Документ обсуждает возможность создания защищённого мобильного офиса, обращая внимание на необходимость обеспечения безопасности при доступе к корпоративным ресурсам с различных мобильных устройств. Упоминаются проблемы, связанные с аутентификацией и защитой данных, а также важность высокоскоростных сетей для бизнеса. Обозначены стратегии и технологии, такие как использование VPN, для повышения безопасности в условиях мобильной работы.

1. Можно ли мобильный
офис сделать
защищенным?
Алексей Лукацкий, менеджер по развитию бизнеса
© Cisco, 2010. Все права защищены. 1/38

2. Смена ожиданий бизнеса
© Cisco, 2010. Все права защищены. 2/38

3. Политика
Периметр
Приложения и
данные
Офис
Филиал
Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 3/38

4. Политика
Периметр
Приложения и
данные
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 4/38

5. Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 5/38

6. Политика
Периметр Platform Infrastructure
Приложения и as a Service as a Service
Software X
данные as a Service
as a Service
Офис
Филиал
Дом
Аэропорт
Мобильный Кафе
пользователь Хакеры Партнеры Заказчики
© Cisco, 2010. Все права защищены. 6/38

7. 66% 45% 59% 45% 57%
Согласятся на Готовы Хотят ИТ- ИТ-специалистов
снижение поработать на использовать специалистов утверждают, что
компенсации 2-3 часа в день на работе не готовы основной задачей
(10%), если больше, если личные обеспечить при повышении
смогут работать смогут сделать устройства бóльшую мобильности
из любой точки это удаленно мобильность сотрудников
мира сотрудников является
обеспечение
безопасности
© Cisco, 2010. Все права защищены. 7/38

8. • Достичь большего при тех же
ресурсах и с теми же активами
• Сокращение штатов, ограничение
бюджетов и давление со стороны
конкурентов заставляет предприятия
Увеличивать продуктивность
Увеличивать взаимодействие
Снижать затраты
И еще… поддерживать лояльность
сотрудников, удовлетворенность работой и
психологический климат
• Глобализация экономики требует
работать не только в режиме 8х5, но
и в нерабочие часы
© Cisco, 2010. Все права защищены. 8/38

9. • В ДОРОГЕ
(отели, аэропорты, бизнес-центры)
280 миллионов бизнес-поездок в год
Спад производительности >60–65%
• ДОМА (teleworking)
137 миллионов надомных работников в 2003г.
40% надомных работников в США из крупных
компаний и среднего бизнеса
• НА РАБОТЕ
(филиалы, отделения, партнеры)
E-business требует быстрых сетей
Филиал должен быть там где люди
Источник: Gartner, Cahners Instat,
Wharton Center for Applied Research
© Cisco, 2010. Все права защищены. 9/38

10. 100%
90% В разное время в разных местах
80% В одно время в разных местах
70%
60% В одно время в одном месте
50%
Работа в одиночку
40%
30% % работы, зависящей от
20% группового вклада
10%
0%
2000 2005 2010
 Сотрудничество – драйвер роста
 Взаимодействие с другими, но не лицом к лицу
 Рост продуктивности невозможен без поддержки этой
тенденции
Источник: Gartner Group
© Cisco, 2010. Все права защищены. 10/38

11. Предприятие
Филиал Дом Отель
Главный Si
Аэропорт
офис HQ
Si
WAN/Internet
Дорога
Кафе
Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
100 500 1000
сотрудников сотрудников сотрудников
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К
• Многие компании фокусируются на предоставлении сервиса на своей
территории (зарплата, билеты, документооборот…)
• Сотрудник в среднем тратит только 30–40% времени в офисе
© Cisco, 2010. Все права защищены. 11/38

12. Любой пользователь С любого устройства
Сотрудники, iPhone, Смартфон,
Партнеры, IP-телефон,
Заказчики, Лэптоп
Сообщества
Сеть без
границ
Всегда на связи,
На работе, дома,
Мгновенный доступ,
в кафе, в аэропорту
Мгновенная реакция
на ходу…
Отовсюду В любое время
© Cisco, 2010. Все права защищены. 12/38

