More Related Content
Similar to Единая политика доступа
Similar to Единая политика доступа (20)
More from Cisco Russia (20)
Единая политика доступа
- 1. Единая политика доступа
Виктор Платов
системный инженер-консультант
по направлению Mobility
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены.
- 2. Политика управления доступом: проблемы и
архитектура
UA с использованием Cisco ISE – вводная
демонстрация (BYOD)
Доступ для групп безопасности и
TrustSec
Устройства доступа Cisco и идентификация
Принцип работы ISE – демонстрация
администрирования ISE
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 2
- 3. Проблема:(«принеси свое собственное устройство»)
BYOD Поддержка BYOD без увеличения затрат на сопровождение ИТ
Автоматическая производительности, загрузкастоимость, дополнительная
Повышение регистрация устройств, низкая приложений, оценка состояния
устройств на портале без участия пользователя
защита
Проблема: Определение типов устройств, подключенных к сети
Управление безопасным доступом – подключение устройств
Цифровая метка устройства (идентифицирующая "предмет"), анализ состояния,
Прозрачность устройств (профилирование), оценка состояния, управление
с учетом контекста, аутентификация, авторизация, учет (AAA)
Проблема: Обеспечение согласованных топологически
Единообразная общесетевая политика управления
независимых политик при обмене данными E2E
Cisco TrustSec и разграничением доступа
Управление управление политиками
ВЫСШЕЕ
ТЕХНОЛОГИЯ КОММУНАЛЬНЫЕ ЭНЕРГЕТИКА ЗДРАВООХРАНЕНИЕ ОБРАЗОВАНИЕ СРЕДНЕЕ
УСЛУГИ ОБРАЗОВАНИЕ
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 3
- 4. Управление
политиками
Identity Services Engine (ISE) Инфраструктура Prime Infrastructure
Информация
о политиках ,
Каталог Профилирование из Оценка состояния ПО
пользователей инфраструктуры Cisco NAC/AnyConnect Agent
Соблюдение
политик
Инфраструктура Cisco: коммутаторы, контроллеры беспроводной сети,
межсетевые экраны, маршрутизаторы
Контекст
политик Собственность
Идентификационные Личные Устройства, не принадлежащие
устройства компании
данные пользователя пользователям
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 4
- 5. Gartner 2013 NAC MQ
Претенденты Лидеры
Решение для Первое общесистемное решение
Глубокая сетевая интеграция
управления
Способность к
Общесистемное управление
политиками
реализации
политиками
с одного экрана
Управление
Удостоенный различных наград
унифицированным продукт
доступом к сети Премия Cisco Pioneer Award 2012
Нишевые игроки Провидцы
Решение BYOD Более 400 обученных и
Полнота видения
проверенных партнеров июнь 2012
По состоянию на ATP
«под ключ»
Более 1000 продаж за 1 год
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 5
- 6. Мне нужно разрешать подключение к сети
Сервисы
только определенных пользователей и
устройств
аутентификации
Мне нужно, чтобы пользователи и устройства
Единая Сервисы
пользовались соответствующими сетевыми
авторизации
сеть сервисами
Управление
Мне нужно разрешить гостям доступ в сеть
и управлять режимом их работы
жизненным циклом
гостя
Мне нужно разрешать и блокировать Сервисы
использование профилирования и
Единая iPad в моей сети (BYOD) BYOD
политика
Мне нужно, чтобы в моей сети Сервисы
были неинфицированные устройства оценки состояния
Единое Мне необходим масштабируемый способ
TrustSec SGA
реализации политики доступа в сети
управление
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 6
- 7. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 7
- 8. Новый способ В ближайшем будущем
Будущие практические
Практические решения на сегодняшний день решения (~ 2 квартал 2013)
ISE MDM ISE и MDM
Управление доступом к Управление безопасностью Обеспечение совместимости мобильных
устройствам мобильных устройств устройств
• Профилирование устройств • Совместимость устройств • Принудительная адаптация к MDM
персональных устройств,
• Реализация BYOD • Управление мобильными используемых для работы
приложениями
• Управление доступом к • Регистрируемый, но ограниченный
устройствам • Обеспечение доступ персональных устройств, не
безопасности хранящихся находящихся под управлением MDM
данных
• Изоляция несовместимых устройств
на основе политики MDM
В целях обеспечения безопасности MDM не
"видит" незарегистрированные устройства, но
при этом сеть распознает их!
