Cisco TrustSec и Cisco ISE

TrustSec и Identity
Services Engine
Надежная поддержка управления доступом на основе политик для
вашего бизнеса

© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 1

Как управлять
доступом к сети?
Кто должен иметь
доступ и к чему?


Наши клиенты полны новых ожиданий
Эволюция ландшафта рабочего места

БЫСТРЫЙ РОСТ
ЧИСЛА УСТРОЙСТВ

В среднем каждый
пользователь имеет
К 2015 году 15 3–4 устройства,
миллиардов устройств соединяющих его с сетью
будут подключаться к сети

40 % сотрудников приносят
свои собственные устройства
на работу

БЫСТРЫЙ РОСТ КАДРЫ
ВИРТУАЛИЗАЦИЯ
ЧИСЛА УСТРОЙСТВ НОВОГО ПОКОЛЕНИЯ


КАДРЫ
НОВОГО ПОКОЛЕНИЯ

Люди готовы к снижению 70 % конечных пользователей
Работа больше не то
заработной платы ради признаются в нарушении
место, куда нужно идти
возможности работать дома правил ИТ-безопасности ради
облегчения своей жизни
Им необходим доступ любых устройств в
любое время, из любого места



«К 2013 году 60 % нагрузки
серверов будет виртуализовано»

“К 2013 году управление 20 %
профессиональных ПК будет
осуществляться в рамках модели
размещаемых виртуальных
настольных систем.”

Центры обработки данных
эволюционируют. Теперь
приложения — это объекты,
которые перемещаются по сети


Проблемы, которые сразу приходят на ум
На службы ИТ ложится тяжелое бремя

• Как управлять риском, возникающим, когда сотрудники
приносят свои собственные устройства?

• Как обеспечить единообразное качество
обслуживания для всех устройств?

• Как реализовать множество политик безопасности
для каждого отдельного пользователя и
устройства?

• Что поддерживать и как?

БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ


• Препятствую ли я своим сотрудникам
в реализации конкурентных преимуществ?

• Как удержать наиболее талантливые кадры?

• Как обеспечить соответствие требованиям
ФЗ-152, СТО БР и т. д.?

• Как достойным образом обходиться с
партнерами, консультантами, гостями?

ПЕРСОНАЛ СТАНОВИТСЯ ДРУГИМ


• Как узнать, кто осуществляет доступ к моей
инфраструктуре виртуальных настольных систем?

• Как обеспечить защищенный доступ
к моим данным в облаке,
сохраняя масштабируемость?

• Как обеспечить соответствие нормативным
требованиям
без ограничения рамками географических регионов?


Представляем Cisco TrustSec
Надежная поддержка управления доступом на основе политик для вашего бизнеса

Пользователь Сотрудник
беспроводной Клиент
Удаленный сети / гость
пользователь, виртуальной
подключенный машины
Всеобъемлющий учет
Полная по VPN
IP-устройства контекста: кто, что, где,
прозрачность когда, как

Использование
преимуществ сети для
защищенного доступа к
Инфраструктура с контролем критически важным
Абсолютный идентификационных ресурсам, нейтрализации
контроль данных и учетом контекста рисков и поддержания
соответствия
нормативным

Централизованное
управление сервисами
Эффективное Центр обработки Интранет Интернет Зоны безопасности
защищенного доступа и
масштабируемыми
управление данных
средствами обеспечения
Использование существующей соответствия
инфраструктуры

Архитектура Cisco TrustSec
Безопасность, ориентированная на идентификацию и контекст

Политики,
относящиеся к бизнесу
ГДЕ

ЧТО КОГДА
Атрибуты
КТО КАК политики
безопасности
Модуль централизованных политик

Идентификация

Динамическая политика и реализация

Пользователи и
устройства
РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И
БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ


Портфель решений Cisco TrustSec

Администрирование
политики
Принятие решений на
базе политик Identity Services Engine (ISE)
Система политик доступа на основе идентификации

Реализация
политик
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,
На основе TrustSec инфраструктура беспроводной сети и маршрутизации
Cisco ASA, ISR, ASR 1000

