More Related Content
Similar to Как маршрутизатор Cisco ISR помогает выполнить требования PCI DSS (20)
More from Cisco Russia (20)
Как маршрутизатор Cisco ISR помогает выполнить требования PCI DSS
- 2. Система безопасности Cisco IOS обеспечивает
соответствие требованиям стандарта PCI
Обеспечение
Требование стандарта PCI безопасности
Требование 1 стандарта PCI: установка и поддержка конфигурации межсетевого экрана Межсетевой экран Cisco IOS
для защиты данных
Требование 2 стандарта PCI: запрет на использование предоставляемых поставщиком Программное обеспечение
стандартных значений для системных паролей и других параметров безопасности Cisco IOS
Требование 3 стандарта PCI: защита хранимых данных Недоступно
Требование 4 стандарта PCI: шифрование передачи данных держателей карт и Решения для VPN Cisco IOS
конфиденциальной информации в общедоступных сетях
Требование 5 стандарта PCI: использование и регулярное обновление антивирусных Cisco IOS Scansafe
программ Connector
Требование 6 стандарта PCI: разработка и обслуживание защищенных систем и Функция NAC Cisco IOS
приложений
Требование 7 стандарта PCI: ограничение доступа к данным по принципу необходимого Межсетевой экран Cisco IOS
знания на основе идентификации
Требование 8 стандарта PCI: назначение уникального идентификатора каждому Центр сертификации Cisco
пользователю, имеющему доступ к компьютеру IOS, 802.1x
Требование 9 стандарта PCI: ограничение физического доступа к данным держателей карт Недоступно
Требование 10 стандарта PCI: отслеживание и контроль всех попыток доступа к сетевым Cisco IOS Syslog, MIB и
ресурсам и данным держателей карт Netflow
Требование 11 стандарта PCI: регулярная проверка систем и процессов обеспечения Система предотвращения
безопасности вторжений (IPS) Cisco IOS
Требование 12 стандарта PCI: поддержка политики, которая обеспечивает Cisco CLI, CCP, CSM и CCE
информационную безопасность
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 2
- 3. Требование 1 стандарта PCI:
установка и поддержка конфигурации межсетевого экрана для
защиты данных
Межсетевой экран Cisco IOS с политикой на основе зон
Позволяет группировать физические и
Поддерживаемые функции
виртуальные интерфейсы в зоны.
Проверка уровня 3-7 с учетом
состояния
Политики межсетевого экрана настроены
Проверка приложений: IM, POP,
на передачу трафика между зонами. IMAP, SMTP/ESMTP, HTTP, SIP,
Skinny, FTP, TFTP и т. д.
Простота добавления или удаления Фильтрация URL-адресов
интерфейсов и их интеграции в политику Параметр для каждой политики
межсетевого экрана Прозрачный межсетевой экран
Межсетевой экран с поддержкой
Политика VRF
закрытой ДМЗ Демили
Политика таризов
закрытой ДМЗ анная Политика
зона открытой
ДМЗ
Надежная Интернет Ненадежная
зона зона
Закрытая-открытая
политика
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 3
- 4. Требование 2 стандарта PCI:
запрет на использование предоставляемых поставщиком
стандартных значений для системных паролей
Безопасная работа устройств Cisco IOS
Функция
безопасности Действие и преимущество
Cisco® IOS®
Шифрованный доступ через
Шифрование доступа к SDM на основе web-интерфейса с помощью HTTPS.
web-интерфейс
Шифрованный доступ к CLI Telnet CLI и HTTPS защищены с помощью шифрования по протоколам SSHv2 и SSL.
Протокол SNMPv3 обеспечивает защищенное управление при использовании готовых и настраиваемых
приложений.
Защищенный доступ к
Cisco IOS поддерживает шифрование по стандартам DES и AES.
функциям управления
Недавно институт SANS определил самую важную проблему в области безопасности, следующую за такими
основными проблемами, как пароли.
Обеспечение более высокого уровня безопасности по сравнению со стандартными предраспределенными
Инфраструктура открытых ключами.
ключей (PKI)
Исключение возможности попадания предраспределенных ключей в руки злоумышленников.
Закрытый ключ,
Защита от использования маршрутизаторов, захваченных злоумышленниками: если злоумышленник пытается
защищенный алгоритмом изменить конфигурацию, закрытый ключ стирается, что приводит к невозможности использования устройства.
RSA
Сервер сертификатов Облегченный сервер сертификатов, входящий в состав Cisco IOS, для упрощения развертываний.
Интеграция AAA Возможность простого хранения разрешений пользователей или групп на сервере AAA.
Проверка безопасности Предоставление журнала аудита изменений конфигурации
Доступ к интерфейсу Предоставление отдельных наборов команд и уровней доступа.
командной строки (CLI) на Процесс создания политик происходит независимо от выполнения текущих операций, что способствует более
основе ролей эффективной подотчетности.
Регистрация изменения конфигурации для отдельных пользователей и отдельных сеансов обеспечивает
Настройка и регистрация достоверное ведение журналов.
событий
Более высокий уровень прозрачности и подотчетности, большая уверенность в действии механизма отчетности.
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 4
- 5. Требование 4 стандарта PCI:
шифрование передачи данных держателей карт
Ведущие в отрасли решения для VPN Cisco IOS
Решение Основные технологии
Стандартный Полное соответствие стандартами для взаимодействия с
протокол IPSec другими поставщиками
Сеть VPN с топологией «звезда»:
Enhanced Easy VPN — динамические интерфейсы виртуальных туннелей (VTI),
внедрение обратной маршрутизации, динамический проброс политики, высокая
Расширенная масштабируемость
сеть VPN по Направленный IPSec + GRE или DMVPN с динамической маршрутизацией
схеме «узел- VPN с топологией «сеть-сеть»: Динамическая многоточечная
узел» сеть VPN (DMVPN) — сети VPN по запросу (частичная mesh-
(site-to-site) топология)
VPN с топологией «любой-к-любому»: Group-Encrypted
Transport (GET) VPN — отсутствие туннелей «точка-точка»
Easy VPN (IPSec): динамический проброс политики Cisco и
Расширенная БЕСПЛАТНЫЕ VPN-клиенты для платформ Windows, Linux,
сеть VPN Solaris и Mac
удаленного SSL VPN: предварительная установка клиента не требуется;
доступа безопасность оконечных устройств обеспечивается с
помощью защищенной настольной системы Cisco
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 5
- 6. Требование 5 стандарта PCI:
использование и регулярное обновление антивирусных
программ
Решение Cisco IOS по фильтрации контента и
защите от вирусов, предоставляемое серверами
Scansafe в облачной среде
Филиал, розничное предприятие
или домашний офис
Офис
предприятия
Интернет
ISR G2 с
программой
Scansafe Утвержденный
Connector контент
Web-службы
безопасности и
фильтрации Scansafe
Заблокированные
Заблокированные файлы
URL-адреса
Заблокированный
контент
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 6
- 7. Требование 6 стандарта PCI:
разработка и обслуживание защищенных систем и приложений
с помощью установленных обновлений системы безопасности от
поставщиков
Функция управления доступом в сеть Cisco IOS
обнаруживает и изолирует несовместимые устройства
Серверы,
предпринимающие Реализация
Обеспечивает действие попытки доступа в
сеть
прав доступа на основе Сервер Сервер
состояния безопасности политики поставщика
Учетные Учетные (AAA) Учетные
оконечных устройств данные данные данные
Позволяет использовать EAP/UDP, RADIUS HTTPS
только совместимые и EAP/802.1x
Права
доверенные оконечные доступа
Соответствует?
Уведомление
устройства Cisco Trust
Agent
Ограничивает доступ
несовместимых устройств в
сеть
Коалиция ведущих поставщиков
Поддерживает несколько
поставщиков AV и ПО для
безопасности настольных
систем, включая Cisco®
Security Agent
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 7
- 8. Требование 7 стандарта PCI:
ограничение доступа к данным по принципу необходимого знания
Межсетевой экран Cisco IOS на основе идентификации
пользователей или групп
2.1.1.2 : пользователь: Мария Межсет
евой
экран
2.1.1.1 : пользователь: Иван
TAG Ивана: отказать в доступе к HR,
проверить HTTP/FTP
TAG Марии: отказать в доступе к Eng,
проверить http/smtp Интернет Головные
ограничение скорости для p2p/im
1.1.1.1 : пользователь: Иван
офисы
Поддерживает интеграцию политик межсетевого экрана на
основе зон с MS Active Directory и LDAP для ограничения доступа
выбранных пользователей или групп к определенным данным и
(или) приложениям.
