Применение NAP для реализации политик здоровья и защиты доступа в гетерогенной среде
TrustSec и Identity Services Engine - надежная поддержка управления...
-
Upload
cisco-russia -
Category
Technology
-
view
200 -
download
0
Transcript of TrustSec и Identity Services Engine - надежная поддержка управления...
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 1 Конфиденциальная информация Cisco © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 1
TrustSec и Identity Services Engine Надежная поддержка управления доступом на основе политик для вашего бизнеса
Алексей Лукацкий
Менеджер по развитию бизнеса
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 2
СЕТЬ MOBILITY MOBILITY
COLLABORATION COLLABORATION
CLOUD
НОВАЯ КАРТИНА УГРОЗ
СНИЖЕНИЕ КОНТРОЛЯ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 3
• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака
Периметр давно уже размыт, а защита концентрируется там и на ПК/серверах
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 4
Что объединяет всех?!
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросов Источники всех данных
Контроль всех потоков
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 5
Интегрированная
архитектура ИБ
Локальный и
глобальный анализ
угроз
Общие политика
&
Управление
Сеть,
реализующая
политику
Одноцелевые и многоцелевые устройства работают хорошо… но в вакууме
Многофункциона-
льное устройство
Анализ угроз
Политика &
Управление
Hardware
Сеть
Одноцелевое
устройство
Network
Security
Content
Security
Ана-
лиз
угроз
Policy
&
Mgmt
HW
Ана-
лиз
угроз
Policy
&
Mgmt
HW
Сеть
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 6
СЕТЬ
Всесторонний обзор и масштабируемый контроль
Безопасность, встроенная в инфраструктуру
Глобальный и локальный анализ угроз
Общие политика и управление
Инф
орм
ац
ия
Реал
иза
ци
я
Behavioral Analysis
Encryption Identity Awareness
Device Visibility Policy Enforcement
Access Control
Threat Defense
Sees All Traffic
Routes All Requests Sources All Data
Controls All Flows
Handles All Devices
Touches All Users Shapes All Streams
Сеть, реализующая политику
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 7
Как управлять доступом к сети? Кто должен иметь доступ и к чему?
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 11
На службы ИТ ложится тяжелое бремя
Проблемы, которые сразу приходят на ум
БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ
• Как обеспечить единообразное качество обслуживания для всех устройств?
• Как реализовать множество политик безопасности для каждого отдельного пользователя и устройства?
• Что поддерживать и как?
• Как управлять риском, возникающим, когда сотрудники приносят свои собственные устройства?
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 12
На службы ИТ ложится тяжелое бремя
Проблемы, которые сразу приходят на ум
• Препятствую ли я своим сотрудникам в реализации конкурентных преимуществ?
• Как удержать наиболее талантливые кадры?
• Как обеспечить соответствие требованиям ФЗ-152, СТО БР и т. д.?
• Как достойным образом обходиться с партнерами, консультантами, гостями?
ПЕРСОНАЛ СТАНОВИТСЯ ДРУГИМ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 13
На службы ИТ ложится тяжелое бремя
Проблемы, которые сразу приходят на ум
• Как узнать, кто осуществляет доступ к моей
инфраструктуре виртуальных настольных систем?
• Как обеспечить защищенный доступ
к моим данным в облаке,
сохраняя масштабируемость?
• Как обеспечить соответствие нормативным
требованиям
без ограничения рамками географических регионов?
ВИРТУАЛИЗАЦИЯ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 14
Чего мы хотим на уровне предприятия с точки зрения ИТ/ИБ?
Соблюдение требований и
опасность несоблюдения
Обеспечить постоянный доступ с предсказуемым качеством. Рассмотреть
возможность применения BYOD
Защитить интеллектуальную
собственность
Защитить свою ИТ-инфраструктуру
CXO
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 15
Политики, использующие
имеющиеся технические возможности
Унифицированные политики,
относящиеся к коммерческой деятельности
Решаемые задачи. Определение политики
Администрирование
приложений
Сетевое
администрирование
Системное
администрирование
joe_ b Фин.
