SlideShare a Scribd company logo

Сквозное управление доступом - от пользователя и дальше

Cisco Russia , profile picture
Cisco Russia

Документ описывает современные вызовы в области IT-безопасности и управления доступом, включая проблемы фрагментации и изменения ландшафта угроз. В нем представлена система TrustSec для программно-управляемой сегментации, которая упрощает управление доступом, способствует соблюдению норм и снижает операционные расходы. Упоминаются примеры успешного применения сетевой сегментации для повышения безопасности в различных сценариях, включая соответствие стандартам PCI.

Technology
1 of 88
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
Cisco Connect Москва, 2017 Цифровизация: здесь и сейчас
Сквозное управление доступом - от пользователя и дальше  Михаил Кадер Инженер © 2017 Cisco and/or its affiliates. All rights reserved.
Обзор
Головная боль ИТ Потеря контроля и контекста Сложность и фрагментированность Изменение ландшафта угроз Скорость развития технологий Новые требования бизнеса – очередные вопросы управления и безопасности 4 И новые проблемы Ошибки ручного администрирования Рост унифицированного персонала Рост операционных затрат Фрагментарная защита Нехватка времени Проблемы сетевой инфраструктуры и безопасности Изменения бизнеса и технологий Новые возможности, но … Приобретения и партнерство Облака Интернет вещей Цифровизация BYOD Глобализация Мобильность Скорость изменений Нормативные требованияСнижение стоимости
Сегментация нужна, сегментация важна! 5 “Eataly’s network segmentation prevented a POS compromise at one store from compromising systems at the chain’s 26 other locations across the globe” “Network segmentation… is one of the most effective controls an agency can implement to mitigate the second stage of a network intrusion, propagation or lateral movement”“Effective network segmentation… reduces the extent to which an adversary can move across the network”
TrustSec – упростим управление защитой! Масштабируемая и гибкая технологий сегментации, охватывающая более 40 серий продуктов компании Cisco и обеспечивающая динамическое ролевое управление доступом во всей сети 6 Deny Employee to FinancialServer Permit Developer to Developer Server Permit Guest to Web Permit Developer to Developer Server Сквозные политики Key Employee Tag Developer Tag Voice Tag Non-Compliant Tag SGACLs Сотрудник Серверы разработчиков Простота управления доступом Ускоренное администрирование Простота управления доступом Удобное управление политиками и обеспечение соответствия за счет предоставления доступа в зависимости от должностных обязанностей Ускоренное администрирование Более быстрое добавление и перемещение пользователей, упрощение настроек МСЭ при добавлении серверных ресурсов Интернет Серверы бухгалтерии Сквозные политики Централизованное управление сетевой сегментацией, вне зависимости от типа подключения Корпоративная сеть Гости Сотрудники Разработ- чики Не соответ- ствующие 8 Employee Info Tag Developer Server Tag Financial Server Tag HTTP Tag
Назад к основам
TrustSec как основа программно-управляемой сегментации 8 Узел Управление метками Управление политиками Security Group Tags Исполнение Исполнение Защита от угроз Распространение В канале передачи Классификация Статическая Идентификация Динамическая Сеть с поддержкой SGT Централизованное управление Программная сегментация Открытость Heterogeneous environment Внеполосное (SXP or pxGrid) Switch Router Firewall
Классификация
Управление групповыми метками безопасности Группы безопасности для определения ролей и политик 10 Printer 1 Printer 2 SGT_Guest SGT_Building Management SGT_Employee Guest 1 Guest 2 Guest 3 Guest 4 Employee 1 Employee 2 Employee 3 Employee 4 SGT_FinanceServer SGT_Printers Fin 1 Fin 2 Temperature Device 1 Temperature Device 2 Surveillance Device 1 Surveillance Device 2 50° 50° • Объединение в группы на основании требований бизнеса для обеспечения целостной политики доступа вне зависимости от сетевого подключения • Использование таких атрибутов, как местоположение и тип устройства для назначения в группу
Гибкие методы классификации 11 Динамические механизмы Статические механизмы VPN V. Port Profile IP Address VLANsSubnets L3 Interface Port ACI (App- Centric) Пользователи и мобильные устройства Пользователи Внутренняя инфраструктура ИТ Внутренние ресурсы Внешние партнеры и т.п. Партнеры и т.п. СтатическиеДинамические SGT #1 SGT #2 SGT #3 SGT #4 Виртуалки Passive ID (Easy Connect) MAB, Profiling 802.1X. WebAuth pxGrid & REST APIs
Распространение TSECSEC-2222
Как передать SGT? 13 В канале передачи • Ethernet • MACsec on Ethernet • IPSec • DMVPN • GETVPN • VXLAN Platform Exchange Grid (pxGrid) • Web Security Appliance (WSA) • Firepower Threat Defense • Партнерские продукты SGT eXchange Protocol (SXP) • Network Devices • ISE • IETF • Open Daylight
В канале передачи 14 Branches Inline tagging Untagged ISE • Быстро и масштабируемо при наличии аппаратной поддержки • SGT передаются в канале данных на полной скорости канала • Пошаговая передача (2 = network devices sgt value) interface TenGigabitEthernet1/5/13 cts manual policy static sgt 2 trusted