Информация
о политике Агент NAC Web-агент Запрашивающий клиент 802.1x
Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий
На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС

Доступ на основе идентификации — это не опция, а свойство сети,
включая проводные, беспроводные сети и VPN

Комплексное решение для подхода BYOD
(«принеси свое собственное устройство»)

ОГРАНИЧЕННЫЙ ДОСТУП БАЗОВЫЙ ДОСТУП РАСШИРЕННЫЙ ДОСТУП НОВОГО
ДОСТУП ПОКОЛЕНИЯ

Среда требует строгого Ориентирован на базовые Поддержка Собственные корп.
контроля сервисы и удобный доступ дифференцированных сервисов, приложения,
почти для всех адаптационный период, новые сервисы,
защищенный доступ, но не для
полный контроль
собственных устройств

Только устройства компании Более широкий круг устройств, Множество типов устройств и Множество типов устройств,
Среда производителя но только Интернет методов доступа (корпоративных)
Торговая площадка Здравоохранение
Среды образовательных Инновационные предприятия
Закрытые сети гос. органов учреждений Предприятия, первыми принявшие Электронная розничная торговля
Традиционные предприятия Гос. учреждения подход BYOD
Сервисы мобильной торговли
Простые гости Доступ для подрядчиков (видео, совместная работа и т. д.)


Как это работает?
Более подробный обзор Cisco TrustSec

Полная прозрачность
Контроль идентификационных данных и учет контекста
Гостевой доступ

Профилирование

Оценка состояния КТО ЧТО ГДЕ КОГДА КАК

КОНТЕКСТ
Шлюз камеры
видеонаблюдения Вася Пупкин Личный iPad
Автономный ресурс Консультант Собственность сотрудника
Тверской филиал Центральный офис, Беспроводный центральный
отдел стратегий офис
Удаленный доступ
18:00
Маша Петрова Федор Калязин
Сотрудник, служба Гость
маркетинга Беспроводная сеть
Проводная сеть 9:00
15:00

ИДЕНТИФИКАЦИЯ
802.1X
MAB
WebAuth КОММУТАТОРЫ, МАРШРУТИЗАТОРЫ, БЕСПРОВОДНЫЕ ТОЧКИ ДОСТУПА CISCO

Сеть с поддержкой идентификации (802.1X)


Контроль идентификационных данных
Использование существующей сетевой инфраструктуры

Коммутатор Cisco Catalyst®
Отличительные особенности
идентификации
Режим монитора

Гибкая последовательность
аутентификации

Поддержка IP-телефонии

Поддержка сред виртуальных
Авторизо- Планшеты IP- Сетевое Гости настольных систем
ванные телефоны устройство
пользователи
MAB и Web-
802.1X
профилирование аутентификация

Функции аутентификации

IEEE 802.1x Обход аутентификации по Web-
MAC-адресам аутентификация
На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации

Идентификация устройств
Классификация устройств вручную и реализация политик

Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ
Быстрый рост числа
Множество устройств Должно быть Необходима гарантия того,
устройств в проводной и предусмотрено что устройство
и идентификация для беспроводной сети управление политиками для соответствует цифровым
реализации политик каждого типа устройств меткам


Идентификация устройств Компоненты
Новаторство
Автоматическая классификация устройств с использованием инфраструктуры Cisco

ПРОФИЛИРОВАНИЕ УСТРОЙСТВ
Для проводных и беспроводных сетей

ПОЛИТИКА

Принтер Личный iPad
ISE
Точка доступа
Политика для Политика для
CDP CDP
принтера LLDP LLDP личного iPad
DHCP DHCP
MAC-адрес MAC-адрес
[поместить в VLAN X] [ограниченный доступ]

Точка
доступа

Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO
Эффективная СБОР ДАННЫХ КЛАССИФИКАЦИЯ АВТОРИЗАЦИЯ
классификация устройств Коммутатор собирает данные, ISE производит классификацию ISE реализует доступ на основе
с использованием относящиеся к устройству, и устройства, сбор данных о политик для данного
передает отчет в ISE трафике и формирует отчет об пользователя и устройства
инфраструктуры использовании устройства

