More Related Content
Similar to Secure Mobile Office
Similar to Secure Mobile Office (20)
More from Aleksey Lukatskiy
More from Aleksey Lukatskiy (20)
Secure Mobile Office
- 1. Можно ли мобильный
офис сделать
защищенным?
Алексей Лукацкий, менеджер по развитию бизнеса
© Cisco, 2010. Все права защищены. 1/38
- 3. Политика
Периметр
Приложения и
данные
Офис
Филиал
Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 3/38
- 4. Политика
Периметр
Приложения и
данные
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 4/38
- 5. Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 5/38
- 6. Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 6/38
- 7. 66% 45% 59% 45% 57%
Согласятся на Готовы Хотят ИТ- ИТ-специалистов
снижение поработать на использовать специалистов утверждают, что
компенсации 2-3 часа в день на работе не готовы основной задачей
(10%), если больше, если личные обеспечить при повышении
смогут работать смогут сделать устройства бóльшую мобильности
из любой точки это удаленно мобильность сотрудников
мира сотрудников является
обеспечение
безопасности
© Cisco, 2010. Все права защищены. 7/38
- 8. • Достичь большего при тех же
ресурсах и с теми же активами
• Сокращение штатов, ограничение
бюджетов и давление со стороны
конкурентов заставляет предприятия
Увеличивать продуктивность
Увеличивать взаимодействие
Снижать затраты
И еще… поддерживать лояльность
сотрудников, удовлетворенность работой и
психологический климат
• Глобализация экономики требует
работать не только в режиме 8х5, но
и в нерабочие часы
© Cisco, 2010. Все права защищены. 8/38
- 9. • В ДОРОГЕ
(отели, аэропорты, бизнес-центры)
280 миллионов бизнес-поездок в год
Спад производительности >60–65%
• ДОМА (teleworking)
137 миллионов надомных работников в 2003г.
40% надомных работников в США из крупных
компаний и среднего бизнеса
• НА РАБОТЕ
(филиалы, отделения, партнеры)
E-business требует быстрых сетей
Филиал должен быть там где люди
Источник: Gartner, Cahners Instat,
Wharton Center for Applied Research
© Cisco, 2010. Все права защищены. 9/38
- 10. 100%
90% В разное время в разных местах
80% В одно время в разных местах
70%
60% В одно время в одном месте
50%
Работа в одиночку
40%
30% % работы, зависящей от
20% группового вклада
10%
0%
2000 2005 2010
Сотрудничество – драйвер роста
Взаимодействие с другими, но не лицом к лицу
Рост продуктивности невозможен без поддержки этой
тенденции
Источник: Gartner Group
© Cisco, 2010. Все права защищены. 10/38
- 11. Предприятие
Филиал Дом Отель
Главный Si
Аэропорт
офис HQ
Si
WAN/Internet
Дорога
Кафе
Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
100 500 1000
сотрудников сотрудников сотрудников
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К
• Многие компании фокусируются на предоставлении сервиса на своей
территории (зарплата, билеты, документооборот…)
• Сотрудник в среднем тратит только 30–40% времени в офисе
© Cisco, 2010. Все права защищены. 11/38
- 12. Любой пользователь С любого устройства
Сотрудники, iPhone, Смартфон,
Партнеры, IP-телефон,
Заказчики, Лэптоп
Сообщества
Сеть без
границ
Всегда на связи,
На работе, дома,
Мгновенный доступ,
в кафе, в аэропорту
Мгновенная реакция
на ходу…
Отовсюду В любое время
© Cisco, 2010. Все права защищены. 12/38
- 13. • Пользователи (особенно руководство)
хотят получать доступ к корпоративным
ресурсам даже с мобильных устройств
• Пользователи хотят выбирать
мобильные устройства самостоятельно
• Спектр выбираемых устройств очень
широк
ОС: iPhone, Windows Mobile, Symbian,
BlackBerry, WebOS
Платформа: iPhone, Nokia, HTC, LG,
Samsung, BlackBerry, Palm
• Платформы закрытые и функциональных средств
защиты для мобильных устройств практически нет
© Cisco, 2010. Все права защищены. 13/38
- 14. Традиционные средства защиты
ориентированы на «мощные» платформы
Для многих мобильных платформ средств
защиты просто нет (Android, BlackBerry, iPhone
и т.д.)