Внеполосная передача SGT 15 Через любую сеть IP Firepower NGFW SXP pxGrid SXP IP-SGT Bindings IP Address SGT SRC 10.1.100.98 50 Local ISE Ecosystem vendor products • Подписка на события TrustSec используя pxGrid • Информация о «связках» IP-SGT передается через pxGrid pxGrid • Не зависит от «железа» • Распространение от ISE или устройства доступа до любой точки контроля SXP www WSARouter 2 Router 1 Switch 1ANY network device ISE supports Generate IP-SGT mappings from ISE Send IP-SGT mappings to SXP & pxGrid peers
Использование
Применение политик 17 Application Servers Database Servers FIB Lookup Destination MAC/Port SGT 30 Destination Classification App_Svr: SGT 20 DB_Svr: SGT 30 End user authenticated Employee: SGT 5 Destination Source App_Servers (20) DB_Servers (30) Employees (5)   BYOD (10)   Unknown (0)   10.1.100.100 SGT: 20 10.1.101.100 SGT: 30 SRC: 10.1.10.100 DST: 10.1.100.100 SGT: 5 5 SGFW SGACL
ISE Egress Policy Matrix (SGACL) 18 permit tcp dst eq 6970 log permit tcp dst eq 6972 log permit tcp dst eq 3804 log permit tcp dst eq 8443 log permit tcp dst eq 8191 log permit tcp dst eq 5222 log permit tcp dst eq 37200 log permit tcp dst eq 443 log permit tcp dst eq 2748 log permit tcp dst eq 5060 log permit tcp dst eq 5061 log permit tcp dst range 30000 39999 log permit udp dst range 5070 6070 log deny ip log
ISE 2.1 – промежуточные матрицы 19 • Контролируемое внедрение изменений • Этапность • Возможность возврата • Утверждение внесения изменений
Множественные матрицы политик (ISE 2.2) Policy Applied to ALL Devices
SGACL для масштабируемой сегментации 21 •Новый сетевой узел •Коммутатор запрашивает политики •Политики загружаются автоматически Dev_Server (SGT=10) Prod_Server (SGT=7) Dev_ServersProd_Servers Switches request policies for assets they protect SGT=3 SGT=4 SGT=5 Switches pull down only the policies they need • Итак: программно-управляемая сегментация • Централизация управления • Политики безопасности не зависят от сетевой топологии • Нет индивидуальной настройки политик на оборудовании • Единая точка для контроля политик доступа по всей сети
Применение программно-управляемой сегментации
Практически любые сценарии 23 Сегментация в ЦОД Сегментация сетей предприятия и офиса Контроль доступа пользователей к ресурсам ЦОД
Доступ пользователя в ЦОД 24 Здание ЦОД с поддержкой TrustSec Головной офис Employee DeveloperVoice ISE Router Employee Non Compliant Employee Tag Developer Tag Guest Tag Non-Compliant Tag Guest Employee TS- enabled DC Remediation Internet Employee Developer Guest Non- Compliant ✓ X ✓ ✓ X X ✓ ✓ X X ✓ X Non CompliantEmployee Non Compliant SwitchSwitch • Ролевой контроль доступа • Автоматизацию и контроль BYOD • Сквозное соответствие требованиям ✓ ✓ ✓ ✓ Voice TrustSec обеспечивает: Политики в действии: Домен TrustSecProd server Dev server Домен ACI ACI Data Center Dev server Prod serverAPIC DC
Сегментация сети предприятия и офиса 25 Employee Developer Data center Internet Employee Developer Building Mgmt Non- Compliant TrustSec обеспечивает: Router Employee Tag Developer Tag Building Mgmt Tag Non-Compliant Tag Switch Switch Здание Головной офис Удаленный офис ✓ X X ✓ X X X ✓ X X X X ✓ ✓ ✓ ✓ HQ Data Center Политики в действии: Switch Non Compliant Non Compliant Non Compliant DeveloperVoiceVoice Employee EmployeeEmployee Building Mgmt • Ролевой контроль доступа везде • Сквозное соответствие нормативным требованиям • Ограничение распространения атак
Сегментация ЦОД 26 Database Servers Web Servers Storage Web Servers TrustSec обеспечивает: Политики в действии: Switch r Web Servers Middleware Servers Database Servers Storage Web Servers MiddlewareS ervers Database Servers Storage Middleware Servers ✓ ✓ ✓ ✓ X ✓ ✓ ✓ X ✓ ✓ ✓ X ✓ X X • Простота правил МСЭ • Соответствие нормативным требованиям • Зонирование серверов • Микро сегментацию • Сегментацию физических и виртуальных ресурсов
TrustSec Программно-управляемая сегментация от пользователя до ЦОД
Доступ пользователей и устройств в ЦОД 28 Основной сценарии внедрения TrustSec Почему Упрощение политик и переход на ролевой контроль доступа Снижение операционных затрат Внедрение на границе ЦОД Разработка Тестирование Соответствие Zones Production Commerce Development Compliance Mail App 1 App 2 App Portal DB Dev 1 Dev 2 Finance BI Data Storage VMS A VMS B Data Center Employee Auditor BYOD BYOD
Централизованное управление классификацией в ISE 29 Передача «привязки» IP-SGT на устройство через SSH Передача «привязки» IP-SGT через SXP
Основные методы классификации пользователей 30 Подсеть в SGT 4 • Легко начать • Аутентификация пользователей на нужна • Централизованное администрирование и управление Достоинства Corporate Voice Guest Employee Guests Corporate Voice Guest Employee Guests (Любое устройство, поддерживаемое ISE) ISE SXP SSH (Поддержка TrustSec) IP Address SGT 10.1.10.0/24 Employee 10.2.10.0/24 Guest
