More Related Content
Similar to Cisco TrustSec (20)
More from Cisco Russia (20)
Cisco TrustSec
- 1. Cisco TrustSec
Михаил Кадер, инженер
mkader@cisco.com, security-request@cisco.com
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 1
- 2. Как управлять
доступом к сети?
Кто должен иметь
доступ и к чему?
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 2
- 3. Наши клиенты полны новых ожиданий
Эволюция ландшафта рабочего места
БЫСТРЫЙ РОСТ
ЧИСЛА УСТРОЙСТВ
В среднем каждый
пользователь имеет
К 2015 году 15 3–4 устройства,
миллиардов устройств соединяющих его с сетью
будут подключаться к сети
40 % сотрудников приносят
свои собственные устройства
на работу
БЫСТРЫЙ РОСТ КАДРЫ
ВИРТУАЛИЗАЦИЯ
ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 3
- 4. Наши клиенты полны новых ожиданий
Эволюция ландшафта рабочего места
КАДРЫ
НОВОГО ПОКОЛЕНИЯ
Люди готовы к снижению 70 % конечных пользователей
Работа больше не то
заработной платы ради признаются в нарушении
место, куда нужно идти
возможности работать дома правил ИТ-безопасности ради
облегчения своей жизни
Им необходим доступ любых устройств в
любое время, из любого места
БЫСТРЫЙ РОСТ КАДРЫ
ВИРТУАЛИЗАЦИЯ
ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 4
- 5. Наши клиенты полны новых ожиданий
Эволюция ландшафта рабочего места
ВИРТУАЛИЗАЦИЯ
«К 2013 году 60 % нагрузки
серверов будет виртуализовано»
“К 2013 году управление 20 %
профессиональных ПК будет
осуществляться в рамках модели
размещаемых виртуальных
настольных систем.”
Центры обработки данных
эволюционируют. Теперь
приложения — это объекты,
которые перемещаются по сети
БЫСТРЫЙ РОСТ КАДРЫ
ВИРТУАЛИЗАЦИЯ
ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 5
- 6. Проблемы, которые сразу приходят на ум
На службы ИТ ложится тяжелое бремя
• Как управлять риском, возникающим, когда сотрудники
приносят свои собственные устройства?
• Как обеспечить единообразное качество
обслуживания для всех устройств?
• Как реализовать множество политик безопасности
для каждого отдельного пользователя и
устройства?
• Что поддерживать и как?
БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 6
- 7. Проблемы, которые сразу приходят на ум
На службы ИТ ложится тяжелое бремя
• Препятствую ли я своим сотрудникам
в реализации конкурентных преимуществ?
• Как удержать наиболее талантливые кадры?
• Как обеспечить соответствие требованиям
ФЗ-152, СТО БР и т. д.?
• Как достойным образом обходиться с
партнерами, консультантами, гостями?
ПЕРСОНАЛ СТАНОВИТСЯ ДРУГИМ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 7
- 8. Проблемы, которые сразу приходят на ум
На службы ИТ ложится тяжелое бремя
• Как узнать, кто осуществляет доступ к моей
инфраструктуре виртуальных настольных систем?
• Как обеспечить защищенный доступ
к моим данным в облаке,
сохраняя масштабируемость?
• Как обеспечить соответствие нормативным
требованиям
без ограничения рамками географических регионов?