Тенденция применения собственных
мобильных устройств
Несогласованные политики доступа
к проводному и беспроводному
сегментам сети
© Cisco, 2010. Все права защищены. 14/38
- 15. • Аутентификация • Разрешенное
• Защищенное использование
соединение • Контроль
• VPN-туннели доступа
• Виртуальный • Защита от
сейф вредоносного
• Анализ кода
защищенности Cisco • Контроль
• NAC утечек
3rd Parties • Device lock
• Device wipe
• Pin
enforcement
• Device audit
© Cisco, 2010. Все права защищены. 15/38
- 16. IPSec VPN SSL VPN
• Широко распространенная, • Расширяет защищенный доступ
отработанная технология для «не-сотрудников»,
например, контрактников и
• Хорошо подходит для временных служащих
расширенного доступа • Облегченный доступ для
сотрудников с корпоративнымы партнеров
компьютерами
• Обеспечивает доступ
“отовсюду”, включая
недоверенные и
неуправляемые ПК (Интернет-
кафе)
• Снижает операционные
затраты, связанные с
клиентским ПО
© Cisco, 2010. Все права защищены. 16/38
- 17. Поддержка доступа с клиентом и без клиента
Доступ с клиентом Доступ к сети без клиента
Web-доступ к файлам
Туннели SmartTunnels
Web-доступ к файлам
Поддержка FTP и CIFS
Интерфейс браузера и web-папок
Автоматическая загрузка и обновление
Доступ к любому приложению или ресурсу Туннели SmartTunnels
Поддержка мобильных устройств Перенаправление портов на уровне приложений
Качественная передача речи (DTLS) Поддержка большинства приложений,
использующих Winsock версии 2
Доступ к сложному web-контенту
Поддержка Win2K, XP, Vista, Mac OS X
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
- 18. • Cisco Secure Desktop (CSD)
поддерживает сотни
предустановленных приложений
Антивирусы, anti-spyware,
персональные МСЭ и др.
• 4 основных функции
Host Scan (Windows)
Advanced Endpoint Assessment
Secure Vault (Windows 2K/XP)
Cache Cleaner (Windows, Mac OS X
и Linux)
© Cisco, 2010. Все права защищены. 18/38
- 19. • Поддерживаемые
проверки
Проверки реестра
Проверки файлов
Проверки сертификатов
Проверка версии Windows
Проверка IP-адресов
• Визуализация
облегчает
конфигурирование и
снижает число ошибок
© Cisco, 2010. Все права защищены. 19/38
- 21. Доступ к отдельным ресурсам
Новый дизайн портала
Локализация
RSS
Персональные закладки
Доступ с AnyConnect Client
Доступ к файлам (FTP/CIFS)
Поддержка Flash
Поддержка удаленного
управления через telnet, SSH,
RDP и VNC
Перенаправление запросов
на доступ к Windows-
приложениям (Smart Tunnel)
© Cisco, 2010. Все права защищены. 21/38
- 22. • Обеспечивается доступ к web- и традиционным приложениям
через браузер
• Технология Smart Tunnel обеспечивает доступ TCP приложениям
Не требуется полномочий администратора на ПК
© Cisco, 2010. Все права защищены. 22/38
- 25. Port Forwarding
загрузка апплета
Медленная загрузка, Citrix Server Citrix Server
конфликт с ПО, браузер Microsoft Office Microsoft Office Полная
блокирует апплет Mainframe Access Mainframe Access поддержка
Citrix
Типичная поддержка Поддержка
Citrix SSL VPN Cisco Citrix
Поддержка Citrix требует Полная поддержка Citrix без
