Cisco Russia , profile picture
Uploaded byCisco Russia
852 views

Обзор продуктов в области информационной безопасности.

Документ представляет собой обзор продуктов в области информационной безопасности от компании Cisco, охватывающий различные решения, такие как межсетевые экраны, системы обнаружения вторжений и архитектура управления доступом. Основное внимание уделяется новым подходам к безопасности в условиях увеличения угроз и необходимости адаптации к облачным технологиям. Кроме того, обсуждаются трансформации и новшества в продуктовой линейке Cisco, включая кластеризацию и управление политиками безопасности.

Embed presentation

Downloaded 20 times
10/15/2012 Обзор продуктов в области информационной безопасности Михаил Кадер mkader@cisco.com План презентации • Вступление • Межсетевые экраны • Системы обнаружения и предоствращения вторжений • Архитектура управления доступом Cisco TrustSec • Система управления информационной безопасностью предприятия • Заключение 1
10/15/2012 Требование Смешение частного и Нужен доступ к разнообразия устройств служебного критичных ресурсам Цель # ! % Рост экосистемы Расширение спектра Атаки на новые киберпреступности целевых угроз технологии 2
10/15/2012 # ! Инкапсуляция Виртуализация % Переход к облачному коммуникаций центров обработки хранению данных Социальные сети Hotmail Business Pipeline Web-почта Приложения # ! Взаимодействие видео % Рост трафика на ПК Драматический рост и социальных сетей трафика в ЦОД 3
10/15/2012 Борьба и единство противоположностей Рост Соответствие Внимание ИТ Глобализация Риск-менеджмент Разрешить Защитить Соответствие Регулирование Внимание ИБ Привлечение людей Персданные Внимание руководства Рост сложности Организационно – ? Compliance Ops. Endpoint Team Network Ops. Security Ops. Политика Application Team HR Технологически – ? Не пустить плохих Пустить хороших Контроль доступа Endpoint Соответствовать Identity Mgmt Вторжения Учесть BYOD Соответствие Управления Разрешить виртуализацию Быть готовым к облакам Операционно – ? Проводное В сети Беспроводное Поверх сети VPN На устройстве 4
10/15/2012 Требуется новый подход ОТ К # ! % Поэтапный дизайн Координация систем Унифицированные точки Точечные решения применения политик Всесторонний контроль Ограничение обзора на 360° Проверка на «кошках» Проверенный дизайн Что объединяет всех?! Маршрутизация запросов Источники данных Управление устройствами Контроль потоков Контроль потоков Видимость трафика Контроль пользователей 5
10/15/2012 Элементы Cisco SecureX • Объединить людей и информацию... Безопасно Исследования в области ИБ Политика   ¡ ¢ £ ¤ ¥ ¡ ¢ ¦ § & ¢ ¦ ¤ £ ! § # © ¤ ¤ ¦ § ¢ Управление Точки приложения сил Сеть Cisco SecureX Distributed Threat Application Virtualization Workforce BYOD Defense Visibility Control Cloud Защищенный Защищенный Авторизованное Защита сетевого переход к универсальный использование периметра облачным доступ контента вычислениям ) ) 5 ( 6 % ' 7 8 0 ( 9 @ 1 % A 4 % 8 ( C ) 8 7 D E % 5 0 0 C 7 B $ ( 3 $ ( 1 ' 0 ) 2 $ % % ' ( ) ' 0 ( 6
10/15/2012 Три основных трансформации Cisco ИБ   ¡ ¦ ¢ ¦ ¡ ¢ ¤ £ ¤ £ Встроенная ИБ ¢ ¢ £ £ ¤ ¦ § ¤ ¥ Отдельная ИБ ¤ ¤ ¥ § ¡ ¤ ¡ ¢ Hardware   ¡ ¦ ¢ ¦ ¡ ¢ ¤ £ ¤ £ © ¦ E L A Software От продуктов К решениям Интегрированная безопасность B o r d e r l e s s D a t a C e n t e r / e r v i c e C o l l a b o r a t i o n S N e t w o r k s V i r t u a l i z a t i o n P r o v i d e r SecureX 7
10/15/2012 Что влияет на продуктовую линейку? % ' 2 ( @ 1 % A 2 © ( 8 % 5 % @ 0 0 1 ( % ' 7 8 0 D 1 ( @ 9 5 D % 1 % '   ¡ ¢ £ ¤ ¥ ¦ £ § ¨ ¦ § £ ¤ Что входит в портфолио Cisco по ИБ Distributed Threat Application Virtualization Workforce BYOD Defense Visibility Control Cloud Adaptive Adaptive Adaptive AnyConnect Security Security (CX) Security Web Security Email | Web Virtual Security Web Security Appliance Security Gateway Cloud Web Intrusion Router Security Nexus 1000v Security Prevention WLAN Controller Router Security VPN Identity Services Engine Исследование угроз: Политика: Identity Services Engine TrustSec NCS Prime: Networks/Security Сеть: Router Switch Appliance Cloud Virtual Сервисы: Cisco Advanced Services Partner Shared Services   ¤ ¤ ¢ ¦ ¢ ¡ ¢ ¦ : P C I 1 . 0 / 2 . 0 H I P A A S O X ( ) 0 1 5 2 2 3 4 5 6 8
10/15/2012 Межсетевые экраны Новый модуль ASA для Catalyst 6500 Показатель Значение Производительность шасси 64 Гбит/сек Производительность модуля 16 Гбит/сек Одновременных сессий 10M Новых соединений в секунду 350K Контекстов безопасности 250 VLANs 1K 9
10/15/2012 Cisco Virtual Security Gateway V-Motion (Memory) Physical V-Storage Security (VMDK) Role VM Based Segmentation Access Virtualization Security VM OS Hypervisor Hardening Security Patch VM Management Sprawl Virtual Security Gateway на Nexus 1000V с vPath Место Cisco Virtual Security Gateway Virtual Network Nexus 1000V with vPath Management Center • Распределенный virtual • Консоль управления VSG switch • Запуск на одной из VMs • Запускается как часть гипервизора Port Group Физический Virtual Security Gateway сервер • Программный МСЭ • UCS или • Запускается на одной из VMs • Другой x86 server • Сегментация и политики для всех VMs Security Service Admin Admin 10
10/15/2012 Cisco ASA 1000V Cloud Firewall • Проверенные технологии Cisco теперь и для виртуализированных сред • Совместная модель безопасности – VSG для зон безопасности на уровне одного заказчика – ASA 1000V для контроля безопасности границы между заказчиками • Бесшовная интеграция – С Nexus 1000V vPath • Масштабирование по необходимости Cisco ASA 5500 Series Appliance Еще совсем недавно ASA 5585 SSP-60 (40 Gbps, 350K cps) ASA 5585 SSP-40 (20 Gbps, 200K cps) M u l t i ¥ S e r v i c e ASA 5585 SSP-20 ( F i r e w a l l / V P N I P S ) (10 Gbps, 125K cps) Performance and Scalability ASA 5585 SSP-10 (4 Gbps, 50K cps) ASA 5540 (650 Mbps,25K cps) ASA 5520 (450 Mbps,12K cps) ASA 5510 (300 Mbps,9K cps) ASA 5505 (150 Mbps, 4K cps) ASA 5580-40 (20 Gbps, 150K cps) ASA 5580-20 (10 Gbps, 90K cps) ASA 5550 (1.2 Gbps, 36K cps) S O H O B r a n c h O f f i c e I n t e r n e t E d g e C a m p u s D a t a C e n t e r 11
10/15/2012 5 новых моделей Cisco ASA 5500-x ASA 5512-X Пропускная   ¡ ¢ £ ¤ ¥ ¦ § ¨ © ¥ £ ¢ ¥ ¢ § ¢ ¥ § ¨ способность межсетевого экрана 1 ¤ ¡ ¢ § § ¥ ¦ ¢ ¦ / ¥ Гбит/с ASA 5515-X Для удовлетворения растущих Пропускная способность требований к пропускной способности межсетевого экрана 1,2 ¥ ¡ ¢ § § ¥ ¡ ¥ ¨ ¤ ¥ ¦ ¢ ¡ § © Гбит/с ¥ ¡ ¥ ¢ ASA 5525-X Пропускная способность (дополнительное оборудование не межсетевого экрана 2 Гбит/с требуется) ASA 5545-X Для поддержки меняющихся Пропускная потребностей бизнеса способность   ¨ ! ¢ ¡ ¨ ¥ £ ¢ ¡ # ¦ ¢ $ межсетевого экрана 3 Гбит/с ¥ ¡ ¥ ¢ § ¢ ¢ % ¢ £ ¢ ¦ ¢ § © ASA 5555-X Пропускная Для защиты инвестиций способность межсетевого экрана 4 Гбит/с Создание высокопроизводительного центра обработки данных ® ' ( ) 0 1 2 ( 3 9 8 B C D 8 ) B 6 0 2 8 F 6 5 E E G ( F 6 0 9 B C ( H B 3 5 ( 6 7 8 9 @ ( A 4 5 64- разрядное ПО 12
10/15/2012 Кластеризация: согласованный коэффициент масштабирования • Общая пропускная способность = Кол-во x Пропускная способность одного узла x Коэффициент масштабируемости Кластер из 4 узлов с Cisco® ASA 5585-S60 с 1 0 ¡ ( 1 .   EMIX обеспечивает 64 миллиона подключений и пропускную способность 64 Гбит/с. • Общая кол-во подключений = Кол-во x Кол-во подключений одного узла x Коэффициент масштабируемости 1 0 ¡ ( 1 . Кластер из 4 узлов с Cisco ASA 5585-S60 может поддерживать   32 миллиона подключений. • Коэффициент линейного масштабирование независимо от количества 1 0 ¡ ( 1 .   Если кластер из 4 узлов поддерживает 32 миллиона подключений, кластер из 8 узлов будет поддерживать 64 миллиона подключений для трафика того же профиля. Кластеризация: высокая доступность • Все устройства в кластере являются активными и передают трафик. • Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу. • В случае сбоя узла проведение сеанса переходит на резервные устройства. • Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу. 13
10/15/2012 Управление кластеризацией • Единая консоль конфигурации и автоматическая синхронизация конфигурации в кластере. Управление кластером из 8 устройств осуществляет всего один экземпляр Cisco ASDM. • Обработка удаленных команд выполняется на узле. • Статистические данные использования ресурсов в рамках кластера ¢ £ ¤ £ Использование ресурсов ЦП и памяти для   ¡ узла. Использование канала управления кластером. • Поддержка Cisco® Security Manager Кластеризация: мастер конфигурации 14
Slide 27 jz1 Please replace Andaman with the actual release name Judith Ziajka, 7/6/2012
10/15/2012 Кластеризация: системная панель мониторинга Кластеризация: использование ресурсов Использование ресурсов ЦП и ¢ £ ¤ £ памяти для   ¡ узла в кластере Количество подключений в секунду для всего кластера и для каждого узла 15
10/15/2012 Кластеризация: вкладка «Пропускная способность» Общая пропускная способность и пропускная способность каждого узла Кластеризация: сведения о распределении нагрузки и использовании канала управления кластером Распределение нагрузки между членами кластера Использование канала управления кластером 16
10/15/2012 Кластеризация: захват пакетов Интеграция решения МСЭ и web- защиты Cisco Cloud Web Security 17
10/15/2012 Лучшее в своем классе Лучшая в своем классе Лучшая в своем классе безопасность сети web-защита на основе облака Обзор решения для web-защиты Cisco Cloud Web Security Web- контент Контроль исходящего трафика Script Flash- Script- PDF- сканирова сканирова сканирова ние ние ние PDF   ¡ ¢ £ ¤ ¥ ¦ £ ¤ ¢ £ § ¨ ¡ © ¤ Да A V Java- Exe- Сканирование сканирова сканирова репутации ние ние Flash «Чисты й» Web- контент страница Новые вредоносные Java программы заблокированы ' # ( 6 ' ' .exe $ ! ! ) $ $ % # # 7 ! 0 ! ! % % 1 2 0 3 0 $ % $ ! $ % $ ! ' 5 ( 4 $ Известные вредоносные программы заблокированы 18
10/15/2012 Cisco Cloud Web Security: ЧТО прозрачность и контроль web-приложений Классификация и контроль web-трафика Более 1000 приложений Подробная классификация и контроль поведений микроприложений и приложений Более 75 000 микроприложений   ' ¡ $ 5 ' 5 4 5 4 4 4 $ Конфигурация Cisco ASA 19
10/15/2012 ¡   ¢ ¦ £ ¡ Гибкая реализация политик ¡ § ¥ ¢ C I C ¦ ? ¢ £ § ¢ ¥ ¡ ¤ ¡ ¢ £ ¥ ® 7 6 1 % ' 7 D B ) 5 9 ¥ 7 £ ¢ £ . ¤ ¡ • Web-защита на основе облака с учетом контекста • Поддержка перенаправления контекста в решение Cisco ScanSafe Cloud Web Security • Несколько антивирусных механизмов и сканеров web-содержимого • Cisco ScanSafe Cloud Web Security и Cisco AVC поддерживают более 1000 web- приложений и 75 000 микроприложений Cisco TrustSec: расширение политик безопасности Cisco ASA 20
10/15/2012 Метка групп безопасности SGT f Пользователь, группа, состояние, код устройства, IP- адрес, сертификат Основа Cisco TrustSec: Cisco ISE 21
10/15/2012 SGT: расширение политики Cisco ASA Правила Cisco TrustSec® можно использовать в сочетании с правилами на основе пяти кортежей в устройстве Cisco® ASA. Для настройки политик можно использовать SGT (0008) или имя группы безопасности (sgt_marketing). Объединение всех компонентов SGT Пользователь (003) = kpahare Каталоги AD ® и LDAP   ¤ £ ¥ ¤ £ § ¢ ¦ ¡ £ ¦ £ SGT = 003   £ ¦ £ ! § £ ¢ ¢ § S X P SXP 22
10/15/2012 Основные моменты • Решение Cisco TrustSec® поддерживается только частью коммутаторов; оно позволяет выполнять поэтапные развертывания. • SGT может быть функцией одного или нескольких атрибутов. Допускает использование сложных правил политик. • Политики доступа Cisco® ASA могут быть сочетанием SGT и правил на основе пяти сетевых признаков. Примеры сценариев использования a h a r e £ ) 6 £ ) 7 ¦ 5 ¨ ( £ ¤ £ 7 ¦ 5 ¨ 7 Пользователь = аутентифицируется с и ему k p назначается SGT = ( 9 ( 2 6 B 2 . Антивирусное ПО было отключено. ) 0 0 7 / Q u a r a n t i n e ( W a h a r e После включения антивирусного ПО пользователю назначается F 8 8 6 D 0 6 F 6 D d 0 6 k p ) . 0 0 8 / C o m p l i a n t ( На устройстве Cisco® ASA: { если SGT = 008; разрешить 6 £ ( F f _ g £ ¥ ¦ 6 5 ( 7 ( ¥ £ ¨ F G _ 6 ) 5 £ H § ( 5 I G }   D к E   a h a r e i P a d ( 5 5 ( § £ ) 6 £ ) 7 ¦ 5 ¨ ( £ ¤ £ _ 7 ¦ 5 ¨ 7 ) Пользователь = аутентифицируется с k p   и ему назначается SGT = . 0 0 9 / B Y O D ¦ На устройстве Cisco ASA: {если SGT=009; разрешить доступ £ £ _ 6 £ _ 6 ) £ ¦ £ £ _ r d 5 ( 7 ( ¥ £ ¨ F G _ 6 ) 5 £ H § ( 5 I G }   к %   D p E   G u e s t ¤ £ ¥ ¦ § ¨ £ ¤ £ _ i P a d Пользователь = аутентифицируется с и ему назначается SGT = 8 F 6 . E ) 1 0 0 / G u e s t ( # ¦ На устройстве Cisco ASA: { если SGT = 100; разрешить доступ £ £ _ ¨ _ ' ( ¦ § ) ( § ¦ }   % 23
24 Поддержка МСЭ IPv6 адресов. * Предполагает группы объектов для IP- Запретить Любой ¥ ¤ Любой ¥ ¤ Любой Любой ¤ ¤ ) D V H ( ¢ ¡ ! ! ¢ ¤ § £ ¤ ¡ £ ¡ ¤ ! ¤ § £ ¢ £ ¦ ¥ ¤ ¦ ¤ £ § Разрешить https Любой Любой ¡ § ¡ £ ¡ ¤ § § § ¡ ¥ ¤ ¦ ¤ £ § ¡ ¢ § ¦ ¤ ¤ © ) D V H ( ¢ ¡ ! ! ¢ ¤ § £ ¤ ! ¤ § £ ¢ £ ¦ § ¦ ¤ ¦ ¤ ¦ M R C Разрешить http Любой Любой ¢ ¤ § £ ¤ ¤ ¤ § £ ¢ ¢ § ¦ ¤ ¤ © ¡ ¦ £ ¡ ¢ ¢ d a P i ¡ ¢ ¡ ¤ Разрешить http Любой Любой ¦ ¢ ¡ ¤ 10.1.1.1 joeuser@cisco.com Любой ¢ ¡ ¤ ¡ § ¥ ¤ ¢ ¡ ¤ ¡ § ¥ ¤ ¤ ¤ D A ¢ § ¦ ¤ ¤ ¥ ¦ ¢ ¡ ¥ ¤ ¢ £ ¤ © # ¢ ¥ ¡ ¤ P I # ¢ ¥ ¡ ¤ ¢ P I ¤ ¤ ¢ ¢ § ¥ ¥ £ £ § ¥ ¥ £ £ § ¥ ¥ £ £ Действие Назначение Источник Параметры правил Cisco ASA 9.0 10/15/2012
10/15/2012 Текущая поддержка IPv6 • Адресация интерфейсов • Списки доступа IPv6 • Статическая маршрутизация по протоколу IPv6 • Обнаружение соседей по протоколу IPv6 • Межсетевой экран в контекстах безопасности по протоколу IPv6 • Прослушиватель MLDv2 в однопользовательском режиме по протоколу IPv6 • Модули проверки приложений с поддержкой IPv6 включают сквозное пропускание по протоколам FTP, HTTP, ICMP, SIP, SMTP и IPsec • IPv6 в режиме прозрачного межсетевого экрана (уровень 2) • Поддержка IPv6 в Cisco® Adaptive Security Device Manager (ASDM). • Туннелирование VPN между площадками по протоколу IPv6, IKEv1 и IKEv2 • Аварийное переключение по протоколу IPv6 • Заголовок расширения IPv6 • Поддержка Cisco ASDM по протоколу IPv6 Унифицированный список контроля доступа 25
10/15/2012 Поддержка OSPFv3 Улучшения мультиконтекстных возможностей на МСЭ ASA 26
10/15/2012 Cisco ASA 9.0: несколько контекстов OSPFv2 EIGRP G 8 D 8 C 0 @ 3 9 8 D , ¡ 5   4 5 W 8 ) ) 0 9 1 B D ( 0 @ 2 (процессы) 1 (экземпляр) £ ¤ 4 ) 3 ( 1 ) 8 8 8 2 6 0 F 6 ( 5 W # W W Пользователь и администратор 8 ) ) 0 9 1 ( 8 2 6 0 F 6 ( W W W A Да (область) Да (активный-резервный) 8 ) ) 0 9 1 ( 0 9 0 9 £ 6 B 3 4 W W A 8 ) ) 0 9 1 ( 8 ¥ ¦ 0 8 Да W # A B 2 6 0 9 7 0 § F ( ¨ ) B 2 B 6 8 6 1 0 B 2 6 0 9 7 0 § F D @ d 6 B B 5 E   Да C L I 8 ) 2 8 8 2 6 0 F 6 2 8 @ W W 9 0 1 B @ ( ¤ Cisco ASA 9.0: VPN-подключения между площадками в мультиконтекстном режиме (этот выпуск). • VPN-подключения между площадками по протоколам IKEv1 и IKEv2: IPv4 и IPv6 • Поддерживаются все режимы аварийного переключения: «активный/активный» и «активный/резервный» • Конфигурация аналогична конфигурации в режиме одного контекста • Ограничения и распределения ресурсов в системном контексте: распределение и распределение при резком увеличении спроса на лицензии 27
10/15/2012 Cisco ASA 9.0: смешанный мультиконтекстный режим Кластеризация IPv6 Cisco® Cloud Web Security Улучшения мультиконтекстных возможностей Смешанный режим Cisco TrustSec® Шифрование нового поколения Бесклиентские VPN-подключения Улучшения производительности и масштабируемости VPN-подключения в Cisco ASA-SM 28
10/15/2012 Новый прикладной МСЭ Cisco ASA CX и система управления Cisco Prime Security Manager Так было   ¡ ¢ ¦ $ ¥ £ ¦ ¡ £ ¨ ! ¢ ¡ Устройство Интегрированное решение Виртуализация Понимание контекста Классический МСЭ ASA 29
10/15/2012 Так стало   ¡ ¢ ¦ $ ¥ £ ¦ ¡ £ ¨ ! ¢ ¡ Устройство Интегрированное решение Виртуализация Cisco ASA CX Понимание контекста Классический МСЭ ASA ASA CX – новый прикладной МСЭ • Межсетевой экран нового поколения • Context-Aware Firewall • Активная/Пассивная аутентификация • Application Visibility and Control/DPI с анализом контента • Репутационная фильтрация   ¦ ¡ ¥ ¦ ¡ ¢ £ § / ¡ ¦   © £ ¤   ¡ ¢ £ ¤   ¤   30
10/15/2012 КТО Идентификация пользователей • Покрытие широкого спектра сценариев идентификации A D / L D A P I d e n t i t y • Non-auth-aware apps NTLM • Any platform Kerberos • AD/LDAP credential TRUSTSEC* N e t w o r k I d e n t i t y Group information Any tagged traffic IP Surrogate U s e r A u t h e n t i c a t i o n • Auth-Aware Apps AD Agent • Mac, Windows, Linux • AD/LDAP user credential * Future ЧТО Анализ работы приложений   ¢ ¦ ¡ классификация всего трафика 1,000+ приложений M i c r o A p p E n g i n e Глубокий анализ трафика приложений 75,000+ MicroApps   ¢ § £ ¡ ¢ # § $ Контроль действий пользователя внутри приложений 31
10/15/2012 ЧТО Фильтрация URL бизнес-класса 60 языков 200 стран 20 mn URLs 98% Маркетинг Юристы Финансы покрытие ГДЕ/ОТКУДА Политики на базе местоположения ОТЕЛЬ ОФИС 32
10/15/2012 КАК Идентификация устройств • Информация с 100,000,000 оконечных устройств Устройство Версия ОС Состояние AV Files Registry Identity Services Engine Полный контекст. Плюс знание угроз Знание угроз   ¦ ¡ ¥ ¦ ¡ ¢ £ § / ¡ ¦   © £ ¤   ¡ ¢ £ ¤   ¤   33
10/15/2012 Полный контекст. Плюс знание угроз Cisco SIO www.facebook.com G O Когда использовать ASA, а когда ASA CX? ASA ASA CX 34
10/15/2012 А в чем разница между WSA и ASA CX? WSA ASA CX ASA CX – модуль для ASA 5585-X 35
10/15/2012 Один или два? Заказчику нужен ASA и ASA CX? Пусть заказывает два модуля в шасси 5585-X! Заказчику нужен только ASA CX? Пусть заказывает один модуль в шасси 5585-X! Cisco Prime Security Manager • Система управления для ASA CX • Встроенный в ASA CX для управления одним МСЭ • Отдельное устройство для поддержки нескольких ASA CX • RBAC • Конфигурация, события и репортинг • Виртуальная машина или устройство UCS 36
10/15/2012 Объединяя все вместе Cisco ASA CX Понимание контекста Понимание угроз Классический МСЭ ASA Новое поколение систем предотвращения вторжений Cisco IPS 37
38 § ¥ § £ ¢ ! £ ¥ ¡ ¡ O O ¡   § ! H S ¢ ¤ § £ ¤ £ ¢ £ ¡ ¥ ! ¤   ¢ £ ¢ ¤ ¤ ¢ £ ¤ ¥ ¢ ¦ £ § ¨ 6 5 4 3 2 1 0 © 6 5 4 3 2 1 0 I X S P ¢ A 5 5 A A ® o c s i C 2 1 S 6 5 4 3 2 1 0 § , I X A 5 5 5 A A o c s i C S P 1 S 6 5 4 3 2 1 0 I X A 5 5 5 S P 2 A A o c s i C S § 6 5 4 3 2 1 0 I X A 5 5 5 S P 4 £ ¡ A A o c s i C S I X A 5 5 5 5 A A o c s i C S P S ¨ ¢ 0 1 P 0 1 S § , A 5 8 5 5 A A o c s i C S ¦ 0 2 P 0 2 S § A 5 8 5 5 A A o c s i C S £ ¥ ¢ 0 4 P 0 4 S § A 5 8 5 5 A A o c s i C S 0 6 P 0 6 S A X A 5 8 5 5 A A o c s i C S ASA-IPS Cisco Семейство интегрированных устройств § ¥ § £ ¢ ! £ ¥ ¡ ¡ ¡   § ! ¢ ¤ § £ ¤ £ ¢ £ ¡ ¥ ! ¤   ¢ £ ¢ ¤ ¤ ¢ £ ¤ ¥ ¢ ¦ £ § ¨ © ¢ § , 6 5 4 3 2 1 0 5 4 3 4 S P I ® o c s i C § £ ¡ 6 5 4 3 2 1 0 ¨ ¢ 0 6 3 4 S P I o c s i C § , ¦ § 6 5 4 3 2 1 0 £ ¥ 0 1 5 4 S P I o c s i C ¢ § 6 5 4 3 2 1 0 0 2 5 4 S P I o c s i C устройств IPS Cisco Семейство специализированных 10/15/2012
10/15/2012 Cisco ASA серии 5500-X IPS • Платформа межсетевого экрана нового поколения с поддержкой сервисов • Устройства ASA среднего уровня с функцией ПО IPS с учетом контекста • Cisco® ASA 5525-X , ASA 5545-X и ASA 5555-X имеют аппаратное ускорение для IPS. • 1 интерфейс Gigabit Ethernet • Доступны платы расширения ввода-вывода Устройства Cisco IPS серии 4300 • Специализированная платформа IPS среднего уровня с учетом контекста • Четырехкратное увеличение производительности Cisco® IPS серии 4200 за половину стоимости • Обработка с аппаратным ускорением Regex • Интерфейсы Gigabit Ethernet • Платы аппаратного обхода будут доступны в октябре 39
