SlideShare a Scribd company logo

Управление доступом к внутренним ресурсам для внешних и внутренних пользователей

Cisco Russia
Cisco Russia
Technology
1 of 82
Download to read offline
Управление доступом к внутренним ресурсам для внешних и внутренних пользователей Владимир Илибман Менеджер по продуктам безопасности CISSP, CCSP 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
О чем пойдет речь Потребность в управлении доступом Архитектура безопасного доступа Контролируем доступ в сеть для ПК Сетевые устройства Управляем гостевым доступом Управляем мобильными устройствами Метки безопасности 2
Эволюция доступа Эпоха сетей без границ Кампусная сеть ЦОД. Внутренние ресурсы Филиал Интернет Сотрудники (Продавцы) Сотрудники (Продавцы) VPN Сотрудники (Финансы) КонтрактникиГостиIP камера Телеработа VPN VPN Мобильные сотрудники Сотрудники с WiFI- устройствами Системы безопасности Принтеры (Бухгалтерия) POS- терминалы
Что такое управление доступом ? Кто вы? 802.1X (или другие методы) аутентифицируют пользователя 1 Защита от посторонних Куда можно ходить? Основываясь на аутентификации пользователь помещается в VLAN 2 Разграничение внутреннего доступа Какой тип сервиса получаете? Пользователь получает персональные сервисы (ACL и т.д.) 3 Привязка к IT- сервисам Что вы делаете? Идентификация пользователя и локация используется для логирования и трекинга 4 Видимость происходящего
Архитектура безопасного доступа Cisco TrustSec Коммутаторы Межсетевые экраны Identity Services Engine (ISE) AnyConnect или встроенный в ОС клиент 802.1x Клиенты Применение политик доступа Идентификация и управление политиками доступа WiFI Маршрутизаторы ISE – ключевой управляющий элемент архитектуры Веб-браузер Мобильные устройства IP-устройства
Как работает управление доступом ? Identity Services Engine Сетевая инфраструктураКлиенты 5. Передача политики доступа по протоколу Radius (ACL,VLAN, SGT) 2. Передача идентификационных атрибутов по протоколам: Radius, 802.1x, MAC, Web… 1. Подключение в сеть 4. Авторизация 3. Идентификация/ Аутентификация В теории все просто 6. Учет доступа
На практике существует множество сценариев 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 7 • Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности • Какие сценарии управления доступом могут возникать в типичной организации На примере одной организации рассмотрим:
Обобщенный образ : Гудвей-X  Банк,  Ритейлер,  Промышленный холдинг,  Агрохолдинг,  Страховая компания,  Оператор связи. Айк – IT-менеджер отвечает за работу сети Зак – Менеджер по информационной безопасности Компания Гудвей-X -
В компании Гудвей-X назрела проблема  Внешний аудит показал, что в компании не существует контролей для ограничения доступа в сеть изнутри.  Зак взялся разработать Политику доступа в сеть и поручил Айку внедрить контроли. Бизнес-кейс Решение: Система контроля доступа 802.1X Описание задач для Айка: 1. Необходимо проводить учет подключений в сеть 2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств.
Нет видимости (пока) Жесткий контроль доступа Весь трафик кроме служебного 802.1x блокируется ! One Physical Port ->Two Virtual ports Uncontrolled port (EAPoL only) Controlled port (everything else) До аутентификации ? USER ? Закрытый режим 802.1X
Пользователь/Устройство известны Доступ только для MAC-адреса устройства прошедшего аутентификацию После аутентификации Выглядит также как и без 802.1X Пользователь: Маша “Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS. Задача решена!” подумал Айк. Authenticated Machine: XP-Mary-45 Закрытый режим 802.1X
Что случилось дальше ? @ Гудвей-X, ДО появления 802.1x… Я не могу соединиться с сетью. Она говорит “Аутентификация не пройдена” и я не знаю что делать, через два часа у меня презентация… Я протестировал дома конфигурацию, все выглядит отлично. Завтра я включаю 802.1x … Включает 802.1X Звонки в поддержку увеличились на 200% Айк
Чего не хватало Айку? Некорректно внедренный 802.1x – это система управления предотвращения доступа  Необходим режим мониторинга  Должен существовать метод анализа удачных и неудачных соединений  Управление доступом лучше внедрять поэтапно Внедрение 802.1x лучше начинать с:  Monitoring Mode (Режим мониторинга 802.1x ) И продолжать в режиме  Low Enforcement Mode (Режим малого воздействия 802.1x) Какие уроки мы извлекли?
Режим мониторинга Процесс, не просто режим. SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Permit All SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Permit All Traffic always allowed Pre-AuthC Post-AuthC • Активирует 802.1X Аутентификацию на коммутаторе • Но: Даже при ошибке аутентификации разрешает доступ • Позволяет администратору мониторить неудачные аутентификации и исправлять, не создавая отказ в обслуживании  • Режим мониторинга позволяет идентифицировать пользователей/устройства - Задача №1 для Гудвей-X
Режим малого воздейтствия Если аутентификация верна – Особый доступ! • До аутентификации обеспечивается доступ к базовым сетевым сервисам (AD, DNS, Интернет, внутренний портал) • После успешной аутентификации предоставляется особый доступ, который привязывается к роли сотрудника • Назначается ролевое правило доступа (ACL) • Назначается метка безопасности SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Role-Based ACL Permit Some Pre-AuthC Post-AuthC SGT
Отсутствие отчетности со стороны сапликанта  Когда все в порядке – пользователь не в курсе.  Но когда все перестает работать… — Пользователь видит “Authentication Failed” сообщение и всё. — Отсутствие видимости. Только звонок в службу поддержки Решение: Сторонние сапликанты  Cisco’s AnyConnect Supplicant — Предоставляет утилиту для отчетов (DART) — Детализированные журналы с клиентской стороны 16 Чего не хватало Айку? Какие уроки мы извлекли?
Чего не хватало Айку? Отсутствие видимости на Radius сервере - ACS 4.x Какие уроки мы извлекли?
Чего не хватало Айку? Решение: Identity Services Engine (ISE) Какие уроки мы извлекли 18
Чего не хватало Айку? - Детализация удачных и неудачных попыток доступа в Cisco ISE 19
Чего не хватало Айку? Детальный вид активных сессий и наложенных политик в Cisco ISE
Чего не хватало Айку? Неаутентифицируемые устройства  Вот о каких устройствах мы забыли  У них нет поддержки 802.1x — Либо он на них не настроен — Принтеры, IP Телефоны, Камеры, СКУД  Как же с этим быть? Решение? Не использовать 802.1х на портах с принтерами Решение: MAC Authentication Bypass (MAB) Какие уроки мы извлекли? -------------------------------------------------------------------------------------- -
MAC Authentication Bypass (MAB) Список MAC адресов, которым разрешено “пропускать” аутентификацию Это замена Dot1X?  Ни за что! Это скорее всего “Исключения из правил”  В идеале: Все устройства аутентифицированы. Список может быть локальным (на коммутаторах) или централизованным на Radius-сервере ( Cisco ISE) Можете подумать о преимуществах централизованной модели? Что же это?
Айк: -“Таких устройств очень много. И они обновляются” Зак: -“А что если MAC-адрес принтера подставит злоумышленник на свой ноутбук ?” Требуется автоматизировать построение списка устройств! Эволюция бизнес-кейса
Решение есть - Профилирование PCs Non-PCs UPS Phone Printer AP Идентификация типа устройств и добавление их в список MAB. Пример: Printer = Bypass Authentication Построение политики авторизации на основе типа устройства Пример: Принтер= VLAN для принтеров Видимость: Видимость того, что включено в Вашу сеть.
Технология профилирования Профилирование на ISE использует анализ поведения и сигнатуры Запросы, используемые для сбора данных Как мы классифицируем устройство? 25 RADIUS DHCP DNS HTTP SNMP Query NetFlow DHCPSPANSNMP Trap NMAP
Детектирование и классификация устройств 26 ISE Policy Server VPN Cisco Prime ISE пассивно и активно собирает данные служебных протоколов об устройствах CDP/LLDP/DHCP/mDNS/MSI/H323/RADIUS HTTP/DHCP/RADIUS SNMP DNS NMAP/SNMP NMAP DHCP/NetFlow
Примеры профилей • Политики профиля используют условия для определения устройства. • Политики основаны на принципе наилучшего совпадения Is the MAC Address from Apple DHCP:host- name CONTAINS iPad IP:User-Agent CONTAINS iPad Profile Library Назначить MAC Address к группе “iPad” Я вполне уверен что устройство iPAD
Сенсор устройств Распределенный сбор данных с централизованным анализом 28 • Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS (4k только) • Автоматическое обнаружение популярных устройств (Printers, Cisco devices, phones) • Не зависит от топологии Поддержка сенсоров • 3560/3750 (excludes LAN Base) • 3560C/CG (excludes LAN Base) • 4500 (excludes LAN Base) • 2960-XR • 2960-X (in roadmap) • Wireless Controllers (DHCP, HTTP) Check Release Notes! Распределенный сенсор ISE CDP/LLDP/DHCP DHCP DHCPCDP/LLDP/DHCP CDP/LLDP/DHCP Уникальность сети
ISE 1.2 Сервис обновление профилей Feed Service Пополняем библиотеку профилей из разных источников: • Cisco • Вендора • Партнёры
Нужно понять насколько устройства соответствуют политике безопасности Эволюция бизнес-кейса Мы имеем идентификацию и профилирование устройства… Можно ли получить еще информации о состоянии ?
Бизнес кейс продолжает эволюцию Требования: 1. Сотрудники Гудвей-X должны использовать корпоративные рабочие станции. 2. Все корпоративные станции должны иметь обновленный и работающий Trend Micro Anti-Virus. 3. Все контрактники должны иметь установленный любой антивирус.  Решение: Давайте выясним
Оценка состояния Состояние (Posture) = статус соответствия политике безопасности компании.  Пропатчена ли Windows ОС до необходимого уровня?  Установлен ли Антивирус? А базы обновлены?  Анти шпионское ПО установлено? Обновлены ли его базы? Теперь мы можем расширить Идентификацию пользователя включив его статус (Posture). Удовлетворяет ли станция политике безопасности? *выход Q2 CY14 Posture AnyConnect 3.2* Агенты для проверки статуса: АплетыNAC Agent
• Microsoft Updates • Service Packs • Hotfixes • OS/Версия браузера ISE – Проверка состояния • Antivirus Установка / Сигнатуры • Antispyware Установка / Сигнатуры • Файловые данные Files • Сервисы • Приложения/ Процессы • Ключи реестра
Проверка состояния Исправление (Remediation)  Действие по исправлению недостающих или просроченных компонент состояния.  Может вызывать действия: — Системы корпоративного патчинга системы (ex: BigFix, Altiris…) — Windows Software Update Service (WSUS) — Anti-Virus product Update Services (LiveUpdate.exe, etc.) А что если пользователь не пройдет проверку? Карантин • Помещение в отдельную подсеть с ограниченными правами (например, только выход в Интернет)
RADIUS Change of Authorization (CoA) Quarantine VLAN CORP VLAN 1 Клиент провалил проверку состояния и был помещен в карантинный VLAN 2 Клиент исправляет недочеты и отчитывается как: Posture=Compliant 3 ISE использует RADIUS CoA для реаутентификации 4 Клиент реаутентифицирован и помещен в CORP VLAN Динамический контроль сессии с сервера политик  Реаутентификация сессии  Завершение сессии  Завершение сессии со сбросом порта  Отключение хостового порта  Запрос к сессии  на активные сервисы  на полноту идентификации  специфичные запросы  Активация сервиса  Деактивация сервиса  Запрос к сессии
Эволюция бизнес-кейса Зак: “Гости подключаются в WiFi под одним паролем. Это небезопасно” Айк: “Для каждого контрактника в ручную выделяется порт на коммутаторе” Нужно упорядочить и автоматизировать процесс гостевого подключения!
Wireless APs LAN Internet Требования гостевых пользователей WLC Айк хочет унифицировать подключения гостей и контрактников в сеть И при этом, чтобы все было безопасно !
Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал Отчетность: По всем аспектам гостевых учетных записей Guests Cisco ISE Компоненты полного жизненного цикла гостя Аутентификация/Авторизация Посредством веб-портала ISE
ISE – Спонсорский портал Настраиваемые поля • Обязательные и опциональные • Можно создавать собственные атрибутов Гостевые роли и профили времени • Предопределены администратором Айк делегировал доступ к порталу спонсорам секретарю
Разные гостевые роли Когда требуются разные пользовательские роли Гость • Только интернет доступ • Ограниченное время: Половина дня / один день Контрактник • Доступ в интернет • Доступ к выделенным ресурсам • Длительное время соединения: неделя / месяц  Можно использовать разные порталы (даже с разной локализацией)  И создавать отдельно группы Гости/Контрактники с разными правами
ISE Template Builder Инструмент для создания кастомизированных порталов ISE 1.2
Полный аудит сетевой активности гостей 42 ISE Policy Server VPN Журналирование на межсетевом экране активности и отправка информации на ISE для корреляции. Guest IP accessed http://www.google.com Guest IP accessed http://facebook.com Guest IP triggered network AV alert Guest IP triggered Infected endpoint event Guest IP …
Эволюция бизнес кейса: B.Y.O.D. “Наш генеральный поехал на саммит и выиграл iPad. Он требует, чтобы мы разрешили ему доступ в сеть, потому как это устройство помогает ему в работе”
Требования к BYOD Зак (Безопасность) •Как ограничить, кто из сотрудников имеет право на BYOD ? •Как защититься в случае потери или увольнения Как избежать утечки ? Айк (IT): •Как поддерживать увеличившиеся кол-во устройств ? •Кто будет настраивать ? •Кто будет согласовывать с безопасностью ? Бизнес: • Подключите мой планшет и дайте доступ к Facebook бизнес-приложениям
Что предлагает ISE для управления персональными устройствами Автоматическая настройка множества типов устройств: ̶ iOS (post 4.x) ̶ MAC OSX (10.6, 10.7) ̶ Android (2.2 and later) ̶ Windows (XP, Vista, Win7K, Win8) Безопасность на основе cертификата привязанного к Employee-ID & Device-ID Поддержка всех типов подключений Занесение устройств в “черный” при хищении, увольнении Самообслуживание персональных устройств для авторизированных сотрудников
Можно управлять “Моими устройствами”
Для администраторов безопасности и IT Гибкие настройки - кому и и какие устройства можно подключать UserOS Supplicant
Эволюция бизнес кейса: Mobile Device Management Можем ли мы частично управлять устройствами сотрудников? Например обновить удаленно Джаббер Айк Можем ли мы проверить наличие пароля перед тем как включить планшет в сеть ? Зак
Распространение корпоративного ПО Инвентаризация Управление (Backup, Remote Wipe, etc.) Контроль использования сетевых ресурсовКлассификация/ Профилирование Регистрация Безопасный сетевой доступ (Wireless, Wired, VPN) Управление сетевым доступом на основе контекста Настройка профилей безопасности устройства User <-> Device Ownership Соответствие политике (Jailbreak, Pin Lock, etc.) Шифрование данных СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) УПРАВЛЕНИЕ УСТРОЙСТВОМ (MDM) Позиционирование ISE и MDM Пользователи и IT совместно управляют устройством и доступом Пользователь управляет устройством IT управляет доступом в сеть Управление затратами
ISE 1.2 поддерживает интеграцию c MDM ISEMDM Manager Регистрация устройств при включении в сеть – незарегистрированные клиенты направляются на страницу регистрации MDM Ограничение доступа - не-соответствующие клиенты будут иметь ограниченный доступ в сеть, исходя из информации полученной от систем MDM Инициация действий через интерфейс ISE – например устройство украдено-> очистить данные на устройстве Сбор дополнительной информации про устройство дополняет функции классификации и профилирования ISE Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
MDM проверка соответствия Соответствие на основании:  General Compliant or ! Compliant status — OR  Вкл. Шифрование диска  Парольная защита вкл.  Jailbreak устройства MDM атрибуты доступны для условий политик Проверка устройств по базе MDM происходит через определенные промежутки времени.  Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства. MDM –источник информации для ISE Micro level Macro level
Инициация действий через MDM 52 Администратор / пользователь может инициировать удаленные действия на устройстве через MDM сервер (пример: удаленно стереть устройство)  Портал мои устройств  ISE Каталог устройств • Edit • Reinstate • Lost? • Delete • Full Wipe • Corporate Wipe • PIN Lock Options
Добавим мощи в Dot1X Айк: -“При изменение IP-серверов нужно менять ACL” Зак: -“Для создания моей политики моей мечты нужно 800 000 строчек ACL ?” Какие технологии есть ? VLAN, ACL или …. Механизмы авторизации
Сложности внедрения авторизации При использовании политик по VLAN, IP-адресам 54 • Могу ли я создавать и управлять новыми VLAN либо адресным IP пространством? • Что мне делать с DHCP при смене VLAN у пользователя? • Как управлять ACL на VLAN интерфейсе? • Кто будет управлять ACL? • А что если destination адреса изменятся? • Хватит ли у коммутатора памяти для обработки всех правил?  Традиционные средства авторизации оставляют вопросы к размышлению:  Не так гибок к изменениям, требуемых бизнесом  Проекты контроля доступа заканчиваются редизайном всей сети 802.1X/MAB/Web Auth ACL Download VLAN Assignment