ВИРТУАЛИЗАЦИЯ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 8
- 9. Представляем Cisco TrustSec
Надежная поддержка управления доступом на основе политик для вашего бизнеса
Пользователь Сотрудник
беспроводной Клиент
Удаленный сети / гость
пользователь, виртуальной
подключенный машины
Всеобъемлющий учет
Полная по VPN
IP-устройства контекста: кто, что, где,
прозрачность когда, как
Использование
преимуществ сети для
защищенного доступа к
Инфраструктура с контролем критически важным
Абсолютный идентификационных ресурсам, нейтрализации
контроль данных и учетом контекста рисков и поддержания
соответствия
нормативным
требованиям
Централизованное
управление сервисами
Эффективное Центр обработки Интранет Интернет Зоны безопасности
защищенного доступа и
масштабируемыми
управление данных
средствами обеспечения
Использование существующей соответствия
инфраструктуры
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 9
- 10. Архитектура Cisco TrustSec
Безопасность, ориентированная на идентификацию и контекст
Политики,
относящиеся к бизнесу
ГДЕ
ЧТО КОГДА
Атрибуты
КТО КАК политики
безопасности
Модуль централизованных политик
Идентификация
Динамическая политика и реализация
Пользователи и
устройства
РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И
БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 10
- 11. Портфель решений Cisco TrustSec
Администрирование
политики
Принятие решений на
базе политик Identity Services Engine (ISE)
Система политик доступа на основе идентификации
Реализация
политик
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,
На основе TrustSec инфраструктура беспроводной сети и маршрутизации
Cisco ASA, ISR, ASR 1000
Информация
о политике Агент NAC Web-агент Запрашивающий клиент 802.1x
Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий
На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС
Доступ на основе идентификации — это не опция, а свойство сети,
включая проводные, беспроводные сети и VPN
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 11
- 12. Комплексное решение для подхода BYOD
(«принеси свое собственное устройство»)
ОГРАНИЧЕННЫЙ ДОСТУП БАЗОВЫЙ ДОСТУП РАСШИРЕННЫЙ ДОСТУП НОВОГО
ДОСТУП ПОКОЛЕНИЯ
Среда требует строгого Ориентирован на базовые Поддержка Собственные корп.
контроля сервисы и удобный доступ дифференцированных сервисов, приложения,
почти для всех адаптационный период, новые сервисы,
защищенный доступ, но не для
полный контроль
собственных устройств
Только устройства компании Более широкий круг устройств, Множество типов устройств и Множество типов устройств,
Среда производителя но только Интернет методов доступа (корпоративных)
Торговая площадка Здравоохранение
Среды образовательных Инновационные предприятия
Закрытые сети гос. органов учреждений Предприятия, первыми принявшие Электронная розничная торговля
Традиционные предприятия Гос. учреждения подход BYOD
Сервисы мобильной торговли
Простые гости Доступ для подрядчиков (видео, совместная работа и т. д.)
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 12
- 14. Полная прозрачность
Полная прозрачность
Контроль идентификационных данных и учет контекста
Гостевой доступ
Профилирование
Оценка состояния КТО ЧТО ГДЕ КОГДА КАК
КОНТЕКСТ
Шлюз камеры
видеонаблюдения Вася Пупкин Личный iPad
Автономный ресурс Консультант Собственность сотрудника
Тверской филиал Центральный офис, Беспроводный центральный
отдел стратегий офис
Удаленный доступ
18:00
Маша Петрова Федор Калязин
Сотрудник, служба Гость
маркетинга Беспроводная сеть
Проводная сеть 9:00
15:00
ИДЕНТИФИКАЦИЯ
802.1X
MAB
WebAuth КОММУТАТОРЫ, МАРШРУТИЗАТОРЫ, БЕСПРОВОДНЫЕ ТОЧКИ ДОСТУПА CISCO
Сеть с поддержкой идентификации (802.1X)
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 14
- 15. Полная прозрачность
Контроль идентификационных данных
Использование существующей сетевой инфраструктуры
Коммутатор Cisco Catalyst®
Отличительные особенности
идентификации
Режим монитора
Гибкая последовательность
аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных
Авторизо- Планшеты IP- Сетевое Гости настольных систем
ванные телефоны устройство
пользователи
MAB и Web-
802.1X
профилирование аутентификация
Функции аутентификации
IEEE 802.1x Обход аутентификации по Web-
MAC-адресам аутентификация
На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 15
- 16. Идентификация устройств
Классификация устройств вручную и реализация политик
Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ
Быстрый рост числа
Множество устройств Должно быть Необходима гарантия того,
устройств в проводной и предусмотрено что устройство
и идентификация для беспроводной сети управление политиками для соответствует цифровым
реализации политик каждого типа устройств меткам
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 16
- 17. Полная прозрачность
Идентификация устройств Компоненты
Новаторство
Автоматическая классификация устройств с использованием инфраструктуры Cisco
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ
Для проводных и беспроводных сетей
ПОЛИТИКА
Принтер Личный iPad
ISE
Точка доступа
Политика для Политика для
CDP CDP
принтера LLDP LLDP личного iPad
DHCP DHCP
MAC-адрес MAC-адрес
[поместить в VLAN X] [ограниченный доступ]
Точка
доступа
Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO
Эффективная СБОР ДАННЫХ КЛАССИФИКАЦИЯ АВТОРИЗАЦИЯ
классификация устройств Коммутатор собирает данные, ISE производит классификацию ISE реализует доступ на основе
с использованием относящиеся к устройству, и устройства, сбор данных о политик для данного
передает отчет в ISE трафике и формирует отчет об пользователя и устройства
инфраструктуры использовании устройства
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 17
- 18. Полная прозрачность
Эволюция идентификации
устройств: шире и глубже Инновации
Cisco
Интегрированное профилирование:
прозрачность и масштабируемость
Сетевая инфраструктура обеспечивает локальную
функцию распознавания
Данные контекста передаются через RADIUS в ISE
Активное
сканирование
оконечных
Активное сканирование: устройств
повышенная точность
ISE расширяет пассивную телеметрию сети
данными активной телеметрии оконечных
устройств ISE
Web-канал данных
Web-канал данных об устройствах*: об устройствах
идентификация с возможностью
масштабирования
Сенсор устройств
Изготовители и партнеры постоянно предоставляют (функция сети)
обновления для новых устройств
Клиенты получают пакеты данных по web-каналам
от Cisco
Сенсор устройств Cisco * запланировано на осень 2012 г.
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 18
- 19. Анализ с учетом контекста: Полная прозрачность
оценка состояния
Оценка состояния средствами ISE обеспечивает проверку работоспособности оконечного устройства до получения доступа к сети
Пользователь
проводной,
беспроводной,
виртуальной сети
Временный
ограниченный доступ к
Не сети до устранения
соответствует проблем
требованиям
Пример политики для сотрудника Проблема: Ценность:
• Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или
установлены работоспособности устройства постоянный агент
• Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение
обновлен и работает устройствами проблем
• Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация
дифференцированных политик
• Приложение предприятия выполняется на основе ролей
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 19
- 20. Полная прозрачность
Анализ с учетом контекста:
управление гостевым доступом
Гостевой сервис ISE для управления гостями
Гостевые Web-
политики аутентификаци
я
Интернет
Беспроводный или Гости
проводной доступ
Доступ только к
Интернету
Выделение ресурсов: Управление: Уведомление: Отчет:
гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых
на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей
политики, гостевой портал электронной почте или SMS
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 20
- 21. Абсолютный контроль
