Архитектурный подход к обеспечению информационной безопасности современного предприятия.

Принимайте активное участие в Cisco Expo и получите в подарок
Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco

• посещать демонстрации, включенные в основную программу

• пройти тесты на проверку знаний

Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября

www.ceq.com.ua
© 2011 Cisco and/or its affiliates. All rights reserved. 1

Архитектурный подход
к обеспечению ИБ
современного
предприятия
Алексей Лукацкий
Менеджер по развитию бизнеса


• Большое количество требующих контроля каналов взаимодействия
с партнерами, контрагентами, поставщиками
• Забывчивость в отношении аутсорсинговых и международных
партнеров
Разработчики ПО
Обслуживающий персонал
Сотрудники облачных провайдеров
• Активное развитие вредоносных технологий
Целью является все
• Концентрация на внутренней безопасности
«Забывчивость» в отношении внешних аспектов – операторы связи,
партнеры, аутсорсеры, облачные вычисления, BYOD и т.п.


• Конфликт ИБ и ИТ
Отсутствие контроля привилегированных пользователей
Отсутствие требований по ИБ к разработке собственного ПО
Кто отвечает за эксплуатацию средств защиты?
• Концентрация на «классической» ИБ
Что насчет защиты нетрадиционных направлений (принтеры, СКУД,
видеонаблюдение и т.п.)?
Как насчет контроля поведения (профилирования) клиентов?
• Неготовность к неконтролируемым ситуациям
Фишинг, информационные войны…
• (Недо/пере)оценка роли регуляторов
Деятельность регуляторов четко регулируются законами
Отсутствие контроля выпуска новых нормативных актов


• Отсутствие стандартизации и
унификации технологий,
продуктов, методов и подходов
Рост операционных затрат
Сложность поддержки и интеграции

• Повтор и избыточность
Не путать с резервированием
Нехватка ресурсо-затрат

• Упущения неочевидных вещей

• Отсутствие планов развития
Нехватка гибкости и адаптивности к новым
требованиям


• Финансирование по остаточному принципу Дизайн и архитектура
• 1Х
• Неудовлетворенность пользователей, снижение
их продуктивности и рост цены их поддержки
Внедрение
• Потенциальные наезды со стороны • 5Х
регуляторов
• Неэффективность ИБ в виду забывчивости в Тесты интеграции
отношении некоторых направлений бизнеса • 10Х

• Несогласованность действий подразделение
Бета-тестирование
• 15Х

Боевой запуск
• 30Х


Изменение бизнеса

Улучшение бизнеса

Развитие вместе
с бизнесом

«Хаос»


Бизнес-приоритеты Приоритеты ИБ

• Переход к системам • Акцент на
коллективной очерчивание
работы, облачным периметра и его
вычислениям и защиту
концепции BYOD • Защита центра
• Сдвиг продаж в обработки данных
«поля» (PoS, PoD) • Создание
• Снижение наложенной системы
операционных и безопасности
капитальных затрат


Смогли бы вы построить…
… здание, не имея архитектурного проекта?

Без плана развертывания С планом развертывания

 Одна проблема порождает другую  Применение опыта специалиста
 Временные затраты на решение  Экономия драгоценного времени
проблем  Снижение совокупной стоимости владения
 Дорогостоящие изменения

• Архитектура описывает желаемую структуру
инфраструктуры безопасности организации и
других связанных с ИБ компонентов и
интерфейсов
Включает процессы, людей, техологии и
разные типы информации
Создается с точки зрения бизнеса и
учитывает его текущие и будущие
потребности

• 2 главных вопроса архитектуры ИБ
ЧТО? Из чего строить систему защиты?
КАК? Как строить систему защиты?


Требование Смешение частного и Нужен доступ к
разнообразия устройств служебного критичных ресурсам


Цель

# !
% Рост экосистемы Расширение спектра Атаки на новые
киберпреступности целевых угроз технологии


# !
Инкапсуляция Виртуализация
Переход к облачному
%
коммуникаций центров обработки
хранению
данных


Социальные сети

Hotmail Business Pipeline
Web-почта

Приложения

# !
Рост трафика на ПК Взаимодействие видео Драматический рост
%
и социальных сетей трафика в ЦОД


Рост Соответствие
Внимание
ИТ
Глобализация Риск-менеджмент

Разрешить Защитить
Соответствие Регулирование

Внимание
ИБ
Привлечение людей Персданные

Внимание руководства


Организационно – КТО?