Secure Group Access Понятие включает и описывает термины:  Secure Group TAG (SGT’s)  Secure Group ACL’s (SGACL’s)  Когда пользователь заходит в сеть ему назначается метка (TAG) (SGT), которая обозначает его роль  Эта метка переносится по всей сети Сетевые устройства и устройства безопасности применяют SGACL’s основываясь на матрице доступа: Контроль доступа - независимый от топологии и IP-адресации SGT Public Private Staff Permit Permit Guest Permit Deny
Контроль доступа на основе группы безопасности SGA позволяет пользователям:  Сохранить исходный логический дизайн на уровне доступа и исходую IP- адресацию  Изменять / применять политики в соответствии с требованиями сегодняшнего дня  Устанавливать политику централизованно на сервере управления Egress Enforcement SGACL SGT=100 I am an employee My group is HR HR SGT = 100 HR (SGT=100) Ingress Enforcement Finance (SGT=4) 802.1X/MAB/Web Auth 56
DC Access WLC FW Inline SGT Tagging CMD Field ASIC ASIC Optionally Encrypted SXP SRC: 10.1.100.98 IP Address SGT SRC 10.1.100.98 50 Local Hypervisor SW SXP IP-SGT Binding Table ASIC L2 Ethernet Frame SRC: 10.1.100.98 (No CMD)  Теггирование Ethernet-фреймов (data plane): Если устройства поддерживают SGT в железе  SXP (control plane): Обмен информации о метках между cетевыми устройствами в отдельном протоколе IP Address SGT 10.1.100.98 50 Campus Access Distribution Core DC Core EOR SXP Enterprise Backbone Распространение меток по сети 57
Распространение меток и политик безопасности HR Server #1 10.1.200.50 Finance Server #1 10.1.200.100 VSG ASA 10.1.200.254 10.1.204.254 6506 Finance Finance Finance HR ✓ 10.1.204.126 Nexus 7000 Agg VDC ISE SXP IP Address 10.1.204.126 = SGT 5 EAPOL (dot1x) RADIUS (Access Request) RADIUS (Access Accept, SGT = 5) SG ACL Matrix IP Address to SGT Mapping Nexus 7000 Core VDC
SGACL политика ISE для свичей 59
Контроль доступа на основе группы безопасности для фаерволов ( Cisco ASA) 60 Source Tags Destination Tags
Сценарий 1: Управление доступом пользователей в ЦОД Users/ Devices Switch Router DC FW DC Switch Development Servers Enforcement SGT Propagation Production Servers ISE Directory Classification Employee (Managed asset) Employee (Registered BYOD) Production Servers Internet Access Source Protected Assets PERMIT PERMIT DENY DENY DENY DENY DENY PERMIT PERMIT PERMIT PERMIT PERMIT Logical View Policy View Employee (Unknown BYOD) Development Servers ENG VDI System
Сценарий 2: Сегментация кампусной и филиальной сети Switch Router DC FW DC Switch Development Servers Enforcement Production Servers ISE DirectoryClassification LoB1 Production Users LoB1 Developers Protected Assets Guests Internet Access LoB1 Production Users Malware Blocking DENY PERMITDENY PERMIT Collab Apps LoB1 Developers Source PERMIT Collab Apps DENY PERMITDENY Malware Blocking DENY DENY DENY PERMIT Malware Blocking DENY PERMITDENYDENYDENY LoB = Line of Business Policy View Logical View Malware Blocking ACL Deny tcp dst eq 445 log Deny tcp dst range 137 139 log Permit all LoB2 Employees LoB2 Employees Guest
Сценарий 3: Сегментация центра обработки данных Users/ Devices Switch Router DC FW DC Switch Development Servers Enforcement SGT Propagation HR Database ISE Classificatio n Production Servers Production Servers HR Database Protected Assets PERMIT DENY Storage PERMITDENY Development Servers Source DENY DENY PERMITPERMIT DENY PERMIT PERMITDENY PERMIT PERMIT PERMITPERMIT Logical View Policy View Development Servers HR Database Storage
Эволюция бизнес кейса: Как еще я могу использовать ISE ? Можно ли использовать информацию от ISE в системе SIEM, которую мы внедряем ? Айк
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65 Экосистема Cisco ISE и SIEM/ CTD • Обогащаем SIEM/ Lancope информацией о пользователях и устройствах • Обеспечиваем единое окно для реагирования • Открытый интерфейс для интеграции (PxGrid в ISE 1.3) Сеть производит карантин для пользователей и устройств SIEM ПРИМЕНЯЕТ ДЕЙСТВИЕ Пользователь, тип устройства, состояние, авторизация, местоположение ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ Преимущества ISE 1.2
Platform eXchange Grid (pxGrid) Обмен контекстом безопасности между устройствами 67 p
Эволюция бизнес кейса: Модели и дизайны для внедрения ISE
Устройства ISE Cisco Secure Network Servers На основе Cisco UCS® C220 Server Виртуальное устройство для Vmware 5.x SNS-3415-K9 and SNS-3495-K9 New ISE 1.2
Узлы и роли ISE Роли – одна или несколько: • Администрирование (Admin) • Мониторинг (MnT) • Сервис политик (PSN) Единый ISE узел (устройство или VM) ИЛИ ISE Inline Posture ISE Policy ServiceMonitoring Admin Отдельный узел в режиме Inline для оценки состояния (только устройство)
Архитектура ISE Устройства Ресурсы Применение политики Админ Внешние данные Сервис политикПросмотр/ Настройка Политик Запрос атрибутов Запрос на доступ Доступ к ресурсам Журналирование Запрос/ ответ контекста доступа Мониторинг Просмотр журналов/ отчетов Журналирование Журналирование End-Point Сетевые устройства
Campus A Branch A Branch B APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X Admin (P) MnT (P) PSN HA Inline Posture Nodes • Все сервисы запущены на обеих нодах • Одна нода основной админ резервный M&T • Вторая нода основная мониторинг, вторичный админ • Максимум устройств зависит от платформы: • 33x5 = Max 2k endpoints • 3415 = Max 5k endpoints • 3495 = Max 10k endpoints AD/LDAP (External ID/ Attribute Store) Базовая централизованное внедрение ISE Максимальное количество end-point до 10,000 72 IPN IPN Admin (S) MnT (S) PSN PSN
Data Center A DC B Branch A Branch B AP APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X WLC 802.1X Switch 802.1X Admin (P) MnT (P) Policy Services Cluster HA Inline Posture Nodes • Выделенные ноды управления • Pri. Admin / Sec MNT • Pri MNT / Sec Admin • Выделенные сервера политик • До 5 PSNs • Не более 10000 устройств поддерживается • 3355/3415 as Admin/MnT = Max 5k endpts • 3395/3495 as Admin/MnT = Max 10k endpts Distributed Policy Services AD/LDAP (External ID/ Attribute Store) AD/LDAP (External ID/ Attribute Store) Базовое распределенное внедрение Максимум end-point= 10,000 / Максимум 5 ISE PSNs 73 PSN PSN PSNPSN IPN IPN Admin (S) MnT (S)
Data Center A DC B Branch A Branch B AP APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X WLC 802.1X Switch 802.1X Admin (P) Admin (S) Monitor (P) Monitor (S) Policy Services Cluster HA Inline Posture Nodes • Выделенные узлы управления • Pri. Admin • Sec. Admin • Pri MNT • Sec Admin • Выделенные сервера политик • До 40 PSNs • Up to 100k endpoints using 3395 Admin and MnT • Up to 250k endpoints using 3495 Admin and MnT Distributed Policy Services AD/LDAP (External ID/ Attribute Store) AD/LDAP (External ID/ Attribute Store) Полностью распределенное внедрение Максимум end-point= 250,000 / Максимум 40 ISE PSNs 74 MnTPAN PAN MnT PSN PSN PSN PSN PSNPSN IPN IPN PSN
Поэтапная стратегия внедрения ISE • Сфера внедрения: Лаба > Пилот > Промышленное внедрение • Режимы внедрения : Monitor > Authentication > Enforcement • Сервис: Гостевой доступ > Профилирование> Базовая аутентификация> Оценка состояния> etc. Вовлекайте всех заинтересованных лиц с первого дня проекта Visibility ISE Installation NAD Configuration Profiling Monitor Classification Agentless MAB/Profiling Unmanaged WebAuth Managed 802.1X Posture Desktop OSs Enforcement Assessment Segmentation Production Availability Performance Operations
Архитектура управления доступом TrustSec www.cisco.com/go/trustsec SXP Nexus® 7K, 5K and 2K Switch Data Center Cisco® Catalyst® Switch Cisco ISE WiFI пользователь Кампусная сеть Проводной пользователь Cat 6K Применение политик MACsec Profiler Posture Guest Services RADIUS Применение политик Применение политик Cisco® Wireless Controller Site-to-Site VPN user WAN ISR G2 с встроенным коммутатором ASR1K SXP AnyConnect Named ACLs dVLAN dACLs / Named ACLs dVLAN SGACLs Текущая версия TrustSec 4.0 !!
TrustSec Design bHow-To Guides Secure Access Blueprints http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html 77
Подведем итоги 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 80
Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE
Что же такое Identity Services Engine? ISE это больше - чем просто RADIUS ISE
Building an Identity-Based Network Architecture Ad-Hoc Couplings Versus Systems Approach 83 VS
Вопросы? Канал Cisco Russia & CIS на Youtube http://www.youtube.com/playlist?list=PL59B700EF3A2A945E Канал TrustSec на Cisco.com www.cisco.com/go/trustsec
02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. Спасибо Contacts: Name Phone +380 E-mail voilibma@cisco.com