10/15/2012 Устройства Cisco IPS серии 4500 • Специализированные высокоскоростные устройства IPS с учетом контекста • Обработка с аппаратным ускорением Regex • Развертывания на уровне ядра ЦОД или предприятия • Интерфейсы Gigabit Ethernet, интерфейсы 10 Gigabit Ethernet и слот SFP • Масштабируемость: доступен слот для будущего наращивания мощностей Сравнение оборудования Cisco IPS 4300 и IPS 4500 Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520 1RU 1RU 2 RU (шасси) 2 RU (шасси) ¦ ¡ ¤ ¦ § ¥ § ¢ ¤ £ ! © £ ¤ ¡ ¡ ¤ £ 4 ядер 4 ядер 8 ядер 12 ядер 4 потока 8 потока 16 потока 24 потока © § ! # ¢ 8 GB 16 ГБ 24 ГБ 48 GB ¡ 6 x 1 GE Cu 6 x 1 GE Cu 8 x 1 GE Cu 8 x 1 GE Cu § ¤ ¦ ¥ ¤ £ ¢ § 4 x 10 GE SFP 4 x 10 GE SFP R e g e x   ¡ ¤ £ ¢ Одинарный Одинарный Одинарный Двойной £ ¢ £ ¤ ¥ ¢ § Постоянное значение 2 с возможностью 2 с возможностью 2 с возможностью переменного тока горячей замены горячей замены горячей замены 40
10/15/2012 Cisco IPS 4510 9 8 B C D 8 ) B 6 0 2 8 F 6 5 E E A • Реальный средний показатель: 3 Гбит/с • Реальный диапазон показателей: 1.2-5 Гбит/с ¡ ¦ ¢ ¡ # © ¤ £ ¢ ¡ ¡ ¢ ¤ ¢ ¤ ¡ ¡ § £ ¥ £ § ¦ # • Транзакционная передача по HTTP: 5 Гбит/с ( ¥ £ ¡ ¢ )   ( 9 ( 6 0 9 B F 6 B B ( 6 7 8 9 @ £ : 4 5 ¢ ¢ £ £ ¤ ¦ § ¥ W W ¦ ¦ ¤ ¡ ¦ ¦ ¤ ¡ • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (8 6 GE Cu ядер, 16 потоков) • 24 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex • Открытый слот (в верхней части) для использования в будущем ¡ § ¢ ¤ £ ¢ 0 F 6 ( 9 ( C D 0 9 6 £ D ( 2 B 3 ¡ ¤ ¡ ¢ ¤ # # ¢ ¢ £ £ ¤ ¦ § ¥ • Средние и крупные предприятия ¦ ¦ ¤ ¡ ¦ ¦ ¤ ¡ • ЦОД кампуса • Требуется 3 Гбит/с реальной пропускной 4 слота 10 GE 2 ¥ ¤ £ ¢ § способности IPS SFP U S B © ¤ £ ¢ A U X • Требуется резервный источник питания ¤ ¡ ¤ • Требуется специализированная система IPS Cisco IPS 4520 9 8 B C D 8 ) B 6 0 2 8 F 6 5 E E A • Реальный средний показатель: 5 Гбит/с • Реальный диапазон показателей: 2.5-7.7 Гбит/с ¡ ¦ ¢ ¡ # © ¤ £ ¢ ¡ ¡ ¢ ¤ ¢ ¤ £ ¥ £ § ¦ # • Транзакционная передача по HTTP: 7,6 Гбит/с ¡ ( ¡ § ¥ £ ¡ ¢ )   ( 9 ( 6 0 9 B F 6 B B ( 6 7 8 9 @ £ : 4 5 ¢ ¢ £ £ ¤ ¦ § ¥ W W • 2 RU (шасси) ¡ ¡ ¦ ¦ ¤ ¦ ¦ ¤ 6 GE Cu • Многоядерный ЦП корпоративного класса (12 ядер, 24 потоков) • 48 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex (x2) • Открытый слот (в верхней части) для использования в будущем ¡ § ¢ ¤ £ ¢ 0 F 6 ( 9 ( C D 0 9 6 £ D ( 2 B 3 ¡ ¤ ¡ ¢ ¤ # # ¢ ¢ £ £ ¤ ¦ § ¥ • Средние и крупные предприятия ¦ ¦ ¤ ¡ ¦ ¦ ¤ ¡ • Центр обработки данных • Требуется 5 Гбит/с реальной пропускной 4 слота 10 GE 2 ¥ ¤ £ ¢ § способности IPS SFP U S B © ¤ £ ¢ A U X • Требуется резервный источник питания ¤ ¡ ¤ • Требуется специализированная система IPS 41
10/15/2012 Варианты в центре обработки данных: Cisco IPS 5585-X и Cisco IPS 4500 ¥ £   ¨ ¡ ¡ ¢ ¨ § § ¨ © ¥ ¥ ¨ C i s c o I P S 4 5 0 0 • Прозрачна и незаметна в сети • Ввод-вывод на основе IPS • Нормализация под управлением IPS • Свободный слот для использования в будущем   § % ¡ ¡ ¢ ¨ § § ¢ ¤ ¥ ¡ ¢ $ ¥ ¢ C i s c o A S A 5 5 8 5 ¥ X I P S • Прозрачность как вариант. • Ввод-вывод принадлежит межсетевому экрану. • Нормализацией управляет межсетевой экран. • Для выбора политики IPS доступны дополнительные возможности (5 элементов потока, код пользователя и т. д.). Реальная методология тестирования • Определение максимальной пропускной способности с помощью сочетания различных протоколов и размеров пакетов. • Для оценки используются средние показатели пяти тестов. • Сочетание типов трафика зависит от типа и расположения сети. • В тестах используются стандартные профили приложений пределов прочности (сочетания трафика). • Тестирование предоставляет клиентам рекомендации. • Клиенты могут легко воспроизвести тесты. • Тесты не имеют отношения к компании Cisco. 42
10/15/2012 Производительность Cisco IPS 4500 в режиме inline 8 Максимальная производительность (Гбит/с) 7 6 5 4 3 2 1 0 Реальный средний показатель Транзакционная передача по HTTP 4 5 1 0 4 5 2 0 Сравнение производительности Cisco IPS 4500 Cisco IPS Cisco IPS 4510 § ¢ 4520 ¡ Cisco использует пять сторонних тестов, которые показывают состав § ¥ ¡ £ ¥ ¥ ¤ § § ¢ ( ¤ ¢ 3 5 смешанного трафика / ¡ ) ¢ развертываний. § ¡ ! § § # Максимальные уровни пропускной ¥ £ ¤ ¦ ¤ ¡ ¢ ¤ ¡ ¢ ( ¤ ¢ / ¡ ) способности при полной проверке 5 10 трафика. ¢ ¡ Беспроблемная обработка   ¤ ¢ ¡ ¢ ¦ ¤ ¥ ¤ ¢ ¥ ¦ 72,000 100,000 ¡ всплесков подключений. ¡ £ £ Динамично функционирующим центрам обработки данных § ¡ ! § ¤ ¤ ¢ ¡ ¢ ¦ ¤ ¡ 3,800,000 8,400,000 требуется большое количество ¤ ¢ £ ¢ ¥ ¤ ¢ ¥ подключений.   ¡ ¡ Задержка может привести к проблемам транзакций и повлиять 150 мс 150 мс £ ¦ £ ! # § £ ¡ на производительность. 43
10/15/2012 Контекстно-зависимая архитектура IPS Cisco® SIO IPS в режиме Inline, в режиме Inline, Политика с учетом оценка рисков для корреляция в контекста бизнеса на основе устройстве контекста Прозрачность контекста Проверка политики с учетом контекста Текущие средства контроля: Порт IP Протокол Сети VLAN Работа с копией трафика и режим inline Требуются гибкие средства контроля для приведения политики в соответствие с направлениями угроз, повышения производительности проверки и снижения количества ложноположительных результатов. 44
10/15/2012 Встроенная корреляция определяет современные атаки ИД обхода Сигнатура A 10:17 Сигнатура B 10:19 нормализации Сигнатура C 10:19 трафика   ¨ ¥ ¥ % § ¨ ¤ ¡ ¨ X Анализ протокола ИД атаки требуется полная прозрачность среди нескольких сигнатур, пользователей, протоколов и других компонентов Контекстная динамическая оценка угроз Уникальные параметры контекста формируют точную оценку бизнес-рисков Контексты злоумышленника и Контексты атаки объекта атаки Поток встроенной корреляции Механизм действий Риск для Риск для бизнеса бизнеса Обнаружение и применение Обнаружение и применение рисков рисков объекта атаки и эксплойтов из Cisco SIO злоумышленника из Cisco® SIO и локальные данные Внутренняя репутация Серьезность Глобальная репутация Точность Контроль признаков операционной системы Конечное значение 45
10/15/2012 Архитектура IPS с учетом контекста Инновации в управлении угрозами • Понимание • Динамическая оценка бизнес- бизнес-рисков рисков • Точность • Контекстные данные для точного определения риска и • Быстродействие соответствующего действия • Эффективность • Встроенная корреляция, • Прозрачность выполняемая немедленно (не после свершения) • Отправка уведомлений или эскалация (если необходимо) Cisco IPS для АСУ ТП Все типы оборудования • SCADA • DCS • PLC • SIS • EMS • Все основные производители • Schneider • Siemens • Rockwell • GE, ABB • Yokogawa • Motorola • Emerson • Invensys • Honeywell • SEL • И это не конец 46
10/15/2012 Cisco IPS: возможности управления • Cisco® Security Manager 4.3 • Cisco IPS Device Manager 7.1(4)* • Cisco IPS Device Manager 7.1(5) • Cisco IME 7.2.3 * При первых поставках клиенту Cisco IPS 4510 и IPS 4520 поставляются с 7.1(4). Cisco Security Manager 4.3 • Единое интегрированное приложение • Унифицированный графический интерфейс для политики управления и устранения неполадок межсетевого экрана, устройств IPS и VPN. • Управление устройствами безопасности корпоративного класса. • Управление сотнями устройств безопасности Cisco®. • Часть семейства управляемых устройств Cisco Security Manager с выпуска Cisco Security Manager 4.3. • Мониторинг состояния и производительности (Cisco® ASA and Cisco IPS). • Управление образами (Cisco ASA). • Закрепляемый Policy Object Manager и глобальный поиск объектов. 47
10/15/2012 Cisco IDM 7.1(5) • Поддержка расширенного декодирования HTTP. • Профили угроз для характерной для развертывания настройки (ЦОД и периметр) с помощью мастера. • Статистические данные о нагрузке для выполнения анализа. • Поддержка новых платформ. Развертывание шаблонов с помощью Cisco IDM 7.1(5) • Базовая настройка сигнатур, адаптированная для различных расположений в сети • Текущая поддержка только на платформах с аппаратным ускорением Regex • Пошаговый мастер • Шаблон, предназначенный для ЦОД 48
10/15/2012 Архитектура Cisco TrustSec Политики, относящиеся к бизнесу ГДЕ ЧТО КОГДА Атрибуты КТО КАК политики безопасности ¡ ¤ £ ¢ £ § ¤ ¦ § ¥ ¤ ¢ Идентификация Динамическая политика и реализация Пользователи и устройства РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ Портфель решений Cisco TrustSec Администрирование политики Принятие решений на базе политик Identity Services Engine (ISE) Система политик доступа на основе идентификации Реализация политик Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, На основе TrustSec инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000 Информация о политике Агент NAC Web-агент Запрашивающий клиент 802.1x Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN 49
10/15/2012 Полная прозрачность Контроль идентификационных данных % ¡ ¡ 9 7 % 1 B C i s c o C a t a l y s t ®   ¡ ¢ £ ¤ £ ¡ ¥ ¢ ¦ § ¨ ¥ © © ¥ § § © ¡ £ £ ¥ § ¡ £ £ £ £ Режим монитора Гибкая последовательность аутентификации Поддержка IP-телефонии Поддержка сред виртуальных Авторизо- Планшеты IP- Сетевое Гости настольных систем ванные телефоны устройство пользователи MAB и Web- 802.1X профилирование аутентификация Функции аутентификации IEEE 802.1x Обход аутентификации по Web- MAC-адресам аутентификация На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации Идентификация устройств Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Быстрый рост числа Множество устройств Должно быть Необходима гарантия того, устройств в проводной и предусмотрено что устройство и идентификация для беспроводной сети управление политиками для соответствует цифровым реализации политик каждого типа устройств меткам 50
10/15/2012 Полная прозрачность Идентификация устройств 1 # $ 1 4 % 4 ' 0 1 2 6 1 ( ) 2 1 ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей   ! Принтер I Личный iPad S E Точка доступа Политика для C D P C D P Политика для принтера D L L H D C P P D L L H D C P P личного iPad M A C M A C [поместить в VLAN X] [ограниченный доступ] Точка доступа Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO Эффективная 0 1 ¡ 2 £ ¤     3 4   5 ¤ 0 0 6 7 6   ¤ 8 6 9 ¤ @ ¦ ¡ 2 6 A ¤ 8 6 9 классификация устройств Коммутатор собирает данные, ISE производит классификацию ISE реализует доступ на основе с использованием относящиеся к устройству, и устройства, сбор данных о политик для данного передает отчет в ISE трафике и формирует отчет об пользователя и устройства инфраструктуры использовании устройства Полная прозрачность Анализ с учетом контекста: оценка состояния Пользователь проводной, беспроводной, виртуальной сети Временный ограниченный доступ к Не сети до устранения соответствует проблем требованиям Пример политики для сотрудника Проблема: Ценность: • Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или установлены работоспособности устройства постоянный агент • Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение обновлен и работает устройствами проблем • Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация дифференцированных политик • Приложение предприятия выполняется на основе ролей 51
10/15/2012 Полная прозрачность Анализ с учетом контекста: управление гостевым доступом Гостевые Web- политики аутентификация Интернет Беспроводный или Гости проводной доступ Доступ только к Интернету Выделение ресурсов: Управление: Уведомление: Отчет: гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей политики, гостевой портал электронной почте или SMS Абсолютный контроль Реализация политики Удаленный Пользователь с Пользователь с Виртуальный пользователь беспроводным проводным Устройства рабочий стол VPN доступом доступом Управление Масштабируемая доступом на реализация основе политик   ¢ V L A N СЕТЬ С КОНТРОЛЕМ   ¥ ¡ £ ¥ £ § ¦ # ИДЕНТИФИКАЦИОННЫХ ДАННЫХ ¡ ¤ ¡ ¢ £ ¥ ¤ ! ( A C L ) И УЧЕТОМ КОНТЕКСТА ¢ ¢ £ £ ¥ ¥ ¤ ¤ ¥ § ¡ ¤ ¡ ¢ * M C S e c * ¢ £ ¤ ¦ § A *= ¥ 4 4 1 2 6 ¦ 3 3 Центр обработки Зоны C i s c o данных Интранет Интернет безопасности 52
10/15/2012 Абсолютный контроль TrustSec: авторизация и реализация политик ¥ 4 4 C 1 i s 2 c 6 o ¦ 3 3 Динамические или Доступ для групп Сети VLAN именованные ACL-списки безопасности   ¡ ¤ ¢ £ £ Любой IP- адрес © ¢   © § ¨ ¡ ¨ ¡ ¡ © ¤ £ ¥ ¡ ¤ ¢ 2 ¥ ¦ § ¨ © ¡ ¡ © ¤ £ # ¢ ¤ ¡ ¢ ¢ Доступ для групп безопасности VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW • Меньше перебоев в работе • Не требует управления • Упрощение управления оконечного устройства (не ACL-списками на портах ACL-списками требуется смена IP-адреса) коммутатора • Единообразная • Повышение удобства для • Предпочтительный выбор реализация политик пользователей для изоляции путей независимо от топологии • Детализированное управление доступом Гибкие механизмы реализации политик в вашей инфраструктуре Широкий диапазон доступных клиенту вариантов доступа Повышение уровня реализации политик во всей сети Политики на основе Таблица доступа согласно понятного технического языка политике на основе ролей Отдельные пользователи Разрешения Ресурсы Матрица политик Врачи 6 ¨   © § ¨ ¡   % ( 2 % ( ' $ % % 3 ¦ 3 4 ) 5 3 % ¤   ¤ D1 A 3 4 6 4 ) 1 2 1 5 6 ( ' S1 ¢ ¡ © ¡ © (10.156.78.100) ) ! # ' $ 6 ¦ 3 % 4 1 2 ¤ ©   § ¥ ¢ (10.10.24.13) Совместный Медицинские Нет Совместный web- D2 карты Врач Интернет IMAP web-доступ к доступ к файлам S2 доступа файлам пациентов (10.10.28.12) Финансовая Интернет IMAP Интернет Нет доступа служба D3 ИТ- (10.156.54.200) WWW, Полный Финансовая служба админист- SQL SQL SQL, SSH доступ ратор Электронная S3 D4 почта ACL-список Врач - карта пациента (10.10.36.10) в интранет-сети permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 ИТ-администраторы (10.156.100.10) deny ip S4 (10.10.135.10) D6 Финансова я служба permit tcp S1 D1 eq https Требует затрат времени permit tcp S1 D1 eq 8081 Простота deny ip S1 D1 Ручные операции …… Гибкость …… Предрасположенность к permit tcp S4 D6 eq https Учет характера ошибкам permit tcp S4 D6 eq 8081 деятельности deny ip S4 D6 53
10/15/2012 Пример контроля доступа в ЦОД с ISE SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) 6506 10.1.204.254 SG ACL Matrix IP Address to SGT Mapping HR Nexus 7000 Server #1 Core VDC 10.1.200.50 10.1.200.254 Nexus 7000 Agg VDC ASA F i n a n c e ✓ F i n a n c e VSG Finance Server #1 10.1.200.100 H R c e F i n a n Архитектура Cisco для BYOD BYOD Проводной, Беспроводный, Инфраструктура доступа Шлюзы безопасности Инфраструктура защиты и устройства Мобильный доступы управлениям политиками ( 6 % ' ( 1 ( 8 8 7 D % ' ( 1 ( 8 8 7 D ¢ ) ( 3 Adaptive C % 1 E % 1 7 0 ' 8 7 D Security ) ( 3 Mobile Network Appliance (ASA) Active Certificate Internet Directory Authority Public Wi-Fi Prime (AD) (CA) NCS Switching WLAN Core WLAN AP Controller (WLC) Access Switch Campus Identity Mobile RSA Integrated Services Device Secure ID Services Engine (ISE) Manager Router G2 (MDM) (ISR G2) Branch Office WAN Aggregation Wireless Services Router Router (ASR) AnyConnect Home Office 54
10/15/2012 Сценарии использования BYOD Сценарий Ограниченный Базовый Расширенный Передовой 0 A 8 ( ) Полноценное Доступ по ролям из Гранулир. доступ   E % 5 0 0 C 7 Блокировать доступ мобильное рабочее сети внутри и снаружи место • Знать “кто” и “что” • Предоставлять • Гранулированный • Обеспечение 4 ¡ 1 ( % ' 7 8 0 D включено в сеть персональным и доступ изнутри родных • Давать доступ гостевым сети приложений для только устройствам • Гранулированный мобильных корпоративным доступ в удаленный устройств устройствам Интернет и доступ к • Управление ограниченному ресурсам через мобильными ( 8 % 5 % @ 0 0 числу внутренних Интернет устройствами ресурсов • Использование (MDM) VDI Сетевая инфраструктура Cisco Switches, Cisco Routers, Cisco Wireless LAN Infrastructure Cisco Prime NCS Управление Third Party MDM Идентификац ия и политики Cisco Identity Services Engine Удаленный Cisco ASA/ESA/WSA доступ и Cisco AnyConnect безопасность ScanSafe Приложения Корпоративные приложения и VDI Унифицированный клиент AnyConnect • Клиент IPSec/SSL/DTLS VPN – Client/Clientless • Оценка состояния • Location-Specific Web Security – На периметре (Ironport WSA) или через облако (ScanSafe) ScanSafe • Защищенный доступ в облако через SSO • Контроль сетевого доступа – 802.1X Authentication and Posture Internet-Bound – MACsec encryption Web Communications – Cisco TrustSec devices (план) • Windows, Mac, Linux, Windows Mobile, Apple iOS, Palm, Symbian, Android, Windows Phone (план) 55
10/15/2012 Гибридное решение для обеспечения защищенного доступа к web-ресурсам Новости Электронная почта AnyConnect Обмен данными между ASA и WSA ASA Cisco WSA Социальные сети Корпоративная SaaS-система Corporate AD Secure Mobile Device Management AD/LDAP Интеграция с лидерами рынка MDM B % 8 ( C ) 8 7 D ISE MDM Mgr E % 5 0 0 C 7 • MobileIron, Airwatch, Zenprise, Good ? • Заказчики могут выбирать Cisco Catalyst Switches Cisco WLAN Controller Функции: User X User Y • Всесторонний анализ устройств • Детальный контекст пользователей и устройств • Расширенная защита устройств и приложений Window или OS X Смартфоны, включая ПК устройства с iOS или Android Wired или Wireless Wireless 56
10/15/2012 Управление безопасностьюsco Security Manager 4.3 Краткий обзор CSM £ ¢ ¥ § £ ¥ Комплексное © ¢ £ ¡ £ ¤ £   ¡ ¢ ¡ для FW, VPN и IPS # $ % ' ( ) 0 ( на разнотипных устройствах (ASA, IPS, FWSM, PIX, ISR/ASR) # 1 ' 0 2 0 3 % 4 0 £ ¢ ¥ § £ ¥ ¦ § ¢ ¤ £ ¥ — ¡ ¢   ¢ события межсетевого журнала F ) 2 ( $ G ( H B # $ % ' ( ) 0 ( (Syslogs) и IPS (SDEE) A P I $ ) % ' % 4 0 5 6 © § £ ¡ © £ § ¨ © ¡ © © § £ © £ § ¢ © £ © £ ¡ ¥ ¢ ¦ § © ¡ £ для ASA и £ ¡ ¢ Cisco IPS Security   ¡ ¤ ¥ ¡ ¨ для межсетевых экранов и устройств IPS Manager £ ¢ ¥ § £ ¥ © ¤ £ ¥ ¡ ¢ ¢ для ASA и # $ % ' ( ) 0 ( IPS 7 2 8 ( 2 9 1 A $ % E % 4 0 A P I для доступа к политике © ¡ ¥ § Поддержка устройств в @ % A 1 2 1 B # 1 C одном развертывании B 1 A ) 1 B 2 D © § © £ ¥ W i n d o w s B ( 2 0 : конструктивные параметры устройства, также доступен в виде установки ПО 57
10/15/2012 Cisco Security Manager Представление политик Представление устройств   ¥ ( ( 9 E 1 7 ' 5 ( 8 0 ( ) ( 3 £ Представление топологии   E 0 ¡ 0 A 0 1 % ' 7 8 8 2 ( % E ( 1 7 ¡ 0 0 E % % ( ) E ( ¢ ( 8 0 £ ( A % E 7 ) 8 % ) 0 ( 7 5 3 8 2 ( 1 ( A 9 5 3 7 2 ¤ Управление межсетевыми экранами   ¡ ¢ ¥ ¢ ¨ Интуитивный графический интерфейс с представлениями политик и объектов. Перенос политик на несколько ¦ 8 5 ( F 8 D ( 2 2 8 F 6 E устройств и переопределения # объектов обеспечивают согласованное определение политик. £ ¨ ¡ ¨   © Наследование политик £ ¢ ¦ обеспечивает реализацию корпоративных политик. I S R A S R 58