Compliance Ops. Endpoint Team

Network Ops. Security Ops.

Политика Application Team HR

Технологически – ЧТО?
 Не пустить плохих
 Пустить хороших Контроль доступа Endpoint

 Соответствовать Identity Mgmt Вторжения

 Учесть BYOD Соответствие Управления
 Разрешить виртуализацию
 Быть готовым к облакам Операционно – КАК?

Проводное В сети

Беспроводное Поверх сети

VPN На устройстве

Объединить людей и информацию... Безопасно

Исследования в области ИБ

Политика
Устройства &
Пользователи Активы & Информация

Управление

Точки приложения сил

Сеть


Distributed Threat Application Virtualization
Workforce & BYOD Defense Visibility & Control & Cloud

Защищенный
Защищенный Авторизованное
Защита сетевого переход к
универсальный использование
периметра облачным
доступ контента
вычислениям

Исследование угроз

Контекстная политика

Сеть как несущая конструкция всей системы

Сервисы
Соответствие


Эффективное решение бизнес-задач

Borderless Data Center/ Service
Collaboration
Networks Virtualization Provider

SecureX


защитить мою проводную и беспроводную сеть от атак через эфир?

Как... получить представление о состоянии радиочастотного спектра?
обеспечить соответствие нормативным требованиям и защитить мои радиоресурсы?

Хакерская атака с
промежуточного DoS- Устройства Вредоносные
узла (Man-in-the- атаки без поддержки точки доступа
Middle) 802.11

Адаптивная система wIPS
наилучшее решение для
Встроенная обоих типов сетей Лучшая в своем классе
 Глубина защиты
 Низкие капитальные затраты  Гибкость и масштабируемость  Функциональность,
 Простота управления за счет MSE противостоящая новейшим
 Объединенная защита угрозам
 Самая низкая совокупная
стоимость владения проводных и беспроводных  Адаптируемость к новым
сетей функциям
 Упрощение обучения

Прогресс за последние годы
1. Интегрированные IOS Firewall, VPN, 5. ISE, интегрированный с Prime
IPS 6. Virtual Firewall на Nexus 1000V
2. Будущее: ASA-CX на IOS-XE 7. Virtual Email и Web Security на UCS
3. 802.1x, TrustSec, Security Group Tags 8. ASA Module for 6500, Будущее: Nexus 7K
4. Сегментация и динамические политики 9. ScanSafe Connector
через ISE

v v v
m m m

v v v
m m m

Internet
v v v
m m m

ЦОД

Кампус или
филиал


Distributed Threat Application Virtualization
Workforce & BYOD Defense Visibility & Control & Cloud

Adaptive Adaptive
AnyConnect Security Virtual ASA
Security (CX)

Web Security Email | Web Virtual Security
Web Security
Appliance Security Gateway
Cloud Web Intrusion
Router Security Nexus 1000v
Security Prevention

WLAN Controller Router Security VPN

Identity Services
Engine

Исследование угроз:

Политика: Identity Services Engine TrustSec NCS Prime: Networks/Security

Сеть: Router Switch Appliance Cloud Virtual

Сервисы: Cisco Advanced Services Partner Shared Services

Соответствие: PCI 1.0/2.0 HIPAA SOX ПДн ISO 27001


4 TB 750,000+
ДАННЫХ В ДЕНЬ ГЛОБАЛЬНЫХ СЕНСОРОВ

30B
WEB -ЗАПРОСОВ
100M
СООБЩЕНИЙ EMAIL
35%
МИРОВОГО ТРАФИКА

SensorBase Threat Operations Center Dynamic Updates

$100M 24x7x365
ИНВЕСТИЦИЙ В ОПЕРАЦИИ
ИССЛЕДОВАНИЯ И РАЗРАБОТКУ

500 40+ 80+
ИНЖЕНЕРОВ, ТЕХНАРЕЙ И ЯЗЫКОВ Ph.D.s, CCIE, CISSPs, MSCEs
АНАЛИТИКОВ

Threat Operations Center Dynamic Updates

3-5 6,500+
ИНТЕРВАЛЫ ОБНОВЛЕНИЙ ВЫПУЩЕНО СИГНАТУР IPS

20+ 200+ 8M+
ПУБЛИКАЦИЙ КОНТРОЛЬ ПАРАМЕТРОВ ПРАВИЛ В ДЕНЬ

Threat Operations Center Dynamic Updates

ГДЕ

ЧТО КОГДА

КТО КАК
? ? ?