Эволюция идентификации
устройств: шире и глубже Инновации
Cisco

Интегрированное профилирование:
прозрачность и масштабируемость
Сетевая инфраструктура обеспечивает локальную
функцию распознавания

Данные контекста передаются через RADIUS в ISE
Активное
сканирование
оконечных
Активное сканирование: устройств
повышенная точность
ISE расширяет пассивную телеметрию сети
данными активной телеметрии оконечных
устройств ISE

Web-канал данных
Web-канал данных об устройствах*: об устройствах
идентификация с возможностью
масштабирования
Сенсор устройств
Изготовители и партнеры постоянно предоставляют (функция сети)
обновления для новых устройств

Клиенты получают пакеты данных по web-каналам
от Cisco
Сенсор устройств Cisco * запланировано на осень 2012 г.

Анализ с учетом контекста: Полная прозрачность

оценка состояния
Оценка состояния средствами ISE обеспечивает проверку работоспособности оконечного устройства до получения доступа к сети

Пользователь
проводной,
беспроводной,
виртуальной сети

Временный
ограниченный доступ к
Не сети до устранения
соответствует проблем

Пример политики для сотрудника Проблема: Ценность:
• Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или
установлены работоспособности устройства постоянный агент
• Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение
обновлен и работает устройствами проблем
• Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация
дифференцированных политик
• Приложение предприятия выполняется на основе ролей

Анализ с учетом контекста:
управление гостевым доступом
Гостевой сервис ISE для управления гостями

Гостевые Web-
политики аутентификаци
я
Интернет

Беспроводный или Гости
проводной доступ

Доступ только к
Интернету

Выделение ресурсов: Управление: Уведомление: Отчет:
гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых
на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей
политики, гостевой портал электронной почте или SMS

Абсолютный контроль

Обеспечивает реализацию политик
Удаленный Пользователь с Пользователь с Виртуальный
пользователь беспроводным проводным Устройства рабочий стол
VPN доступом доступом

Управление Масштабируемая
доступом на реализация
основе политик Сети VLAN
СЕТЬ С КОНТРОЛЕМ Списки управления
ИДЕНТИФИКАЦИОННЫХ ДАННЫХ доступом (ACL)
И УЧЕТОМ КОНТЕКСТА
Метки групп
безопасности *

Шифрование MACSec *

*=
Инновации
Центр обработки Зоны Cisco

данных Интранет Интернет
безопасности

TrustSec: авторизация и
реализация политик Инновации
Cisco

Динамические или Доступ для групп
Сети VLAN
именованные ACL-списки безопасности
Сотрудник
Любой IP-
адрес
Устранение
проблем

Подрядчик Сотрудники Гость
Доступ для групп безопасности
VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW

• Меньше перебоев в работе • Не требует управления • Упрощение управления
оконечного устройства (не ACL-списками на портах ACL-списками
требуется смена IP-адреса) коммутатора
• Единообразная
• Повышение удобства для • Предпочтительный выбор реализация политик
пользователей для изоляции путей независимо от топологии

• Детализированное
управление доступом

Гибкие механизмы реализации политик в вашей инфраструктуре
Широкий диапазон доступных клиенту вариантов доступа

Повышение уровня реализации политик во
всей сети
Политики на основе Таблица доступа согласно
понятного технического языка политике на основе ролей
Отдельные
пользователи Разрешения Ресурсы Матрица политик
Врачи Интранет
Почтовый Серверы Медицинские
D1 - финансовой карты
S1 (10.156.78.100) сервер службы пациентов
портал
(10.10.24.13)
Медицинские Нет Совместный
Совместный web-
D2 карты Врач Интернет IMAP web-доступ к
доступ к файлам
S2 доступа файлам
пациентов
(10.10.28.12) Финансовая
Интернет IMAP Интернет Нет доступа
служба
D3 ИТ-
(10.156.54.200) WWW, Полный
Финансовая служба админист- SQL SQL
SQL, SSH доступ
ратор
Электронная
S3 D4 почта ACL-список "Врач - карта пациента"
(10.10.36.10) в интранет-сети
permit tcp dst eq 443
D5 permit tcp dst eq 135
ИТ-администраторы (10.156.100.10) deny ip
S4 Финансова
(10.10.135.10)
D6
я служба

