Contenu connexe
Similaire à Архитектурный подход к обеспечению информационной безопасности современного предприятия.
Similaire à Архитектурный подход к обеспечению информационной безопасности современного предприятия. (20)
Plus de Cisco Russia (20)
Архитектурный подход к обеспечению информационной безопасности современного предприятия.
- 1. Принимайте активное участие в Cisco Expo и получите в подарок
Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua
© 2011 Cisco and/or its affiliates. All rights reserved. 1
- 2. Архитектурный подход
к обеспечению ИБ
современного
предприятия
Алексей Лукацкий
Менеджер по развитию бизнеса
© 2011 Cisco and/or its affiliates. All rights reserved. 2
- 3. • Большое количество требующих контроля каналов взаимодействия
с партнерами, контрагентами, поставщиками
• Забывчивость в отношении аутсорсинговых и международных
партнеров
Разработчики ПО
Обслуживающий персонал
Сотрудники облачных провайдеров
• Активное развитие вредоносных технологий
Целью является все
• Концентрация на внутренней безопасности
«Забывчивость» в отношении внешних аспектов – операторы связи,
партнеры, аутсорсеры, облачные вычисления, BYOD и т.п.
© 2011 Cisco and/or its affiliates. All rights reserved. 3
- 4. • Конфликт ИБ и ИТ
Отсутствие контроля привилегированных пользователей
Отсутствие требований по ИБ к разработке собственного ПО
Кто отвечает за эксплуатацию средств защиты?
• Концентрация на «классической» ИБ
Что насчет защиты нетрадиционных направлений (принтеры, СКУД,
видеонаблюдение и т.п.)?
Как насчет контроля поведения (профилирования) клиентов?
• Неготовность к неконтролируемым ситуациям
Фишинг, информационные войны…
• (Недо/пере)оценка роли регуляторов
Деятельность регуляторов четко регулируются законами
Отсутствие контроля выпуска новых нормативных актов
© 2011 Cisco and/or its affiliates. All rights reserved. 4
- 5. • Отсутствие стандартизации и
унификации технологий,
продуктов, методов и подходов
Рост операционных затрат
Сложность поддержки и интеграции
• Повтор и избыточность
Не путать с резервированием
Нехватка ресурсо-затрат
• Упущения неочевидных вещей
• Отсутствие планов развития
Нехватка гибкости и адаптивности к новым
требованиям
© 2011 Cisco and/or its affiliates. All rights reserved. 5
- 6. • Финансирование по остаточному принципу Дизайн и архитектура
• 1Х
• Неудовлетворенность пользователей, снижение
их продуктивности и рост цены их поддержки
Внедрение
• Потенциальные наезды со стороны • 5Х
регуляторов
• Неэффективность ИБ в виду забывчивости в Тесты интеграции
отношении некоторых направлений бизнеса • 10Х
• Несогласованность действий подразделение
Бета-тестирование
• 15Х
Боевой запуск
• 30Х
© 2011 Cisco and/or its affiliates. All rights reserved. 6
- 7. Изменение бизнеса
Улучшение бизнеса
Развитие вместе
с бизнесом
«Хаос»
© 2011 Cisco and/or its affiliates. All rights reserved. 7
- 8. Бизнес-приоритеты Приоритеты ИБ
• Переход к системам • Акцент на
коллективной очерчивание
работы, облачным периметра и его
вычислениям и защиту
концепции BYOD • Защита центра
• Сдвиг продаж в обработки данных
«поля» (PoS, PoD) • Создание
• Снижение наложенной системы
операционных и безопасности
капитальных затрат
© 2011 Cisco and/or its affiliates. All rights reserved. 8
- 9. © 2011 Cisco and/or its affiliates. All rights reserved. Чего-то не хватает?!.. 9
- 10. Смогли бы вы построить…
… здание, не имея архитектурного проекта?
Без плана развертывания С планом развертывания
Одна проблема порождает другую Применение опыта специалиста
Временные затраты на решение Экономия драгоценного времени
проблем Снижение совокупной стоимости владения
Дорогостоящие изменения
© 2011 Cisco and/or its affiliates. All rights reserved. 10
- 11. • Архитектура описывает желаемую структуру
инфраструктуры безопасности организации и
других связанных с ИБ компонентов и
интерфейсов
Включает процессы, людей, техологии и
разные типы информации
Создается с точки зрения бизнеса и
учитывает его текущие и будущие
потребности
• 2 главных вопроса архитектуры ИБ
ЧТО? Из чего строить систему защиты?