Виртуальные
машины в ЦОД

VPN MACSec

Решения на основании состояния
1. Разрешение/блок в соответствии с политикой СТОП ЦОД
2. Авторизованным устройствам назначаются
метки политики ОК
3. Теги политики учитываются при работе в сети

РЕШЕНИЕ CISCO

Согласованная политика Распространение сведений Метки групп безопасности
на основании результатов о политиках и позволяют обеспечить
идентификации на всех интеллектуальных масштабируемое
уровня – от устройства до механизмов по сети применение политик
ЦОД – в соответствии с с учетом контекста
бизнес-потребностями

Сценарий Ограниченный Базовый Расширенный Передовой
Полноценное
Бизнес Доступ по ролям Гранулир. доступ
Блокировать доступ мобильное рабочее
политика изнутри сети внутри и снаружи
место
ИТ- • Знать “кто” и “что” • Предоставлять • Гранулированный • Обеспечение
требования включено в сеть персональным и доступ изнутри родных
• Давать доступ гостевым сети приложений для
только устройствам • Гранулированный мобильных
корпоративным доступ в удаленный устройств
устройствам Интернет и доступ к • Управление
ограниченному ресурсам через мобильными
числу внутренних Интернет устройствами
Технологии ресурсов • Использование (MDM)
VDI
Сетевая
инфраструктура Cisco Switches, Cisco Routers, Cisco Wireless LAN Infrastructure

Cisco Prime NCS
Управление
Third Party MDM

Идентификац
ия и политики Cisco Identity Services Engine

Удаленный Cisco ASA/ESA/WSA
доступ и Cisco AnyConnect
безопасность ScanSafe

Приложения Корпоративные приложения и VDI

BYOD Проводной, Беспроводный, Инфраструктура доступа Шлюзы безопасности Инфраструктура защиты и
устройства Мобильный доступы управлениям политиками

Не доверенная Доверенная
Adaptive
сеть Security корпоративная
Mobile Network Appliance сеть
(ASA)

Active Certificate
Internet Directory Authority
Public Wi-Fi Prime (AD) (CA)
NCS

Switching
WLAN Core
WLAN AP Controller
(WLC)

Access Switch
Campus
Identity Mobile RSA
Integrated Services Device Secure ID
Services Engine (ISE) Manager
Router G2 (MDM)
(ISR G2)

Branch Office
WAN
Aggregation
Wireless
Services
Router
Router (ASR)

AnyConnect Home Office

Защита устройства Контроль доступа и защита от сетевых угроз
 Инвентаризация  Аутентификация  Защита от угроз  Безопасный
 Инициализация пользователей и  Политика удаленный доступ
устройства устройств использования
 Безопасность данных на  Оценка состояния Web
устройстве  Применение  Защита от утечек
 Безопасность приложен. политики доступа информации

 Управление затратами
 Полная или частичная
очистка удаленного
Cisco ISE ScanSafe WSA AnyConnect ASA
устройства


Политики,
относящиеся к бизнесу
ГДЕ

ЧТО КОГДА Атрибуты
КТО КАК
политики
безопасности

Модуль централизованных политик

Идентификация

Динамическая политика и реализация

Пользователи и
устройства
РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И
БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ


Администрирование
политики
Принятие решений на
базе политик Identity Services Engine (ISE)
Система политик доступа на основе идентификации

Реализация
политик
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,
На основе TrustSec инфраструктура беспроводной сети и маршрутизации
Cisco ASA, ISR, ASR 1000

Информация
о политике Агент NAC Web-агент Запрашивающий клиент 802.1x
Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий
На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС

Доступ на основе идентификации — это не опция, а свойство сети,
включая проводные, беспроводные сети и VPN

Полная прозрачность

Коммутатор Cisco Catalyst®
Отличительные особенности
идентификации
Режим монитора

Гибкая последовательность
аутентификации

Поддержка IP-телефонии

Поддержка сред виртуальных
Авторизо- Планшеты IP- Сетевое Гости настольных систем
ванные телефоны устройство
пользователи
MAB и Web-
802.1X
профилирование аутентификация

