Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Принципы построения защищенной сети

582 views

Published on

В данной сессии мы рассмотрим общие архитектурные принципы построения защищённой, отказоустойчивой и эффективной корпоративной сети передачи данных с учётом современных угроз, как внешних, так и внутренних. Данная презентация является основой для последующих презентаций «Архитектура защищенного периметра», «Архитектура защищённого ЦОД», Архитектура защищённого мобильного доступа» и «Архитектура защиты внутренней сети». Слушатели получат общее представление о способах построения защищённых сетей, о стратегии Cisco и базовых методах, используемых для построения того или иного функционального блока.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Принципы построения защищенной сети

  1. 1. Руслан  Иванов Системный  инженер-­‐консультант Принципы  построения  защищенной  сети
  2. 2. С  чем  мы  сталкиваемся? Изменение   бизнес-­‐моделей Динамичность   угроз Сложность  и   фрагментация организаций   не  знают  всех   своих  сетевых  устройств BYOD 90% ПОГЛОЩЕНИЯ раз  больше  облачных   сервисов  используется,   чем   знает  ИТ  и  ИБ ОБЛАКА в  5–10 основных 500  Android-­‐ приложений имеют  проблемы   с  безопасностью ПРИЛОЖЕНИЯ 92% поглощений   в  первой   половине 2014 года 16,775
  3. 3. С  чем  мы  сталкиваемся? Изменение бизнес-­‐моделей Динамичность   угроз Сложность  и   фрагментация Сообщество злоумышленников целенаправленно ведет свою деятельность скрытно 60% Данных крадутся   за  ЧАСЫ 54%Проникновений остаются необнаруженными МЕСЯЦАМИ ГОДЫМЕСЯЦЫЧАСЫСТАРТ 85%вторжений  в  PoS не  обнаруживаются НЕДЕЛЯМИ НЕДЕЛИ 51%увеличилось  число   компаний,   заявивших  о   потерях  в  $10M+ за  3   ГОДА
  4. 4. С  чем  мы  сталкиваемся? Изменение бизнес-­‐моделей Сложность  и   фрагментация Динамичность угроз Вендоров ИБ  на   конференции  RSA 2015   Нехватка   персонала  ИБ 373 12x Среднее  число  ИБ-­‐ вендоров на  крупном   предприятии 50 Сложность ЛюдиФрагментация
  5. 5. ©   2015   Cisco  and/or   its  affiliates.   All  rights   reserved. Cisco  Confidential 5 $ 3.3 55% Мобильность Устройств на работника* IP-­‐траффик мобильный  к  2017** *  Cisco   IBSG,  **   Cisco  2013   VNI,   ***   IDC   545 44% Облака Облачных приложений на  организацию* Рост  ежегодной облачной  нагрузки***   *  Skyhigh Networks   Industry   Report,   **    Cisco   Global  Cloud   Index,   ***   Cisco  VNI   Global  Mobile   Data   Traffic   Forecast,   Рост  в  M2M   IP-­‐траффика 2013–18** 5000М Подключенных “умных  вещей”  к  2020* 36X *  Cisco   IBSG,  **   Cisco  VNI:   Global   Mobile   Data   Traffic   Forecast   2013-­‐2018   IoE
  6. 6. Проблемы  с  традиционной  моделью   «эшелонированной»  безопасности Слабая  прозрачность Многовекторные и   продвинутые  угрозы   остаются  незамеченными Точечные  продукты Высокая  сложность,   меньшая   эффективность Ручные  и  статические   механизмы Медленный  отклик,  ручное   управление,  низкая результативность Наличие  обходных  каналов Мобильные  устройства,   Wi-­‐Fi, флешки,  ActiveSync,   CD/DVD и  т.п.  
