More Related Content Similar to Облачные сервисы безоспасности Cisco (ScanSafe). Павел Родионов (20) Облачные сервисы безоспасности Cisco (ScanSafe). Павел Родионов2. Содержание
1. Почему SaaS?
2. ScanSafe Web Security – обзор
3. Варианты подключения
4. Демо
2
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
3. Эволюция сервисов безопасности
От приобретения оборудования до SaaS
Услуги из облака
Услуги Managed Services
Собственная
инфраструктура
3
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
4. Преимущества SaaS
Простые и удобные
средства управления
Минимальные сроки
Предсказуемые OpEx
внедрения
Освобождение ресурсов
Нулевые CapEx
для бизнес задач
Откройте новые возможности
4
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
5. "Облачная" система безопасности Cisco
§ Multi-tenant архитектура для
обслуживания множества § Глобальная система мониторинга
угроз
заказчиков
§ Встроенная система управления и
§ Распределенная масштабируемая
формирования отчетов
платформа с резервированием
§ Глобальная платформа для
§ Постоянное наращивание мобильных пользователей
производительности и внедрение
новых ЦОД
5
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
6. Cisco Security Intelligence Operations (SIO)
Глобальная система мониторинга угроз
Firewall
Web Sensor
Sensor
Web
Firewall Sensor
Sensor Email
Email Sensor
Sensor IPS
Sensor
Web IPS
Sensor Sensor Email
Sensor
IPS Email
Sensor Sensor
Cisco Security
Intelligence Operations
Email Security Web Security Firewalls IPS Devices
Solutions Solutions
6
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
7. Характеристики облака Cisco
Защищает
сотрудников клиентов
Получает Предоставляет оценок
статистику о IP-репутации в день
235 Получает
Обрабатывает
HTTP-транзакций в день Млн. 2.8 статистики в день
30% Млрд.
7 500
мирового Email
Млрд. Гбайт
трафика
Люди Ресурсы Технологии
Более100 Тысячи устройств в десятках Передовые технологии
выделенных экспертов ЦОД по всему миру безопасности, Глобальная
система оценки угроз
7
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
8. Сети без границ
ScanSafe
Описание и технологии
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. 8
9. Кто такой ScanSafe?
Awards
Security
product
Профиль
компании:
of
the
year
2008
§ Основана
в
2004г.
Customers
§ Пионер
и
мировой
лидер
в
области
SaaS
услуг
Web
безопасности
§ Клиенты
-‐
от
SMB
до
Large
Enterprise
в
более
чем
100
странах
§ 100%
UpRme
за
всю
историю
предоставления
услуги
Partners
§ Является
подразделением
Cisco
с
Декабря
2009г.
9
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
10. Обзор решения
10
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
11. ЦОДы Cisco ScanSafe
Надежность
§ 15 ЦОДов
§ 100% доступность сервиса
за всю историю
§ SLA по непрерывности и
эффективности работы
Масштабируемость
§ Multitenant архитектура
§ Обрабатывает ~7Млрд. web-
транзакций в день
§ Постоянное масштабирование
11
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
12. Архитектура защиты от Web-угроз
§ Статистика за 2009г.:
28М уникальных
JavaScript в день
560К уникальных
PDF в день
244 уникальных
ShockWave в день
§ 2 антивирусных
движка (Symantec+ЛК)
§ False Positive False
Negative rate <
0,0004%
§ Гарантированная
доступность – 99,999%
§ 2010 год – 7 млрд web
запросов в день
12
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
13. Фильтрация контента Web 2.0
1. Традиционная URL-фильтрация
2. Расширенная функциональность
– Протоколы HTTPS, FTP over HTTP
– DLP, «предупредить, но не
блокировать» (AUP) и анонимизация
3. Динамическая классификация
неизвестных сайтов
– За 1/1000 секунды
– Эффективность детектирования сайтов для
взрослых, криминальных и т.п. = 99%
4. Обработка поисковых запросов
SearchAhead
– Классификация и уведомление
пользователя
13
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. rights reserved.
