Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cisco TrustSec и Cisco ISE

19,936 views

Published on

Published in: Technology
  • Be the first to comment

Cisco TrustSec и Cisco ISE

  1. 1. TrustSec и IdentityServices EngineНадежная поддержка управления доступом на основе политик длявашего бизнеса© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 1
  2. 2. Как управлять доступом к сети? Кто должен иметь доступ и к чему?© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 2
  3. 3. Наши клиенты полны новых ожиданийЭволюция ландшафта рабочего места БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ В среднем каждый пользователь имеет К 2015 году 15 3–4 устройства, миллиардов устройств соединяющих его с сетью будут подключаться к сети 40 % сотрудников приносят свои собственные устройства на работу БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 3
  4. 4. Наши клиенты полны новых ожиданийЭволюция ландшафта рабочего места КАДРЫ НОВОГО ПОКОЛЕНИЯ Люди готовы к снижению 70 % конечных пользователей Работа больше не то заработной платы ради признаются в нарушении место, куда нужно идти возможности работать дома правил ИТ-безопасности ради облегчения своей жизни Им необходим доступ любых устройств в любое время, из любого места БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 4
  5. 5. Наши клиенты полны новых ожиданийЭволюция ландшафта рабочего места ВИРТУАЛИЗАЦИЯ «К 2013 году 60 % нагрузки серверов будет виртуализовано» “К 2013 году управление 20 % профессиональных ПК будет осуществляться в рамках модели размещаемых виртуальных настольных систем.” Центры обработки данных эволюционируют. Теперь приложения — это объекты, которые перемещаются по сети БЫСТРЫЙ РОСТ КАДРЫ ВИРТУАЛИЗАЦИЯ ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 5
  6. 6. Проблемы, которые сразу приходят на умНа службы ИТ ложится тяжелое бремя • Как управлять риском, возникающим, когда сотрудники приносят свои собственные устройства? • Как обеспечить единообразное качество обслуживания для всех устройств? • Как реализовать множество политик безопасности для каждого отдельного пользователя и устройства? • Что поддерживать и как? БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 6
  7. 7. Проблемы, которые сразу приходят на умНа службы ИТ ложится тяжелое бремя • Препятствую ли я своим сотрудникам в реализации конкурентных преимуществ? • Как удержать наиболее талантливые кадры? • Как обеспечить соответствие требованиям ФЗ-152, СТО БР и т. д.? • Как достойным образом обходиться с партнерами, консультантами, гостями? ПЕРСОНАЛ СТАНОВИТСЯ ДРУГИМ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 7
  8. 8. Проблемы, которые сразу приходят на умНа службы ИТ ложится тяжелое бремя • Как узнать, кто осуществляет доступ к моей инфраструктуре виртуальных настольных систем? • Как обеспечить защищенный доступ к моим данным в облаке, сохраняя масштабируемость? • Как обеспечить соответствие нормативным требованиям без ограничения рамками географических регионов? ВИРТУАЛИЗАЦИЯ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 8
  9. 9. Представляем Cisco TrustSecНадежная поддержка управления доступом на основе политик для вашего бизнеса Пользователь Сотрудник беспроводной Клиент Удаленный сети / гость пользователь, виртуальной подключенный машины Всеобъемлющий учет Полная по VPN IP-устройства контекста: кто, что, где,прозрачность когда, как Использование преимуществ сети для защищенного доступа к Инфраструктура с контролем критически важнымАбсолютный идентификационных ресурсам, нейтрализации контроль данных и учетом контекста рисков и поддержания соответствия нормативным требованиям Централизованное управление сервисамиЭффективное Центр обработки Интранет Интернет Зоны безопасности защищенного доступа и масштабируемыми управление данных средствами обеспечения Использование существующей соответствия инфраструктуры© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 9