КАК? Как строить систему защиты?
© 2011 Cisco and/or its affiliates. All rights reserved. 11
- 12. © 2011 Cisco and/or its affiliates. All rights reserved. 12
- 13. Требование Смешение частного и Нужен доступ к
разнообразия устройств служебного критичных ресурсам
© 2011 Cisco and/or its affiliates. All rights reserved. 13
- 14. Цель
# !
% Рост экосистемы Расширение спектра Атаки на новые
киберпреступности целевых угроз технологии
© 2011 Cisco and/or its affiliates. All rights reserved. 14
- 15. # !
Инкапсуляция Виртуализация
Переход к облачному
%
коммуникаций центров обработки
хранению
данных
© 2011 Cisco and/or its affiliates. All rights reserved. 15
- 16. Социальные сети
Hotmail Business Pipeline
Web-почта
Приложения
# !
Рост трафика на ПК Взаимодействие видео Драматический рост
%
и социальных сетей трафика в ЦОД
© 2011 Cisco and/or its affiliates. All rights reserved. 16
- 17. Рост Соответствие
Внимание
ИТ
Глобализация Риск-менеджмент
Разрешить Защитить
Соответствие Регулирование
Внимание
ИБ
Привлечение людей Персданные
Внимание руководства
© 2011 Cisco and/or its affiliates. All rights reserved. 17
- 18. Организационно – КТО?
Compliance Ops. Endpoint Team
Network Ops. Security Ops.
Политика Application Team HR
Технологически – ЧТО?
Не пустить плохих
Пустить хороших Контроль доступа Endpoint
Соответствовать Identity Mgmt Вторжения
Учесть BYOD Соответствие Управления
Разрешить виртуализацию
Быть готовым к облакам Операционно – КАК?
Проводное В сети
Беспроводное Поверх сети
VPN На устройстве
© 2011 Cisco and/or its affiliates. All rights reserved. 18
- 20. Объединить людей и информацию... Безопасно
Исследования в области ИБ
Политика
Устройства &
Пользователи Активы & Информация
Управление
Точки приложения сил
Сеть
© 2011 Cisco and/or its affiliates. All rights reserved. 20
- 21. Distributed Threat Application Virtualization
Workforce & BYOD Defense Visibility & Control & Cloud
Защищенный
Защищенный Авторизованное
Защита сетевого переход к
универсальный использование
периметра облачным
доступ контента
вычислениям
Исследование угроз
Контекстная политика
Сеть как несущая конструкция всей системы
Сервисы
Соответствие
© 2011 Cisco and/or its affiliates. All rights reserved. 21
- 22. Эффективное решение бизнес-задач
Borderless Data Center/ Service
Collaboration
Networks Virtualization Provider
SecureX
© 2011 Cisco and/or its affiliates. All rights reserved. 22
- 23. защитить мою проводную и беспроводную сеть от атак через эфир?
Как... получить представление о состоянии радиочастотного спектра?
обеспечить соответствие нормативным требованиям и защитить мои радиоресурсы?