  7. 7. Современные  угрозы  требуют  большего,  чем   просто  эшелонированная  оборона! 54% компрометаций остаются  незамеченными месяцами 60% данных   похищается  за   несколько  часов Они  стремительно  атакуют  и  остаются  неуловимыми Целое  сообщество  злоумышленников остается  нераскрытым,  будучи  у  всех  на  виду 100% организаций  подключаются   к  доменам,  содержащим   вредоносные  файлы  или  службы
  8. 8. Как  хакеры  используют  свои  знания?! ИНН  /  SSN: от  $1   Карта пациента: >$50 DDOS   as  a  Service: от  $7/час 8©2014    Cisco  and/or  its  affiliates.  All   rights  reserved. ДОБРО  ПОЖАЛОВАТЬ  В  ЭКОНОМИКУ  ХАКЕРОВ! Source:  RSA/CNBC DDoS Данные кредитной карты:   $0.25-­‐$60 Банковская  учетка: >$1000   зависит  от  типа  учетки и  баланса $ Эксплойты $1000-­‐$300K Учетка Facebook: $1  за  учетку с 15   друзьями Спам: $50 за  500K  email Разработка вредоноса: $2500 (коммерческое   ВПО) Глобальный  рынок   киберпреступности:   $450млрд-­‐$1трлн Мобильное вредоносное  ПО: $150
  9. 9. Угрозы  – не  единственная  причина   думать  об  ИБ Страх Соответствие требованиям   регуляторов Экономика • Самая  популярная  причина  продажи  ИБ  со   стороны  вендоров (реальные  инциденты  и   мифические  угрозы) • В  условиях  кризиса  не  работает  (есть  более   приоритетные  риски  и  угрозы  –колебания   курса,  нет  заимствований,  сокращение,   банкротство  контрагентов…) • Наиболее  актуальная  причина  для   государственных  органов • Средняя  актуальность  –крупные   предприятия • Низкая  актуальность  –средний   бизнес • Практически  неактуальна  –для   малого  бизнеса • Очень  редко  когда   применяется  в  ИБ • В  условиях  кризиса   приобретает  очень   важное  значение  
  10. 10. Гипотезы  безопасности  Cisco Консалтинг Интеграция УправлениеЗнание  угроз ПлатформыВидимость Акцент  на  операционную   деятельность Нехватка  персонала + Проблемы  безопасности + Требуется  изменение  отношения  к  ИБ
  11. 11. Точечные  и статичные решения ©   2015   Cisco  and/or   its  affiliates.   All  rights   reserved. 11 Фрагментация Сложность Требуют  лишнего   управления
  12. 12. Локализовать Вылечить Устранить  причины Непрерывное   решение ©   2015   Cisco  and/or   its  affiliates.   All  rights   reserved. 12 Узнать Применить  политику Усилить  защиту Идентифицировать Блокировать Отразить
  13. 13. Всепроникающий Непрерывный Всегда   Полное   решение
  14. 14. Серебряной  пули  не  существует… “Captive  Portal” “Это  соответствует  шаблону” “Нет  ложных  срабатываний, нет  пропусков.” Контроль   приложений FW/VPN IDS  /  IPS UTM NAC AV PKI “Запретить  или  разрешить” “Помочь  МСЭ” “Нет  ключа,  нет  доступа” Песочницы “Обнаружить неизвестное”
  15. 15. Только  комплексный  подход  способен  решить   эту  задачу! ДО Обнаружение Блокирование Защита ВО ВРЕМЯ ПОСЛЕ Контроль Применение Усиление Видимость Сдерживание Устранение Угрозы Сеть Оконечные устройства Мобильные устройства Виртуальные машины Облако В  определенный момент Непрерывно
  16. 16. Портфолио  решений  Cisco создано  с   использованием  этого  подхода ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Угрозы Видимость  и  контроль Firewall NGFW NAC  +  Identity  Services VPN UTM NGIPS  /  AMP Web  Security Email  Security Advanced  Malware  Protection Network  Behavior  Analysis Экономика Требования  регуляторов Incident  Response