специального SSL-клиента или Java- специального клиента
апплета или иного резидентного ПО Быстрое время инициализации –
Медленная инициация приложения ничего не надо загружать
Может не работать из-за настроек Высокая производительность – нет
безопасности браузера локального приложения-транслятора
Потенциальные конфликты ПО, Не зависит от настроек безопасности
особенно на неуправляемых узлах и браузера
Высокая стабильность – нет
потенциальных конфликтов с ПО
© Cisco, 2010. Все права защищены. 25/38
- 30. Настраиваемый Настраиваемые
баннер сообщения
Настраиваемые
методы доступа
Настраиваемые Настраиваемые
ссылки, доступные цвета и разделы
сетевые ресурсы портала
RSS-каналы
© Cisco, 2010. Все права защищены. 30/38
- 31. Основное
назначение –
защититься от
перехватчиков
ввода с
клавиатуры
Может быть
использована
на любой
странице, где
требуется
ввести пароль
© Cisco, 2010. Все права защищены. 31/38
- 32. Защита невзирая на место подключения к Интернет
Security Enforcement Array
Отражение News Email
угроз
Допустимое
использование
Контроль
доступа
Предотвращение
утечек
Оптимальный выбор между облаком и
предприятием
Social Networking Enterprise SaaS
Прозрачно для пользователя
Зависит от местоположения пользователя
© Cisco, 2010. Все права защищены. 32/38
- 33. Выбор реализации: облако или на предприятии
Как угодно+
(Переход к AnyConnect)
Факт: Мобильные пользователи только News Email
17% времени в Интернет проводят в
VPN. Как контролировать 83%
оставшегося времени?
Обмен информацией
между ASA и WSA
AnyConnect ASA
Cisco Web Security
Appliance
Social Networking Enterprise SaaS
Corporate AD
© Cisco, 2010. Все права защищены. 33/38
- 34. Опция 1 – при помощи имеющейся инфраструктуры заказчика
С изменениями настроек браузера:
• Настройки Proxy загружаются на компьютеры
ScanSafe
из AD (GPO / PAC file) или по DHCP Websecurity Service
• МСЭ блокирует исходящий HTTP трафик на
все адреса кроме ScanSafe
Без изменения настроек браузера:
• Имеющееся у заказчика устройство
DC
перенаправляет трафик в облако помощи
функций Cascade Proxy или Port Foreward
Опционально - Passive Identity Management:
• В HTTP-запросы пользователей добавляется
защищенная (хеши) информация об имени
пользователя/группы при помощи Login
скриптов/GPO
• Прозрачно для пользователя
© Cisco, 2010. Все права защищены. 34/38
- 35. Опция 2 – при помощи Connector
ПО ScanSafe Connector ScanSafe
Websecurity Service
• Устанавливается и настраивается один
раз, в дальнейшем не требует
администрирования и обновлений
• Перенаправляет Web трафик в облако
• Отвечает за взаимодействие с AD и DC Connector
предоставляет в облако защищенную
информацию о пользователе/группе
• В будущем – функциональность
Connector интегрированная в
маршрутизаторы и МСЭ Cisco
© Cisco, 2010. Все права защищены. 35/38
- 36. Опция 3 – клиент Anywhere+ для мобильных пользователей
Факт: Мобильные
пользователи только
17% времени в Интернет
• Устанавливается как сетевой драйвер, проводят в корпоративном
незаметен для пользователя VPN. Как контролировать
оставшиеся 83%?