дир.
www.customer.
com/sapapp
Разрешить
IP-адрес –
1.1.1.1
Маска сети
255.255.0.0
Сеть
10.10.0.0
Разрешить
bjoe12 Finance_g
roup
\\a_server\sap\ Разрешить
Финансовый
директор
Корпоративный
ноутбук
Личный iPad
Заказы
продукции
SalesForce.
com
Польз
овате
ль
Роль Устройст
во
Услуга Местопол
ожение
Действие
Все Любой iPad Заказы продукции Все Ограничить
Все Любой iPad Salesforce.com Вне офиса Разрешить
Любой Финансо
вый
отдел
Корпорат
ивный
актив
Заказы продукции /
Salesforce.com
Любой Разрешить
X
Данные
заказчиков
Разрешить
Ограничить X
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 16
Динамическая контекстная зависимость
и контекстная зависимость в режиме реального времени
Решаемые задачи. Учет контекста
Ограниченный или статический контекст
Финансовый
директор
(вне офиса)
Корпоративный
ноутбук
Личный iPad
10.10.30.45
0a:34:90:df:34:ab
05:ab:5f:a0:34:87
Заказы
продукции
SalesForce.
com
Данные
заказчиков
User ID= jblog
User ID= joeb
Заказы
продукции
SalesForce.
com
Данные
заказчиков
User ID= jblog
User ID= jblog X
?
?
?
Разрешить
Ограничить X
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 17
Не зная броду, не суйся в воду
Device
Location
Access Method
Hygiene
Reputation
Direction
Telemetry
Trustworthiness
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 18
Добавляя контекст и понимание
C I2 I4 A
ЛОКАЛЬНО
Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО
Ситуационный
анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-
действия
APP Приложения
URL Сайты
Реализация безопасности с локальным и глобальным контекстом
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 19
Сводные отчеты, упрощенный аудит Разрозненная отчетность, отсутствие корреляции
Решаемые задачи. Прозрачность и контроль
jblog Финансовый
директор
Корпорат
ивные
ноутбук
SJC стр. 1
Заказы
продукции Разрешить
jblog Финансовый
директор
iPad Удаленное
расположение Заказы
продукции
Ограничить
• Учет контекста – данные реального времени
объединяют приложения, системы и
контекст сети
• Единый источник информации, поддержка
контроля и пересмотра политики
• Множество разрозненных отчетов
• Отсутствие прозрачности и контроля с учетом
контекста Консолидированная панель
управления
Отчет об
использовани
и приложений
Отчет об
использовании
сети
Отчеты о
безопасности
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 20
Динамический контекст
Объединяя все вместе
Абстрагированная политика
Бизнес-политика
Ресурсы и требования
X
Распределенное
применение
Пользователи и
устройства
Распределенный
движок политик
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 21
Надежная поддержка управления доступом на основе политик для вашего бизнеса
Представляем Cisco TrustSec
Всеобъемлющий учет
контекста: кто, что, где,
когда, как
Использование
преимуществ сети для
защищенного доступа к
критически важным
ресурсам, нейтрализации
рисков и поддержания
соответствия
нормативным
требованиям
Централизованное
управление сервисами
защищенного доступа и
масштабируемыми
средствами обеспечения
соответствия
Центр обработки данных
Интранет Интернет Зоны безопасности
Инфраструктура с контролем
идентификационных
данных и учетом контекста
IP-устройства
Удаленный пользователь, подключенный
по VPN
Пользователь беспроводной
сети / гость
Сотрудник Клиент
виртуальной машины
Использование существующей
инфраструктуры
Эффективное
управление
Абсолютный
контроль
Полная
прозрачность
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 22
Безопасность, ориентированная на идентификацию и контекст
Архитектура Cisco TrustSec
КОГДА ЧТО
ГДЕ
КАК КТО
Идентификация
Атрибуты
политики
безопасности
Модуль централизованных политик
Политики,
относящиеся к бизнесу
Пользователи и
устройства
Динамическая политика и реализация
УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ
МОНИТОРИНГ И
ОТЧЕТНОСТЬ
РЕАЛИЗАЦИЯ ПОЛИТИК
БЕЗОПАСНОСТИ
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 24
Комплексное решение для подхода BYOD («принеси свое собственное устройство»)
ОГРАНИЧЕННЫЙ ДОСТУП ДОСТУП НОВОГО
ПОКОЛЕНИЯ
РАСШИРЕННЫЙ
ДОСТУП БАЗОВЫЙ ДОСТУП
Среда требует строгого
контроля
Только устройства компании
Среда производителя
Торговая площадка
Закрытые сети гос. органов
Традиционные предприятия
Ориентирован на базовые
сервисы и удобный доступ
почти для всех
Более широкий круг устройств,
но только Интернет
Среды образовательных
учреждений
Гос. учреждения
Простые гости
Собственные корп.