10/15/2012 Управление межсетевыми экранами 8 C 8 D ( 6 0 B B Политики моделирования на 5 E 5 A основе пользователей и 9 d £ 4 4 # групп пользователей 8 C 8 D ( 6 0 0 § 4 5 E 5 Поиск пользователей и групп   2 6 0 9 ( H B 3 пользователей на основе установки и сопоставления # A D Active Directory. 8 5 2 £ 0 Политики моделирования на основе FQDN (например, A ) 8 @ 0 2 2 £ 0 B @ 0 2 ( apps.cisco.com). Средства повышения производительности межсетевых экранов   ¡ ¤ ¡ § Сопоставление событий с политиками упрощает процесс изучения администратором. § ¥ ¡ ¨ § § Интегрированное средство отслеживания пакетов для глубокой диагностики и § £ ¢ ¨ ¢ ¦ устранения неполадок. § £ ¡ ¨ § Число попаданий в список ACL, £ ¡ ¨ ¨ запрос правил и отслеживание сроков действия упрощают базовые функции политики. ¥ ¡ ¥ ¢ ¢ ¥ # ¨ § © £ ¨ ¦ ¢ 59
10/15/2012 Управление IPS   4 9 0 1 ) ( ¡ ¦ ( 3 Технология глобального сопоставления на основе репутаций обеспечивает защиту сети в C ( ¦ B 6 ( упреждающем режиме. ¦ 8 5 ( F 8 D ( 2 2 8 F 6 E Согласованные сигнатуры и реакции # на события в датчике IPS. Навигация IPS от уведомлений к ¥ ¢ ¦ ¡ ¨ § £ ¢ сигнатурам обеспечивает быструю настройку проблемных сигнатур. ¢ £ ¤ ¥ ¦ § ¦ ASA AIP IDSM I O S I P S I P S Средства повышения производительности IPS Cisco Автоматические обновления сигнатур ¨ 0 9 ( 6 B D 2 ( 3 4 C ( ¦ B 6 ( и пакетов обеспечивают оперативную защиту IPS. 9 8 C 9 ( 2 8 F 6 E Отчеты об инвентаризационных A B 2 D 0 2 6 ( 9 B C ( H B 8 2 данных и лицензиях IPS, а также автоматические обновления лицензий упрощают выполнение повседневных 2 £ ¤ ) ( 2 2 £ ¤   C S M £ ¦ £ задач. 9 8 F 6 ( 3 A ) B ( 2 8 F 6 B ( B Навигация IPS от уведомлений к сигнатурам обеспечивает быструю # W d F 6 9 ( 2 0 2 B 0 2 0 4 8 5 ( ) 8 настройку проблемных сигнатур. W S S S S I P I P I P I P 60
10/15/2012 Подготовка сетей VPN ¦ 5 8 1 2 £ 0 Простой в использовании мастер 9 ( C D 0 9 6 £ D ( 2 B 3 установки сетей VPN обеспечивает точность настроек на разных устройствах.   ¡ ¢ £ ¤ ¥ ¡ ¦ ¤ § § ¡ ¥ ¨ © Простота развертывания в среде ¦ § ¡ ¤ ¥ ¨ ¤ § из тысяч устройств, включая ¤ ¦ ¨ ¦ ¤ § ! неуправляемые устройства сторонних поставщиков. ¢ B 2 B @ ( 2 8 0 5 E 2 ( 9 d # 0 2 B 0 Возможности производственного 9 8 B C D 8 ) B 6 0 2 развертывания для поддержки существующих VPN- 4 5 E подключений. 8 F 6 B ¢ ( F 6 0 9 F 8 C ) ( 2 B 3 F 0 6 0 § V N P I P S e c G R E D M V P N G E T V P N E a s y I P S e c S S L V P N R A V P N Управление событиями ¦ ¢ ¡ ¡ ¦ § ¦ £ ¡ ! £ § ¤ ¢ ¤ Представления событий ASA, IPS и ¦ £ ! ¦ VPN в режиме реального времени и £ ¤ ¤ ¤ ¢ ¢ ¡ ¤ ¥ в хронологической ¥ ¤ ¡ ¡ ¤ ¦ § ¢ ¤ ¡ ¢ последовательности. Детализация привязки события к ' ( D B ( H B 3 8 6 # F 8 ¥ £ 6 B § политике позволяет выполнять 4 8 5 B 6 B 0 W анализ основных причин и точную W настройку правил. @ B 6 9 £ B Гибкие и комплексные критерии 5 E 2 ( F 6 9 ( B D ( 0 @ £ 0 9 0 ) F 6 ( D 0 2 B 3 событий исключают возникновение помех. 4 5 IPS VPN A S A 61
10/15/2012 Мониторинг состояния и производительности Возможность мониторинга ресурсов ¢ 8 2 B 6 8 9 B 2 # @ 0 1 F 0 6 0 D £ ¤ устройств ASA, параметров трафика ¡ 9 ( 2 8 D (количество подключений и т. д.), W аварийного переключения. Кроме мониторинга ресурсов ¢ 8 2 B 6 8 9 B 2 устройств, можно также # I P S контролировать параметры трафика (нагрузка для выполнения анализа, пропущенные пакеты). ¢ 8 2 B 6 8 9 B 2 F 0 6 0 § Пользователь может контролировать состояние туннеля, пользователей # V N P RAVPN и т. д. Пользователь может управлять   4 9 ( D 5 0 2 B 0 уведомлениями на основе важных d D 0 ) 8 @ 5 0 2 B 3 @ B данных об устройствах (ЦП, память, срок действия лицензии, состояние интерфейса и т. д.). IPS VPN A S A Управление образами Подход на основе мастеров для проверки, развертывания   9 ( D 0 2 B 0 4 5 8 ¥ 9 ( C ( @ B обновлений для образов, отправки A S A уведомлений об их выпуске (включая аварийное переключение). G 8 @ 4 5 0 6 £ Пользователи могут создавать W комплекты образов (образ ASA, образы AnyConnect и т. д.) для 8 ¥ 9 ( C 8 D развертывания. Интеграция с CCO, функцией подачи 9 8 F 6 ( 3 заявок CSM, развертыванием работ, утверждениями и т. д. для A B 2 6 0 9 ( H B 3 # обеспечения удобной работы пользователей. IPS VPN A S A 62
10/15/2012 Тактическая отчетность $ 0 ) ( ¡ 8 2 ( 0 8 7 ) 1 7 0 ' 7 ( ¡ 2 ( Отчеты, созданные на основе % ¢ ( 2 данных событий ASA, IPS и VPN.   C ) E % 1 0 1 9 ( ¡ 2 ( 0 Данные можно экспортировать в E 5 7 8 0 1 9 ( ¡ 2 ( формат PDF/Excel. Отчеты можно % ¢ ( 2 запланировать для отправки по электронной почте. $ ( ¡ 2 0 7 5 0 ¡ 2 Данные можно наглядно представить в форматах схем и таблиц. IPS VPN A S A Повышение эксплуатационной эффективности • Механизм подачи заявок с интеграцией на основе URL-адресов • Режим рабочих процессов с процессом утверждения • Глобальный семантический поиск во всех политиках • Встроенные функции RBAC (контроля доступа на основе ролей) • Архивация конфигураций • Автоматическое резервное копирование и восстановление 63
10/15/2012 Cisco Security Manager 4.3 В CSM 4.3 представлены новые возможности, связанные с мониторингом состояния и производительности, управления образами, доступна на основе интерфейсов API, а также целый ряд усовершенствований в других областях. ' 8 D £ 0 D 8 C @ 8 1 2 8 F 6 B . 3 C i s c o S e c u r i t y M a n a g e r 4 • Мониторинг состояния и производительности устройств ASA и IPS. • Управление образами для устройств ASA. • Доступ на основе API к данным конфигурации политики CSM. • Представление концепции комплектов политик для назначения нескольких политики нескольким устройствам. • Интеграция подачи заявок для отслеживания изменений политик. • Глобальный поиск устройств, политик и объектов политики во всей базе данных конфигурации. • Поиск сведений об использовании объектов. • Автообнаружение конфликтов для удаления ненужных записей из таблицы правил. • Обновления Policy Object Manager для улучшенной навигации. • Поддержка новых моделей — ASA 5512, 5515, 5525, 5535, 5545 и 5555. • Поддержка нового оборудования Cisco IPS серии 4300. Новое впечатляющее меню Старые страницы CS 64
10/15/2012 Подача заявок • Связывание изменений с заявками • Поиск на основе ИД или описания заявки • Просмотр измененных заявок по развертыванию • Настройка и запуск по URL-адресу внешней системы подачи заявок • Сведения о последней измененной заявке, отображаемые в POM и правилах межсетевого экрана • ИД заявки не является обязательным; допускаются повторяющиеся записи • Возможность указания нескольких ИД заявок, разделенных запятыми • Ticket Manager отображает журнал всех заявок • В новой установке эта возможность включена по умолчанию • После обновления существующие настройки рабочих процессов и другие параметры остаются без изменений • Для отключения возможности нужно последовательно выбрать Admin Settings (Настройки администрирования) - Ticket Manager 65
10/15/2012 Поиск сведений об использовании — устройства, политики, объекты... Улучшения Policy Object Manager • Настраиваемые избранные типы объектов в дереве типов объектов • Отображение 10 последних измененных объектов в дереве • Просмотр сведений о ссылках на объекты с помощью одного щелчка • Больший объем информации в таблице • Количество переопределений (если имеются) или переопределяемых объектов • Дата последнего изменения и последняя измененная заявка (или пользователь) • Полное описание • Объект, который был указан в ссылке или нет (при нажатии кнопки «Referenced» (Ссылка на)) • Перетаскивание и размещение объектов • Из POM в представление правил межсетевого экрана и из представления объектов в представление групп • Копирование, печать, экспорт (CSV) • Дерево типов объектов с возможностью поиска • Поддержка быстрой фильтрации 66
10/15/2012 Policy Object Manager Прочие улучшения • Семантическая фильтрация (IP / сеть) поддерживается в фильтрах таблиц объектов политик сети и узлов, а также в таблицах правил межсетевых экранов. • Копирование в виде текста в буфер обмена из большинства компонентов пользовательского интерфейса, таких как дерево, список, таблица, текст. • Поле быстрой фильтрации, используемое в таблицах «Инвентаризационные данные», «Activity/Ticket Manager», «Policy Objects Manager» и «Сигнатуры IPS». • Возможность поиска во всех деревьях (иерархических структурах) в Configuration Manager. • Добавлен параметр «Expand-All / Collapse-All» (Развернуть все / Свернуть все) для всех деревьев и таблиц. • С экрана входа в клиент CSM удален параметр «Enable / Disable Https connection» (Включить /отключить соединение по протоколу HTTPS). Соединение по протоколу HTTPS используется не всегда. • Теперь в представлении политики отображаются прямые назначения устройств, наследование и назначения с помощью комплектов политик. • Экспорт детализированной общей политики. • Настраиваемая панель инструментов. 67
10/15/2012 Новая функция обнаружения конфликтов. Общие сведения • Автоматическая функция — ACD • Функция, на основе которой выполняются практические действия — AACD • Встроенные отчеты о конфликтах — при просмотре отчетов можно изменять правила. Таким образом решается проблема использования, связанная с имеющимся средством анализа правил. • Функция используется только для автоматического обнаружения конфликтов. Она не предоставляет возможности их автоматического устранения. • Она поддерживается только в интерфейсе с примененными правилами доступа. • Отчеты о конфликтах формируются на основе источника, назначения, сервисов, пользователей, интерфейсов. Значения других полей (например, для указания диапазона времени и параметров ведения журнала) не учитываются. • Конфликты внутри объектов не поддерживаются. Поддержка функций идентификации для средств межсетевой защиты Фильтрация трафика на основе идентификационных данных поддерживается с версии CSM 4.2. Уже поддерживаются такие средства, как «Запрос политики», «Найти и заменить», «Срок действия правила». CSM 4.3 расширит поддержку средств межсетевой защиты для учета критериев идентификации в правилах межсетевых экранов. Сочетание правил — принятие во внимание не только сетей, интерфейсов и сервисов, но и пользователей. Количество попаданий — отображение количества попаданий для записей правила доступа, содержащих пользователей. Импорт правил — усовершенствованная возможность импорта групп пользователей и правил доступа с помощью групп объектов. Оптимизация внутреннего списка ACL — улучшенная возможность оптимизации ACL на основе не только сетей, интерфейсов и сервисов, но и пользователей. 68
10/15/2012 Поддержка функций идентификации для средств межсетевой защиты (продолжение) Возможности монитора состояния и производительности (Health and Performance Monitor, HPM) • Предоставление возможностей мониторинга для устройств ASA,VPN и IPS • Предоставление графиков тенденций важных показателей • Предоставление сводной панели для отображения объединенных сведений о состоянии, уведомлениях и значениях показателей в рамках представления • Предоставление механизма уведомлений для различных отслеживаемых параметров • Предоставление набора предопределенного представления мониторинга. • Предоставление пользователям возможности создания, редактирования, изменения настраиваемого представления мониторинга 69
10/15/2012 Возможности HPM — мониторинг ASA • Мониторинг ASA распространяется на следующие типы показателей: • ресурсы устройства — ЦП, память, интерфейсы; • параметры трафика — количество подключений, скорость подключений, количество трансляций, скорость трансляций, отброс пакетов, включая отброс при обнаружении угрозы, пропускная способность. • Параметры аварийного переключения • Уведомления ASA • Уведомления об аварийном переключении • Уведомления о состоянии интерфейса • Уведомления об использовании ресурсов ЦП • Уведомления об использовании ресурсов памяти Возможности HPM — мониторинг сетей VPN • Мониторинг сетей VPN распространяется на следующие типы параметров: • Мониторинг активного туннеля между площадками • Мониторинг пользователей удаленного доступа (RA) — пользователи – web-клиента VPN, IPSec и SSL, клиента Anyconnect. • Сводные данные о сетях VPN — сводное представление для туннеля между площадками, сеансов удаленного доступа, сведений о лицензиях и сертификатах. 70
10/15/2012 Возможности HPM — мониторинг IPS   ¢ § ¢ ¡ § % A S A ¡ ¨ ¥ £ ¡ ¢ ¥ ¡ ¨ § © ¥ © § ¨ ¥ ¤   £ £ ¨ ¡ ¨ ¡ ¢ : • — ЦП, память, интерфейсы; ¡ ¥ ¤ ¡ ¥ ¤ ¥ ¡ ¢ $ ¥ ¨ • — нагрузка для выполнения анализа, £ ¨ ¡ ¨ ¡ ¡ ¨ ! ¦ ¨ пропущенные пакеты, режим обхода; • — основное приложение, приложение для £ ¡ ¢ # § © I P S датчиков, приложение для совместной работы. • ¥ ¢ ¥ ¢ © § ¤ ¥ ¡ ¢ $ ¥ I P S ¥ © ¡ ¨ § § £ ¨ ¡ ¨ ¡ § ¢ § © • ¥ ¢ ¥ ¢ © § £ ¡ ¢ # § © © ¥ ¢ ¥ § ¢ $ ¡ ¨ ¢ • ¥ ¢ ¥ ¢ © § £ ¡ ¢ # § © © ¨ ¡ ¦ ¢ • £ # ¢ ¢ ¨ • ¥ ¢ ¥ ¢ © § § ¡ ! $ ¥ ¨ •   ¥ ¡ § ¥ ¡ ¢ ¦ ¨ $ ¥ ©   § ¡ •   ¥ £ ¢ ¡ ¢ ¨ § ¡ ¥ ¤ ¡ ¥ ¢ £ ¨ © •   ¡ ¢ £ ¤ § § £ ¨ ¦ • ¡ ¨ % ¡ ¤ ¡ ¦ ¨ © £ ¢ § § © ¨ § ¨ ¡ ¨ • Возможности HPM — представление мониторинга Вкладка «Alerts» (Оповещения) Панель сводных данных Дерево представлени я мониторинга Сведения о выбранных устройствах 71
10/15/2012 CSM Image Manager - Общие сведения CSM Image Manager обеспечивает полное управление образами для устройств ASA. Это средство используется на различных этапах процесса обновления образов для устройств ASA, предоставляя следующие возможности: и поддержка различных типов и версий образов,   ¡ ¢ £ ¤   ¥ ¡ £ ¦ § ¨   © ¨ £ © образов, ¨ ¦ ¥ ¡ влияния обновления этих образов на устройства (в анализ входит влияние обновления ¡ ¡ ©   на конфигурацию устройств), и обновления и § ¨ ¢ ¨ ¨ ¥ ¡ § ¡ © £ ¨ ¡ © ¦ предоставление надежного способа устройств с использованием встроенных ¨ ¨ ¦ © механизмов резервирования и восстановления, что способствует сокращению времени простоев. • Недостатки предыдущего решения, RME, для управления образами RME больше не входит в комплект CSM. Обновление образа с помощью RME рассматривалось как изменение OOB в CSM и требовало повторного обнаружения устройств, что приводило к потере назначенных и общих политик в CSM. Механизм RME поддерживал только системное ПО. Отсутствует поддержка образов ASDM и других образов SSLVPN. Отсутствует поддержка обновления аварийного переключения ASA, которое присутствует в большинстве развертываний ASA. Сценарии использования управления образами Поддержка репозитория различных типов и версий образов ASA. Проверка доступности новых образов на сайте Cisco.com. Загрузка образов с сайта Cisco.com. Проверка и анализ влияния обновлений образов на устройства. Совместимость устройств с образами. Объединение совместимых образов в комплект. Планирование обновления образа одного или нескольких устройств. Контроль пошагового выполнения операции обновления. Управление изменениями для операций по обновлению образов. 72
10/15/2012 Преимущества Image Manager Полное управление образами для ASA** — поддержка системы ASA, ASDM, CSD, Hostscan, Anyconnect и подключаемого модуля SSLVPN (RDP, Telnet, SSH и т. д.). Поддержка обновления пары аварийного переключения «Активный/резервный». Тесная интеграция с Configuration Manager — пользователь получает уведомления о влиянии обновления образа на конфигурацию устройства в CSM и сведения о действиях, которые необходимо выполнить до и после обновления, чтобы обеспечить беспрепятственное управление конфигурациям устройств в CSM. Надежные обновления — проверки совместимости образов, проверки требований к ОЗУ, проверки объема флэш-памяти, уведомления о влиянии на конфигурации и т. д. Управление файлами флэш-памяти ASA. Комплект образов — объединение совместимых образов и их быстрое развертывание. Элементарные проверки надежности на ранних этапах становления управления образами SSLVPN в Configuration Manager. Вывод сообщений о недостатке места. Поддержка внешнего диска в ASA — диска 1. Встроенные функции контроля доступа на основе ролей (RBAC) • Выпуски ACS, вышедшие после версии 4.x, больше нельзя использовать в качестве решения RBAC для CSM. NRBAC предоставляет те же функции RBAC, которые присутствовали в ACS для CSM. Эти функции встроены в CSM, поэтому их использовать гораздо проще. • Одной из ведущих мотиваций перехода на RBAC является возможность разделения обязанностей (Separation Of Duties, SOD). – снижение риска случайного повреждения или мошенничества – ограничение доступа к объектам (устройствам и политикам) • Что изменилось? – Common Services (CS) имели авторизацию на уровне задач и поставлялись только с пятью стандартными ролями. Они не обеспечивали детализацию RBAC на уровне устройств. – При использовании NRBAC вводится детализация на уровне устройств и поставляется восемь (7 + 1) стандартных ролей. 1 роль не требуется для CSM. • Сохраняется поддержка ACS 4.x. 73
10/15/2012 Стандартные роли, поставляемые с CSM Стандартные роли совпадают с ролями ACS 5 ролей являются общими для CS и CSM Специальные роли 1 роль является специальной для CS 2 роли являются специальными для CS CSM Лицо, утверждающее системы безопасности Администратор систем безопасности Специальная роль CS Суперадминистратор Общие роли Утверждающее лицо Служба поддержки Администратор сети Оператор сети Системный администратор Задачи приложений Задачи приложения назначаются ролям. Задача может относиться к одному конкретному приложению или использоваться для двух или более приложений. Типы приложений [AUTOUPDATE] — сервер автообновления [CSM] — Cisco Security Manager [CS] — Common Services ПРИМЕЧАНИЕ. Изменить разрешения для стандартных ролей нельзя. 74
10/15/2012 Группа устройств Группы устройств представляют собой контейнеры для устройств и используются в конфигурации авторизации на уровне устройств. Устройство может входить в несколько групп устройств. ПРИМЕЧАНИЕ. Устройство может быть связано с несколькими группами устройств [ 1:n ]. Для конфигурации NRBAC не требуется связывать с пользователем все группы устройств. Достаточно только одной группы устройств. Вывод. В системе могут находиться группы устройств, имеющие связанные устройства, но никогда не использовавшиеся для авторизации NRBAC на уровне устройств. Различные типы авторизации в NRBAC Полная авторизация Авторизация на уровне устройств Авторизация на уровне задач 75
10/15/2012 Другие функциональные возможности NRBAC предоставляет возможность авторизации внешним серверам идентификации, используемым для аутентификации. Удаленных пользователей AAA следует создать локально и назначить им роли. К некоторым серверам аутентификации, которые поддерживаются CS, относятся ACS 5.x как сервер TACACS+, Microsoft AD, локальная аутентификация Windows. • Создание настраиваемой роли • Создание новой строки привилегии запрещено. • Следует использовать с осторожностью. • ACS 4.x по-прежнему поддерживается «как есть». Требуется повторная регистрация, поскольку в CSM добавлены дополнительные строки привилегий для новых возможностей. Заключение 76
10/15/2012 В заключение   ¢ ¦ ¨ Кто Что Как Где/откуда Когда ¤ § ¨ ¡ ¤ % ¡ ¢ ¡ SensorBase Operations Center Dynamic Updates В ы с о к о с к о р о с т н а я § ¡ § § ¨ О б И н т е г р и р о в а н н а я л а ч н ы е с п е ц и а л и з и р о в а н н а я ¤ ¡ ¢ § ¥ и и н н ф ф р р а а с с т т р р у у к к т т у у р р а а в в ы ы ч ч и и с с л л е е н н и и я я з а щ и т а Стоит ли класть все яйца в одну корзину? • Сложность • Операционные затраты • Число уязвимостей • Обучение специалистов • Поддержка • Эксплуатация и управление • Мониторинг и устранение неисправностей • Конфигурация и обновление • Интеграция 77
10/15/2012 Хотите узнать больше? security-request@cisco.com http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco 78

