SlideShare une entreprise Scribd logo
1  sur  74
Концепция BYOD в решениях
Cisco
Алексей Лукацкий
Менеджер по развитию бизнеса




© 2011 Cisco and/or its affiliates. All rights reserved.
  2010                                                     Cisco Confidential   1/68
                                                                                   1
План презентации


                       Мобильность, BYOD, безопасность


                       Cisco AnyConnect и другие

                       Платформа Cisco ISE

                       Cisco BYOD в реальном мире




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Confidential   2/68
План презентации


                       Мобильность, BYOD, безопасность




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Confidential   3/68
Быть свободным от границ рабочего стола, рабочего
                 телефона, персонального компьютера и переговорных




© 2010 Cisco and/or its affiliates. All rights reserved.             Cisco Confidential   4/68
Создавать собственное рабочее пространство - когда хочешь, где хочешь и какое
                 хочешь




                                                                          Видео-
                                                                                      Presence
                                                                         транспорт
                                                           Контроль
                                                                                                    Политики
                                                            звонков
                                                                      Распознавание   Конференции
                                                                          речи




© 2010 Cisco and/or its affiliates. All rights reserved.                                                       Cisco Confidential   5/68
Чтобы рабочее место следовало за работником, а не наоборот – к заказчикам, к
                 партнерам, в пути




© 2010 Cisco and/or its affiliates. All rights reserved.                                        Cisco Confidential   6/68
Работать вместе с тем, кто нужен, не взирая на его                                 Маша Петрова

                 местонахождение и часовой пояс                                                       ЗАЩИЩЕНО




                                                                              Наставник      Организатор

                                                                    Директор                        Сын (в школе)


                                                                      Технолог                       Мама


                                                              Исследователь                Дизайнер




                                                                        Ася Букина
                                                              Статус:
                                                              Предпочтение:                        Вася Пупкин
                                                                                          Статус:
                                                                                          Предпочтение:




© 2010 Cisco and/or its affiliates. All rights reserved.                                              Cisco Confidential   7/68
Чтобы заказчик или партнеры стали полноправными участниками
                 взаимодействия


                                                                            BILLING ISSUE




                                                           Representative                   Tier 2 Rep




© 2010 Cisco and/or its affiliates. All rights reserved.                                                 Cisco Confidential   8/68
Ускорить прохождение сделок, увеличить их число, ускорить
                 бизнес-процессы, контролируя!




© 2010 Cisco and/or its affiliates. All rights reserved.                     Cisco Confidential   9/68
Когда все что нужно, это защищенное подключение к сети, какое бы
                 подключение вы не использовали




© 2010 Cisco and/or its affiliates. All rights reserved.                            Cisco Confidential   10/68
© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Confidential   11/68
Мир ПК                     Эра пост-ПК
z




    Приложения


    ОС пользователя



    ОС Сервера



    Клиентские
    устройства

     © 2010 Cisco and/or its affiliates. All rights reserved.                 Cisco Confidential   12/68
2010
                                                                                   iPad + Mac = 12% рынка ПК

                                                              3.6Млрд                            100+ миллионов
                                                             Мобильных
                                                             устройств*
                                                                                                  планшетников

                     300,000                                  1.8Млрд
                Ежедневных     … имеют web-
             активаций Android    доступ*
                                                                                                      70%
                                                                                                  студентов США
                                                                                                  используют Mac

**Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010



© 2010 Cisco and/or its affiliates. All rights reserved.                                                    Cisco Confidential   13/68
2013


                                               Скоро будет

Один триллион
  устройств подключенных к сети,
                       по сравнению с                      3.6 МЛРД в 2010



                Cisco IBSG

© 2010 Cisco and/or its affiliates. All rights reserved.                            Cisco Confidential   14/68
Бизнес вышел за рамки ПК




© 2010 Cisco and/or its affiliates. All rights reserved.                              Cisco Confidential   15/68
Новый опыт ИТ-службы Cisco
                  Консьюмеризация                                 Непрерывное соединение     Распространение устройств        Мобильность




                                                           Любое устройство, Везде, Всегда, Защищенно....

                  2,454 iPads
                   70% рост




                                                                                     Планшетники




                                 11,762                                   1,164                        15,403                  3,289
                                iPhones                                  Android                     BlackBerry          Другие устройства
                               20% рост                                 76% рост                      0% рост                -18% рост
© 2010 Cisco and/or its affiliates. All rights reserved.                           Смартфоны (КПК)                                    Cisco Confidential   16/68
Традиционная архитектура не справляется с
                                                  требованиями сегодняшнего дня
           Мобильность                                          Социальность             Видео               Виртуализация
Отсутствие поддержки                                       Невозможно            Низкое качество и       Ограничения в работе с
мобильных устройств и OC                                   взаимодействовать с   совместимость           голосом и видео через
                                                           социальными сетями                            VDI




                    X
                  X X
                                                                                                     X

© 2010 Cisco and/or its affiliates. All rights reserved.                                                              Cisco Confidential   17/68
Как я буду
        контролировать, кто и что
        получил доступ к моей
        сети?!




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Confidential   19/68
BYOD: риски безопасности
Мобильные устройства пользователей: главный источник рисков


                                                           УГРОЗЫ

           • Трудно управлять и защищать
                 (1/3 всех сотрудников постоянно вне офиса)
           • Вредоносное ПО (Web: основной вектор)
           • Причина уязвимости корпоративной
                 инфраструктуры
           • Раскрытие данных на украденных или
                 потерянных устройствах
           • Нарушение правил контроля доступа
           • Проблемы обеспечения соблюдения политик




                                                                                                BYOD* ̶ основной риск
Source: 2011 ISACA IT Risk/Reward Barometer, US Edition (www.isaca.org/risk-reward-barometer)
© 2010 Cisco and/or its affiliates. All rights reserved.                                                                Cisco Confidential   20/68
Приоритеты заказчиков/реальные сценарии
Реакция на угрозы, связанные с концепцией BYOD


                                                                     1.   Защита оконечных устройств от
                                                                          угроз, присущих web 2.0

                                                                     2.   Обеспечение защищенного
                                                                          удаленного доступа с любых
                                                                          устройств

                                                                     3.   Аутентификация и авторизация
                                                                          пользователей беспроводной сети
                                                                          (гости, временные
                                                                          сотрудники, подрядчики…)




                   Менеджер по продажам заходит на salesforce.com со своего iPhone. Это безопасно?
© 2010 Cisco and/or its affiliates. All rights reserved.                                         Cisco Confidential   21/68
BYOD: спектр реакций




                Запрет/ограничение                             Разрешение                      Поддержка                          Энтузиазм

            Среды с жестким контролем                      Базовые сервисы, простой              Различные                      Корпоративные
                                                             доступ, почти для всех         сервисы, защищенное               приложения, новые
                                                                                                подключение                  сервисы, управление

                Только корпоративные                             Широкий спектр
                     устройства                            устройств/только Интернет                                     Различные типы устройств,
                     Производства                                 Образование            Различные типы устройств и                    MDM
                                                                                             методы доступа, VDI          Инновационные корпорации
                         Биржи                             Общественные организации
                                                              и общественные места             Здравоохранение                Розничные продажи
              Госучреждения (секретность!)
               Традиционные корпорации                       Простой гостевой доступ       Корпорации, стремящиеся             (Retail on Demand)
                                                                                                внедрить BYOD
                                                                                                                             Мобильные сотрудники
                                                                                       Поддержка временных сотрудников     (видео, среды совместной
© 2010 Cisco and/or its affiliates. All rights reserved.
                                                                                                                                   работы, .) Cisco Confidential   22/68
Мобильника                             Интернет   Автомобиля   Партнера




                      97%                                  84%        64%          43%

© 2010 Cisco and/or its affiliates. All rights reserved.                                 Cisco Confidential   23/68
Многообразие устройств: это надолго                                              Пользователи
                                                                             • Единообразие средств
                                                                               на различных
                                                                               платформах
                                                                             • Простой переход с
                                                                               устройства на устройство
                                                                             • Разделение рабочих
                                                           89%   26%           и личных данных
                                                                       75%   • Следование технической
                                                                               и социальной моде




                                                           10%   36%           ИТ-специалисты
                                                                             • Постепенное
                                                                              распространение
                                                                       22%    пользовательских/
                                                                              мобильных устройств
                                                                             • Следование BYOD без
                                                           1%    23%          жертв в сфере
                                                                              безопасности, управления,
                                                                              поддержания стандартов
                                                                             • Снижение затрат
                                                                              организации
                                                                             • Повышение гибкости



© 2010 Cisco and/or its affiliates. All rights reserved.                                                Cisco Confidential   24/68
Проблема контроля доступа

     ЦЕЛИ БИЗНЕСА                                                                                  ПРИНЦИПЫ
                                                                                                ОБЕСПЕЧЕНИЯ
                                                                                               БЕЗОПАСНОСТИ




                                                                         ―Управление рисками, связанными с
                        ―BYOD‖
                                                                              персональными устройствами‖
                         ―Необходимо обеспечить работы глобального
                         коллектива мобильных сотрудников (включая           ―Кто в моей сети, что они делают?‖
                         партнеров и подрядчиков)‖

                    ―Необходимо соблюдать нормативные
                                                                        ―Хорошо бы провести сегментацию сети
                    требования и быть готовыми к проверке‖           и ресурсов ЦОД, ограничив права доступа ‖




© 2010 Cisco and/or its affiliates. All rights reserved.                                                  Cisco Confidential   25/68
Представляем Cisco TrustSec

                                                                                                                                       Идентификация
                                                                                                                                       пользователей, профилир
                                                                                                                                       ование устройств
                Удаленный                                   Пользователь   Пользователь         Устройства        Устройства
               пользователь                                 беспроводной       VPN
                  (VPN)                                         сети




               Гостевой доступ                                                                                    Сети VLAN            Авторизация
                                                                       Инфраструктура                                                  в соответствии
               Профилирование                                           с поддержкой                            Списки dACL            с политикой
               Оценка состояния
                                                                            identity                              Метки SGT

           Доступ и сервисы                                                                                  Масштабируемые средства
            в соответствии                                                                                         обеспечения          Оценка состояния и
              с политикой                                                                                                               шифрование каналов
                                                           ЦОД                                              Зоны
                                                                      Интранет       Интернет           безопасности


© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                            Cisco Confidential   26/68
Решение Cisco для реализации концепции BYOD

                                                                                                       ISE
                                                                        NCS Prime

                                                                                                                                         IronPort WSA



                Коммутаторы
                       Cisco                                                                                                              MDM Manager
                    Catalyst



                                                                                    Контроллер
                                                                                    WLAN Cisco                                                          Устройство стороннего
                                                                                                                                                        поставщика (MDM)


                                                                                                             CSM / ASDM
                                                           Устройства
                                                           проводной
                                                           сети



                                               AC NAM (только
                                               Windows)                                 AC NAM
                                                                                    (только Windows)
                                                                                                                  AC VPN (все мобильные платформы)
                                                                                                                 Интеграция AC с облачными сервисами
                                                                                                                               (Все PC)
© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                                     Cisco Confidential   27/68
План презентации


                       Мобильность, BYOD, безопасность


                       Cisco AnyConnect и другие




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Confidential   28/68
Защищенная мобильность: Cisco AnyConnect и другие


                                 Cisco AnyConnect




                                 Сервисы Cisco для обеспечения
                Cisco ASA
                                 безопасности контента



                                                                 29
Защищенная мобильность: Cisco AnyConnect и другие


                              Cisco AnyConnect




                                                    30
Основные сведения
• Независимость от протоколов:
      с использованием клиента и без использования
      клиента; IPSec или SSL VPN
• Автоматизация:
      поддержка работы в автоматическом режиме,
      постоянно активное подключение, выбор оптимального
      шлюза, автоматическое восстановление подключения
• Постоянная защита: автоматическое определение ближайшего шлюза
      и переключение на него без повторного ввода учетных данных
• Гибкие варианты лицензирования: Essentials, Premium, Mobile