MDM: Диспетчер мобильных устройств
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 8
- 9. • Регистрация устройств MDM Интерфейс
посредством ISE управления MDM
o Незарегистрированные клиенты Интерфейс
управления
перенаправляются на страницу ISE Проверка
регистрации MDM регистрации
устройства
• Ограниченный доступ
Информация
o Клиентам, не соответствующим о состоянии
требованиям, предоставляется Устройство, устройства Платформа
MDM
ограниченный доступ с учетом пытающееся
получить доступ
состояния оценки MDM к сети
• Агент MDM
Установка приложений на
o Соответствие требованиям устройство (AnyConnect и
Jabber)
o Оценка установленных приложений
устройств c
• Работа устройства из ISE
• Очистка данных на клиенте в
случае кражи устройства
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 9
- 10. • Пользователь
подключается по
защищенному
идентификатору SSID
Персональные
• PEAP: Имя пользователя/
ресурсы
Пароль
• Перенаправляется на Защищенный BYOD
портал регистрации
Точка доступа
• Пользователь регистрирует
устройство
Загружает сертификат
Контроллер
Загружает настройки беспроводной
запрашиваемого устройства локальной сети
• Пользователь повторно
подключается при помощи
EAP-TLS
ISE AD/LDAP
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 10
- 11. • Пользователь подключается к
открытому идентификатору
SSID
• Перенаправляется на
портал WebAuth Персональные
ресурсы
• Пользователь вводит учетные
данные сотрудника Защищенный BYOD
или гостя Открытый BYOD
• Гость подписывает правила
пользования сетью (AUP) и Точка доступа
получает гостевой доступ
• Сотрудник регистрирует
устройство Контроллер
беспроводной
Загружает сертификат локальной сети
Загружает настройки
запрашиваемого устройства
• Сотрудник повторно
подключается при помощи EAP-
TLS
ISE AD/LDAP
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 11
- 12. Известное Нет
устройство
MyDevices
Регистрация устройства в ISE
Да
Зарегистрировано
нет
в MDM
ISE Portal
Регистрация устройства в MDM
Да
Access-Accept
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 12
- 13. Архитектура UA для единой политики с
использованием BYOD Интеграция MDM
для проверки
соответствия и
NCS Prime для
прозрачности
создания отчетов Cisco® ISE приложений
Cisco Диспетчер MDM
Prime™ NCS
RADIUS Стороннее
приложение MDM
Коммутаторы
Cisco
Catalyst®
Контроллер Межсетевой экран
беспроводной Cisco ASA
локальной сети
(WLAN) Cisco
Устройства в
проводной
сети
Проводная сеть Беспроводная сеть Удаленный доступ
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 13
- 14. Пример формирования Причина неисправности
отчета ISE с MDM Телефон не отвечает; Администратор устройств деактивирован; Пароль не установлен
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 14
- 15. © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 15
- 16. Длительность % от
Тип оконечного Число Число Трафик % % длительности
% от
сессии
устройства сессий клиентов (часы) (Мбайт) сессий клиентов сессии трафика
Неизвестное
устройство
Устройство HP
Устройство Cisco
Клиенты по типам оконечных устройств
Устройство Cisco = 2
Устройство HP = 2
Неизвестное устройство = 27
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 16
- 17. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 17
- 18. © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 18
- 19. © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 19
- 20. Корпора-
Любое
Зарегистрированное устройство тивное
устройство
устройство
Приложение
Новостной "Карта Сервер
Роль пользователя Общий веб- Портал
портал рабочего кредитных
и устройства сервер администратора
сотрудника времени карт
сотрудника"
Незарегистрированное
устройство
Сотрудник
Руководство
Сканеры кредитных
карт
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 20
- 21. Корпора-
Любое тивное
Зарегистрированное устройство
устройство устройство
Приложение
Роль Новостной Сервер
Общий веб- Портал "Карта рабочего
