроизводительность, масштабируемость, адаптивность Cisco IPS 4510 Новинка Cisco IPS 4360 Новинка Cisco® IPS 4345 Новинка Филиал Интернет- Комплекс Центр обработки периметр зданий данных© 2011 Cisco and/or its affiliates. All rights reserved. 49
  49. 49. Cisco ASA 5585-X- S60P60Производительность, масштабируемость, адаптивность Cisco ASA 5585- S40P40 Cisco ASA 5585- S20P20 Cisco ASA 5585- S10P10 Cisco ASA 5555-X IPS Cisco ASA 5545-X IPS Новинка Cisco ASA 5525-X IPS Новинка Cisco ASA 5515-X IPS Новинка Cisco® ASA 5512- X IPS Новинка Новинка SOHO Филиал Интернет- Комплекс Центр обработки периметр зданий данных© 2011 Cisco and/or its affiliates. All rights reserved. 50
  50. 50. Новый межсетевой экран с поддержкой сервисов и функцией IPS• Платформа для межсетевого экрана нового поколения с поддержкой защитных сервисов• Устройства ASA среднего уровня с функцией ПО IPS с учетом контекста• IPS в виде виртуальных блейдов – аппаратные модули не требуются• Cisco® ASA 5525-X , ASA 5545-X и ASA 5555-X имеют аппаратное ускорение для IPS• 1 интерфейс Gigabit Ethernet• Доступны платы расширения ввода- вывода© 2011 Cisco and/or its affiliates. All rights reserved. 51
  51. 51. • Специализированная платформа IPS среднего уровня с учетом контекста• Четырехкратное увеличение производительности Cisco® IPS серии 4200 за половину стоимости• Обработка с аппаратным ускорением Regex• Интерфейсы Gigabit Ethernet• Bypass-платы будут доступны в октябре© 2011 Cisco and/or its affiliates. All rights reserved. 52
  52. 52. • Специализированные высокоскоростные устройства IPS с учетом контекста• Обработка с аппаратным ускорением Regex• Развертывания на уровне ядра ЦОД или предприятия• Интерфейсы Gigabit Ethernet, интерфейсы 10 Gigabit Ethernet и слот SFP• Масштабируемость: доступен слот для будущего наращивания мощностей© 2011 Cisco and/or its affiliates. All rights reserved. 53
  53. 53. Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520 Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси) 4 ядер 4 ядер 8 ядер 12 ядер Процессор 4 потока 8 потока 16 потока 24 потока Память 8 GB 16 ГБ 24 ГБ 48 GB 6 x 1 GE Cu 6 x 1 GE CuБазовые порты данных 8 x 1 GE Cu 8 x 1 GE Cu 4 x 10 GE SFP 4 x 10 GE SFP Ускоритель Regex Одинарный Одинарный Одинарный Двойной Постоянное значение 2 с возможностью 2 с возможностью 2 с возможностью Электропитание переменного тока горячей замены горячей замены горячей замены © 2011 Cisco and/or its affiliates. All rights reserved. 54
  54. 54. Основные отличия Специализированная система Cisco IPS 4500 • Прозрачна и незаметна в сети • Ввод-вывод на основе IPS • Нормализация под управлением IPS • Свободный слот для использования в будущем Интегрированное устройство Cisco ASA 5585-X IPS • Прозрачность как вариант. • Ввод-вывод принадлежит межсетевому экрану. • Нормализацией управляет межсетевой экран. • Для выбора политики IPS доступны дополнительные возможности (5 элементов потока, код пользователя и т. д.).© 2011 Cisco and/or its affiliates. All rights reserved. 55
  55. 55. Все типы оборудования • SCADA • DCS • PLC • SIS • EMS• Все основные производители • Schneider • Siemens • Rockwell • GE, ABB • Yokogawa • Motorola • Emerson • Invensys • Honeywell • SEL• И это не конец…© 2011 Cisco and/or its affiliates. All rights reserved. 56
  56. 56. Центральный офис Контроль на разных уровнях $ Широкий функционал + Безопасность + контроль работы приложений ASA CX РЕШЕНИЕ CISCO Cisco ASA CX Лучшие показатели (простота, Оптимизация и защита Cisco Web Security согласованность, интеграция), приложений на периметре снижение затрат и повышение URL-фильтрация производительности при работе с AAA приложениями Профилирование устройств© 2011 Cisco and/or its affiliates. All rights reserved. 57
  57. 57. Широкий спектр платформ Устройство Интегрированное решение Виртуализация Понимание контекста Классический МСЭ ASA© 2011 Cisco and/or its affiliates. All rights reserved. 58
  58. 58. • Межсетевой экран нового поколения• Context-Aware Firewall• Активная/Пассивная аутентификация• Application Visibility and Control/DPI с анализом контента• Репутационная фильтрация КТО ЧТО ГДЕ/ОТКУДА КОГДА КАК© 2011 Cisco and/or its affiliates. All rights reserved. 59
