Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Концепция BYOD в решениях Cisco

3,419 views

Published on

Published in: Technology
  • Be the first to comment

Концепция BYOD в решениях Cisco

  1. 1. Концепция BYOD в решенияхCiscoАлексей ЛукацкийМенеджер по развитию бизнеса© 2011 Cisco and/or its affiliates. All rights reserved. 2010 Cisco Confidential 1/68 1
  2. 2. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие Платформа Cisco ISE Cisco BYOD в реальном мире© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2/68
  3. 3. План презентации Мобильность, BYOD, безопасность© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3/68
  4. 4. Быть свободным от границ рабочего стола, рабочего телефона, персонального компьютера и переговорных© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4/68
  5. 5. Создавать собственное рабочее пространство - когда хочешь, где хочешь и какое хочешь Видео- Presence транспорт Контроль Политики звонков Распознавание Конференции речи© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5/68
  6. 6. Чтобы рабочее место следовало за работником, а не наоборот – к заказчикам, к партнерам, в пути© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6/68
  7. 7. Работать вместе с тем, кто нужен, не взирая на его Маша Петрова местонахождение и часовой пояс ЗАЩИЩЕНО Наставник Организатор Директор Сын (в школе) Технолог Мама Исследователь Дизайнер Ася Букина Статус: Предпочтение: Вася Пупкин Статус: Предпочтение:© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7/68
  8. 8. Чтобы заказчик или партнеры стали полноправными участниками взаимодействия BILLING ISSUE Representative Tier 2 Rep© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8/68
  9. 9. Ускорить прохождение сделок, увеличить их число, ускорить бизнес-процессы, контролируя!© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9/68
  10. 10. Когда все что нужно, это защищенное подключение к сети, какое бы подключение вы не использовали© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10/68
  11. 11. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11/68
  12. 12. Мир ПК Эра пост-ПКz Приложения ОС пользователя ОС Сервера Клиентские устройства © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12/68
  13. 13. 2010 iPad + Mac = 12% рынка ПК 3.6Млрд 100+ миллионов Мобильных устройств* планшетников 300,000 1.8Млрд Ежедневных … имеют web- активаций Android доступ* 70% студентов США используют Mac**Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13/68
  14. 14. 2013 Скоро будетОдин триллион устройств подключенных к сети, по сравнению с 3.6 МЛРД в 2010 Cisco IBSG© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14/68
  15. 15. Бизнес вышел за рамки ПК© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15/68
  16. 16. Новый опыт ИТ-службы Cisco Консьюмеризация Непрерывное соединение Распространение устройств Мобильность Любое устройство, Везде, Всегда, Защищенно.... 2,454 iPads 70% рост Планшетники 11,762 1,164 15,403 3,289 iPhones Android BlackBerry Другие устройства 20% рост 76% рост 0% рост -18% рост© 2010 Cisco and/or its affiliates. All rights reserved. Смартфоны (КПК) Cisco Confidential 16/68
  17. 17. Традиционная архитектура не справляется с требованиями сегодняшнего дня Мобильность Социальность Видео ВиртуализацияОтсутствие поддержки Невозможно Низкое качество и Ограничения в работе смобильных устройств и OC взаимодействовать с совместимость голосом и видео через социальными сетями VDI X X X X© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17/68
  18. 18. Как я буду контролировать, кто и что получил доступ к моей сети?!© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19/68