13. • Пользователи (особенно руководство)
хотят получать доступ к корпоративным
ресурсам даже с мобильных устройств
• Пользователи хотят выбирать
мобильные устройства самостоятельно
• Спектр выбираемых устройств очень
широк
ОС: iPhone, Windows Mobile, Symbian,
BlackBerry, WebOS
Платформа: iPhone, Nokia, HTC, LG,
Samsung, BlackBerry, Palm
• Платформы закрытые и функциональных средств
защиты для мобильных устройств практически нет
© Cisco, 2010. Все права защищены. 13/38

14. Традиционные средства защиты
ориентированы на «мощные» платформы
Для многих мобильных платформ средств
защиты просто нет (Android, BlackBerry, iPhone
и т.д.)
Тенденция применения собственных
мобильных устройств
Несогласованные политики доступа
к проводному и беспроводному
сегментам сети
© Cisco, 2010. Все права защищены. 14/38

15. • Аутентификация • Разрешенное
• Защищенное использование
соединение • Контроль
• VPN-туннели доступа
• Виртуальный • Защита от
сейф вредоносного
• Анализ кода
защищенности Cisco • Контроль
• NAC утечек
3rd Parties • Device lock
• Device wipe
• Pin
enforcement
• Device audit
© Cisco, 2010. Все права защищены. 15/38

16. IPSec VPN SSL VPN
• Широко распространенная, • Расширяет защищенный доступ
отработанная технология для «не-сотрудников»,
например, контрактников и
• Хорошо подходит для временных служащих
расширенного доступа • Облегченный доступ для
сотрудников с корпоративнымы партнеров
компьютерами
• Обеспечивает доступ
“отовсюду”, включая
недоверенные и
неуправляемые ПК (Интернет-
кафе)
• Снижает операционные
затраты, связанные с
клиентским ПО
© Cisco, 2010. Все права защищены. 16/38

17. Поддержка доступа с клиентом и без клиента
Доступ с клиентом Доступ к сети без клиента
Web-доступ к файлам
Туннели SmartTunnels
Web-доступ к файлам
Поддержка FTP и CIFS
Интерфейс браузера и web-папок
Автоматическая загрузка и обновление
Доступ к любому приложению или ресурсу Туннели SmartTunnels
Поддержка мобильных устройств Перенаправление портов на уровне приложений
Качественная передача речи (DTLS) Поддержка большинства приложений,
использующих Winsock версии 2
Доступ к сложному web-контенту
Поддержка Win2K, XP, Vista, Mac OS X
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17

18. • Cisco Secure Desktop (CSD)
поддерживает сотни
предустановленных приложений
Антивирусы, anti-spyware,
персональные МСЭ и др.
• 4 основных функции
Host Scan (Windows)
Advanced Endpoint Assessment
Secure Vault (Windows 2K/XP)
Cache Cleaner (Windows, Mac OS X
и Linux)
© Cisco, 2010. Все права защищены. 18/38

19. • Поддерживаемые
проверки
Проверки реестра
Проверки файлов
Проверки сертификатов
Проверка версии Windows
Проверка IP-адресов
• Визуализация
облегчает
конфигурирование и
снижает число ошибок
© Cisco, 2010. Все права защищены. 19/38

20. © Cisco, 2010. Все права защищены. 20/38

21.  Доступ к отдельным ресурсам
 Новый дизайн портала
Локализация
RSS
Персональные закладки
Доступ с AnyConnect Client
 Доступ к файлам (FTP/CIFS)
 Поддержка Flash
 Поддержка удаленного
управления через telnet, SSH,
RDP и VNC
 Перенаправление запросов
на доступ к Windows-
приложениям (Smart Tunnel)
© Cisco, 2010. Все права защищены. 21/38

22. • Обеспечивается доступ к web- и традиционным приложениям
через браузер
• Технология Smart Tunnel обеспечивает доступ TCP приложениям
Не требуется полномочий администратора на ПК
© Cisco, 2010. Все права защищены. 22/38

23. © Cisco, 2010. Все права защищены. 23/38

24. © Cisco, 2010. Все права защищены. 24/38

25. Port Forwarding
загрузка апплета
Медленная загрузка, Citrix Server Citrix Server
конфликт с ПО, браузер Microsoft Office Microsoft Office Полная
блокирует апплет Mainframe Access Mainframe Access поддержка
Citrix
Типичная поддержка Поддержка
Citrix SSL VPN Cisco Citrix
 Поддержка Citrix требует  Полная поддержка Citrix без
специального SSL-клиента или Java- специального клиента
апплета или иного резидентного ПО Быстрое время инициализации –
Медленная инициация приложения ничего не надо загружать
Может не работать из-за настроек Высокая производительность – нет
безопасности браузера локального приложения-транслятора
Потенциальные конфликты ПО, Не зависит от настроек безопасности
особенно на неуправляемых узлах и браузера
Высокая стабильность – нет
потенциальных конфликтов с ПО
© Cisco, 2010. Все права защищены. 25/38