Функции аутентификации

IEEE 802.1x Обход аутентификации по Web-
MAC-адресам аутентификация
На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации

Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ
Быстрый рост числа
Множество устройств Должно быть Необходима гарантия того,
устройств в проводной и предусмотрено что устройство
и идентификация для беспроводной сети управление политиками для соответствует цифровым
реализации политик каждого типа устройств меткам


Пользователь
проводной,
беспроводной,
виртуальной сети

Временный
ограниченный доступ к
Не сети до устранения
соответствует проблем

Пример политики для сотрудника Проблема: Ценность:
• Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или
установлены работоспособности устройства постоянный агент
• Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение
обновлен и работает устройствами проблем
• Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация
дифференцированных политик
• Приложение предприятия выполняется на основе ролей


Гостевые Web-
политики аутентификация

Интернет

Беспроводный или Гости
проводной доступ

Доступ только к
Интернету

Выделение ресурсов: Управление: Уведомление: Отчет:
гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых
на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей
политики, гостевой портал электронной почте или SMS

Абсолютный контроль

Удаленный Пользователь с Пользователь с Виртуальный
пользователь беспроводным проводным Устройства рабочий стол
VPN доступом доступом

Управление Масштабируемая
доступом на реализация
основе политик Сети VLAN
СЕТЬ С КОНТРОЛЕМ Списки управления
ИДЕНТИФИКАЦИОННЫХ ДАННЫХ доступом (ACL)
И УЧЕТОМ КОНТЕКСТА
Метки групп
безопасности *

Шифрование MACSec *

*=
Инновации
Центр обработки Зоны Cisco

данных Интранет Интернет
безопасности

Абсолютный контроль

Инновации
Cisco

Динамические или Доступ для групп
Сети VLAN
именованные ACL-списки безопасности
Сотрудник
Любой IP-
адрес
Устранение
проблем

Подрядчик Сотрудники Гость
Доступ для групп безопасности
VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW

• Меньше перебоев в работе • Не требует управления • Упрощение управления
оконечного устройства (не ACL-списками на портах ACL-списками
требуется смена IP-адреса) коммутатора
• Единообразная
• Повышение удобства для • Предпочтительный выбор реализация политик
пользователей для изоляции путей независимо от топологии

• Детализированное
управление доступом

Гибкие механизмы реализации политик в вашей инфраструктуре
Широкий диапазон доступных клиенту вариантов доступа

Политики на основе Таблица доступа согласно
понятного технического языка политике на основе ролей
Отдельные
пользователи Разрешения Ресурсы Матрица политик
Врачи Интранет
Почтовый Серверы Медицинские
D1 - финансовой карты
S1 (10.156.78.100) сервер службы пациентов
портал
(10.10.24.13)
Медицинские Нет Совместный
Совместный web-
D2 карты Врач Интернет IMAP web-доступ к
доступ к файлам
S2 доступа файлам
пациентов
(10.10.28.12) Финансовая
Интернет IMAP Интернет Нет доступа
служба
D3 ИТ-
(10.156.54.200) WWW, Полный
Финансовая служба админист- SQL SQL
SQL, SSH доступ
ратор
Электронная
S3 D4 почта ACL-список "Врач - карта пациента"
(10.10.36.10) в интранет-сети
permit tcp dst eq 443
D5 permit tcp dst eq 135
ИТ-администраторы (10.156.100.10) deny ip
S4 Финансова
(10.10.135.10)
D6
я служба

permit tcp S1 D1 eq https
Требует затрат времени permit
deny
tcp S1 D1 eq 8081
ip S1 D1
Простота
Ручные операции …… Гибкость
Предрасположенность к ……
permit tcp S4 D6 eq https Учет характера
ошибкам permit tcp S4 D6 eq 8081
деятельности
deny ip S4 D6

• Клиент IPSec/SSL/DTLS VPN
Client/Clientless

• Оценка состояния

• Location-Specific Web Security
ScanSafe
На периметре (Ironport WSA) или через
облако (ScanSafe)

• Защищенный доступ в облако через SSO Internet-Bound
Web Communications
• Контроль сетевого доступа
802.1X Authentication and Posture
MACsec encryption
Cisco TrustSec devices (план)

