Secure Mobile Office

2,200 views
2,101 views

Published on

Published in: Self Improvement
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,200
On SlideShare
0
From Embeds
0
Number of Embeds
960
Actions
Shares
0
Downloads
105
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Secure Mobile Office

  1. 1. Можно ли мобильныйофис сделатьзащищенным?Алексей Лукацкий, менеджер по развитию бизнеса© Cisco, 2010. Все права защищены. 1/38
  2. 2. Смена ожиданий бизнеса© Cisco, 2010. Все права защищены. 2/38
  3. 3. Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики© Cisco, 2010. Все права защищены. 3/38
  4. 4. Политика Периметр Приложения и данные Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики© Cisco, 2010. Все права защищены. 4/38
  5. 5. Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики© Cisco, 2010. Все права защищены. 5/38
  6. 6. Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики© Cisco, 2010. Все права защищены. 6/38
  7. 7. 66% 45% 59% 45% 57% Согласятся на Готовы Хотят ИТ- ИТ-специалистов снижение поработать на использовать специалистов утверждают, что компенсации 2-3 часа в день на работе не готовы основной задачей (10%), если больше, если личные обеспечить при повышении смогут работать смогут сделать устройства бóльшую мобильности из любой точки это удаленно мобильность сотрудников мира сотрудников является обеспечение безопасности© Cisco, 2010. Все права защищены. 7/38
  8. 8. • Достичь большего при тех же ресурсах и с теми же активами • Сокращение штатов, ограничение бюджетов и давление со стороны конкурентов заставляет предприятия Увеличивать продуктивность Увеличивать взаимодействие Снижать затраты И еще… поддерживать лояльность сотрудников, удовлетворенность работой и психологический климат • Глобализация экономики требует работать не только в режиме 8х5, но и в нерабочие часы© Cisco, 2010. Все права защищены. 8/38
  9. 9. • В ДОРОГЕ (отели, аэропорты, бизнес-центры) 280 миллионов бизнес-поездок в год Спад производительности >60–65% • ДОМА (teleworking) 137 миллионов надомных работников в 2003г. 40% надомных работников в США из крупных компаний и среднего бизнеса • НА РАБОТЕ (филиалы, отделения, партнеры) E-business требует быстрых сетей Филиал должен быть там где люди Источник: Gartner, Cahners Instat, Wharton Center for Applied Research© Cisco, 2010. Все права защищены. 9/38
  10. 10. 100% 90% В разное время в разных местах 80% В одно время в разных местах 70% 60% В одно время в одном месте 50% Работа в одиночку 40% 30% % работы, зависящей от 20% группового вклада 10% 0% 2000 2005 2010 Сотрудничество – драйвер роста Взаимодействие с другими, но не лицом к лицу Рост продуктивности невозможен без поддержки этой тенденции Источник: Gartner Group© Cisco, 2010. Все права защищены. 10/38
  11. 11. Предприятие Филиал Дом Отель Главный Si Аэропорт офис HQ Si WAN/Internet Дорога КафеВчера: Люди “шли” на работу Сегодня: Работа “идет” к людям 100 500 1000 сотрудников сотрудников сотрудников Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн. 1 час потери продуктивности $1,200 $6,000 $12,000 Потери в год от 1 часа в неделю $62,5K $312,5К $625К • Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…) • Сотрудник в среднем тратит только 30–40% времени в офисе © Cisco, 2010. Все права защищены. 11/38
  12. 12. Любой пользователь С любого устройства Сотрудники, iPhone, Смартфон, Партнеры, IP-телефон, Заказчики, Лэптоп Сообщества Сеть без границ Всегда на связи, На работе, дома, Мгновенный доступ, в кафе, в аэропорту Мгновенная реакция на ходу… Отовсюду В любое время© Cisco, 2010. Все права защищены. 12/38