  17. 17. Стратегические  задачи Интеграция  в  сеть, широкая  база  сенсоров, контекст  и  автоматизация Непрерывная  защита  от   целенаправленных угроз,  облачное  исследование   угроз Гибкие  и  открытые  платформы, масштабируемость,  всесторонний   контроль,  управление Сеть Оконечные устройства Мобильные устройства Виртуальные устройства Облака Видимость  всего  и  вся Фокус  на  угрозы Платформы
  18. 18. Проблемы  с  традиционным  мониторингом Admin Базируется  на  правилах • Зависимость  от  сложных,   создаваемых  вручную  правил • Зависимость  от  человеческого   фактора Зависимость  от  времени • Занимает  недели  или  месяцы   на  обнаружение • Требует  постоянной  настройки Security   Team Очень  сложно • Часто  требует   квалифицированный   персонал  для  управления   и  поддержки 111010000  110    0111   Невозможно   противодействовать   в  одиночку   современным   угрозам
  19. 19. Наш  ответ:  Cisco  TALOS
  20. 20. Мозг  архитектуры  безопасности Cisco Действующее   соединение  SMTP?   (ESA) Ненадлежащий   или   нежелательный   контент?   (ASA/WSA/CWS) Место  для  контроля   и  управления?   (ASA/WSA) Вредоносное   действие?   (ASA/IPS) Вредоносный  контент  на   оконечных  устройствах?   (AnyConnect) WWW Репутация Сигнатуры Сигнатуры Исследование   угроз Регистрация   доменов Проверка контента Ловушки   для   спама,   ловушки   для  хакеров,   интеллектуальные   анализаторы Черные   списки и  репутация Партнерство   со  сторонними   разработчиками Правила  и  логика для  конкретных  платформ Cisco  Talos
  21. 21. Доверяем  ли  мы  внешнему  облаку? Полностью  публичное  облако Гибридное  облако(только   хэши файлов  в  облаке) Полностью  частное  облако (все  данные  у  заказчика) Данные  из  облака + ThreatGRID Требуется   лицензия  на  ПО НЕТ  устройств  ThreatGRID Данные  из   облака + Предварительный   анализ  хешей в   облаке + Данные  из   облака + Весь  анализ в  облаке (ThreatGRID) + AMP  Appliance  или подписка  на  ПО ThreatGRID Требуется   лицензия  на  ПО AMP  Appliance  или подписка  на  ПО AMP  Appliance  или подписка  на  ПО
  22. 22. Cisco  Platform  Exchange  Grid  (pxGrid) Что  более  полезно  с  точки  зрения  безопасности? “Адрес  скомпрометированного  устройства 192.168.100.123” -­‐ ИЛИ  -­‐ “Скомпрометировано  устройство iPad Васи  Иванова в  комнате  13” Cisco  ISE  собирает  контекстуальные  “big  data”  из  множества   источников  в  сети.  С  помощью  Cisco  pxGrid эта  информация   «делится»  с  решениями  партнеров. С  контекстуальными  данными ISE,  решения  партнеров  могут  более   аккуратно  и  быстро  идентифицировать,  нейтрализовывать и   реагировать на  сетевые  угрозы. Повышение  эффективности  решений  партнеров  через  обмен  контекстом
  23. 23. Экосистема  решений   ISE  как  “Сервис  контекста”,  TrustSec Архитектура  открытой  платформы Разработка  экосистемы  SSP Встроенная  безопасность  в  ИТ Мобильность  (MDM),  Угрозы (SIEM),   облачные  решения Комплексное  партнерское  решение Lancope,  «Сеть  как  сенсор» Использование  знания  Сети Текущая  экосистема партнеров  Cisco
  24. 24. Экосистемные партнёры Инфраструктура  API ДО Политика  и   контроль ПОСЛЕ Анализ  и   восстановление Обнаружение  и   блокирование ВО ВРЕМЯ Инфраструктура   &  Мобильность NACУправление  уязвимостями Обнаружение   пользовательских   событий Захват   пакетов Реагирование   на  инциденты SIEMВизуализацияNetwork  Access  Taps
  25. 25. Ок,  у  Cisco  крутые  продукты,  что  дальше? Дальше  это   выглядит  так,  как   будто  кто-­‐то   вывалил  кучу   деталей  Lego  на   ковёр.  
  26. 26. Необходимость  стройной  и  понятной   архитектуры  решений Мы  не  знаем,  что   нам  делать  со   всеми  этими   деталями,  как  нам   получить  то,  что  на   картинке?