  19. 19. BYOD: риски безопасностиМобильные устройства пользователей: главный источник рисков УГРОЗЫ • Трудно управлять и защищать (1/3 всех сотрудников постоянно вне офиса) • Вредоносное ПО (Web: основной вектор) • Причина уязвимости корпоративной инфраструктуры • Раскрытие данных на украденных или потерянных устройствах • Нарушение правил контроля доступа • Проблемы обеспечения соблюдения политик BYOD* ̶ основной рискSource: 2011 ISACA IT Risk/Reward Barometer, US Edition (www.isaca.org/risk-reward-barometer)© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20/68
  20. 20. Приоритеты заказчиков/реальные сценарииРеакция на угрозы, связанные с концепцией BYOD 1. Защита оконечных устройств от угроз, присущих web 2.0 2. Обеспечение защищенного удаленного доступа с любых устройств 3. Аутентификация и авторизация пользователей беспроводной сети (гости, временные сотрудники, подрядчики…) Менеджер по продажам заходит на salesforce.com со своего iPhone. Это безопасно?© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21/68
  21. 21. BYOD: спектр реакций Запрет/ограничение Разрешение Поддержка Энтузиазм Среды с жестким контролем Базовые сервисы, простой Различные Корпоративные доступ, почти для всех сервисы, защищенное приложения, новые подключение сервисы, управление Только корпоративные Широкий спектр устройства устройств/только Интернет Различные типы устройств, Производства Образование Различные типы устройств и MDM методы доступа, VDI Инновационные корпорации Биржи Общественные организации и общественные места Здравоохранение Розничные продажи Госучреждения (секретность!) Традиционные корпорации Простой гостевой доступ Корпорации, стремящиеся (Retail on Demand) внедрить BYOD Мобильные сотрудники Поддержка временных сотрудников (видео, среды совместной© 2010 Cisco and/or its affiliates. All rights reserved. работы, .) Cisco Confidential 22/68
  22. 22. Мобильника Интернет Автомобиля Партнера 97% 84% 64% 43%© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23/68
  23. 23. Многообразие устройств: это надолго Пользователи • Единообразие средств на различных платформах • Простой переход с устройства на устройство • Разделение рабочих 89% 26% и личных данных 75% • Следование технической и социальной моде 10% 36% ИТ-специалисты • Постепенное распространение 22% пользовательских/ мобильных устройств • Следование BYOD без 1% 23% жертв в сфере безопасности, управления, поддержания стандартов • Снижение затрат организации • Повышение гибкости© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24/68
  24. 24. Проблема контроля доступа ЦЕЛИ БИЗНЕСА ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ―Управление рисками, связанными с ―BYOD‖ персональными устройствами‖ ―Необходимо обеспечить работы глобального коллектива мобильных сотрудников (включая ―Кто в моей сети, что они делают?‖ партнеров и подрядчиков)‖ ―Необходимо соблюдать нормативные ―Хорошо бы провести сегментацию сети требования и быть готовыми к проверке‖ и ресурсов ЦОД, ограничив права доступа ‖© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25/68
  25. 25. Представляем Cisco TrustSec Идентификация пользователей, профилир ование устройств Удаленный Пользователь Пользователь Устройства Устройства пользователь беспроводной VPN (VPN) сети Гостевой доступ Сети VLAN Авторизация Инфраструктура в соответствии Профилирование с поддержкой Списки dACL с политикой Оценка состояния identity Метки SGT Доступ и сервисы Масштабируемые средства в соответствии обеспечения Оценка состояния и с политикой шифрование каналов ЦОД Зоны Интранет Интернет безопасности© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26/68
  26. 26. Решение Cisco для реализации концепции BYOD ISE NCS Prime IronPort WSA Коммутаторы Cisco MDM Manager Catalyst Контроллер WLAN Cisco Устройство стороннего поставщика (MDM) CSM / ASDM Устройства проводной сети AC NAM (только Windows) AC NAM (только Windows) AC VPN (все мобильные платформы) Интеграция AC с облачными сервисами (Все PC)© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27/68