• Поддержка мобильных устройств:
      Поддержка Apple ios4+ (iphone, ipad, itouch),
      Cisco Cius, Samsung Android, Windows, MAC, Linux

© 2011 Cisco and/or its affiliates. All rights reserved.           Cisco Confidential   31
Защищенная мобильность: AnyConnect и другие
Сеть и безопасность идут за пользователем. Пользователь просто работает

                                                           Корпоративный офис      Мобильный            Домашний офис
                                                                                  пользователь




                                                                   Пров. сеть                           Wi-Fi
                                                                                   Сотовая/
                                                                                    Wi-Fi




                                                                                                 Защищенный доступ в
                                                                                                 соответствии с политикой




                                                                      Голос, видео, приложения, данные
© 2011 Cisco and/or its affiliates. All rights reserved.                                                                    Cisco Confidential   32
iPhone 3G/3GS/4/4S                 iPad и iPad 2              iTouch

                      Поддержка платформ на базе Apple iOS 5




Lenovo Thinkpad            Samsung Galaxy             HTC               Cisco Cius

                       Поддержка платформ на базе Android
Модульная структура AnyConnect


                                                                                                                             Будущее

            SSL /DTLS VPN                                                    Оценка      Облачные        L2 Supplicant
               (Essential                                    IPsec VPN     состояния/     сервисы -      (пока только Win)    NAC Agent
                         или                               (БЕСПЛАТНО)      HostScan     web-трафик       (требуется ACS
                                                                                                                             Mobile WAAS
                       Premium)                                             (Premium)    (по подписке)        или ISE)




                                                                     Платформа базовых сервисов AnyConnect


                                                                                   Архитектура




© 2011 Cisco and/or its affiliates. All rights reserved.                                                                           Cisco Confidential   34
Защищенная мобильность: AnyConnect и другие




             Cisco ASA



                                              35
Поддержка самых разных потребностей
                                                                                                                                                                                           ASA 5585 SSP-60
                                                                                                                                                                                           (40 Гбит/с, 350K c/с)
Производительность и масштабируемость




                                                                                                                                                                   ASA 5585 SSP-40
                                                                                                                                                                   (20 Гбит/с, 240K c/с)

                                                                                       Мультисервисное решение                                     ASA 5585 SSP-20
                                                                                           (МСЭ, VPN и IPS)                                        (10 Гбит/с, 140K c/с)


                                                                                                                                    ASA 5585 SSP-10
                                                                                                                                    (4 Гбит/с, 65K c/с)

                                                                                                                      ASA 5540
                                                                                                                  (650 Мбит/с,25K c/с)
                                                                                              ASA 5520
                                                                                        (450 Мбит/с,12K c/с)
                                                                   ASA 5510
                                                               (300 Мбит/с,9K c/с)
                                            ASA 5505
                                        (150 Мбит/с, 4K c/с)




                                                                                                                                                                                             Платформа
                                                                                                                               ASA 5550                                                      МСЭ и VPN
                                                                                                                          (1,2 Гбит/с, 36K c/с)


                                                   SOHO                              Филиал                    Интернет-периметр                     Комплекс зданий                               ЦОД
Защищенная мобильность: AnyConnect и другие




                              Сервисы Cisco для защиты контента



                                                              37
Облачные сервисы ScanSafe
Интеграция с AnyConnect 3.0




                    Интернет-трафик




                                         VPN – внутренний трафик
                                              (опционально)

                     AnyConnect Secure
                         Mobility
Управление работой web-приложений
    Тонкое управление работой с web-приложениями


       Политика контроля доступа              Нарушение политики
• Мгновенные сообщения                 • Передача файлов по IM
                                                                          • Блокировка «взрослого» контента
• Facebook: с ограничениями            • Чат Facebook                     • Ограничение пропускной способности
• Видео: не более 512 кбит/с           • P2P


                                Сотрудница
                                бухгалтерии




                               Тонкое управление работой с приложениями
Решение Cisco IronPort WSA
   Защита от угроз, связанных с Web 2.0


• Фильтры web-репутации: учет более чем 200 параметров позволяет
  блокировать более 70% угроз категории "Day Zero"
• Управление фильтрацией доступа к web-ресурсам: блокирование
  доступа к URL-адресам (отнесенных к определенным категориям и
  не классифицированным); динамический модуль сканирования
  контента успешно идентифицирует более 90% URL-адресов
  нежелательного контента
• Модуль поиска вредоносного ПО: блокировка известного
  вредоносного ПО практически без задержек (как с использованием
  сигнатур, так и с использованием эвристического анализа)
• Управление приложениями Web 2.0: Facebook, Twitter, You Tube и т. п.
• Средства управления пропускной способностью для отдельных
  пользователей (You Tube и т. п.)
Защищенная мобильность: AnyConnect и другие
Компоненты и их функции

           VPN-клиент AnyConnect                                            Решение Cisco IronPort WSA
     1                                                                 2

    Удобство подключения (постоянное                                  Устранение вредоносного ПО
     подключение, обнаружение доверенной сети)
                                                                       Фильтры репутации
    Унифицированный агент (VPN, NAM, Scansafe,
                                                                       Монитор трафика (L4)
     NAC-в следующей версии)
                                                                       Контроль использования web-ресурсов
    Интеграция/совместная работа


                                     Cisco ASA (МСЭ, VPN, IPS)


                                    Обмен данными между
                                         ASA и WSA



           Cisco® AnyConnect
                               ASA
                                                          Cisco WSA
                                                                                         Facebook

                                                                                                      Salesforce.com
                                               Corporate AD

                                                                                                     Корпоративная
                                                                                   Социальные сети    SaaS-система
Новости           Электронная
                                                                                                                         почта

AnyConnect


                                                             Обмен данными между ASA и WSA




                                                           ASA
                                                                                     Cisco WSA

                                                                                                 Социальные сети   Корпоративная
                                                                                                                   SaaS-система
                                                                             Corporate AD


© 2011 Cisco and/or its affiliates. All rights reserved.                                                                Cisco Confidential   42
План презентации


                       Мобильность, BYOD, безопасность


                       Cisco AnyConnect и другие

                       Платформа Cisco ISE и TrustSec




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Confidential   43
Доступ с любого устройства


                                                                                                      КАФЕ
                             ОФИС




    ПРОБЛЕМА


      Учет результатов идентификации и                     Обеспечение выполнения         Защита конфиденциальности
      ролевая модель контроля доступа                      политик: от пользовательских   в рамках всей сети
      Гостевой доступ                                      устройств до ЦОД

© 2011 Cisco and/or its affiliates. All rights reserved.                                                   Cisco Confidential   46
Контроль доступа                                                                          ГДЕ

                                                                   ЧТО                                         КОГДА


                                                           КТО                                                         КАК
          ?                  ?                     ?

                                                                                                                                 Виртуальные
                                                                                                                                машины в ЦОД



                                                                         VPN                                           MACSec




                                                                 Решения на основании состояния
                                                           1. Разрешение/блок в соответствии с политикой                СТОП            ЦОД
                                                           2. Авторизованным устройствам назначаются метки политики
                                                           3. Теги политики учитываются при работе в сети               ОК


    РЕШЕНИЕ CISCO

     Согласованная политика на                                           Распространение сведений о                      Метки групп безопасности
     основании результатов                                               политиках и интеллектуальных                    позволяют обеспечить
     идентификации на всех уровня – от                                   механизмов по сети                              масштабируемое применение
     устройства до ЦОД – в                                                                                               политик
     соответствии с бизнес-                                                                                              с учетом контекста
     потребностями
© 2011 Cisco and/or its affiliates. All rights reserved.                                                                                       Cisco Confidential   47
Пользователи и устройства
                                                                           Сотрудники, Контрактники, Телефоны, Принтеры…
                                                                                   Виктория Катернюк
                                                                                   Сотрудник                         Мария Сидорова
                                              IP-камера                            Проводной доступ                  Сотрудник HR
                                              Корпоративный ресурс
                                                                                   Конфиденциальные ресурсы
                                                                                   15-00                             Проводной доступ                           Ноутбук
                                              MAC: F5 AB 8B 65 00 D4                                                 11-00                                      Корпоративный ресурс
                                                                                          Сеть, устройства и Приложения                                         Лаборатория
                                                                                                                                                                11 утра




                                                                                   Множество методов доступа
                                                                                    Анна Петрова
                                                                                                                                  Катя Жуковская
                                                                                   Разные устройства, разные места
                                                                                    сотрудник
                                                                                    CEO                        сотрудник
                                                                                      Удаленный доступ                            R&D
                                                                                      10 вечера                                   WiFi                                 Антон Алмазов
                                                                                                                                  14:00 дня                            консультант
                                                                                                                                                                       Центральный офис
                                                           Сергей Балазов                                                                                              Удаленный доступ
                                                           контрактник                                                                                                 6:00 вечера

                                                                          Все необходимо контролировать
                                                           IT
                                                           Проводное подключение
                                                           10 утра

                                                                                                         IP телефон G/W                            Принтер
                                                                                                         Корпоративный актив                       Некорпоративный актив
                                                                                                         Финансовый департамент                    MAC: B2 CF 81 A4 02 D7
© 2010 Cisco and/or its affiliates. All rights reserved.
                                                                                                         11:00 вечера                                                Cisco Confidential   48/68
Идентификация
                                                                                                                                       пользователей, профилир
                                                                                                                                       ование устройств
             Удаленный                                     Пользователь      Пользователь VPN   Устройства         Устройства
            пользователь                                   беспроводной
               (VPN)                                           сети




               Гостевой доступ                                                                                    Сети VLAN            Авторизация
                                                                          Инфраструктура                                               в соответствии
               Профилирование                                              с поддержкой                         Списки dACL            с политикой
               Оценка состояния
                                                                               identity                           Метки SGT

           Доступ и сервисы                                                                                  Масштабируемые средства
            в соответствии                                                                                         обеспечения          Оценка состояния и
              с политикой                                                                                                               шифрование каналов

                                                           ЦОД                                                   Зоны
                                                                      Интранет         Интернет
                                                                                                             безопасности

© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                            Cisco Confidential   49/68
Задание политики и
      сервисы обеспечения
          безопасности                                                                   Identity Services Engine (ISE)
                                                                                     Платформа идентификации и контроля доступа




            Обеспечение
         выполнения политик                                     Cisco 2900/3560/3700/4500/6500 и Nexus 7000,                  Cisco ASA, ISR, ASR 1000
                                                            инфраструктура WLAN и инфраструктура маршрутизации




                                Клиент                       NAC Agent                           Web Agent                  Саппликант 802.1x
                                                           Бесплатные (постоянно и временно загружаемые) клиенты     Саппликант AnyConnect или встроенный в ОС
                                                              для оценки состояния и устранения несоответствий




© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                     Cisco Confidential   50/68
Представляем Cisco ISE
   Решение в области обеспечение ИБ следующего поколения

Идентификация и контроль доступа

                                      Cisco ACS
                                                                                   AnyConnect



Идентификация, контроль доступа,
       оценка состояния
                                   NAC Manager          NAC Server



  Профилирование, выделение
                                                                                      ISE
     ресурсов, мониторинг
                                    NAC Profiler         NAC Collector
                                                     Автономное устройство или
                                                   лицензия на модуль NAC Server




 Управление жизненным циклом
       гостевого доступа
                                                                                    NAC Agent
                                    NAC Guest Server
Консолидированные сервисы в                 Каталог текущих сессий
       одном продукте                                                                  Гибкие схемы внедрения