Подсеть в SGT 31 Устройство доступа с поддержкой TrustSec access# show cts role-based sgt-map all Active IPv4-SGT Bindings Information IP Address SGT Source ======================================= ===== 10.1.10.0/24 4 CLI 11.2.20.0/24 6 CLI access# show cts environment-data Security Group Name Table: 0001-19 : 0-00:Unknown 2-00:TrustSec_Devices 3-00:Network_Services 4-00:Employees 5-00:Contractors 6-00:Guests… Corporate Voice Guest Employee Guests SSH IP Address SGT 10.1.10.0/24 Employee 10.2.10.0/24 Guest
Классификация пользователей 32 Устройства доступа не поддерживают SGTs ISE SXP IP Address SGT 10.1.10.1 Auditor • Не зависит от «железа» • Динамическое назначение SGT • Прямая передача «привязки IP-SGT» на устройство контроля Достоинства
Настройка ISE SXP 33 Routers Firewall Switches SXP ISE • Создание привязки IP-SGT на ISE • Создание привязки основе классификации по протоколу RADIUS • Привязка IP-SGT может создаваться сторонними решениями
Классификация пользователей 34 Устройства с поддержкой TrustSec ISE • Широкая поддержка методов аутентификации - 802.1x, Web Auth, MAB, Easy Connect • Точность применения • Возможность прямого назначения SGT • Масштабируемость Достоинства
Динамическое назначение SGT в профиле авторизации
Динамическая классификация с 802.1X 36 Layer 2 Клиент Устройство ISE Layer 3 EAP Transaction Authorisation DHCP EAPoL Transaction RADIUS Transaction Authentication Authorized 0 Policy Evaluation DHCP Lease: 10.1.10.100/24 ARP Probe IP Device Tracking Authorised MAC: 00:00:00:AB:CD:EF SGT = 5 Binding: 00:00:00:AB:CD:EF = 10.1.10.100/24 1 2 3 SRC: 10.1.10.100 = SGT 5 00:00:00:AB:CD:EF cisco-av-pair=cts:security-group-tag=0005-01 3560X#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ============================================= 10.1.10.1 3:TrustSec_Devicea INTERNAL 10.1.10.100 5:Employee LOCAL SGT For Your Reference For Your Reference
Использование Easy Connect 37 (Любой с поддержкой ISE) ISE MSFT Active Directory Network User Mapping from AD (Auditors Group) Auditor AuditorDHCP DNS NTP AD DOMAINbob No 802.1X 1 2 3 MAB • Без клиента • Любой коммутатор Достоинства • ISE 2.1 • Active Directory Условия
Классификация серверов 38 Nexus 1000v DC Dist/Access Database Servers Web Servers • Nexus 1000v – привязка SGT к Port Profile или IP • Nexus 7000 – привязка SGT к VLAN или IP • Nexus 6000/5600/5500 – привязка SGT к порту
interface Ethernet1/20 cts manual policy static sgt <value> no propagate sgt Примеры статической привязки cts role-based sgt-map A.B.C.D sgt value cts role-based sgt-map A.B.C.D/nn sgt SGT_value Subnet to SGT Mapping Port to SGT Mapping cts role-based sgt-map vlan-list VLAN sgt SGT_value VLAN to SGT Mapping Necessary command on a host facing port IP to SGT Mapping 39
Групповые политики 40 Source Destination Action IP Sec Group IP Sec Group Service Action Any Employee Any Biz Servers HTTP Allow Any Partner-A Any Dev Apps HTTPS Allow Any Supplier-B Any Any TCP Deny Any Any Any Any Any Deny SGACL: SGFW:Destination Source App_Servers CC_Servers Employees (5)   BYOD (10)   POS Systems  
TrustSec и стандарт PCI
TrustSec как средство соответствия PCI 42 Используя сегментацию TrustSec можно обеспечить выполнение ряда требований стандарта PCI (Payment Card Industry). Обеспечить сегментацию для узлов категорий 1 и категорий 2: Отделить терминалы оплаты и считыватели пластиковых карт от остальных сетевых устройств. Ограничить доступ к серверам доступа “jump servers”, которые имеют доступ к карточным серверам (CDE - Cardholder Data Environment). МСЭ на основании групп безопасности защищает ресурсы ЦОД, обрабатывающие платежные транзакции. Снижение необходимости применять МСЭ и VRF-ы для защиты CDE. Возможность классифицировать, изолировать и управлять доступом системных администраторов, устройств доступа (jump boxes), серверов, систем обработки финансовых и платежных транзакций Централизованное управление политиками Четкое разделение границ между зонами и отделение от других сегментов, не имеющих отношения к обработке платежной информации
ASA Firewall Policy TrustSec для PCI 43 POS Store ABC Backbone Floor 1 SW Floor 2 SW Cardholder Data Environment DC FW POS PCI Server ISE Jump Servers OS Type: Windows 8 User: John AD Group: Floor Staff Device Group: Nurse Workstation Security Group = Employee OS Type: Windows 7 Embedded User: George AD Group: Point-of-Sales Admin Device Group: POS_Term Security Group = PCI Device Access Privilege Authorization with Security Group PCI Scope Stealthwatch Flow Analytics • Ограничение доступа к данным владельцев карт через МСЭ SGT (SGFW) • Отделение сегмента платежных терминалов от других устройств за счет фильтров по SGT на коммутаторах (SGACL). • Использование Stealthwatch для контроля сегментации. Employee Workstation Static Mapping Switch SGACL