Хакерская атака с
промежуточного DoS- Устройства Вредоносные
узла (Man-in-the- атаки без поддержки точки доступа
Middle) 802.11
Адаптивная система wIPS
наилучшее решение для
Встроенная обоих типов сетей Лучшая в своем классе
Глубина защиты
Низкие капитальные затраты Гибкость и масштабируемость Функциональность,
Простота управления за счет MSE противостоящая новейшим
Объединенная защита угрозам
Самая низкая совокупная
стоимость владения проводных и беспроводных Адаптируемость к новым
сетей функциям
Упрощение обучения
© 2011 Cisco and/or its affiliates. All rights reserved. 23
- 24. Прогресс за последние годы
1. Интегрированные IOS Firewall, VPN, 5. ISE, интегрированный с Prime
IPS 6. Virtual Firewall на Nexus 1000V
2. Будущее: ASA-CX на IOS-XE 7. Virtual Email и Web Security на UCS
3. 802.1x, TrustSec, Security Group Tags 8. ASA Module for 6500, Будущее: Nexus 7K
4. Сегментация и динамические политики 9. ScanSafe Connector
через ISE
v v v
m m m
v v v
m m m
Internet
v v v
m m m
ЦОД
Кампус или
филиал
© 2011 Cisco and/or its affiliates. All rights reserved. 24
- 25. © 2011 Cisco and/or its affiliates. All rights reserved. 25
- 26. Distributed Threat Application Virtualization
Workforce & BYOD Defense Visibility & Control & Cloud
Adaptive Adaptive
AnyConnect Security Virtual ASA
Security (CX)
Web Security Email | Web Virtual Security
Web Security
Appliance Security Gateway
Cloud Web Intrusion
Router Security Nexus 1000v
Security Prevention
WLAN Controller Router Security VPN
Identity Services
Engine
Исследование угроз:
Политика: Identity Services Engine TrustSec NCS Prime: Networks/Security
Сеть: Router Switch Appliance Cloud Virtual
Сервисы: Cisco Advanced Services Partner Shared Services
Соответствие: PCI 1.0/2.0 HIPAA SOX ПДн ISO 27001
© 2011 Cisco and/or its affiliates. All rights reserved. 26
- 27. 4 TB 750,000+
ДАННЫХ В ДЕНЬ ГЛОБАЛЬНЫХ СЕНСОРОВ
30B
WEB -ЗАПРОСОВ
100M
СООБЩЕНИЙ EMAIL
35%
МИРОВОГО ТРАФИКА
SensorBase Threat Operations Center Dynamic Updates
© 2011 Cisco and/or its affiliates. All rights reserved. 27
- 28. $100M 24x7x365
ИНВЕСТИЦИЙ В ОПЕРАЦИИ
ИССЛЕДОВАНИЯ И РАЗРАБОТКУ
500 40+ 80+
ИНЖЕНЕРОВ, ТЕХНАРЕЙ И ЯЗЫКОВ Ph.D.s, CCIE, CISSPs, MSCEs
АНАЛИТИКОВ
Threat Operations Center Dynamic Updates
© 2011 Cisco and/or its affiliates. All rights reserved. 28
- 29. 3-5 6,500+
ИНТЕРВАЛЫ ОБНОВЛЕНИЙ ВЫПУЩЕНО СИГНАТУР IPS
20+ 200+ 8M+
ПУБЛИКАЦИЙ КОНТРОЛЬ ПАРАМЕТРОВ ПРАВИЛ В ДЕНЬ
Threat Operations Center Dynamic Updates
© 2011 Cisco and/or its affiliates. All rights reserved. 29
- 30. ГДЕ
ЧТО КОГДА
КТО КАК
? ? ?
Виртуальные
машины в ЦОД
VPN MACSec
Решения на основании состояния
1. Разрешение/блок в соответствии с политикой СТОП ЦОД
2. Авторизованным устройствам назначаются
метки политики ОК
3. Теги политики учитываются при работе в сети
РЕШЕНИЕ CISCO
Согласованная политика Распространение сведений Метки групп безопасности
на основании результатов о политиках и позволяют обеспечить
идентификации на всех интеллектуальных масштабируемое
уровня – от устройства до механизмов по сети применение политик
ЦОД – в соответствии с с учетом контекста
бизнес-потребностями
© 2011 Cisco and/or its affiliates. All rights reserved. 30
- 31. Сценарий Ограниченный Базовый Расширенный Передовой
Полноценное
Бизнес Доступ по ролям Гранулир. доступ
Блокировать доступ мобильное рабочее
политика изнутри сети внутри и снаружи
место
ИТ- • Знать “кто” и “что” • Предоставлять • Гранулированный • Обеспечение
требования включено в сеть персональным и доступ изнутри родных
• Давать доступ гостевым сети приложений для
только устройствам • Гранулированный мобильных
корпоративным доступ в удаленный устройств
устройствам Интернет и доступ к • Управление
ограниченному ресурсам через мобильными
числу внутренних Интернет устройствами
Технологии ресурсов • Использование (MDM)
VDI
Сетевая
инфраструктура Cisco Switches, Cisco Routers, Cisco Wireless LAN Infrastructure