• Windows, Mac, Linux, Windows Mobile,
Apple iOS, Palm, Symbian, Android, Windows Phone (план)

Новости Электронная
почта

AnyConnect
Обмен данными между ASA и
WSA

ASA
Cisco WSA

Социальные сети Корпоративная
SaaS-система
Corporate AD


AD/LDAP
Интеграция с лидерами рынка
MDM
ISE
Контекстная MDM Mgr
• MobileIron, Airwatch, Zenprise, Good
политика
?
• Заказчики могут выбирать

Cisco Catalyst
Switches
Cisco WLAN
Controller

Функции:
User X User Y
• Всесторонний анализ устройств

• Детальный контекст пользователей
и устройств

• Расширенная защита устройств и
приложений
Window или OS X Смартфоны, включая
ПК устройства с iOS или
Android
Wired или Wireless Wireless


ГДЕ

ЧТО КОГДА

КТО КАК
Политика
с учетом
контекста

IPS ASA

WSA ESA

СЕТЬ


Полномасштабное Политика с учетом Простота
решение: ASA, IPS, контекста точнее развертывания и
«облачные» сервисы соответствует бизнес- обеспечения защиты
защиты web-трафика и потребностям в сфере ИБ распределенной среды
электронной почты

ASA 5512-X
Пропускная
способность
межсетевого экрана 1
1. Пропускная способность на
Гбит/с уровне нескольких Гбит/с
ASA 5515-X Для удовлетворения растущих
способность требований к пропускной способности
межсетевого экрана 1,2
Гбит/с 2. Встроенные средства ускорения
ASA 5525-X сервисов
(дополнительное оборудование не
Гбит/с
требуется)
ASA 5545-X Для поддержки меняющихся
Пропускная потребностей бизнеса
Гбит/с
3. Платформа с поддержкой
ASA 5555-X сервисов нового поколения
Пропускная Для защиты инвестиций
Гбит/с


Кластеризация

IPv6

Cisco® Cloud Web Security

Улучшения мультиконтекстных возможностей
Смешанный режим

Cisco TrustSec®

Шифрование нового поколения

Бесклиентские VPN-подключения

Улучшения производительности и масштабируемости

VPN в Cisco ASA-SM


Cisco IPS 4520
Новинка
Производительность, масштабируемость, адаптивность

Cisco IPS 4510
Новинка

Cisco IPS 4360

Новинка

Cisco® IPS 4345

Новинка

Филиал Интернет- Комплекс Центр обработки
периметр зданий данных


Cisco ASA 5585-X-
S60P60
Производительность, масштабируемость, адаптивность

Cisco ASA 5585-
S40P40

Cisco ASA 5585-
S20P20

Cisco ASA 5585-
S10P10

Cisco ASA 5555-X IPS
Cisco ASA
5545-X IPS Новинка
Cisco ASA
5525-X IPS Новинка

Новинка
Cisco® ASA 5512-
X IPS Новинка

Новинка

SOHO Филиал Интернет- Комплекс Центр обработки
периметр зданий данных


Новый межсетевой экран с поддержкой сервисов и функцией IPS

• Платформа для межсетевого экрана
нового поколения с поддержкой
защитных сервисов
• Устройства ASA среднего уровня с
функцией ПО IPS с учетом контекста
• IPS в виде виртуальных блейдов –
аппаратные модули не требуются
• Cisco® ASA 5525-X , ASA 5545-X и
ASA 5555-X имеют аппаратное
ускорение для IPS
• 1 интерфейс Gigabit Ethernet

• Доступны платы расширения ввода-
вывода

• Специализированная платформа
IPS среднего уровня с учетом
контекста
• Четырехкратное увеличение
производительности Cisco® IPS
серии 4200 за половину стоимости
• Обработка с аппаратным
ускорением Regex
• Интерфейсы Gigabit Ethernet

• Bypass-платы будут доступны в
октябре


• Специализированные
высокоскоростные устройства IPS с
учетом контекста
• Обработка с аппаратным ускорением
Regex
• Развертывания на уровне ядра ЦОД
или предприятия
• Интерфейсы Gigabit Ethernet,
интерфейсы 10 Gigabit Ethernet и
слот SFP
• Масштабируемость: доступен слот
для будущего наращивания
мощностей


Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520

Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)