More Related Content

PPTX
Решения Cisco в области информационной безопасности
byCisco Russia
 
PPTX
Тенденции на рынке инфобезопасности (IDC)
bySergey Polovnikov
 
PPTX
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
byAleksey Lukatskiy
 
PDF
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
byCisco Russia
 
PDF
Security trends for Russian CISO
byAleksey Lukatskiy
 
PDF
Cisco on DKP Russia 2008
byAleksey Lukatskiy
 
PDF
Вебинар: DeviceLock - экспертный взгляд на DLP-технологии
byDialogueScience
 
PDF
Переход в облака, выход из тумана
byAndriy Lysyuk
 
Решения Cisco в области информационной безопасности
byCisco Russia
 
Тенденции на рынке инфобезопасности (IDC)
bySergey Polovnikov
 
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
byAleksey Lukatskiy
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
byCisco Russia
 
Security trends for Russian CISO
byAleksey Lukatskiy
 
Cisco on DKP Russia 2008
byAleksey Lukatskiy
 
Вебинар: DeviceLock - экспертный взгляд на DLP-технологии
byDialogueScience
 
Переход в облака, выход из тумана
byAndriy Lysyuk
 

What's hot

PDF
Архитектура Cisco Smart Grid
byCisco Russia
 
PDF
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
byCisco Russia
 
PPTX
Краткое введение в Cisco SecureX
byCisco Russia
 
PDF
Pwc современные угрозы иб
byExpolink
 
PDF
Гибридные облака как средство защиты персональных данных
byRISSPA_SPb
 
PDF
Net app инновации в области хранения данных. и.беликов.
byClouds NN
 
PDF
What is CISO schedule for nearest two years?
byAleksey Lukatskiy
 
PDF
Защищенный сетевой доступ для персональных мобильных устройств
byCisco Russia
 
PPTX
Softline: Информационная безопасность
bySoftline
 
PDF
Практическая реализация BYOD.
byCisco Russia
 
PDF
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
byCisco Russia
 
PPTX
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
byExpolink
 
PDF
презентация Dpa cовершенный ИТ
byDPA
 
PPTX
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
byExpolink
 
PDF
Значимость интегрированной безопасности
byCisco Russia
 
PDF
Кибербезопасность с точки зрения директоров
byCisco Russia
 
PDF
Новые тенденции и новые технологии на рынке ИБ
byAleksey Lukatskiy
 
PPTX
Вопросы эффективности DLP-систем
byЭЛВИС-ПЛЮС
 
PDF
управление электронными данными ограниченного доступа
byExpolink
 
PDF
McAfee Endpoint Encryption
byebuc
 
Архитектура Cisco Smart Grid
byCisco Russia
 
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
byCisco Russia
 
Краткое введение в Cisco SecureX
byCisco Russia
 
Pwc современные угрозы иб
byExpolink
 
Гибридные облака как средство защиты персональных данных
byRISSPA_SPb
 
Net app инновации в области хранения данных. и.беликов.
byClouds NN
 
What is CISO schedule for nearest two years?
byAleksey Lukatskiy
 
Защищенный сетевой доступ для персональных мобильных устройств
byCisco Russia
 
Softline: Информационная безопасность
bySoftline
 
Практическая реализация BYOD.
byCisco Russia
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
byCisco Russia
 
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
byExpolink
 
презентация Dpa cовершенный ИТ
byDPA
 
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
byExpolink
 
Значимость интегрированной безопасности
byCisco Russia
 
Кибербезопасность с точки зрения директоров
byCisco Russia
 
Новые тенденции и новые технологии на рынке ИБ
byAleksey Lukatskiy
 
Вопросы эффективности DLP-систем
byЭЛВИС-ПЛЮС
 
управление электронными данными ограниченного доступа
byExpolink
 
McAfee Endpoint Encryption
byebuc
 

Similar to Обзор продуктов в области информационной безопасности.