  13. 13. • Пользователи (особенно руководство) хотят получать доступ к корпоративным ресурсам даже с мобильных устройств • Пользователи хотят выбирать мобильные устройства самостоятельно • Спектр выбираемых устройств очень широк ОС: iPhone, Windows Mobile, Symbian, BlackBerry, WebOS Платформа: iPhone, Nokia, HTC, LG, Samsung, BlackBerry, Palm • Платформы закрытые и функциональных средств защиты для мобильных устройств практически нет© Cisco, 2010. Все права защищены. 13/38
  14. 14. Традиционные средства защиты ориентированы на «мощные» платформы Для многих мобильных платформ средств защиты просто нет (Android, BlackBerry, iPhone и т.д.) Тенденция применения собственных мобильных устройств Несогласованные политики доступа к проводному и беспроводному сегментам сети© Cisco, 2010. Все права защищены. 14/38
  15. 15. • Аутентификация • Разрешенное • Защищенное использование соединение • Контроль • VPN-туннели доступа • Виртуальный • Защита от сейф вредоносного • Анализ кода защищенности Cisco • Контроль • NAC утечек 3rd Parties • Device lock • Device wipe • Pin enforcement • Device audit© Cisco, 2010. Все права защищены. 15/38
  16. 16. IPSec VPN SSL VPN • Широко распространенная, • Расширяет защищенный доступ отработанная технология для «не-сотрудников», например, контрактников и • Хорошо подходит для временных служащих расширенного доступа • Облегченный доступ для сотрудников с корпоративнымы партнеров компьютерами • Обеспечивает доступ “отовсюду”, включая недоверенные и неуправляемые ПК (Интернет- кафе) • Снижает операционные затраты, связанные с клиентским ПО© Cisco, 2010. Все права защищены. 16/38
  17. 17. Поддержка доступа с клиентом и без клиента Доступ с клиентом Доступ к сети без клиента Web-доступ к файлам Туннели SmartTunnels Web-доступ к файлам Поддержка FTP и CIFS Интерфейс браузера и web-папок Автоматическая загрузка и обновление Доступ к любому приложению или ресурсу Туннели SmartTunnels Поддержка мобильных устройств Перенаправление портов на уровне приложений Качественная передача речи (DTLS) Поддержка большинства приложений, использующих Winsock версии 2 Доступ к сложному web-контенту Поддержка Win2K, XP, Vista, Mac OS X© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
  18. 18. • Cisco Secure Desktop (CSD) поддерживает сотни предустановленных приложений Антивирусы, anti-spyware, персональные МСЭ и др.• 4 основных функции Host Scan (Windows) Advanced Endpoint Assessment Secure Vault (Windows 2K/XP) Cache Cleaner (Windows, Mac OS X и Linux) © Cisco, 2010. Все права защищены. 18/38
  19. 19. • Поддерживаемые проверки Проверки реестра Проверки файлов Проверки сертификатов Проверка версии Windows Проверка IP-адресов• Визуализация облегчает конфигурирование и снижает число ошибок © Cisco, 2010. Все права защищены. 19/38
  20. 20. © Cisco, 2010. Все права защищены. 20/38
  21. 21.  Доступ к отдельным ресурсам  Новый дизайн портала Локализация RSS Персональные закладки Доступ с AnyConnect Client  Доступ к файлам (FTP/CIFS)  Поддержка Flash  Поддержка удаленного управления через telnet, SSH, RDP и VNC  Перенаправление запросов на доступ к Windows- приложениям (Smart Tunnel)© Cisco, 2010. Все права защищены. 21/38
  22. 22. • Обеспечивается доступ к web- и традиционным приложениям через браузер • Технология Smart Tunnel обеспечивает доступ TCP приложениям Не требуется полномочий администратора на ПК© Cisco, 2010. Все права защищены. 22/38
  23. 23. © Cisco, 2010. Все права защищены. 23/38
  24. 24. © Cisco, 2010. Все права защищены. 24/38
