Secure Mobile Office

1/38 © Cisco, 2010. Все права защищены.

Можно ли мобильный офис сделать защищенным?

Алексей Лукацкий, менеджер по развитию бизнеса

© Cisco, 2010. Все права защищены. 2/38

Смена ожиданий бизнеса


Периметр

Филиал

Приложения и

данные

Офис

Политика

Хакеры Заказчики Партнеры


Периметр

Филиал


данные

Офис

Политика

Хакеры Заказчики

Дом

Кафе

Аэропорт

Мобильный

пользователь Партнеры


Периметр

Филиал


данные

Офис

Политика

Хакеры

Дом

Кафе Заказчики

Аэропорт

Мобильный


Platform

as a Service

Infrastructure

as a Service X

as a Service Software

as a Service


66% 45% 59% 45% 57%

Согласятся на

снижение

компенсации

(10%), если

смогут работать

из любой точки

мира

Готовы

поработать на

2-3 часа в день

больше, если

смогут сделать

это удаленно

Хотят

использовать

на работе

личные

устройства

ИТ-

специалистов

не готовы

обеспечить

бóльшую

мобильность

сотрудников

ИТ-специалистов

утверждают, что

основной задачей

при повышении

мобильности

сотрудников

является

обеспечение

безопасности


• Достичь большего при тех же ресурсах и с теми же активами

• Сокращение штатов, ограничение бюджетов и давление со стороны конкурентов заставляет предприятия

Увеличивать продуктивность

Увеличивать взаимодействие

Снижать затраты

И еще… поддерживать лояльность сотрудников, удовлетворенность работой и психологический климат

• Глобализация экономики требует работать не только в режиме 8х5, но и в нерабочие часы


• В ДОРОГЕ (отели, аэропорты, бизнес-центры)

280 миллионов бизнес-поездок в год

Спад производительности >60–65%

• ДОМА (teleworking)

137 миллионов надомных работников в 2003г.

40% надомных работников в США из крупных компаний и среднего бизнеса

• НА РАБОТЕ (филиалы, отделения, партнеры)

E-business требует быстрых сетей

Филиал должен быть там где люди

Источник: Gartner, Cahners Instat,

Wharton Center for Applied Research


Источник: Gartner Group

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2000 2005 2010

% работы, зависящей от

группового вклада

Работа в одиночку

В одно время в одном месте

В одно время в разных местах

В разное время в разных местах

Сотрудничество – драйвер роста

Взаимодействие с другими, но не лицом к лицу

Рост продуктивности невозможен без поддержки этой тенденции


Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям

Аэропорт

WAN/Internet

SiSi

SiSi

Отель

Предприятие

Дорога

Кафе

Главный

офис HQ

Филиал Дом

• Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)

• Сотрудник в среднем тратит только 30–40% времени в офисе

100 сотрудников



Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.

1 час потери продуктивности $1,200 $6,000 $12,000

Потери в год от 1 часа в неделю $62,5K $312,5К $625К


Любой пользователь С любого устройства

В любое время Отовсюду

Сеть без

границ

iPhone, Смартфон,

IP-телефон,

Лэптоп

Сотрудники,

Партнеры,

Заказчики,

Сообщества

На работе, дома,

в кафе, в аэропорту

на ходу…

Всегда на связи,

Мгновенный доступ,

Мгновенная реакция


• Пользователи (особенно руководство) хотят получать доступ к корпоративным ресурсам даже с мобильных устройств

• Пользователи хотят выбирать мобильные устройства самостоятельно

• Спектр выбираемых устройств очень широк

ОС: iPhone, Windows Mobile, Symbian, BlackBerry, WebOS

Платформа: iPhone, Nokia, HTC, LG, Samsung, BlackBerry, Palm

• Платформы закрытые и функциональных средств защиты для мобильных устройств практически нет


Традиционные средства защиты

ориентированы на «мощные» платформы

Для многих мобильных платформ средств

защиты просто нет (Android, BlackBerry, iPhone

и т.д.)

Тенденция применения собственных

мобильных устройств

Несогласованные политики доступа

к проводному и беспроводному

сегментам сети


Cisco

3rd Parties • Device lock

• Device wipe

• Pin

enforcement

• Device audit

• Разрешенное

использование

• Контроль

доступа

• Защита от

вредоносного

кода

• Контроль

утечек

• Аутентификация

• Защищенное

соединение

• VPN-туннели

• Виртуальный

сейф

• Анализ

защищенности

• NAC


IPSec VPN SSL VPN

• Широко распространенная, отработанная технология

• Хорошо подходит для расширенного доступа сотрудников с корпоративнымы компьютерами

• Расширяет защищенный доступ для «не-сотрудников», например, контрактников и временных служащих

• Облегченный доступ для партнеров

• Обеспечивает доступ “отовсюду”, включая недоверенные и неуправляемые ПК (Интернет-кафе)

• Снижает операционные затраты, связанные с клиентским ПО

Cisco Confidential 17 © 2010 Cisco and/or its affiliates. All rights reserved.