Cisco Prime NCS
Управление
Third Party MDM
Идентификац
ия и политики Cisco Identity Services Engine
Удаленный Cisco ASA/ESA/WSA
доступ и Cisco AnyConnect
безопасность ScanSafe
Приложения Корпоративные приложения и VDI
© 2011 Cisco and/or its affiliates. All rights reserved. 31
- 32. BYOD Проводной, Беспроводный, Инфраструктура доступа Шлюзы безопасности Инфраструктура защиты и
устройства Мобильный доступы управлениям политиками
Не доверенная Доверенная
Adaptive
сеть Security корпоративная
Mobile Network Appliance сеть
(ASA)
Active Certificate
Internet Directory Authority
Public Wi-Fi Prime (AD) (CA)
NCS
Switching
WLAN Core
WLAN AP Controller
(WLC)
Access Switch
Campus
Identity Mobile RSA
Integrated Services Device Secure ID
Services Engine (ISE) Manager
Router G2 (MDM)
(ISR G2)
Branch Office
WAN
Aggregation
Wireless
Services
Router
Router (ASR)
AnyConnect Home Office
© 2011 Cisco and/or its affiliates. All rights reserved. 32
- 33. Защита устройства Контроль доступа и защита от сетевых угроз
Инвентаризация Аутентификация Защита от угроз Безопасный
Инициализация пользователей и Политика удаленный доступ
устройства устройств использования
Безопасность данных на Оценка состояния Web
устройстве Применение Защита от утечек
Безопасность приложен. политики доступа информации
Управление затратами
Полная или частичная
очистка удаленного
Cisco ISE ScanSafe WSA AnyConnect ASA
устройства
© 2011 Cisco and/or its affiliates. All rights reserved. 33
- 34. Политики,
относящиеся к бизнесу
ГДЕ
ЧТО КОГДА Атрибуты
КТО КАК
политики
безопасности
Модуль централизованных политик
Идентификация
Динамическая политика и реализация
Пользователи и
устройства
РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И
БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ
© 2011 Cisco and/or its affiliates. All rights reserved. 34
- 35. Администрирование
политики
Принятие решений на
базе политик Identity Services Engine (ISE)
Система политик доступа на основе идентификации
Реализация
политик
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,
На основе TrustSec инфраструктура беспроводной сети и маршрутизации
Cisco ASA, ISR, ASR 1000
Информация
о политике Агент NAC Web-агент Запрашивающий клиент 802.1x
Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий
На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС
Доступ на основе идентификации — это не опция, а свойство сети,
включая проводные, беспроводные сети и VPN
© 2011 Cisco and/or its affiliates. All rights reserved. 35
- 36. Полная прозрачность
Коммутатор Cisco Catalyst®
Отличительные особенности
идентификации
Режим монитора
Гибкая последовательность
аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных
Авторизо- Планшеты IP- Сетевое Гости настольных систем
ванные телефоны устройство
пользователи
MAB и Web-
802.1X
профилирование аутентификация
Функции аутентификации
IEEE 802.1x Обход аутентификации по Web-
MAC-адресам аутентификация
На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации
© 2011 Cisco and/or its affiliates. All rights reserved. 36
- 37. Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ
Быстрый рост числа
Множество устройств Должно быть Необходима гарантия того,
устройств в проводной и предусмотрено что устройство
и идентификация для беспроводной сети управление политиками для соответствует цифровым
реализации политик каждого типа устройств меткам
© 2011 Cisco and/or its affiliates. All rights reserved. 37
- 38. Полная прозрачность
Пользователь
проводной,
беспроводной,
виртуальной сети
Временный
ограниченный доступ к
Не сети до устранения
соответствует проблем
требованиям
Пример политики для сотрудника Проблема: Ценность:
• Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или
установлены работоспособности устройства постоянный агент
• Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение
обновлен и работает устройствами проблем
• Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация
дифференцированных политик
• Приложение предприятия выполняется на основе ролей
© 2011 Cisco and/or its affiliates. All rights reserved. 38
- 39. Полная прозрачность
Гостевые Web-
политики аутентификация
Интернет
Беспроводный или Гости
проводной доступ
Доступ только к
Интернету
Выделение ресурсов: Управление: Уведомление: Отчет:
гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых
на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей
политики, гостевой портал электронной почте или SMS
© 2011 Cisco and/or its affiliates. All rights reserved. 39
- 40. Абсолютный контроль
Удаленный Пользователь с Пользователь с Виртуальный
пользователь беспроводным проводным Устройства рабочий стол
VPN доступом доступом
Управление Масштабируемая
доступом на реализация
основе политик Сети VLAN
СЕТЬ С КОНТРОЛЕМ Списки управления
ИДЕНТИФИКАЦИОННЫХ ДАННЫХ доступом (ACL)
И УЧЕТОМ КОНТЕКСТА
Метки групп
безопасности *
Шифрование MACSec *
*=
Инновации
Центр обработки Зоны Cisco
данных Интранет Интернет
безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 40
- 41. Абсолютный контроль
Инновации
Cisco
Динамические или Доступ для групп
Сети VLAN
именованные ACL-списки безопасности
Сотрудник
Любой IP-
адрес
Устранение
проблем
Подрядчик Сотрудники Гость
Доступ для групп безопасности
VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW
• Меньше перебоев в работе • Не требует управления • Упрощение управления
оконечного устройства (не ACL-списками на портах ACL-списками
требуется смена IP-адреса) коммутатора
• Единообразная
• Повышение удобства для • Предпочтительный выбор реализация политик
пользователей для изоляции путей независимо от топологии
• Детализированное
управление доступом
Гибкие механизмы реализации политик в вашей инфраструктуре
Широкий диапазон доступных клиенту вариантов доступа
© 2011 Cisco and/or its affiliates. All rights reserved. 41
- 42. Политики на основе Таблица доступа согласно
понятного технического языка политике на основе ролей
Отдельные
пользователи Разрешения Ресурсы Матрица политик
Врачи Интранет
Почтовый Серверы Медицинские
D1 - финансовой карты
S1 (10.156.78.100) сервер службы пациентов
портал
(10.10.24.13)
Медицинские Нет Совместный
Совместный web-
D2 карты Врач Интернет IMAP web-доступ к
доступ к файлам
S2 доступа файлам
пациентов
(10.10.28.12) Финансовая
Интернет IMAP Интернет Нет доступа
служба
D3 ИТ-
(10.156.54.200) WWW, Полный
Финансовая служба админист- SQL SQL
SQL, SSH доступ
ратор
Электронная
S3 D4 почта ACL-список "Врач - карта пациента"
(10.10.36.10) в интранет-сети
permit tcp dst eq 443
permit tcp dst eq 80
permit tcp dst eq 445
D5 permit tcp dst eq 135
ИТ-администраторы (10.156.100.10) deny ip
S4 Финансова
(10.10.135.10)
D6
я служба
permit tcp S1 D1 eq https
Требует затрат времени permit
deny
tcp S1 D1 eq 8081
ip S1 D1
Простота
Ручные операции …… Гибкость
Предрасположенность к ……
permit tcp S4 D6 eq https Учет характера
ошибкам permit tcp S4 D6 eq 8081
деятельности
deny ip S4 D6
© 2011 Cisco and/or its affiliates. All rights reserved. 42
- 43. • Клиент IPSec/SSL/DTLS VPN
Client/Clientless
• Оценка состояния
• Location-Specific Web Security
ScanSafe
На периметре (Ironport WSA) или через
облако (ScanSafe)
• Защищенный доступ в облако через SSO Internet-Bound
Web Communications
• Контроль сетевого доступа
802.1X Authentication and Posture
MACsec encryption
Cisco TrustSec devices (план)
• Windows, Mac, Linux, Windows Mobile,
Apple iOS, Palm, Symbian, Android, Windows Phone (план)
© 2011 Cisco and/or its affiliates. All rights reserved. 43
- 44. Новости Электронная
почта
AnyConnect
Обмен данными между ASA и
WSA
ASA
Cisco WSA
Социальные сети Корпоративная
SaaS-система
Corporate AD
© 2011 Cisco and/or its affiliates. All rights reserved. 44
- 45. AD/LDAP
Интеграция с лидерами рынка
MDM
ISE
Контекстная MDM Mgr
• MobileIron, Airwatch, Zenprise, Good
политика
?