permit tcp S1 D1 eq https
Требует затрат времени permit
deny
tcp S1 D1 eq 8081
ip S1 D1
Простота
Ручные операции …… Гибкость
Предрасположенность к ……
permit tcp S4 D6 eq https Учет характера
ошибкам permit tcp S4 D6 eq 8081
деятельности
deny ip S4 D6


Доступ для групп безопасности (SGA)
Маркировка трафика данными о контексте Медицинские карты пациентов
(конфиденциальная информация)

Врач

Неограниченный доступ
для сотрудников

Финансовая
служба

Интернет

Гость Инновации
Cisco

Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОМ
Масштабируемая реализация ДЛЯ ГРУПП БЕЗОПАСНОСТИ (SGA)
политик независимо от
МАСШТАБИРУЕМАЯ И СНИЖЕНИЕ ПОВЫШЕНИЕ
топологии сети ЕДИНООБРАЗНАЯ ЭКСПЛУАТАЦИОННЫХ МАНЕВРЕННОСТИ
РЕАЛИЗАЦИЯ ПОЛИТИК РАСХОДОВ КОМПАНИИ

SGA: реальные сценарии развертывания у
клиентов
ПРИМЕРЫ РАЗВЕРТЫВАНИЯ

Здравоохранение: гарантия конфиденциальности сведений о пациентах за
счет доступа на основе ролей и сегментации во всей сети

Розничная торговля: связь сетевых устройств внутри магазина,
.
обеспечивающая доступ к данным платежных карт только авторизованным
пользователям и устройствам

Технологии и прикладные науки: доступ к внутренним порталам и хранилищу
корпоративных приложений для разрешенных планшетных устройств,
принадлежащих сотрудникам

Производство: маркировка трафика из внешней сети, обеспечивающая
поставщику ПЛК удаленный доступ только к конкретной производственной
зоне, а также доступ внешних партнеров по разработке только к серверам
подразделения НИОКР


Соответствие нормативным
требованиям защита данных путем
шифрования на уровнях L3/L4
Шифрованные данные

Прозрачность
отсутствует

КОРПОРАТИВНЫЕ РЕСУРСЫ

Шифрование L3/L4

Проблема Типичный сценарий развертывания
Шифрование Шифрование на Отсутствие прозрачности
исключает уровне IP или на трафика для реализации
прикладном уровне политик безопасности и QoS
прозрачность для
реализации политик

MACSec: защита данных путем Абсолютный контроль

шифрования с шифрованным Инновации

доступом на основе политик
Cisco

Шифрование Шифрование
802.1 AE 802.1 AE
Шифрованные
Шифрованные
данные данные прозрачен
Трафик
для реализации
политик КОРПОРАТИВНЫЕ РЕСУРСЫ

Дешифрование на Шифрование на
входном выходном интерфейсе
интерфейсе

Решение Типичный сценарий развертывания
Конфиденциальность Шифрование L2 на Прозрачность трафика для Целостность меток
данных последовательных реализации политик групп безопасности
переходах безопасности и QoS
в сочетании с
прозрачностью


Матрица функциональных
возможностей TrustSec
Матрица функциональных возможностей TrustSec 2.1 Доступ для групп безопасности MACSec
Функции Коммута-
Клиент –
802.1x / Сенсоры тор –
Платформа Модели SGT SXP SGACL SG-FW комму-
иденти- устройств коммута-
татор
фикации тор

Cat 2K 2960, 2960-S

Cat 3K 3560, 3650E, 3750, 3750E,

3750-X 3560-X x
3560 C
Cat 4K Sup 6E , Sup 6L-E
Sup 7E, Sup 7L-E
Cat 6K Sup32 / Sup720
Sup2T
Nexus 7K
Nexus 5K
Pr1 / Pr2, 1001, 1002, 1004,
ASR 1K 1006, 1013, ESP10/20/40,
SIP 10/40

