Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Lippis Report 188:Усовершенствованные инструменты управления   и контроля для платформы Cisco SecureX          обеспечиваю...
Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX                      обеспечивают защиту...
Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX                      обеспечивают защиту...
Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX                      обеспечивают защиту...
Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX                      обеспечивают защиту...
Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX                      обеспечивают защиту...
Upcoming SlideShare
Loading in …5
×

Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX обеспечивают защиту сети на основе контекстного анализа

2,929 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX обеспечивают защиту сети на основе контекстного анализа

  1. 1. Lippis Report 188:Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX обеспечивают защиту сети на основе контекстного анализа Николас Джон Липпис III президент, Lippis Consulting Март, 2012
  2. 2. Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX обеспечивают защиту сети на основе контекстного анализаSecureX — это платформа по обеспечению сетевой безопасности от Cisco, созданная в прошломгоду. Теперь в SecureX были произведены некоторые улучшения, которые помогают осущест-влять более - В этом году компания еще усовершенствовала эту платформу, что позволилоосуществлять еще более быстрое и эффективное предотвращение сетевых атак благодаряконтекстно-зависимой информации о защищенности личных устройств, используемых на работесотрудниками (в соответствии с концепцией BYOD), а также приложений и сервисов на основеоблачных вычислений. Это достигается с помощью нового средства ASA-CX Context-AwareSecurity, присвоения тегов группам безопасности в устройствах, на которых применяетсятехнология TrustSec, а также функциональности профилирования устройств в IOSмаршрутизаторов, коммутаторов и беспроводных точек доступа. Все эти технологииподдерживают работу с устройствами обеспечения безопасности ASA и решением IdentityServices Engine (ISE) — платформой контроля доступа на основе политик с поддержкойидентификации от Cisco.Одно из главных отличительных качеств платформы Cisco SecureX — функциональныевозможности снижения вероятности угроз. В основном это достигается благдаря функцио-нальности ASA CX, постоянно развивающейся технологии TrustSec и ISE, а также использованиюсервисов TrustSec в устройствах сетевой инфраструктуры. На сегодняшний день ни один другойпроизводитель в отрасли не способен обеспечить такой уровень полномасштабной защиты отугроз.Контекстный анализ сети с помощью ASA CXТехнологии ASA CX и TrustSec — аргументы в пользу достоинств платформы SecureX. ASA CXосуществляет защиту на основе контекстного анализа. Почему же учет контекста так важен дляснижения вероятности угроз? Дело в том, что без знания контекста сотрудник службы безопас-ности имеет недостаточно информации, чтобы судить, насколько опасна та или иная угроза.Эта ситуация аналогична той, когда кто-то поздно вечером стучится в вашу дверь, вы открываетеее, а свет у входа не горит. И вы не знаете кто это - ваш собственный ребенок, задержавшийсядопоздна и забывший ключи, или преступник, способный причинить зло. Захотелось бы вамв такой ситуации впускать в дом кого-то неизвестного? Так и сотрудники службы безопасности,не зная контекст, вынуждены отклонять доступ мобильным устройствам и приложениям лишьпо причине недостатка сведений об их надежности.Современные средства защиты и управления сетью способны предоставить лишь информациюо том, какое именно устройство пытается получить доступ: мобильное устройство, персональныйкомпьютер, IP-телефон и т. д. Но сведений о том, кто именно пользуется этим устройством,получить не удается, и приходится ограничиваться данными об IP-адресе или идентификаторепользователя. Но информации о типе устройства для сотрудника службы безопасности можетбыть недостаточно. По аналогии с ночным стуком в дверь, остается неизвестным, кто стоит напороге: член семьи или преступник.Теперь познакомимся с технологией сетевой защиты на основе контекстного анализа. Cisco ASACX получает информацию от локальной сети, технологий SecureX, таких как AnyConnect (решениеCisco для обеспечения безопасной мобильности) и ScanSafe (облачный сервис защиты отинтернет-угроз), а также информацию о глобальных угрозах, предоставляемую Аналитическимцентром Cisco по информационной безопасности (SIO). Вся эта информация позволяетlippisreport.com 1
