Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Как маршрутизатор Cisco ISR помогает выполнить требования PCI DSS

2,080 views

Published on

Published in: Self Improvement
  • Be the first to comment

  • Be the first to like this

Как маршрутизатор Cisco ISR помогает выполнить требования PCI DSS

  1. 1. Система безопасностимаршрутизатора Cisco IOS:обеспечениесоответствия требованиямстандарта PCIPresentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 1
  2. 2. Система безопасности Cisco IOS обеспечивает соответствие требованиям стандарта PCI ОбеспечениеТребование стандарта PCI безопасностиТребование 1 стандарта PCI: установка и поддержка конфигурации межсетевого экрана Межсетевой экран Cisco IOSдля защиты данныхТребование 2 стандарта PCI: запрет на использование предоставляемых поставщиком Программное обеспечениестандартных значений для системных паролей и других параметров безопасности Cisco IOSТребование 3 стандарта PCI: защита хранимых данных НедоступноТребование 4 стандарта PCI: шифрование передачи данных держателей карт и Решения для VPN Cisco IOSконфиденциальной информации в общедоступных сетяхТребование 5 стандарта PCI: использование и регулярное обновление антивирусных Cisco IOS Scansafeпрограмм ConnectorТребование 6 стандарта PCI: разработка и обслуживание защищенных систем и Функция NAC Cisco IOSприложенийТребование 7 стандарта PCI: ограничение доступа к данным по принципу необходимого Межсетевой экран Cisco IOSзнания на основе идентификацииТребование 8 стандарта PCI: назначение уникального идентификатора каждому Центр сертификации Ciscoпользователю, имеющему доступ к компьютеру IOS, 802.1xТребование 9 стандарта PCI: ограничение физического доступа к данным держателей карт НедоступноТребование 10 стандарта PCI: отслеживание и контроль всех попыток доступа к сетевым Cisco IOS Syslog, MIB иресурсам и данным держателей карт NetflowТребование 11 стандарта PCI: регулярная проверка систем и процессов обеспечения Система предотвращениябезопасности вторжений (IPS) Cisco IOSТребование 12 стандарта PCI: поддержка политики, которая обеспечивает Cisco CLI, CCP, CSM и CCEинформационную безопасностьPresentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 2
  3. 3. Требование 1 стандарта PCI:установка и поддержка конфигурации межсетевого экрана длязащиты данных Межсетевой экран Cisco IOS с политикой на основе зон  Позволяет группировать физические и Поддерживаемые функции виртуальные интерфейсы в зоны.  Проверка уровня 3-7 с учетом состояния  Политики межсетевого экрана настроены  Проверка приложений: IM, POP, на передачу трафика между зонами. IMAP, SMTP/ESMTP, HTTP, SIP, Skinny, FTP, TFTP и т. д.  Простота добавления или удаления  Фильтрация URL-адресов интерфейсов и их интеграции в политику  Параметр для каждой политики межсетевого экрана  Прозрачный межсетевой экран  Межсетевой экран с поддержкой Политика VRF закрытой ДМЗ Демили Политика таризов закрытой ДМЗ анная Политика зона открытой ДМЗ Надежная Интернет Ненадежная зона зона Закрытая-открытая политикаPresentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 3
  4. 4. Требование 2 стандарта PCI: запрет на использование предоставляемых поставщиком стандартных значений для системных паролей Безопасная работа устройств Cisco IOS Функция безопасности Действие и преимущество Cisco® IOS®Шифрованный доступ через  Шифрование доступа к SDM на основе web-интерфейса с помощью HTTPS. web-интерфейсШифрованный доступ к CLI  Telnet CLI и HTTPS защищены с помощью шифрования по протоколам SSHv2 и SSL.  Протокол SNMPv3 обеспечивает защищенное управление при использовании готовых и настраиваемых приложений. Защищенный доступ к  Cisco IOS поддерживает шифрование по стандартам DES и AES. функциям управления  Недавно институт SANS определил самую важную проблему в области безопасности, следующую за такими основными проблемами, как пароли.  Обеспечение более высокого уровня безопасности по сравнению со стандартными предраспределенными Инфраструктура открытых ключами. ключей (PKI)  Исключение возможности попадания предраспределенных ключей в руки злоумышленников. Закрытый ключ,  Защита от использования маршрутизаторов, захваченных злоумышленниками: если злоумышленник пытается защищенный алгоритмом изменить конфигурацию, закрытый ключ стирается, что приводит к невозможности использования устройства. RSA Сервер сертификатов  Облегченный сервер сертификатов, входящий в состав Cisco IOS, для упрощения развертываний. Интеграция AAA  Возможность простого хранения разрешений пользователей или групп на сервере AAA. Проверка безопасности  Предоставление журнала аудита изменений конфигурации Доступ к интерфейсу  Предоставление отдельных наборов команд и уровней доступа. командной строки (CLI) на  Процесс создания политик происходит независимо от выполнения текущих операций, что способствует более основе ролей эффективной подотчетности.  Регистрация изменения конфигурации для отдельных пользователей и отдельных сеансов обеспечивает Настройка и регистрация достоверное ведение журналов. событий  Более высокий уровень прозрачности и подотчетности, большая уверенность в действии механизма отчетности. Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 4
  5. 5. Требование 4 стандарта PCI: шифрование передачи данных держателей карт Ведущие в отрасли решения для VPN Cisco IOS Решение Основные технологии Стандартный  Полное соответствие стандартами для взаимодействия с протокол IPSec другими поставщиками  Сеть VPN с топологией «звезда»: Enhanced Easy VPN — динамические интерфейсы виртуальных туннелей (VTI), внедрение обратной маршрутизации, динамический проброс политики, высокая Расширенная масштабируемость сеть VPN по Направленный IPSec + GRE или DMVPN с динамической маршрутизацией схеме «узел-  VPN с топологией «сеть-сеть»: Динамическая многоточечная узел» сеть VPN (DMVPN) — сети VPN по запросу (частичная mesh- (site-to-site) топология)  VPN с топологией «любой-к-любому»: Group-Encrypted Transport (GET) VPN — отсутствие туннелей «точка-точка»  Easy VPN (IPSec): динамический проброс политики Cisco и Расширенная БЕСПЛАТНЫЕ VPN-клиенты для платформ Windows, Linux, сеть VPN Solaris и Mac удаленного  SSL VPN: предварительная установка клиента не требуется; доступа безопасность оконечных устройств обеспечивается с помощью защищенной настольной системы CiscoPresentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 5
  6. 6. Требование 5 стандарта PCI:использование и регулярное обновление антивирусныхпрограммРешение Cisco IOS по фильтрации контента изащите от вирусов, предоставляемое серверамиScansafe в облачной среде Филиал, розничное предприятие или домашний офис Офис предприятия Интернет ISR G2 с программой Scansafe Утвержденный Connector контент Web-службы безопасности и фильтрации Scansafe Заблокированные Заблокированные файлы URL-адреса Заблокированный контент Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 6
  7. 7. Требование 6 стандарта PCI:разработка и обслуживание защищенных систем и приложенийс помощью установленных обновлений системы безопасности отпоставщиков Функция управления доступом в сеть Cisco IOS обнаруживает и изолирует несовместимые устройства Серверы, предпринимающие Реализация Обеспечивает действие попытки доступа в сеть прав доступа на основе Сервер Сервер состояния безопасности политики поставщика Учетные Учетные (AAA) Учетные оконечных устройств данные данные данные Позволяет использовать EAP/UDP, RADIUS HTTPS только совместимые и EAP/802.1x Права доверенные оконечные доступа Соответствует? Уведомление устройства Cisco Trust Agent Ограничивает доступ несовместимых устройств в сеть Коалиция ведущих поставщиков Поддерживает несколько поставщиков AV и ПО для безопасности настольных систем, включая Cisco® Security AgentPresentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 7
  8. 8. Требование 7 стандарта PCI:ограничение доступа к данным по принципу необходимого знания Межсетевой экран Cisco IOS на основе идентификации пользователей или групп 2.1.1.2 : пользователь: Мария Межсет евой экран 2.1.1.1 : пользователь: Иван TAG Ивана: отказать в доступе к HR, проверить HTTP/FTP TAG Марии: отказать в доступе к Eng, проверить http/smtp Интернет Головные ограничение скорости для p2p/im 1.1.1.1 : пользователь: Иван офисы Поддерживает интеграцию политик межсетевого экрана на основе зон с MS Active Directory и LDAP для ограничения доступа выбранных пользователей или групп к определенным данным и (или) приложениям. Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 8