ISR G2 88X 89X 19xx 29xx 39xx

ASA
Контроллер
беспроводной
локальной
сети
AnyConnect

Эффективное управление

Эксплуатация

Объединенный мониторинг
безопасностью и политиками
Состояние контекста и панели мониторинга для
проводных и беспроводных сетей

Централизованное планирование задач
управления на несколько дней
Рабочие потоки настройки инструктивного характера

Сокращение сроков диагностики и
устранения неполадок
Интеграция с Cisco NCS Prime



Вовлечение конечного пользователя в управление

Снижение нагрузки на ИТ-персонал
Адаптационный период для устройств, саморегистрация,
выделение ресурсов запрашивающему клиенту*

Снижение нагрузки на службу технической
поддержки
Простой, интуитивно понятный интерфейс пользователя

Модель самообслуживания
Портал регистрации устройства пользователя*, портал для
приглашения гостей

* запланировано на лето 2012 г.


Защищенное управление Эффективное управление

мобильными устройствами
Экосистема управления мобильными устройствами (MDM)
ИНТЕГРАЦИЯ С ВЕДУЩИМИ
AD/LDAP
ПОСТАВЩИКАМИ MDM *

ISE • MobileIron, Airwatch, Zenprise
Политика с MDM
Manager
учетом • Выбор предложений экосистемы для
контекста ? клиентов

Коммутаторы
Cisco Catalyst
WLAN Cisco ФУНКЦИИ:

• Безопасная инициализация устройства
Пользователь X Пользователь Y
• Подробный контекст пользователя и
устройства

• Повышение безопасности устройства и
приложения

Компьютеры с Смартфоны, включая
Windows или OS X устройства с iOS или Android
* запланировано на осень 2012 г.
Проводное или Беспроводное подключение
беспроводное
подключение

Пакеты и лицензирование TrustSec
Лицензия ISE для
Базовая Расширенная
беспроводного НОВЫЕ ФУНКЦИИ TRUSTSEC В
лицензия ISE лицензия ISE
доступа ПАКЕТАХ ДЛЯ ИМЕЮЩИХСЯ
КОММУТАТОРОВ
Авторизованы ли мои Соответствуют ли мои Комплекс зданий (Cat 3K/4K):
оконечные устройства? оконечные устройства Базовая + расширенная
нормативным требованиям? • LAN Base — 802.1X, SXP, сенсор IOS,
MACSec
• Аутентификация / авторизация • Профилирование • Все базовые
• Выделение ресурсов для устройств сервисы • IP Base — SGT, SGACL
гостевого доступа • Оценка состояния узла • Все расширенные
• Политики шифрования • Доступ для групп сервисы Уровень агрегации (Cat 6K):
каналов
безопасности • IP Base — 802.1X, SXP, SGT, SGACL
Бессрочное лицензирование Лицензирование на срок 3 года / 5 лет Лицензирование на срок 5 лет Маршрутизатор (ASR 1K/ISR):
• Базовый пакет — SXP
Платформы устройства • Advanced/Security — SG FW

Малая 3315/1121 | Средняя 3355 | Крупная 3395 | Виртуальное устройство
Центр обработки данных (Nexus):
• Лицензия Advanced LAN → базовый
пакет

В составе
головного узла
Примечание. Расширенная лицензия не включает базовую
AnyConnect


Обновление и миграция

ACS NAC Guest NAC Profiler NAC Manager NAC Server

• Выпускаемое оборудование допускает программное обновление
(1121/3315/3355/3395)
• Программа миграции для старого оборудования с большими скидками
• Программа миграции лицензий для всех лицензий на программное обеспечение
• Имеются инструментальные средства для миграции данных и конфигураций*

* Будет реализовано в последующих выпусках

Identity Services Engine

Существующие инвестиции защищены

Преимущества TrustSec:
Отличия от конкурентов

Наиболее комплексное решение для
Единая политика для проводной,
подхода BYOD на основе политик с
беспроводной и виртуальной сети
поддержкой всего круга потребностей
бизнеса