  10. 10. Архитектура Cisco TrustSecБезопасность, ориентированная на идентификацию и контекст Политики, относящиеся к бизнесу ГДЕ ЧТО КОГДА Атрибуты КТО КАК политики безопасности Модуль централизованных политик Идентификация Динамическая политика и реализация Пользователи и устройства РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 10
  11. 11. Портфель решений Cisco TrustSec Администрирование политики Принятие решений на базе политик Identity Services Engine (ISE) Система политик доступа на основе идентификации Реализация политик Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, На основе TrustSec инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000 Информация о политике Агент NAC Web-агент Запрашивающий клиент 802.1x Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 11
  12. 12. Комплексное решение для подхода BYOD(«принеси свое собственное устройство») ОГРАНИЧЕННЫЙ ДОСТУП БАЗОВЫЙ ДОСТУП РАСШИРЕННЫЙ ДОСТУП НОВОГО ДОСТУП ПОКОЛЕНИЯ Среда требует строгого Ориентирован на базовые Поддержка Собственные корп. контроля сервисы и удобный доступ дифференцированных сервисов, приложения, почти для всех адаптационный период, новые сервисы, защищенный доступ, но не для полный контроль собственных устройств Только устройства компании Более широкий круг устройств, Множество типов устройств и Множество типов устройств, Среда производителя но только Интернет методов доступа (корпоративных) Торговая площадка Здравоохранение Среды образовательных Инновационные предприятия Закрытые сети гос. органов учреждений Предприятия, первыми принявшие Электронная розничная торговля Традиционные предприятия Гос. учреждения подход BYOD Сервисы мобильной торговли Простые гости Доступ для подрядчиков (видео, совместная работа и т. д.)© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 12
  13. 13. Как это работает?Более подробный обзор Cisco TrustSec
  14. 14. Полная прозрачностьПолная прозрачностьКонтроль идентификационных данных и учет контекста Гостевой доступ Профилирование Оценка состояния КТО ЧТО ГДЕ КОГДА КАК КОНТЕКСТ Шлюз камеры видеонаблюдения Вася Пупкин Личный iPad Автономный ресурс Консультант Собственность сотрудника Тверской филиал Центральный офис, Беспроводный центральный отдел стратегий офис Удаленный доступ 18:00 Маша Петрова Федор Калязин Сотрудник, служба Гость маркетинга Беспроводная сеть Проводная сеть 9:00 15:00 ИДЕНТИФИКАЦИЯ 802.1X MAB WebAuth КОММУТАТОРЫ, МАРШРУТИЗАТОРЫ, БЕСПРОВОДНЫЕ ТОЧКИ ДОСТУПА CISCO Сеть с поддержкой идентификации (802.1X)© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 14
  15. 15. Полная прозрачность Контроль идентификационных данных Использование существующей сетевой инфраструктуры Коммутатор Cisco Catalyst® Отличительные особенности идентификации Режим монитора Гибкая последовательность аутентификации Поддержка IP-телефонии Поддержка сред виртуальных Авторизо- Планшеты IP- Сетевое Гости настольных систем ванные телефоны устройствопользователи MAB и Web- 802.1X профилирование аутентификация Функции аутентификации IEEE 802.1x Обход аутентификации по Web- MAC-адресам аутентификация На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 15
  16. 16. Идентификация устройствКлассификация устройств вручную и реализация политик Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Быстрый рост числа Множество устройств Должно быть Необходима гарантия того, устройств в проводной и предусмотрено что устройство и идентификация для беспроводной сети управление политиками для соответствует цифровым реализации политик каждого типа устройств меткам© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 16