приложения,
новые сервисы,
полный контроль
Множество типов устройств,
(корпоративных)
Инновационные предприятия
Электронная розничная торговля
Сервисы мобильной торговли
(видео, совместная работа и т. д.)
Поддержка
дифференцированных сервисов,
адаптационный период,
защищенный доступ, но не для
собственных устройств
Множество типов устройств и
методов доступа
Здравоохранение
Предприятия, первыми принявшие
подход BYOD
Доступ для подрядчиков
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 25
WLAN AP
Access Switch
МСЭ
Policy Engine (Cisco ISE)
Certificate Authority
(CA)
Mobile Device
Manager (MDM)
Wireless Router
Integrated Services Router
Aggregation Services Router
Campus
Switching Core
Branch Office
Home Office
Active Directory
(AD)
AnyConnect
WLAN Controller
Network Management
RSA Secure ID
Не доверенная сеть
Доверенная корпоративная
сеть
Internet
Mobile Network
Public Wi-Fi
WAN
Архитектура контроля доступа BYOD устройства
Проводной, Беспроводной, Мобильный доступ
Шлюзы безопасности Инфраструктура защиты и управлениям политиками
Инфраструктура доступа
Как это работает? Более подробный обзор Cisco TrustSec
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 27
Полная прозрачность Контроль идентификационных данных и учет контекста
Сеть с поддержкой идентификации (802.1X)
Полная прозрачность
ИДЕНТИФИКАЦИЯ
КОНТЕКСТ
КТО ЧТО ГДЕ КОГДА КАК
Гостевой доступ
Профилирование
Оценка состояния
802.1X
MAB
WebAuth КОММУТАТОРЫ, МАРШРУТИЗАТОРЫ, БЕСПРОВОДНЫЕ ТОЧКИ ДОСТУПА CISCO
Маша Петрова Федор Калязин
Шлюз камеры
видеонаблюдения Вася Пупкин Личный iPad
Сотрудник, служба
маркетинга
Проводная сеть
15:00
Гость
Беспроводная сеть
9:00
Автономный ресурс
Тверской филиал
Консультант
Центральный офис,
отдел стратегий
Удаленный доступ
18:00
Собственность сотрудника
Беспроводный центральный
офис
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 28
Сервисы аутентификации
Сервисы авторизации
Управление жизненным циклом гостевого доступа
Сервисы профилирования
Сервисы оценки состояния
Доступ для групп безопасности
Identity Services
Engine
Упрощенное
управление
политиками
Мне нужно разрешать подключение к сети
только определенных пользователей и
устройств
Мне нужно, чтобы пользователь и устройства пользовались соответствующими сетевыми
сервисами
Мне нужно разрешить гостям доступ в сеть и управлять их настройками
Мне нужно разрешать/блокировать использование iPad в моей сети (BYOD)
Мне нужно, чтобы в моей сети были чистые устройства
Мне необходим масштабируемый способ реализации политики доступа в сети
Задачи, решаемые Cisco ISE
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 29
Использование существующей сетевой инфраструктуры
Контроль идентификационных данных
Отличительные особенности
идентификации
Режим монитора
Гибкая последовательность
аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных
настольных систем
Коммутатор Cisco Catalyst®
Web-
аутентификация
Функции аутентификации
IEEE 802.1x Обход аутентификации по
MAC-адресам
Web-
аутентификация
Полная прозрачность
Сетевое
устройство
802.1X
IP-
телефоны
Авторизо-
ванные
пользователи
Гости
MAB и
профилирование
Планшеты
На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 30
Идентификация устройств
ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Множество устройств в проводной и беспроводной сети
Должно быть предусмотрено управление политиками для каждого типа устройств
Необходима гарантия того, что устройство соответствует цифровым меткам
Классификация устройств вручную и реализация политик
Быстрый рост числа
устройств
и идентификация для
реализации политик
Проблема
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 31
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 32
Политика для
личного iPad
[ограниченный доступ]