PDF
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
byCisco Russia
 
PDF
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
byCisco Russia
 
PPTX
Data Centers Security
byAleksey Lukatskiy
 
PDF
Архитектурный подход к обеспечению информационной безопасности современного п...
byCisco Russia
 
PDF
Data Centric Security Strategy
byAleksey Lukatskiy
 
PDF
Эволюция информационной безопасности в виртуализированных и облачных средах
byMichael Kozloff
 
PDF
Identity Services Engine overview
byNazim Latypayev
 
PDF
Проблема защиты информации в современном ЦОДе. Способы ее решения
byCisco Russia
 
PDF
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service Data Center....
byCisco Russia
 
PPTX
Почему утекает конфиденциальная информация в госорганах?
byAleksey Lukatskiy
 
PPTX
Why secrets leak
byPositive Hack Days
 
PDF
Digest 2011
byDmitry Kibalnikov
 
PPTX
Security trends for Russian CISO in 2012-2013
byAleksey Lukatskiy
 
PPTX
Концепция BYOD для руководителей
byCisco Russia
 
PPTX
Защита центров обработки данных
byCisco Russia
 
PDF
Глобальные системы предотвращения атак: международный опыт
byAleksey Lukatskiy
 
PDF
Решения Cisco в области ИБ для центров обработки данных
byCisco Russia
 
PDF
Рабочее место нового поколения. Архитектура Cisco VXI. Практика проведения пи...
byCisco Russia
 
PDF
Управление сетевым доступом для корпоративных и персональных устройств.
byCisco Russia
 
PPTX
Мобильный доступ к АБС с точки зрения СТО БР ИББС
byCisco Russia
 
Интеграция сервисов идентификации и контроля доступа. Решение Cisco Identity ...
byCisco Russia
 
На что обратить внимание CISO в 2011-2012-м годах? Прогнозы и тенденции
byCisco Russia
 
Data Centers Security
byAleksey Lukatskiy
 
Архитектурный подход к обеспечению информационной безопасности современного п...
byCisco Russia
 
Data Centric Security Strategy
byAleksey Lukatskiy
 
Эволюция информационной безопасности в виртуализированных и облачных средах
byMichael Kozloff
 
Identity Services Engine overview
byNazim Latypayev
 
Проблема защиты информации в современном ЦОДе. Способы ее решения
byCisco Russia
 
Архитектура виртуализованного ЦОД - Cisco Virtual Multi-Service Data Center....
byCisco Russia
 
Почему утекает конфиденциальная информация в госорганах?
byAleksey Lukatskiy
 
Why secrets leak
byPositive Hack Days
 
Digest 2011
byDmitry Kibalnikov
 
Security trends for Russian CISO in 2012-2013
byAleksey Lukatskiy
 
Концепция BYOD для руководителей
byCisco Russia
 
Защита центров обработки данных
byCisco Russia
 
Глобальные системы предотвращения атак: международный опыт
byAleksey Lukatskiy
 
Решения Cisco в области ИБ для центров обработки данных
byCisco Russia
 
Рабочее место нового поколения. Архитектура Cisco VXI. Практика проведения пи...
byCisco Russia
 
Управление сетевым доступом для корпоративных и персональных устройств.
byCisco Russia
 
Мобильный доступ к АБС с точки зрения СТО БР ИББС
byCisco Russia
 

More from Cisco Russia

PDF
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
byCisco Russia
 
PDF
Cisco Umbrella
byCisco Russia
 
PDF
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
byCisco Russia
 
PDF
Полугодовой отчет Cisco по информационной безопасности за 2017 год
byCisco Russia
 
PDF
Cisco FirePower
byCisco Russia
 
PDF
Cisco Catalyst 9500
byCisco Russia
 
PDF
Cisco Catalyst 9400
byCisco Russia
 
PDF
Cisco Endpoint Security for MSSPs
byCisco Russia
 
PDF
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
byCisco Russia
 
PDF
Профессиональные услуги Cisco для Software-Defined Access
byCisco Russia
 
PDF
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
byCisco Russia
 
PDF
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
byCisco Russia
 
PDF
История одного взлома. Как решения Cisco могли бы предотвратить его?
byCisco Russia
 
PDF
Cisco Catalyst 9000 series
byCisco Russia
 
PDF
Годовой отчет Cisco по кибербезопасности за 2017 год
byCisco Russia
 
PDF
Обзор Сервисных Услуг Cisco в России и странах СНГ.
byCisco Russia
 
PDF
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
byCisco Russia
 
PDF
Об оценке соответствия средств защиты информации
byCisco Russia
 
PDF
Service portfolio 18
byCisco Russia
 
PDF
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
byCisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
byCisco Russia
 
Cisco Umbrella
byCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
byCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
byCisco Russia
 
Cisco FirePower
byCisco Russia
 
Cisco Catalyst 9500
byCisco Russia
 
Cisco Catalyst 9400
byCisco Russia
 
Cisco Endpoint Security for MSSPs
byCisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
byCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
byCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
byCisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
byCisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
byCisco Russia
 
Cisco Catalyst 9000 series
byCisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
byCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
byCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
byCisco Russia
 
Об оценке соответствия средств защиты информации
byCisco Russia
 
Service portfolio 18
byCisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
byCisco Russia
 

Обзор продуктов в области информационной безопасности.

