More Related Content
Similar to От хаоса в методах доступа в корпоративных сетях к унифицированной политике
Similar to От хаоса в методах доступа в корпоративных сетях к унифицированной политике (20)
More from Cisco Russia (20)
От хаоса в методах доступа в корпоративных сетях к унифицированной политике
- 1. От хаоса в методах
доступа в корпоративных
сетях к унифицированной
политике
Михаил Кадер, инженер
mkader@cisco.com, security-request@cisco.com
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены.
2012 Конфиденциальная информация Cisco 1
- 2. Что значит политика для организации?
Защитить свою ИТ- Защитить
инфраструктуру. интеллектуальную
собственность.
Обеспечить постоянный
Соблюдение доступ с предсказуемым
требований и CXO качеством. Рассмотреть
опасность возможность применения
несоблюдения. BYOD.
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 2
- 3. Влияние политики на организацию
Коммерческие цели и задачи, решаемые при помощи политик компании
Общие политики компании
"Защитить интеллектуальную собственность, имея к ней постоянный доступ".
Политика обеспечения
Сетевая Политика для Политика соответствия
политика приложений безопасности нормативным
требованиям
"Контролировать "Определить приложения, "Контролировать
которые получат доступ к "Проводить проверки
доступ к сетям с доступ пользователей
конфиденциальной защиты сетевых
конфиденциальной и предотвратить протоколов и соблюдения
информации и управлять
информацией". утечку данных". установленных
этим доступом".
требований"
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 3
- 4. Разрешить
Решаемые задачи. Определение
X Ограничить
политики
Политики, использующие Унифицированные политики,
имеющиеся технические возможности относящиеся к коммерческой деятельности
Заказы
Фин. Разрешить
joe_ b www.customer. продукции
дир. com/sapapp Корпоративный Данные
ноутбук заказчиков
Администрирование
приложений X
Финансовый SalesForce.
директор com
bjoe12 Finance_g a_serversap Разрешить
roup
Личный iPad
Системное
Польз Роль Устройст Услуга Местопол Действие
администрирование овате во ожение
ль
Все Любой iPad Заказы продукции Все Ограничить
IP-адрес – Маска сети Сеть Разрешить
1.1.1.1 255.255.0.0 10.10.0.0 Все Любой iPad Salesforce.com Вне офиса Разрешить
Любой Финансо Корпорат Заказы продукции / Любой Разрешить
Сетевое вый ивный Salesforce.com
администрирование отдел актив
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 4
- 5. Разрешить
X Ограничить
Решаемые задачи. Учет ситуации
Динамическая контекстная зависимость
Ограниченный или статический контекст
и контекстная зависимость в режиме реального времени
User ID= jblog User ID= jblog
? Заказы
продукции Заказы
продукции
0a:34:90:df:34:ab Данные Корпоративный Данные
заказчиков ноутбук
? User ID= joeb
X User ID= jblog
заказчиков
10.10.30.45 SalesForce. Финансовый
? com директор
(вне офиса)
SalesForce.
com
05:ab:5f:a0:34:87
Личный iPad
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 5
- 6. Решаемые задачи. Прозрачность и
контроль
Разрозненная отчетность, отсутствие корреляции Сводные отчеты, упрощенный аудит
jblog Финансовый Корпорат SJC стр. 1 Заказы Разрешить
директор ивные продукции
ноутбук
jblog Финансовый iPad Удаленное Заказы Ограничить
директор расположение продукции
• Множество разрозненных отчетов
• Отсутствие прозрачности и контроля с учетом
контекста
Консолидированная панель
управления
• Учет контекста –
• данные реального времени объединяют
приложения, системы и контекст сети
Отчет об Отчет об Отчеты о • Единый источник информации, поддержка
использовани использовании
и приложений
безопасности контроля и пересмотра политики
сети
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 6
- 7. Точка прозрачности и контроля политики
Идентификационные
данные предприятия
Прочие серверы политик Прозрачность
Папка сессии; содержит
следующие данные:
Пользователь
Устройство
Состояние
Местоположение
Ведомость изменений
Репутация Контроль действий
Политика Защита от вторжения
сети Защита от аномалий
ЦОД Устройства сетевого Оконечные устройства
доступа
Si
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 7
- 8. Cisco Identity Services Engine (ISE)
Платформа, ориентированная на идентификацию и
контекст
ГДЕ
ЧТО КОГДА Политики,
Атрибуты
политики относящиеся к
КТО КАК безопасности коммерческой
деятельности
Модуль
Идентификация централизованных
политик
(Identity Services Engine)
Динамическая политика и реализация
Мониторинг
Пользователи и и отчетность Средства управления
Применение политики
устройства приложениями
безопасности
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. ГО
Конфиденциальная информация
- 9. Услуги ISE
Мне нужно разрешать подключение к сети
Сервисы
только определенных пользователей и
устройств
аутентификации
Мне нужно, чтобы пользователь и устройства
Identity Services пользовались соответствующими сетевыми
Сервисы
Engine сервисами авторизации
Мне нужно разрешить гостям доступ в сеть Управление
и управлять их настройками жизненным циклом
гостевого доступа
Мне нужно разрешать/блокировать Сервисы
использование iPad в моей сети (BYOD) профилирования
Упрощенное Мне нужно, чтобы в моей сети были Сервисы
управление чистые устройства оценки состояния
политиками
Мне необходим масштабируемый способ Доступ для групп
реализации политики доступа в сети безопасности
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 9
- 10. Платформа. Интегрирование по вертикалям
Точки ранней проверки
Identity Services Engine (ISE)
Плоскость контекста и контроля
Управление складскими
SIEM MDM запасами
Загрузка с учетом контекста
Отчет от пользователя и "Г-ну Рассу придется
устройства зарегистрировать iPAD в MDM". Права
"По-видимому, не
Ограничение доступа, не
приложений
отвечающий требованиям ПК отвечающего требованиям
г-на Расса инфицирован" "Карантин"
Виртуализация
Ответ Streamline SecOps:
"Карантин"
Безопасность
оконечных устройств
Средства GRC
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 10
- 11. Сети PGN в действии
Области работы
с политиками
Бизнес- Безопасность Соответствие
требованиям
Управление ИТ-системами, политика и правила управления сетями Cisco
Заказы
продукции
Identity Services Engine (ISE)
MPLS
Корпоративный Полный Шифрование
ноутбук доступ Пользователь, Устройство, Услуга, Приложение,
роль расположение контекст контекст Данные заказчиков
SalesForce.
Централизованная com
iPad Ограниченный платформа политик
ASR/ISR/ASA
Маршрутизатор/
Приложения в ЦОД или в облаке
доступ коммутатор
Центральная панель
Приложения управления, отчеты,
сторонних измерения, диагностика
разработчиков неполадок
Централизованное
представление
© Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 11
- 12. © Компания Cisco и (или) ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 12