© 2005 Cisco Systems, Inc. All
14. Сервисы
ScanSafe
Делаем
Не
делаем
Управляем
HTTP,
HTTPS,
FTP
over
HTTP
Не-‐HTTP/s
трафик
Web
фильтрация
P2P
Фильтрация
контента
IDS/IPS
Сканирование
Web
malware
Маршрутизатор/МЭ
Отчеты
об
использовании
Отчеты
об
общей
полосе
пропускания
Защита
мобильных
пользователей
QoS
для
всего
трафика
VPN
Оптимизация
WAN
14
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
15. Опции развертывания
1. Прямой метод передачи трафика
2. Connector
3. PIM
4. Anywhere+/Anyconnect Secure Mobility Client
15
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
16. Классическая
конфигурация
§ Обработка
§ Политики
§ Тонкие агенты
§ Любой сервер Win
§ Тегирование запросов
Connector
AD: Scanning Towers
Гибкое управление и
резервирование через
GPO, PAC
§ Маленький
драйвер>
Мобильные
пользователи
16
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
17. Как трафик попадает в облако
Опция 1 – при помощи имеющейся инфраструктуры заказчика
С изменениями настроек браузера:
1. Настройки Proxy загружаются на ScanSafe
компьютеры из AD (GPO / PAC file) или по Websecurity Service
DHCP
2. МСЭ блокирует исходящий HTTP трафик на
все адреса кроме ScanSafe
Без изменения настроек браузера:
1. Имеющееся у заказчика устройство
DC
перенаправляет трафик в облако помощи
функций Cascade Proxy или Port Foreward
Опционально – User/Group
Granularity:
1. В HTTP-запросы пользователей
добавляется защищенная (хеши)
информация об имени пользователя/
группы при помощи Login скриптов/
GPO
2. Прозрачно для пользователя 17
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
18. PIM
-‐
Passive
IdenKty
Management
Преимущества
§ Обеспечивает
детализацию
по
ScanSafe
пользователям/группам
в
AD
§ Обеспечивает
резервирование
через
PAC
§ Не
нужен
коннектон
§ Динамическая
регистрация
IP
через
DDNS
Firewall
§ Масштабируется
на
уровень
больших
Encrypted Header (user granularity)
предприятий
xss--3-Plel6UC8EGJdNQiG-Mfq..
§ Функциональность
§ Запускается
логин-‐скриптом
Active Directory Server Set encrypted header
§ Подключение
напрямую
к
ЦОД
Login
Script
§ Данные
напрямую
не
отправляются
§ Детальная
информация
содержится
в
` ` `
заголовке
HTTP/HTTPS
Client Client Client
18
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
19. Как
он
работает?
1. Windows
исполняемый
файл
2. Рекомендуется
запускать
логин-‐скриптом
3. Добавляет
заголовок
–XS
в
строчку
user-‐agent
4. В
эту
строчку
включен
уникальный
хеш,
который
идентифицирует
пользователя
5. Это
зашифровано
6. При
регистрации,
PIM
отправляет
запрос
на
ScanSafe
и
загружает
информацию
о
пользовательских
группах
7. Группы
автоматически
создаются
на
ScanCenter
8. После
регистрации,
при
каждом
запросе
нам
отправляется
только
хеш,
на
основании
которого
мы
определяем
принадлежность
пользователя
к
политикам
19
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
20. Как трафик попадает в облако
Опция 2 – при помощи Connector
ПО ScanSafe Connector ScanSafe
Websecurity Service
1. Устанавливается и настраивается один
раз, в дальнейшем не требует
администрирования и обновлений
2. Перенаправляет Web трафик в облако
3. Отвечает за взаимодействие с AD и DC Connector
предоставляет в облако защищенную
информацию о пользователе/группе
4. В будущем – функциональность
Connector интегрированная в
маршрутизаторы и МСЭ Cisco
20
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
21. Обзор коннектора
1. Объект в сети заказчика
2. Захват внутреннего IP
3. Захват имени пользователя
4. Захват членства в группе AD
5. Управление исключениями
6. Аутентификация по лицензионным ключам/IP
7. Варианты развертывания:
§ Отдельный
§ ISA Plug-in
§ ISR G2
21
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
22. ASA
Существующее решение: Перенаправление трафика, Port
Forwarding(ASA 8.3)
Основной функционал