4 ядер 4 ядер 8 ядер 12 ядер
Процессор
4 потока 8 потока 16 потока 24 потока

Память 8 GB 16 ГБ 24 ГБ 48 GB

6 x 1 GE Cu 6 x 1 GE Cu
Базовые порты данных 8 x 1 GE Cu 8 x 1 GE Cu
4 x 10 GE SFP 4 x 10 GE SFP

Ускоритель Regex Одинарный Одинарный Одинарный Двойной

Постоянное значение 2 с возможностью 2 с возможностью 2 с возможностью
Электропитание
переменного тока горячей замены горячей замены горячей замены


Основные отличия
Специализированная система
Cisco IPS 4500
• Прозрачна и незаметна в сети
• Ввод-вывод на основе IPS
• Нормализация под управлением IPS
• Свободный слот для использования в
будущем

Интегрированное устройство
• Прозрачность как вариант.
• Ввод-вывод принадлежит межсетевому
экрану.
• Нормализацией управляет межсетевой экран.
• Для выбора политики IPS доступны
дополнительные возможности (5 элементов
потока, код пользователя и т. д.).


Все типы оборудования
• SCADA
• DCS
• PLC
• SIS
• EMS

• Все основные производители
• Schneider
• Siemens
• Rockwell
• GE, ABB
• Yokogawa
• Motorola
• Emerson
• Invensys
• Honeywell
• SEL

• И это не конец…


Центральный
офис

Контроль на разных уровнях

$ Широкий функционал

+ Безопасность + контроль
работы приложений

ASA CX


Cisco ASA CX Лучшие показатели (простота, Оптимизация и защита
Cisco Web Security согласованность, интеграция), приложений на периметре
снижение затрат и повышение URL-фильтрация
производительности при работе с AAA
приложениями
Профилирование устройств

Широкий спектр платформ
Устройство Интегрированное решение Виртуализация

Понимание контекста

Классический МСЭ ASA


• Межсетевой экран нового
поколения
• Context-Aware Firewall

• Активная/Пассивная
аутентификация
• Application Visibility and
Control/DPI с анализом контента
• Репутационная фильтрация
КТО ЧТО ГДЕ/ОТКУДА КОГДА КАК


КТО

Покрытие широкого спектра сценариев идентификации

AD/LDAP Identity
• Non-auth-aware apps
NTLM • Any platform
Kerberos • AD/LDAP credential
TRUSTSEC*
Network Identity
Group information
User Authentication Any tagged traffic IP Surrogate
• Auth-Aware Apps AD Agent
• Mac, Windows, Linux
• AD/LDAP user credential

© 2011 Cisco and/or its affiliates. All rights reserved. * Future 60

ЧТО

Покрытие…
… классификация всего
трафика

1,000+ приложений

MicroApp Engine
Глубокий анализ трафика

75,000+ MicroApps

Поведение
Контроль действий
пользователя внутри


Бизнес-задача Как решается ASA CX Пример

Нарушение полосы Контроль использования приложений
пропускания Peer-to-Peer
Конфиденциальная
Контроль использования сервисов
информация
общего пользования
загружается в облако

Блокирование «нерабочих»
Продуктивность
приложений, оставляя при этом
пользователей
доступ к нужным ресурсам

Удаленный контроль ПК Блокирование приложений
с помощью удаленного доступа, оставляя,
вредоносного ПО например, WebEx

Маскировка Идентификация и контроль
вредоносного ПО под приложений, который работают на
обычные приложения известных портах

ЧТО

60
языков

200
стран

20
mn URLs

98%
Маркетинг Юристы Финансы
покрытие


Бизнес-задача Как решается ASA CX

Реализация политик Блокирование для всех сайтов категорий: Adult, Child
разрешенного Abuse Content, Gambling, Hate Speech, Illegal Activities и
использования т.д.
Запрет студентам, но разрешение для других категорий
Создание защищенного
доступа к следующим категориям сайтов: Entertainment,
окружения для обучения
Arts, Dining and Drinking, Online Trading
Запрет доступа сотрудников к следующим категориям
Поддержка продуктивности
сайтов: Sports and Recreation, Travel, Photo Search and
пользователей
Images
Контроль сайтов, Запрет доступа сотрудников к следующим категориям
съедающих полосу сайтов: File Transfer Services, Freeware and Shareware,
пропускания Illegal Downloads, Internet Telephony
Пользователи, обходящие
Блокирование прокси и анонимайзеров
правила