Контроль доступа к Jump серверам 44 POS Floor 1 SW Floor 2 SW Cardholder Data Environment DC FW PCI Admin PCI Server ISE Jump Servers Employee Workstation OS Type: Windows 10 User: John AD Group: Floor Staff Device Group: Nurse Workstation Security Group = Employee OS Type: Windows 10 User: Admin AD Group: PCI Administrators Device Group: Admin Workstation Security Group = PCI_Admin Access Privilege Authorization with Security Group PCI Scope ASA Firewall Policy Stealthwatch Flow Analytics • Только Jump серверы имеют доступ в серверам PCI. • Только администраторы PCI и аудиторы имеют доступ к Jump серверам. • Администраторы PCI изолированы от других сотрудников. OS Type: XenDesktop User: Admin AD Group: PCI Administrators Device Group: PCI Jump Server Security Group = PCI_Jump Store ABC Backbone Static Mapping
Контроль доступа к общим серверам 45 • Сотрудникам нужен доступ к общим серверам, таким как DNS, и он также нужен серверам CDE. • Общие серверы отделены в отдельные сегменты от серверов CDE и доступ к ним идет через SGFW. • Также доступ к общим серверам может быть внедрен на уровне коммутаторов, если надо, используя SGACL. Cardholder Data Environment DC FW PCI Server Jump Servers AD DHCP DNS Shared Services Employee Workstation ASA Firewall Policy ISE Access Privilege Authorization with Security Group Static Mapping OS Type: Windows 10 User: John AD Group: Floor Staff Device Group: Nurse Workstation Security Group = Employee OS Type: Server 2012 Security Group = Shared_Services
Анализ применения TrustSec для сегментации PCI 46 http://bit.ly/pci-trustsec-report
Контроль доступа между пользователями
Обычная сегментация 48 Voice ЦОД Магистраль VLAN Addressing DHCP Scope Redundancy Routing Static ACL ACLs Non Compliant Supplier Employee Voice Non Compliant Supplier EmployeeVoice Non Compliant Supplier Employee • Политики доступа на основе сетевой топологии • Высокая стоимость и сложность внесения изменений
Сегментация с TrustSec 49 Supplier Employee Non Compliant • Сегментация базируется на SGT, и не зависит от топологии (VLAN, IP подсети) • Микросегментация (разделение устройств даже внутри одного VLAN) Destination Source Suppliers (100) Employees (105) Non Compliant (110) Suppliers (100) Permit all Deny all Deny all Employees (105) Deny all SGACL-1 Deny all Non Compliant (110) Deny all Deny all Deny all
Сегментации в сети зданий и филиалов 50 LoB1 Production Users LoB1 Developers Protected Assets Guests Internet Access LoB1 Production Users Malware Blocking DENY PERMITDENY PERMIT Collab Apps LoB1 Developers Source PERMIT Collab Apps DENY PERMITDENY Malware Blocking DENY DENY DENY PERMIT Malware Blocking DENY PERMITDENYDENYDENY LoB = Line of Business Policy View Malware Blocking ACL Deny tcp dst eq 445 log Deny tcp dst range 137 139 log Permit all LoB2 Employees LoB2 Employees Guest MSFT Active Directory Database Servers Web Servers Classification Enforcement Logical View
Использование на маршрутизаторах
Программно-управляемая сегментация на маршрутизаторах 52 Destination Source BYOD (4) Employees (5) Employees (5) Intra_Jabb er_Sig Anti_Malw are Intra_Jabb er_Sig Anti_Malwa re BYOD (4) Intra_Jabb er_Sig Anti_Malw are Intra_Jabb er_Sig Anti_Malwa re www WSA FTD Stealthwatch • Версия ПО: 16.3.2 • Устройства: • ASR1006,ASR1004, ASR1009-X, ASR1006-X, ASR1001-X, ASR-1002-X, ASR-1002-HX • ISR4300, ISR4400 • CSR-1000v Достоинства • Сквозная поддержка TrustSec на маршрутизаторах и коммутаторах • Получение политик от ISE (применение после ZBFW) • Централизация политик для всех точек распределенной сети • Сегментация между филиалами
Масштабируемая сквозная сегментация 53 Branch 2 Campus Employee Destination Source BYOD (4) Employees (5) Employees (5) Intra_Jabb er_Sig Anti_Malw are Intra_Jabb er_Sig Anti_Malwa re BYOD (4) Intra_Jabb er_Sig Anti_Malw are Intra_Jabb er_Sig Anti_Malwa re Non-TrustSec capable switch Non CompliantBYODEmployee Building MgmtQuarantine Branch 1 Non CompliantBYODEmployee Building Mgmt
Блокирование ВПО
Понимание атаки 55 enterprise network Attacker Perimeter (Inbound) Perimeter (Outbound) Research targets (SNS) 1 C2 Server Spear Phishing (you@gmail.com) 2 http://welcome.to.jangle.com/exploit.php Victim clicks link unwittingly3 Bot installed, back door established and receives commands from C2 server 4 Scan LAN for vulnerable hosts to exploit & retain alternative back door + find privileged users 5 Privileged account found. Occupy directory service. Access to database backup, then copy them to staging server 6 Admin Node Zip data, slice it to multiple files, and send those out to external site over HTTPS 7 System compromised and data breached. Retain backdoor to collect more targeted data, otherwise erase all traces or wipe whole disk (e.g. Shamoon malware) 8 Lateral Movement (Scanning, Pivoting, Privilege Escalation, Brute Force, etc.)
Как защититься после взлома? 56 enterprise network Attacker Perimeter (Inbound) Perimeter (Outbound) Research targets (SNS) 1 C2Server Spear Phishing (you@gmail.com) 2 Victim clicks link unwittingly3 Bot installed, back door established and receives commands from C2 server 4 TrustSec to block P2P scanning, OS Finger printing activity, and exploitation. 5 Admin NodeИспользуем инфраструктуру для уменьшения зоны атаки