1. Проверка только HTTP и FTP over HTTP
2. Один ЦОД
3. Ограниченный набор исключений и подробности
Варианты использования
1. Web безопасность
2. Поддержка любого устройства просмотра Web
3. Публичные хотспоты, гостевой доступ
22
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
23. ScanSafe for Public Hotspot WiFI
1. Web-фильтрация для
WiFi с общим доступом
• Фильтрация для гостей
• Одна политика, нет
деления для пользователей
2. Возможность для
безопасности Web в
местах общего доступа
• Операторы Hotspot
• ASA для перенаправления
3. Отдельный SKU
23
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
24. ISR G2
1. Внедрение функционала коннектора в ISR
2. Перенаправление трафика в облако ScanSafe без
дополнительного оборудования
3. Поддержка web политик для индивидуальных
пользователей и групп. Работа в режиме SSO при
аутентификации в LDAP
4. Поддержка на маршрутизаторах Cisco ISR G2 (880,
890, 19xx,29XX, и 39XX)
24
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
25. Как трафик попадает в облако
Опция 3 – клиент Anywhere+ для мобильных пользователей
Факт: Мобильные
пользователи только
17% времени в Интернет
1. Устанавливается как сетевой проводят в корпоративном
драйвер, незаметен для VPN. Как контролировать
пользователя оставшиеся 83%?
2. Автоматически определяет
ближайший к пользователю ЦОД
3. Перенаправляет Web трафик
пользователя в облако
4. Обеспечивает User/Group Granularity
5. Защищен от выключения
пользователем
25
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
26. Защита мобильных пользователей
Автоматический выбор: в облаке или на предприятии
Cisco AnyConnect
News Email
Оптимальный выбор между облаком
и предприятием в зависимости от
местоположения пользователя
Обмен информацией
между ASA и WSA
The image cannot be
displayed. Your
computer may not have
enough memory to open
the image, or the image
may have been
corrupted. Restart your
computer, and then
open the file again. If
Сisco AnyConnect
the red x still appears,
you may have to delete
ASA
the image and then
insert it again.
Cisco Web Security
Appliance
Social Networking Enterprise SaaS
Corporate AD
26
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
27. Что такое Web безопасность Cisco?
§ Web безопасность это новый компонент Cisco AnyConnect VPN
§ Состоит из функционала “Anywhere+”
§ Дополнительный уровень в Any Connect, работающий с
драйвером вместе с остальным функционалом
KDF
NAM Driver
Web
Security
Web Security Dart etc.
VPN
Driver
27
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
28. Возможности WebSecurity
Все возможности Anywhere+ v1.2
Полная поддержка всех версий Windows
Поддержка интерфейсов WWAN (3G modem)
Контроль прямого доступа к узлам IPv6 ( IPv6.Google.com)
Блокировка для предотвращения выключения
Будущие релизы (2011)
• Поддержка Hosted Scansafe
• Клиенты для других платформ (Mac, мобильные устройства)
• Дополнительные опции развертывания
• Разные улучшения и обновления
28
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
29. Клиентский портал ScanCenter
Настройка политик, отчеты, мониторинг
1. Все настройки
выполняются на портале
2. Более 5000 шаблонов
отчетов
3. Возможность создания
своих шаблонов отчетов и
политик
4. 75 анализируемых
параметров трафика
5. Отчеты по расписанию
6. Информация как по
клиенту так и глобальные
тенденции
29
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. 29
30. Вопросы и Ответы
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 (495) 961-1410
30
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.
31. Условия
§ Полнофункциональный пробный доступ на 30 дней
§ Небольшой одноразовый платеж за включение услуги
§ Несколько $ за одно рабочее место в месяц (зависит
от общего числа рабочих мест в организации)
31
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved.