Документ предоставляет общий обзор архитектуры Cisco SecureX и решения Cisco TrustSec, предназначенных для обеспечения безопасности сетей без границ. Он подчеркивает важность контекстуального доступа и идентификации пользователей и устройств для управления безопасностью в условиях мобильности и облачных технологий. Решение TrustSec интегрирует функции управления доступом, профилирования и мониторинга, обеспечивая защиту данных и соответствие нормативным требованиям.

1. Краткий обзор
© Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками Cisco и (или) ее филиалов в США и ряде других
стран. Для просмотра перечня товарных знаков Cisco перейдите по адресу www.cisco.com/go/trademarks. Прочие товарные знаки, упомянутые в настоящем документе, являются собственностью соответствующих
владельцев. Использование слова «партнер» не означает наличия партнерских отношений компании Cisco с какой-либо другой компанией. (1110R)
Архитектура Cisco SecureX
Разработанная компанией Cisco
®
концепция «сети без границ» меняет структуру сети,
обеспечивая предоставление доступа любому пользователю, из любой точки мира, в
любое время, с помощью любого устройства. Архитектура Cisco SecureX — это
архитектура нового поколения для систем обеспечения безопасности с учетом контекста,
соответствующая растущим потребностям сети без границ в защите.
Учет контекста и защищенный доступ
Взрывной рост числа потребительских информационных устройств, необходимость в
поддержке совместной работы в глобальном масштабе и переход к облачным технологиям
и сервисам виртуализации означает, что традиционные границы корпоративных сетей
уходят в прошлое. Потребность в мобильности сотрудников, поддержке совместной работы
и продуктивности никогда не была столь острой.
Архитектура Cisco TrustSec
®
отражает фундаментальные изменения, позволяя вам видеть,
кто и с помощью какого устройства подключен к вашей проводной или беспроводной сети,
а также предоставляет лидирующие в отрасли средства управления, определяющие, что
пользователь может сделать и какими ресурсами может воспользоваться, находясь в сети.
Cisco TrustSec обеспечивает безопасность сетей клиентов за счет формирования и
реализации политик доступа на основе идентификации и контекста для пользователей и
устройств, одновременно защищая критически важные данные в масштабе всей сети.
Cisco TrustSec является основополагающим элементом архитектуры Cisco SecureX
Architecture™ и сетей без границ. TrustSec допускает комбинацию с персонализованными,
профессиональными сервисами для упрощения развертывания решения и управления им.
К сети может подключиться любой. Cisco TrustSec обеспечивает безопасность
подключения.
Реализация политик доступа на основе идентификации и контекста
является критически важным фактором защиты сетей без границ
• Кто? Идентификация пользователей и устройств и предоставление
дифференцированного доступа в динамичной среде без границ
• Что? Реализация политик в отношении растущей массы потребительских устройств и
средств, позволяющих подключаться к сети
• Где? Традиционные границы размыты. Необходима реализация политики доступа для
пользователей и устройств независимо от их местонахождения
• Каким образом? Установление, мониторинг и обеспечение соблюдения
единообразных глобальных политик доступа для всех трех методов доступа:
проводного, беспроводного и по VPN
Cisco TrustSec защищает сети без границ
TrustSec является платформой на основе политик, которая обеспечивает интеграцию
сервисов оценки состояния, профилирования и гостевых функций для принятия решений
по управлению доступом с учетом контекста. Решение TrustSec уникально тем, что
строится на основе имеющейся инфраструктуры с учетом идентификационных данных
путем реализации этих политик с возможностью дальнейшего масштабирования.
Решение CiscoTrustSec:
• Способствует повышению продуктивности бизнеса. Оно дает растущему числу
мобильных сотрудников и высококвалифицированных специалистов доступ к нужным
ресурсам с гарантированной защитой
• Обеспечивает безопасность и устранение рисков, связанных с несоответствием
нормативным требованиям. Решение дает полное представление о том, кто и с
помощью каких устройств подключается к сети, а также позволяет контролировать, к
каким ресурсам пользователь имеет доступ и что он может делать.