Cat 3850 User to User Policy Enforcement: Wired: Cat3750-X & Cat3560-X (IP-Base), Cat4500 Sup7E , Cat3850 Wireless: Catalyst 3650, Catalyst 3850 and WLC 5760 Защита от ВПО 57 Endpoint A Exploits by sending payload2 Segment A 1.1.1.101 1.1.1.102 DHCP DHCP Endpoint B 802.1X Name MAC Address SGT IP Address Endpoint A 00:00:00:00:00:0a 7 1.1.1.101 Endpoint B 00:00:00:00:00:0b 7 1.1.1.102 SGT can be assigned via RADIUS attributes in 802.1X Authorization OR statically assign to VLAN Cisco’s IP Device Tracking probes endpoint IP Address and binds it to SGT 1 Scan for open ports / OS SG-ACL Egress Policy SRC DST 7 7 Anti-Malware-ACL Anti-Malware-ACL deny icmp deny udp src dst eq domain deny tcp src dst eq 3389 deny tcp src dst eq 1433 deny tcp src dst eq 1521 deny tcp src dst eq 445 deny tcp src dst eq 137 deny tcp src dst eq 138 deny tcp src dst eq 139 deny udp src dst eq snmp deny tcp src dst eq telnet deny tcp src dst eq www deny tcp src dst eq 443 deny tcp src dst eq 22 deny tcp src dst eq pop3 deny tcp src dst eq 123 deny tcp match-all -ack +fin -psh -rst -syn -urg deny tcp match-all +fin +psh +urg permit tcp match-any +ack +syn SG-ACL for SGT 7 is applied statically on switch or dynamically downloaded from ISE. Filtering open port / OS fingerprint scanning prevents attacker to guess Application / OS specific vulnerabilities SG-ACL stops unnecessary P2P communication, including one used for exploitation Distribution SW Attacker seeks other victims3
Программно-управляемая сегментация в ЦОД
Классический контроль доступа и сегментация в ЦОД 59 • Разрозненные методы управления правилами • Внедрение политик доступа в множестве мест • Множественные изменения конфигурации при добавлении новых ресурсов N2K N1Kv N7K-A N7K-B N5K-A Firewall Firewall N5K-B vSwitch Core 1. МСЭ Вход/выход Между группами серверов 2. Фильтры IP-Based Access Control Lists Server VLANs Private VLANs Possibly VRFs Зависят от топологии!
TrustSec для сегментации и контроля доступа в ЦОД 60 • Общие объекты для МСЭ и фильтров • Сквозное управление • Централизация и автоматизация управления фильтрами • Масштабируемость N2K N1Kv N7K-A N7K-B N5K-A Firewall Firewall N5K-B vSwitch Core 1. Security Group Firewall 2. Security Group ACLs Политики фильтрации по SGT и адресам IP Сегментация в виде простой матрицы доступа Применяется ко всем коммутаторам Nexus – масштабируемо и просто
Зоны безопасности 61 VLAN 100 Risk Level 1 ISE• VLAN-ы часто соответствуют зонам безопасности • Во многих случаях между разными зонами применяются фильтры • Применение фильтров SGACL снижают использование TCAM • Переход от обычных фильтров ACL на SGACL дает экономию от 60% to 88% • Другой трафик может продолжать контролироваться МСЭ • VPC и Fabric Path поддерживаются с версии 7.2 Campus Network PCI_Web PCI_App LOB_App LOB_App N7K-DST1(config)# vlan 100 N7K-DST1(config-vlan)# cts role-based sgt 100 N7K-DST1# show cts role-based sgt-map IP ADDRESS SGT VRF/VLAN SGT CONFIGURATION 10.1.200.10 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration 10.1.200.77 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration 10.1.100.26 2000(PCI_Servers) vrf:1 CLI Configured 10.1.200.77 1000(Production_Servers)vrf:1 CLI Configured VLAN 200 Risk Level 1
Внедрение на Nexus 1000V 62 VMVM VM VM Nexus 1000V VEM Server VMVM VM VM Nexus 1000V VEM Hypervisor TOR filters traffic based on SG-ACLs Nexus 1000V VSM SXP for Firewall SXP comes from VSM (not VEM) TOR filters traffic based on SGACLs N1000V: Assigns SGT based on Port-profile Assignments VEM filters traffic based on SG-ACLs PCI ISE PCI Hypervisor Server PCI Inline Tagging on VEM Uplinks TrustSec Policy from ISE N1000v 5.2(1)SV3(1.1) - inline tagging and SGACL Enforcement
Комбинированное применение SGACL и SGFW 63 Risk Level 1 ISE Risk Level 2 PCI_Web PCI_App PCI_DB SXP SXP LOB2_DB PCI_Users • SGACL на коммутаторах для применения политик внутри зон безопасности • SGFW (ASA) для применения политик между зонами безопасности
TrustSec + ACI
Управление групповыми политиками в рамках всего предприятия 65 Сквозная политика безопасности Упрощение управления защитой Сквозная сегментация Voice Employee Supplier BYOD Campus / Branch / Non-ACI DC TrustSec Policy Domain Voice VLAN Data VLAN Web App DB ACI Fabric Data Center APIC Policy Domain APIC DC ISE 2.1 Домен ACIДомен TrustSec
TrustSec и ACI 66 TrustSec ACI Идентификатор сегмента 16-bit Security Group Tag (SGT) 16-bit Endpoint Group (EPG) Классификация Динамическая и статическая Динамическая и статическая Распространение SGT-over-Ethernet (Inline tagging), SXP, LISP, pxGrid, IPSec VxLAN Реализация SG-ACL, SG-Firewall SG-based-PBR, SG-QoS Contracts: ACL, QoS, Redirect (Service chaining) Охват Вся сеть ЦОД Управление Cisco ISE Cisco APIC
Настройка интеграции с ACI в ISE 67 ACI Settings: • Controller • Credentials • Tenant name defined in ACI • L3 Routed Network defined in ACI