  • 1.
    10/15/2012 Обзор продуктовв области информационной безопасности Михаил Кадер [email protected] План презентации • Вступление • Межсетевые экраны • Системы обнаружения и предоствращения вторжений • Архитектура управления доступом Cisco TrustSec • Система управления информационной безопасностью предприятия • Заключение 1
  • 2.
    10/15/2012 Требование Смешение частного и Нужен доступ к разнообразия устройств служебного критичных ресурсам Цель # ! % Рост экосистемы Расширение спектра Атаки на новые киберпреступности целевых угроз технологии 2
  • 3.
    10/15/2012 # ! Инкапсуляция Виртуализация % Переход к облачному коммуникаций центров обработки хранению данных Социальные сети Hotmail Business Pipeline Web-почта Приложения # ! Взаимодействие видео % Рост трафика на ПК Драматический рост и социальных сетей трафика в ЦОД 3
  • 4.
    10/15/2012 Борьба и единствопротивоположностей Рост Соответствие Внимание ИТ Глобализация Риск-менеджмент Разрешить Защитить Соответствие Регулирование Внимание ИБ Привлечение людей Персданные Внимание руководства Рост сложности Организационно – ? Compliance Ops. Endpoint Team Network Ops. Security Ops. Политика Application Team HR Технологически – ? Не пустить плохих Пустить хороших Контроль доступа Endpoint Соответствовать Identity Mgmt Вторжения Учесть BYOD Соответствие Управления Разрешить виртуализацию Быть готовым к облакам Операционно – ? Проводное В сети Беспроводное Поверх сети VPN На устройстве 4
  • 5.
    10/15/2012 Требуется новыйподход ОТ К # ! % Поэтапный дизайн Координация систем Унифицированные точки Точечные решения применения политик Всесторонний контроль Ограничение обзора на 360° Проверка на «кошках» Проверенный дизайн Что объединяет всех?! Маршрутизация запросов Источники данных Управление устройствами Контроль потоков Контроль потоков Видимость трафика Контроль пользователей 5
  • 6.
    10/15/2012 Элементы Cisco SecureX •Объединить людей и информацию... Безопасно Исследования в области ИБ Политика   ¡ ¢ £ ¤ ¥ ¡ ¢ ¦ § & ¢ ¦ ¤ £ ! § # © ¤ ¤ ¦ § ¢ Управление Точки приложения сил Сеть Cisco SecureX Distributed Threat Application Virtualization Workforce BYOD Defense Visibility Control Cloud Защищенный Защищенный Авторизованное Защита сетевого переход к универсальный использование периметра облачным доступ контента вычислениям ) ) 5 ( 6 % ' 7 8 0 ( 9 @ 1 % A 4 % 8 ( C ) 8 7 D E % 5 0 0 C 7 B $ ( 3 $ ( 1 ' 0 ) 2 $ % % ' ( ) ' 0 ( 6
  • 7.
    10/15/2012 Три основных трансформации Cisco ИБ   ¡ ¦ ¢ ¦ ¡ ¢ ¤ £ ¤ £ Встроенная ИБ ¢ ¢ £ £ ¤ ¦ § ¤ ¥ Отдельная ИБ ¤ ¤ ¥ § ¡ ¤ ¡ ¢ Hardware   ¡ ¦ ¢ ¦ ¡ ¢ ¤ £ ¤ £ © ¦ E L A Software От продуктов К решениям Интегрированная безопасность B o r d e r l e s s D a t a C e n t e r / e r v i c e C o l l a b o r a t i o n S N e t w o r k s V i r t u a l i z a t i o n P r o v i d e r SecureX 7
  • 8.
    10/15/2012 Что влияет напродуктовую линейку? % ' 2 ( @ 1 % A 2 © ( 8 % 5 % @ 0 0 1 ( % ' 7 8 0 D 1 ( @ 9 5 D % 1 % '   ¡ ¢ £ ¤ ¥ ¦ £ § ¨ ¦ § £ ¤ Что входит в портфолио Cisco по ИБ Distributed Threat Application Virtualization Workforce BYOD Defense Visibility Control Cloud Adaptive Adaptive Adaptive AnyConnect Security Security (CX) Security Web Security Email | Web Virtual Security Web Security Appliance Security Gateway Cloud Web Intrusion Router Security Nexus 1000v Security Prevention WLAN Controller Router Security VPN Identity Services Engine Исследование угроз: Политика: Identity Services Engine TrustSec NCS Prime: Networks/Security Сеть: Router Switch Appliance Cloud Virtual Сервисы: Cisco Advanced Services Partner Shared Services   ¤ ¤ ¢ ¦ ¢ ¡ ¢ ¦ : P C I 1 . 0 / 2 . 0 H I P A A S O X ( ) 0 1 5 2 2 3 4 5 6 8
  • 9.
    10/15/2012 Межсетевые экраны Новый модуль ASA для Catalyst 6500 Показатель Значение Производительность шасси 64 Гбит/сек Производительность модуля 16 Гбит/сек Одновременных сессий 10M Новых соединений в секунду 350K Контекстов безопасности 250 VLANs 1K 9
  • 10.
    10/15/2012 Cisco Virtual SecurityGateway V-Motion (Memory) Physical V-Storage Security (VMDK) Role VM Based Segmentation Access Virtualization Security VM OS Hypervisor Hardening Security Patch VM Management Sprawl Virtual Security Gateway на Nexus 1000V с vPath Место Cisco Virtual Security Gateway Virtual Network Nexus 1000V with vPath Management Center • Распределенный virtual • Консоль управления VSG switch • Запуск на одной из VMs • Запускается как часть гипервизора Port Group Физический Virtual Security Gateway сервер • Программный МСЭ • UCS или • Запускается на одной из VMs • Другой x86 server • Сегментация и политики для всех VMs Security Service Admin Admin 10
  • 11.
    10/15/2012 Cisco ASA 1000V Cloud Firewall • Проверенные технологии Cisco теперь и для виртуализированных сред • Совместная модель безопасности – VSG для зон безопасности на уровне одного заказчика – ASA 1000V для контроля безопасности границы между заказчиками • Бесшовная интеграция – С Nexus 1000V vPath • Масштабирование по необходимости Cisco ASA 5500 Series Appliance Еще совсем недавно ASA 5585 SSP-60 (40 Gbps, 350K cps) ASA 5585 SSP-40 (20 Gbps, 200K cps) M u l t i ¥ S e r v i c e ASA 5585 SSP-20 ( F i r e w a l l / V P N I P S ) (10 Gbps, 125K cps) Performance and Scalability ASA 5585 SSP-10 (4 Gbps, 50K cps) ASA 5540 (650 Mbps,25K cps) ASA 5520 (450 Mbps,12K cps) ASA 5510 (300 Mbps,9K cps) ASA 5505 (150 Mbps, 4K cps) ASA 5580-40 (20 Gbps, 150K cps) ASA 5580-20 (10 Gbps, 90K cps) ASA 5550 (1.2 Gbps, 36K cps) S O H O B r a n c h O f f i c e I n t e r n e t E d g e C a m p u s D a t a C e n t e r 11
  • 12.
    10/15/2012 5 новых моделейCisco ASA 5500-x ASA 5512-X Пропускная   ¡ ¢ £ ¤ ¥ ¦ § ¨ © ¥ £ ¢ ¥ ¢ § ¢ ¥ § ¨ способность межсетевого экрана 1 ¤ ¡ ¢ § § ¥ ¦ ¢ ¦ / ¥ Гбит/с ASA 5515-X Для удовлетворения растущих Пропускная способность требований к пропускной способности межсетевого экрана 1,2 ¥ ¡ ¢ § § ¥ ¡ ¥ ¨ ¤ ¥ ¦ ¢ ¡ § © Гбит/с ¥ ¡ ¥ ¢ ASA 5525-X Пропускная способность (дополнительное оборудование не межсетевого экрана 2 Гбит/с требуется) ASA 5545-X Для поддержки меняющихся Пропускная потребностей бизнеса способность   ¨ ! ¢ ¡ ¨ ¥ £ ¢ ¡ # ¦ ¢ $ межсетевого экрана 3 Гбит/с ¥ ¡ ¥ ¢ § ¢ ¢ % ¢ £ ¢ ¦ ¢ § © ASA 5555-X Пропускная Для защиты инвестиций способность межсетевого экрана 4 Гбит/с Создание высокопроизводительного центра обработки данных ® ' ( ) 0 1 2 ( 3 9 8 B C D 8 ) B 6 0 2 8 F 6 5 E E G ( F 6 0 9 B C ( H B 3 5 ( 6 7 8 9 @ ( A 4 5 64- разрядное ПО 12
  • 13.
    10/15/2012 Кластеризация: согласованный коэффициент масштабирования • Общая пропускная способность = Кол-во x Пропускная способность одного узла x Коэффициент масштабируемости Кластер из 4 узлов с Cisco® ASA 5585-S60 с 1 0 ¡ ( 1 .   EMIX обеспечивает 64 миллиона подключений и пропускную способность 64 Гбит/с. • Общая кол-во подключений = Кол-во x Кол-во подключений одного узла x Коэффициент масштабируемости 1 0 ¡ ( 1 . Кластер из 4 узлов с Cisco ASA 5585-S60 может поддерживать   32 миллиона подключений. • Коэффициент линейного масштабирование независимо от количества 1 0 ¡ ( 1 .   Если кластер из 4 узлов поддерживает 32 миллиона подключений, кластер из 8 узлов будет поддерживать 64 миллиона подключений для трафика того же профиля. Кластеризация: высокая доступность • Все устройства в кластере являются активными и передают трафик. • Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу. • В случае сбоя узла проведение сеанса переходит на резервные устройства. • Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу. 13
  • 14.
    10/15/2012 Управление кластеризацией •Единая консоль конфигурации и автоматическая синхронизация конфигурации в кластере. Управление кластером из 8 устройств осуществляет всего один экземпляр Cisco ASDM. • Обработка удаленных команд выполняется на узле. • Статистические данные использования ресурсов в рамках кластера ¢ £ ¤ £ Использование ресурсов ЦП и памяти для   ¡ узла. Использование канала управления кластером. • Поддержка Cisco® Security Manager Кластеризация: мастер конфигурации 14
  • 15.
    Slide 27 jz1 Please replace Andaman with the actual release name Judith Ziajka, 7/6/2012
  • 16.
    10/15/2012 Кластеризация: системная панель мониторинга Кластеризация: использованиересурсов Использование ресурсов ЦП и ¢ £ ¤ £ памяти для   ¡ узла в кластере Количество подключений в секунду для всего кластера и для каждого узла 15
  • 17.
    10/15/2012 Кластеризация: вкладка«Пропускная способность» Общая пропускная способность и пропускная способность каждого узла Кластеризация: сведения о распределении нагрузки и использовании канала управления кластером Распределение нагрузки между членами кластера Использование канала управления кластером 16
  • 18.
    10/15/2012 Кластеризация: захват пакетов Интеграция решения МСЭ и web- защиты Cisco Cloud Web Security 17
  • 19.
    10/15/2012 Лучшеев своем классе Лучшая в своем классе Лучшая в своем классе безопасность сети web-защита на основе облака Обзор решения для web-защиты Cisco Cloud Web Security Web- контент Контроль исходящего трафика Script Flash- Script- PDF- сканирова сканирова сканирова ние ние ние PDF   ¡ ¢ £ ¤ ¥ ¦ £ ¤ ¢ £ § ¨ ¡ © ¤ Да A V Java- Exe- Сканирование сканирова сканирова репутации ние ние Flash «Чисты й» Web- контент страница Новые вредоносные Java программы заблокированы ' # ( 6 ' ' .exe $ ! ! ) $ $ % # # 7 ! 0 ! ! % % 1 2 0 3 0 $ % $ ! $ % $ ! ' 5 ( 4 $ Известные вредоносные программы заблокированы 18
  • 20.
    10/15/2012 Cisco Cloud WebSecurity: ЧТО прозрачность и контроль web-приложений Классификация и контроль web-трафика Более 1000 приложений Подробная классификация и контроль поведений микроприложений и приложений Более 75 000 микроприложений   ' ¡ $ 5 ' 5 4 5 4 4 4 $ Конфигурация Cisco ASA 19
  • 21.
    10/15/2012 ¡   ¢ ¦ £ ¡ Гибкая реализация политик ¡ § ¥ ¢ C I C ¦ ? ¢ £ § ¢ ¥ ¡ ¤ ¡ ¢ £ ¥ ® 7 6 1 % ' 7 D B ) 5 9 ¥ 7 £ ¢ £ . ¤ ¡ • Web-защита на основе облака с учетом контекста • Поддержка перенаправления контекста в решение Cisco ScanSafe Cloud Web Security • Несколько антивирусных механизмов и сканеров web-содержимого • Cisco ScanSafe Cloud Web Security и Cisco AVC поддерживают более 1000 web- приложений и 75 000 микроприложений Cisco TrustSec: расширение политик безопасности Cisco ASA 20
  • 22.
    10/15/2012 Метка групп безопасности SGT f Пользователь, группа, состояние, код устройства, IP- адрес, сертификат Основа Cisco TrustSec: Cisco ISE 21
  • 23.
    10/15/2012 SGT: расширение политикиCisco ASA Правила Cisco TrustSec® можно использовать в сочетании с правилами на основе пяти кортежей в устройстве Cisco® ASA. Для настройки политик можно использовать SGT (0008) или имя группы безопасности (sgt_marketing). Объединение всех компонентов SGT Пользователь (003) = kpahare Каталоги AD ® и LDAP   ¤ £ ¥ ¤ £ § ¢ ¦ ¡ £ ¦ £ SGT = 003   £ ¦ £ ! § £ ¢ ¢ § S X P SXP 22
  • 24.
    10/15/2012 Основные моменты • Решение Cisco TrustSec® поддерживается только частью коммутаторов; оно позволяет выполнять поэтапные развертывания. • SGT может быть функцией одного или нескольких атрибутов. Допускает использование сложных правил политик. • Политики доступа Cisco® ASA могут быть сочетанием SGT и правил на основе пяти сетевых признаков. Примеры сценариев использования a h a r e £ ) 6 £ ) 7 ¦ 5 ¨ ( £ ¤ £ 7 ¦ 5 ¨ 7 Пользователь = аутентифицируется с и ему k p назначается SGT = ( 9 ( 2 6 B 2 . Антивирусное ПО было отключено. ) 0 0 7 / Q u a r a n t i n e ( W a h a r e После включения антивирусного ПО пользователю назначается F 8 8 6 D 0 6 F 6 D d 0 6 k p ) . 0 0 8 / C o m p l i a n t ( На устройстве Cisco® ASA: { если SGT = 008; разрешить 6 £ ( F f _ g £ ¥ ¦ 6 5 ( 7 ( ¥ £ ¨ F G _ 6 ) 5 £ H § ( 5 I G }   D к E   a h a r e i P a d ( 5 5 ( § £ ) 6 £ ) 7 ¦ 5 ¨ ( £ ¤ £ _ 7 ¦ 5 ¨ 7 ) Пользователь = аутентифицируется с k p   и ему назначается SGT = . 0 0 9 / B Y O D ¦ На устройстве Cisco ASA: {если SGT=009; разрешить доступ £ £ _ 6 £ _ 6 ) £ ¦ £ £ _ r d 5 ( 7 ( ¥ £ ¨ F G _ 6 ) 5 £ H § ( 5 I G }   к %   D p E   G u e s t ¤ £ ¥ ¦ § ¨ £ ¤ £ _ i P a d Пользователь = аутентифицируется с и ему назначается SGT = 8 F 6 . E ) 1 0 0 / G u e s t ( # ¦ На устройстве Cisco ASA: { если SGT = 100; разрешить доступ £ £ _ ¨ _ ' ( ¦ § ) ( § ¦ }   % 23
  • 25.
    24 Поддержка МСЭ IPv6 адресов. * Предполагает группы объектов для IP- Запретить Любой ¥ ¤ Любой ¥ ¤ Любой Любой ¤ ¤ ) D V H ( ¢ ¡ ! ! ¢ ¤ § £ ¤ ¡ £ ¡ ¤ ! ¤ § £ ¢ £ ¦ ¥ ¤ ¦ ¤ £ § Разрешить https Любой Любой ¡ § ¡ £ ¡ ¤ § § § ¡ ¥ ¤ ¦ ¤ £ § ¡ ¢ § ¦ ¤ ¤ © ) D V H ( ¢ ¡ ! ! ¢ ¤ § £ ¤ ! ¤ § £ ¢ £ ¦ § ¦ ¤ ¦ ¤ ¦ M R C Разрешить http Любой Любой ¢ ¤ § £ ¤ ¤ ¤ § £ ¢ ¢ § ¦ ¤ ¤ © ¡ ¦ £ ¡ ¢ ¢ d a P i ¡ ¢ ¡ ¤ Разрешить http Любой Любой ¦ ¢ ¡ ¤ 10.1.1.1 [email protected] Любой ¢ ¡ ¤ ¡ § ¥ ¤ ¢ ¡ ¤ ¡ § ¥ ¤ ¤ ¤ D A ¢ § ¦ ¤ ¤ ¥ ¦ ¢ ¡ ¥ ¤ ¢ £ ¤ © # ¢ ¥ ¡ ¤ P I # ¢ ¥ ¡ ¤ ¢ P I ¤ ¤ ¢ ¢ § ¥ ¥ £ £ § ¥ ¥ £ £ § ¥ ¥ £ £ Действие Назначение Источник Параметры правил Cisco ASA 9.0 10/15/2012
  • 26.
    10/15/2012 Текущая поддержка IPv6 •Адресация интерфейсов • Списки доступа IPv6 • Статическая маршрутизация по протоколу IPv6 • Обнаружение соседей по протоколу IPv6 • Межсетевой экран в контекстах безопасности по протоколу IPv6 • Прослушиватель MLDv2 в однопользовательском режиме по протоколу IPv6 • Модули проверки приложений с поддержкой IPv6 включают сквозное пропускание по протоколам FTP, HTTP, ICMP, SIP, SMTP и IPsec • IPv6 в режиме прозрачного межсетевого экрана (уровень 2) • Поддержка IPv6 в Cisco® Adaptive Security Device Manager (ASDM). • Туннелирование VPN между площадками по протоколу IPv6, IKEv1 и IKEv2 • Аварийное переключение по протоколу IPv6 • Заголовок расширения IPv6 • Поддержка Cisco ASDM по протоколу IPv6 Унифицированный список контроля доступа 25
  • 27.
    10/15/2012 Поддержка OSPFv3 Улучшениямультиконтекстных возможностей на МСЭ ASA 26
  • 28.
    10/15/2012 Cisco ASA 9.0: несколько контекстов OSPFv2 EIGRP G 8 D 8 C 0 @ 3 9 8 D , ¡ 5   4 5 W 8 ) ) 0 9 1 B D ( 0 @ 2 (процессы) 1 (экземпляр) £ ¤ 4 ) 3 ( 1 ) 8 8 8 2 6 0 F 6 ( 5 W # W W Пользователь и администратор 8 ) ) 0 9 1 ( 8 2 6 0 F 6 ( W W W A Да (область) Да (активный-резервный) 8 ) ) 0 9 1 ( 0 9 0 9 £ 6 B 3 4 W W A 8 ) ) 0 9 1 ( 8 ¥ ¦ 0 8 Да W # A B 2 6 0 9 7 0 § F ( ¨ ) B 2 B 6 8 6 1 0 B 2 6 0 9 7 0 § F D @ d 6 B B 5 E   Да C L I 8 ) 2 8 8 2 6 0 F 6 2 8 @ W W 9 0 1 B @ ( ¤ Cisco ASA 9.0: VPN-подключения между площадками в мультиконтекстном режиме (этот выпуск). • VPN-подключения между площадками по протоколам IKEv1 и IKEv2: IPv4 и IPv6 • Поддерживаются все режимы аварийного переключения: «активный/активный» и «активный/резервный» • Конфигурация аналогична конфигурации в режиме одного контекста • Ограничения и распределения ресурсов в системном контексте: распределение и распределение при резком увеличении спроса на лицензии 27
  • 29.
    10/15/2012 Cisco ASA 9.0: смешанныймультиконтекстный режим Кластеризация IPv6 Cisco® Cloud Web Security Улучшения мультиконтекстных возможностей Смешанный режим Cisco TrustSec® Шифрование нового поколения Бесклиентские VPN-подключения Улучшения производительности и масштабируемости VPN-подключения в Cisco ASA-SM 28
  • 30.
    10/15/2012 Новыйприкладной МСЭ Cisco ASA CX и система управления Cisco Prime Security Manager Так было   ¡ ¢ ¦ $ ¥ £ ¦ ¡ £ ¨ ! ¢ ¡ Устройство Интегрированное решение Виртуализация Понимание контекста Классический МСЭ ASA 29
  • 31.
    10/15/2012 Так стало   ¡ ¢ ¦ $ ¥ £ ¦ ¡ £ ¨ ! ¢ ¡ Устройство Интегрированное решение Виртуализация Cisco ASA CX Понимание контекста Классический МСЭ ASA ASA CX – новый прикладной МСЭ • Межсетевой экран нового поколения • Context-Aware Firewall • Активная/Пассивная аутентификация • Application Visibility and Control/DPI с анализом контента • Репутационная фильтрация   ¦ ¡ ¥ ¦ ¡ ¢ £ § / ¡ ¦   © £ ¤   ¡ ¢ £ ¤   ¤   30
  • 32.
    10/15/2012 КТО Идентификация пользователей • Покрытие широкого спектра сценариев идентификации A D / L D A P I d e n t i t y • Non-auth-aware apps NTLM • Any platform Kerberos • AD/LDAP credential TRUSTSEC* N e t w o r k I d e n t i t y Group information Any tagged traffic IP Surrogate U s e r A u t h e n t i c a t i o n • Auth-Aware Apps AD Agent • Mac, Windows, Linux • AD/LDAP user credential * Future ЧТО Анализ работы приложений   ¢ ¦ ¡ классификация всего трафика 1,000+ приложений M i c r o A p p E n g i n e Глубокий анализ трафика приложений 75,000+ MicroApps   ¢ § £ ¡ ¢ # § $ Контроль действий пользователя внутри приложений 31
  • 33.
    10/15/2012 ЧТО Фильтрация URL бизнес-класса 60 языков 200 стран 20 mn URLs 98% Маркетинг Юристы Финансы покрытие ГДЕ/ОТКУДА Политики на базе местоположения ОТЕЛЬ ОФИС 32
  • 34.
    10/15/2012 КАК Идентификация устройств • Информация с 100,000,000 оконечных устройств Устройство Версия ОС Состояние AV Files Registry Identity Services Engine Полный контекст. Плюс знание угроз Знание угроз   ¦ ¡ ¥ ¦ ¡ ¢ £ § / ¡ ¦   © £ ¤   ¡ ¢ £ ¤   ¤   33
  • 35.
    10/15/2012 Полный контекст. Плюсзнание угроз Cisco SIO www.facebook.com G O Когда использовать ASA, а когда ASA CX? ASA ASA CX 34
  • 36.
    10/15/2012 А в чемразница между WSA и ASA CX? WSA ASA CX ASA CX – модуль для ASA 5585-X 35
  • 37.
    10/15/2012 Один или два? Заказчику нужен ASA и ASA CX? Пусть заказывает два модуля в шасси 5585-X! Заказчику нужен только ASA CX? Пусть заказывает один модуль в шасси 5585-X! Cisco Prime Security Manager • Система управления для ASA CX • Встроенный в ASA CX для управления одним МСЭ • Отдельное устройство для поддержки нескольких ASA CX • RBAC • Конфигурация, события и репортинг • Виртуальная машина или устройство UCS 36
  • 38.
    10/15/2012 Объединяя все вместе Cisco ASA CX Понимание контекста Понимание угроз Классический МСЭ ASA Новое поколение систем предотвращения вторжений Cisco IPS 37
  • 39.
    38 § ¥ § £ ¢ ! £ ¥ ¡ ¡ O O ¡   § ! H S ¢ ¤ § £ ¤ £ ¢ £ ¡ ¥ ! ¤   ¢ £ ¢ ¤ ¤ ¢ £ ¤ ¥ ¢ ¦ £ § ¨ 6 5 4 3 2 1 0 © 6 5 4 3 2 1 0 I X S P ¢ A 5 5 A A ® o c s i C 2 1 S 6 5 4 3 2 1 0 § , I X A 5 5 5 A A o c s i C S P 1 S 6 5 4 3 2 1 0 I X A 5 5 5 S P 2 A A o c s i C S § 6 5 4 3 2 1 0 I X A 5 5 5 S P 4 £ ¡ A A o c s i C S I X A 5 5 5 5 A A o c s i C S P S ¨ ¢ 0 1 P 0 1 S § , A 5 8 5 5 A A o c s i C S ¦ 0 2 P 0 2 S § A 5 8 5 5 A A o c s i C S £ ¥ ¢ 0 4 P 0 4 S § A 5 8 5 5 A A o c s i C S 0 6 P 0 6 S A X A 5 8 5 5 A A o c s i C S ASA-IPS Cisco Семейство интегрированных устройств § ¥ § £ ¢ ! £ ¥ ¡ ¡ ¡   § ! ¢ ¤ § £ ¤ £ ¢ £ ¡ ¥ ! ¤   ¢ £ ¢ ¤ ¤ ¢ £ ¤ ¥ ¢ ¦ £ § ¨ © ¢ § , 6 5 4 3 2 1 0 5 4 3 4 S P I ® o c s i C § £ ¡ 6 5 4 3 2 1 0 ¨ ¢ 0 6 3 4 S P I o c s i C § , ¦ § 6 5 4 3 2 1 0 £ ¥ 0 1 5 4 S P I o c s i C ¢ § 6 5 4 3 2 1 0 0 2 5 4 S P I o c s i C устройств IPS Cisco Семейство специализированных 10/15/2012
  • 40.
    10/15/2012 Cisco ASA серии 5500-X IPS • Платформа межсетевого экрана нового поколения с поддержкой сервисов • Устройства ASA среднего уровня с функцией ПО IPS с учетом контекста • Cisco® ASA 5525-X , ASA 5545-X и ASA 5555-X имеют аппаратное ускорение для IPS. • 1 интерфейс Gigabit Ethernet • Доступны платы расширения ввода-вывода Устройства Cisco IPS серии 4300 • Специализированная платформа IPS среднего уровня с учетом контекста • Четырехкратное увеличение производительности Cisco® IPS серии 4200 за половину стоимости • Обработка с аппаратным ускорением Regex • Интерфейсы Gigabit Ethernet • Платы аппаратного обхода будут доступны в октябре 39
  • 41.