  17. 17. Полная прозрачностьИдентификация устройств Компоненты НоваторствоАвтоматическая классификация устройств с использованием инфраструктуры Cisco ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей ПОЛИТИКА Принтер Личный iPad ISE Точка доступа Политика для Политика для CDP CDP принтера LLDP LLDP личного iPad DHCP DHCP MAC-адрес MAC-адрес [поместить в VLAN X] [ограниченный доступ] Точка доступа Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO Эффективная СБОР ДАННЫХ КЛАССИФИКАЦИЯ АВТОРИЗАЦИЯклассификация устройств Коммутатор собирает данные, ISE производит классификацию ISE реализует доступ на основе с использованием относящиеся к устройству, и устройства, сбор данных о политик для данного передает отчет в ISE трафике и формирует отчет об пользователя и устройства инфраструктуры использовании устройства© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 17
  18. 18. Полная прозрачностьЭволюция идентификацииустройств: шире и глубже Инновации CiscoИнтегрированное профилирование:прозрачность и масштабируемостьСетевая инфраструктура обеспечивает локальнуюфункцию распознаванияДанные контекста передаются через RADIUS в ISE Активное сканирование оконечныхАктивное сканирование: устройствповышенная точностьISE расширяет пассивную телеметрию сетиданными активной телеметрии оконечныхустройств ISE Web-канал данныхWeb-канал данных об устройствах*: об устройствахидентификация с возможностьюмасштабирования Сенсор устройствИзготовители и партнеры постоянно предоставляют (функция сети)обновления для новых устройствКлиенты получают пакеты данных по web-каналамот Cisco Сенсор устройств Cisco * запланировано на осень 2012 г.© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 18
  19. 19. Анализ с учетом контекста: Полная прозрачностьоценка состоянияОценка состояния средствами ISE обеспечивает проверку работоспособности оконечного устройства до получения доступа к сети Пользователь проводной, беспроводной, виртуальной сети Временный ограниченный доступ к Не сети до устранения соответствует проблем требованиямПример политики для сотрудника Проблема: Ценность:• Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или установлены работоспособности устройства постоянный агент• Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение обновлен и работает устройствами проблем• Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация дифференцированных политик• Приложение предприятия выполняется на основе ролей© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 19
  20. 20. Полная прозрачностьАнализ с учетом контекста:управление гостевым доступомГостевой сервис ISE для управления гостями Гостевые Web- политики аутентификаци я Интернет Беспроводный или Гости проводной доступ Доступ только к ИнтернетуВыделение ресурсов: Управление: Уведомление: Отчет:гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей политики, гостевой портал электронной почте или SMS© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 20
  21. 21. Абсолютный контрольАбсолютный контрольОбеспечивает реализацию политик Удаленный Пользователь с Пользователь с Виртуальный пользователь беспроводным проводным Устройства рабочий стол VPN доступом доступом Управление Масштабируемая доступом на реализация основе политик Сети VLAN СЕТЬ С КОНТРОЛЕМ Списки управления ИДЕНТИФИКАЦИОННЫХ ДАННЫХ доступом (ACL) И УЧЕТОМ КОНТЕКСТА Метки групп безопасности * Шифрование MACSec * *= Инновации Центр обработки Зоны Cisco данных Интранет Интернет безопасности© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 21
  22. 22. Абсолютный контрольTrustSec: авторизация иреализация политик Инновации Cisco Динамические или Доступ для групп Сети VLAN именованные ACL-списки безопасности Сотрудник Любой IP- адрес Устранение проблем Подрядчик Сотрудники Гость Доступ для групп безопасности VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW• Меньше перебоев в работе • Не требует управления • Упрощение управления оконечного устройства (не ACL-списками на портах ACL-списками требуется смена IP-адреса) коммутатора • Единообразная• Повышение удобства для • Предпочтительный выбор реализация политик пользователей для изоляции путей независимо от топологии • Детализированное управление доступом Гибкие механизмы реализации политик в вашей инфраструктуре Широкий диапазон доступных клиенту вариантов доступа© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 22
  23. 23. Повышение уровня реализации политик вовсей сети Политики на основе Таблица доступа согласно понятного технического языка политике на основе ролей Отдельные пользователи Разрешения Ресурсы Матрица политик Врачи Интранет Почтовый Серверы Медицинские D1 - финансовой карты S1 (10.156.78.100) сервер службы пациентов портал (10.10.24.13) Медицинские Нет Совместный Совместный web- D2 карты Врач Интернет IMAP web-доступ к доступ к файлам S2 доступа файлам пациентов (10.10.28.12) Финансовая Интернет IMAP Интернет Нет доступа служба D3 ИТ- (10.156.54.200) WWW, Полный Финансовая служба админист- SQL SQL SQL, SSH доступ ратор Электронная S3 D4 почта ACL-список "Врач - карта пациента" (10.10.36.10) в интранет-сети permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 ИТ-администраторы (10.156.100.10) deny ip S4 Финансова (10.10.135.10) D6 я служба permit tcp S1 D1 eq https Требует затрат времени permit deny tcp S1 D1 eq 8081 ip S1 D1 Простота Ручные операции …… Гибкость Предрасположенность к …… permit tcp S4 D6 eq https Учет характера ошибкам permit tcp S4 D6 eq 8081 деятельности deny ip S4 D6© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 23
  24. 24. Абсолютный контроль Доступ для групп безопасности (SGA) Маркировка трафика данными о контексте Медицинские карты пациентов (конфиденциальная информация) Врач Неограниченный доступ для сотрудниковФинансовая служба Интернет Гость Инновации Cisco Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОММасштабируемая реализация ДЛЯ ГРУПП БЕЗОПАСНОСТИ (SGA) политик независимо от МАСШТАБИРУЕМАЯ И СНИЖЕНИЕ ПОВЫШЕНИЕ топологии сети ЕДИНООБРАЗНАЯ ЭКСПЛУАТАЦИОННЫХ МАНЕВРЕННОСТИ РЕАЛИЗАЦИЯ ПОЛИТИК РАСХОДОВ КОМПАНИИ © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 24
  25. 25. SGA: реальные сценарии развертывания уклиентов ПРИМЕРЫ РАЗВЕРТЫВАНИЯ Здравоохранение: гарантия конфиденциальности сведений о пациентах за счет доступа на основе ролей и сегментации во всей сети Розничная торговля: связь сетевых устройств внутри магазина, . обеспечивающая доступ к данным платежных карт только авторизованным пользователям и устройствам Технологии и прикладные науки: доступ к внутренним порталам и хранилищу корпоративных приложений для разрешенных планшетных устройств, принадлежащих сотрудникам Производство: маркировка трафика из внешней сети, обеспечивающая поставщику ПЛК удаленный доступ только к конкретной производственной зоне, а также доступ внешних партнеров по разработке только к серверам подразделения НИОКР© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 25
  26. 26. Абсолютный контрольСоответствие нормативнымтребованиям защита данных путемшифрования на уровнях L3/L4 Шифрованные данные Прозрачность отсутствует КОРПОРАТИВНЫЕ РЕСУРСЫ Шифрование L3/L4 Проблема Типичный сценарий развертывания Шифрование Шифрование на Отсутствие прозрачности исключает уровне IP или на трафика для реализации прикладном уровне политик безопасности и QoS прозрачность для реализации политик© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 26
  27. 27. MACSec: защита данных путем Абсолютный контрольшифрования с шифрованным Инновациидоступом на основе политик Cisco Шифрование Шифрование 802.1 AE 802.1 AE Шифрованные Шифрованные данные данные прозрачен Трафик для реализации политик КОРПОРАТИВНЫЕ РЕСУРСЫ Дешифрование на Шифрование на входном выходном интерфейсе интерфейсе Решение Типичный сценарий развертывания Конфиденциальность Шифрование L2 на Прозрачность трафика для Целостность меток данных последовательных реализации политик групп безопасности переходах безопасности и QoS в сочетании с прозрачностью© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 27