Группы TrustSec и ACI 68 ISE Dynamically provisions TrustSec Security Groups in ACI Fabric ACI TrustSec Группы безопасности Группы TrustSec представлены как внешние EPG APIC DC Максимум: 200 групп
Передача групп TrustSec в ACI 69
Передача групп TrustSec в ACI 70
Детальный контроль доступа 71 Data CenterCampus / Branch BYOD Employee Supplier APIC DC Shared Policy Groups Source Criteria Destination Criteria Servic e Action IP SGT IP SGT any Contractor any any Permit ASA- SGFW (outside the fabric) Outside Contract App Contract Contract App Web BYOD Employees Contract AppSupplier WEB_EPG192.168.1.0/24 192.168.2.0/24
Целостное управление политиками между ЦОД 72 Web Servers Middleware Servers Database Servers Storage Web Servers MiddlewareS ervers Database Servers Storage ✓ ✓ ✓ ✓ X ✓ ✓ ✓ X ✓ ✓ ✓ X ✓ X X TrustSec Group-Based Policies TrustSec Data CenterData CenterAPIC DC TrustSec-enabled data center ISE Router TrustSec Policy DomainProd server Dev server ACI policy domain ACI Data Center APIC DC Dev server Prod server Enterprise Network Guest endpoint Employee endpoint Developer endpoint Non Compliant endpoint 8
Информация о приложениях в политиках TrustSec 73 ISE «обучается» внутренним EPGs и VM от фабрики ACI ACI VM1 VM1000 Домен TrustSec TrustSec Фабрика ACI Политики TrustSec для контроля доступа к серверам ACI APIC DC
Информация об группах узлов ACI в TrustSec 74 • В имя группы добавляется суффикс EPG • Привязка IP-SGT из ACI может передаваться через SXP на устройства TrustSec и на узлы pxGrid
Сквозная сегментация на базе политик 75 User to App Contracts CDB Web Web App DB Voice Employee Supplier BYOD ЦОД Домен APIC Вся сеть Домен TrustSec Общие групповые политики APIC DC
Поддержка сторонних производителей
Open TrustSec 77 • SXP and Inline Tagging submitted to the IETF :- • ‘Source-Group Tag eXchange Protocol’ IETF Informational Draft https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/ • SGT can be carried in standards-track Network Services Header (NSH) • Allows for SGTs to be mapped to Source Class and Destination Class • https://tools.ietf.org/html/draft-guichard-sfc-nsh-dc-allocation-01
Open Source TrustSec 78 SXP is now included in the Open Daylight SDN Controller https://www.opendaylight.org/whats-new-lithium Allows other vendors to integrate at Controller level instead of network Open Source SXP implementation now available via Github https://github.com/opendaylight/sxp Allows other vendors to use to implement in their own products (e.g. we use this in ISE 2.0)
Check Point Software 79 CheckPoint получает информацию о метках SGT для различных групп через pxGrid (также как WSA и FTD). Web Security Appliance (WSA) Ecosystem Vendor products Firepower Threat Defense
Bayshore Networks 80 Internet Remote Access VPN Users Per User SGT assignment from ISE Assembly Zone Пример: разные индустриальные партнеры имеют доступ в разные зоны Bayshore IC™ (Industrial Controls) Gateway Press & Weld Zone Paint & Plastic Zone
Дизайн TrustSec Подходы
Дизайн TrustSec 82 Что защищаем и контролируем Примеры: Карточные данные, Медицинские данные, Интеллектуальная собственность Механизмы клссификации Примеры: Dynamic, IP-SGT, VLAN-SGT И т.п. Точки внедрения политик • Сегментация ЦОД • Доступ полльзователей Методы распространения • Inline Tagging • SXP • DM-VPN • GET-VPN • IPSec • И т.п.. Знание о сетевых узлах поможет подобрать нужные методы классификации и точки их внедрения Ваша инфраструктура поможет определить точки внедрения политик Понимание методов классификации и возможностей по внедрению подскажет выбор методов распространения
Итак! Внедряем эффективную сегментацию! 83 Обнаруживаем и классифицируем узлы: Классификация и назначение меток SGT с ISE Понимаем функционирование SGT в NetFlow Stealthwatch Внедрение политик: Применение на коммутаторах, точках доступа, маршрутизаторах, МСЭ, и т.п. Мониторинг: Обнаружение нарушений политик Stealthwatch Сетевая сегментация Разработка и моделирование политик SGT
И напоследок
Матрица поддержки функций TrustSec 85 http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/trustsec_matrix.html Поддерживаемые функции и версии ПО для всей линейки продуктов компании Cisco
Руководства
#CiscoConnectRu#CiscoConnectRu Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции © 2017 Cisco and/or its affiliates. All rights reserved. Контакты: Тел.: +7 495 9611410 www.cisco.com www.facebook.com/CiscoRu www.vk.com/cisco www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia
Свяжитесь с нами Тестируйте Составьте план внедрения Напишите нам на security-request@cisco.com или своему менеджеру Cisco для организации встречи для более глубокого обсуждения ваших задач и того, как мы можем их совместно решить Воспользуйтесь широким спектром возможностей по тестированию: • dCloud • Виртуальные версии всего ПО • Демо-оборудование • И не забудьте про Threat Awareness Service Мы поможем вам составить поэтапный план внедрения решений по кибербезопасности под ваши задачи Что сделать после семинара?