  59. 59. КТОПокрытие широкого спектра сценариев идентификации AD/LDAP Identity • Non-auth-aware apps NTLM • Any platform Kerberos • AD/LDAP credential TRUSTSEC* Network Identity Group information User Authentication Any tagged traffic IP Surrogate • Auth-Aware Apps AD Agent • Mac, Windows, Linux • AD/LDAP user credential© 2011 Cisco and/or its affiliates. All rights reserved. * Future 60
  60. 60. ЧТО Покрытие… … классификация всего трафика 1,000+ приложений MicroApp Engine Глубокий анализ трафика приложений 75,000+ MicroApps Поведение приложений Контроль действий пользователя внутри приложений© 2011 Cisco and/or its affiliates. All rights reserved. 61
  61. 61. Бизнес-задача Как решается ASA CX ПримерНарушение полосы Контроль использования приложенийпропускания Peer-to-PeerКонфиденциальная Контроль использования сервисовинформация общего пользованиязагружается в облако Блокирование «нерабочих»Продуктивность приложений, оставляя при этомпользователей доступ к нужным ресурсамУдаленный контроль ПК Блокирование приложенийс помощью удаленного доступа, оставляя,вредоносного ПО например, WebExМаскировка Идентификация и контрольвредоносного ПО под приложений, который работают наобычные приложения известных портах© 2011 Cisco and/or its affiliates. All rights reserved. 62
  62. 62. ЧТО 60 языков 200 стран 20 mn URLs 98% Маркетинг Юристы Финансы покрытие© 2011 Cisco and/or its affiliates. All rights reserved. 63
  63. 63. Бизнес-задача Как решается ASA CXРеализация политик Блокирование для всех сайтов категорий: Adult, Childразрешенного Abuse Content, Gambling, Hate Speech, Illegal Activities ииспользования т.д. Запрет студентам, но разрешение для других категорийСоздание защищенного доступа к следующим категориям сайтов: Entertainment,окружения для обучения Arts, Dining and Drinking, Online Trading Запрет доступа сотрудников к следующим категориямПоддержка продуктивности сайтов: Sports and Recreation, Travel, Photo Search andпользователей ImagesКонтроль сайтов, Запрет доступа сотрудников к следующим категориямсъедающих полосу сайтов: File Transfer Services, Freeware and Shareware,пропускания Illegal Downloads, Internet TelephonyПользователи, обходящие Блокирование прокси и анонимайзеровправила© 2011 Cisco and/or its affiliates. All rights reserved. 64
  64. 64. ГДЕ/ОТКУДА ОТЕЛЬ ОФИС© 2011 Cisco and/or its affiliates. All rights reserved. 65
  65. 65. КАКИнформация с 100,000,000 оконечных устройств Устройство Версия ОС Состояние AV Files Registry Identity Services Engine© 2011 Cisco and/or its affiliates. All rights reserved. 66
  66. 66. • Система управления для ASA CX• Встроенный в ASA CX для управления одним МСЭ• Отдельное устройство для поддержки нескольких ASA CX• RBAC• Конфигурация, события и репортинг• Виртуальная машина или устройство UCS© 2011 Cisco and/or its affiliates. All rights reserved. 67
  67. 67. • Ядро или ЦОД ASA • Multi-tenant • Active/Active Failover • Кампус или граница ASA CX • Контроль приложений • Next-gen Firewall© 2011 Cisco and/or its affiliates. All rights reserved. 68
  68. 68. • Прокси-сервер • Кеширование WSA • Сканирование Anti-Malware • DLP • Полная Web-безопасность • Next-gen Firewall • Inline ASA CX • Все порты/протоколы • Базовая Web-безопасность© 2011 Cisco and/or its affiliates. All rights reserved. 69
  69. 69. Лучшая в своем классе Лучшая в своем классе безопасность сети web-защита на основе облака© 2011 Cisco and/or its affiliates. All rights reserved. 70
  70. 70. Web- контент Контроль исходящего трафика Script  Script- PDF- Flash- сканирова сканирова сканирова ние ние ние PDF Несколько сканеров Да Java- Exe- Сканирование AV сканирова сканирова репутации ние ние Flash «Чисты й» Web- контентстраница Новые вредоносные Java программы заблокированы .exe Глубокий Структурное Виртуализован- анализ изучение ная контента контента эмуляция скриптов Известные вредоносные программы заблокированы© 2011 Cisco and/or its affiliates. All rights reserved. 71
  71. 71. ЧТО Классификация и контроль web-трафика Более 1000 приложений Подробная классификация и контроль поведений микроприложений и приложений Более 75 000 микроприложений Контроль пропускной способности© 2011 Cisco and/or its affiliates. All rights reserved. 72
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×