Recommended

Контроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияКонтроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияVERNA
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Cisco Russia
 
Cisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco Russia
 
Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2Cisco Russia
 
AnyConnect, NVM и AMP
AnyConnect, NVM и AMPAnyConnect, NVM и AMP
AnyConnect, NVM и AMPCisco Russia
 
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил... Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...Cisco Russia
 
Управление сетевым доступом для корпоративных и персональных устройств с пом...
Управление сетевым доступом для корпоративных и персональных устройств с пом... Управление сетевым доступом для корпоративных и персональных устройств с пом...
Управление сетевым доступом для корпоративных и персональных устройств с пом...Cisco Russia
 
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Cisco Russia
 

Recommended

Контроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияКонтроль и управление доступом к корпоративным ресурсам предприятия
Контроль и управление доступом к корпоративным ресурсам предприятияVERNA
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Cisco Russia
 
Cisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco ISE в управлении доступом к сети
Cisco ISE в управлении доступом к сетиCisco Russia
 
Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2Обзор портфолио технических сервисов Cisco - часть 2
Обзор портфолио технических сервисов Cisco - часть 2Cisco Russia
 
AnyConnect, NVM и AMP
AnyConnect, NVM и AMPAnyConnect, NVM и AMP
AnyConnect, NVM и AMPCisco Russia
 
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил... Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...Cisco Russia
 
Управление сетевым доступом для корпоративных и персональных устройств с пом...
Управление сетевым доступом для корпоративных и персональных устройств с пом... Управление сетевым доступом для корпоративных и персональных устройств с пом...
Управление сетевым доступом для корпоративных и персональных устройств с пом...Cisco Russia
 
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Cisco Russia
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себяCisco Russia
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Cisco Russia
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecCisco Russia
 
Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1Cisco Russia
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейCisco Russia
 
Cisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco Russia
 
Краткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecКраткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecCisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Cisco Russia
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Cisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Безопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoБезопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoCisco Russia
 
Обзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиОбзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиCisco Russia
 
Обзор стека продуктов Cisco для частных и гибридных облаков
Обзор стека продуктов Cisco для частных и гибридных облаков Обзор стека продуктов Cisco для частных и гибридных облаков
Обзор стека продуктов Cisco для частных и гибридных облаков Cisco Russia
 
Углубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорУглубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорCisco Russia
 
Cisco Cloud Center - управление приложениями в облаках при помощи политик
Cisco Cloud Center - управление приложениями в облаках при помощи политик Cisco Cloud Center - управление приложениями в облаках при помощи политик
Cisco Cloud Center - управление приложениями в облаках при помощи политик Cisco Russia
 
Identity Services Engine overview
Identity Services Engine overviewIdentity Services Engine overview
Identity Services Engine overviewNazim Latypayev
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Russia
 
Чекрыгин Сергей (Check Point) Cовременная сетевая безопасность
Чекрыгин Сергей (Check Point) Cовременная сетевая безопасностьЧекрыгин Сергей (Check Point) Cовременная сетевая безопасность
Чекрыгин Сергей (Check Point) Cовременная сетевая безопасностьExpolink
 
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДАрхитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДCisco Russia
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_serviceТатьяна Янкина
 
Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi.
Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi. Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi.
Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi. Cisco Russia
 
Тестирование ядра высоконагруженой системы
Тестирование ядра высоконагруженой системыТестирование ядра высоконагруженой системы
Тестирование ядра высоконагруженой системыOntico
 

More Related Content

What's hot

Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себяCisco Russia
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Cisco Russia
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecCisco Russia
 
Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1Cisco Russia
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейCisco Russia
 
Cisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco Russia
 
Краткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecКраткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecCisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Cisco Russia
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Cisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиCisco Russia
 
Безопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoБезопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoCisco Russia
 
Обзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиОбзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиCisco Russia
 
Обзор стека продуктов Cisco для частных и гибридных облаков
Обзор стека продуктов Cisco для частных и гибридных облаков Обзор стека продуктов Cisco для частных и гибридных облаков
Обзор стека продуктов Cisco для частных и гибридных облаков Cisco Russia
 
Углубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорУглубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорCisco Russia
 
Cisco Cloud Center - управление приложениями в облаках при помощи политик
Cisco Cloud Center - управление приложениями в облаках при помощи политик Cisco Cloud Center - управление приложениями в облаках при помощи политик
Cisco Cloud Center - управление приложениями в облаках при помощи политик Cisco Russia
 
Identity Services Engine overview
Identity Services Engine overviewIdentity Services Engine overview
Identity Services Engine overviewNazim Latypayev
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Russia
 
Чекрыгин Сергей (Check Point) Cовременная сетевая безопасность
Чекрыгин Сергей (Check Point) Cовременная сетевая безопасностьЧекрыгин Сергей (Check Point) Cовременная сетевая безопасность
Чекрыгин Сергей (Check Point) Cовременная сетевая безопасностьExpolink
 
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДАрхитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДCisco Russia
 

What's hot (20)

Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себя
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
 
Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1
 
Рекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалейРекомендованные Cisco архитектуры для различных вертикалей
Рекомендованные Cisco архитектуры для различных вертикалей
 
Cisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISE
 
Краткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSecКраткий обзор Cisco TrustSec
Краткий обзор Cisco TrustSec
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
 
Безопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений CiscoБезопасность внутренней сети с помощью решений Cisco
Безопасность внутренней сети с помощью решений Cisco
 
Обзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сетиОбзор решения по управлению оборудованием корпоративной сети
Обзор решения по управлению оборудованием корпоративной сети
 
Обзор стека продуктов Cisco для частных и гибридных облаков
Обзор стека продуктов Cisco для частных и гибридных облаков Обзор стека продуктов Cisco для частных и гибридных облаков
Обзор стека продуктов Cisco для частных и гибридных облаков
 
Углубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзорУглубленное изучение Security Group Tags: Детальный обзор
Углубленное изучение Security Group Tags: Детальный обзор
 
Cisco Cloud Center - управление приложениями в облаках при помощи политик
Cisco Cloud Center - управление приложениями в облаках при помощи политик Cisco Cloud Center - управление приложениями в облаках при помощи политик
Cisco Cloud Center - управление приложениями в облаках при помощи политик
 
Identity Services Engine overview
Identity Services Engine overviewIdentity Services Engine overview
Identity Services Engine overview
 
Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)Cisco Identity Service Engine (ISE)
Cisco Identity Service Engine (ISE)
 