ГДЕ/ОТКУДА

ОТЕЛЬ
ОФИС


КАК

Информация с 100,000,000 оконечных устройств

Устройство Версия ОС Состояние

AV

Files
Registry

Identity Services Engine


• Система управления для ASA CX

• Встроенный в ASA CX для управления одним МСЭ

• Отдельное устройство для поддержки нескольких ASA CX

• RBAC

• Конфигурация, события и репортинг

• Виртуальная машина или устройство UCS


• Ядро или ЦОД
ASA • Multi-tenant
• Active/Active Failover
• Кампус или граница
ASA CX
• Контроль
• Next-gen Firewall

• Прокси-сервер
• Кеширование
WSA • Сканирование Anti-Malware
• DLP
• Полная Web-безопасность

• Next-gen Firewall
• Inline
ASA CX • Все порты/протоколы
• Базовая Web-безопасность


Лучшая в своем классе Лучшая в своем классе
безопасность сети web-защита на основе
облака


Web-
контент
Контроль
исходящего
трафика

Script


Script- PDF- Flash-
сканирова сканирова сканирова
ние ние ние

PDF
Несколько
сканеров
Да
Java- Exe- Сканирование
AV сканирова сканирова репутации
ние ние

Flash «Чисты
й»
Web- контент
страница
Новые
вредоносные
Java
программы
заблокированы

.exe Глубокий Структурное Виртуализован-
анализ изучение ная
контента контента эмуляция
скриптов

Известные вредоносные программы заблокированы


ЧТО

Классификация и контроль
web-трафика

Более 1000

Подробная классификация и
контроль поведений
микроприложений и

Более 75 000
микроприложений Контроль
пропускной
способности


ЗАЩИЩЕННЫЕ
ГИБРИДНЫЕ «ОБЛАКА»

ЗАЩИЩЕННЫЕ
ЧАСТНЫЕ «ОБЛАКА» ЗАЩИЩЕННЫЕ
ОБЩЕДОСТУПНЫЕ «ОБЛАКА»

Cisco Virtual Security Gateway

Nexus 1000v

Cisco ASA и ASA 1000V

Сенсоры IPS


Высокопроизводи- Унификация систем защиты Распространение политик
тельные устройства физических и виртуальных Безопасная работа с приложениями
обеспечения ИБ сред; тонки настройки Поддержка Vmotion
для ЦОД основанной на зонах политики Защищенная сегментация VM
© 2011 Cisco and/or its affiliates. All rights reserved.
с учетом контекста Защищенная сегментация «облака»
73

V-Motion
(Memory)
Physical V-Storage
Security (VMDK)

Role VM
Based Segmentation
Access Virtualization
Security

VM OS Hypervisor
Hardening Security

Patch VM
Management Sprawl
Virtual Security Gateway на
Nexus 1000V с vPath


Virtual Network Nexus 1000V with vPath
Management Center • Распределенный virtual
• Консоль управления VSG switch
• Запуск на одной из VMs • Запускается как часть
гипервизора

Port
Group

Физический
Virtual Security Gateway сервер
• Программный МСЭ • UCS или
• Запускается на одной из VMs • Другой x86
server
• Сегментация и политики для
всех VMs
Security Service
Admin Admin


• Согласованность VMware vCenter
традиционной и виртуальной Центр управления виртуальными сетями Cisco®
безопасности (VNMC)

• Модель объединенной Пользователь А Пользователь Б

VDC VDC
безопасности Виртуальное
приложение vApp

Виртуальный шлюз
безопасности Cisco Virtual Cisco
VSG Cisco Cisco
Secure Gateway (VSG) для
Виртуальное
VSG приложение vApp
VSG

пользовательских
защищенных зон Cisco
VSG
Cisco ASA 1000V для
Cisco ASA Cisco ASA
управления периметром 1000V 1000V
пользовательской сети
Cisco vPath
• Прозрачная интеграция Cisco Nexus® 1000V

С помощью коммутатора Cisco Гипервизор
Nexus® 1000V и Cisco vPath

• Набор лучших практик по
построению надежной и
защищенной сети
Дизайны и конфигурации

• 354 страницы

• Множество интерпретаций
базового SAFE для
различных технологий (ЦОД,
UC, виртуализация) и
отраслей (финансы, ТЭК и
т.д.)