• Заказчики могут выбирать
Cisco Catalyst
Switches
Cisco WLAN
Controller
Функции:
User X User Y
• Всесторонний анализ устройств
• Детальный контекст пользователей
и устройств
• Расширенная защита устройств и
приложений
Window или OS X Смартфоны, включая
ПК устройства с iOS или
Android
Wired или Wireless Wireless
© 2011 Cisco and/or its affiliates. All rights reserved. 45
- 46. ГДЕ
ЧТО КОГДА
КТО КАК
Политика
с учетом
контекста
IPS ASA
WSA ESA
СЕТЬ
РЕШЕНИЕ CISCO
Полномасштабное Политика с учетом Простота
решение: ASA, IPS, контекста точнее развертывания и
«облачные» сервисы соответствует бизнес- обеспечения защиты
защиты web-трафика и потребностям в сфере ИБ распределенной среды
электронной почты
© 2011 Cisco and/or its affiliates. All rights reserved. 46
- 47. ASA 5512-X
Пропускная
способность
межсетевого экрана 1
1. Пропускная способность на
Гбит/с уровне нескольких Гбит/с
ASA 5515-X Для удовлетворения растущих
Пропускная
способность требований к пропускной способности
межсетевого экрана 1,2
Гбит/с 2. Встроенные средства ускорения
ASA 5525-X сервисов
Пропускная
способность
(дополнительное оборудование не
межсетевого экрана 2
Гбит/с
требуется)
ASA 5545-X Для поддержки меняющихся
Пропускная потребностей бизнеса
способность
межсетевого экрана 3
Гбит/с
3. Платформа с поддержкой
ASA 5555-X сервисов нового поколения
Пропускная Для защиты инвестиций
способность
межсетевого экрана 4
Гбит/с
© 2011 Cisco and/or its affiliates. All rights reserved. 47
- 48. Кластеризация
IPv6
Cisco® Cloud Web Security
Улучшения мультиконтекстных возможностей
Смешанный режим
Cisco TrustSec®
Шифрование нового поколения
Бесклиентские VPN-подключения
Улучшения производительности и масштабируемости
VPN в Cisco ASA-SM
© 2011 Cisco and/or its affiliates. All rights reserved. 48
- 49. Cisco IPS 4520
Новинка
Производительность, масштабируемость, адаптивность
Cisco IPS 4510
Новинка
Cisco IPS 4360
Новинка
Cisco® IPS 4345
Новинка
Филиал Интернет- Комплекс Центр обработки
периметр зданий данных
© 2011 Cisco and/or its affiliates. All rights reserved. 49
- 50. Cisco ASA 5585-X-
S60P60
Производительность, масштабируемость, адаптивность
Cisco ASA 5585-
S40P40
Cisco ASA 5585-
S20P20
Cisco ASA 5585-
S10P10
Cisco ASA 5555-X IPS
Cisco ASA
5545-X IPS Новинка
Cisco ASA
5525-X IPS Новинка
Cisco ASA 5515-X IPS
Новинка
Cisco® ASA 5512-
X IPS Новинка
Новинка
SOHO Филиал Интернет- Комплекс Центр обработки
периметр зданий данных
© 2011 Cisco and/or its affiliates. All rights reserved. 50
- 51. Новый межсетевой экран с поддержкой сервисов и функцией IPS
• Платформа для межсетевого экрана
нового поколения с поддержкой
защитных сервисов
• Устройства ASA среднего уровня с
функцией ПО IPS с учетом контекста
• IPS в виде виртуальных блейдов –
аппаратные модули не требуются
• Cisco® ASA 5525-X , ASA 5545-X и
ASA 5555-X имеют аппаратное
ускорение для IPS
• 1 интерфейс Gigabit Ethernet
• Доступны платы расширения ввода-
вывода
© 2011 Cisco and/or its affiliates. All rights reserved. 51
- 52. • Специализированная платформа
IPS среднего уровня с учетом
контекста
• Четырехкратное увеличение
производительности Cisco® IPS
серии 4200 за половину стоимости
• Обработка с аппаратным
ускорением Regex
• Интерфейсы Gigabit Ethernet
• Bypass-платы будут доступны в
октябре
© 2011 Cisco and/or its affiliates. All rights reserved. 52
- 53. • Специализированные
высокоскоростные устройства IPS с
учетом контекста
• Обработка с аппаратным ускорением
Regex
• Развертывания на уровне ядра ЦОД
или предприятия
• Интерфейсы Gigabit Ethernet,
интерфейсы 10 Gigabit Ethernet и
слот SFP
• Масштабируемость: доступен слот
для будущего наращивания
мощностей
© 2011 Cisco and/or its affiliates. All rights reserved. 53
- 54. Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520
Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)