• Повышает эффективность работы ИТ-персонала. Снижает нагрузку ИТ-служб за
счет централизованных сервисов безопасности, интегрированного управления
политиками и масштабируемых механизмов реализации политик
Обзор Cisco TrustSec
Cisco TrustSec®
ИНТЕЛЛЕКТУАЛЬНЫЙ ЗАЩИЩЕННЫЙ ДОСТУП ДЛЯ СЕТЕЙ БЕЗ ГРАНИЦ

2. Краткий обзор
© Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками Cisco и (или) ее филиалов в США и ряде других
стран. Для просмотра перечня товарных знаков Cisco перейдите по адресу www.cisco.com/go/trademarks. Прочие товарные знаки, упомянутые в настоящем документе, являются собственностью соответствующих
владельцев. Использование слова «партнер» не означает наличия партнерских отношений компании Cisco с какой-либо другой компанией. (1110R)
Полная прозрачность
• Организация сети с контролем идентификационных данных. Cisco TrustSec
поддерживает методы гибкой аутентификации (FlexAuth), в том числе IEEE 802.1X, web-
аутентификацию (WebAuth) и обход аутентификации по MAC-адресам (MAB), используя
сеть для идентификации пользователей и устройств
• Оптимизированное профилирование устройств. Автоматически выполняется
идентификация и классификация устройств путем сбора данных об оконечных
устройствах с помощью сетевых сенсоров устройств в коммутационной инфраструктуре
Cisco Catalyst
®
. Результаты классификации дополнительно уточняются с
использованием технологии направленного активного сканирования оконечных
устройств на основе политик. Примечание. Сенсоры устройств вскоре будут
предусмотрены в контроллерах беспроводной локальной сети Cisco
• Гостевой доступ и управление жизненным циклом. Приглашенные сотрудниками
гости получают ограниченный доступ к определенным ресурсам (Интернет, принтеры и
т. д.) через персонализированный web-портал. Доступ к внутренней сети блокируется, а
действия пользователя отслеживаются и фиксируются для отчета
Абсолютный контроль
• Централизованная политика и ее реализация. Платформа централизованных
политик поддерживает формирование скоординированных политик и единообразную
реализацию политик на основе контекста в масштабе всей корпоративной
инфраструктуры, включая центральный офис, филиалы и удаленных пользователей.
Устройства, не соответствующие требованиям, могут быть подвергнуты карантину или
восстановлены до требуемого состояния, либо им может быть предоставлен
ограниченный доступ
• Независимое от топологии управление доступом. Новая революционная технология
доступа для групп безопасности (Security Group Access, SGA), позволяет клиентам
трансформировать свои бизнес-цели в решения по управлению доступом к сети.
Технология SGA объединяет управление доступом на основе ролей с
масштабируемыми, согласованными механизмами авторизации и реализации политик,
которые не зависят от топологии сети
• Сохранение целостности и конфиденциальности данных. Пути к данным от
оконечного устройства-клиента до ядра сети могут подвергаться шифрованию с
использованием стандарта IEEE MAC Security (802.1AE MACsec). Шифрование MACsec
обеспечивает защиту данных на скорости передачи канала, одновременно допуская
проверку потоков данных с помощью таких технологий, как NetFlow
Эффективное управление
• Унифицированная платформа. Платформа объединяет функции аутентификации,
авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым
доступом в рамках единого унифицированного устройства, результатом чего являются
упрощенное развертывание, наличие единой точки управления и снижение совокупной
стоимости владения
• Мониторинг, управление и диагностика. Централизованное корпоративное
управление на основе политик и обеспечение соответствия нормативным требованиям
предполагает централизованный мониторинг и отслеживание пользователей и
устройств для поддержания соответствия политике. В платформе предусмотрены
сложные процедуры диагностики, детализированный аудит, а также формирование как
отчетов в реальном времени, так и хронологических отчетов
• Интеграция с системой управления сетевым оборудованием (NCS) Cisco Prime™.
Платформа обеспечивает унифицированное представление всех сетевых функций для
упрощения работ по управлению сетью
Компоненты развертывания Cisco TrustSec
SS C
Cisco Identity Services Engine образует платформу централизованных политик на основе
идентификации для принятия решений по управлению доступом с учетом контекста в
масштабе всей инфраструктуры проводной, беспроводной и VPN-сети. Identity Services
Engine объединяет функции аутентификации, авторизации и учета (AAA), оценки
состояния, профилирования и управления гостевым доступом в рамках единого
унифицированного устройства, обеспечивая единую точку управления политиками,
мониторинга и диагностики.
Инфраструктура Cisco на основе TrustSec использует существующую инфраструктуру
Cisco со встроенными функциями TrustSec:
• FlexAuth (802.1X, WebAuth, MAB): все платформы коммутаторов Cisco Catalyst
• Сенсоры устройств: Cisco Catalyst серии 3000, Cisco Catalyst серии 4000 с Supervisor
Engine 7-E, контроллеры беспроводной локальной сети Cisco
• Доступ для групп безопасности:
- Cisco Catalyst серий 3000 и 4000: только SXP
- Cisco Catalyst серии 6000: SXP, SGT, SGACL
- Cisco Nexus
®
серий 7000 и 5000: SXP, SGT, SGACL
- Маршрутизаторы Cisco с интеграцией сервисов: SXP, SG-FW

3. Краткий обзор
© Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками Cisco и (или) ее филиалов в США и ряде других
стран. Для просмотра перечня товарных знаков Cisco перейдите по адресу www.cisco.com/go/trademarks. Прочие товарные знаки, упомянутые в настоящем документе, являются собственностью соответствующих
владельцев. Использование слова «партнер» не означает наличия партнерских отношений компании Cisco с какой-либо другой компанией. (1110R) C45-653057-02 02/12
- Маршрутизатор Cisco ASR серии 1000 с агрегацией сервисов: SXP, SG-FW
- Контроллер беспроводной локальной сети Cisco: только SXP
- VDI и Cisco AnyConnect™ + RDP
• Шифрование MACsec: клиенты Windows с Cisco AnyConnect 3.0, Cisco Catalyst серий
3560-C/X и 3750-X, Cisco Catalyst серии 4000 с Supervisor Engine 7-E, Cisco Catalyst
серии 6000 с Supervisor Engine 2T, Cisco Nexus серии 7000
Матрица функций TrustSec, доступных на различных платформах Cisco, приведена по
адресу www.cisco.com/go/trustsec.