  3. 3. Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX обеспечивают защиту сети на основе контекстного анализасотруднику службы безопасности получить комплексные сведения и принимать взвешенныерешения. Иными словами, ASA CX, объединяя все возможные данные, помогает подробноизучить того, кто пытается получить доступ к корпоративной сети.Сотрудник службы безопасности определяет тип устройства, способ подключения к сети (кабель-ный, беспроводной, 3G, VPN), местоположение устройства (внутри или вне сети) и его пользо-вателя. Например, сотрудник получает запрос от мобильного телефона с пометкой «Дмитрий».С помощью ASA CX сотрудник получит полную информацию об устройстве, запрашивающемдоступ, и о нужных его пользователю приложениях. Таким образом, станут известны номермобильного телефона Дмитрия, описание устройства (например, iPhone 4 с операционнойсистемой iOS 5.01) и системы, к которым Дмитрий пытается получить доступ. В результатеслужба безопасности принимает обоснованные решения, предоставляет защищенный доступк устройствам и приложениям и создает новые условия доступа. Теперь ИТ-директора могутсовершенно спокойно реализовывать концепцию использования сотрудниками их личныхустройств, повышая продуктивность бизнеса.К тому же, после создания профиля устройства и аутентификации его пользователя CiscoTrustSec может применять политику безопасности к данным, поступающим из этого устройства,с помощью Cisco Identity Services Engine. То есть после того, как устройство впервые былодопущено в сеть, для него создаются правила, определяющие допустимые операциии разрешенные местоположения, производя контроль доступа по всему периметру сети.Такой детальный контроль позволяет службе безопасности спокойно предоставлять доступ новымустройствам и приложениям, если они отвечают корпоративной политике.Богатые возможности языка описания политикС помощью Cisco Prime Security Manager, интерфейса управления ASA CX, сотрудники службыбезопасности могут создавать политики безопасности в полном соответствии с корпоративнымитребованиями. Политики в ASA CX пишутся с помощью простого в использовании языка.Например, можно задать следующие правила: «закрыть доступ к приложению» или «закрытьдоступ к микроприложению»; «разрешить писать в социальной сети», но «закрыть доступ к играмв социальной сети» и т. д.ASA CX составляет подробные отчеты, описывающие положение дел в сети и эффективностьприменения политик.ASA CX распознает тысячу приложений и около 75 000 микроприложений. Это означает, чтослужба безопасности может определять политики очень подробно. Например, у социальной сетиFacebook сложился довольно неопределенный статус, и традиционно она не рассматривается какприложение для бизнеса. Тем не менее существует множество законных способов использованияFacebook в бизнес-целях. Поэтому политика может содержать правила, разрешающие сотруд-никам отдела маркетинга просматривать содержание, писать тексты и добавлять видеозаписив Facebook и при этом запрещающие доступ к играм. Таким образом отдел продаж сможетпросматривать содержание социальной сети и писать там тексты, в то время как отделу финансовдоступ к ней будет полностью закрыт.Подобный уровень детального контроля отлично подойдет для простых приложений, но прило-жениям, основанным на пиринговой технологии (P2P) и переключающимся между портамиlippisreport.com 2
  4. 4. Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX обеспечивают защиту сети на основе контекстного анализаи протоколами, как например Skype, требуется особое внимание. Поэтому вместо написаниямножества разных правил по запрещению действий Skype, которые не принесут результата,потому что программа будет постоянно использовать новые порты и протоколы, в ASA CX можнонаписать всего одно правило, блокирующее доступ к Skype в целом.Написание правил на простом английском языке, а не с помощью неясных команд для межсе-тевого экрана, делает создание политик интуитивно понятным и позволяет им лучше взаимо-действовать с корпоративными правилами. Этот функциональный язык описания политик даетслужбе безопасности практически неограниченные возможности по управлению бизнес-процессами с помощью правил, применяемых к отдельным пользователям, группам,устройствам и т. д.