Абсолютный контроль
Обеспечивает реализацию политик
Удаленный Пользователь с Пользователь с Виртуальный
пользователь беспроводным проводным Устройства рабочий стол
VPN доступом доступом
Управление Масштабируемая
доступом на реализация
основе политик Сети VLAN
СЕТЬ С КОНТРОЛЕМ Списки управления
ИДЕНТИФИКАЦИОННЫХ ДАННЫХ доступом (ACL)
И УЧЕТОМ КОНТЕКСТА
Метки групп
безопасности *
Шифрование MACSec *
*=
Инновации
Центр обработки Зоны Cisco
данных Интранет Интернет
безопасности
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 21
- 22. Абсолютный контроль
TrustSec: авторизация и
реализация политик Инновации
Cisco
Динамические или Доступ для групп
Сети VLAN
именованные ACL-списки безопасности
Сотрудник
Любой IP-
адрес
Устранение
проблем
Подрядчик Сотрудники Гость
Доступ для групп безопасности
VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW
• Меньше перебоев в работе • Не требует управления • Упрощение управления
оконечного устройства (не ACL-списками на портах ACL-списками
требуется смена IP-адреса) коммутатора
• Единообразная
• Повышение удобства для • Предпочтительный выбор реализация политик
пользователей для изоляции путей независимо от топологии
• Детализированное
управление доступом
Гибкие механизмы реализации политик в вашей инфраструктуре
Широкий диапазон доступных клиенту вариантов доступа
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 22
- 23. Повышение уровня реализации политик во
всей сети
Политики на основе Таблица доступа согласно
понятного технического языка политике на основе ролей
Отдельные
пользователи Разрешения Ресурсы Матрица политик
Врачи Интранет
Почтовый Серверы Медицинские
D1 - финансовой карты
S1 (10.156.78.100) сервер службы пациентов
портал
(10.10.24.13)
Медицинские Нет Совместный
Совместный web-
D2 карты Врач Интернет IMAP web-доступ к
доступ к файлам
S2 доступа файлам
пациентов
(10.10.28.12) Финансовая
Интернет IMAP Интернет Нет доступа
служба
D3 ИТ-
(10.156.54.200) WWW, Полный
Финансовая служба админист- SQL SQL
SQL, SSH доступ
ратор
Электронная
S3 D4 почта ACL-список "Врач - карта пациента"
(10.10.36.10) в интранет-сети
permit tcp dst eq 443
permit tcp dst eq 80
permit tcp dst eq 445
D5 permit tcp dst eq 135
ИТ-администраторы (10.156.100.10) deny ip
S4 Финансова
(10.10.135.10)
D6
я служба
permit tcp S1 D1 eq https
Требует затрат времени permit
deny
tcp S1 D1 eq 8081
ip S1 D1
Простота
Ручные операции …… Гибкость
Предрасположенность к ……
permit tcp S4 D6 eq https Учет характера
ошибкам permit tcp S4 D6 eq 8081
деятельности
deny ip S4 D6
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 23
- 24. Абсолютный контроль
Доступ для групп безопасности (SGA)
Маркировка трафика данными о контексте Медицинские карты пациентов
(конфиденциальная информация)
Врач
Неограниченный доступ
для сотрудников
Финансовая
служба
Интернет
Гость Инновации
Cisco
Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОМ
Масштабируемая реализация ДЛЯ ГРУПП БЕЗОПАСНОСТИ (SGA)
политик независимо от
МАСШТАБИРУЕМАЯ И СНИЖЕНИЕ ПОВЫШЕНИЕ
топологии сети ЕДИНООБРАЗНАЯ ЭКСПЛУАТАЦИОННЫХ МАНЕВРЕННОСТИ
РЕАЛИЗАЦИЯ ПОЛИТИК РАСХОДОВ КОМПАНИИ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 24
- 25. Абсолютный контроль
Соответствие нормативным
требованиям защита данных путем
шифрования на уровнях L3/L4
Шифрованные данные
Прозрачность
отсутствует
КОРПОРАТИВНЫЕ РЕСУРСЫ
Шифрование L3/L4
Проблема Типичный сценарий развертывания
Шифрование Шифрование на Отсутствие прозрачности
исключает уровне IP или на трафика для реализации
прикладном уровне политик безопасности и QoS
прозрачность для
реализации политик
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 26
- 26. MACSec: защита данных путем Абсолютный контроль
шифрования с шифрованным Инновации
доступом на основе политик
Cisco
Шифрование Шифрование
802.1 AE 802.1 AE
Шифрованные
Шифрованные
данные данные прозрачен
Трафик
для реализации
политик КОРПОРАТИВНЫЕ РЕСУРСЫ
Дешифрование на Шифрование на