  28. 28. Матрица функциональныхвозможностей TrustSecМатрица функциональных возможностей TrustSec 2.1 Доступ для групп безопасности MACSec Функции Коммута- Клиент – 802.1x / Сенсоры тор –Платформа Модели SGT SXP SGACL SG-FW комму- иденти- устройств коммута- татор фикации торCat 2K 2960, 2960-SCat 3K 3560, 3650E, 3750, 3750E, 3750-X 3560-X x 3560 CCat 4K Sup 6E , Sup 6L-E Sup 7E, Sup 7L-ECat 6K Sup32 / Sup720 Sup2TNexus 7KNexus 5K Pr1 / Pr2, 1001, 1002, 1004,ASR 1K 1006, 1013, ESP10/20/40, SIP 10/40ISR G2 88X 89X 19xx 29xx 39xxASAКонтроллербеспроводнойлокальнойсетиAnyConnect© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 28
  29. 29. Эффективное управлениеЭффективное управлениеЭксплуатация Объединенный мониторинг безопасностью и политиками Состояние контекста и панели мониторинга для проводных и беспроводных сетей Централизованное планирование задач управления на несколько дней Рабочие потоки настройки инструктивного характера Сокращение сроков диагностики и устранения неполадок Интеграция с Cisco NCS Prime© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 29
  30. 30. Эффективное управлениеЭффективное управлениеВовлечение конечного пользователя в управление Снижение нагрузки на ИТ-персонал Адаптационный период для устройств, саморегистрация, выделение ресурсов запрашивающему клиенту* Снижение нагрузки на службу технической поддержки Простой, интуитивно понятный интерфейс пользователя Модель самообслуживания Портал регистрации устройства пользователя*, портал для приглашения гостей * запланировано на лето 2012 г.© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 30
  31. 31. Защищенное управление Эффективное управлениемобильными устройствамиЭкосистема управления мобильными устройствами (MDM) ИНТЕГРАЦИЯ С ВЕДУЩИМИ AD/LDAP ПОСТАВЩИКАМИ MDM * ISE • MobileIron, Airwatch, Zenprise Политика с MDM Manager учетом • Выбор предложений экосистемы для контекста ? клиентов Коммутаторы Cisco Catalyst Контроллер WLAN Cisco ФУНКЦИИ: • Безопасная инициализация устройстваПользователь X Пользователь Y • Подробный контекст пользователя и устройства • Повышение безопасности устройства и приложения Компьютеры с Смартфоны, включая Windows или OS X устройства с iOS или Android * запланировано на осень 2012 г. Проводное или Беспроводное подключение беспроводное подключение© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 31
  32. 32. Пакеты и лицензирование TrustSec Лицензия ISE для Базовая Расширенная беспроводного НОВЫЕ ФУНКЦИИ TRUSTSEC В лицензия ISE лицензия ISE доступа ПАКЕТАХ ДЛЯ ИМЕЮЩИХСЯ КОММУТАТОРОВ Авторизованы ли мои Соответствуют ли мои Комплекс зданий (Cat 3K/4K): оконечные устройства? оконечные устройства Базовая + расширенная нормативным требованиям? • LAN Base — 802.1X, SXP, сенсор IOS, MACSec• Аутентификация / авторизация • Профилирование • Все базовые• Выделение ресурсов для устройств сервисы • IP Base — SGT, SGACL гостевого доступа • Оценка состояния узла • Все расширенные• Политики шифрования • Доступ для групп сервисы Уровень агрегации (Cat 6K): каналов безопасности • IP Base — 802.1X, SXP, SGT, SGACL Бессрочное лицензирование Лицензирование на срок 3 года / 5 лет Лицензирование на срок 5 лет Маршрутизатор (ASR 1K/ISR): • Базовый пакет — SXP Платформы устройства • Advanced/Security — SG FW Малая 3315/1121 | Средняя 3355 | Крупная 3395 | Виртуальное устройство Центр обработки данных (Nexus): • Лицензия Advanced LAN → базовый пакет В составе головного узла Примечание. Расширенная лицензия не включает базовую AnyConnect© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 32