Поддержка доступа с клиентом и без клиента

Доступ с клиентом Доступ к сети без клиента

Web-доступ к файлам

Туннели SmartTunnels

Автоматическая загрузка и обновление

Доступ к любому приложению или ресурсу

Поддержка мобильных устройств

Качественная передача речи (DTLS)

Web-доступ к файлам

Поддержка FTP и CIFS

Интерфейс браузера и web-папок

Туннели SmartTunnels

Перенаправление портов на уровне приложений

Поддержка большинства приложений, использующих Winsock версии 2

Доступ к сложному web-контенту

Поддержка Win2K, XP, Vista, Mac OS X


• Cisco Secure Desktop (CSD) поддерживает сотни предустановленных приложений

Антивирусы, anti-spyware, персональные МСЭ и др.

• 4 основных функции

Host Scan (Windows)

Advanced Endpoint Assessment

Secure Vault (Windows 2K/XP)

Cache Cleaner (Windows, Mac OS X и Linux)


• Поддерживаемые проверки

Проверки реестра

Проверки файлов

Проверки сертификатов

Проверка версии Windows

Проверка IP-адресов

• Визуализация облегчает конфигурирование и снижает число ошибок


Доступ к отдельным ресурсам

Новый дизайн портала

Локализация

RSS

Персональные закладки

Доступ с AnyConnect Client

Доступ к файлам (FTP/CIFS)

Поддержка Flash

Поддержка удаленного управления через telnet, SSH, RDP и VNC

Перенаправление запросов на доступ к Windows-приложениям (Smart Tunnel)


• Обеспечивается доступ к web- и традиционным приложениям через браузер

• Технология Smart Tunnel обеспечивает доступ TCP приложениям

Не требуется полномочий администратора на ПК


Поддержка Citrix требует специального SSL-клиента или Java-апплета или иного резидентного ПО

Медленная инициация приложения

Может не работать из-за настроек безопасности браузера

Потенциальные конфликты ПО, особенно на неуправляемых узлах

Типичная поддержка

Citrix SSL VPN

Citrix Server Microsoft Office

Mainframe Access

Port Forwarding

загрузка апплета

Полная поддержка Citrix без специального клиента

Быстрое время инициализации – ничего не надо загружать

Высокая производительность – нет локального приложения-транслятора

Не зависит от настроек безопасности и браузера

Высокая стабильность – нет потенциальных конфликтов с ПО

Поддержка

Cisco Citrix

Медленная загрузка,

конфликт с ПО, браузер

блокирует апплет

Полная

поддержка

Citrix

Citrix Server Microsoft Office

Mainframe Access


Настраиваемый

баннер

Настраиваемые

цвета и разделы

портала


ссылки, доступные

сетевые ресурсы


методы доступа


сообщения

RSS-каналы


Основное назначение – защититься от перехватчиков ввода с клавиатуры

Может быть использована на любой странице, где требуется ввести пароль


Защита невзирая на место подключения к Интернет

News Email

Social Networking Enterprise SaaS

Отражение угроз

Предотвращение утечек

Допустимое использование

Security Enforcement Array

Контроль доступа

Оптимальный выбор между облаком и

предприятием

Прозрачно для пользователя

Зависит от местоположения пользователя

http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off


Выбор реализации: облако или на предприятии

News Email

Social Networking Enterprise SaaS

Cisco Web Security Appliance

Обмен информацией между ASA и WSA

Corporate AD

ASA AnyConnect

Как угодно+ (Переход к AnyConnect)

Факт: Мобильные пользователи только 17% времени в Интернет проводят в

VPN. Как контролировать 83% оставшегося времени?

http://images.google.com/imgres?imgurl=http://www.ehs.washington.edu/images/BIOSGN2.jpg&imgrefurl=http://www.ehs.washington.edu/Manuals/BSManual/AppendixA.pdf&h=1028&w=850&sz=124&tbnid=HeNi2BPYUAgJ:&tbnh=149&tbnw=124&start=14&prev=/images?q=biohazard&hl=en&lr=&safe=off


Опция 1 – при помощи имеющейся инфраструктуры заказчика

С изменениями настроек браузера:

• Настройки Proxy загружаются на компьютеры

из AD (GPO / PAC file) или по DHCP

• МСЭ блокирует исходящий HTTP трафик на

все адреса кроме ScanSafe

Без изменения настроек браузера:

• Имеющееся у заказчика устройство

перенаправляет трафик в облако помощи

функций Cascade Proxy или Port Foreward

Опционально - Passive Identity Management:

• В HTTP-запросы пользователей добавляется

защищенная (хеши) информация об имени

пользователя/группы при помощи Login

скриптов/GPO

• Прозрачно для пользователя

ScanSafe

Websecurity Service

DC


Опция 2 – при помощи Connector

ПО ScanSafe Connector

• Устанавливается и настраивается один раз, в дальнейшем не требует администрирования и обновлений