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 8
- 9. Требование 8 стандарта PCI:
назначение уникального идентификатора каждому
пользователю, имеющему доступ к компьютеру
Контролируемый доступ к сети с помощью стандарта 802.1x Cisco IOS и
упрощенное развертывание инфраструктуры открытых ключей (PKI)
Контролирует пользователей, получающих доступ к сети
802.1x, NAC уровня 2 NAC, ACL, безопасность портов, уведомления MAC-адресов
Безопасное управление
RADIUS/TACAC+, SSH, SNMPv3
Easy VPN также поддерживает сертификаты PKI и может
использовать сервер клиентского доступа Cisco® IOS® для
регистрации
Соблюдение принципов идентификации
по стандарту 802.1x
Цифровой
Цифровой
сертификат
сертификат
Маршрутизатор филиала или Сервер AAA
домашний маршрутизатор с
клиентом EzVPN WAN
Офис
Маршрутизатор предприятия
филиала
стандарта 802.1x
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 9
- 10. Требование 10 стандарта PCI:
отслеживание и контроль всех попыток доступа к сетевым
ресурсам и данным держателей карт
Cisco предоставляет несколько
вариантов контроля событий Действие системы CS-MARS
защиты сети Журнал межсетевого Событие IDS
экрана Настройка
Журнал коммутатора
Серверы Syslog Настройка коммутатора
межсетевого экрана
Настройка NAT
Все компоненты Cisco IOS могут отправлять
события с помощью сообщений Syslog
Настройка
маршрутизатора .
.
NetFlow
.
SNMP (через MIB) Изолированные
события
Функция Netflow Cisco IOS
Сеансы
Идентификация и классификация атак
Отслеживание атак вплоть до их источника Правила
Проверка
Система управления безопасностью
Cisco MARS (CS-MARS)
Допустимые инциденты
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 10
- 11. Требование 11.4 стандарта PCI:
использование систем обнаружения и предотвращения
вторжений в сеть
Система предотвращения вторжений (IPS) Cisco IOS обеспечивает
распределенную защиту от атак
Cisco® IOS® IPS блокирует атаки в точке входа, обеспечивает безопасность полосы
пропускания глобальной сети и защищает маршрутизатор и удаленную сеть от DoS-атак.
Отсутствие привязки к процессу передачи данных — возможность защиты любого типа
интерфейсов LAN, WAN, WLAN в обоих направлениях трафика, включая 3G, T3/E3 и
MPLS.
Поддержка сигнатур более 3 700 различных атак, использующих одну базу данных
сигнатур, находящуюся на изолированных датчиках IPS Cisco.
Возможность использования настраиваемых наборов сигнатур и действий, а также
автоматические загрузки обновлений сигнатур для быстрого реагирования на новые
угрозы.
Защита
маршрутизатора Остановка атак
и локальной до их
сети от DoS-атак распространения
Филиал по глобальной
сети
Офис
Интернет предприятия
Применение системы
Небольшой предотвращения вторжений
филиал Небольшой офис (IPS) к трафику из филиалов
и удаленный для уничтожения червей с
сотрудник зараженных компьютеров
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 11
- 12. Требование 12 стандарта PCI:
поддержка политики, которая обеспечивает информационную
безопасность
Cisco предоставляет целый ряд возможностей по настройке
функций и политик обеспечения безопасности на маршрутизаторах.
Интерфейс командной строки (CLI) Cisco IOS
Средства для профессионального управления конфигурацией Cisco
(CCP)
Простота использования: интеллектуальные мастеры,
встроенные учебники
Интеллектуальные приложения: база знаний конфигураций Cisco IOS,
утвержденных центром технической поддержки (TAC)
Интегрированное управление услугами: маршрутизация, коммутация,
обеспечение безопасности, беспроводная связь, качество обслуживания,
голосовая связь
Cisco Security Manager (CSM)
Поддержка представлений «Устройство», «Политика» и «Топология»
Поддержка нескольких функций безопасности и устройств Cisco (ASA, ISR, IPS)
Система настройки Cisco Configuration Engine (CCE) для
крупномасштабных развертываний
Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 12
- 13. Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 13