Интегрированные сервисы жизненного Гибкие и масштабируемые варианты
цикла (оценка состояния, авторизации с использованием
профилирование, гостевой доступ) имеющейся инфраструктуры

Дифференцированные функции
идентификации (несколько методов Стандартные методы шифрования на
аутентификации, гибкая последовательность уровне данных для защиты
аутентификации, режим мониторинга) коммуникаций


Признанный успех в отрасли

«Инструментарий,
обеспечивающий нам
прозрачность, реализующий
политики доступа, устраняющий
недостатки, повышающий
уровень соответствия
требованиям»

«На нас произвела
впечатление гибкая
модель политик в
продукте»

Занимает лидирующую позицию «TrustSec и ISE согласуются с нашими
согласно отчету Gartner NAC Magic представлениями о комплексной безопасности
Quadrant на основе идентификации, которая столь
необходима современному предприятию, и
Декабрь 2011 г. недостаток которой столь остро ощущается.»

© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Forrester, 2011 г. Конфиденциальная информация Cisco 35

Опыт развертывания Cisco TrustSec
• Элемент программы авторизованных поставщиков
технологий
• Все партнеры, продающие ISE, проходят
всестороннюю практическую подготовку
• Проекты развертывания проходят проверку со
стороны экспертов Cisco по ISE путем
наставничества и анализа
• Имеются проверенные и утвержденные Cisco
проекты для ISE

• Кроме того, имеются проекты для ISE,
подготовленные в рамках услуг технического
консалтинга Cisco, и пакеты услуг по отработке
пилотного варианта

«Cisco ISE позволит нашим клиентам справиться с проблемами, возникшими в
результате взрывного роста числа iPad, планшетов и смартфонов в их сетях, без
нарушения их корпоративных политик безопасности»


Перспективный план развития ISE
на 2 года
Объединенная Унифицированный Межсетевой экран
платформа политик агент на основе идентификации

NAC ACS
Гостевой ISE
доступ ПРОДАЖИ
Профайлер
КАДРЫ
Реализация политик
Сотрудники на для группы
Чукотке пользователей
• AAA, 802.1x, гостевой доступ, • Поддержка технологии Cisco AnyConnect™:
профилирование, оценка состояния безопасность внутри и вне помещений • Политики для отдельных пользователей,
• Мониторинг и диагностика систем • Расширение 802.1x и клиента VPN + NAC групп, устройств
• ISE: новое поколение ACS + NAC • Распространение управления на Positron • Платформы ASA и Positron

Расширенное Мониторинг и диагностика в
профилирование устройств Локализация поражения сети масштабе системы
Инициализация Политика
сетевых идентификации
Cisco Security устройств
Intelligence Ops
Управление Мониторинг и
клиентами диагностика

• Cisco предоставляет web-канал шаблонов • Упрощение процесса локализации, изоляции
устройств и устранения проблем • Единый инструментарий для администратора
• Коммутаторы собирают и передают цифровые • Использование показателя репутации и web- • Проводная и беспроводная инфраструктура
метки устройств без реорганизации трафика кагалов NIPS


Перспективный план развития TrustSec
2012-й календарный год 2013-й календарный год

2-й кв. 3-й кв. 4-й кв. 1-й кв. 2-й кв. 3-й кв.

TS2.1 TS2.2 TS3.0
Инфраструктура: Инфраструктура: Инфраструктура:
•Улучшение идентификации (важные голосовые •Расширенные платформы: •NGWC
сети VLAN, замена MAC-адресов, …) •Платформа Cat 4K Predator – 4540X и 4524X (40 •Улучшение идентификации — eEdge, ASPv4
•Встроенная идентификация в ISR G2 и 24 порта) •Согласование идентификации с ASA VPN
•MACSec в восходящем / нисходящем канале 3K/4K •Sup 7E-L с YAP SW •Идентификация в центре обработки данных
•Сенсор устройств (3K и 4K) •Усовершенствования контроллера WLC— Идентификация на уровне 3
Сенсор устройств, профилирование устройств
средствами локально коммутируемого Unison — контекст на основе политик для
Flexconnect филиала (сервисы безопасности и сетевые
сервисы)