Чекрыгин Сергей (Check Point) Cовременная сетевая безопасность
Чекрыгин Сергей (Check Point) Cовременная сетевая безопасностьЧекрыгин Сергей (Check Point) Cовременная сетевая безопасность
Чекрыгин Сергей (Check Point) Cовременная сетевая безопасность
 
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДАрхитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
 

Viewers also liked

Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi.
Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi. Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi.
Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi. Cisco Russia
 
Тестирование ядра высоконагруженой системы
Тестирование ядра высоконагруженой системыТестирование ядра высоконагруженой системы
Тестирование ядра высоконагруженой системыOntico
 
Принципы построения кампусных сетей для внедрения тонких клиентов VDI.
Принципы построения кампусных сетей для внедрения тонких клиентов VDI. Принципы построения кампусных сетей для внедрения тонких клиентов VDI.
Принципы построения кампусных сетей для внедрения тонких клиентов VDI. Cisco Russia
 
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...Cisco Russia
 
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...Cisco Russia
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine Cisco Russia
 
Практические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPNПрактические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPNSkillFactory
 
Архитектура защиты внутренней сети
Архитектура защиты внутренней сети Архитектура защиты внутренней сети
Архитектура защиты внутренней сети Cisco Russia
 
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиАлексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиExpolink
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Cisco Russia
 
Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационн...
Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационн...Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационн...
Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационн...Positive Hack Days
 
Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Cisco Russia
 
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Компания УЦСБ
 

Viewers also liked (14)

Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi.
Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi. Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi.
Новинки беспроводных решений Cisco. Часть 2. Новые стандарты Wi-Fi.
 
Тестирование ядра высоконагруженой системы
Тестирование ядра высоконагруженой системыТестирование ядра высоконагруженой системы
Тестирование ядра высоконагруженой системы
 
Принципы построения кампусных сетей для внедрения тонких клиентов VDI.
Принципы построения кампусных сетей для внедрения тонких клиентов VDI. Принципы построения кампусных сетей для внедрения тонких клиентов VDI.
Принципы построения кампусных сетей для внедрения тонких клиентов VDI.
 
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
 
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine
 
Cisco TrustSec
Cisco TrustSecCisco TrustSec
Cisco TrustSec
 
Практические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPNПрактические советы по выбору и настройке Cisco VPN
Практические советы по выбору и настройке Cisco VPN
 
Архитектура защиты внутренней сети
Архитектура защиты внутренней сети Архитектура защиты внутренней сети
Архитектура защиты внутренней сети
 
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сетиАлексей Лукацкий (Cisco) - Безопасность внутренней сети
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
 
Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационн...
Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационн...Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационн...
Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационн...
 
Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности
 
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
 

Similar to Управление доступом к внутренним ресурсам для внешних и внутренних пользователей

Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераCisco Russia
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and backqqlan
 
ExtremeManagement XMC (formerly NetSight)
ExtremeManagement XMC (formerly NetSight)ExtremeManagement XMC (formerly NetSight)
ExtremeManagement XMC (formerly NetSight)MUK Extreme
 
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf... Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...Cisco Russia
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Cisco Russia
 
Функциональность современных беспроводных сетей Cisco
Функциональность современных беспроводных сетей CiscoФункциональность современных беспроводных сетей Cisco
Функциональность современных беспроводных сетей CiscoCisco Russia
 
Сеть как сенсор и средство контроля
Сеть как сенсор и средство контроляСеть как сенсор и средство контроля
Сеть как сенсор и средство контроляCisco Russia
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...Expolink
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...DialogueScience
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsCisco Russia
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
 

Similar to Управление доступом к внутренним ресурсам для внешних и внутренних пользователей (20)

Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдераАвтономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
Автономные Сети: упрощение развертывания уровня доступа в сети сервис-провайдера
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 
ExtremeManagement XMC (formerly NetSight)
ExtremeManagement XMC (formerly NetSight)ExtremeManagement XMC (formerly NetSight)
ExtremeManagement XMC (formerly NetSight)
 
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf... Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
Обзор решений по управлению и мониторингу сетей предприятий. Cisco Prime Inf...
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
 
Функциональность современных беспроводных сетей Cisco
Функциональность современных беспроводных сетей CiscoФункциональность современных беспроводных сетей Cisco
Функциональность современных беспроводных сетей Cisco
 
Сеть как сенсор и средство контроля
Сеть как сенсор и средство контроляСеть как сенсор и средство контроля
Сеть как сенсор и средство контроля
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Управление доступом к внутренним ресурсам для внешних и внутренних пользователей