  33. 33. Обновление и миграция ACS NAC Guest NAC Profiler NAC Manager NAC Server • Выпускаемое оборудование допускает программное обновление (1121/3315/3355/3395) • Программа миграции для старого оборудования с большими скидками • Программа миграции лицензий для всех лицензий на программное обеспечение • Имеются инструментальные средства для миграции данных и конфигураций* * Будет реализовано в последующих выпусках Identity Services Engine Существующие инвестиции защищены© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 33
  34. 34. Преимущества TrustSec: Отличия от конкурентов Наиболее комплексное решение для Единая политика для проводной, подхода BYOD на основе политик с беспроводной и виртуальной сети поддержкой всего круга потребностей бизнесаИнтегрированные сервисы жизненного Гибкие и масштабируемые варианты цикла (оценка состояния, авторизации с использованием профилирование, гостевой доступ) имеющейся инфраструктуры Дифференцированные функции идентификации (несколько методов Стандартные методы шифрования нааутентификации, гибкая последовательность уровне данных для защиты аутентификации, режим мониторинга) коммуникаций © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 34
  35. 35. Признанный успех в отрасли «Инструментарий, обеспечивающий нам прозрачность, реализующий политики доступа, устраняющий недостатки, повышающий уровень соответствия требованиям» «На нас произвела впечатление гибкая модель политик в продукте» Занимает лидирующую позицию «TrustSec и ISE согласуются с нашими согласно отчету Gartner NAC Magic представлениями о комплексной безопасности Quadrant на основе идентификации, которая столь необходима современному предприятию, и Декабрь 2011 г. недостаток которой столь остро ощущается.»© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Forrester, 2011 г. Конфиденциальная информация Cisco 35
  36. 36. Опыт развертывания Cisco TrustSec• Элемент программы авторизованных поставщиков технологий• Все партнеры, продающие ISE, проходят всестороннюю практическую подготовку• Проекты развертывания проходят проверку со стороны экспертов Cisco по ISE путем наставничества и анализа• Имеются проверенные и утвержденные Cisco проекты для ISE• Кроме того, имеются проекты для ISE, подготовленные в рамках услуг технического консалтинга Cisco, и пакеты услуг по отработке пилотного варианта «Cisco ISE позволит нашим клиентам справиться с проблемами, возникшими в результате взрывного роста числа iPad, планшетов и смартфонов в их сетях, без нарушения их корпоративных политик безопасности» © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 36
  37. 37. Перспективный план развития ISEна 2 года Объединенная Унифицированный Межсетевой экран платформа политик агент на основе идентификации NAC ACS Гостевой ISE доступ ПРОДАЖИ Профайлер КАДРЫ Реализация политик Сотрудники на для группы Чукотке пользователей • AAA, 802.1x, гостевой доступ, • Поддержка технологии Cisco AnyConnect™: профилирование, оценка состояния безопасность внутри и вне помещений • Политики для отдельных пользователей, • Мониторинг и диагностика систем • Расширение 802.1x и клиента VPN + NAC групп, устройств • ISE: новое поколение ACS + NAC • Распространение управления на Positron • Платформы ASA и Positron Расширенное Мониторинг и диагностика в профилирование устройств Локализация поражения сети масштабе системы Инициализация Политика сетевых идентификации Cisco Security устройств Intelligence Ops Управление Мониторинг и клиентами диагностика • Cisco предоставляет web-канал шаблонов • Упрощение процесса локализации, изоляции устройств и устранения проблем • Единый инструментарий для администратора • Коммутаторы собирают и передают цифровые • Использование показателя репутации и web- • Проводная и беспроводная инфраструктура метки устройств без реорганизации трафика кагалов NIPS© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 37