  25. 25. Port Forwarding загрузка апплета Медленная загрузка, Citrix Server Citrix Server конфликт с ПО, браузер Microsoft Office Microsoft Office Полная блокирует апплет Mainframe Access Mainframe Access поддержка Citrix Типичная поддержка Поддержка Citrix SSL VPN Cisco Citrix  Поддержка Citrix требует  Полная поддержка Citrix без специального SSL-клиента или Java- специального клиента апплета или иного резидентного ПО Быстрое время инициализации – Медленная инициация приложения ничего не надо загружать Может не работать из-за настроек Высокая производительность – нет безопасности браузера локального приложения-транслятора Потенциальные конфликты ПО, Не зависит от настроек безопасности особенно на неуправляемых узлах и браузера Высокая стабильность – нет потенциальных конфликтов с ПО© Cisco, 2010. Все права защищены. 25/38
  26. 26. © Cisco, 2010. Все права защищены. 26/38
  27. 27. © Cisco, 2010. Все права защищены. 27/38
  28. 28. © Cisco, 2010. Все права защищены. 28/38
  29. 29. © Cisco, 2010. Все права защищены. 29/38
  30. 30. Настраиваемый Настраиваемые баннер сообщения Настраиваемые методы доступаНастраиваемые Настраиваемыессылки, доступные цвета и разделысетевые ресурсы портала RSS-каналы© Cisco, 2010. Все права защищены. 30/38
  31. 31.  Основное назначение – защититься от перехватчиков ввода с клавиатуры  Может быть использована на любой странице, где требуется ввести пароль© Cisco, 2010. Все права защищены. 31/38
  32. 32. Защита невзирая на место подключения к Интернет Security Enforcement Array Отражение News Email угроз Допустимое использование Контроль доступа Предотвращение утечек  Оптимальный выбор между облаком и предприятием Social Networking Enterprise SaaS  Прозрачно для пользователя  Зависит от местоположения пользователя© Cisco, 2010. Все права защищены. 32/38
  33. 33. Выбор реализации: облако или на предприятии Как угодно+ (Переход к AnyConnect) Факт: Мобильные пользователи только News Email 17% времени в Интернет проводят в VPN. Как контролировать 83% оставшегося времени? Обмен информацией между ASA и WSA AnyConnect ASA Cisco Web Security Appliance Social Networking Enterprise SaaS Corporate AD© Cisco, 2010. Все права защищены. 33/38
  34. 34. Опция 1 – при помощи имеющейся инфраструктуры заказчикаС изменениями настроек браузера:• Настройки Proxy загружаются на компьютеры ScanSafe из AD (GPO / PAC file) или по DHCP Websecurity Service• МСЭ блокирует исходящий HTTP трафик на все адреса кроме ScanSafeБез изменения настроек браузера:• Имеющееся у заказчика устройство DC перенаправляет трафик в облако помощи функций Cascade Proxy или Port ForewardОпционально - Passive Identity Management:• В HTTP-запросы пользователей добавляется защищенная (хеши) информация об имени пользователя/группы при помощи Login скриптов/GPO• Прозрачно для пользователя © Cisco, 2010. Все права защищены. 34/38
  35. 35. Опция 2 – при помощи Connector ПО ScanSafe Connector ScanSafe Websecurity Service• Устанавливается и настраивается один раз, в дальнейшем не требует администрирования и обновлений• Перенаправляет Web трафик в облако• Отвечает за взаимодействие с AD и DC Connector предоставляет в облако защищенную информацию о пользователе/группе• В будущем – функциональность Connector интегрированная в маршрутизаторы и МСЭ Cisco © Cisco, 2010. Все права защищены. 35/38
  36. 36. Опция 3 – клиент Anywhere+ для мобильных пользователей Факт: Мобильные пользователи только 17% времени в Интернет• Устанавливается как сетевой драйвер, проводят в корпоративном незаметен для пользователя VPN. Как контролировать оставшиеся 83%?• Автоматически определяет ближайший к пользователю ЦОД• Перенаправляет Web трафик пользователя в облако• Обеспечивает User/Group Granularity• Защищен от выключения пользователем © Cisco, 2010. Все права защищены. 36/38
  37. 37. Туннелирование VPN-доступ SSL VPN Туннелирование без установки DTLS (голос и клиента видео)Туннелирование Мобильный IPsec VPN доступ Желательно внедрять унифицированную платформу для всех сценариев © Cisco, 2010. Все права защищены. 37/38