Точка доступа Политика для
принтера
[поместить в VLAN X]
Автоматическая классификация устройств с использованием инфраструктуры Cisco
Идентификация устройств
Принтер Личный iPad ISE
CDP
LLDP
DHCP MAC-адрес
CDP
LLDP
DHCP MAC-адрес
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей
ПОЛИТИКА
Полная прозрачность
Точка
доступа
Компоненты
Новаторство
СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO
СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE
КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства
АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства
Эффективная
классификация устройств
с использованием
инфраструктуры
Решение
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 33
Интегрированное профилирование:
прозрачность и масштабируемость
Сетевая инфраструктура обеспечивает локальную
функцию распознавания
Данные контекста передаются через RADIUS в ISE
Активное сканирование:
повышенная точность
ISE расширяет пассивную телеметрию сети
данными активной телеметрии оконечных
устройств
Web-канал данных об устройствах:
идентификация с возможностью
масштабирования
Изготовители и партнеры постоянно предоставляют
обновления для новых устройств
Клиенты получают пакеты данных по web-каналам
от Cisco
Эволюция идентификации устройств: шире и глубже
Web-канал данных об устройствах
Активное сканирование
оконечных устройств
ISE
Сенсор устройств Cisco
Сенсор устройств (функция сети)
Инновации
Cisco
Полная прозрачность
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 34
Новое в ISE 1.2: Profiling Device Feed
100 НОВЫХ устройств появляются каждый
день
Интернет вещей делает отслеживание
новых устройств ночным кошмаром…
делал
Сервис Device feed автоматизирует
процесс получения профилей устройств
Больше поддерживаемых устройств в
обновлениях в реальном времени
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 35
Оценка состояния средствами ISE обеспечивает проверку работоспособности оконечного устройства до получения доступа к сети
Анализ с учетом контекста: оценка состояния
Временный
ограниченный доступ к
сети до устранения
проблем
Пример политики для сотрудника
• Исправления и обновления Microsoft установлены
• Антивирус McAfee установлен, обновлен и работает
• Корпоративный ресурс проходит проверку
• Приложение предприятия выполняется
Проблема:
• Наличие сведений о работоспособности устройства
• Различие уровней контроля над устройствами
• Затраты на устранение проблем
Ценность:
• Временный (на web-основе) или постоянный агент
• Автоматическое устранение проблем
• Реализация дифференцированных политик на основе ролей
Пользователь
проводной,
беспроводной,
виртуальной сети
Полная прозрачность
Не
соответствует
требованиям
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 36
Гостевые
политики
Гостевой сервис ISE для управления гостями
Анализ с учетом контекста: управление гостевым доступом
Гости
Web-
аутентификаци
я
Беспроводный или проводной доступ
Доступ только к Интернету
Выделение ресурсов: гостевые учетные записи
на спонсорском портале
Уведомление:
сведения о гостевой учетной
записи в бумажном виде, по
электронной почте или SMS
Управление:
права спонсоров,
гостевые учетные записи и
политики, гостевой портал
Отчет:
по всем аспектам гостевых
учетных записей
Интернет
Полная прозрачность
© 2011 Cisco and/or its affiliates. All rights reserved. 37
© 2011 Cisco and/or its affiliates. All rights reserved. 38
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 39
Масштабируемая
реализация
Сети VLAN
Списки управления доступом (ACL)
Метки групп безопасности *
Шифрование MACSec *
Управление
доступом на
основе политик
Обеспечивает реализацию политик
Абсолютный контроль
Удаленный пользователь
VPN
Пользователь с беспроводным
доступом