  27. 27. Мы  ориентируемся  на  конкретные  сетевые   зоны Как  мне  обеспечить  безопасность  ЦОД?  И  от  чего? Что  именно  мне   нужно  сделать,   чтобы  обезопасить   работу  сервисов   между  доверенной   и  партнёрской   зонами  в  ЦОД?
  28. 28. Нас  интересуют  практические  задачи! Как  обезопасить  данные  кредитных  карт  от  кражи? Какие  существуют   рекомендации  по   обработке   кредитных  карт  по   беспроводным   сетям?  Это  вообще   возможно?
  29. 29. Простота  всегда  побеждает Вы  же  сами   рассказываете,  что   сложность   безопасности  растёт,   значит  надо  всё   делать  проще!
  30. 30. Цели  архитектуры  SAFE • Упростить  сложное • Показать,  как  УГРОЗЫ связаны  с  ВОЗМОЖНОСТЯМИ противодействия  средств   защиты • Предоставить  эталонный   дизайн – ту  самую  картинку   на  коробке  Lego
  31. 31. Заголовок  слайда  
  32. 32. Как  в  SAFE  выглядит  защита  от  угроз  и  соответствие   требованиям  регуляторов  для  филиала?
  33. 33. От  архитектуры  к  решению:  защищаем  филиал   на  20-­‐99  пользователей Маршрутизатор  ISR S2S  VPN,  унифицированные   коммуникации,   Trustsec, CWS,   анализ  Netflow Коммутатор  Catalyst Контроль  доступа  + Trustsec,   анализ  Netflow,  ISE Безопасность  хостов Антивирус,  AMP  for  Endpoints Унифицированная  БЛВС Контроль  доступа  + Trustsec,   анализ  Netflow,  WirelessIPS,  ISE WAN ASA  с  сервисами  FirePower FW,  NGIPS,  AVC,  AMP,  фильтрация   URL Email  Security  Appliance Централизованная  защита   email,  антиспам,  антивирус, DLP,  AMP ISE  +  Cisco  Threat   Defense Централизованные ISE  и CTD Контроль  доступа  + Trustsec,   Проверка  на  соответствие, Защита  от  угро на  основе   анализа  потоков  Netflow Internet
  34. 34. От  решения  – к  низкоуровневому  дизайну Маршрутизатор  ISR ISR  4321 Коммутатор  Catalyst Catalyst  3850-­‐48 Безопасность  хостов Антивирус,  AnyConnect 4.0,   AMP  for  Endpoints Унифицированная  БЛВС WLC  5508,  AP3701i,MSEv ASA  с  сервисами   FirePower ASA  5515  w/  FP  Services Email  Security   Appliance ESA  в  центральном  офисе ISE ISE в  центральном  офисе Vlan 10 G1/1 G2/1 Trunk G1/2 G1/23 G2/1 10.1.1.0/24 10.1.2.0/24 Vlan 12 12.1.1.0/24 WAN Internet
  35. 35. Структура  документов  по  архитектуре  SAFE Общий  высокоуровневый   обзор  архитектуры Архитектурные   руководства  по  местам   в   сети  и  доменам   безопасности   Проверенные   дизайны  Cisco  Validated   Design SAFE  Overview Architecture  Guides How  To First  Look   DIGПроверено
  36. 36. Пример  руководств  по  проектированию  и   внедрению  безопасного  ЦОД SAFE  Overview   Guide Secure  Data  Center   Architecture  Guide How  To  Deploy  ASA  Cluster Secure  Data  Center  First  Look  Guide   ASA  Clustering  with  FirePOWER Общий  высокоуровневый   обзор  архитектуры Архитектурные   руководства  по  местам   в   сети  и  доменам   безопасности   Проверенные   дизайны  Cisco  Validated   Design Проверено
  37. 37. Рекомендуемые  руководства • Firewall  and  IPS  Deployment  Guide • Remote  Access  VPN  Deployment  Guide • Remote  Mobile  Access  Deployment  Guide • VPN  Remote  Site  Over  3G/4G  Deployment  Guide • Email  Security  using  Cisco  ESA  Deployment  Guide • Cloud  Web  Security  Deployment  Guide • Web  Security  using  Cisco  WSA  Deployment  Guide • 5  BYOD  Deployment  Guides • Teleworking  ASA  5505  Deployment  Guide www.cisco.com/go/cvd
  38. 38. Состав  руководства Цели  руководства Обзор  архитектуры Описание  решения • С  бизнес  и  технологической  точки  зрения Детали  внедрения • Типовая  конфигурация • Отказоустойчивость • Управление • Итоги Список  продуктов Пример  конфигурации
  39. 39. Рекомендации  по  настройке
  40. 40. Если  вы  знаете, что  ваша  сеть  уже  скомпрометирована, будете  ли  вы  защищаться  по  старому?