пользователя Определение политики портал кредитных
сервер менеджера времени
и устройства сотрудника карт
сотрудника"
Незарегистрир
ованное Открытый SSID
устройство
Корпоративный SSID
Сотрудник Сертификат члена группы
"Сотрудники" соответствует
оконечному устройству
Корпоративный SSID
Член группы "Сотрудники и
Руководство менеджеры"
Сертификат соответствует
оконечному устройству
Credit_Card SSID
Сканеры
Член группы "Credit_Scanners"
кредитных карт
Профилируется как "iphone"
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 21
- 22. © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 22
- 23. SSID:
Корпоративный
беспроводной доступ Зарегистрированный
сотрудником
Группа AD:
"Руководство"
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 23
- 24. Профилируется
Требуется
как iPhone
сертификат
SSID:
cc-secure-wifi
Группа AD:
"Сканеры кредитных карт"
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 24
- 25. Архитектура VLAN Архитектура ACL
Проблемы Трудность технического
масштабирования сопровождения
Высокая зависимость от сотен и тысяч правил
топологии
802.1X
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 25
- 26. Роль пользователя и Политика SGA TAG
устройства
Маркер доступа
Незарегистрированное кто что где когда как
устройство Открытый SSID
(Unregist_Dev_SGT)
Сотрудник Корпоративный SSID
(Employee_SGT) Член группы "Сотрудники"
Сертификат соответствует оконечному Cisco ISE
устройству
Руководство Корпоративный SSID
(Management_SGT) Член группы "Сотрудники и менеджеры"
Сертификат соответствует оконечному
устройству
Сканеры кредитных карт Credit_Card SSID
Сотрудник Финансы
(CC_Scanner_SGT) Член группы "Credit_Scanners"
Профилируется как "iphone" Менеджер
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 26
- 27. Метка
сотрудника
Метка менеджера
Метка сканера
кредитных карт
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 27
- 28. Метка сканера
Метка менеджера
кредитных карт
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 28
- 29. © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 29
- 30. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 30
- 31. Карта учета
SRCDST Кредитная карта
времени
Менеджер (100) Доступ Нет доступа
Менеджер SGT = 100
Зарегистрированное SGACL
устройство
Карта учета времени
(SGT=4)
Сканер
кредитных карт
(SGT=10)
Менеджер
SGT = 100 Cisco ISE
Управление доступом на основе групп безопасности
• ISE сопоставляет маркеры (SGT) с идентификационными данными пользователя
• Политика авторизации ISE передает SGT для доступа к NAD (коммутатор/WLC)
• Политика авторизации ISE передает ACL (SGACL) для выхода из NAD (ASA или
Nexus)
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 31
- 32. Инновации
Cisco
IP-адрес SGT SRCDST Карта учета времени Кредитная карта
Менеджер (100) Доступ Нет доступа
Менеджер 10.1.100.3 100
Зарегистрированное SXP SGACL
устройство
Карта учета времени
(SGT=4)
Сканер
кредитных карт
10.1.100.3 (SGT=10)
Менеджер
SGT = 100 Cisco ISE
Протокол доступа для групп безопасности
• Для передачи через ядро, не поддерживающее SGT
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 32
- 33. Инновации
Cisco
Назначение SGT
пользователям и
устройствам Catalyst 2K-S Catalyst 4K WLC 7.2 Nexus 7K Nexus 1Kv
Catalyst 3K Catalyst 6K Nexus 55xx
Cat 2K-S (SXP) Cat 6K Sup720 (SXP) ASR1K (SXP/SGT)
Передача SGT по
Cat 3K (SXP) N7K (SXP/SGT) ISR G2 (SXP)
сети Cat 3K-X (SXP/SGT) N55xx (SGT) WLC 7.2 (SXP)
(Inline/SXP) Cat 4K (SXP) N1Kv (SXP)
ASA (SXP)
Cat 6K Sup2T (SXP/SGT)
Применение
политики на основе
SGT N7K /N55xx Cat6K Cat3K-X ASA (SGFW) ASR1K/ISRG2
(SGACL/SGFW) (SGACL) (SGACL) (SGACL) - CY12 2H (SGFW)
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 33
- 34. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 34
- 35. Инновации
Cisco
a
Отличительные особенности
Функции аутентификации
идентификации
Режим монитора Коммутатор Cisco Catalyst
• Беспрепятственный доступ
• Без влияния на производительность