    10/15/2012 Устройства Cisco IPS серии 4500 • Специализированные высокоскоростные устройства IPS с учетом контекста • Обработка с аппаратным ускорением Regex • Развертывания на уровне ядра ЦОД или предприятия • Интерфейсы Gigabit Ethernet, интерфейсы 10 Gigabit Ethernet и слот SFP • Масштабируемость: доступен слот для будущего наращивания мощностей Сравнение оборудования Cisco IPS 4300 и IPS 4500 Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520 1RU 1RU 2 RU (шасси) 2 RU (шасси) ¦ ¡ ¤ ¦ § ¥ § ¢ ¤ £ ! © £ ¤ ¡ ¡ ¤ £ 4 ядер 4 ядер 8 ядер 12 ядер 4 потока 8 потока 16 потока 24 потока © § ! # ¢ 8 GB 16 ГБ 24 ГБ 48 GB ¡ 6 x 1 GE Cu 6 x 1 GE Cu 8 x 1 GE Cu 8 x 1 GE Cu § ¤ ¦ ¥ ¤ £ ¢ § 4 x 10 GE SFP 4 x 10 GE SFP R e g e x   ¡ ¤ £ ¢ Одинарный Одинарный Одинарный Двойной £ ¢ £ ¤ ¥ ¢ § Постоянное значение 2 с возможностью 2 с возможностью 2 с возможностью переменного тока горячей замены горячей замены горячей замены 40
  • 42.
    10/15/2012 Cisco IPS 4510 9 8 B C D 8 ) B 6 0 2 8 F 6 5 E E A • Реальный средний показатель: 3 Гбит/с • Реальный диапазон показателей: 1.2-5 Гбит/с ¡ ¦ ¢ ¡ # © ¤ £ ¢ ¡ ¡ ¢ ¤ ¢ ¤ ¡ ¡ § £ ¥ £ § ¦ # • Транзакционная передача по HTTP: 5 Гбит/с ( ¥ £ ¡ ¢ )   ( 9 ( 6 0 9 B F 6 B B ( 6 7 8 9 @ £ : 4 5 ¢ ¢ £ £ ¤ ¦ § ¥ W W ¦ ¦ ¤ ¡ ¦ ¦ ¤ ¡ • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (8 6 GE Cu ядер, 16 потоков) • 24 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex • Открытый слот (в верхней части) для использования в будущем ¡ § ¢ ¤ £ ¢ 0 F 6 ( 9 ( C D 0 9 6 £ D ( 2 B 3 ¡ ¤ ¡ ¢ ¤ # # ¢ ¢ £ £ ¤ ¦ § ¥ • Средние и крупные предприятия ¦ ¦ ¤ ¡ ¦ ¦ ¤ ¡ • ЦОД кампуса • Требуется 3 Гбит/с реальной пропускной 4 слота 10 GE 2 ¥ ¤ £ ¢ § способности IPS SFP U S B © ¤ £ ¢ A U X • Требуется резервный источник питания ¤ ¡ ¤ • Требуется специализированная система IPS Cisco IPS 4520 9 8 B C D 8 ) B 6 0 2 8 F 6 5 E E A • Реальный средний показатель: 5 Гбит/с • Реальный диапазон показателей: 2.5-7.7 Гбит/с ¡ ¦ ¢ ¡ # © ¤ £ ¢ ¡ ¡ ¢ ¤ ¢ ¤ £ ¥ £ § ¦ # • Транзакционная передача по HTTP: 7,6 Гбит/с ¡ ( ¡ § ¥ £ ¡ ¢ )   ( 9 ( 6 0 9 B F 6 B B ( 6 7 8 9 @ £ : 4 5 ¢ ¢ £ £ ¤ ¦ § ¥ W W • 2 RU (шасси) ¡ ¡ ¦ ¦ ¤ ¦ ¦ ¤ 6 GE Cu • Многоядерный ЦП корпоративного класса (12 ядер, 24 потоков) • 48 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex (x2) • Открытый слот (в верхней части) для использования в будущем ¡ § ¢ ¤ £ ¢ 0 F 6 ( 9 ( C D 0 9 6 £ D ( 2 B 3 ¡ ¤ ¡ ¢ ¤ # # ¢ ¢ £ £ ¤ ¦ § ¥ • Средние и крупные предприятия ¦ ¦ ¤ ¡ ¦ ¦ ¤ ¡ • Центр обработки данных • Требуется 5 Гбит/с реальной пропускной 4 слота 10 GE 2 ¥ ¤ £ ¢ § способности IPS SFP U S B © ¤ £ ¢ A U X • Требуется резервный источник питания ¤ ¡ ¤ • Требуется специализированная система IPS 41
  • 43.
    10/15/2012 Варианты в центре обработки данных: Cisco IPS 5585-X и Cisco IPS 4500 ¥ £   ¨ ¡ ¡ ¢ ¨ § § ¨ © ¥ ¥ ¨ C i s c o I P S 4 5 0 0 • Прозрачна и незаметна в сети • Ввод-вывод на основе IPS • Нормализация под управлением IPS • Свободный слот для использования в будущем   § % ¡ ¡ ¢ ¨ § § ¢ ¤ ¥ ¡ ¢ $ ¥ ¢ C i s c o A S A 5 5 8 5 ¥ X I P S • Прозрачность как вариант. • Ввод-вывод принадлежит межсетевому экрану. • Нормализацией управляет межсетевой экран. • Для выбора политики IPS доступны дополнительные возможности (5 элементов потока, код пользователя и т. д.). Реальная методология тестирования • Определение максимальной пропускной способности с помощью сочетания различных протоколов и размеров пакетов. • Для оценки используются средние показатели пяти тестов. • Сочетание типов трафика зависит от типа и расположения сети. • В тестах используются стандартные профили приложений пределов прочности (сочетания трафика). • Тестирование предоставляет клиентам рекомендации. • Клиенты могут легко воспроизвести тесты. • Тесты не имеют отношения к компании Cisco. 42
  • 44.
    10/15/2012 Производительность Cisco IPS 4500 в режиме inline 8 Максимальная производительность (Гбит/с) 7 6 5 4 3 2 1 0 Реальный средний показатель Транзакционная передача по HTTP 4 5 1 0 4 5 2 0 Сравнение производительности Cisco IPS 4500 Cisco IPS Cisco IPS 4510 § ¢ 4520 ¡ Cisco использует пять сторонних тестов, которые показывают состав § ¥ ¡ £ ¥ ¥ ¤ § § ¢ ( ¤ ¢ 3 5 смешанного трафика / ¡ ) ¢ развертываний. § ¡ ! § § # Максимальные уровни пропускной ¥ £ ¤ ¦ ¤ ¡ ¢ ¤ ¡ ¢ ( ¤ ¢ / ¡ ) способности при полной проверке 5 10 трафика. ¢ ¡ Беспроблемная обработка   ¤ ¢ ¡ ¢ ¦ ¤ ¥ ¤ ¢ ¥ ¦ 72,000 100,000 ¡ всплесков подключений. ¡ £ £ Динамично функционирующим центрам обработки данных § ¡ ! § ¤ ¤ ¢ ¡ ¢ ¦ ¤ ¡ 3,800,000 8,400,000 требуется большое количество ¤ ¢ £ ¢ ¥ ¤ ¢ ¥ подключений.   ¡ ¡ Задержка может привести к проблемам транзакций и повлиять 150 мс 150 мс £ ¦ £ ! # § £ ¡ на производительность. 43
  • 45.
    10/15/2012 Контекстно-зависимая архитектураIPS Cisco® SIO IPS в режиме Inline, в режиме Inline, Политика с учетом оценка рисков для корреляция в контекста бизнеса на основе устройстве контекста Прозрачность контекста Проверка политики с учетом контекста Текущие средства контроля: Порт IP Протокол Сети VLAN Работа с копией трафика и режим inline Требуются гибкие средства контроля для приведения политики в соответствие с направлениями угроз, повышения производительности проверки и снижения количества ложноположительных результатов. 44
  • 46.
    10/15/2012 Встроенная корреляция определяет современные атаки ИД обхода Сигнатура A 10:17 Сигнатура B 10:19 нормализации Сигнатура C 10:19 трафика   ¨ ¥ ¥ % § ¨ ¤ ¡ ¨ X Анализ протокола ИД атаки требуется полная прозрачность среди нескольких сигнатур, пользователей, протоколов и других компонентов Контекстная динамическая оценка угроз Уникальные параметры контекста формируют точную оценку бизнес-рисков Контексты злоумышленника и Контексты атаки объекта атаки Поток встроенной корреляции Механизм действий Риск для Риск для бизнеса бизнеса Обнаружение и применение Обнаружение и применение рисков рисков объекта атаки и эксплойтов из Cisco SIO злоумышленника из Cisco® SIO и локальные данные Внутренняя репутация Серьезность Глобальная репутация Точность Контроль признаков операционной системы Конечное значение 45
  • 47.
    10/15/2012 Архитектура IPS с учетом контекста Инновации в управлении угрозами • Понимание • Динамическая оценка бизнес- бизнес-рисков рисков • Точность • Контекстные данные для точного определения риска и • Быстродействие соответствующего действия • Эффективность • Встроенная корреляция, • Прозрачность выполняемая немедленно (не после свершения) • Отправка уведомлений или эскалация (если необходимо) Cisco IPS для АСУ ТП Все типы оборудования • SCADA • DCS • PLC • SIS • EMS • Все основные производители • Schneider • Siemens • Rockwell • GE, ABB • Yokogawa • Motorola • Emerson • Invensys • Honeywell • SEL • И это не конец 46
  • 48.
    10/15/2012 Cisco IPS: возможности управления • Cisco® Security Manager 4.3 • Cisco IPS Device Manager 7.1(4)* • Cisco IPS Device Manager 7.1(5) • Cisco IME 7.2.3 * При первых поставках клиенту Cisco IPS 4510 и IPS 4520 поставляются с 7.1(4). Cisco Security Manager 4.3 • Единое интегрированное приложение • Унифицированный графический интерфейс для политики управления и устранения неполадок межсетевого экрана, устройств IPS и VPN. • Управление устройствами безопасности корпоративного класса. • Управление сотнями устройств безопасности Cisco®. • Часть семейства управляемых устройств Cisco Security Manager с выпуска Cisco Security Manager 4.3. • Мониторинг состояния и производительности (Cisco® ASA and Cisco IPS). • Управление образами (Cisco ASA). • Закрепляемый Policy Object Manager и глобальный поиск объектов. 47
  • 49.
    10/15/2012 Cisco IDM 7.1(5) • Поддержка расширенного декодирования HTTP. • Профили угроз для характерной для развертывания настройки (ЦОД и периметр) с помощью мастера. • Статистические данные о нагрузке для выполнения анализа. • Поддержка новых платформ. Развертывание шаблонов с помощью Cisco IDM 7.1(5) • Базовая настройка сигнатур, адаптированная для различных расположений в сети • Текущая поддержка только на платформах с аппаратным ускорением Regex • Пошаговый мастер • Шаблон, предназначенный для ЦОД 48
  • 50.
    10/15/2012 Архитектура Cisco TrustSec Политики, относящиеся к бизнесу ГДЕ ЧТО КОГДА Атрибуты КТО КАК политики безопасности ¡ ¤ £ ¢ £ § ¤ ¦ § ¥ ¤ ¢ Идентификация Динамическая политика и реализация Пользователи и устройства РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ Портфель решений Cisco TrustSec Администрирование политики Принятие решений на базе политик Identity Services Engine (ISE) Система политик доступа на основе идентификации Реализация политик Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, На основе TrustSec инфраструктура беспроводной сети и маршрутизации Cisco ASA, ISR, ASR 1000 Информация о политике Агент NAC Web-агент Запрашивающий клиент 802.1x Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС Доступ на основе идентификации — это не опция, а свойство сети, включая проводные, беспроводные сети и VPN 49
  • 51.
    10/15/2012 Полная прозрачность Контроль идентификационных данных % ¡ ¡ 9 7 % 1 B C i s c o C a t a l y s t ®   ¡ ¢ £ ¤ £ ¡ ¥ ¢ ¦ § ¨ ¥ © © ¥ § § © ¡ £ £ ¥ § ¡ £ £ £ £ Режим монитора Гибкая последовательность аутентификации Поддержка IP-телефонии Поддержка сред виртуальных Авторизо- Планшеты IP- Сетевое Гости настольных систем ванные телефоны устройство пользователи MAB и Web- 802.1X профилирование аутентификация Функции аутентификации IEEE 802.1x Обход аутентификации по Web- MAC-адресам аутентификация На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации Идентификация устройств Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Быстрый рост числа Множество устройств Должно быть Необходима гарантия того, устройств в проводной и предусмотрено что устройство и идентификация для беспроводной сети управление политиками для соответствует цифровым реализации политик каждого типа устройств меткам 50
  • 52.
    10/15/2012 Полная прозрачность Идентификация устройств 1 # $ 1 4 % 4 ' 0 1 2 6 1 ( ) 2 1 ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей   ! Принтер I Личный iPad S E Точка доступа Политика для C D P C D P Политика для принтера D L L H D C P P D L L H D C P P личного iPad M A C M A C [поместить в VLAN X] [ограниченный доступ] Точка доступа Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO Эффективная 0 1 ¡ 2 £ ¤     3 4   5 ¤ 0 0 6 7 6   ¤ 8 6 9 ¤ @ ¦ ¡ 2 6 A ¤ 8 6 9 классификация устройств Коммутатор собирает данные, ISE производит классификацию ISE реализует доступ на основе с использованием относящиеся к устройству, и устройства, сбор данных о политик для данного передает отчет в ISE трафике и формирует отчет об пользователя и устройства инфраструктуры использовании устройства Полная прозрачность Анализ с учетом контекста: оценка состояния Пользователь проводной, беспроводной, виртуальной сети Временный ограниченный доступ к Не сети до устранения соответствует проблем требованиям Пример политики для сотрудника Проблема: Ценность: • Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или установлены работоспособности устройства постоянный агент • Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение обновлен и работает устройствами проблем • Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация дифференцированных политик • Приложение предприятия выполняется на основе ролей 51
  • 53.
    10/15/2012 Полная прозрачность Анализ с учетом контекста: управление гостевым доступом Гостевые Web- политики аутентификация Интернет Беспроводный или Гости проводной доступ Доступ только к Интернету Выделение ресурсов: Управление: Уведомление: Отчет: гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей политики, гостевой портал электронной почте или SMS Абсолютный контроль Реализация политики Удаленный Пользователь с Пользователь с Виртуальный пользователь беспроводным проводным Устройства рабочий стол VPN доступом доступом Управление Масштабируемая доступом на реализация основе политик   ¢ V L A N СЕТЬ С КОНТРОЛЕМ   ¥ ¡ £ ¥ £ § ¦ # ИДЕНТИФИКАЦИОННЫХ ДАННЫХ ¡ ¤ ¡ ¢ £ ¥ ¤ ! ( A C L ) И УЧЕТОМ КОНТЕКСТА ¢ ¢ £ £ ¥ ¥ ¤ ¤ ¥ § ¡ ¤ ¡ ¢ * M C S e c * ¢ £ ¤ ¦ § A *= ¥ 4 4 1 2 6 ¦ 3 3 Центр обработки Зоны C i s c o данных Интранет Интернет безопасности 52
  • 54.
    10/15/2012 Абсолютный контроль TrustSec: авторизация и реализация политик ¥ 4 4 C 1 i s 2 c 6 o ¦ 3 3 Динамические или Доступ для групп Сети VLAN именованные ACL-списки безопасности   ¡ ¤ ¢ £ £ Любой IP- адрес © ¢   © § ¨ ¡ ¨ ¡ ¡ © ¤ £ ¥ ¡ ¤ ¢ 2 ¥ ¦ § ¨ © ¡ ¡ © ¤ £ # ¢ ¤ ¡ ¢ ¢ Доступ для групп безопасности VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW • Меньше перебоев в работе • Не требует управления • Упрощение управления оконечного устройства (не ACL-списками на портах ACL-списками требуется смена IP-адреса) коммутатора • Единообразная • Повышение удобства для • Предпочтительный выбор реализация политик пользователей для изоляции путей независимо от топологии • Детализированное управление доступом Гибкие механизмы реализации политик в вашей инфраструктуре Широкий диапазон доступных клиенту вариантов доступа Повышение уровня реализации политик во всей сети Политики на основе Таблица доступа согласно понятного технического языка политике на основе ролей Отдельные пользователи Разрешения Ресурсы Матрица политик Врачи 6 ¨   © § ¨ ¡   % ( 2 % ( ' $ % % 3 ¦ 3 4 ) 5 3 % ¤   ¤ D1 A 3 4 6 4 ) 1 2 1 5 6 ( ' S1 ¢ ¡ © ¡ © (10.156.78.100) ) ! # ' $ 6 ¦ 3 % 4 1 2 ¤ ©   § ¥ ¢ (10.10.24.13) Совместный Медицинские Нет Совместный web- D2 карты Врач Интернет IMAP web-доступ к доступ к файлам S2 доступа файлам пациентов (10.10.28.12) Финансовая Интернет IMAP Интернет Нет доступа служба D3 ИТ- (10.156.54.200) WWW, Полный Финансовая служба админист- SQL SQL SQL, SSH доступ ратор Электронная S3 D4 почта ACL-список Врач - карта пациента (10.10.36.10) в интранет-сети permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 D5 permit tcp dst eq 135 ИТ-администраторы (10.156.100.10) deny ip S4 (10.10.135.10) D6 Финансова я служба permit tcp S1 D1 eq https Требует затрат времени permit tcp S1 D1 eq 8081 Простота deny ip S1 D1 Ручные операции …… Гибкость …… Предрасположенность к permit tcp S4 D6 eq https Учет характера ошибкам permit tcp S4 D6 eq 8081 деятельности deny ip S4 D6 53
  • 55.
    10/15/2012 Пример контроля доступа в ЦОД с ISE SXP IP Address 10.1.204.126 = SGT 5 ISE RADIUS (Access Request) EAPOL (dot1x) 10.1.204.126 RADIUS (Access Accept, SGT = 5) 6506 10.1.204.254 SG ACL Matrix IP Address to SGT Mapping HR Nexus 7000 Server #1 Core VDC 10.1.200.50 10.1.200.254 Nexus 7000 Agg VDC ASA F i n a n c e ✓ F i n a n c e VSG Finance Server #1 10.1.200.100 H R c e F i n a n Архитектура Cisco для BYOD BYOD Проводной, Беспроводный, Инфраструктура доступа Шлюзы безопасности Инфраструктура защиты и устройства Мобильный доступы управлениям политиками ( 6 % ' ( 1 ( 8 8 7 D % ' ( 1 ( 8 8 7 D ¢ ) ( 3 Adaptive C % 1 E % 1 7 0 ' 8 7 D Security ) ( 3 Mobile Network Appliance (ASA) Active Certificate Internet Directory Authority Public Wi-Fi Prime (AD) (CA) NCS Switching WLAN Core WLAN AP Controller (WLC) Access Switch Campus Identity Mobile RSA Integrated Services Device Secure ID Services Engine (ISE) Manager Router G2 (MDM) (ISR G2) Branch Office WAN Aggregation Wireless Services Router Router (ASR) AnyConnect Home Office 54
  • 56.
    10/15/2012 Сценарии использования BYOD Сценарий Ограниченный Базовый Расширенный Передовой 0 A 8 ( ) Полноценное Доступ по ролям из Гранулир. доступ   E % 5 0 0 C 7 Блокировать доступ мобильное рабочее сети внутри и снаружи место • Знать “кто” и “что” • Предоставлять • Гранулированный • Обеспечение 4 ¡ 1 ( % ' 7 8 0 D включено в сеть персональным и доступ изнутри родных • Давать доступ гостевым сети приложений для только устройствам • Гранулированный мобильных корпоративным доступ в удаленный устройств устройствам Интернет и доступ к • Управление ограниченному ресурсам через мобильными ( 8 % 5 % @ 0 0 числу внутренних Интернет устройствами ресурсов • Использование (MDM) VDI Сетевая инфраструктура Cisco Switches, Cisco Routers, Cisco Wireless LAN Infrastructure Cisco Prime NCS Управление Third Party MDM Идентификац ия и политики Cisco Identity Services Engine Удаленный Cisco ASA/ESA/WSA доступ и Cisco AnyConnect безопасность ScanSafe Приложения Корпоративные приложения и VDI Унифицированный клиент AnyConnect • Клиент IPSec/SSL/DTLS VPN – Client/Clientless • Оценка состояния • Location-Specific Web Security – На периметре (Ironport WSA) или через облако (ScanSafe) ScanSafe • Защищенный доступ в облако через SSO • Контроль сетевого доступа – 802.1X Authentication and Posture Internet-Bound – MACsec encryption Web Communications – Cisco TrustSec devices (план) • Windows, Mac, Linux, Windows Mobile, Apple iOS, Palm, Symbian, Android, Windows Phone (план) 55
  • 57.
    10/15/2012 Гибридное решение для обеспечения защищенного доступа к web-ресурсам Новости Электронная почта AnyConnect Обмен данными между ASA и WSA ASA Cisco WSA Социальные сети Корпоративная SaaS-система Corporate AD Secure Mobile Device Management AD/LDAP Интеграция с лидерами рынка MDM B % 8 ( C ) 8 7 D ISE MDM Mgr E % 5 0 0 C 7 • MobileIron, Airwatch, Zenprise, Good ? • Заказчики могут выбирать Cisco Catalyst Switches Cisco WLAN Controller Функции: User X User Y • Всесторонний анализ устройств • Детальный контекст пользователей и устройств • Расширенная защита устройств и приложений Window или OS X Смартфоны, включая ПК устройства с iOS или Android Wired или Wireless Wireless 56
  • 58.
    10/15/2012 Управление безопасностьюsco Security Manager 4.3 Краткий обзор CSM £ ¢ ¥ § £ ¥ Комплексное © ¢ £ ¡ £ ¤ £   ¡ ¢ ¡ для FW, VPN и IPS # $ % ' ( ) 0 ( на разнотипных устройствах (ASA, IPS, FWSM, PIX, ISR/ASR) # 1 ' 0 2 0 3 % 4 0 £ ¢ ¥ § £ ¥ ¦ § ¢ ¤ £ ¥ — ¡ ¢   ¢ события межсетевого журнала F ) 2 ( $ G ( H B # $ % ' ( ) 0 ( (Syslogs) и IPS (SDEE) A P I $ ) % ' % 4 0 5 6 © § £ ¡ © £ § ¨ © ¡ © © § £ © £ § ¢ © £ © £ ¡ ¥ ¢ ¦ § © ¡ £ для ASA и £ ¡ ¢ Cisco IPS Security   ¡ ¤ ¥ ¡ ¨ для межсетевых экранов и устройств IPS Manager £ ¢ ¥ § £ ¥ © ¤ £ ¥ ¡ ¢ ¢ для ASA и # $ % ' ( ) 0 ( IPS 7 2 8 ( 2 9 1 A $ % E % 4 0 A P I для доступа к политике © ¡ ¥ § Поддержка устройств в @ % A 1 2 1 B # 1 C одном развертывании B 1 A ) 1 B 2 D © § © £ ¥ W i n d o w s B ( 2 0 : конструктивные параметры устройства, также доступен в виде установки ПО 57
  • 59.
    10/15/2012 Cisco Security Manager Представление политик Представление устройств   ¥ ( ( 9 E 1 7 ' 5 ( 8 0 ( ) ( 3 £ Представление топологии   E 0 ¡ 0 A 0 1 % ' 7 8 8 2 ( % E ( 1 7 ¡ 0 0 E % % ( ) E ( ¢ ( 8 0 £ ( A % E 7 ) 8 % ) 0 ( 7 5 3 8 2 ( 1 ( A 9 5 3 7 2 ¤ Управление межсетевыми экранами   ¡ ¢ ¥ ¢ ¨ Интуитивный графический интерфейс с представлениями политик и объектов. Перенос политик на несколько ¦ 8 5 ( F 8 D ( 2 2 8 F 6 E устройств и переопределения # объектов обеспечивают согласованное определение политик. £ ¨ ¡ ¨   © Наследование политик £ ¢ ¦ обеспечивает реализацию корпоративных политик. I S R A S R 58
  • 60.