  38. 38. Перспективный план развития TrustSec 2012-й календарный год 2013-й календарный год 2-й кв. 3-й кв. 4-й кв. 1-й кв. 2-й кв. 3-й кв. TS2.1 TS2.2 TS3.0Инфраструктура: Инфраструктура: Инфраструктура:•Улучшение идентификации (важные голосовые •Расширенные платформы: •NGWCсети VLAN, замена MAC-адресов, …) •Платформа Cat 4K Predator – 4540X и 4524X (40 •Улучшение идентификации — eEdge, ASPv4•Встроенная идентификация в ISR G2 и 24 порта) •Согласование идентификации с ASA VPN•MACSec в восходящем / нисходящем канале 3K/4K •Sup 7E-L с YAP SW •Идентификация в центре обработки данных•Сенсор устройств (3K и 4K) •Усовершенствования контроллера WLC— Идентификация на уровне 3 Сенсор устройств, профилирование устройств средствами локально коммутируемого Unison — контекст на основе политик для Flexconnect филиала (сервисы безопасности и сетевые сервисы)Управление / политики Управление / политики Управление / политики•ISE 1.1 / ISE 1.1MnR (режим мониторинга, •ISE 1.2 (BYOD, MDM, загрузчик) •ISE 2.0локализация, FIPS, •Поддержка МСЭ на основе зон Lumos в NCS •NCS 2.0адаптационный период, BYOD) WAN 1.1•NCS 1.1 •Поддержка NCS 1.2 — API M&T•LMS 4.2 •LMS 4.3Клиент Клиент Клиент•AnyConnect 3.0.5 (с CSSC) Intel и MACSec нового •AnyConnect - связывание EAP •AnyConnect — интеграция NAC AgentпоколенияДоступ для групп безопасности Доступ для групп безопасности Доступ для групп безопасности•SXP в беспроводной сети •Cat3K — SGT, SGACL •N1000V SXP, SGT, SGACL•Nexus 5K/2K — SXP, SGT, SGACL •Cat 2K — SXP •ISR/ASR1K — SGT поверх каналов GET VPN•ISR — встроенная поддержка SXP, SGT •ISR/ASR1K—SGT поверх каналов IPSec VPN •Cat4K — SGT, SGACL•VDI и Cisco AnyConnect™ + RDP •Привязка сетей VLAN N7K к SGT •Функция прокси SGAМежсетевой экран групп безопасности Реализация политик межсетевого Реализация политик межсетевого•Реализация политик межсетевого экрана групп экрана экранабезопасности: межсетевой экран ISR, ASR1K •SGFW: межсетевой экран ASA •SGFW: Ducati © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 38
  39. 39. Защищенный доступ к вашей сети – сейчас! «Прозрачность и «BYOD – принеси «Защищенный управление» свое собственное центр обработки устройство» данных» Предложение «Расширенная Предложение Идентификация / SGA + + базовая лицензия ISE» «Лицензия ISE для расширенная лицензия ISE беспроводного доступа», расширение для проводной сети TrustSec™ – надежная поддержка управления доступом на основе политик для вашего бизнеса© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 39
  40. 40. © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 40
  41. 41. Вспомогательныеслайды© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 41
  42. 42. Архитектура Cisco SecureX Стратегический анализ угроз Cisco Secure Intelligence Operations (SIO) Защищенная виртуальная и облачная инфраструктура Защищенное оконечное устройство Nexus 1K и сеть, подключенная к облаку Политика с учетом контекста Управление доступом Управление доступом AnyConnect TrustSec TrustSec Инфраструктура Cisco Реализация политик с учетом контекста. Облачная Встроенная Оверлейная среда Сеть Прозрачность Контекст Управление Программный интерфейс приложений Управление Сервисы Партнеры© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 42
  43. 43. Комплексное решение Cisco дляподхода BYODТолько Cisco может увязать всеэлементы вместе! ISE NCS Prime IronPort WSA Коммутаторы MDM Cisco Catalyst Manager Контроллер WLAN Cisco Стороннее приложение MDM CSM / Устройства в ASDM проводной сети AC NAM (только AC NAM Windows) (только Windows) AC VPN (все мобильные системы) AC Cloud Web Security (все ПК)© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 43
  44. 44. Подход BYOD: Cisco TrustSec вдействииСценарий применения
  45. 45. © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 45Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены. Конфиденциальная информация Cisco 45

×