  • 1. Управление доступом к внутренним ресурсам для внешних и внутренних пользователей Владимир Илибман Менеджер по продуктам безопасности CISSP, CCSP 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
  • 2. О чем пойдет речь Потребность в управлении доступом Архитектура безопасного доступа Контролируем доступ в сеть для ПК Сетевые устройства Управляем гостевым доступом Управляем мобильными устройствами Метки безопасности 2
  • 3. Эволюция доступа Эпоха сетей без границ Кампусная сеть ЦОД. Внутренние ресурсы Филиал Интернет Сотрудники (Продавцы) Сотрудники (Продавцы) VPN Сотрудники (Финансы) КонтрактникиГостиIP камера Телеработа VPN VPN Мобильные сотрудники Сотрудники с WiFI- устройствами Системы безопасности Принтеры (Бухгалтерия) POS- терминалы
  • 4. Что такое управление доступом ? Кто вы? 802.1X (или другие методы) аутентифицируют пользователя 1 Защита от посторонних Куда можно ходить? Основываясь на аутентификации пользователь помещается в VLAN 2 Разграничение внутреннего доступа Какой тип сервиса получаете? Пользователь получает персональные сервисы (ACL и т.д.) 3 Привязка к IT- сервисам Что вы делаете? Идентификация пользователя и локация используется для логирования и трекинга 4 Видимость происходящего
  • 5. Архитектура безопасного доступа Cisco TrustSec Коммутаторы Межсетевые экраны Identity Services Engine (ISE) AnyConnect или встроенный в ОС клиент 802.1x Клиенты Применение политик доступа Идентификация и управление политиками доступа WiFI Маршрутизаторы ISE – ключевой управляющий элемент архитектуры Веб-браузер Мобильные устройства IP-устройства
  • 6. Как работает управление доступом ? Identity Services Engine Сетевая инфраструктураКлиенты 5. Передача политики доступа по протоколу Radius (ACL,VLAN, SGT) 2. Передача идентификационных атрибутов по протоколам: Radius, 802.1x, MAC, Web… 1. Подключение в сеть 4. Авторизация 3. Идентификация/ Аутентификация В теории все просто 6. Учет доступа
  • 7. На практике существует множество сценариев 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 7 • Как эволюционируют требования к управлению доступом в сеть и архитектура безопасности • Какие сценарии управления доступом могут возникать в типичной организации На примере одной организации рассмотрим:
  • 8. Обобщенный образ : Гудвей-X  Банк,  Ритейлер,  Промышленный холдинг,  Агрохолдинг,  Страховая компания,  Оператор связи. Айк – IT-менеджер отвечает за работу сети Зак – Менеджер по информационной безопасности Компания Гудвей-X -
  • 9. В компании Гудвей-X назрела проблема  Внешний аудит показал, что в компании не существует контролей для ограничения доступа в сеть изнутри.  Зак взялся разработать Политику доступа в сеть и поручил Айку внедрить контроли. Бизнес-кейс Решение: Система контроля доступа 802.1X Описание задач для Айка: 1. Необходимо проводить учет подключений в сеть 2. Компания хочет быть уверена, что сотрудники получают доступ в сеть только с авторизированных устройств.
  • 10. Нет видимости (пока) Жесткий контроль доступа Весь трафик кроме служебного 802.1x блокируется ! One Physical Port ->Two Virtual ports Uncontrolled port (EAPoL only) Controlled port (everything else) До аутентификации ? USER ? Закрытый режим 802.1X
  • 11. Пользователь/Устройство известны Доступ только для MAC-адреса устройства прошедшего аутентификацию После аутентификации Выглядит также как и без 802.1X Пользователь: Маша “Клиент для 802.1x есть в Windows XP/7 и у меня завалялся Cisco ACS. Задача решена!” подумал Айк. Authenticated Machine: XP-Mary-45 Закрытый режим 802.1X
  • 12. Что случилось дальше ? @ Гудвей-X, ДО появления 802.1x… Я не могу соединиться с сетью. Она говорит “Аутентификация не пройдена” и я не знаю что делать, через два часа у меня презентация… Я протестировал дома конфигурацию, все выглядит отлично. Завтра я включаю 802.1x … Включает 802.1X Звонки в поддержку увеличились на 200% Айк
  • 13. Чего не хватало Айку? Некорректно внедренный 802.1x – это система управления предотвращения доступа  Необходим режим мониторинга  Должен существовать метод анализа удачных и неудачных соединений  Управление доступом лучше внедрять поэтапно Внедрение 802.1x лучше начинать с:  Monitoring Mode (Режим мониторинга 802.1x ) И продолжать в режиме  Low Enforcement Mode (Режим малого воздействия 802.1x) Какие уроки мы извлекли?
  • 14. Режим мониторинга Процесс, не просто режим. SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Permit All SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Permit All Traffic always allowed Pre-AuthC Post-AuthC • Активирует 802.1X Аутентификацию на коммутаторе • Но: Даже при ошибке аутентификации разрешает доступ • Позволяет администратору мониторить неудачные аутентификации и исправлять, не создавая отказ в обслуживании  • Режим мониторинга позволяет идентифицировать пользователей/устройства - Задача №1 для Гудвей-X
  • 15. Режим малого воздейтствия Если аутентификация верна – Особый доступ! • До аутентификации обеспечивается доступ к базовым сетевым сервисам (AD, DNS, Интернет, внутренний портал) • После успешной аутентификации предоставляется особый доступ, который привязывается к роли сотрудника • Назначается ролевое правило доступа (ACL) • Назначается метка безопасности SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL SWITCHPORT KRB5 HTTP TFTPDHCP EAPoL Role-Based ACL Permit Some Pre-AuthC Post-AuthC SGT
  • 16. Отсутствие отчетности со стороны сапликанта  Когда все в порядке – пользователь не в курсе.  Но когда все перестает работать… — Пользователь видит “Authentication Failed” сообщение и всё. — Отсутствие видимости. Только звонок в службу поддержки Решение: Сторонние сапликанты  Cisco’s AnyConnect Supplicant — Предоставляет утилиту для отчетов (DART) — Детализированные журналы с клиентской стороны 16 Чего не хватало Айку? Какие уроки мы извлекли?
  • 17. Чего не хватало Айку? Отсутствие видимости на Radius сервере - ACS 4.x Какие уроки мы извлекли?
  • 18. Чего не хватало Айку? Решение: Identity Services Engine (ISE) Какие уроки мы извлекли 18
  • 19. Чего не хватало Айку? - Детализация удачных и неудачных попыток доступа в Cisco ISE 19
  • 20. Чего не хватало Айку? Детальный вид активных сессий и наложенных политик в Cisco ISE
  • 21. Чего не хватало Айку? Неаутентифицируемые устройства  Вот о каких устройствах мы забыли  У них нет поддержки 802.1x — Либо он на них не настроен — Принтеры, IP Телефоны, Камеры, СКУД  Как же с этим быть? Решение? Не использовать 802.1х на портах с принтерами Решение: MAC Authentication Bypass (MAB) Какие уроки мы извлекли? -------------------------------------------------------------------------------------- -
  • 22. MAC Authentication Bypass (MAB) Список MAC адресов, которым разрешено “пропускать” аутентификацию Это замена Dot1X?  Ни за что! Это скорее всего “Исключения из правил”  В идеале: Все устройства аутентифицированы. Список может быть локальным (на коммутаторах) или централизованным на Radius-сервере ( Cisco ISE) Можете подумать о преимуществах централизованной модели? Что же это?
  • 23. Айк: -“Таких устройств очень много. И они обновляются” Зак: -“А что если MAC-адрес принтера подставит злоумышленник на свой ноутбук ?” Требуется автоматизировать построение списка устройств! Эволюция бизнес-кейса
  • 24. Решение есть - Профилирование PCs Non-PCs UPS Phone Printer AP Идентификация типа устройств и добавление их в список MAB. Пример: Printer = Bypass Authentication Построение политики авторизации на основе типа устройства Пример: Принтер= VLAN для принтеров Видимость: Видимость того, что включено в Вашу сеть.
  • 25. Технология профилирования Профилирование на ISE использует анализ поведения и сигнатуры Запросы, используемые для сбора данных Как мы классифицируем устройство? 25 RADIUS DHCP DNS HTTP SNMP Query NetFlow DHCPSPANSNMP Trap NMAP
  • 26. Детектирование и классификация устройств 26 ISE Policy Server VPN Cisco Prime ISE пассивно и активно собирает данные служебных протоколов об устройствах CDP/LLDP/DHCP/mDNS/MSI/H323/RADIUS HTTP/DHCP/RADIUS SNMP DNS NMAP/SNMP NMAP DHCP/NetFlow
  • 27. Примеры профилей • Политики профиля используют условия для определения устройства. • Политики основаны на принципе наилучшего совпадения Is the MAC Address from Apple DHCP:host- name CONTAINS iPad IP:User-Agent CONTAINS iPad Profile Library Назначить MAC Address к группе “iPad” Я вполне уверен что устройство iPAD
  • 28. Сенсор устройств Распределенный сбор данных с централизованным анализом 28 • Профилирование, основанное на CDP/LLDP, DHCP, HTTP (WLC только), или mDNS (4k только) • Автоматическое обнаружение популярных устройств (Printers, Cisco devices, phones) • Не зависит от топологии Поддержка сенсоров • 3560/3750 (excludes LAN Base) • 3560C/CG (excludes LAN Base) • 4500 (excludes LAN Base) • 2960-XR • 2960-X (in roadmap) • Wireless Controllers (DHCP, HTTP) Check Release Notes! Распределенный сенсор ISE CDP/LLDP/DHCP DHCP DHCPCDP/LLDP/DHCP CDP/LLDP/DHCP Уникальность сети