Cisco AnyConnect Secure Mobility Client и запрашивающий клиент 802.1X
• Обеспечивает аутентификационные учетные данные зарегистрированных
пользователей для сетевых устройств Cisco с поддержкой 802.1X, включая
коммутаторы, маршрутизаторы и устройства беспроводного доступа Cisco
• Cisco AnyConnect 3.0 включает запрашивающий клиент 802.1X для Windows и функцию
шифрования 802.1AE MACsec на первом переходе к коммутаторам Cisco с поддержкой
MACsec (Cisco Catalyst серий 3560-C/X и 3750-X, Cisco Catalyst серии 4500 с Supervisor
Engine 7-E)
Профессиональные услуги
Экономичные услуги экспертов по планированию, развертыванию и управлению для
любого решения Cisco TrustSec:
• Анализ политик безопасности
• Анализ архитектуры безопасности
• Разработка специализированной стратегии проекта
• Контролируемое развертывание в полном объеме
• Обучение персонала и передача знаний
Новые возможности Cisco TrustSec 2.1
• Поддержка сенсоров устройств во всех коммутаторах Cisco Catalyst серий 3000 и 4000
и контроллерах беспроводной локальной сети Cisco, обеспечивающая комплексную и
масштабируемую прозрачность состояния сети
• Распространение поддержки технологии SGA на маршрутизаторы Cisco ASR серии
1000 с агрегацией сервисов, маршрутизаторы Cisco с интеграцией сервисов,
коммутаторы Cisco Nexus серии 5000 и контроллеры беспроводной локальной сети
Cisco, что гарантирует единообразие политик и независимую от топологии реализацию
управления доступом от удаленного офиса до центра обработки данных
• Реализация политик межсетевого экрана для групп безопасности на маршрутизаторах
Cisco с интеграцией сервисов и маршрутизаторах Cisco с агрегацией сервисов, что
позволяет увеличить количество точек управления доступом
• Поддержка лидирующей в отрасли технологии сквозного шифрования MACsec 802.1AE
на скорости канала (1 и 10 Гбит/с) на новых коммутаторах Cisco Catalyst серии 4500 с
Supervisor Engine 7E, поддерживающих MACsec
• Модуль расширенных политик Cisco Identity Services Engine 1.1 предлагает:
- Механизм активного сканирования оконечных устройств, в котором целевое
сканирование в реальном времени на основе политик используется для сбора
информации от оконечных устройств с целью получения более адекватного
представления о состоянии
- Интеграцию сенсоров устройств
- Локализацию на 10 языков
• FIPS 140-2: Identity Services Engine 1.1 предполагает возможность сертификации по
стандарту FIPS 140-2 для предприятий и государственных учреждений, которым
необходимо подтверждение соответствия нормативным требованиям
Решение Cisco TrustSec позволяет справиться с ростом числа мобильных устройств
благодаря полной прозрачности, расширенной идентификации и профилированию, а также
функциям саморегистрации в рамках подхода BYOD. Решение обеспечивает полную
поддержку линейки продуктов Cisco Network Access Control (NAC) и Cisco Secure Access
Control System (ACS).
Почему именно Cisco?
Лидирующее положение Cisco на рынке:
• Cisco TrustSec является единственным решением для управления доступом к сети,
способным обеспечить единообразие политик и их реализации в масштабе всей
инфраструктуры проводных, беспроводных и VPN-сетей
• Cisco занимает лидирующее положение на рынке систем управления доступом к сети
(NAC), коммутации в локальных сетях и технологий аутентификации, авторизации,
учета (AAA)
• По оценкам ведущих отраслевых аналитиков, Cisco занимает 1-е место на рынке
систем NAC
• Cisco является первопроходцем в создании оригинальной технологии NAC и
разработке многочисленных отраслевых стандартов
Для получения дополнительной информации посетите страницу www.cisco.com/go/trustsec.