• Прозрачность
Гибкая последовательность аутентификации
• Предоставление единой конфигурации для
большинства примеров использования
• Гибкие политики и механизмы отката
Полнофункциональный и
надежный стандарт 802.1X
Поддержка IP-телефонии для
сред виртуальных настольных систем Авторизованные Планшеты IP-телефоны Сетевое Гости
пользователи устройство
• Режим одиночного узла
• Режим нескольких узлов
Веб-
• Режим многократной аутентификации 802.1X MAB аутентификация
• Мультидоменная аутентификация
Аутентификация важных данных и голосовых
данных
• Непрерывность бизнеса в случае сбоя
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 35
- 36. Инновации
Cisco
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Поддерживаемые платформы:
Для проводных и беспроводных сетей IOS 15.0(1)SE1 для Cat 3K
IOS 15.1(1)SG для Cat 4K
CDP WLC 7.2 MR1 - DHCP только данные
LLDP ISE 1.1.1
DHCP ПОЛИТИКА
MAC
Принтер Личный iPad
ISE
Политика для Политика для
принтера CDP
LLDP
CDP
LLDP
личного iPad
DHCP DHCP
[поместить в VLAN X] MAC MAC
[ограниченный доступ]
Точка
доступа
Решение Сценарий развертывания с использованием сенсоров устройств Cisco
Эффективная КЛАССИФИКАЦИЯ АВТОРИЗАЦИЯ
СБОР ДАННЫХ
классификация устройств с Коммутатор собирает данные, ISE производит классификацию ISE реализует доступ на основе
использованием относящиеся к устройству, и устройства, сбор данных о политик для данного
инфраструктуры передает отчет в ISE трафике и формирует отчет об пользователя и устройства
использовании устройства
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 36
- 37. Тип проверки Предоставляемая информация
MAC-адрес (OUI)
RADIUS (Calling-Station-ID)
Пример: 0A:1B:2C = vendor X
Имя узла (по умолчанию может включать тип устройства)
DHCP (host-name) Пример: jsmith-iPad
(dhcp-class-identifier) Класс или тип устройства
Примеры: BlackBerry, беспроводной IP-телефон Cisco
DNS Доменное имя (по умолчанию имя узла может включать тип устройства)
(обратный просмотр IP) Пример: jsmith-ipad.company.com
HTTP Сведения об определенном типе мобильного устройства
(User-Agent) Примеры: iPad, iPhone, iPod, Android, Win7
Сканирование NMAP Срабатывание оконечного устройства сканирование ОС
(SNMPPortsAndOS-scan ) Пример: OS= Apple iOS
Сообщение или запрос SNMP-trap MAC-адрес или данные об интерфейсе, данные сессии и системный запрос
(MAC Notification/CDP/LLDP collection) Примеры: 0A:1B:2C/ARP table
Перехват потоков для определения подходящего оконечного устройства
Netflow (перехват потоков) пятикратный трафик
Примеры: SRC/DST IP/Port/Protocol
Система учета RADIUS предоставляют информацию о связи MAC:IP для поддержки других проверок, основывающихся на IP-адресе (DNS,
NetFlow, NMAP и HTTP)
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 37
- 38. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 39
- 39. Пользователь Тип устройства Местоположение Оценка Время Метод доступа Специальный
состояния
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 40
- 40. • Самостоятельное
подключение
BYOD пользователей
• Партнерство с
поставщиками MDM
• Контекст: кто/ что/ как/ где
Управление
доступом • Прозрачность:
профилирование
• SGA: Независимость от топологии,
язык бизнеса
Целостное • Реализация: Функции маршрутизатора,
коммутатора и контроллера
решение
• Оконечное устройство: Оценка состояния, VPN
• Хранение информации: AD, LDAP, DHCP, MDM
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 41
- 41. • Информация о ISE:
http://www.cisco.com/go/ise
• Cisco TrustSec (SGA и сертифицированные решения):
www.cisco.com/go/trustsec
• Указания по применению и руководства с практическими
советами:
http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/l
anding_DesignZone_TrustSec.html
• Зона проектирования – базовый вариант проекта BYOD:
http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns743/
ns1050/own_device.html#~overview
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 42