• Автоматически определяет
ближайший к пользователю ЦОД
• Перенаправляет Web трафик
пользователя в облако
• Обеспечивает User/Group Granularity
• Защищен от выключения
пользователем
© Cisco, 2010. Все права защищены. 36/38
- 37. Туннелирование
VPN-доступ SSL VPN
Туннелирование
без установки
DTLS (голос и
клиента
видео)
Туннелирование Мобильный
IPsec VPN доступ
Желательно внедрять унифицированную
платформу для всех сценариев
© Cisco, 2010. Все права защищены. 37/38
- 38. ПРОБЛЕМЫ
• Мобильным сотрудникам требуется доступ к сети и «облачным» сервисам
• На множестве пользовательских устройств используются как пользовательские, так и
корпоративные профили
• Множество защищенных и незащищенных точек и методов доступа
Identity Active
Services Directory
Engine
Cisco
ASA
Коммутатор
Сеть Cisco
Интернет комплекса Nexus
зданий Switch +
Мобильный Коммутатор TrustSec
сотрудник + клиент Cisco Catalyst
AnyConnect + TrustSec Защищенные
сетевые ресурсы
РЕШЕНИЕ CISCO
• Единственное в отрасли решение на базе унифицированного клиента
• Решение для обеспечения защищенного доступа с учетом контекста:
поддерживаются проводные, беспроводные и VPN-подключения
• Средства шифрования обеспечивают конфиденциальность передаваемых данных
(интеграция MACsec)
© Cisco, 2010. Все права защищены. 38/38
- 39. • Проблема
В 2001 DSL-провайдер Cisco обанкротился. Cisco® IT должно было
перевести 9000 удаленных пользователей на новый сервис за один
месяц
• Решение
Миграция с модели «SP Managed VPN Service» на «пользовательскую»
модель с программным VPN-клиентом
• Результат
Сегодня пользователи могут получить доступ в корпоративную сеть из
ЛЮБОГО места, где есть Интернет. Использование доступа утроилось
• Что дальше
Cisco IT расширяет число VPN-шлюзов, ускоряет апгрейд и улучшает
качество защиты и сжатия
© Cisco, 2010. Все права защищены. 39/38
- 40. • С ростом Интернет и широкополосного доступа ИТ начинает
проект по организации удаленного широкополосного доступа
для сотрудников с рядом операторов связи
• Главная проблема: Множество поставщиков, неполное
покрытие
Наша цель - обеспечить лучший сервис для всех сотрудников по
разумной цене
• Rhythms NetConnections был выбран для обеспечения
защищенного xDSL-доступа для сотрудников в США
Сервис Rhythms DSL был эффективным «частным" DSL сервисов,
предлагающим прямое виртуальное соединение с корпоративной
сетью Cisco
© Cisco, 2010. Все права защищены. 40/38
- 41. • Август 2001: Rhythms NetConnections обанкротился; более
9000 сотрудников оказались без доступа, ранее
обеспечиваемого с помощью Rhythms DSL service
Задача – обеспечить доступ 9000 сотрудников за один месяц
• Из опыта ИТ знали, что миграция на другой сервис обойдется
дороже и потребует в 10 раз больше человеческих ресурсов,
чем было в наличии
© Cisco, 2010. Все права защищены. 41/38
- 42. • Кризис удаленного доступа заставил ИТ задуматься о других
вариантах
• Из множества сценариев была выбрана новая модель:
Пользовательская модель на базе программного VPN-клиента
Пользователь сам выбирал способ подключения к сети (GPRS,
CDMA, Wi-Fi, DSL и т.д.)
Cisco оплачивает подключение к оператору связу
Cisco IT обеспечивает и поддерживает VPN-соединение через
Интернет-шлюз в корпоративную сеть Cisco
© Cisco, 2010. Все права защищены. 42/38
- 43. • Рост продуктивности
Удаленный доступ означает
возможность работать из дома или в
дороге. Для многих пользователей
это значит увеличение
продуктивности на 10-40% в день
• Рост удовлетворенности
Сотрудники находят баланс между
работой и семьей, имея
возможность подключаться к
корпоративной сети в любое время.
В 2001 Cisco® имело 9000 DSL
пользователей, а в 2003 их стало
уже 23,000.
© Cisco, 2010. Все права защищены. 43/38
- 44. • Глобализация
Глобальная компания должна
предоставлять эффективную возможность
работать всем сотрудникам, находящимся
в разных часовых поясах, в разных точках
земного шара.
• Гибкость
Удаленный доступ обеспечивает гибкость во время кризисов,
эпидемий, катастроф и т.д.
• Поддержка
Т.к. большинство сотрудников Cisco используют собственное
подключение к оператору связи, мы не тратим усилия на поддержку и
разбор проблем, связанных с подключением к Интернет
© Cisco, 2010. Все права защищены. 44/38
- 45. http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
© Cisco, 2010. Все права защищены. 46/38