входном выходном интерфейсе
интерфейсе
Решение Типичный сценарий развертывания
Конфиденциальность Шифрование L2 на Прозрачность трафика для Целостность меток
данных последовательных реализации политик групп безопасности
переходах безопасности и QoS
в сочетании с
прозрачностью
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 27
- 27. Матрица функциональных
возможностей TrustSec
Матрица функциональных возможностей TrustSec 3.0 Доступ для групп безопасности MACSec
Функции Коммута-
Клиент –
802.1x / Сенсоры тор –
Платформа Модели SGT SXP SGACL SG-FW комму-
иденти- устройств коммута-
татор
фикации тор
Cat 2K 2960-S, 2960-SF, 2960-C
Cat 3K 3560, 3650E, 3750, 3750E,
3750-X 3560-X
3560 C
Cat 4K Sup 6E , Sup 6L-E
Sup 7E, Sup 7L-E
Cat 6K Sup32 / Sup720
Sup2T
Nexus 7K
Nexus 5K/2K
Pr1 / Pr2, 1001, 1002, 1004,
ASR 1K 1006, 1013, ESP10/20/40,
SIP 10/40
ISR G2 88X 89X 19xx 29xx 39xx
ASA
Контроллер
беспроводной
локальной
сети
AnyConnect
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 28
- 28. Эффективное управление
Эффективное управление
Эксплуатация
Объединенный мониторинг
безопасностью и политиками
Состояние контекста и панели мониторинга для
проводных и беспроводных сетей
Централизованное планирование задач
управления на несколько дней
Рабочие потоки настройки инструктивного характера
Сокращение сроков диагностики и
устранения неполадок
Интеграция с Cisco NCS Prime
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 29
- 29. Эффективное управление
Эффективное управление
Вовлечение конечного пользователя в управление
Снижение нагрузки на ИТ-персонал
Адаптационный период для устройств, саморегистрация,
выделение ресурсов запрашивающему клиенту*
Снижение нагрузки на службу технической
поддержки
Простой, интуитивно понятный интерфейс пользователя
Модель самообслуживания
Портал регистрации устройства пользователя*, портал для
приглашения гостей
* запланировано на лето 2012 г.
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 30
- 30. Защищенное управление Эффективное управление
мобильными устройствами
Экосистема управления мобильными устройствами (MDM)
ИНТЕГРАЦИЯ С ВЕДУЩИМИ
AD/LDAP
ПОСТАВЩИКАМИ MDM *
ISE • MobileIron, Airwatch, Zenprise
Политика с MDM
Manager
учетом • Выбор предложений экосистемы для
контекста ? клиентов
Коммутаторы
Cisco Catalyst
Контроллер
WLAN Cisco ФУНКЦИИ:
• Безопасная инициализация устройства
Пользователь X Пользователь Y
• Подробный контекст пользователя и
устройства
• Повышение безопасности устройства и
приложения
Компьютеры с Смартфоны, включая
Windows или OS X устройства с iOS или Android
* запланировано на осень 2012 г.
Проводное или Беспроводное подключение
беспроводное
подключение
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 31
- 31. Пакеты и лицензирование TrustSec
Лицензия ISE для
Базовая Расширенная
беспроводного НОВЫЕ ФУНКЦИИ TRUSTSEC В
лицензия ISE лицензия ISE
доступа ПАКЕТАХ ДЛЯ ИМЕЮЩИХСЯ
КОММУТАТОРОВ
Авторизованы ли мои Соответствуют ли мои Комплекс зданий (Cat 3K/4K):
оконечные устройства? оконечные устройства Базовая + расширенная
нормативным требованиям? • LAN Base — 802.1X, SXP, сенсор IOS,
MACSec
• Аутентификация / авторизация • Профилирование • Все базовые
• Выделение ресурсов для устройств сервисы • IP Base — SGT, SGACL
гостевого доступа • Оценка состояния узла • Все расширенные
• Политики шифрования • Доступ для групп сервисы Уровень агрегации (Cat 6K):
каналов
безопасности • IP Base — 802.1X, SXP, SGT, SGACL
Бессрочное лицензирование Лицензирование на срок 3 года / 5 лет Лицензирование на срок 5 лет Маршрутизатор (ASR 1K/ISR):
• Базовый пакет — SXP
Платформы устройства • Advanced/Security — SG FW
Малая 3315/1121 | Средняя 3355 | Крупная 3395 | Виртуальное устройство
Центр обработки данных (Nexus):
• Лицензия Advanced LAN → базовый
пакет
В составе
головного узла
Примечание. Расширенная лицензия не включает базовую
AnyConnect
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 32