  38. 38. ПРОБЛЕМЫ • Мобильным сотрудникам требуется доступ к сети и «облачным» сервисам • На множестве пользовательских устройств используются как пользовательские, так и корпоративные профили • Множество защищенных и незащищенных точек и методов доступа Identity Active Services Directory Engine Cisco ASA Коммутатор Сеть Cisco Интернет комплекса Nexus зданий Switch + Мобильный Коммутатор TrustSec сотрудник + клиент Cisco Catalyst AnyConnect + TrustSec Защищенные сетевые ресурсыРЕШЕНИЕ CISCO• Единственное в отрасли решение на базе унифицированного клиента• Решение для обеспечения защищенного доступа с учетом контекста: поддерживаются проводные, беспроводные и VPN-подключения• Средства шифрования обеспечивают конфиденциальность передаваемых данных (интеграция MACsec)© Cisco, 2010. Все права защищены. 38/38
  39. 39. • Проблема В 2001 DSL-провайдер Cisco обанкротился. Cisco® IT должно было перевести 9000 удаленных пользователей на новый сервис за один месяц • Решение Миграция с модели «SP Managed VPN Service» на «пользовательскую» модель с программным VPN-клиентом • Результат Сегодня пользователи могут получить доступ в корпоративную сеть из ЛЮБОГО места, где есть Интернет. Использование доступа утроилось • Что дальше Cisco IT расширяет число VPN-шлюзов, ускоряет апгрейд и улучшает качество защиты и сжатия© Cisco, 2010. Все права защищены. 39/38
  40. 40. • С ростом Интернет и широкополосного доступа ИТ начинает проект по организации удаленного широкополосного доступа для сотрудников с рядом операторов связи • Главная проблема: Множество поставщиков, неполное покрытие Наша цель - обеспечить лучший сервис для всех сотрудников по разумной цене • Rhythms NetConnections был выбран для обеспечения защищенного xDSL-доступа для сотрудников в США Сервис Rhythms DSL был эффективным «частным" DSL сервисов, предлагающим прямое виртуальное соединение с корпоративной сетью Cisco© Cisco, 2010. Все права защищены. 40/38
  41. 41. • Август 2001: Rhythms NetConnections обанкротился; более 9000 сотрудников оказались без доступа, ранее обеспечиваемого с помощью Rhythms DSL service Задача – обеспечить доступ 9000 сотрудников за один месяц • Из опыта ИТ знали, что миграция на другой сервис обойдется дороже и потребует в 10 раз больше человеческих ресурсов, чем было в наличии© Cisco, 2010. Все права защищены. 41/38
  42. 42. • Кризис удаленного доступа заставил ИТ задуматься о других вариантах • Из множества сценариев была выбрана новая модель: Пользовательская модель на базе программного VPN-клиента Пользователь сам выбирал способ подключения к сети (GPRS, CDMA, Wi-Fi, DSL и т.д.) Cisco оплачивает подключение к оператору связу Cisco IT обеспечивает и поддерживает VPN-соединение через Интернет-шлюз в корпоративную сеть Cisco© Cisco, 2010. Все права защищены. 42/38
  43. 43. • Рост продуктивности Удаленный доступ означает возможность работать из дома или в дороге. Для многих пользователей это значит увеличение продуктивности на 10-40% в день • Рост удовлетворенности Сотрудники находят баланс между работой и семьей, имея возможность подключаться к корпоративной сети в любое время. В 2001 Cisco® имело 9000 DSL пользователей, а в 2003 их стало уже 23,000.© Cisco, 2010. Все права защищены. 43/38
  44. 44. • Глобализация Глобальная компания должна предоставлять эффективную возможность работать всем сотрудникам, находящимся в разных часовых поясах, в разных точках земного шара. • Гибкость Удаленный доступ обеспечивает гибкость во время кризисов, эпидемий, катастроф и т.д. • Поддержка Т.к. большинство сотрудников Cisco используют собственное подключение к оператору связи, мы не тратим усилия на поддержку и разбор проблем, связанных с подключением к Интернет© Cisco, 2010. Все права защищены. 44/38
  45. 45. http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco© Cisco, 2010. Все права защищены. 46/38
  46. 46. Спасибоза внимание! security-request@cisco.com

×