Наблюдение и контроль тесно взаимосвязаны друг с другом. Как гласит старый афоризм:«Невозможно управлять тем, что нельзя измерить». ASA CX предоставляет возможностикомплексного наблюдения, объединяя информацию от SecureX и SIO. Именно на этомнаблюдении основан детальный контроль.Технология TrustSecCisco TrustSec представляет собой архитектуру, в которой основополагающее значение имеютпроцессы аутентификации, авторизации, применения политик и предоставления расширенныхсетевых услуг. Последняя версия TrustSec позволяет отслеживать пользователя устройства,подключающегося к сети, тип этого устройства, время и способ подключения. К тому жеархитектура TrustSec теперь способна отделять информацию о физическом местоположении отинформации о типе соединения, что предоставляет больше возможностей безопасного доступак сети.В качестве примера рассмотрим компанию, состоящую из 900 отделений и включающую тысячувиртуальных локальных сетей. Мобильному руководителю, который перемещается в одно из этих900 отделений, требуется постоянное соблюдение условий ИТ-среды его офиса, чтобыпродолжать работать.Обычно для сохранения условий работы для руководителя требуется виртуальная локальнаясеть, которая бы учитывала тип его трафика в каждом из отделений. После этого межсетевыеэкраны используют диапазоны подсетей IP всех 900 виртуальных локальных сетей дляавторизации трафика руководителя. Это потребует создания виртуальных локальных сетей длякаждой классификации групп пользователей в компании и прописывания соответствующих IP-подсетей в межсетевых экранах. Но с помощью технологий TrustSec и SGT служба безопасностиможет объединять пользователей в группы, не внося при этом в межсетевые экраны обновленнуюинформацию об IP-адресах и подсетях, так как правила для межсетевых экранов определяютсяпосредством абстрагирования SGT. Таким образом руководители могут свободно перемещатьсямежду отделениями компании, всегда сохраняя необходимые им условия доступа в сеть безнеобходимости настраивать межсетевые экраны.Присвоение тегов группам безопасности (SGT)В Cisco разработали технологию SGT для обеспечения высокого уровня безопасной мобильности.Во время согласования 802.1x паре «пользователь-устройство» назначается 16-битный тегполитики, который вносится в пакеты данных устройства и действует по всему периметруlippisreport.com 3
  5. 5. Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX обеспечивают защиту сети на основе контекстного анализакорпоративной сети. SGT связаны с контекстно-зависимой политикой авторизации при доступев сеть этих пар «пользователь-устройство». Поэтому, когда пара «пользователь-устройство»запрашивает доступ к определенным корпоративным или интернет-ресурсам, происходитидентификация тега и связанных с ним прав доступа с определением даже таких динамическихэлементов, как местоположение и способ подключения. В результате доступ к ресурсамподтверждается или отклоняется, где бы пара «пользователь-устройство» ни находилась и какойбы сетевой порт не использовала. Назначение SGT сходно с выдачей сотрудникам бейджей,по которым определяется их допуск в здания и к различным ресурсам.SGT прекрасно масштабируются с использованием 65 000 доступных категорий тегов, которыединамически сочетаются в зависимости от контекстной информации. Кроме того, использованиегрупповых тегов гораздо эффективнее: одна категория тегов может обеспечить авторизациюдоступа для большого числа сотрудников в зависимости от их должности в организации. TrustSecобеспечивает безопасность ИТ-инфраструктуры при мобильности, позволяя интегрировать этутехнологию в маршрутизаторы, коммутаторы и беспроводные точки доступа Cisco. TrustSecпозволяет пользователям получать доступ к сети независимо от способа подключенияи физического местоположения: к сети можно подключаться, находясь в кафе, на территориикомпании, в удаленном офисе, дома и т. д. TrustSec совместно с Cisco ISE обеспечиваютотслеживание каждого пользователя и устройства в сети и позволяют контролировать их доступк ресурсам.В качестве примера рассмотрим Марину. Она пользуется корпоративным портативным компью-тером с проводным подключением, а также личным iPad с беспроводным подключением к сети.Поскольку теги и связанные с ними политики определены и для портативного компьютера, и дляiPad, Марине без проблем предоставляется доступ к сети. Но, даже если Марина в обоих случаяхиспользует одинаковый пароль и идентификатор пользователя, Cisco TrustSec можетпредоставлять для двух этих устройств совершенно разные уровни доступа, основанные наполитике. Например, при подключении через iPad Марина может пользоваться толькоэлектронной почтой, тогда как при работе на портативном компьютере ей будут доступныдополнительные внутренние ресурсы.