  27. 27. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28/68
  28. 28. Защищенная мобильность: Cisco AnyConnect и другие Cisco AnyConnect Сервисы Cisco для обеспечения Cisco ASA безопасности контента 29
  29. 29. Защищенная мобильность: Cisco AnyConnect и другие Cisco AnyConnect 30
  30. 30. Основные сведения• Независимость от протоколов: с использованием клиента и без использования клиента; IPSec или SSL VPN• Автоматизация: поддержка работы в автоматическом режиме, постоянно активное подключение, выбор оптимального шлюза, автоматическое восстановление подключения• Постоянная защита: автоматическое определение ближайшего шлюза и переключение на него без повторного ввода учетных данных• Гибкие варианты лицензирования: Essentials, Premium, Mobile• Поддержка мобильных устройств: Поддержка Apple ios4+ (iphone, ipad, itouch), Cisco Cius, Samsung Android, Windows, MAC, Linux© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
  31. 31. Защищенная мобильность: AnyConnect и другиеСеть и безопасность идут за пользователем. Пользователь просто работает Корпоративный офис Мобильный Домашний офис пользователь Пров. сеть Wi-Fi Сотовая/ Wi-Fi Защищенный доступ в соответствии с политикой Голос, видео, приложения, данные© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
  32. 32. iPhone 3G/3GS/4/4S iPad и iPad 2 iTouch Поддержка платформ на базе Apple iOS 5Lenovo Thinkpad Samsung Galaxy HTC Cisco Cius Поддержка платформ на базе Android
  33. 33. Модульная структура AnyConnect Будущее SSL /DTLS VPN Оценка Облачные L2 Supplicant (Essential IPsec VPN состояния/ сервисы - (пока только Win) NAC Agent или (БЕСПЛАТНО) HostScan web-трафик (требуется ACS Mobile WAAS Premium) (Premium) (по подписке) или ISE) Платформа базовых сервисов AnyConnect Архитектура© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
  34. 34. Защищенная мобильность: AnyConnect и другие Cisco ASA 35
  35. 35. Поддержка самых разных потребностей ASA 5585 SSP-60 (40 Гбит/с, 350K c/с)Производительность и масштабируемость ASA 5585 SSP-40 (20 Гбит/с, 240K c/с) Мультисервисное решение ASA 5585 SSP-20 (МСЭ, VPN и IPS) (10 Гбит/с, 140K c/с) ASA 5585 SSP-10 (4 Гбит/с, 65K c/с) ASA 5540 (650 Мбит/с,25K c/с) ASA 5520 (450 Мбит/с,12K c/с) ASA 5510 (300 Мбит/с,9K c/с) ASA 5505 (150 Мбит/с, 4K c/с) Платформа ASA 5550 МСЭ и VPN (1,2 Гбит/с, 36K c/с) SOHO Филиал Интернет-периметр Комплекс зданий ЦОД
  36. 36. Защищенная мобильность: AnyConnect и другие Сервисы Cisco для защиты контента 37
  37. 37. Облачные сервисы ScanSafeИнтеграция с AnyConnect 3.0 Интернет-трафик VPN – внутренний трафик (опционально) AnyConnect Secure Mobility
  38. 38. Управление работой web-приложений Тонкое управление работой с web-приложениями Политика контроля доступа Нарушение политики• Мгновенные сообщения • Передача файлов по IM • Блокировка «взрослого» контента• Facebook: с ограничениями • Чат Facebook • Ограничение пропускной способности• Видео: не более 512 кбит/с • P2P Сотрудница бухгалтерии Тонкое управление работой с приложениями
  39. 39. Решение Cisco IronPort WSA Защита от угроз, связанных с Web 2.0• Фильтры web-репутации: учет более чем 200 параметров позволяет блокировать более 70% угроз категории "Day Zero"• Управление фильтрацией доступа к web-ресурсам: блокирование доступа к URL-адресам (отнесенных к определенным категориям и не классифицированным); динамический модуль сканирования контента успешно идентифицирует более 90% URL-адресов нежелательного контента• Модуль поиска вредоносного ПО: блокировка известного вредоносного ПО практически без задержек (как с использованием сигнатур, так и с использованием эвристического анализа)• Управление приложениями Web 2.0: Facebook, Twitter, You Tube и т. п.• Средства управления пропускной способностью для отдельных пользователей (You Tube и т. п.)