More Related Content

PDF
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Cisco Russia
 
PDF
Три облака для бизнеса
Cisco Russia
 
PDF
Защита и контроль приложений
Cisco Russia
 
PDF
Архитектура построения защищённых корпоративных сетей Cisco SAFE
Cisco Russia
 
PDF
Практика исследования защищенности российских компаний.
Cisco Russia
 
PDF
Как не ошибиться при выборе облачного провайдера?
Cisco Russia
 
PDF
Архитектура безопасности современных центров обработки данных
Cisco Russia
 
PDF
Как компания Cisco защищает сама себя
Cisco Russia
 
Кросс-доменная автоматизация (DC-WAN- Campus) - как собрать единую систему, и...
Cisco Russia
 
Три облака для бизнеса
Cisco Russia
 
Защита и контроль приложений
Cisco Russia
 
Архитектура построения защищённых корпоративных сетей Cisco SAFE
Cisco Russia
 
Практика исследования защищенности российских компаний.
Cisco Russia
 
Как не ошибиться при выборе облачного провайдера?
Cisco Russia
 
Архитектура безопасности современных центров обработки данных
Cisco Russia
 
Как компания Cisco защищает сама себя
Cisco Russia
 

What's hot (20)

PDF
Корпоративная мобильность и безопасность
Cisco Russia
 
PDF
Платформы безопасности очередного поколения
Cisco Russia
 
PDF
Cisco FirePower
Cisco Russia
 
PDF
Cisco Umbrella
Cisco Russia
 
PDF
Программируемость фабрики ACI. Объектная модель, REST API, ACI Python SDK
Cisco Russia
 
PDF
Тенденции рынка инфраструктуры ЦОД
Cisco Russia
 
PDF
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Альбина Минуллина
 
PDF
Системы хранения NetApp
Альбина Минуллина
 
PDF
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Cisco Russia
 
PDF
Cisco Catalyst 9000 series
Cisco Russia
 
PDF
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Russia
 
PDF
WorkspaceOne
Альбина Минуллина
 
PDF
Аналитика в ЦОД
Cisco Russia
 
PDF
Не бойтесь виртуализации АСУ ТП
Альбина Минуллина
 
PDF
Инновации Cisco для коммутации в корпоративных сетях
Cisco Russia
 
PDF
Контроль и мониторинг периметра сети
Cisco Russia
 
PDF
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
 
PDF
Безопасность сети. От точечных решений к целостной стратегии
Cisco Russia
 
PDF
NSX Security
Альбина Минуллина
 
PDF
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Cisco Russia
 
Корпоративная мобильность и безопасность
Cisco Russia
 
Платформы безопасности очередного поколения
Cisco Russia
 
Cisco FirePower
Cisco Russia
 
Cisco Umbrella
Cisco Russia
 
Программируемость фабрики ACI. Объектная модель, REST API, ACI Python SDK
Cisco Russia
 