                  ACS                       User ID               Access Rights
 NAC Manager
                                                                                                           Admin       M&T
                                                                                      All-in-One HA       Console
               NAC Profiler                                                                 Pair
 NAC Server                       ISE

                                                                                                         Distributed PDPs
               NAC Guest                      Location       Device (& IP/MAC)

      Simplify Deployment & Admin           Tracks Active Users & Devices                Optimize Where Services Run

   Гибкость политик доступа             Управление доступом на основе
                                               Групп Безопасн                     Функции детального мониторинга и
                                                                                       поиска неисправностей
                                           SGT           Public       Private

                                            Staff        Permit       Permit

                                           Guest         Permit         Deny


    Link in Policy Information Points       Keep Existing Logical Design             Consolidate Data, Three-Click Drill-In
“Сотрудники могут получать доступ ко всем ресурсам с
                                                                личных и корпоративных устройств. Доступ внешних
                                                                           пользователей блокируется.”
                                                                                                                            Интернет


           “Сотрудники должны использовать
      корпоративные устройства. Личные устройства
                                                                                                                                                            Внутренние
      запрещены, гостевой доступ не предусмотрен.”
                                                                                                                                                             ресурсы




                                                                                                                 Сеть комплекса зданий                      Ограниченный
                                                                                                                                                            набор ресурсов




                                                                   “Сотрудники могут получать доступ
                                                              к любым ресурсам с корпоративных устройств.
                                                             Сотрудникам, использующим личные устройства,
                                                                                                                       Это важно!
                                                           и партнерам предоставляется ограниченный доступ.”
                                                                                                                                         Сервисы политики



© 2011 Cisco and/or its affiliates. All rights reserved.                                                                                                    Cisco Confidential   53
EAP                Phase 1    Аутентификация устройства



                             MAC, DHCP, DNS, HTTP                              Phase 2    Определение типа
                                                                         ISE


                                                                               Phase 3              Политика
                                                                         WLC
 Огр.                                                      Устр-во ОК?
доступ
                                                                               QoS       • Silver

                                                                               ACL       • Allow-All
                                                            Полный
                                                            доступ                       • Сотрудники
                                                                               VLAN
© 2010 Cisco and/or its affiliates. All rights reserved.                                                       Cisco Confidential   54/68
Cisco Catalyst® Switch
                                                                                                                      Дифференциаторы
                                                                                                                      Monitor Mode

                                                                                                                      Гибкая последовательность
                                                                                                                      аутентификации

                                                                                                                      Поддержка IP Telephony

                                                                                                                      Поддержка Virtual Desktop Environments
Пользователи                   Tablets             IP Phones           Сетевые устройства           Гости


                          802.1X                                       MAB and Profiling           Web Auth


                                                                                            Варианты аутентификации

                                                             IEEE 802.1x                        MAC Auth Bypass               Web Authentication


  © 2011 Cisco and/or its affiliates. All rights reserved.
                                                                                 Поддержка на всех моделях коммутаторов                               Cisco Confidential   55
Метод авторизации
Определяет поведение интерфейс на основании числа mac-адресов
Cisco IOS поддерживает 4 режима работы хостов

      Один хост                                                               Коммутатор       Неск. хостов                                    Коммутатор
      Разрешен только один MAC- адрес. 2й                                                      1й MAC-адрес проходит
      MAC-адрес: нарушение                                                                     аутентификацию. 2е устройство
                                                                                               используется аутентификацию первого
                                                                                  Хаб          MAC-адреса.                                         Хаб

                                                                                                                          Аутентификация               Обход
         VLAN                    dACL                                                           VLAN

            SGT                                               Устройство 1      Устройство 2      SGT                       Устройство 1       Устройство 2



      Аутент. MDA                                                             Коммутатор       Несколько хостов в домене                             Коммутатор
      Для каждого домена (Voice или Data)                                                      Домен Voice: один MAC-адрес. Домен
      разрешен 1 MAC- адрес. 2й MAC-адрес в                                                    Data: несколько MAC-адресов.
      домене: нарушение                                                                        Поддерживается dACL или одна VLAN
                                                                                 Voice         для всех устройств                                  Voice



                                                               Data                                                          Data                                Data
         VLAN                    dACL                                                           VLAN      dACL

            SGT                                            Устройство 1      Устройство 2         SGT                    Устройство 1           Устройство 2


© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                             Cisco Confidential   56/68
Смартфоны



                                                                                      Минимальный
                                                                                   уровень совпадения




                                                                              Несколько правил
                                                                             для формирования
                                                                             уровня совпадений
                                                              Игровые
                                                              консоли

                                                           Рабочие станции
© 2010 Cisco and/or its affiliates. All rights reserved.                                         Cisco Confidential   57/68
После профилирования устройства сведения о нем
                                                                 сохраняются на ISE:
              MAC-адрес соответствует
                     Apple?


                       В имени есть строка
                             ―iPad‖?



                       Web-браузер Safari?


                                                           ISE


                                                                             Apple iPad
© 2010 Cisco and/or its affiliates. All rights reserved.                                                          Cisco Confidential   58/68
NAC Profiler                                               ISE Profiler

• OEM-решение (продажи прекращены)                         • Собственная разработка Cisco, полная
                                                              интеграция с ISE
• Технологии сканирования:                                 • Технологии сканирования:
           NetMap (SNMP), NetTrap (SNMP), NetWatch             Netflow, DHCP Helper, DHCP Span, HTTP, RADIUS,
           (Span), NetRelay (NetFlow)                          DNS, SNMP Query, SNMP Trap, активное
           и NetInquiry (Active Scannig)                       сканирование

                                                           • Автономный сервер или распределенная
• Распределенный модуль сбора                                 инфраструктура
      информации, данные отсылаются на Profiler
      Server для обработки (клиент/сервер)                 • Более 90 профилей в конфигурации
                                                              по умолчанию
• Управление на базе SNMP для реакции
                                                           • Управление на базе RADIUS для реакции

                                                           • Более гибкий импорт данных об оконечных
                                                              устройствах csv, LDAP, ...)
                                                           • Интеграция с сенсором IOS
© 2010 Cisco and/or its affiliates. All rights reserved.                                             Cisco Confidential   59/68
• Включение типов сканирования

• Использование заранее
      определенных наборов правил
      профайлера или создание
      собственных
• Включение профиля как группы
      идентификации и использование его
      при аутентификации/авторизации




http://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_prof_pol.html

© 2010 Cisco and/or its affiliates. All rights reserved.                          Cisco Confidential   60/68
Wireless       Wired User          Devices       Virtual Desktop
                                                           Remote VPN User    User




                                     Контроль на базе                                                                                    Варианты контроля
                                         политик
                                                                                                                                       VLANs
                                                                               IDENTITY и CONTEXT AWARE                                Access Control Lists
                                                                                       NETWORK
                                                                                                                                       Secure Group Tags *

                                                                                                                                       MACSec Encryption *



                                                                                                                                                *=
                                                                                                                                                          Cisco
                                                                                                                                                        Innovation
                                                                ЦОД              Intranet                Internet         Зоны безопасности
© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                                  Cisco Confidential   61/68
Cisco
                                                                                                                                             Innovation




                 DACL или Named ACL                                                        VLANS                      Security Group Access

                     Employee
                      IP Any

                                                                                                   Remediation



                                                           Contractor          Employees             Guest
                                                                                                                           Security Group Access—
                                                                                 VLAN 3              VLAN 4               SXP, SGT, SGACL, SGFW


• Минимальное воздействие на                                                  • Не требует управление ACL на     • Простое управление ACL
  endpoint (не требуется менять IP-                                             портах коммутатора
  адрес)                                                                                                         • Универсальный
                                                                              • Лучший вариант для изоляции        контроль, независящий от
• Улучшенное восприятие                                                                                            топологии
  пользователями
                                                                                                                 • Гранулированный и гибкий
                                                                                                                   контроль доступа


                                                                        Гибкие механизмы применения на инфраструктуре
                                                                         Различные сценарии для различных заказчиков
© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                       Cisco Confidential   62/68
Политики на техническом языке                                       Политики на базе ролевого управления
                         Пользователи                      Права                  Ресурсы              Матрица прав
                             Оператор                                                                                    Intranet     Email       Financial
                                                                               D1                                                                                        АСУ ТП
                                  S1                                           (10.156.78.100)                            Portal      Server       Servers
                           (10.10.24.13)
                                                                                         АСУ ТП                                                                       Web File
                                                                               D2                        Оператор         Web         IMAP        No Access         Web File Share
                                                                                                                                                                       Share
                                            S2
                          (10.10.28.12)
                                                                                                         Finance          Web         IMAP           Web              No Access
                                                                                D3                                                     Full
                                                                                (10.156.54.200)          IT Admin     Web, SQL, SSH
                                                                                                                                      Access
                                                                                                                                                     SQL                   SQL
                               Finance
                                             S3                                              Email
                                                                                D4          Intranet                                           Doctor - Patient Record ACL
                           (10.10.36.10)
                                                                                                                                               permit tcp     dst   eq   443
                                                                                                                                               permit tcp     dst   eq   80
                                                                                                                                               permit tcp     dst   eq   445
                                                                                D5                                                             permit tcp     dst   eq   135
                              IT Admins                                         (10.156.100.10)                                                deny ip
                                             S4
                                                                                D6          Finance
                        (10.10.135.10)


      Долго                                                   permit
                                                              permit
                                                                       tcp S1 D1 eq https
                                                                       tcp S1 D1 eq 8081               Просто
                                                              deny     ip S1 D1
      Вручную                                                 ……
                                                              ……
                                                                                                       Гибко
      Ошибки                                                  permit
                                                              permit
                                                                       tcp S4 D6 eq https
                                                                       tcp S4 D6 eq 8081               Понятно
                                                              deny     ip S4 D6
© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                                                 Cisco Confidential   63/68
АСУ ТП
                                                                                                                      (confidential)

            Оператор

                                                                                                                Неограничено для сотрудников



                   Finance


                                                                                                                 Internet


                        Guest                                                                                                     Cisco
                                                                                                                                Innovation




                                                            Решение   СЦЕНАРИИ ВНЕДРЕНИЯ SECURITY GROUP ACCESS (SGA)
   Масштабируемое применение
независимо от сетевой топологии                                       МАСШТАБИРУЕМОЕ   СНИЖЕНИЕ ОПЕРАЦИОННЫХ   УСКОРЕНИЕ БИЗНЕС-ЦИКЛА
                                                                      ВНЕДРЕНИЕ        ЗАТРАТ
 © 2010 Cisco and/or its affiliates. All rights reserved.                                                                        Cisco Confidential   64/68
Wired, Wireless,
        VN User




                                                                                                          Временный доступ до момента
                                            Не соответствует!
                                                                                                           приведения в соответствие




Пример политик:                                                 Сложности:                         Ценность:
• Microsoft patches updated                                     • Понимание состояние устройства   • Временный (web-based) или
                                                                • Различные уровни доступа к        постоянный агент
• McAfee AV установлен,
    запущен и обновлен                                           устройствам                       • Автоматическое приведение в
                                                                • Цена приведения в соответствие    соответствие
• Запущены корпоративные приложения
                                                                                                   • Различные варианты
© 2010 Cisco and/or its affiliates. All rights reserved.                                            реагирования          Cisco Confidential   65/68
Гостевая политика                                         Web Authentication



                                                                                                                                    Internet


     Wireless или Wired                                               Гости
           Access
         Доступ только в
            Интернет