Пользователь с проводным доступом
Устройства
Абсолютный контроль
* =
СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ
И УЧЕТОМ КОНТЕКСТА
Виртуальный рабочий стол
Центр обработки данных
Интранет Интернет Зоны
безопасности
Инновации
Cisco
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 40
TrustSec: авторизация и реализация политик
Динамические или
именованные ACL-списки
• Меньше перебоев в работе
оконечного устройства (не
требуется смена IP-адреса)
• Повышение удобства для
пользователей
Сети VLAN
• Не требует управления
ACL-списками на портах
коммутатора
• Предпочтительный выбор
для изоляции путей
Доступ для групп
безопасности
• Упрощение управления
ACL-списками
• Единообразная
реализация политик
независимо от топологии
• Детализированное
управление доступом
Гость
VLAN 4 VLAN 3
Устранение проблем
Сотрудники Подрядчик
Сотрудник Любой IP-
адрес
Доступ для групп безопасности
— SXP, SGT, SGACL, SGFW
Гибкие механизмы реализации политик в вашей инфраструктуре
Широкий диапазон доступных клиенту вариантов доступа
Абсолютный контроль
Инновации
Cisco
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 41
Политики на основе понятного технического языка
Повышение уровня реализации политик во всей сети
Таблица доступа согласно политике на основе ролей
Ресурсы
D1
(10.156.78.100)
Медицинские
карты
пациентов
D3
(10.156.54.200)
Электронная
почта
в интранет-сети
D5 (10.156.100.10)
Финансова
я служба D6
D4
D2
Разрешения
Интранет
-
портал
Почтовый
сервер
Серверы
финансовой
службы
Медицинские
карты
пациентов
Врач Интернет IMAP Нет
доступа Совместный web-
доступ к файлам
Финансовая
служба Интернет IMAP Интернет Нет доступа
ИТ-
админист-
ратор
WWW,
SQL, SSH
Полный
доступ SQL SQL
Матрица политик
Совместный
web-доступ к
файлам
permit tcp S1 D1 eq https permit tcp S1 D1 eq 8081 deny ip S1 D1 …… …… permit tcp S4 D6 eq https permit tcp S4 D6 eq 8081 deny ip S4 D6
Требует затрат времени
Ручные операции
Предрасположенность к
ошибкам
Простота
Гибкость
Учет характера
деятельности
permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 permit tcp dst eq 135 deny ip
ACL-список "Врач - карта пациента"
Врачи
Финансовая служба
ИТ-администраторы
S1
(10.10.24.13)
S2 (10.10.28.12)
S3 (10.10.36.10)
S4 (10.10.135.10)
Отдельные пользователи
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 42
Традиционное управление доступом
Серверы (узлы назначения)
D1
Продажи
D3
Кадры
D5
Финансов
ая служба D6
D4
D2
Руководители
Отч. кадровой службы
ИТ-администраторы
S1
(10.10.24.13)
S2 (10.10.28.12)
S3 (10.10.36.10)
S4 (10.10.135.10)
Пользователь (источник)
permit tcp S1 D1 eq https
permit tcp S1 D1 eq 8081
permit tcp S1 D1 eq 445
deny ip S1 D1
Управление доступом S1 — D1
• (число источников) * (число узлов назначения) * число разрешений = число ACE
• Число источников (S1~S4) * число узлов назначения (S1~S6) * число разрешений (4) = 96 ACE
для S1~4
• Растущее количество ACE ведет к расходованию ресурсов в точке реализации политик
• Администратор сети явным образом управляет каждой связью «IP источника — IP назначения»
Запись управления
доступом (ACE)
Число ACE растет по
мере роста числа
разрешений
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 43
Как SGACL упрощает управление доступом
• Администратор сети управляет каждой связью «группа источника — группа назначения»
• Это отделяет топологию сети от политик и снижает количество
правил политик, которые администратор должен поддерживать
• Сеть автоматизирует привязку пользователей / серверов к группам
S1
S2
S3
S4
Пользователь Серверы
D1
D3
D5
D6
D4
D2
Группа безопасности (узел назначения)
Сервер
продаж
(500 SGT)
Сервер
кадров
(600 SGT)
Сервер финансов
(700 SGT)
Группа безопасности (источник)
Рук-во A
(10 SGT)
Рук-во B
(20 SGT)
Отчеты
кадров
(30 SGT)
ИТ-админ.