  40. 40. Защищенная мобильность: AnyConnect и другиеКомпоненты и их функции VPN-клиент AnyConnect Решение Cisco IronPort WSA 1 2  Удобство подключения (постоянное  Устранение вредоносного ПО подключение, обнаружение доверенной сети)  Фильтры репутации  Унифицированный агент (VPN, NAM, Scansafe,  Монитор трафика (L4) NAC-в следующей версии)  Контроль использования web-ресурсов  Интеграция/совместная работа Cisco ASA (МСЭ, VPN, IPS) Обмен данными между ASA и WSA Cisco® AnyConnect ASA Cisco WSA Facebook Salesforce.com Corporate AD Корпоративная Социальные сети SaaS-система
  41. 41. Новости Электронная почтаAnyConnect Обмен данными между ASA и WSA ASA Cisco WSA Социальные сети Корпоративная SaaS-система Corporate AD© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
  42. 42. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие Платформа Cisco ISE и TrustSec© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
  43. 43. Доступ с любого устройства КАФЕ ОФИС ПРОБЛЕМА Учет результатов идентификации и Обеспечение выполнения Защита конфиденциальности ролевая модель контроля доступа политик: от пользовательских в рамках всей сети Гостевой доступ устройств до ЦОД© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
  44. 44. Контроль доступа ГДЕ ЧТО КОГДА КТО КАК ? ? ? Виртуальные машины в ЦОД VPN MACSec Решения на основании состояния 1. Разрешение/блок в соответствии с политикой СТОП ЦОД 2. Авторизованным устройствам назначаются метки политики 3. Теги политики учитываются при работе в сети ОК РЕШЕНИЕ CISCO Согласованная политика на Распространение сведений о Метки групп безопасности основании результатов политиках и интеллектуальных позволяют обеспечить идентификации на всех уровня – от механизмов по сети масштабируемое применение устройства до ЦОД – в политик соответствии с бизнес- с учетом контекста потребностями© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
  45. 45. Пользователи и устройства Сотрудники, Контрактники, Телефоны, Принтеры… Виктория Катернюк Сотрудник Мария Сидорова IP-камера Проводной доступ Сотрудник HR Корпоративный ресурс Конфиденциальные ресурсы 15-00 Проводной доступ Ноутбук MAC: F5 AB 8B 65 00 D4 11-00 Корпоративный ресурс Сеть, устройства и Приложения Лаборатория 11 утра Множество методов доступа Анна Петрова Катя Жуковская Разные устройства, разные места сотрудник CEO сотрудник Удаленный доступ R&D 10 вечера WiFi Антон Алмазов 14:00 дня консультант Центральный офис Сергей Балазов Удаленный доступ контрактник 6:00 вечера Все необходимо контролировать IT Проводное подключение 10 утра IP телефон G/W Принтер Корпоративный актив Некорпоративный актив Финансовый департамент MAC: B2 CF 81 A4 02 D7© 2010 Cisco and/or its affiliates. All rights reserved. 11:00 вечера Cisco Confidential 48/68
  46. 46. Идентификация пользователей, профилир ование устройств Удаленный Пользователь Пользователь VPN Устройства Устройства пользователь беспроводной (VPN) сети Гостевой доступ Сети VLAN Авторизация Инфраструктура в соответствии Профилирование с поддержкой Списки dACL с политикой Оценка состояния identity Метки SGT Доступ и сервисы Масштабируемые средства в соответствии обеспечения Оценка состояния и с политикой шифрование каналов ЦОД Зоны Интранет Интернет безопасности© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49/68
  47. 47. Задание политики и сервисы обеспечения безопасности Identity Services Engine (ISE) Платформа идентификации и контроля доступа Обеспечение выполнения политик Cisco 2900/3560/3700/4500/6500 и Nexus 7000, Cisco ASA, ISR, ASR 1000 инфраструктура WLAN и инфраструктура маршрутизации Клиент NAC Agent Web Agent Саппликант 802.1x Бесплатные (постоянно и временно загружаемые) клиенты Саппликант AnyConnect или встроенный в ОС для оценки состояния и устранения несоответствий© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50/68