26. © Cisco, 2010. Все права защищены. 26/38

27. © Cisco, 2010. Все права защищены. 27/38

28. © Cisco, 2010. Все права защищены. 28/38

29. © Cisco, 2010. Все права защищены. 29/38

30. Настраиваемый Настраиваемые
баннер сообщения
Настраиваемые
методы доступа
Настраиваемые Настраиваемые
ссылки, доступные цвета и разделы
сетевые ресурсы портала
RSS-каналы
© Cisco, 2010. Все права защищены. 30/38

31.  Основное
назначение –
защититься от
перехватчиков
ввода с
клавиатуры
 Может быть
использована
на любой
странице, где
требуется
ввести пароль
© Cisco, 2010. Все права защищены. 31/38

32. Защита невзирая на место подключения к Интернет
Security Enforcement Array
Отражение News Email
угроз
Допустимое
использование
Контроль
доступа
Предотвращение
утечек
 Оптимальный выбор между облаком и
предприятием
Social Networking Enterprise SaaS
 Прозрачно для пользователя
 Зависит от местоположения пользователя
© Cisco, 2010. Все права защищены. 32/38

33. Выбор реализации: облако или на предприятии
Как угодно+
(Переход к AnyConnect)
Факт: Мобильные пользователи только News Email
17% времени в Интернет проводят в
VPN. Как контролировать 83%
оставшегося времени?
Обмен информацией
между ASA и WSA
AnyConnect ASA
Cisco Web Security
Appliance
Social Networking Enterprise SaaS
Corporate AD
© Cisco, 2010. Все права защищены. 33/38

34. Опция 1 – при помощи имеющейся инфраструктуры заказчика
С изменениями настроек браузера:
• Настройки Proxy загружаются на компьютеры
ScanSafe
из AD (GPO / PAC file) или по DHCP Websecurity Service
• МСЭ блокирует исходящий HTTP трафик на
все адреса кроме ScanSafe
Без изменения настроек браузера:
• Имеющееся у заказчика устройство
DC
перенаправляет трафик в облако помощи
функций Cascade Proxy или Port Foreward
Опционально - Passive Identity Management:
• В HTTP-запросы пользователей добавляется
защищенная (хеши) информация об имени
пользователя/группы при помощи Login
скриптов/GPO
• Прозрачно для пользователя
© Cisco, 2010. Все права защищены. 34/38

35. Опция 2 – при помощи Connector
ПО ScanSafe Connector ScanSafe
Websecurity Service
• Устанавливается и настраивается один
раз, в дальнейшем не требует
администрирования и обновлений
• Перенаправляет Web трафик в облако
• Отвечает за взаимодействие с AD и DC Connector
предоставляет в облако защищенную
информацию о пользователе/группе
• В будущем – функциональность
Connector интегрированная в
маршрутизаторы и МСЭ Cisco
© Cisco, 2010. Все права защищены. 35/38

36. Опция 3 – клиент Anywhere+ для мобильных пользователей
Факт: Мобильные
пользователи только
17% времени в Интернет
• Устанавливается как сетевой драйвер, проводят в корпоративном
незаметен для пользователя VPN. Как контролировать
оставшиеся 83%?
• Автоматически определяет
ближайший к пользователю ЦОД
• Перенаправляет Web трафик
пользователя в облако
• Обеспечивает User/Group Granularity
• Защищен от выключения
пользователем
© Cisco, 2010. Все права защищены. 36/38

37. Туннелирование
VPN-доступ SSL VPN
Туннелирование
без установки
DTLS (голос и
клиента
видео)
Туннелирование Мобильный
IPsec VPN доступ
Желательно внедрять унифицированную
платформу для всех сценариев
© Cisco, 2010. Все права защищены. 37/38