  41. 41. Не  видя  ничего,  ничего  и  не  обнаружишь Сетевые сервера ОС Рутера и свитчи Мобильные устройства Принтеры VoIP телефоны Виртуальные машины Клиентские приложения Файлы Пользователи Web приложения Прикладные протоколы Сервисы Вредоносное ПО Сервера управления ботнетами Уязвимости NetFlow Сетевое поведение Процессы
  42. 42. Фокус  на  угрозы ?
  43. 43. Обнаружить,  понять  и  остановить  угрозу ? Аналитика  и исследования угроз Угроза определена История  событий Как Что Кто Где Когда Контекст Записано Блокирование
  44. 44. Непрерывная  защита  от  целенаправленных   угроз Как Что Кто Где Когда Аналитика  и исследования угроз История  событий Непрерывный  анализКонтекст Блокирование
  45. 45. Только  комплексный  подход  способен  решить   поставленные  задачи ДО Обнаружение Блокирование Защита ВО ВРЕМЯ ПОСЛЕ Контроль Применение Усиление Видимость Сдерживание Устранение Угрозы Сеть Оконечные устройства Мобильные устройства Виртуальные машины Облако В  определенный момент Непрерывно
  46. 46. FirePOWER подчиняется  той  же  идее ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт  угроз Видимость  и  контекст Firewall NGFW Управление  уязвимостями VPN UTM NGIPS Web  Security Исследования ИБ Advanced  Malware  Protection Ретроспективный  анализ IoC /  реагирование  на  инциденты
  47. 47. И  Cisco  Advanced  Malware  Protection тоже ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт  угроз Видимость  и  контекст Контроль сетевого доступа Обнаружение   и блокирование вредоносного кода Ретроспективный анализ
  48. 48. Cisco  ISE  также  поддерживает    этот  подход  и   объединяет  решения  Cisco в  единый  комплекс ДО Контроль Применение Усиление ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование Защита Видимость Сдерживание Устранение Ландшафт  угроз Видимость  и  контекст Контроль сетевого доступа Передача контекста Ограничение  доступа и  локализация нарушителей • Cisco  ASA • Cisco  FireSIGHT • Cisco  ISR • Cisco  Catalyst • Cisco  Nexus • Cisco  WSA • Cisco  CTD • SIEM • pxGRID
  49. 49. Внедрение  ИБ  там  где,  нужно, а  не  там,  где  получается Малый  и  средний  бизнес,   филиалы Кампус Центр  обработки   данных Интернет ASA ISR IPS ASA Почта Веб ISE Active   Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные   сервисы  ISR-­‐G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный   ЦОД Физический   ЦОД Аналитический   центр  Talos Удаленные устройства Доступ Облачный   шлюз   безопасности Облачный   шлюз   безопасности Матрица   ASA,   (сеть   SDN) АСУ  ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг
  50. 50. «Поэтому  и  говорится:  если  знаешь  его  и   знаешь  себя,  сражайся  хоть  сто  раз,   опасности  не  будет;  если  знаешь  себя,  а  его   не  знаешь,  один  раз  победишь,  другой  раз   потерпишь  поражение;  если  не  знаешь  ни   себя,  ни  его,  каждый  раз,  когда  будешь   сражаться,  будешь  терпеть  поражение.»   Сунь  Цзы.  Искусство  войны.

×