4 ядер 4 ядер 8 ядер 12 ядер
Процессор
4 потока 8 потока 16 потока 24 потока
Память 8 GB 16 ГБ 24 ГБ 48 GB
6 x 1 GE Cu 6 x 1 GE Cu
Базовые порты данных 8 x 1 GE Cu 8 x 1 GE Cu
4 x 10 GE SFP 4 x 10 GE SFP
Ускоритель Regex Одинарный Одинарный Одинарный Двойной
Постоянное значение 2 с возможностью 2 с возможностью 2 с возможностью
Электропитание
переменного тока горячей замены горячей замены горячей замены
© 2011 Cisco and/or its affiliates. All rights reserved. 54
- 55. Основные отличия
Специализированная система
Cisco IPS 4500
• Прозрачна и незаметна в сети
• Ввод-вывод на основе IPS
• Нормализация под управлением IPS
• Свободный слот для использования в
будущем
Интегрированное устройство
Cisco ASA 5585-X IPS
• Прозрачность как вариант.
• Ввод-вывод принадлежит межсетевому
экрану.
• Нормализацией управляет межсетевой экран.
• Для выбора политики IPS доступны
дополнительные возможности (5 элементов
потока, код пользователя и т. д.).
© 2011 Cisco and/or its affiliates. All rights reserved. 55
- 56. Все типы оборудования
• SCADA
• DCS
• PLC
• SIS
• EMS
• Все основные производители
• Schneider
• Siemens
• Rockwell
• GE, ABB
• Yokogawa
• Motorola
• Emerson
• Invensys
• Honeywell
• SEL
• И это не конец…
© 2011 Cisco and/or its affiliates. All rights reserved. 56
- 57. Центральный
офис
Контроль на разных уровнях
$ Широкий функционал
+ Безопасность + контроль
работы приложений
ASA CX
РЕШЕНИЕ CISCO
Cisco ASA CX Лучшие показатели (простота, Оптимизация и защита
Cisco Web Security согласованность, интеграция), приложений на периметре
снижение затрат и повышение URL-фильтрация
производительности при работе с AAA
приложениями
Профилирование устройств
© 2011 Cisco and/or its affiliates. All rights reserved. 57
- 58. Широкий спектр платформ
Устройство Интегрированное решение Виртуализация
Понимание контекста
Классический МСЭ ASA
© 2011 Cisco and/or its affiliates. All rights reserved. 58
- 59. • Межсетевой экран нового
поколения
• Context-Aware Firewall
• Активная/Пассивная
аутентификация
• Application Visibility and
Control/DPI с анализом контента
• Репутационная фильтрация
КТО ЧТО ГДЕ/ОТКУДА КОГДА КАК
© 2011 Cisco and/or its affiliates. All rights reserved. 59
- 60. КТО
Покрытие широкого спектра сценариев идентификации
AD/LDAP Identity
• Non-auth-aware apps
NTLM • Any platform
Kerberos • AD/LDAP credential
TRUSTSEC*
Network Identity
Group information
User Authentication Any tagged traffic IP Surrogate
• Auth-Aware Apps AD Agent
• Mac, Windows, Linux
• AD/LDAP user credential
© 2011 Cisco and/or its affiliates. All rights reserved. * Future 60
- 61. ЧТО
Покрытие…
… классификация всего
трафика
1,000+ приложений
MicroApp Engine
Глубокий анализ трафика
приложений
75,000+ MicroApps
Поведение
приложений
Контроль действий
пользователя внутри
приложений
© 2011 Cisco and/or its affiliates. All rights reserved. 61
- 62. Бизнес-задача Как решается ASA CX Пример
Нарушение полосы Контроль использования приложений
пропускания Peer-to-Peer
Конфиденциальная
Контроль использования сервисов
информация
общего пользования
загружается в облако
Блокирование «нерабочих»
Продуктивность
приложений, оставляя при этом
пользователей
доступ к нужным ресурсам
Удаленный контроль ПК Блокирование приложений
с помощью удаленного доступа, оставляя,
вредоносного ПО например, WebEx
Маскировка Идентификация и контроль
вредоносного ПО под приложений, который работают на
обычные приложения известных портах
© 2011 Cisco and/or its affiliates. All rights reserved. 62
- 63. ЧТО
60
языков
200
стран
20
mn URLs
98%
Маркетинг Юристы Финансы
покрытие
© 2011 Cisco and/or its affiliates. All rights reserved. 63
- 64. Бизнес-задача Как решается ASA CX
Реализация политик Блокирование для всех сайтов категорий: Adult, Child
разрешенного Abuse Content, Gambling, Hate Speech, Illegal Activities и
использования т.д.