38. ПРОБЛЕМЫ
• Мобильным сотрудникам требуется доступ к сети и «облачным» сервисам
• На множестве пользовательских устройств используются как пользовательские, так и
корпоративные профили
• Множество защищенных и незащищенных точек и методов доступа
Identity Active
Services Directory
Engine
Cisco
ASA
Коммутатор
Сеть Cisco
Интернет комплекса Nexus
зданий Switch +
Мобильный Коммутатор TrustSec
сотрудник + клиент Cisco Catalyst
AnyConnect + TrustSec Защищенные
сетевые ресурсы
РЕШЕНИЕ CISCO
• Единственное в отрасли решение на базе унифицированного клиента
• Решение для обеспечения защищенного доступа с учетом контекста:
поддерживаются проводные, беспроводные и VPN-подключения
• Средства шифрования обеспечивают конфиденциальность передаваемых данных
(интеграция MACsec)
© Cisco, 2010. Все права защищены. 38/38

39. • Проблема
В 2001 DSL-провайдер Cisco обанкротился. Cisco® IT должно было
перевести 9000 удаленных пользователей на новый сервис за один
месяц
• Решение
Миграция с модели «SP Managed VPN Service» на «пользовательскую»
модель с программным VPN-клиентом
• Результат
Сегодня пользователи могут получить доступ в корпоративную сеть из
ЛЮБОГО места, где есть Интернет. Использование доступа утроилось
• Что дальше
Cisco IT расширяет число VPN-шлюзов, ускоряет апгрейд и улучшает
качество защиты и сжатия
© Cisco, 2010. Все права защищены. 39/38

40. • С ростом Интернет и широкополосного доступа ИТ начинает
проект по организации удаленного широкополосного доступа
для сотрудников с рядом операторов связи
• Главная проблема: Множество поставщиков, неполное
покрытие
Наша цель - обеспечить лучший сервис для всех сотрудников по
разумной цене
• Rhythms NetConnections был выбран для обеспечения
защищенного xDSL-доступа для сотрудников в США
Сервис Rhythms DSL был эффективным «частным" DSL сервисов,
предлагающим прямое виртуальное соединение с корпоративной
сетью Cisco
© Cisco, 2010. Все права защищены. 40/38

41. • Август 2001: Rhythms NetConnections обанкротился; более
9000 сотрудников оказались без доступа, ранее
обеспечиваемого с помощью Rhythms DSL service
Задача – обеспечить доступ 9000 сотрудников за один месяц
• Из опыта ИТ знали, что миграция на другой сервис обойдется
дороже и потребует в 10 раз больше человеческих ресурсов,
чем было в наличии
© Cisco, 2010. Все права защищены. 41/38

42. • Кризис удаленного доступа заставил ИТ задуматься о других
вариантах
• Из множества сценариев была выбрана новая модель:
Пользовательская модель на базе программного VPN-клиента
Пользователь сам выбирал способ подключения к сети (GPRS,
CDMA, Wi-Fi, DSL и т.д.)
Cisco оплачивает подключение к оператору связу
Cisco IT обеспечивает и поддерживает VPN-соединение через
Интернет-шлюз в корпоративную сеть Cisco
© Cisco, 2010. Все права защищены. 42/38

43. • Рост продуктивности
Удаленный доступ означает
возможность работать из дома или в
дороге. Для многих пользователей
это значит увеличение
продуктивности на 10-40% в день
• Рост удовлетворенности
Сотрудники находят баланс между
работой и семьей, имея
возможность подключаться к
корпоративной сети в любое время.
В 2001 Cisco® имело 9000 DSL
пользователей, а в 2003 их стало
уже 23,000.
© Cisco, 2010. Все права защищены. 43/38

44. • Глобализация
Глобальная компания должна
предоставлять эффективную возможность
работать всем сотрудникам, находящимся
в разных часовых поясах, в разных точках
земного шара.
• Гибкость
Удаленный доступ обеспечивает гибкость во время кризисов,
эпидемий, катастроф и т.д.
• Поддержка
Т.к. большинство сотрудников Cisco используют собственное
подключение к оператору связи, мы не тратим усилия на поддержку и
разбор проблем, связанных с подключением к Интернет
© Cisco, 2010. Все права защищены. 44/38

45. http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
© Cisco, 2010. Все права защищены. 46/38

46. Спасибо
за внимание!
security-request@cisco.com