                    Заведение:                                    Управление:                   Уведомление:                        Отчет:
Гостевая учетная запись через                                   Привилегии спонсора,        Детали гостевой учетной      Все аспекты гостевого доступа
       Sponsor Portal                                       гостевые политики и учетные   записи на принтер, почту или
                                                               записи, гостевой портал                SMS
 © 2010 Cisco and/or its affiliates. All rights reserved.                                                                                Cisco Confidential   66/68
TrustSec 2.1 Feature Matrix                                                                           Security Group Access                            MACSec
                                                                                    802.1x /
                                                                                                                                      Device    Switch to           Client to
Platform                                       Models                                Identity   SGT     SXP       SGACL       SG-FW
                                                                                                                                      Sensors    Switch              Switch
                                                                                    Features
Cat 2K                                         2960, 2960-S
Cat 3K                                         3560, 3650E, 3750, 3750E,
                                               3750-X 3560-X                                                                             x
                                               3560 C
Cat 4K                                         Sup6E , Sup 6L-E
                                               Sup7E, Sup 7L-E
Cat 6K                                         Sup32 / Sup720
                                               Sup2T
Nexus 7K
Nexus 5K

                                               Pr1 / Pr2, 1001, 1002, 1004, 1006,
ASR 1K
                                               1013, ESP10/20/40, SIP 10/40

ISR G2                                         88X 89X 19xx 29xx 39xx
ASA
Wireless LAN
Controller
AnyConnect


© 2010 Cisco and/or its affiliates. All rights reserved.                                                                                                    Cisco Confidential   67/68
NCS          Централизованный
                                                                               мониторинг сетей,
                                                           ISE             пользователей и устройств



                                                                  Центральная точка формирования
                                                                  политик для пользователей и
                                                                  устройств




   Унификация политики для проводных и беспроводных устройств (ISE) и управления (NCS)
© 2010 Cisco and/or its affiliates. All rights reserved.                                        Cisco Confidential   68/68
Реализация BYOD на базе ISE
Контроль доступа

                           Я хочу разрешить работу         Сервисы аутентификации
                         в моей сети только «нужных»
                          пользователей и устройств

                       Мне нужно, чтобы пользователи и
                       устройства получали адекватный      Сервисы авторизации
                          доступ к сетевым сервисам
                              (dACL, Qos, и т. п.)
     Cisco ISE
                           Мне требуется разрешить         Управление жизненным
                            гостевой доступ к сети         циклом гостевого доступа

                                Мне требуется
                       разрешить/запретить доступ с iPAD   Сервисы профилирования
                              в мою сеть(BYOD)

                        Мне требуется уверенность, что
                         мои оконечные устройства не       Сервисы оценки состояния
                           станут источником атаки
План презентации


                       Мобильность, BYOD, безопасность


                       Cisco AnyConnect и другие

                       Платформа Cisco ISE

                       Cisco BYOD в реальном мире




© 2010 Cisco and/or its affiliates. All rights reserved.   Cisco Confidential   70
Мобильные + ПК   Политика                             Распространение
                                                                         использования                          корпоративного ПО
                         Классификация/                                       (AUP)            Регистрация                                     Управление
                         профилирование                         Пользовательские                                                        (резервное копирование,
                                                                   устройства                                                             удаленная очистка, ...)
                                                                                                                     Соответствие политикам
                Защищенный доступ к сети                                                   Предоставление             (Jailbreak, пин-коды, ...)
                  [(бес)проводной и VPN]                                                   сертификатов и
                                                                                            саппликантов                                      Защищенные
                                                               Контекстнозависимый                                                             контейнеры
                                                                 контроль доступа                                                                данных
                                                                                                       Управление
                                                             (роль, местоположение, ...)                ресурсами



                                               Управляет                                                                   Управляет ИТ
                                                                                    Частичное управление у ИТ
                                          пользователь (не ИТ)                                                           (не пользователь)




                                                             = Сетевые средства (ISE)                               = Полная управляемость (будущее)

© 2011 Cisco and/or its affiliates. All rights reserved.                                                                                             Cisco Confidential   71
MDM Ecosystem
                                                                                                                 Интеграция с лидерами рынка MDM *
                                                               AD/LDAP




                                                                                          ISE               • MobileIron, Airwatch, Zenprise
                      Контекстная                                MDM Mgr
                       политика                                                                             • Заказчики могут выбирать
                                                           ?


                            Cisco Catalyst
                              Switches
                                                                 Cisco WLAN
                                                                  Controller                                                           Функции:

                                                                               User Y
                                                                                                            • Всесторонний анализ устройств
          User X
                                                                                                            • Детальный контекст пользователей и устройств

                                                                                                            • Расширенная защита устройств и приложений



       Window или OS X ПК                                                Смартфоны, включая устройства с
                                                                                iOS или Android
                                                                                                           * Scheduled for Fall 2012
         Wired или Wireless                                                             Wireless


© 2011 Cisco and/or its affiliates. All rights reserved.                                                                                                Cisco Confidential   72
Устройства                  Безопасность    Управление
         Форм
         Фактор                                                                                Защищенное      Управление
                                                                                               соединение      устройством


         ОС
                                                                                                Контроль       Слежение за
                                                                                               приложений      устройством


                                                                  Приложения
                                                                                                                Внедрение
                                                                                               Защита Web
                                                                        Голос   Конференции                    приложений
             Internal                                      Web
              Apps                                         Apps
                                                                       Видео    Сообщения
                                                                                                  Защита     Производительно
                                                                                                устройства   сть & Диагностика

                                                                  Соединение
                                                                                                                Управление
                                                                                               Шифрование
                                                                                                               затратами на
                            2G/3G                                    WiFi            VPN         данных
                                                                                                                   связь




© 2011 Cisco and/or its affiliates. All rights reserved.                                                              Cisco Confidential   73
• «Белый список» приложений
                                                              Безопасность приложений    • Репутация приложений (и «черный список»)

                                                                                         •   Мониторинг устройства (инвентаризация приложений/ПО)
                                                                                         •   Управление корпоративными приложениями (обновление, удаление, …)
                                    Управление устройствами/приложениями                 •   Сброс пароля устройства
                                                                                         •   Управление расходами на 3G
                                                                                         •   Удаление настроек (удаление сертификата или конфигурационного файла)

                                                                                         • Политика допустимого использования и защита от угроз
                                                             Безопасность web-трафика    • DLP для web-приложений

                                                                                         • Шифрование (VPN при передаче и на устройстве при хранении)
                                                           Защита данных на устройстве   • Принудительное включение PIN
                                                                                         • Удаленное/избирательное удаление

                                                                                         •   Аутентификация пользователя/устройства
                                                                                         •   Оценка состояния
                                                                         Доступ к сети   •   Обеспечение выполнения политик
                                                                                         •   Контроль доступа с учетом контекста

                                                                                         •   Настройка OTA
                                                                                         •   Самостоятельная регистрация устройства
                                                                            Настройка    •   Развертывание сертификата
                                                                                         •   Настройка для корп. приложений и начальная настройка

                                                                         Обнаружение     • Профилирование или фингерпринтинг


© 2011 Cisco and/or its affiliates. All rights reserved.                                                                                           Cisco Confidential   74
Концепция BYOD в решениях Cisco
Концепция BYOD в решениях Cisco
Концепция BYOD в решениях Cisco

Contenu connexe

En vedette

Практическая реализация BYOD.
Практическая реализация BYOD. Практическая реализация BYOD.
Практическая реализация BYOD. Cisco Russia
 
Современные беспроводные решения Cisco: BYOD и безопасность.
Современные беспроводные решения Cisco: BYOD и безопасность. Современные беспроводные решения Cisco: BYOD и безопасность.
Современные беспроводные решения Cisco: BYOD и безопасность. Cisco Russia
 
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущееКорпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущееCisco Russia
 
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
 Безопасное подключение личных устройств сотрудников к корпоративным сетям ил... Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...Cisco Russia
 
Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.Cisco Russia
 
Руководство по проектированию интернет-периметра
Руководство по проектированию интернет-периметраРуководство по проектированию интернет-периметра
Руководство по проектированию интернет-периметраCisco Russia
 
BYOD и решения для контроля мобильных устройств (MDM).
BYOD и решения для контроля мобильных устройств (MDM).BYOD и решения для контроля мобильных устройств (MDM).
BYOD и решения для контроля мобильных устройств (MDM).Cisco Russia
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровCisco Russia
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Cisco Russia
 
Анализ безопасности и много другое
Анализ безопасности и много другоеАнализ безопасности и много другое
Анализ безопасности и много другоеCisco Russia
 
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияBYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияAleksey Lukatskiy
 
4 сценария внедрения BYOD на предприятии
4 сценария внедрения BYOD на предприятии4 сценария внедрения BYOD на предприятии
4 сценария внедрения BYOD на предприятииAleksey Lukatskiy
 

En vedette (12)

Практическая реализация BYOD.
Практическая реализация BYOD. Практическая реализация BYOD.
Практическая реализация BYOD.
 
Современные беспроводные решения Cisco: BYOD и безопасность.
Современные беспроводные решения Cisco: BYOD и безопасность. Современные беспроводные решения Cisco: BYOD и безопасность.
Современные беспроводные решения Cisco: BYOD и безопасность.
 
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущееКорпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
 
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
 Безопасное подключение личных устройств сотрудников к корпоративным сетям ил... Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
Безопасное подключение личных устройств сотрудников к корпоративным сетям ил...
 
Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.Cisco Talos. Эксперты по безопасности, которые защитят вас.
Cisco Talos. Эксперты по безопасности, которые защитят вас.
 
Руководство по проектированию интернет-периметра
Руководство по проектированию интернет-периметраРуководство по проектированию интернет-периметра
Руководство по проектированию интернет-периметра
 
BYOD и решения для контроля мобильных устройств (MDM).
BYOD и решения для контроля мобильных устройств (MDM).BYOD и решения для контроля мобильных устройств (MDM).
BYOD и решения для контроля мобильных устройств (MDM).
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
 
Анализ безопасности и много другое
Анализ безопасности и много другоеАнализ безопасности и много другое
Анализ безопасности и много другое
 
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияBYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
 
4 сценария внедрения BYOD на предприятии
4 сценария внедрения BYOD на предприятии4 сценария внедрения BYOD на предприятии
4 сценария внедрения BYOD на предприятии
 

Similaire à Концепция BYOD в решениях Cisco

На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденцииНа что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденцииCisco Russia
 
Byod for ya c
Byod for ya cByod for ya c
Byod for ya cExpolink
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISOAleksey Lukatskiy
 
2011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-12011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-1LLC NewLink
 
2011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-12011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-1Newlink
 
2011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-12011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-1Newlink
 
Решения Cisco по доставке и управлению контентом для операторов связи.
Решения Cisco по доставке и управлению контентом для операторов связи.Решения Cisco по доставке и управлению контентом для операторов связи.
Решения Cisco по доставке и управлению контентом для операторов связи.Cisco Russia
 
Беспроводная сеть: от А до Я
Беспроводная сеть: от А до Я Беспроводная сеть: от А до Я
Беспроводная сеть: от А до Я Cisco Russia
 
Cisco ASA CX - новый прикладной МСЭ
Cisco ASA CX - новый прикладной МСЭCisco ASA CX - новый прикладной МСЭ
Cisco ASA CX - новый прикладной МСЭCisco Russia
 
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...Cisco Russia
 
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Cisco Russia
 
Мобильные устройства - основной движущий фактор развития унифицированной арх...
 Мобильные устройства - основной движущий фактор развития унифицированной арх... Мобильные устройства - основной движущий фактор развития унифицированной арх...
Мобильные устройства - основной движущий фактор развития унифицированной арх...Cisco Russia
 
Что ждет CISO от ИТ-собратьев?
Что ждет CISO от ИТ-собратьев?Что ждет CISO от ИТ-собратьев?
Что ждет CISO от ИТ-собратьев?Cisco Russia
 
Cisco WebEx - от XaaS до on-premise решений.
Cisco WebEx - от XaaS до on-premise решений. Cisco WebEx - от XaaS до on-premise решений.
Cisco WebEx - от XaaS до on-premise решений. Cisco Russia
 
Что нас ждет со стороны BN? Или ИТ.
Что нас ждет со стороны BN? Или ИТ. Что нас ждет со стороны BN? Или ИТ.
Что нас ждет со стороны BN? Или ИТ. Cisco Russia
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...UISGCON
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиCisco Russia
 

Similaire à Концепция BYOD в решениях Cisco (20)

На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденцииНа что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
 
Byod for ya c
Byod for ya cByod for ya c
Byod for ya c
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
 
2011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-12011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-1
 
2011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-12011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-1
 
2011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-12011 06-29- sp-seminar- cisco cdn solution-1
2011 06-29- sp-seminar- cisco cdn solution-1
 
Решения Cisco по доставке и управлению контентом для операторов связи.
Решения Cisco по доставке и управлению контентом для операторов связи.Решения Cisco по доставке и управлению контентом для операторов связи.
Решения Cisco по доставке и управлению контентом для операторов связи.
 