  • 29. ISE 1.2 Сервис обновление профилей Feed Service Пополняем библиотеку профилей из разных источников: • Cisco • Вендора • Партнёры
  • 30. Нужно понять насколько устройства соответствуют политике безопасности Эволюция бизнес-кейса Мы имеем идентификацию и профилирование устройства… Можно ли получить еще информации о состоянии ?
  • 31. Бизнес кейс продолжает эволюцию Требования: 1. Сотрудники Гудвей-X должны использовать корпоративные рабочие станции. 2. Все корпоративные станции должны иметь обновленный и работающий Trend Micro Anti-Virus. 3. Все контрактники должны иметь установленный любой антивирус.  Решение: Давайте выясним
  • 32. Оценка состояния Состояние (Posture) = статус соответствия политике безопасности компании.  Пропатчена ли Windows ОС до необходимого уровня?  Установлен ли Антивирус? А базы обновлены?  Анти шпионское ПО установлено? Обновлены ли его базы? Теперь мы можем расширить Идентификацию пользователя включив его статус (Posture). Удовлетворяет ли станция политике безопасности? *выход Q2 CY14 Posture AnyConnect 3.2* Агенты для проверки статуса: АплетыNAC Agent
  • 33. • Microsoft Updates • Service Packs • Hotfixes • OS/Версия браузера ISE – Проверка состояния • Antivirus Установка / Сигнатуры • Antispyware Установка / Сигнатуры • Файловые данные Files • Сервисы • Приложения/ Процессы • Ключи реестра
  • 34. Проверка состояния Исправление (Remediation)  Действие по исправлению недостающих или просроченных компонент состояния.  Может вызывать действия: — Системы корпоративного патчинга системы (ex: BigFix, Altiris…) — Windows Software Update Service (WSUS) — Anti-Virus product Update Services (LiveUpdate.exe, etc.) А что если пользователь не пройдет проверку? Карантин • Помещение в отдельную подсеть с ограниченными правами (например, только выход в Интернет)
  • 35. RADIUS Change of Authorization (CoA) Quarantine VLAN CORP VLAN 1 Клиент провалил проверку состояния и был помещен в карантинный VLAN 2 Клиент исправляет недочеты и отчитывается как: Posture=Compliant 3 ISE использует RADIUS CoA для реаутентификации 4 Клиент реаутентифицирован и помещен в CORP VLAN Динамический контроль сессии с сервера политик  Реаутентификация сессии  Завершение сессии  Завершение сессии со сбросом порта  Отключение хостового порта  Запрос к сессии  на активные сервисы  на полноту идентификации  специфичные запросы  Активация сервиса  Деактивация сервиса  Запрос к сессии
  • 36. Эволюция бизнес-кейса Зак: “Гости подключаются в WiFi под одним паролем. Это небезопасно” Айк: “Для каждого контрактника в ручную выделяется порт на коммутаторе” Нужно упорядочить и автоматизировать процесс гостевого подключения!
  • 37. Wireless APs LAN Internet Требования гостевых пользователей WLC Айк хочет унифицировать подключения гостей и контрактников в сеть И при этом, чтобы все было безопасно !
  • 38. Предоставление: Гостевые аккаунты по средствам спонсорского портала Уведомление: Аккаунты отсылаются через печать, email, или SMS Управление: Привилегии спонсора, гостевые аккаунты и политики, гостевой портал Отчетность: По всем аспектам гостевых учетных записей Guests Cisco ISE Компоненты полного жизненного цикла гостя Аутентификация/Авторизация Посредством веб-портала ISE
  • 39. ISE – Спонсорский портал Настраиваемые поля • Обязательные и опциональные • Можно создавать собственные атрибутов Гостевые роли и профили времени • Предопределены администратором Айк делегировал доступ к порталу спонсорам секретарю
  • 40. Разные гостевые роли Когда требуются разные пользовательские роли Гость • Только интернет доступ • Ограниченное время: Половина дня / один день Контрактник • Доступ в интернет • Доступ к выделенным ресурсам • Длительное время соединения: неделя / месяц  Можно использовать разные порталы (даже с разной локализацией)  И создавать отдельно группы Гости/Контрактники с разными правами
  • 41. ISE Template Builder Инструмент для создания кастомизированных порталов ISE 1.2
  • 42. Полный аудит сетевой активности гостей 42 ISE Policy Server VPN Журналирование на межсетевом экране активности и отправка информации на ISE для корреляции. Guest IP accessed http://www.google.com Guest IP accessed http://facebook.com Guest IP triggered network AV alert Guest IP triggered Infected endpoint event Guest IP …
  • 43. Эволюция бизнес кейса: B.Y.O.D. “Наш генеральный поехал на саммит и выиграл iPad. Он требует, чтобы мы разрешили ему доступ в сеть, потому как это устройство помогает ему в работе”
  • 44. Требования к BYOD Зак (Безопасность) •Как ограничить, кто из сотрудников имеет право на BYOD ? •Как защититься в случае потери или увольнения Как избежать утечки ? Айк (IT): •Как поддерживать увеличившиеся кол-во устройств ? •Кто будет настраивать ? •Кто будет согласовывать с безопасностью ? Бизнес: • Подключите мой планшет и дайте доступ к Facebook бизнес-приложениям
  • 45. Что предлагает ISE для управления персональными устройствами Автоматическая настройка множества типов устройств: ̶ iOS (post 4.x) ̶ MAC OSX (10.6, 10.7) ̶ Android (2.2 and later) ̶ Windows (XP, Vista, Win7K, Win8) Безопасность на основе cертификата привязанного к Employee-ID & Device-ID Поддержка всех типов подключений Занесение устройств в “черный” при хищении, увольнении Самообслуживание персональных устройств для авторизированных сотрудников
  • 46. Можно управлять “Моими устройствами”
  • 47. Для администраторов безопасности и IT Гибкие настройки - кому и и какие устройства можно подключать UserOS Supplicant
  • 48. Эволюция бизнес кейса: Mobile Device Management Можем ли мы частично управлять устройствами сотрудников? Например обновить удаленно Джаббер Айк Можем ли мы проверить наличие пароля перед тем как включить планшет в сеть ? Зак
  • 49. Распространение корпоративного ПО Инвентаризация Управление (Backup, Remote Wipe, etc.) Контроль использования сетевых ресурсовКлассификация/ Профилирование Регистрация Безопасный сетевой доступ (Wireless, Wired, VPN) Управление сетевым доступом на основе контекста Настройка профилей безопасности устройства User <-> Device Ownership Соответствие политике (Jailbreak, Pin Lock, etc.) Шифрование данных СЕТЕВАЯ БЕЗОПАСНОСТЬ (ISE) УПРАВЛЕНИЕ УСТРОЙСТВОМ (MDM) Позиционирование ISE и MDM Пользователи и IT совместно управляют устройством и доступом Пользователь управляет устройством IT управляет доступом в сеть Управление затратами
  • 50. ISE 1.2 поддерживает интеграцию c MDM ISEMDM Manager Регистрация устройств при включении в сеть – незарегистрированные клиенты направляются на страницу регистрации MDM Ограничение доступа - не-соответствующие клиенты будут иметь ограниченный доступ в сеть, исходя из информации полученной от систем MDM Инициация действий через интерфейс ISE – например устройство украдено-> очистить данные на устройстве Сбор дополнительной информации про устройство дополняет функции классификации и профилирования ISE Экопартнеры http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11640/at_a_glance_c45-726284.pdf
  • 51. MDM проверка соответствия Соответствие на основании:  General Compliant or ! Compliant status — OR  Вкл. Шифрование диска  Парольная защита вкл.  Jailbreak устройства MDM атрибуты доступны для условий политик Проверка устройств по базе MDM происходит через определенные промежутки времени.  Если со временем устройство перестоит быть соответствующим политике, ISE завершает сессию устройства. MDM –источник информации для ISE Micro level Macro level
  • 52. Инициация действий через MDM 52 Администратор / пользователь может инициировать удаленные действия на устройстве через MDM сервер (пример: удаленно стереть устройство)  Портал мои устройств  ISE Каталог устройств • Edit • Reinstate • Lost? • Delete • Full Wipe • Corporate Wipe • PIN Lock Options
  • 53. Добавим мощи в Dot1X Айк: -“При изменение IP-серверов нужно менять ACL” Зак: -“Для создания моей политики моей мечты нужно 800 000 строчек ACL ?” Какие технологии есть ? VLAN, ACL или …. Механизмы авторизации
  • 54. Сложности внедрения авторизации При использовании политик по VLAN, IP-адресам 54 • Могу ли я создавать и управлять новыми VLAN либо адресным IP пространством? • Что мне делать с DHCP при смене VLAN у пользователя? • Как управлять ACL на VLAN интерфейсе? • Кто будет управлять ACL? • А что если destination адреса изменятся? • Хватит ли у коммутатора памяти для обработки всех правил?  Традиционные средства авторизации оставляют вопросы к размышлению:  Не так гибок к изменениям, требуемых бизнесом  Проекты контроля доступа заканчиваются редизайном всей сети 802.1X/MAB/Web Auth ACL Download VLAN Assignment