  48. 48. Представляем Cisco ISE Решение в области обеспечение ИБ следующего поколенияИдентификация и контроль доступа Cisco ACS AnyConnectИдентификация, контроль доступа, оценка состояния NAC Manager NAC Server Профилирование, выделение ISE ресурсов, мониторинг NAC Profiler NAC Collector Автономное устройство или лицензия на модуль NAC Server Управление жизненным циклом гостевого доступа NAC Agent NAC Guest Server
  49. 49. Консолидированные сервисы в Каталог текущих сессий одном продукте Гибкие схемы внедрения ACS User ID Access Rights NAC Manager Admin M&T All-in-One HA Console NAC Profiler Pair NAC Server ISE Distributed PDPs NAC Guest Location Device (& IP/MAC) Simplify Deployment & Admin Tracks Active Users & Devices Optimize Where Services Run Гибкость политик доступа Управление доступом на основе Групп Безопасн Функции детального мониторинга и поиска неисправностей SGT Public Private Staff Permit Permit Guest Permit Deny Link in Policy Information Points Keep Existing Logical Design Consolidate Data, Three-Click Drill-In
  50. 50. “Сотрудники могут получать доступ ко всем ресурсам с личных и корпоративных устройств. Доступ внешних пользователей блокируется.” Интернет “Сотрудники должны использовать корпоративные устройства. Личные устройства Внутренние запрещены, гостевой доступ не предусмотрен.” ресурсы Сеть комплекса зданий Ограниченный набор ресурсов “Сотрудники могут получать доступ к любым ресурсам с корпоративных устройств. Сотрудникам, использующим личные устройства, Это важно! и партнерам предоставляется ограниченный доступ.” Сервисы политики© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
  51. 51. EAP Phase 1 Аутентификация устройства MAC, DHCP, DNS, HTTP Phase 2 Определение типа ISE Phase 3 Политика WLC Огр. Устр-во ОК?доступ QoS • Silver ACL • Allow-All Полный доступ • Сотрудники VLAN© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54/68
  52. 52. Cisco Catalyst® Switch Дифференциаторы Monitor Mode Гибкая последовательность аутентификации Поддержка IP Telephony Поддержка Virtual Desktop EnvironmentsПользователи Tablets IP Phones Сетевые устройства Гости 802.1X MAB and Profiling Web Auth Варианты аутентификации IEEE 802.1x MAC Auth Bypass Web Authentication © 2011 Cisco and/or its affiliates. All rights reserved. Поддержка на всех моделях коммутаторов Cisco Confidential 55
  53. 53. Метод авторизацииОпределяет поведение интерфейс на основании числа mac-адресовCisco IOS поддерживает 4 режима работы хостов Один хост Коммутатор Неск. хостов Коммутатор Разрешен только один MAC- адрес. 2й 1й MAC-адрес проходит MAC-адрес: нарушение аутентификацию. 2е устройство используется аутентификацию первого Хаб MAC-адреса. Хаб Аутентификация Обход VLAN dACL VLAN SGT Устройство 1 Устройство 2 SGT Устройство 1 Устройство 2 Аутент. MDA Коммутатор Несколько хостов в домене Коммутатор Для каждого домена (Voice или Data) Домен Voice: один MAC-адрес. Домен разрешен 1 MAC- адрес. 2й MAC-адрес в Data: несколько MAC-адресов. домене: нарушение Поддерживается dACL или одна VLAN Voice для всех устройств Voice Data Data Data VLAN dACL VLAN dACL SGT Устройство 1 Устройство 2 SGT Устройство 1 Устройство 2© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56/68
  54. 54. Смартфоны Минимальный уровень совпадения Несколько правил для формирования уровня совпадений Игровые консоли Рабочие станции© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57/68
  55. 55. После профилирования устройства сведения о нем сохраняются на ISE: MAC-адрес соответствует Apple? В имени есть строка ―iPad‖? Web-браузер Safari? ISE Apple iPad© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58/68
  56. 56. NAC Profiler ISE Profiler• OEM-решение (продажи прекращены) • Собственная разработка Cisco, полная интеграция с ISE• Технологии сканирования: • Технологии сканирования: NetMap (SNMP), NetTrap (SNMP), NetWatch Netflow, DHCP Helper, DHCP Span, HTTP, RADIUS, (Span), NetRelay (NetFlow) DNS, SNMP Query, SNMP Trap, активное и NetInquiry (Active Scannig) сканирование • Автономный сервер или распределенная• Распределенный модуль сбора инфраструктура информации, данные отсылаются на Profiler Server для обработки (клиент/сервер) • Более 90 профилей в конфигурации по умолчанию• Управление на базе SNMP для реакции • Управление на базе RADIUS для реакции • Более гибкий импорт данных об оконечных устройствах csv, LDAP, ...) • Интеграция с сенсором IOS© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59/68
  57. 57. • Включение типов сканирования• Использование заранее определенных наборов правил профайлера или создание собственных• Включение профиля как группы идентификации и использование его при аутентификации/авторизацииhttp://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_prof_pol.html© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60/68
  58. 58. Wireless Wired User Devices Virtual Desktop Remote VPN User User Контроль на базе Варианты контроля политик VLANs IDENTITY и CONTEXT AWARE Access Control Lists NETWORK Secure Group Tags * MACSec Encryption * *= Cisco Innovation ЦОД Intranet Internet Зоны безопасности© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61/68
  59. 59. Cisco Innovation DACL или Named ACL VLANS Security Group Access Employee IP Any Remediation Contractor Employees Guest Security Group Access— VLAN 3 VLAN 4 SXP, SGT, SGACL, SGFW• Минимальное воздействие на • Не требует управление ACL на • Простое управление ACL endpoint (не требуется менять IP- портах коммутатора адрес) • Универсальный • Лучший вариант для изоляции контроль, независящий от• Улучшенное восприятие топологии пользователями • Гранулированный и гибкий контроль доступа Гибкие механизмы применения на инфраструктуре Различные сценарии для различных заказчиков© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62/68
  60. 60. Политики на техническом языке Политики на базе ролевого управления Пользователи Права Ресурсы Матрица прав Оператор Intranet Email Financial D1 АСУ ТП S1 (10.156.78.100) Portal Server Servers (10.10.24.13) АСУ ТП Web File D2 Оператор Web IMAP No Access Web File Share Share S2 (10.10.28.12) Finance Web IMAP Web No Access D3 Full (10.156.54.200) IT Admin Web, SQL, SSH Access SQL SQL Finance S3 Email D4 Intranet Doctor - Patient Record ACL (10.10.36.10) permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 IT Admins (10.156.100.10) deny ip S4 D6 Finance (10.10.135.10) Долго permit permit tcp S1 D1 eq https tcp S1 D1 eq 8081 Просто deny ip S1 D1 Вручную …… …… Гибко Ошибки permit permit tcp S4 D6 eq https tcp S4 D6 eq 8081 Понятно deny ip S4 D6© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63/68
  61. 61. АСУ ТП (confidential) Оператор Неограничено для сотрудников Finance Internet Guest Cisco Innovation Решение СЦЕНАРИИ ВНЕДРЕНИЯ SECURITY GROUP ACCESS (SGA) Масштабируемое применениенезависимо от сетевой топологии МАСШТАБИРУЕМОЕ СНИЖЕНИЕ ОПЕРАЦИОННЫХ УСКОРЕНИЕ БИЗНЕС-ЦИКЛА ВНЕДРЕНИЕ ЗАТРАТ © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 64/68
  62. 62. Wired, Wireless, VN User Временный доступ до момента Не соответствует! приведения в соответствиеПример политик: Сложности: Ценность:• Microsoft patches updated • Понимание состояние устройства • Временный (web-based) или • Различные уровни доступа к постоянный агент• McAfee AV установлен, запущен и обновлен устройствам • Автоматическое приведение в • Цена приведения в соответствие соответствие• Запущены корпоративные приложения • Различные варианты© 2010 Cisco and/or its affiliates. All rights reserved. реагирования Cisco Confidential 65/68