Беспроводная сеть: от А до Я
Беспроводная сеть: от А до Я Беспроводная сеть: от А до Я
Беспроводная сеть: от А до Я
 
Cisco ASA CX - новый прикладной МСЭ
Cisco ASA CX - новый прикладной МСЭCisco ASA CX - новый прикладной МСЭ
Cisco ASA CX - новый прикладной МСЭ
 
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
TrustSec и Identity Services Engine - надежная поддержка управления доступом ...
 
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
Повсеместная безопасность Cisco. Анонс новых решений. 3 ноября 2015
 
Мобильные устройства - основной движущий фактор развития унифицированной арх...
 Мобильные устройства - основной движущий фактор развития унифицированной арх... Мобильные устройства - основной движущий фактор развития унифицированной арх...
Мобильные устройства - основной движущий фактор развития унифицированной арх...
 
Что ждет CISO от ИТ-собратьев?
Что ждет CISO от ИТ-собратьев?Что ждет CISO от ИТ-собратьев?
Что ждет CISO от ИТ-собратьев?
 
Secure Mobile Office
Secure Mobile OfficeSecure Mobile Office
Secure Mobile Office
 
Cisco WebEx - от XaaS до on-premise решений.
Cisco WebEx - от XaaS до on-premise решений. Cisco WebEx - от XaaS до on-premise решений.
Cisco WebEx - от XaaS до on-premise решений.
 
Что нас ждет со стороны BN? Или ИТ.
Что нас ждет со стороны BN? Или ИТ. Что нас ждет со стороны BN? Или ИТ.
Что нас ждет со стороны BN? Или ИТ.
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
 
CISO 2010
CISO 2010CISO 2010
CISO 2010
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
Интернет вещей
Интернет вещейИнтернет вещей
Интернет вещей
 

Plus de Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

Plus de Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Концепция BYOD в решениях Cisco

  • 1. Концепция BYOD в решениях Cisco Алексей Лукацкий Менеджер по развитию бизнеса © 2011 Cisco and/or its affiliates. All rights reserved. 2010 Cisco Confidential 1/68 1
  • 2. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие Платформа Cisco ISE Cisco BYOD в реальном мире © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2/68
  • 3. План презентации Мобильность, BYOD, безопасность © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3/68
  • 4. Быть свободным от границ рабочего стола, рабочего телефона, персонального компьютера и переговорных © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4/68
  • 5. Создавать собственное рабочее пространство - когда хочешь, где хочешь и какое хочешь Видео- Presence транспорт Контроль Политики звонков Распознавание Конференции речи © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5/68
  • 6. Чтобы рабочее место следовало за работником, а не наоборот – к заказчикам, к партнерам, в пути © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6/68
  • 7. Работать вместе с тем, кто нужен, не взирая на его Маша Петрова местонахождение и часовой пояс ЗАЩИЩЕНО Наставник Организатор Директор Сын (в школе) Технолог Мама Исследователь Дизайнер Ася Букина Статус: Предпочтение: Вася Пупкин Статус: Предпочтение: © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7/68
  • 8. Чтобы заказчик или партнеры стали полноправными участниками взаимодействия BILLING ISSUE Representative Tier 2 Rep © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8/68
  • 9. Ускорить прохождение сделок, увеличить их число, ускорить бизнес-процессы, контролируя! © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9/68
  • 10. Когда все что нужно, это защищенное подключение к сети, какое бы подключение вы не использовали © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10/68
  • 11. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11/68
  • 12. Мир ПК Эра пост-ПК z Приложения ОС пользователя ОС Сервера Клиентские устройства © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12/68
  • 13. 2010 iPad + Mac = 12% рынка ПК 3.6Млрд 100+ миллионов Мобильных устройств* планшетников 300,000 1.8Млрд Ежедневных … имеют web- активаций Android доступ* 70% студентов США используют Mac **Gartner research prediction; Gartner Forecast: Tablet PCs, Worldwide, November, 2010 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13/68
  • 14. 2013 Скоро будет Один триллион устройств подключенных к сети, по сравнению с 3.6 МЛРД в 2010 Cisco IBSG © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14/68
  • 15. Бизнес вышел за рамки ПК © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15/68
  • 16. Новый опыт ИТ-службы Cisco Консьюмеризация Непрерывное соединение Распространение устройств Мобильность Любое устройство, Везде, Всегда, Защищенно.... 2,454 iPads 70% рост Планшетники 11,762 1,164 15,403 3,289 iPhones Android BlackBerry Другие устройства 20% рост 76% рост 0% рост -18% рост © 2010 Cisco and/or its affiliates. All rights reserved. Смартфоны (КПК) Cisco Confidential 16/68
  • 17. Традиционная архитектура не справляется с требованиями сегодняшнего дня Мобильность Социальность Видео Виртуализация Отсутствие поддержки Невозможно Низкое качество и Ограничения в работе с мобильных устройств и OC взаимодействовать с совместимость голосом и видео через социальными сетями VDI X X X X © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17/68
  • 18. Как я буду контролировать, кто и что получил доступ к моей сети?! © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19/68
  • 19. BYOD: риски безопасности Мобильные устройства пользователей: главный источник рисков УГРОЗЫ • Трудно управлять и защищать (1/3 всех сотрудников постоянно вне офиса) • Вредоносное ПО (Web: основной вектор) • Причина уязвимости корпоративной инфраструктуры • Раскрытие данных на украденных или потерянных устройствах • Нарушение правил контроля доступа • Проблемы обеспечения соблюдения политик BYOD* ̶ основной риск Source: 2011 ISACA IT Risk/Reward Barometer, US Edition (www.isaca.org/risk-reward-barometer) © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20/68
  • 20. Приоритеты заказчиков/реальные сценарии Реакция на угрозы, связанные с концепцией BYOD 1. Защита оконечных устройств от угроз, присущих web 2.0 2. Обеспечение защищенного удаленного доступа с любых устройств 3. Аутентификация и авторизация пользователей беспроводной сети (гости, временные сотрудники, подрядчики…) Менеджер по продажам заходит на salesforce.com со своего iPhone. Это безопасно? © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21/68
  • 21. BYOD: спектр реакций Запрет/ограничение Разрешение Поддержка Энтузиазм Среды с жестким контролем Базовые сервисы, простой Различные Корпоративные доступ, почти для всех сервисы, защищенное приложения, новые подключение сервисы, управление Только корпоративные Широкий спектр устройства устройств/только Интернет Различные типы устройств, Производства Образование Различные типы устройств и MDM методы доступа, VDI Инновационные корпорации Биржи Общественные организации и общественные места Здравоохранение Розничные продажи Госучреждения (секретность!) Традиционные корпорации Простой гостевой доступ Корпорации, стремящиеся (Retail on Demand) внедрить BYOD Мобильные сотрудники Поддержка временных сотрудников (видео, среды совместной © 2010 Cisco and/or its affiliates. All rights reserved. работы, .) Cisco Confidential 22/68
  • 22. Мобильника Интернет Автомобиля Партнера 97% 84% 64% 43% © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23/68
  • 23. Многообразие устройств: это надолго Пользователи • Единообразие средств на различных платформах • Простой переход с устройства на устройство • Разделение рабочих 89% 26% и личных данных 75% • Следование технической и социальной моде 10% 36% ИТ-специалисты • Постепенное распространение 22% пользовательских/ мобильных устройств • Следование BYOD без 1% 23% жертв в сфере безопасности, управления, поддержания стандартов • Снижение затрат организации • Повышение гибкости © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24/68
  • 24. Проблема контроля доступа ЦЕЛИ БИЗНЕСА ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ―Управление рисками, связанными с ―BYOD‖ персональными устройствами‖ ―Необходимо обеспечить работы глобального коллектива мобильных сотрудников (включая ―Кто в моей сети, что они делают?‖ партнеров и подрядчиков)‖ ―Необходимо соблюдать нормативные ―Хорошо бы провести сегментацию сети требования и быть готовыми к проверке‖ и ресурсов ЦОД, ограничив права доступа ‖ © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25/68
  • 25. Представляем Cisco TrustSec Идентификация пользователей, профилир ование устройств Удаленный Пользователь Пользователь Устройства Устройства пользователь беспроводной VPN (VPN) сети Гостевой доступ Сети VLAN Авторизация Инфраструктура в соответствии Профилирование с поддержкой Списки dACL с политикой Оценка состояния identity Метки SGT Доступ и сервисы Масштабируемые средства в соответствии обеспечения Оценка состояния и с политикой шифрование каналов ЦОД Зоны Интранет Интернет безопасности © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26/68
  • 26. Решение Cisco для реализации концепции BYOD ISE NCS Prime IronPort WSA Коммутаторы Cisco MDM Manager Catalyst Контроллер WLAN Cisco Устройство стороннего поставщика (MDM) CSM / ASDM Устройства проводной сети AC NAM (только Windows) AC NAM (только Windows) AC VPN (все мобильные платформы) Интеграция AC с облачными сервисами (Все PC) © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27/68
  • 27. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28/68
  • 28. Защищенная мобильность: Cisco AnyConnect и другие Cisco AnyConnect Сервисы Cisco для обеспечения Cisco ASA безопасности контента 29
  • 29. Защищенная мобильность: Cisco AnyConnect и другие Cisco AnyConnect 30
  • 30. Основные сведения • Независимость от протоколов: с использованием клиента и без использования клиента; IPSec или SSL VPN • Автоматизация: поддержка работы в автоматическом режиме, постоянно активное подключение, выбор оптимального шлюза, автоматическое восстановление подключения • Постоянная защита: автоматическое определение ближайшего шлюза и переключение на него без повторного ввода учетных данных • Гибкие варианты лицензирования: Essentials, Premium, Mobile • Поддержка мобильных устройств: Поддержка Apple ios4+ (iphone, ipad, itouch), Cisco Cius, Samsung Android, Windows, MAC, Linux © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
  • 31. Защищенная мобильность: AnyConnect и другие Сеть и безопасность идут за пользователем. Пользователь просто работает Корпоративный офис Мобильный Домашний офис пользователь Пров. сеть Wi-Fi Сотовая/ Wi-Fi Защищенный доступ в соответствии с политикой Голос, видео, приложения, данные © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
  • 32. iPhone 3G/3GS/4/4S iPad и iPad 2 iTouch Поддержка платформ на базе Apple iOS 5 Lenovo Thinkpad Samsung Galaxy HTC Cisco Cius Поддержка платформ на базе Android
  • 33. Модульная структура AnyConnect Будущее SSL /DTLS VPN Оценка Облачные L2 Supplicant (Essential IPsec VPN состояния/ сервисы - (пока только Win) NAC Agent или (БЕСПЛАТНО) HostScan web-трафик (требуется ACS Mobile WAAS Premium) (Premium) (по подписке) или ISE) Платформа базовых сервисов AnyConnect Архитектура © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
  • 35. Поддержка самых разных потребностей ASA 5585 SSP-60 (40 Гбит/с, 350K c/с) Производительность и масштабируемость ASA 5585 SSP-40 (20 Гбит/с, 240K c/с) Мультисервисное решение ASA 5585 SSP-20 (МСЭ, VPN и IPS) (10 Гбит/с, 140K c/с) ASA 5585 SSP-10 (4 Гбит/с, 65K c/с) ASA 5540 (650 Мбит/с,25K c/с) ASA 5520 (450 Мбит/с,12K c/с) ASA 5510 (300 Мбит/с,9K c/с) ASA 5505 (150 Мбит/с, 4K c/с) Платформа ASA 5550 МСЭ и VPN (1,2 Гбит/с, 36K c/с) SOHO Филиал Интернет-периметр Комплекс зданий ЦОД
  • 36. Защищенная мобильность: AnyConnect и другие Сервисы Cisco для защиты контента 37
  • 37. Облачные сервисы ScanSafe Интеграция с AnyConnect 3.0 Интернет-трафик VPN – внутренний трафик (опционально) AnyConnect Secure Mobility
  • 38. Управление работой web-приложений Тонкое управление работой с web-приложениями Политика контроля доступа Нарушение политики • Мгновенные сообщения • Передача файлов по IM • Блокировка «взрослого» контента • Facebook: с ограничениями • Чат Facebook • Ограничение пропускной способности • Видео: не более 512 кбит/с • P2P Сотрудница бухгалтерии Тонкое управление работой с приложениями
  • 39. Решение Cisco IronPort WSA Защита от угроз, связанных с Web 2.0 • Фильтры web-репутации: учет более чем 200 параметров позволяет блокировать более 70% угроз категории "Day Zero" • Управление фильтрацией доступа к web-ресурсам: блокирование доступа к URL-адресам (отнесенных к определенным категориям и не классифицированным); динамический модуль сканирования контента успешно идентифицирует более 90% URL-адресов нежелательного контента • Модуль поиска вредоносного ПО: блокировка известного вредоносного ПО практически без задержек (как с использованием сигнатур, так и с использованием эвристического анализа) • Управление приложениями Web 2.0: Facebook, Twitter, You Tube и т. п. • Средства управления пропускной способностью для отдельных пользователей (You Tube и т. п.)
  • 40. Защищенная мобильность: AnyConnect и другие Компоненты и их функции VPN-клиент AnyConnect Решение Cisco IronPort WSA 1 2  Удобство подключения (постоянное  Устранение вредоносного ПО подключение, обнаружение доверенной сети)  Фильтры репутации  Унифицированный агент (VPN, NAM, Scansafe,  Монитор трафика (L4) NAC-в следующей версии)  Контроль использования web-ресурсов  Интеграция/совместная работа Cisco ASA (МСЭ, VPN, IPS) Обмен данными между ASA и WSA Cisco® AnyConnect ASA Cisco WSA Facebook Salesforce.com Corporate AD Корпоративная Социальные сети SaaS-система
  • 41. Новости Электронная почта AnyConnect Обмен данными между ASA и WSA ASA Cisco WSA Социальные сети Корпоративная SaaS-система Corporate AD © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
  • 42. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие Платформа Cisco ISE и TrustSec © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
  • 43. Доступ с любого устройства КАФЕ ОФИС ПРОБЛЕМА Учет результатов идентификации и Обеспечение выполнения Защита конфиденциальности ролевая модель контроля доступа политик: от пользовательских в рамках всей сети Гостевой доступ устройств до ЦОД © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
  • 44. Контроль доступа ГДЕ ЧТО КОГДА КТО КАК ? ? ? Виртуальные машины в ЦОД VPN MACSec Решения на основании состояния 1. Разрешение/блок в соответствии с политикой СТОП ЦОД 2. Авторизованным устройствам назначаются метки политики 3. Теги политики учитываются при работе в сети ОК РЕШЕНИЕ CISCO Согласованная политика на Распространение сведений о Метки групп безопасности основании результатов политиках и интеллектуальных позволяют обеспечить идентификации на всех уровня – от механизмов по сети масштабируемое применение устройства до ЦОД – в политик соответствии с бизнес- с учетом контекста потребностями © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
  • 45. Пользователи и устройства Сотрудники, Контрактники, Телефоны, Принтеры… Виктория Катернюк Сотрудник Мария Сидорова IP-камера Проводной доступ Сотрудник HR Корпоративный ресурс Конфиденциальные ресурсы 15-00 Проводной доступ Ноутбук MAC: F5 AB 8B 65 00 D4 11-00 Корпоративный ресурс Сеть, устройства и Приложения Лаборатория 11 утра Множество методов доступа Анна Петрова Катя Жуковская Разные устройства, разные места сотрудник CEO сотрудник Удаленный доступ R&D 10 вечера WiFi Антон Алмазов 14:00 дня консультант Центральный офис Сергей Балазов Удаленный доступ контрактник 6:00 вечера Все необходимо контролировать IT Проводное подключение 10 утра IP телефон G/W Принтер Корпоративный актив Некорпоративный актив Финансовый департамент MAC: B2 CF 81 A4 02 D7 © 2010 Cisco and/or its affiliates. All rights reserved. 11:00 вечера Cisco Confidential 48/68
  • 46. Идентификация пользователей, профилир ование устройств Удаленный Пользователь Пользователь VPN Устройства Устройства пользователь беспроводной (VPN) сети Гостевой доступ Сети VLAN Авторизация Инфраструктура в соответствии Профилирование с поддержкой Списки dACL с политикой Оценка состояния identity Метки SGT Доступ и сервисы Масштабируемые средства в соответствии обеспечения Оценка состояния и с политикой шифрование каналов ЦОД Зоны Интранет Интернет безопасности © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49/68
  • 47. Задание политики и сервисы обеспечения безопасности Identity Services Engine (ISE) Платформа идентификации и контроля доступа Обеспечение выполнения политик Cisco 2900/3560/3700/4500/6500 и Nexus 7000, Cisco ASA, ISR, ASR 1000 инфраструктура WLAN и инфраструктура маршрутизации Клиент NAC Agent Web Agent Саппликант 802.1x Бесплатные (постоянно и временно загружаемые) клиенты Саппликант AnyConnect или встроенный в ОС для оценки состояния и устранения несоответствий © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50/68
  • 48. Представляем Cisco ISE Решение в области обеспечение ИБ следующего поколения Идентификация и контроль доступа Cisco ACS AnyConnect Идентификация, контроль доступа, оценка состояния NAC Manager NAC Server Профилирование, выделение ISE ресурсов, мониторинг NAC Profiler NAC Collector Автономное устройство или лицензия на модуль NAC Server Управление жизненным циклом гостевого доступа NAC Agent NAC Guest Server
  • 49. Консолидированные сервисы в Каталог текущих сессий одном продукте Гибкие схемы внедрения ACS User ID Access Rights NAC Manager Admin M&T All-in-One HA Console NAC Profiler Pair NAC Server ISE Distributed PDPs NAC Guest Location Device (& IP/MAC) Simplify Deployment & Admin Tracks Active Users & Devices Optimize Where Services Run Гибкость политик доступа Управление доступом на основе Групп Безопасн Функции детального мониторинга и поиска неисправностей SGT Public Private Staff Permit Permit Guest Permit Deny Link in Policy Information Points Keep Existing Logical Design Consolidate Data, Three-Click Drill-In
  • 50. “Сотрудники могут получать доступ ко всем ресурсам с личных и корпоративных устройств. Доступ внешних пользователей блокируется.” Интернет “Сотрудники должны использовать корпоративные устройства. Личные устройства Внутренние запрещены, гостевой доступ не предусмотрен.” ресурсы Сеть комплекса зданий Ограниченный набор ресурсов “Сотрудники могут получать доступ к любым ресурсам с корпоративных устройств. Сотрудникам, использующим личные устройства, Это важно! и партнерам предоставляется ограниченный доступ.” Сервисы политики © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
  • 51. EAP Phase 1 Аутентификация устройства MAC, DHCP, DNS, HTTP Phase 2 Определение типа ISE Phase 3 Политика WLC Огр. Устр-во ОК? доступ QoS • Silver ACL • Allow-All Полный доступ • Сотрудники VLAN © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54/68
  • 52. Cisco Catalyst® Switch Дифференциаторы Monitor Mode Гибкая последовательность аутентификации Поддержка IP Telephony Поддержка Virtual Desktop Environments Пользователи Tablets IP Phones Сетевые устройства Гости 802.1X MAB and Profiling Web Auth Варианты аутентификации IEEE 802.1x MAC Auth Bypass Web Authentication © 2011 Cisco and/or its affiliates. All rights reserved. Поддержка на всех моделях коммутаторов Cisco Confidential 55
  • 53. Метод авторизации Определяет поведение интерфейс на основании числа mac-адресов Cisco IOS поддерживает 4 режима работы хостов Один хост Коммутатор Неск. хостов Коммутатор Разрешен только один MAC- адрес. 2й 1й MAC-адрес проходит MAC-адрес: нарушение аутентификацию. 2е устройство используется аутентификацию первого Хаб MAC-адреса. Хаб Аутентификация Обход VLAN dACL VLAN SGT Устройство 1 Устройство 2 SGT Устройство 1 Устройство 2 Аутент. MDA Коммутатор Несколько хостов в домене Коммутатор Для каждого домена (Voice или Data) Домен Voice: один MAC-адрес. Домен разрешен 1 MAC- адрес. 2й MAC-адрес в Data: несколько MAC-адресов. домене: нарушение Поддерживается dACL или одна VLAN Voice для всех устройств Voice Data Data Data VLAN dACL VLAN dACL SGT Устройство 1 Устройство 2 SGT Устройство 1 Устройство 2 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56/68
  • 54. Смартфоны Минимальный уровень совпадения Несколько правил для формирования уровня совпадений Игровые консоли Рабочие станции © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57/68
  • 55. После профилирования устройства сведения о нем сохраняются на ISE: MAC-адрес соответствует Apple? В имени есть строка ―iPad‖? Web-браузер Safari? ISE Apple iPad © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58/68
  • 56. NAC Profiler ISE Profiler • OEM-решение (продажи прекращены) • Собственная разработка Cisco, полная интеграция с ISE • Технологии сканирования: • Технологии сканирования: NetMap (SNMP), NetTrap (SNMP), NetWatch Netflow, DHCP Helper, DHCP Span, HTTP, RADIUS, (Span), NetRelay (NetFlow) DNS, SNMP Query, SNMP Trap, активное и NetInquiry (Active Scannig) сканирование • Автономный сервер или распределенная • Распределенный модуль сбора инфраструктура информации, данные отсылаются на Profiler Server для обработки (клиент/сервер) • Более 90 профилей в конфигурации по умолчанию • Управление на базе SNMP для реакции • Управление на базе RADIUS для реакции • Более гибкий импорт данных об оконечных устройствах csv, LDAP, ...) • Интеграция с сенсором IOS © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59/68
  • 57. • Включение типов сканирования • Использование заранее определенных наборов правил профайлера или создание собственных • Включение профиля как группы идентификации и использование его при аутентификации/авторизации http://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_prof_pol.html © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60/68
  • 58. Wireless Wired User Devices Virtual Desktop Remote VPN User User Контроль на базе Варианты контроля политик VLANs IDENTITY и CONTEXT AWARE Access Control Lists NETWORK Secure Group Tags * MACSec Encryption * *= Cisco Innovation ЦОД Intranet Internet Зоны безопасности © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61/68
  • 59. Cisco Innovation DACL или Named ACL VLANS Security Group Access Employee IP Any Remediation Contractor Employees Guest Security Group Access— VLAN 3 VLAN 4 SXP, SGT, SGACL, SGFW • Минимальное воздействие на • Не требует управление ACL на • Простое управление ACL endpoint (не требуется менять IP- портах коммутатора адрес) • Универсальный • Лучший вариант для изоляции контроль, независящий от • Улучшенное восприятие топологии пользователями • Гранулированный и гибкий контроль доступа Гибкие механизмы применения на инфраструктуре Различные сценарии для различных заказчиков © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62/68
  • 60. Политики на техническом языке Политики на базе ролевого управления Пользователи Права Ресурсы Матрица прав Оператор Intranet Email Financial D1 АСУ ТП S1 (10.156.78.100) Portal Server Servers (10.10.24.13) АСУ ТП Web File D2 Оператор Web IMAP No Access Web File Share Share S2 (10.10.28.12) Finance Web IMAP Web No Access D3 Full (10.156.54.200) IT Admin Web, SQL, SSH Access SQL SQL Finance S3 Email D4 Intranet Doctor - Patient Record ACL (10.10.36.10) permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 IT Admins (10.156.100.10) deny ip S4 D6 Finance (10.10.135.10) Долго permit permit tcp S1 D1 eq https tcp S1 D1 eq 8081 Просто deny ip S1 D1 Вручную …… …… Гибко Ошибки permit permit tcp S4 D6 eq https tcp S4 D6 eq 8081 Понятно deny ip S4 D6 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63/68
  • 61. АСУ ТП (confidential) Оператор Неограничено для сотрудников Finance Internet Guest Cisco Innovation Решение СЦЕНАРИИ ВНЕДРЕНИЯ SECURITY GROUP ACCESS (SGA) Масштабируемое применение независимо от сетевой топологии МАСШТАБИРУЕМОЕ СНИЖЕНИЕ ОПЕРАЦИОННЫХ УСКОРЕНИЕ БИЗНЕС-ЦИКЛА ВНЕДРЕНИЕ ЗАТРАТ © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 64/68
  • 62. Wired, Wireless, VN User Временный доступ до момента Не соответствует! приведения в соответствие Пример политик: Сложности: Ценность: • Microsoft patches updated • Понимание состояние устройства • Временный (web-based) или • Различные уровни доступа к постоянный агент • McAfee AV установлен, запущен и обновлен устройствам • Автоматическое приведение в • Цена приведения в соответствие соответствие • Запущены корпоративные приложения • Различные варианты © 2010 Cisco and/or its affiliates. All rights reserved. реагирования Cisco Confidential 65/68
  • 63. Гостевая политика Web Authentication Internet Wireless или Wired Гости Access Доступ только в Интернет Заведение: Управление: Уведомление: Отчет: Гостевая учетная запись через Привилегии спонсора, Детали гостевой учетной Все аспекты гостевого доступа Sponsor Portal гостевые политики и учетные записи на принтер, почту или записи, гостевой портал SMS © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 66/68
  • 64. TrustSec 2.1 Feature Matrix Security Group Access MACSec 802.1x / Device Switch to Client to Platform Models Identity SGT SXP SGACL SG-FW Sensors Switch Switch Features Cat 2K 2960, 2960-S Cat 3K 3560, 3650E, 3750, 3750E, 3750-X 3560-X x 3560 C Cat 4K Sup6E , Sup 6L-E Sup7E, Sup 7L-E Cat 6K Sup32 / Sup720 Sup2T Nexus 7K Nexus 5K Pr1 / Pr2, 1001, 1002, 1004, 1006, ASR 1K 1013, ESP10/20/40, SIP 10/40 ISR G2 88X 89X 19xx 29xx 39xx ASA Wireless LAN Controller AnyConnect © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 67/68
  • 65. NCS Централизованный мониторинг сетей, ISE пользователей и устройств Центральная точка формирования политик для пользователей и устройств Унификация политики для проводных и беспроводных устройств (ISE) и управления (NCS) © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 68/68
  • 66. Реализация BYOD на базе ISE Контроль доступа Я хочу разрешить работу Сервисы аутентификации в моей сети только «нужных» пользователей и устройств Мне нужно, чтобы пользователи и устройства получали адекватный Сервисы авторизации доступ к сетевым сервисам (dACL, Qos, и т. п.) Cisco ISE Мне требуется разрешить Управление жизненным гостевой доступ к сети циклом гостевого доступа Мне требуется разрешить/запретить доступ с iPAD Сервисы профилирования в мою сеть(BYOD) Мне требуется уверенность, что мои оконечные устройства не Сервисы оценки состояния станут источником атаки
  • 67. План презентации Мобильность, BYOD, безопасность Cisco AnyConnect и другие Платформа Cisco ISE Cisco BYOD в реальном мире © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
  • 68. Мобильные + ПК Политика Распространение использования корпоративного ПО Классификация/ (AUP) Регистрация Управление профилирование Пользовательские (резервное копирование, устройства удаленная очистка, ...) Соответствие политикам Защищенный доступ к сети Предоставление (Jailbreak, пин-коды, ...) [(бес)проводной и VPN] сертификатов и саппликантов Защищенные Контекстнозависимый контейнеры контроль доступа данных Управление (роль, местоположение, ...) ресурсами Управляет Управляет ИТ Частичное управление у ИТ пользователь (не ИТ) (не пользователь) = Сетевые средства (ISE) = Полная управляемость (будущее) © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71
  • 69. MDM Ecosystem Интеграция с лидерами рынка MDM * AD/LDAP ISE • MobileIron, Airwatch, Zenprise Контекстная MDM Mgr политика • Заказчики могут выбирать ? Cisco Catalyst Switches Cisco WLAN Controller Функции: User Y • Всесторонний анализ устройств User X • Детальный контекст пользователей и устройств • Расширенная защита устройств и приложений Window или OS X ПК Смартфоны, включая устройства с iOS или Android * Scheduled for Fall 2012 Wired или Wireless Wireless © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72
  • 70. Устройства Безопасность Управление Форм Фактор Защищенное Управление соединение устройством ОС Контроль Слежение за приложений устройством Приложения Внедрение Защита Web Голос Конференции приложений Internal Web Apps Apps Видео Сообщения Защита Производительно устройства сть & Диагностика Соединение Управление Шифрование затратами на 2G/3G WiFi VPN данных связь © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73
  • 71. • «Белый список» приложений Безопасность приложений • Репутация приложений (и «черный список») • Мониторинг устройства (инвентаризация приложений/ПО) • Управление корпоративными приложениями (обновление, удаление, …) Управление устройствами/приложениями • Сброс пароля устройства • Управление расходами на 3G • Удаление настроек (удаление сертификата или конфигурационного файла) • Политика допустимого использования и защита от угроз Безопасность web-трафика • DLP для web-приложений • Шифрование (VPN при передаче и на устройстве при хранении) Защита данных на устройстве • Принудительное включение PIN • Удаленное/избирательное удаление • Аутентификация пользователя/устройства • Оценка состояния Доступ к сети • Обеспечение выполнения политик • Контроль доступа с учетом контекста • Настройка OTA • Самостоятельная регистрация устройства Настройка • Развертывание сертификата • Настройка для корп. приложений и начальная настройка Обнаружение • Профилирование или фингерпринтинг © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74

Notes de l'éditeur

  1. Through our ISBG Group, Cisco has worked with customers to do some forecasting of our own. We’re predicting that by 2013 there will be one trillion devices connected to the network, up from 35 billion in today.That means that one trillion devices will connect people through SMS, video, social networks, email, instant messaging and even ways that we haven’t thought of to be together.Today, companies are wondering how to leverage that growth in the tremendous increase of even more people connecting through the network; how to adapt and take advantage of the collective power of the human network.This is part of what we’ll talk about in this presentation. ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Source: Cisco IBSG
  2. We all know that the way we work is changing.Consumerization, continuous connectivity, device proliferation, and mobility are changing the way we work and share informationThese new trends requires us to acknowledge that our workforce are driving new demands and a new type of experience. Employees now expect the same experience in the workplace that they do online as consumers. Our goal is to help deliver the experience whilst helping enable our employees to increase their productivitySMARTPHONEThis has steadily grown since we made some of the big entitlement changes with users being moved from Corporate paid devices and voice/data contracts. This drove our client base to below 24,000 and since then he has increase to over 30,000 with the increase coming from users on personal contracts and devices – very much supporting the consumerization story The biggest growth continues to be iPhones, with Android growing the fastest month on month – very supporting the prior market slide  TABLET TIERThe tablet tier is the new tier where we are seeing more devices and driving multiple device use. This is driving requests for enterprise based services and support. With the bigger real estate – users what to do more with them and are looking at ways of it becoming more than a companion device. Its ideally the one device users wish to only carry. Its biggest shift demand is how to have it more than a consumption oriented device. With our own CIUS the internal demand is going to increase especially when you integrate with a full suite of Cisco solutions like IWE, Voice, Video and Virtual Desktop Experience. The content in this deck relates to how we enable smartphone and tablet devices at Cisco.
  3. A recent Cisco Connected World Report shows that employees expect to have more flexible work options. For many, such flexibility is even more important than salary. IDC predicts that in 2012, the number of mobile devices is likely to reach 462 million, exceeding PC shipments.Such increased access methods and devices present major challenges for many organizations, as they try to maintain a high level of security while supporting productivity and work flexibility. Some specific challenges include:1) Mobile workers need access to resources on the internal network from anywhere, and they also need access to cloud-based services.2) The large number of user-owned mobile devices and many different types of these devices make it difficult for organizations to identify the devices and to ensure policy compliance.3) Without proper protection, data residing on the mobile devices becomes a high risk of corporate data loss as well as compliance violations.
  4. In addition to the multi-dimensional complexity of the internet edge, the traffic traversing the internet edge is richer than ever before. Not many years ago the workstations were locked down and all the applications that you needed to use or access were installed or explicitly made accessible by IT on the your machine. If you needed a sales app or a finance app, IT would come and install the application or the fat client on the user’s machine. Today the situation is dramatically different. While email was one of the first applications enabling the borderless internet edge experience, the traffic today is much more complex and includes application types like web surfing, video, audio, SaaS, applications tunneling over the Web (IM, P2P). With more and more traffic going over the Web, HTTP has become the new TCP.It is becoming more and more of a common site where employees are logged into WebEx, Enterprise Email, Facebook / LinkedIn, their personal email – all at the same time, thus blurring the lines between business traffic and personal traffic at the internet edge. While this has in many ways improved collaboration and productivity, it raises new challenges for effective management of this traffic.
  5. Transcript:So if work isn't a place, it's not something I can draw a line around and I can control, then I have this tension between enabling people to be global on one side of the scale, enabling them to be mobile, enabling them to go out and do these things, and then having it still be secure, making sure that someone doesn't put me out of business by doing something stupid. So that's another way this whole conversation can come up with TrustSec. Part of it is network evolution, as we went through before. The more recent conversations with the customers are happening around devices, though. BYOD, consumerized IT trends. Have you seen that? What's the mix? How many people see more-- I'm going to make you interact whether you want to or not. How many people have seen more BYOD than the network evolution of BN? So about half the room. How about the other way around? And the rest just didn't answer. OK. But there is a lot of BYOD way out there. Questions on how we're defining the problem set? I'm going to get into solutions in a second. We're still doing some of the ways that the customers will set these things up you. But are those clear so far? General grunts of assent.Author’s Original Notes:In the past, security has often been seen as an impediment to the business, or can get in the way of innovation and productivity. The security organization has imperatives such as protecting the organization against threats, achieving compliance, and supporting access to the network. That is balanced against the business imperatives of improving agility, enabling collaboration and driving operational efficiencies. There will always be some natural contention between the two sets of imperatives, but security touches so much of the business these days that better alignment can actually be a strength or an asset. Security can become the “safety” net” that allows the business to innovate and boost user productivity, allowing them to say yes more often, and move faster knowing they have a solid security architecture and strategy in place. And security costs cannot continue to increase, organizations are seeking ways to control cost and tie security to the operational aspects of the business. There is clearly a business driver for security to change.
  6. Transcript:So now we finally get to solutions. What did we build to fix this? We built TrustSec. Similar to what we were talking about on the evolution of borderless networks. We learned our lesson through the years that we really needed to do all of these things together. TrustSec as a solution covers the areas of technology that we had with the appliance overlays. So with ACS, with NAC, with a NAC guest server, with a profiler, all these different boxes that we had. ISE is functionally replacing the orchestration. TrustSec technology built into the infrastructure is doing a lot of the enforcement works. So together as a solution, it's really replaced a lot of these things. We've also gotten smart about the devices in that process too. So it's not just PCs up here. It's now all these other things that we're talking about. It's the additional smart phones. It's the additional tablets. The main benefits to IT when that happens, or to the customer, is the productivity and risk management. So if you're building a value proposition for a customer out of this, those are the two that come up over and over again. The improved operational efficiency, eh. It's nice to have three things up there, and people always like seeing things in three. The two that matter are I'm going to give you a tool that makes your business work in a more modern fashion. That is a powerful message for a lot of customers. The other one is I'm going to make it safe for you to do that. I'm going to make sure that your risk is mitigated. And that's the core value proposition that we're trying to build with this stuff. You've got the problem set up of all these different types of devices, problem set up of all these different types of access methods. And what we're bringing you is a way to keep your network safe. We're bringing you a way to deal with that issue. How many people have had this customer conversation on some level on some technology in the past couple years? You guys up front? How did it go? AUDIENCE: I've got clients [INAUDIBLE] going on right now. And we need to talk after this. BRENDAN O CONNELL: Excellent. ISE pilot and follow up questions is the answer. AUDIENCE: [INAUDIBLE] data right now. BRENDAN O CONNELL: OK, good. Was the customer interest along these lines? Like they're buying it to mitigate risk, or they're buying it to improve efficiency for the pilots that you've got? AUDIENCE: That customer wanted TrustSec 18 months ago, or 12 months ago to solve the problem of third party access. They had people in their environment that aren't [INAUDIBLE] and they want to control where they go. BRENDAN O CONNELL: There we go. Yeah. So the comment was the customer's been after it for 18 months because they've had an issue with contractors and guests accessing their network. We'll talk about that. We'll do some deep dives on some of the solution aspects.
  7. Why Cisco/network wins
  8. Cisco Secure Remote Access is a best of breed solution, offering a full featured, mature solution resulting from 15+ years of VPN remote access expertise, proven innovation, and product integration.Our expert engineers have engineered and optimized several generations of Cisco VPN product lines and features, including the VPN3000 series, the PIX series and the ASA series, offering both IPsec or SSL VPN remote access., as well as VPN site to site.They have architected the solution for optimum VPN remote access, VPN site to site access, and integrated security services, thereby enabling each customer to build, “a la carte”, their VPN Secure Remote Access solution.The best testimonial of this successful design is the adoption of the Cisco VPN remote access solution by millions of remote access users.Planning to discontinue some platforms:WM, webOS, Symbian
  9. Cisco’s on-premise solution is focused on enabling a seamless end-to-end user experience…transparently inserting security into every transaction. The two major components of this are the AnyConnect Secure Mobility Client and information exchange between the ASA (termination point for AnyConnect session) and WSA (policy enforcement & Web security).AnyConnect can be configured to provide an Always-On VPN, meaning that the user must have a secure VPN connection in order to access the Internet. Always-On VPN provides the foundation for changing from the occasionally-protected model (The “captive portal” case—providing access to login to a hotspot at a hotel or coffee shop—is fully supported. ) Rather than forcing the user to manually select the head-end, the optimal headend is detected and AnyConnect connects securely to it. If certificates are in use, then the user doesn’t even need to do anything to authenticate…the connection just happens.The ASA head-end then communicates to the WSA, providing information on who the user is (avoiding any additional authentication step for the user to access their web content) as well as the fact that they’re mobile. The WSA uses this information to apply location-aware policy—maybe both enforcing acceptable use and protecting from malware in the office, but just protecting from malware while mobile.
  10. Another key to making the experience seamless is by ensuring that the scanning elements are distributed throughout the network and not just at HQ—pressing out to the capillaries of the network through ISR integration; as well as in the cloud.The recent ScanSafe acquisition accelerates Cisco’s ability to deliver security services in the cloud. Over time, Cisco is planning to build a hybrid hosted model in which users will be able to attach to either a company-owned head-end or a cloud enforcement point—whichever provides the best user experience—while getting consistent policy enforcement and security.In the interim, customers have the choice of on-prem or cloud enforcement for their mobile users. For the cloud-based solution, the Anywhere+ client will re-direct web traffic to the Cisco-ScanSafe cloud for scanning and enforcement. In the near future, this client will converge with the AnyConnect client for a unified client footprint.Alternatively, customers can use the AnyConnect Secure Mobility client to connect to on-premise equipment for security. We’ll dig into this solution in more detail on the next slide.
  11. A recent Cisco Connected World Report shows that employees expect to have more flexible work options. For many, such flexibility is even more important than salary. IDC predicts that in 2012, the number of mobile devices is likely to reach 462 million, exceeding PC shipments.Such increased access methods and devices present major challenges for many organizations. They need to maintain a high level of security while supporting productivity and work flexibility.Issues around these devices include: Making sure that users and devices are healthyEnsuring that devices are connected securely to servicesEnsuring that devices and users only have access to network resources appropriate to a number of context-based decisions, such as the user’s role, the kind of device being used, where is it located, what time is it, what sort of connection is being used, etc.The ability to provide consistent policy for any user or device, from the most remote endpoint, across the network, to the center of the data center.The ability to determine, based on policy, when and if data ought to be secured, and then being able to dynamically enforce data encryption.
  12. The Cisco AnyConnect Secure Mobility Solution provides a comprehensive, highly secure enterprise mobility solution. The Cisco AnyConnect client, which is a piece of software running on mobile devices such as laptops or smart phones, is industry’s only unified client. The latest version, 3.0, supports the following security capabilities:SSLVPN and IPSec VPN802.1X authenticationMACsec encryptionWireless connection, authentication and encryptionCisco ScanSafe IntegrationThe Cisco AnyConnect client works with Cisco ASA, Cisco Identity Services Engine and additional Cisco security devices to deliver the following secure mobility solution offers:- Security policy enforcement that is context-aware, comprehensive, and preemptive. - Connectivity that is intelligent, simple, and always on. - Highly secure mobility across the rapidly increasing number of managed and unmanaged mobile devices.automatically creates an SSLVPN, IPSec VPN, or MACsec encrypted tunnelCatalyst Switch: Cisco TrustSec tags data with access policy, inspects MACsec encrypted traffic, assesses the health of the endpoint device, and provides role-based accessCisco ASA: Cisco ASA terminates SSL or IPSec VPN tunnel, provides traffic protectionCisco ISE: Cisco ISE provides role-based access policy and AAA (Authentication, Authorization, and Accounting) servicesNexus Switch: Cisco TrustSec inspects MACsec encrypted traffic, reads data policy tags, and enforces access policy
  13. У кого какой тип доступа
  14. Transcript:So now we finally get to solutions. What did we build to fix this? We built TrustSec. Similar to what we were talking about on the evolution of borderless networks. We learned our lesson through the years that we really needed to do all of these things together. TrustSec as a solution covers the areas of technology that we had with the appliance overlays. So with ACS, with NAC, with a NAC guest server, with a profiler, all these different boxes that we had. ISE is functionally replacing the orchestration. TrustSec technology built into the infrastructure is doing a lot of the enforcement works. So together as a solution, it's really replaced a lot of these things. We've also gotten smart about the devices in that process too. So it's not just PCs up here. It's now all these other things that we're talking about. It's the additional smart phones. It's the additional tablets. The main benefits to IT when that happens, or to the customer, is the productivity and risk management. So if you're building a value proposition for a customer out of this, those are the two that come up over and over again. The improved operational efficiency, eh. It's nice to have three things up there, and people always like seeing things in three. The two that matter are I'm going to give you a tool that makes your business work in a more modern fashion. That is a powerful message for a lot of customers. The other one is I'm going to make it safe for you to do that. I'm going to make sure that your risk is mitigated. And that's the core value proposition that we're trying to build with this stuff. You've got the problem set up of all these different types of devices, problem set up of all these different types of access methods. And what we're bringing you is a way to keep your network safe. We're bringing you a way to deal with that issue. How many people have had this customer conversation on some level on some technology in the past couple years? You guys up front? How did it go? AUDIENCE: I've got clients [INAUDIBLE] going on right now. And we need to talk after this. BRENDAN O CONNELL: Excellent. ISE pilot and follow up questions is the answer. AUDIENCE: [INAUDIBLE] data right now. BRENDAN O CONNELL: OK, good. Was the customer interest along these lines? Like they're buying it to mitigate risk, or they're buying it to improve efficiency for the pilots that you've got? AUDIENCE: That customer wanted TrustSec 18 months ago, or 12 months ago to solve the problem of third party access. They had people in their environment that aren't [INAUDIBLE] and they want to control where they go. BRENDAN O CONNELL: There we go. Yeah. So the comment was the customer's been after it for 18 months because they've had an issue with contractors and guests accessing their network. We'll talk about that. We'll do some deep dives on some of the solution aspects.
  15. Cisco has considerable investment in identity features on our infrastructure. A number of differentiators include monitor mode that allows you to authenticate users wthout enforcement. Another differentiator is flex auth, our ability to order authentication appropriately along with the right behavior when authentication fails. Interop with IP telephony and in VDI environments are also supportedThese features are delivered consistently across our entire switch portfolio, so whether you’re deploying a Cat 3K, 4K or 6K, the customer just has to select the right switch
  16. [Need animation on this slide]
  17. Application Team – Control access to PCI Customer Data based on user, roleSystem Team – Identify data locations with PCI Customer DataNetwork Team – Create router, switch access controls for user IP addresses to Networks with PCI Customer Data
  18. Problems - Different kinds of device types appearing on the network (wired & wireless) : ipads, printers, phones etc - IT needs visibility into all devices - IT may choose to have different policy for certain kinds of devices (don’t allow ipad on the network) - IT needs assurance that a device conforms with its signature for security reasons 
  19. The key component of the TrustSec architecture is ISE. It converges NAC and ACS functionality from AAA functions to security services like guest, profiling and posture into one appliance, making the choice of deploying either a “overlay mode” or “infrastructure integrated mode” a lot simpler for customers.Current NAC and ACS hardware platform is software upgradeable to ISELicense migration program for all software licensesData and Configurations migration tools available*
  20. Policy is construct to tackle this problemBYOD multiple components – have to bring a broader policy solution set to cover this market to differentiateWhat’s going on in the market (Aruba buying Avenda would be a last decade solution) – hodge-podgeStitch it in a common domain – NAC framework orig vision – ubiquitous way for common policy centralized, distributed deployment
  21. BYOD is a policy manifestationDifferent philosophical adoption curves – wherever org is, multiple capabilities are required to support the policyPhilosophy is what is your business policyMDM cannot control access on prem or VPNWhat do you want from a policy level to what you want from a management level
  22. Comprehensive device provisioningAutomated on premise MDM enrollment with appropriate device and application provisioningDetailed User and Device ContextHigh fidelity device info offer true visibility of what is connectedIncreased device details (OS version, serial number, etc) enhances policy decisioning.Increased Device and Application SecurityDevice tracking capabilities upon device loss