  9. 9. Требование 8 стандарта PCI:назначение уникального идентификатора каждомупользователю, имеющему доступ к компьютеру Контролируемый доступ к сети с помощью стандарта 802.1x Cisco IOS и упрощенное развертывание инфраструктуры открытых ключей (PKI)  Контролирует пользователей, получающих доступ к сети 802.1x, NAC уровня 2 NAC, ACL, безопасность портов, уведомления MAC-адресов  Безопасное управление RADIUS/TACAC+, SSH, SNMPv3  Easy VPN также поддерживает сертификаты PKI и может использовать сервер клиентского доступа Cisco® IOS® для регистрации Соблюдение принципов идентификации по стандарту 802.1x Цифровой Цифровой сертификат сертификат Маршрутизатор филиала или Сервер AAA домашний маршрутизатор с клиентом EzVPN WAN Офис Маршрутизатор предприятия филиала стандарта 802.1xPresentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 9
  10. 10. Требование 10 стандарта PCI:отслеживание и контроль всех попыток доступа к сетевымресурсам и данным держателей карт Cisco предоставляет несколько вариантов контроля событий Действие системы CS-MARS защиты сети Журнал межсетевого Событие IDS экрана Настройка Журнал коммутатора  Серверы Syslog Настройка коммутатора межсетевого экрана Настройка NAT Все компоненты Cisco IOS могут отправлять события с помощью сообщений Syslog Настройка маршрутизатора . . NetFlow .  SNMP (через MIB) Изолированные события  Функция Netflow Cisco IOS Сеансы Идентификация и классификация атак Отслеживание атак вплоть до их источника Правила Проверка  Система управления безопасностью Cisco MARS (CS-MARS) Допустимые инцидентыPresentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 10
  11. 11. Требование 11.4 стандарта PCI:использование систем обнаружения и предотвращениявторжений в сетьСистема предотвращения вторжений (IPS) Cisco IOS обеспечиваетраспределенную защиту от атак  Cisco® IOS® IPS блокирует атаки в точке входа, обеспечивает безопасность полосы пропускания глобальной сети и защищает маршрутизатор и удаленную сеть от DoS-атак.  Отсутствие привязки к процессу передачи данных — возможность защиты любого типа интерфейсов LAN, WAN, WLAN в обоих направлениях трафика, включая 3G, T3/E3 и MPLS.  Поддержка сигнатур более 3 700 различных атак, использующих одну базу данных сигнатур, находящуюся на изолированных датчиках IPS Cisco.  Возможность использования настраиваемых наборов сигнатур и действий, а также автоматические загрузки обновлений сигнатур для быстрого реагирования на новые угрозы. Защита маршрутизатора Остановка атак и локальной до их сети от DoS-атак распространения Филиал по глобальной сети Офис Интернет предприятия Применение системы Небольшой предотвращения вторжений филиал Небольшой офис (IPS) к трафику из филиалов и удаленный для уничтожения червей с сотрудник зараженных компьютеровPresentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 11
  12. 12. Требование 12 стандарта PCI:поддержка политики, которая обеспечивает информационнуюбезопасность Cisco предоставляет целый ряд возможностей по настройке функций и политик обеспечения безопасности на маршрутизаторах.  Интерфейс командной строки (CLI) Cisco IOS  Средства для профессионального управления конфигурацией Cisco (CCP) Простота использования: интеллектуальные мастеры, встроенные учебники Интеллектуальные приложения: база знаний конфигураций Cisco IOS, утвержденных центром технической поддержки (TAC) Интегрированное управление услугами: маршрутизация, коммутация, обеспечение безопасности, беспроводная связь, качество обслуживания, голосовая связь  Cisco Security Manager (CSM) Поддержка представлений «Устройство», «Политика» и «Топология» Поддержка нескольких функций безопасности и устройств Cisco (ASA, ISR, IPS)  Система настройки Cisco Configuration Engine (CCE) для крупномасштабных развертыванийPresentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 12
  13. 13. Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 13

×