  • 55. Secure Group Access Понятие включает и описывает термины:  Secure Group TAG (SGT’s)  Secure Group ACL’s (SGACL’s)  Когда пользователь заходит в сеть ему назначается метка (TAG) (SGT), которая обозначает его роль  Эта метка переносится по всей сети Сетевые устройства и устройства безопасности применяют SGACL’s основываясь на матрице доступа: Контроль доступа - независимый от топологии и IP-адресации SGT Public Private Staff Permit Permit Guest Permit Deny
  • 56. Контроль доступа на основе группы безопасности SGA позволяет пользователям:  Сохранить исходный логический дизайн на уровне доступа и исходую IP- адресацию  Изменять / применять политики в соответствии с требованиями сегодняшнего дня  Устанавливать политику централизованно на сервере управления Egress Enforcement SGACL SGT=100 I am an employee My group is HR HR SGT = 100 HR (SGT=100) Ingress Enforcement Finance (SGT=4) 802.1X/MAB/Web Auth 56
  • 57. DC Access WLC FW Inline SGT Tagging CMD Field ASIC ASIC Optionally Encrypted SXP SRC: 10.1.100.98 IP Address SGT SRC 10.1.100.98 50 Local Hypervisor SW SXP IP-SGT Binding Table ASIC L2 Ethernet Frame SRC: 10.1.100.98 (No CMD)  Теггирование Ethernet-фреймов (data plane): Если устройства поддерживают SGT в железе  SXP (control plane): Обмен информации о метках между cетевыми устройствами в отдельном протоколе IP Address SGT 10.1.100.98 50 Campus Access Distribution Core DC Core EOR SXP Enterprise Backbone Распространение меток по сети 57
  • 58. Распространение меток и политик безопасности HR Server #1 10.1.200.50 Finance Server #1 10.1.200.100 VSG ASA 10.1.200.254 10.1.204.254 6506 Finance Finance Finance HR ✓ 10.1.204.126 Nexus 7000 Agg VDC ISE SXP IP Address 10.1.204.126 = SGT 5 EAPOL (dot1x) RADIUS (Access Request) RADIUS (Access Accept, SGT = 5) SG ACL Matrix IP Address to SGT Mapping Nexus 7000 Core VDC
  • 59. SGACL политика ISE для свичей 59
  • 60. Контроль доступа на основе группы безопасности для фаерволов ( Cisco ASA) 60 Source Tags Destination Tags
  • 61. Сценарий 1: Управление доступом пользователей в ЦОД Users/ Devices Switch Router DC FW DC Switch Development Servers Enforcement SGT Propagation Production Servers ISE Directory Classification Employee (Managed asset) Employee (Registered BYOD) Production Servers Internet Access Source Protected Assets PERMIT PERMIT DENY DENY DENY DENY DENY PERMIT PERMIT PERMIT PERMIT PERMIT Logical View Policy View Employee (Unknown BYOD) Development Servers ENG VDI System
  • 62. Сценарий 2: Сегментация кампусной и филиальной сети Switch Router DC FW DC Switch Development Servers Enforcement Production Servers ISE DirectoryClassification LoB1 Production Users LoB1 Developers Protected Assets Guests Internet Access LoB1 Production Users Malware Blocking DENY PERMITDENY PERMIT Collab Apps LoB1 Developers Source PERMIT Collab Apps DENY PERMITDENY Malware Blocking DENY DENY DENY PERMIT Malware Blocking DENY PERMITDENYDENYDENY LoB = Line of Business Policy View Logical View Malware Blocking ACL Deny tcp dst eq 445 log Deny tcp dst range 137 139 log Permit all LoB2 Employees LoB2 Employees Guest
  • 63. Сценарий 3: Сегментация центра обработки данных Users/ Devices Switch Router DC FW DC Switch Development Servers Enforcement SGT Propagation HR Database ISE Classificatio n Production Servers Production Servers HR Database Protected Assets PERMIT DENY Storage PERMITDENY Development Servers Source DENY DENY PERMITPERMIT DENY PERMIT PERMITDENY PERMIT PERMIT PERMITPERMIT Logical View Policy View Development Servers HR Database Storage
  • 64. Эволюция бизнес кейса: Как еще я могу использовать ISE ? Можно ли использовать информацию от ISE в системе SIEM, которую мы внедряем ? Айк
  • 65. © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65 Экосистема Cisco ISE и SIEM/ CTD • Обогащаем SIEM/ Lancope информацией о пользователях и устройствах • Обеспечиваем единое окно для реагирования • Открытый интерфейс для интеграции (PxGrid в ISE 1.3) Сеть производит карантин для пользователей и устройств SIEM ПРИМЕНЯЕТ ДЕЙСТВИЕ Пользователь, тип устройства, состояние, авторизация, местоположение ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ Преимущества ISE 1.2
  • 66. Platform eXchange Grid (pxGrid) Обмен контекстом безопасности между устройствами 67 p
  • 67. Эволюция бизнес кейса: Модели и дизайны для внедрения ISE
  • 68. Устройства ISE Cisco Secure Network Servers На основе Cisco UCS® C220 Server Виртуальное устройство для Vmware 5.x SNS-3415-K9 and SNS-3495-K9 New ISE 1.2
  • 69. Узлы и роли ISE Роли – одна или несколько: • Администрирование (Admin) • Мониторинг (MnT) • Сервис политик (PSN) Единый ISE узел (устройство или VM) ИЛИ ISE Inline Posture ISE Policy ServiceMonitoring Admin Отдельный узел в режиме Inline для оценки состояния (только устройство)
  • 70. Архитектура ISE Устройства Ресурсы Применение политики Админ Внешние данные Сервис политикПросмотр/ Настройка Политик Запрос атрибутов Запрос на доступ Доступ к ресурсам Журналирование Запрос/ ответ контекста доступа Мониторинг Просмотр журналов/ отчетов Журналирование Журналирование End-Point Сетевые устройства
  • 71. Campus A Branch A Branch B APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X Admin (P) MnT (P) PSN HA Inline Posture Nodes • Все сервисы запущены на обеих нодах • Одна нода основной админ резервный M&T • Вторая нода основная мониторинг, вторичный админ • Максимум устройств зависит от платформы: • 33x5 = Max 2k endpoints • 3415 = Max 5k endpoints • 3495 = Max 10k endpoints AD/LDAP (External ID/ Attribute Store) Базовая централизованное внедрение ISE Максимальное количество end-point до 10,000 72 IPN IPN Admin (S) MnT (S) PSN PSN
  • 72. Data Center A DC B Branch A Branch B AP APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X WLC 802.1X Switch 802.1X Admin (P) MnT (P) Policy Services Cluster HA Inline Posture Nodes • Выделенные ноды управления • Pri. Admin / Sec MNT • Pri MNT / Sec Admin • Выделенные сервера политик • До 5 PSNs • Не более 10000 устройств поддерживается • 3355/3415 as Admin/MnT = Max 5k endpts • 3395/3495 as Admin/MnT = Max 10k endpts Distributed Policy Services AD/LDAP (External ID/ Attribute Store) AD/LDAP (External ID/ Attribute Store) Базовое распределенное внедрение Максимум end-point= 10,000 / Максимум 5 ISE PSNs 73 PSN PSN PSNPSN IPN IPN Admin (S) MnT (S)
  • 73. Data Center A DC B Branch A Branch B AP APAP WLC 802.1X AP Non-CoA ASA VPN Switch 802.1X Switch 802.1X Switch 802.1X WLC 802.1X Switch 802.1X Admin (P) Admin (S) Monitor (P) Monitor (S) Policy Services Cluster HA Inline Posture Nodes • Выделенные узлы управления • Pri. Admin • Sec. Admin • Pri MNT • Sec Admin • Выделенные сервера политик • До 40 PSNs • Up to 100k endpoints using 3395 Admin and MnT • Up to 250k endpoints using 3495 Admin and MnT Distributed Policy Services AD/LDAP (External ID/ Attribute Store) AD/LDAP (External ID/ Attribute Store) Полностью распределенное внедрение Максимум end-point= 250,000 / Максимум 40 ISE PSNs 74 MnTPAN PAN MnT PSN PSN PSN PSN PSNPSN IPN IPN PSN
  • 74. Поэтапная стратегия внедрения ISE • Сфера внедрения: Лаба > Пилот > Промышленное внедрение • Режимы внедрения : Monitor > Authentication > Enforcement • Сервис: Гостевой доступ > Профилирование> Базовая аутентификация> Оценка состояния> etc. Вовлекайте всех заинтересованных лиц с первого дня проекта Visibility ISE Installation NAD Configuration Profiling Monitor Classification Agentless MAB/Profiling Unmanaged WebAuth Managed 802.1X Posture Desktop OSs Enforcement Assessment Segmentation Production Availability Performance Operations
  • 75. Архитектура управления доступом TrustSec www.cisco.com/go/trustsec SXP Nexus® 7K, 5K and 2K Switch Data Center Cisco® Catalyst® Switch Cisco ISE WiFI пользователь Кампусная сеть Проводной пользователь Cat 6K Применение политик MACsec Profiler Posture Guest Services RADIUS Применение политик Применение политик Cisco® Wireless Controller Site-to-Site VPN user WAN ISR G2 с встроенным коммутатором ASR1K SXP AnyConnect Named ACLs dVLAN dACLs / Named ACLs dVLAN SGACLs Текущая версия TrustSec 4.0 !!
  • 76. TrustSec Design bHow-To Guides Secure Access Blueprints http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html 77
  • 77. Подведем итоги 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 80
  • 78. Что же такое Identity Services Engine? ISE это больше чем просто RADIUS ISE
  • 79. Что же такое Identity Services Engine? ISE это больше - чем просто RADIUS ISE
  • 80. Building an Identity-Based Network Architecture Ad-Hoc Couplings Versus Systems Approach 83 VS
  • 81. Вопросы? Канал Cisco Russia & CIS на Youtube http://www.youtube.com/playlist?list=PL59B700EF3A2A945E Канал TrustSec на Cisco.com www.cisco.com/go/trustsec
  • 82. 02.04.2014 © 2013 Cisco and/or its affiliates. All rights reserved. Спасибо Contacts: Name Phone +380 E-mail voilibma@cisco.com