  63. 63. Гостевая политика Web Authentication Internet Wireless или Wired Гости Access Доступ только в Интернет Заведение: Управление: Уведомление: Отчет:Гостевая учетная запись через Привилегии спонсора, Детали гостевой учетной Все аспекты гостевого доступа Sponsor Portal гостевые политики и учетные записи на принтер, почту или записи, гостевой портал SMS © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 66/68
  64. 64. TrustSec 2.1 Feature Matrix Security Group Access MACSec 802.1x / Device Switch to Client toPlatform Models Identity SGT SXP SGACL SG-FW Sensors Switch Switch FeaturesCat 2K 2960, 2960-SCat 3K 3560, 3650E, 3750, 3750E, 3750-X 3560-X x 3560 CCat 4K Sup6E , Sup 6L-E Sup7E, Sup 7L-ECat 6K Sup32 / Sup720 Sup2TNexus 7KNexus 5K Pr1 / Pr2, 1001, 1002, 1004, 1006,ASR 1K 1013, ESP10/20/40, SIP 10/40ISR G2 88X 89X 19xx 29xx 39xxASAWireless LANControllerAnyConnect© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 67/68
  65. 65. NCS Централизованный мониторинг сетей, ISE пользователей и устройств Центральная точка формирования политик для пользователей и устройств Унификация политики для проводных и беспроводных устройств (ISE) и управления (NCS)© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 68/68
  66. 66. Реализация BYOD на базе ISEКонтроль доступа Я хочу разрешить работу Сервисы аутентификации в моей сети только «нужных» пользователей и устройств Мне нужно, чтобы пользователи и устройства получали адекватный Сервисы авторизации доступ к сетевым сервисам (dACL, Qos, и т. п.) Cisco ISE Мне требуется разрешить Управление жизненным гостевой доступ к сети циклом гостевого доступа Мне требуется разрешить/запретить доступ с iPAD Сервисы профилирования в мою сеть(BYOD) Мне требуется уверенность, что мои оконечные устройства не Сервисы оценки состояния станут источником атаки
  67. 67. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие Платформа Cisco ISE Cisco BYOD в реальном мире© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
  68. 68. Мобильные + ПК Политика Распространение использования корпоративного ПО Классификация/ (AUP) Регистрация Управление профилирование Пользовательские (резервное копирование, устройства удаленная очистка, ...) Соответствие политикам Защищенный доступ к сети Предоставление (Jailbreak, пин-коды, ...) [(бес)проводной и VPN] сертификатов и саппликантов Защищенные Контекстнозависимый контейнеры контроль доступа данных Управление (роль, местоположение, ...) ресурсами Управляет Управляет ИТ Частичное управление у ИТ пользователь (не ИТ) (не пользователь) = Сетевые средства (ISE) = Полная управляемость (будущее)© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71
  69. 69. MDM Ecosystem Интеграция с лидерами рынка MDM * AD/LDAP ISE • MobileIron, Airwatch, Zenprise Контекстная MDM Mgr политика • Заказчики могут выбирать ? Cisco Catalyst Switches Cisco WLAN Controller Функции: User Y • Всесторонний анализ устройств User X • Детальный контекст пользователей и устройств • Расширенная защита устройств и приложений Window или OS X ПК Смартфоны, включая устройства с iOS или Android * Scheduled for Fall 2012 Wired или Wireless Wireless© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72
  70. 70. Устройства Безопасность Управление Форм Фактор Защищенное Управление соединение устройством ОС Контроль Слежение за приложений устройством Приложения Внедрение Защита Web Голос Конференции приложений Internal Web Apps Apps Видео Сообщения Защита Производительно устройства сть & Диагностика Соединение Управление Шифрование затратами на 2G/3G WiFi VPN данных связь© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73

×