• Перенаправляет Web трафик в облако

• Отвечает за взаимодействие с AD и предоставляет в облако защищенную информацию о пользователе/группе

• В будущем – функциональность Connector интегрированная в маршрутизаторы и МСЭ Cisco

ScanSafe

Websecurity Service

DC Connector


Опция 3 – клиент Anywhere+ для мобильных пользователей

• Устанавливается как сетевой драйвер, незаметен для пользователя

• Автоматически определяет ближайший к пользователю ЦОД

• Перенаправляет Web трафик пользователя в облако

• Обеспечивает User/Group Granularity

• Защищен от выключения пользователем

Факт: Мобильные пользователи только

17% времени в Интернет проводят в корпоративном VPN. Как контролировать

оставшиеся 83%?


Мобильный доступ

Туннелирование IPsec VPN

Туннелирование DTLS (голос и

видео)

VPN-доступ без установки

клиента

Желательно внедрять унифицированную платформу для всех сценариев

Туннелирование SSL VPN


Мобильный сотрудник + клиент

AnyConnect

Интернет

Cisco ASA

Коммутатор Cisco Catalyst

+ TrustSec

Identity Services Engine

Active Directory

Сеть комплекса

зданий

Коммутатор Cisco Nexus

Switch + TrustSec

Защищенные сетевые ресурсы

ПРОБЛЕМЫ

• Мобильным сотрудникам требуется доступ к сети и «облачным» сервисам

• На множестве пользовательских устройств используются как пользовательские, так и корпоративные профили

• Множество защищенных и незащищенных точек и методов доступа

РЕШЕНИЕ CISCO

• Единственное в отрасли решение на базе унифицированного клиента

• Решение для обеспечения защищенного доступа с учетом контекста: поддерживаются проводные, беспроводные и VPN-подключения

• Средства шифрования обеспечивают конфиденциальность передаваемых данных

(интеграция MACsec)


• Проблема

В 2001 DSL-провайдер Cisco обанкротился. Cisco® IT должно было перевести 9000 удаленных пользователей на новый сервис за один месяц

• Решение

Миграция с модели «SP Managed VPN Service» на «пользовательскую» модель с программным VPN-клиентом

• Результат

Сегодня пользователи могут получить доступ в корпоративную сеть из ЛЮБОГО места, где есть Интернет. Использование доступа утроилось

• Что дальше

Cisco IT расширяет число VPN-шлюзов, ускоряет апгрейд и улучшает качество защиты и сжатия


• С ростом Интернет и широкополосного доступа ИТ начинает проект по организации удаленного широкополосного доступа для сотрудников с рядом операторов связи

• Главная проблема: Множество поставщиков, неполное покрытие

Наша цель - обеспечить лучший сервис для всех сотрудников по разумной цене

• Rhythms NetConnections был выбран для обеспечения защищенного xDSL-доступа для сотрудников в США

Сервис Rhythms DSL был эффективным «частным" DSL сервисов, предлагающим прямое виртуальное соединение с корпоративной сетью Cisco


• Август 2001: Rhythms NetConnections обанкротился; более 9000 сотрудников оказались без доступа, ранее обеспечиваемого с помощью Rhythms DSL service

Задача – обеспечить доступ 9000 сотрудников за один месяц

• Из опыта ИТ знали, что миграция на другой сервис обойдется дороже и потребует в 10 раз больше человеческих ресурсов, чем было в наличии


• Кризис удаленного доступа заставил ИТ задуматься о других вариантах

• Из множества сценариев была выбрана новая модель:

Пользовательская модель на базе программного VPN-клиента

Пользователь сам выбирал способ подключения к сети (GPRS, CDMA, Wi-Fi, DSL и т.д.)

Cisco оплачивает подключение к оператору связу

Cisco IT обеспечивает и поддерживает VPN-соединение через Интернет-шлюз в корпоративную сеть Cisco


• Рост продуктивности

Удаленный доступ означает возможность работать из дома или в дороге. Для многих пользователей это значит увеличение продуктивности на 10-40% в день

• Рост удовлетворенности

Сотрудники находят баланс между работой и семьей, имея возможность подключаться к корпоративной сети в любое время.

В 2001 Cisco® имело 9000 DSL пользователей, а в 2003 их стало уже 23,000.


• Глобализация

Глобальная компания должна предоставлять эффективную возможность работать всем сотрудникам, находящимся в разных часовых поясах, в разных точках земного шара.

• Гибкость

Удаленный доступ обеспечивает гибкость во время кризисов, эпидемий, катастроф и т.д.

• Поддержка

Т.к. большинство сотрудников Cisco используют собственное подключение к оператору связи, мы не тратим усилия на поддержку и разбор проблем, связанных с подключением к Интернет


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

Спасибо

за внимание!

[email protected]

Secure Mobile Office

Self Improvement

Transcript of Secure Mobile Office