Помимо независимости от местоположения и типа подключения к сети, основанной на тегах, CiscoISR G2 и ASR, как и устройства беспроводного подключения от Cisco, также предусматриваютSGT, поддерживающие функции тегирования на основе политик и применения тегов на данныхплатформах. Перейдя на новую стадию, SecureX теперь позволяет службе безопасностицентрализованно определять политику и добиваться ее выполнения при проводном,беспроводном и даже VPN-доступе независимо от местоположения пользователя.Усовершенствования, которые компания Cisco внесла в платформу SecureX, включая ASA CX,расширенное профилирование устройств TrustSec и интеграцию SGT в свои сетевые устройства,повышают качество работы сотрудников с личными устройствами и облачными сервисами,а также предоставляют возможности детального контроля и управления. Все это делает Ciscoединственной в отрасли компанией, предлагающей настолько богатые возможности защитыс учетом контекстного анализа, которые обеспечивают наиболее безопасную реализациюконцепции BYOD и работу с облачными сервисами.lippisreport.com 4
  6. 6. Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX обеспечивают защиту сети на основе контекстного анализаО Нике Липписе Николас Дж. Липпис III (Nicholas J. Lippis Ill) является всемирно известным специалистом по усовершенствованным IP-сетям, коммуникациям и вопросам их применения для достижения бизнес-целей. Он издает Lippis Report — информа- ционный ресурс для специалистов, ответственных за принятие решений в сфере сетевых технологий и ИТ, на который подписаны более 35 000 руководителей ИТ-организаций. Подкасты Lippis Report загружались более 160 000 раз; по сообщению сервиса i-Tunes, слушатели этих подкастов также загружали подкастыжурнала Wall Street Journal "Money Matters", подкасты журнала Business Week "Climbing the Ladder",подкасты журналов The Economist и The Harvard Business Review "IdeaCast". Г-н Липпис работаетс фирмами-заказчиками, разрабатывая для них архитектуры частных и общих сетей для облачныхвиртуализированных центров обработки данных, позволяющих получить максимум преимуществ длябизнеса.Его рекомендациям по вопросам сетевой архитектуры, проектирования, реализации, выборапоставщиков и планирования бюджета следует множество компаний из списка Global 2000,включая Barclays Bank, Eastman Kodak Company, Federal Deposit Insurance Corporation (FDIC),Hughes Aerospace, Liberty Mutual, Schering-Plough, Camp Dresser McKee, административный отделштата Аляска, Microsoft, Kaiser Permanente, Sprint, Worldcom, Cigitel, Cisco Systems, Hewlett Packet,IBM, Avaya и многие другие. Г-н Липпис работает исключительно с руководителями ИТ-подраз-делений и с их непосредственными подчиненными. Г-н Липпис обладает уникальными знаниямио рынке и общих тенденциях в области компьютерных сетей, полученными на основе опытаработы как с разработчиками, так и с потребителями.Г-н Липпис получил престижную награду выпускника Технологического колледжа Бостонскогоуниверситета за достижения в своей профессии. Журнал Network World включил его в число40 самых авторитетных и влиятельных специалистов в сетевой отрасли. Специализированныйинтернет-журнал TechTarget назвал его«гуру» в области проектирования сетей, а журнал NetworkComputing Magazine — «звездным гуру» в сфере ИТ.Г-н Липпис является основателем корпорации Strategic Networks Consulting — влиятельнойорганизации с превосходной репутацией, действующей в области предоставления консалтин-говых услуг по компьютерным сетям, которая была приобретена компанией Softbank/Ziff-Davisв 1996 г. Его часто приглашают выступить в качестве ведущего на различных мероприятияхв отрасли, а его высказывания часто цитируются в коммерческих и отраслевых информационныхизданиях. Он является председателем консультативного совета при Технологическом колледжеБостонского университета и других консультативных советов при многих начинающих фирмах. Онпрочел вступительную речь для выпускников Технологического колледжа Бостонскогоуниверситета в 2007 г. Г-н Липпис получил ученую степень бакалавра электротехническойпромышленности и магистра системного проектирования в Бостонском университете.Его магистерская диссертация включает в себя материалы технических курсов и консультацийпо оптической связи и вычислительным системам, полученные в Массачусетскомтехнологическом институте.lippisreport.com 5

×