(40 SGT)
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 44
• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))
• 400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый
Пример снижения TCO
С традиционным ACL-списком на межсетевом экране
Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —
для группы-источника используются диапазоны адресов подсети
4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE
С использованием Cisco ISE
4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE
На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)
1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 45
Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —
для группы-источника используются диапазоны адресов подсети
• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))
• 400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый
Пример снижение TCO (2)
С традиционным ACL-списком на межсетевом экране
Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE
С использованием Cisco ISE
4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE
На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)
1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 46
Маркировка трафика данными о контексте
Доступ для групп безопасности (SGA) Медицинские карты пациентов
(конфиденциальная информация)
Неограниченный доступ
для сотрудников
Интернет
Врач
Финансовая
служба
Гость
Абсолютный контроль
СНИЖЕНИЕ
ЭКСПЛУАТАЦИОННЫХ
РАСХОДОВ
Масштабируемая реализация
политик независимо от
топологии сети МАСШТАБИРУЕМАЯ И
ЕДИНООБРАЗНАЯ
РЕАЛИЗАЦИЯ ПОЛИТИК
Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОМ
ДЛЯ ГРУПП БЕЗОПАСНОСТИ (SGA) ПОВЫШЕНИЕ
МАНЕВРЕННОСТИ
КОМПАНИИ
Инновации
Cisco
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 47
SGA: реальные сценарии развертывания у клиентов
ПРИМЕРЫ РАЗВЕРТЫВАНИЯ
.
Здравоохранение: гарантия конфиденциальности сведений о пациентах за счет доступа на основе ролей и сегментации во всей сети
Розничная торговля: связь сетевых устройств внутри магазина, обеспечивающая доступ к данным платежных карт только авторизованным пользователям и устройствам
Технологии и прикладные науки: доступ к внутренним порталам и хранилищу корпоративных приложений для разрешенных планшетных устройств, принадлежащих сотрудникам
Производство: маркировка трафика из внешней сети, обеспечивающая поставщику ПЛК удаленный доступ только к конкретной производственной зоне, а также доступ внешних партнеров по разработке только к серверам подразделения НИОКР
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 48
Соответствие нормативным требованиям защита данных путем шифрования на уровнях L3/L4
Отсутствие прозрачности
трафика для реализации
политик безопасности и QoS
Шифрование
исключает
прозрачность для
реализации политик
Шифрование на
уровне IP или на
прикладном уровне
Проблема Типичный сценарий развертывания
Шифрованные данные
Шифрование L3/L4
Прозрачность
отсутствует
КОРПОРАТИВНЫЕ РЕСУРСЫ
Абсолютный контроль
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 49
Шифрованные
данные Шифрованные
данные
Дешифрование на входном
интерфейсе
Шифрование на
выходном интерфейсе
MACSec: защита данных путем шифрования с шифрованным доступом на основе политик
Прозрачность трафика для
реализации политик
безопасности и QoS
Конфиденциальность
данных
в сочетании с
прозрачностью
Шифрование L2 на
последовательных
переходах
Решение Типичный сценарий развертывания
Шифрование 802.1 AE
Шифрование 802.1 AE
Целостность меток
групп безопасности
КОРПОРАТИВНЫЕ РЕСУРСЫ
Трафик прозрачен
для реализации
политик
Абсолютный контроль
Инновации
Cisco
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 50
Эксплуатация
Эффективное управление
Эффективное управление
Объединенный мониторинг
безопасностью и политиками
Состояние контекста и панели мониторинга для
проводных и беспроводных сетей
Централизованное планирование задач
управления на несколько дней
Рабочие потоки настройки инструктивного характера
Сокращение сроков диагностики и
устранения неполадок
Интеграция с Cisco NCS Prime
© 2011 Cisco and/or its affiliates. All rights reserved. 51
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 52
Вовлечение конечного пользователя в управление
Эффективное управление Эффективное управление
Снижение нагрузки на ИТ-персонал
Адаптационный период для устройств, саморегистрация,
выделение ресурсов запрашивающему клиенту*
Снижение нагрузки на службу технической
поддержки
Простой, интуитивно понятный интерфейс пользователя
Модель самообслуживания
Портал регистрации устройства пользователя*, портал для
приглашения гостей
* запланировано на лето 2012 г.