    10/15/2012 Управление межсетевыми экранами 8 C 8 D ( 6 0 B B Политики моделирования на 5 E 5 A основе пользователей и 9 d £ 4 4 # групп пользователей 8 C 8 D ( 6 0 0 § 4 5 E 5 Поиск пользователей и групп   2 6 0 9 ( H B 3 пользователей на основе установки и сопоставления # A D Active Directory. 8 5 2 £ 0 Политики моделирования на основе FQDN (например, A ) 8 @ 0 2 2 £ 0 B @ 0 2 ( apps.cisco.com). Средства повышения производительности межсетевых экранов   ¡ ¤ ¡ § Сопоставление событий с политиками упрощает процесс изучения администратором. § ¥ ¡ ¨ § § Интегрированное средство отслеживания пакетов для глубокой диагностики и § £ ¢ ¨ ¢ ¦ устранения неполадок. § £ ¡ ¨ § Число попаданий в список ACL, £ ¡ ¨ ¨ запрос правил и отслеживание сроков действия упрощают базовые функции политики. ¥ ¡ ¥ ¢ ¢ ¥ # ¨ § © £ ¨ ¦ ¢ 59
  • 61.
    10/15/2012 Управление IPS   4 9 0 1 ) ( ¡ ¦ ( 3 Технология глобального сопоставления на основе репутаций обеспечивает защиту сети в C ( ¦ B 6 ( упреждающем режиме. ¦ 8 5 ( F 8 D ( 2 2 8 F 6 E Согласованные сигнатуры и реакции # на события в датчике IPS. Навигация IPS от уведомлений к ¥ ¢ ¦ ¡ ¨ § £ ¢ сигнатурам обеспечивает быструю настройку проблемных сигнатур. ¢ £ ¤ ¥ ¦ § ¦ ASA AIP IDSM I O S I P S I P S Средства повышения производительности IPS Cisco Автоматические обновления сигнатур ¨ 0 9 ( 6 B D 2 ( 3 4 C ( ¦ B 6 ( и пакетов обеспечивают оперативную защиту IPS. 9 8 C 9 ( 2 8 F 6 E Отчеты об инвентаризационных A B 2 D 0 2 6 ( 9 B C ( H B 8 2 данных и лицензиях IPS, а также автоматические обновления лицензий упрощают выполнение повседневных 2 £ ¤ ) ( 2 2 £ ¤   C S M £ ¦ £ задач. 9 8 F 6 ( 3 A ) B ( 2 8 F 6 B ( B Навигация IPS от уведомлений к сигнатурам обеспечивает быструю # W d F 6 9 ( 2 0 2 B 0 2 0 4 8 5 ( ) 8 настройку проблемных сигнатур. W S S S S I P I P I P I P 60
  • 62.
    10/15/2012 Подготовка сетей VPN ¦ 5 8 1 2 £ 0 Простой в использовании мастер 9 ( C D 0 9 6 £ D ( 2 B 3 установки сетей VPN обеспечивает точность настроек на разных устройствах.   ¡ ¢ £ ¤ ¥ ¡ ¦ ¤ § § ¡ ¥ ¨ © Простота развертывания в среде ¦ § ¡ ¤ ¥ ¨ ¤ § из тысяч устройств, включая ¤ ¦ ¨ ¦ ¤ § ! неуправляемые устройства сторонних поставщиков. ¢ B 2 B @ ( 2 8 0 5 E 2 ( 9 d # 0 2 B 0 Возможности производственного 9 8 B C D 8 ) B 6 0 2 развертывания для поддержки существующих VPN- 4 5 E подключений. 8 F 6 B ¢ ( F 6 0 9 F 8 C ) ( 2 B 3 F 0 6 0 § V N P I P S e c G R E D M V P N G E T V P N E a s y I P S e c S S L V P N R A V P N Управление событиями ¦ ¢ ¡ ¡ ¦ § ¦ £ ¡ ! £ § ¤ ¢ ¤ Представления событий ASA, IPS и ¦ £ ! ¦ VPN в режиме реального времени и £ ¤ ¤ ¤ ¢ ¢ ¡ ¤ ¥ в хронологической ¥ ¤ ¡ ¡ ¤ ¦ § ¢ ¤ ¡ ¢ последовательности. Детализация привязки события к ' ( D B ( H B 3 8 6 # F 8 ¥ £ 6 B § политике позволяет выполнять 4 8 5 B 6 B 0 W анализ основных причин и точную W настройку правил. @ B 6 9 £ B Гибкие и комплексные критерии 5 E 2 ( F 6 9 ( B D ( 0 @ £ 0 9 0 ) F 6 ( D 0 2 B 3 событий исключают возникновение помех. 4 5 IPS VPN A S A 61
  • 63.
    10/15/2012 Мониторинг состояния и производительности Возможность мониторинга ресурсов ¢ 8 2 B 6 8 9 B 2 # @ 0 1 F 0 6 0 D £ ¤ устройств ASA, параметров трафика ¡ 9 ( 2 8 D (количество подключений и т. д.), W аварийного переключения. Кроме мониторинга ресурсов ¢ 8 2 B 6 8 9 B 2 устройств, можно также # I P S контролировать параметры трафика (нагрузка для выполнения анализа, пропущенные пакеты). ¢ 8 2 B 6 8 9 B 2 F 0 6 0 § Пользователь может контролировать состояние туннеля, пользователей # V N P RAVPN и т. д. Пользователь может управлять   4 9 ( D 5 0 2 B 0 уведомлениями на основе важных d D 0 ) 8 @ 5 0 2 B 3 @ B данных об устройствах (ЦП, память, срок действия лицензии, состояние интерфейса и т. д.). IPS VPN A S A Управление образами Подход на основе мастеров для проверки, развертывания   9 ( D 0 2 B 0 4 5 8 ¥ 9 ( C ( @ B обновлений для образов, отправки A S A уведомлений об их выпуске (включая аварийное переключение). G 8 @ 4 5 0 6 £ Пользователи могут создавать W комплекты образов (образ ASA, образы AnyConnect и т. д.) для 8 ¥ 9 ( C 8 D развертывания. Интеграция с CCO, функцией подачи 9 8 F 6 ( 3 заявок CSM, развертыванием работ, утверждениями и т. д. для A B 2 6 0 9 ( H B 3 # обеспечения удобной работы пользователей. IPS VPN A S A 62
  • 64.
    10/15/2012 Тактическая отчетность $ 0 ) ( ¡ 8 2 ( 0 8 7 ) 1 7 0 ' 7 ( ¡ 2 ( Отчеты, созданные на основе % ¢ ( 2 данных событий ASA, IPS и VPN.   C ) E % 1 0 1 9 ( ¡ 2 ( 0 Данные можно экспортировать в E 5 7 8 0 1 9 ( ¡ 2 ( формат PDF/Excel. Отчеты можно % ¢ ( 2 запланировать для отправки по электронной почте. $ ( ¡ 2 0 7 5 0 ¡ 2 Данные можно наглядно представить в форматах схем и таблиц. IPS VPN A S A Повышение эксплуатационной эффективности • Механизм подачи заявок с интеграцией на основе URL-адресов • Режим рабочих процессов с процессом утверждения • Глобальный семантический поиск во всех политиках • Встроенные функции RBAC (контроля доступа на основе ролей) • Архивация конфигураций • Автоматическое резервное копирование и восстановление 63
  • 65.
    10/15/2012 Cisco SecurityManager 4.3 В CSM 4.3 представлены новые возможности, связанные с мониторингом состояния и производительности, управления образами, доступна на основе интерфейсов API, а также целый ряд усовершенствований в других областях. ' 8 D £ 0 D 8 C @ 8 1 2 8 F 6 B . 3 C i s c o S e c u r i t y M a n a g e r 4 • Мониторинг состояния и производительности устройств ASA и IPS. • Управление образами для устройств ASA. • Доступ на основе API к данным конфигурации политики CSM. • Представление концепции комплектов политик для назначения нескольких политики нескольким устройствам. • Интеграция подачи заявок для отслеживания изменений политик. • Глобальный поиск устройств, политик и объектов политики во всей базе данных конфигурации. • Поиск сведений об использовании объектов. • Автообнаружение конфликтов для удаления ненужных записей из таблицы правил. • Обновления Policy Object Manager для улучшенной навигации. • Поддержка новых моделей — ASA 5512, 5515, 5525, 5535, 5545 и 5555. • Поддержка нового оборудования Cisco IPS серии 4300. Новое впечатляющее меню Старые страницы CS 64
  • 66.
    10/15/2012 Подача заявок • Связывание изменений с заявками • Поиск на основе ИД или описания заявки • Просмотр измененных заявок по развертыванию • Настройка и запуск по URL-адресу внешней системы подачи заявок • Сведения о последней измененной заявке, отображаемые в POM и правилах межсетевого экрана • ИД заявки не является обязательным; допускаются повторяющиеся записи • Возможность указания нескольких ИД заявок, разделенных запятыми • Ticket Manager отображает журнал всех заявок • В новой установке эта возможность включена по умолчанию • После обновления существующие настройки рабочих процессов и другие параметры остаются без изменений • Для отключения возможности нужно последовательно выбрать Admin Settings (Настройки администрирования) - Ticket Manager 65
  • 67.
    10/15/2012 Поиск сведений обиспользовании — устройства, политики, объекты... Улучшения Policy Object Manager • Настраиваемые избранные типы объектов в дереве типов объектов • Отображение 10 последних измененных объектов в дереве • Просмотр сведений о ссылках на объекты с помощью одного щелчка • Больший объем информации в таблице • Количество переопределений (если имеются) или переопределяемых объектов • Дата последнего изменения и последняя измененная заявка (или пользователь) • Полное описание • Объект, который был указан в ссылке или нет (при нажатии кнопки «Referenced» (Ссылка на)) • Перетаскивание и размещение объектов • Из POM в представление правил межсетевого экрана и из представления объектов в представление групп • Копирование, печать, экспорт (CSV) • Дерево типов объектов с возможностью поиска • Поддержка быстрой фильтрации 66
  • 68.
    10/15/2012 Policy Object Manager Прочие улучшения • Семантическая фильтрация (IP / сеть) поддерживается в фильтрах таблиц объектов политик сети и узлов, а также в таблицах правил межсетевых экранов. • Копирование в виде текста в буфер обмена из большинства компонентов пользовательского интерфейса, таких как дерево, список, таблица, текст. • Поле быстрой фильтрации, используемое в таблицах «Инвентаризационные данные», «Activity/Ticket Manager», «Policy Objects Manager» и «Сигнатуры IPS». • Возможность поиска во всех деревьях (иерархических структурах) в Configuration Manager. • Добавлен параметр «Expand-All / Collapse-All» (Развернуть все / Свернуть все) для всех деревьев и таблиц. • С экрана входа в клиент CSM удален параметр «Enable / Disable Https connection» (Включить /отключить соединение по протоколу HTTPS). Соединение по протоколу HTTPS используется не всегда. • Теперь в представлении политики отображаются прямые назначения устройств, наследование и назначения с помощью комплектов политик. • Экспорт детализированной общей политики. • Настраиваемая панель инструментов. 67
  • 69.
    10/15/2012 Новая функция обнаружения конфликтов. Общие сведения • Автоматическая функция — ACD • Функция, на основе которой выполняются практические действия — AACD • Встроенные отчеты о конфликтах — при просмотре отчетов можно изменять правила. Таким образом решается проблема использования, связанная с имеющимся средством анализа правил. • Функция используется только для автоматического обнаружения конфликтов. Она не предоставляет возможности их автоматического устранения. • Она поддерживается только в интерфейсе с примененными правилами доступа. • Отчеты о конфликтах формируются на основе источника, назначения, сервисов, пользователей, интерфейсов. Значения других полей (например, для указания диапазона времени и параметров ведения журнала) не учитываются. • Конфликты внутри объектов не поддерживаются. Поддержка функций идентификации для средств межсетевой защиты Фильтрация трафика на основе идентификационных данных поддерживается с версии CSM 4.2. Уже поддерживаются такие средства, как «Запрос политики», «Найти и заменить», «Срок действия правила». CSM 4.3 расширит поддержку средств межсетевой защиты для учета критериев идентификации в правилах межсетевых экранов. Сочетание правил — принятие во внимание не только сетей, интерфейсов и сервисов, но и пользователей. Количество попаданий — отображение количества попаданий для записей правила доступа, содержащих пользователей. Импорт правил — усовершенствованная возможность импорта групп пользователей и правил доступа с помощью групп объектов. Оптимизация внутреннего списка ACL — улучшенная возможность оптимизации ACL на основе не только сетей, интерфейсов и сервисов, но и пользователей. 68
  • 70.
    10/15/2012 Поддержка функций идентификациидля средств межсетевой защиты (продолжение) Возможности монитора состояния и производительности (Health and Performance Monitor, HPM) • Предоставление возможностей мониторинга для устройств ASA,VPN и IPS • Предоставление графиков тенденций важных показателей • Предоставление сводной панели для отображения объединенных сведений о состоянии, уведомлениях и значениях показателей в рамках представления • Предоставление механизма уведомлений для различных отслеживаемых параметров • Предоставление набора предопределенного представления мониторинга. • Предоставление пользователям возможности создания, редактирования, изменения настраиваемого представления мониторинга 69
  • 71.
    10/15/2012 Возможности HPM —мониторинг ASA • Мониторинг ASA распространяется на следующие типы показателей: • ресурсы устройства — ЦП, память, интерфейсы; • параметры трафика — количество подключений, скорость подключений, количество трансляций, скорость трансляций, отброс пакетов, включая отброс при обнаружении угрозы, пропускная способность. • Параметры аварийного переключения • Уведомления ASA • Уведомления об аварийном переключении • Уведомления о состоянии интерфейса • Уведомления об использовании ресурсов ЦП • Уведомления об использовании ресурсов памяти Возможности HPM — мониторинг сетей VPN • Мониторинг сетей VPN распространяется на следующие типы параметров: • Мониторинг активного туннеля между площадками • Мониторинг пользователей удаленного доступа (RA) — пользователи – web-клиента VPN, IPSec и SSL, клиента Anyconnect. • Сводные данные о сетях VPN — сводное представление для туннеля между площадками, сеансов удаленного доступа, сведений о лицензиях и сертификатах. 70
  • 72.
    10/15/2012 Возможности HPM — мониторинг IPS   ¢ § ¢ ¡ § % A S A ¡ ¨ ¥ £ ¡ ¢ ¥ ¡ ¨ § © ¥ © § ¨ ¥ ¤   £ £ ¨ ¡ ¨ ¡ ¢ : • — ЦП, память, интерфейсы; ¡ ¥ ¤ ¡ ¥ ¤ ¥ ¡ ¢ $ ¥ ¨ • — нагрузка для выполнения анализа, £ ¨ ¡ ¨ ¡ ¡ ¨ ! ¦ ¨ пропущенные пакеты, режим обхода; • — основное приложение, приложение для £ ¡ ¢ # § © I P S датчиков, приложение для совместной работы. • ¥ ¢ ¥ ¢ © § ¤ ¥ ¡ ¢ $ ¥ I P S ¥ © ¡ ¨ § § £ ¨ ¡ ¨ ¡ § ¢ § © • ¥ ¢ ¥ ¢ © § £ ¡ ¢ # § © © ¥ ¢ ¥ § ¢ $ ¡ ¨ ¢ • ¥ ¢ ¥ ¢ © § £ ¡ ¢ # § © © ¨ ¡ ¦ ¢ • £ # ¢ ¢ ¨ • ¥ ¢ ¥ ¢ © § § ¡ ! $ ¥ ¨ •   ¥ ¡ § ¥ ¡ ¢ ¦ ¨ $ ¥ ©   § ¡ •   ¥ £ ¢ ¡ ¢ ¨ § ¡ ¥ ¤ ¡ ¥ ¢ £ ¨ © •   ¡ ¢ £ ¤ § § £ ¨ ¦ • ¡ ¨ % ¡ ¤ ¡ ¦ ¨ © £ ¢ § § © ¨ § ¨ ¡ ¨ • Возможности HPM — представление мониторинга Вкладка «Alerts» (Оповещения) Панель сводных данных Дерево представлени я мониторинга Сведения о выбранных устройствах 71
  • 73.
    10/15/2012 CSM ImageManager - Общие сведения CSM Image Manager обеспечивает полное управление образами для устройств ASA. Это средство используется на различных этапах процесса обновления образов для устройств ASA, предоставляя следующие возможности: и поддержка различных типов и версий образов,   ¡ ¢ £ ¤   ¥ ¡ £ ¦ § ¨   © ¨ £ © образов, ¨ ¦ ¥ ¡ влияния обновления этих образов на устройства (в анализ входит влияние обновления ¡ ¡ ©   на конфигурацию устройств), и обновления и § ¨ ¢ ¨ ¨ ¥ ¡ § ¡ © £ ¨ ¡ © ¦ предоставление надежного способа устройств с использованием встроенных ¨ ¨ ¦ © механизмов резервирования и восстановления, что способствует сокращению времени простоев. • Недостатки предыдущего решения, RME, для управления образами RME больше не входит в комплект CSM. Обновление образа с помощью RME рассматривалось как изменение OOB в CSM и требовало повторного обнаружения устройств, что приводило к потере назначенных и общих политик в CSM. Механизм RME поддерживал только системное ПО. Отсутствует поддержка образов ASDM и других образов SSLVPN. Отсутствует поддержка обновления аварийного переключения ASA, которое присутствует в большинстве развертываний ASA. Сценарии использования управления образами Поддержка репозитория различных типов и версий образов ASA. Проверка доступности новых образов на сайте Cisco.com. Загрузка образов с сайта Cisco.com. Проверка и анализ влияния обновлений образов на устройства. Совместимость устройств с образами. Объединение совместимых образов в комплект. Планирование обновления образа одного или нескольких устройств. Контроль пошагового выполнения операции обновления. Управление изменениями для операций по обновлению образов. 72
  • 74.
    10/15/2012 Преимущества Image Manager Полное управление образами для ASA** — поддержка системы ASA, ASDM, CSD, Hostscan, Anyconnect и подключаемого модуля SSLVPN (RDP, Telnet, SSH и т. д.). Поддержка обновления пары аварийного переключения «Активный/резервный». Тесная интеграция с Configuration Manager — пользователь получает уведомления о влиянии обновления образа на конфигурацию устройства в CSM и сведения о действиях, которые необходимо выполнить до и после обновления, чтобы обеспечить беспрепятственное управление конфигурациям устройств в CSM. Надежные обновления — проверки совместимости образов, проверки требований к ОЗУ, проверки объема флэш-памяти, уведомления о влиянии на конфигурации и т. д. Управление файлами флэш-памяти ASA. Комплект образов — объединение совместимых образов и их быстрое развертывание. Элементарные проверки надежности на ранних этапах становления управления образами SSLVPN в Configuration Manager. Вывод сообщений о недостатке места. Поддержка внешнего диска в ASA — диска 1. Встроенные функции контроля доступа на основе ролей (RBAC) • Выпуски ACS, вышедшие после версии 4.x, больше нельзя использовать в качестве решения RBAC для CSM. NRBAC предоставляет те же функции RBAC, которые присутствовали в ACS для CSM. Эти функции встроены в CSM, поэтому их использовать гораздо проще. • Одной из ведущих мотиваций перехода на RBAC является возможность разделения обязанностей (Separation Of Duties, SOD). – снижение риска случайного повреждения или мошенничества – ограничение доступа к объектам (устройствам и политикам) • Что изменилось? – Common Services (CS) имели авторизацию на уровне задач и поставлялись только с пятью стандартными ролями. Они не обеспечивали детализацию RBAC на уровне устройств. – При использовании NRBAC вводится детализация на уровне устройств и поставляется восемь (7 + 1) стандартных ролей. 1 роль не требуется для CSM. • Сохраняется поддержка ACS 4.x. 73
  • 75.
    10/15/2012 Стандартные роли, поставляемыес CSM Стандартные роли совпадают с ролями ACS 5 ролей являются общими для CS и CSM Специальные роли 1 роль является специальной для CS 2 роли являются специальными для CS CSM Лицо, утверждающее системы безопасности Администратор систем безопасности Специальная роль CS Суперадминистратор Общие роли Утверждающее лицо Служба поддержки Администратор сети Оператор сети Системный администратор Задачи приложений Задачи приложения назначаются ролям. Задача может относиться к одному конкретному приложению или использоваться для двух или более приложений. Типы приложений [AUTOUPDATE] — сервер автообновления [CSM] — Cisco Security Manager [CS] — Common Services ПРИМЕЧАНИЕ. Изменить разрешения для стандартных ролей нельзя. 74
  • 76.
    10/15/2012 Группа устройств Группы устройств представляют собой контейнеры для устройств и используются в конфигурации авторизации на уровне устройств. Устройство может входить в несколько групп устройств. ПРИМЕЧАНИЕ. Устройство может быть связано с несколькими группами устройств [ 1:n ]. Для конфигурации NRBAC не требуется связывать с пользователем все группы устройств. Достаточно только одной группы устройств. Вывод. В системе могут находиться группы устройств, имеющие связанные устройства, но никогда не использовавшиеся для авторизации NRBAC на уровне устройств. Различные типы авторизации в NRBAC Полная авторизация Авторизация на уровне устройств Авторизация на уровне задач 75
  • 77.
    10/15/2012 Другие функциональныевозможности NRBAC предоставляет возможность авторизации внешним серверам идентификации, используемым для аутентификации. Удаленных пользователей AAA следует создать локально и назначить им роли. К некоторым серверам аутентификации, которые поддерживаются CS, относятся ACS 5.x как сервер TACACS+, Microsoft AD, локальная аутентификация Windows. • Создание настраиваемой роли • Создание новой строки привилегии запрещено. • Следует использовать с осторожностью. • ACS 4.x по-прежнему поддерживается «как есть». Требуется повторная регистрация, поскольку в CSM добавлены дополнительные строки привилегий для новых возможностей. Заключение 76
  • 78.
    10/15/2012 В заключение   ¢ ¦ ¨ Кто Что Как Где/откуда Когда ¤ § ¨ ¡ ¤ % ¡ ¢ ¡ SensorBase Operations Center Dynamic Updates В ы с о к о с к о р о с т н а я § ¡ § § ¨ О б И н т е г р и р о в а н н а я л а ч н ы е с п е ц и а л и з и р о в а н н а я ¤ ¡ ¢ § ¥ и и н н ф ф р р а а с с т т р р у у к к т т у у р р а а в в ы ы ч ч и и с с л л е е н н и и я я з а щ и т а Стоит ли класть все яйца в одну корзину? • Сложность • Операционные затраты • Число уязвимостей • Обучение специалистов • Поддержка • Эксплуатация и управление • Мониторинг и устранение неисправностей • Конфигурация и обновление • Интеграция 77
  • 79.
    10/15/2012 Хотите узнать больше? [email protected] http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco 78