Запрет студентам, но разрешение для других категорий
Создание защищенного
доступа к следующим категориям сайтов: Entertainment,
окружения для обучения
Arts, Dining and Drinking, Online Trading
Запрет доступа сотрудников к следующим категориям
Поддержка продуктивности
сайтов: Sports and Recreation, Travel, Photo Search and
пользователей
Images
Контроль сайтов, Запрет доступа сотрудников к следующим категориям
съедающих полосу сайтов: File Transfer Services, Freeware and Shareware,
пропускания Illegal Downloads, Internet Telephony
Пользователи, обходящие
Блокирование прокси и анонимайзеров
правила
© 2011 Cisco and/or its affiliates. All rights reserved. 64
- 65. ГДЕ/ОТКУДА
ОТЕЛЬ
ОФИС
© 2011 Cisco and/or its affiliates. All rights reserved. 65
- 66. КАК
Информация с 100,000,000 оконечных устройств
Устройство Версия ОС Состояние
AV
Files
Registry
Identity Services Engine
© 2011 Cisco and/or its affiliates. All rights reserved. 66
- 67. • Система управления для ASA CX
• Встроенный в ASA CX для управления одним МСЭ
• Отдельное устройство для поддержки нескольких ASA CX
• RBAC
• Конфигурация, события и репортинг
• Виртуальная машина или устройство UCS
© 2011 Cisco and/or its affiliates. All rights reserved. 67
- 68. • Ядро или ЦОД
ASA • Multi-tenant
• Active/Active Failover
• Кампус или граница
ASA CX
• Контроль
приложений
• Next-gen Firewall
© 2011 Cisco and/or its affiliates. All rights reserved. 68
- 69. • Прокси-сервер
• Кеширование
WSA • Сканирование Anti-Malware
• DLP
• Полная Web-безопасность
• Next-gen Firewall
• Inline
ASA CX • Все порты/протоколы
• Базовая Web-безопасность
© 2011 Cisco and/or its affiliates. All rights reserved. 69
- 70. Лучшая в своем классе Лучшая в своем классе
безопасность сети web-защита на основе
облака
© 2011 Cisco and/or its affiliates. All rights reserved. 70
- 71. Web-
контент
Контроль
исходящего
трафика
Script
Script- PDF- Flash-
сканирова сканирова сканирова
ние ние ние
PDF
Несколько
сканеров
Да
Java- Exe- Сканирование
AV сканирова сканирова репутации
ние ние
Flash «Чисты
й»
Web- контент
страница
Новые
вредоносные
Java
программы
заблокированы
.exe Глубокий Структурное Виртуализован-
анализ изучение ная
контента контента эмуляция
скриптов
Известные вредоносные программы заблокированы
© 2011 Cisco and/or its affiliates. All rights reserved. 71
- 72. ЧТО
Классификация и контроль
web-трафика
Более 1000
приложений
Подробная классификация и
контроль поведений
микроприложений и
приложений
Более 75 000
микроприложений Контроль
пропускной
способности
© 2011 Cisco and/or its affiliates. All rights reserved. 72