Принципы ИТ Принципы ИБ

• Модульность / • Безопасность как
поэтапность свойство, а не опция
• Снижение TCO • Цель – любое
• Стандартизация / устройство, сегмент,
унификация приложение
• Гибкость • Эшелонированная
• Надежность оборона
• Поддержка новых • Независимость модулей
проектов • Двойной контроль
• Адаптивность / • Интеграция в
автоматизация инфраструктуру
• Масштабируемость • Соответствие

Агрегация Уровень Блок Модуль
функций

Отказоустойчивость
и резервирование

Разделение
функций

Лучшие в отрасли

Устройства ИБ
 VPNs  Firewall  Admission Control
Решения  Monitoring  Email Filtering  Intrusion Prevention
Сетевые
по ИБ устройства
 PCI  Routers
 DLP  Servers
 Threat Policy and  Switches
Control
Device
Management
Identify Harden
Monitor Isolate
Видимость Контроль
Correlate Enforce

Data WAN Internet E-comm- Cisco Virtual Partner
Campus Branch
Center Edge Edge erce Teleworker User Sites

Secured Mobility, Unified Communications, Network Virtualization

Network Foundation Protection

© 2011 Cisco and/or its affiliates. All rights reserved.
Сервисы 82

Удаленная площадка Периметр Главный Блок управления
Мобильный
POS Cash Register Интернет офис ACS
POS (PCI 1,3,5,6,7) POS сервер (PCI 2, 10,12) CSM
(PCI 10,12)
(PCI 1,3,5,6,7) NAC
CSA MC
(PCI 10,12)
ASA
CS-MARS
7200 ASA
WAP (PCI 10)
(PCI 1,4)
Internet
Catalyst
ISR
(PCI 4) 6500 WAP 6500
Switch FWSM
ASA
ПК (PCI 1,4) Credit Card
магазинного WAP Storage
работника
(PCI 1,3,5,6,7) (PCI 1,3,5,6,7)
Беспроводное
устройство E-commerce
(PCI 1,3,5,6,7) ЦОД

Примечание! Отображена реализация не всех требований

• Рекомендованная защищенная архитектура для проводных и
беспроводных применений
• Тестирование в реальном окружении, включая POS-терминалы,
сервера приложений, беспроводные устройства, банкоматы и
системы защиты
• Система управления конфигурацией, мониторингом и
аутентификацией

Validated Design
Small Retail Store Партнеры по «железу»:


Малая Средняя Крупная

 Соответствующие PCI DSS 1.2 архитектуры в зависимости от масштаба
предприятия
 Детальный отчет по соответствию
 Руководства по внедрению
 Детальные конфигурации


Требование PCI 1.3.5
Рекомендации Cisco

Иллюстрации
обеспечивают ясность

Пример
конфигурации


• КТО будет строить? → Развитая сеть партнеров
• КАКОВА квалификация строителей? → Partner Specialization
• МОГУ ли я сам построить? → Cisco Validated Design
• А вы меня МОЖЕТЕ научить? → Cisco Learning Partners
• СООТВЕТСТВУЕТ требованиям? → Сертификация в ГСССЗИ
• КАК осуществляется контроль качества? → Cisco PSIRT

• КАК проверить правильность постройки? → Cisco Architecture Review

• А ИПОТЕКА есть? → Cisco Capital
• А вы проводите ИССЛЕДОВАНИЯ новых материалов? → Cisco SIO


• Сложность

• Операционные затраты

• Число уязвимостей

• Обучение специалистов

• Поддержка

• Эксплуатация и управление

• Мониторинг и устранение
неисправностей
• Конфигурация и обновление

• Интеграция


Политика

Кто Что Как Где/откуда Когда

Анализ
угроз
SensorBase Operations Center Dynamic Updates

Внедрение на Интегрированная Высокоскоростная Облачные
уровне сети инфраструктура навесная защита вычисления


http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco


Спасибо!

security-request@cisco.com


Архитектурный подход к обеспечению информационной безопасности современного предприятия.

More Related Content

What's hot

Viewers also liked

Similar to Архитектурный подход к обеспечению информационной безопасности современного предприятия.

More from Cisco Russia

Архитектурный подход к обеспечению информационной безопасности современного предприятия.