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 53
Портал самоуправления
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 54
Cisco ISE: Собираем все вместе
Тип устройства
Местоположение
Пользователь Оценка Время Метод доступа
Прочие атрибуты
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 55
Новое в ISE 1.2: Экосистема партнеров Cisco ISE Security Information and Event Management (SIEM) и Threat Defense
Mobile Device Management
Приоритезация событий, анализ пользователей/устройств
• ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense
решения
• Партнеры используют контекст для идентификации пользователей, устройств,
статуса, местоположения и привилегий доступа с событиями в SIEM/TD
• Партнеры могут предпринимать действия к пользователям/устройствам через ISE
Обеспечение защищенного доступа и соответствия устройства
• ISE является шлюзом политик для сетевого доступа мобильных устройств
• MDM обеспечивает ISE контекстом соответствия безопасности мобильного
устройства
• ISE связывает привилегии доступа с контекстом соответствия
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 56
Новое в ISE 1.2: Интеграция с MDMОценка соответствия мобильного устройства
Всесторонний защищенный доступ
Initial Posture Validation
MS Patches
Av and AS Installation
Application and Process
Running State
Интеграция с MDM
Проверка корпоративных и личных мобильных устройств
Новые
функции
MDM Policy Check
Статус регистрации устройства
Статус соответствия устройства
Статус шифрования диска
Статус установки блокировки экрана
Стасус Jailbreak
Производитель
Модель
IMEI
Серийный номер
Версия ОС
Номер телефона
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 57
Новое в ISE 1.2: Интеграция с MDM
5
7
Jail Broken
PIN Locked
Encryption ISE Registered PIN Locked MDM Registered Jail Broken
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 58
ISE + SIEM/TD БЛОКИРУЮТ СЕТЕВЫЕ УГРОЗЫ
SIEM / TD обнаруживает & направляет
в карантин пользователя
ISE сравнивает с политикой “Карантин”
Cisco Switch выполняет изменения в авторизации
Инфицированный пользователь переходит в
статус “ограниченный доступ”
Агрегируют и коррелируют данные об угрозах
Используют данные ISE для карантина пользователей и устройств
SIEM / TD
Предоставление контекста по устройствам и пользователям
Изменяет политики доступа в сети
ISE
Новое в ISE 1.2: SIEM/Threat Defense Тесная интеграция с информацией об угрозах
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 59
Матрица функциональных возможностей TrustSec Матрица функциональных возможностей TrustSec 2.1 Доступ для групп безопасности MACSec
Платформа Модели
Функции
802.1x /
иденти-
фикации
SGT SXP SGACL SG-FW Сенсоры
устройств
Коммута-
тор –
коммута-
тор
Клиент –
комму-
татор
Cat 2K 2960, 2960-S
Cat 3K 3560, 3650E, 3750, 3750E,
3750-X 3560-X x
3560 C
Cat 4K Sup 6E , Sup 6L-E
Sup 7E, Sup 7L-E
Cat 6K Sup32 / Sup720
Sup2T
Nexus 7K
Nexus 5K
ASR 1K
Pr1 / Pr2, 1001, 1002, 1004,
1006, 1013, ESP10/20/40,
SIP 10/40
ISR G2 88X 89X 19xx 29xx 39xx
ASA
Контроллер
беспроводной
локальной
сети
AnyConnect
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 60
Реализация политик
SG-ACL или SG-FW
Определение SGT
Политики SG-ACL Идентификация и классификация
пользователя / системы
Cisco ISE поддерживает не только инфраструктуру Cisco
Identity
Services
Engine
Nexus 7000
Nexus 5500*
Nexus 2000*
Catalyst 6500
Catalyst 4500
Catalyst 3k
WLC 7.2 *
В перспективе:
Catalyst 2k
Nexus 7000
Nexus 5500*
Nexus 2000*
Catalyst 6500 Sup 2T
Межсетевой экран
ISR*
Межсетевой экран
ASR *
В перспективе:
Межсетевой экран
ASA
Catalyst 3k-X
Catalyst 4k
© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 61