Управление / политики Управление / политики Управление / политики
•ISE 1.1 / ISE 1.1MnR (режим мониторинга, •ISE 1.2 (BYOD, MDM, загрузчик) •ISE 2.0
локализация, FIPS, •Поддержка МСЭ на основе зон Lumos в NCS •NCS 2.0
адаптационный период, BYOD) WAN 1.1
•NCS 1.1 •Поддержка NCS 1.2 — API M&T
•LMS 4.2 •LMS 4.3

Клиент Клиент Клиент
•AnyConnect 3.0.5 (с CSSC) Intel и MACSec нового •AnyConnect - связывание EAP •AnyConnect — интеграция NAC Agent
поколения

Доступ для групп безопасности Доступ для групп безопасности Доступ для групп безопасности
•SXP в беспроводной сети •Cat3K — SGT, SGACL •N1000V SXP, SGT, SGACL
•Nexus 5K/2K — SXP, SGT, SGACL •Cat 2K — SXP •ISR/ASR1K — SGT поверх каналов GET VPN
•ISR — встроенная поддержка SXP, SGT •ISR/ASR1K—SGT поверх каналов IPSec VPN •Cat4K — SGT, SGACL
•VDI и Cisco AnyConnect™ + RDP •Привязка сетей VLAN N7K к SGT
•Функция прокси SGA

Межсетевой экран групп безопасности Реализация политик межсетевого Реализация политик межсетевого
•Реализация политик межсетевого экрана групп экрана экрана
безопасности: межсетевой экран ISR, ASR1K •SGFW: межсетевой экран ASA •SGFW: Ducati

Защищенный доступ к вашей сети – сейчас!

«Прозрачность и «BYOD – принеси «Защищенный
управление» свое собственное центр обработки
устройство» данных»

Предложение «Расширенная Предложение Идентификация / SGA +
+ базовая лицензия ISE» «Лицензия ISE для расширенная лицензия ISE
беспроводного
доступа», расширение
для проводной сети

TrustSec™ – надежная поддержка управления доступом на основе политик для вашего бизнеса


Вспомогате
льные
слайды


Архитектура Cisco SecureX
Стратегический анализ угроз
Cisco Secure Intelligence Operations (SIO)

Защищенная виртуальная и облачная инфраструктура
Защищенное оконечное устройство

Nexus 1K и сеть, подключенная к облаку
Политика с учетом контекста
Управление доступом

Управление доступом
AnyConnect

TrustSec
TrustSec

Инфраструктура Cisco
Реализация политик с учетом контекста.
Облачная
Встроенная Оверлейная
среда

Сеть
Прозрачность Контекст Управление

Программный интерфейс приложений

Управление Сервисы Партнеры


Комплексное решение Cisco для
подхода BYOD
Только Cisco может увязать все
элементы вместе!
ISE
NCS
Prime
IronPort WSA

Коммутаторы MDM
Cisco Catalyst Manager

WLAN Cisco Стороннее
приложение MDM

CSM /
Устройства в ASDM
проводной
сети

AC NAM
(только AC NAM
Windows) (только
Windows) AC VPN (все мобильные
системы)
AC Cloud Web Security (все ПК)

Подход BYOD: Cisco TrustSec в
действии
Сценарий применения

Доверенная
сеть
WiFi

Адаптационный
период

 Аутентификация
пользователя
 Цифровая метка устройства
 Применение корпоративной
конфигурации
 Корпоративные
приложения:
 Автоматические политики

Presentation_ID © Корпорация Cisco Systems, 2008. Все права защищены.
Конфиденциальная информация Cisco 46

Cisco TrustSec и Cisco ISE

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Cisco TrustSec и Cisco ISE

Similar to Cisco TrustSec и Cisco ISE (20)

More from Cisco Russia

More from Cisco Russia (20)

Cisco TrustSec и Cisco ISE

Editor's Notes