- 32. Обновление и миграция
ACS NAC Guest NAC Profiler NAC Manager NAC Server
• Выпускаемое оборудование допускает программное обновление
(1121/3315/3355/3395)
• Программа миграции для старого оборудования с большими скидками
• Программа миграции лицензий для всех лицензий на программное обеспечение
• Имеются инструментальные средства для миграции данных и конфигураций*
* Будет реализовано в последующих выпусках
Identity Services Engine
Существующие инвестиции защищены
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 33
- 33. Преимущества TrustSec:
Отличия от конкурентов
Наиболее комплексное решение для
Единая политика для проводной,
подхода BYOD на основе политик с
беспроводной и виртуальной сети
поддержкой всего круга потребностей
бизнеса
Интегрированные сервисы жизненного Гибкие и масштабируемые варианты
цикла (оценка состояния, авторизации с использованием
профилирование, гостевой доступ) имеющейся инфраструктуры
Дифференцированные функции
идентификации (несколько методов Стандартные методы шифрования на
аутентификации, гибкая последовательность уровне данных для защиты
аутентификации, режим мониторинга) коммуникаций
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 34
- 34. Признанный успех в отрасли
«Инструментарий,
обеспечивающий нам
прозрачность, реализующий
политики доступа, устраняющий
недостатки, повышающий
уровень соответствия
требованиям»
«На нас произвела
впечатление гибкая
модель политик в
продукте»
Занимает лидирующую позицию «TrustSec и ISE согласуются с нашими
согласно отчету Gartner NAC Magic представлениями о комплексной безопасности
Quadrant на основе идентификации, которая столь
необходима современному предприятию, и
Декабрь 2011 г. недостаток которой столь остро ощущается.»
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Forrester, 2011 г. Конфиденциальная информация Cisco 35
- 35. Опыт развертывания Cisco TrustSec
• Элемент программы авторизованных поставщиков
технологий
• Все партнеры, продающие ISE, проходят
всестороннюю практическую подготовку
• Проекты развертывания проходят проверку со
стороны экспертов Cisco по ISE путем
наставничества и анализа
• Имеются проверенные и утвержденные Cisco
проекты для ISE
• Кроме того, имеются проекты для ISE,
подготовленные в рамках услуг технического
консалтинга Cisco, и пакеты услуг по отработке
пилотного варианта
«Cisco ISE позволит нашим клиентам справиться с проблемами, возникшими в
результате взрывного роста числа iPad, планшетов и смартфонов в их сетях, без
нарушения их корпоративных политик безопасности»
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 36
- 36. Перспективный план развития ISE
на 2 года
Объединенная Унифицированный Межсетевой экран
платформа политик агент на основе идентификации
NAC ACS
Гостевой ISE
доступ ПРОДАЖИ
Профайлер
КАДРЫ
Реализация политик
Сотрудники на для группы
Чукотке пользователей
• AAA, 802.1x, гостевой доступ, • Поддержка технологии Cisco AnyConnect™:
профилирование, оценка состояния безопасность внутри и вне помещений • Политики для отдельных пользователей,
• Мониторинг и диагностика систем • Расширение 802.1x и клиента VPN + NAC групп, устройств
• ISE: новое поколение ACS + NAC • Распространение управления на Positron • Платформы ASA и Positron
Расширенное Мониторинг и диагностика в
профилирование устройств Локализация поражения сети масштабе системы
Инициализация Политика
сетевых идентификации
Cisco Security устройств
Intelligence Ops
Управление Мониторинг и
клиентами диагностика
• Cisco предоставляет web-канал шаблонов • Упрощение процесса локализации, изоляции
устройств и устранения проблем • Единый инструментарий для администратора
• Коммутаторы собирают и передают цифровые • Использование показателя репутации и web- • Проводная и беспроводная инфраструктура
метки устройств без реорганизации трафика кагалов NIPS
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 37
- 37. © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 38