Тенденции рынка инфраструктуры ЦОД
Cisco Russia
 
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Альбина Минуллина
 
Системы хранения NetApp
Альбина Минуллина
 
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Cisco Russia
 
Cisco Catalyst 9000 series
Cisco Russia
 
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Russia
 
WorkspaceOne
Альбина Минуллина
 
Аналитика в ЦОД
Cisco Russia
 
Не бойтесь виртуализации АСУ ТП
Альбина Минуллина
 
Инновации Cisco для коммутации в корпоративных сетях
Cisco Russia
 
Контроль и мониторинг периметра сети
Cisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
 
Безопасность сети. От точечных решений к целостной стратегии
Cisco Russia
 
NSX Security
Альбина Минуллина
 
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Cisco Russia
 
Ad

Similar to Сквозное управление доступом - от пользователя и дальше (20)

PDF
Безопасность и виртуализация в центрах обработки данных (часть 2)
Cisco Russia
 
PDF
Углубленное изучение Security Group Tags: Детальный обзор
Cisco Russia
 
PDF
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
Cisco Russia
 
PDF
Безопасность внутренней сети с помощью решений Cisco
Cisco Russia
 
PDF
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
Cisco Russia
 
PDF
Сеть как сенсор и как регулятор
Cisco Russia
 
PDF
Контроль доступа пользователей к ЛВС
Cisco Russia
 
PDF
Краткий обзор Cisco TrustSec
Cisco Russia
 
PPTX
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Expolink
 
PDF
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Cisco Russia
 
PDF
Варианты дизайна и лучшие практики создания безопасного ЦОД
Cisco Russia
 
PDF
Cisco ISE в управлении доступом к сети
Cisco Russia
 
PDF
TrustSec и Identity Services Engine
Cisco Russia
 
PDF
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Cisco Russia
 
PDF
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Cisco Russia
 
PDF
Обзор новой версии Cisco Identity Service Engine 2.0
Cisco Russia
 
PDF
Безопасность современного ЦОДа
Aleksey Lukatskiy
 
PDF
Архитектура Cisco SecureX в области информационной безопасности
Cisco Russia
 
PDF
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Cisco Russia
 
PPTX
Cisco: Архитектура защищенного ЦОДа
Expolink
 
Безопасность и виртуализация в центрах обработки данных (часть 2)
Cisco Russia
 
Углубленное изучение Security Group Tags: Детальный обзор
Cisco Russia
 
Архитектура безопасности CiscoTrustSec. Сценарии применения в ЛВС и распредел...
Cisco Russia
 
Безопасность внутренней сети с помощью решений Cisco
Cisco Russia
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
Cisco Russia
 
Сеть как сенсор и как регулятор
Cisco Russia
 
Контроль доступа пользователей к ЛВС
Cisco Russia
 
Краткий обзор Cisco TrustSec
Cisco Russia
 
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Expolink
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Cisco Russia
 
Варианты дизайна и лучшие практики создания безопасного ЦОД
Cisco Russia
 
Cisco ISE в управлении доступом к сети
Cisco Russia
 
TrustSec и Identity Services Engine
Cisco Russia
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Cisco Russia
 
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Cisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Cisco Russia
 
Безопасность современного ЦОДа
Aleksey Lukatskiy
 
Архитектура Cisco SecureX в области информационной безопасности
Cisco Russia
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Cisco Russia
 
Cisco: Архитектура защищенного ЦОДа
Expolink
 
Ad

More from Cisco Russia (20)

PDF
Service portfolio 18
Cisco Russia
 
PDF
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
 
PDF
Об оценке соответствия средств защиты информации
Cisco Russia
 
PDF
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
PDF
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
PDF
Cisco Catalyst 9500
Cisco Russia
 
PDF
Cisco Catalyst 9400
Cisco Russia
 
PDF
Cisco Endpoint Security for MSSPs
Cisco Russia
 
PDF
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
 
PDF
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 
PDF
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
 
PDF
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
 
PDF
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
 
PDF
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
 
PDF
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
 
PDF
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
 
PDF
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
 
PDF
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Cisco Russia
 
PDF
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Cisco Russia
 
PDF
Интуитивная сеть как платформа для надежного бизнеса
Cisco Russia
 
Service portfolio 18
Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
 
Об оценке соответствия средств защиты информации
Cisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
Cisco Catalyst 9500
Cisco Russia
 
Cisco Catalyst 9400
Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
 
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
 
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Cisco Russia
 
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Cisco Russia
 
Интуитивная сеть как платформа для надежного бизнеса
Cisco Russia
 

Сквозное управление доступом - от пользователя и дальше

  • 2. Сквозное управление доступом - от пользователя и дальше  Михаил Кадер Инженер © 2017 Cisco and/or its affiliates. All rights reserved.
  • 4. Головная боль ИТ Потеря контроля и контекста Сложность и фрагментированность Изменение ландшафта угроз Скорость развития технологий Новые требования бизнеса – очередные вопросы управления и безопасности 4 И новые проблемы Ошибки ручного администрирования Рост унифицированного персонала Рост операционных затрат Фрагментарная защита Нехватка времени Проблемы сетевой инфраструктуры и безопасности Изменения бизнеса и технологий Новые возможности, но … Приобретения и партнерство Облака Интернет вещей Цифровизация BYOD Глобализация Мобильность Скорость изменений Нормативные требованияСнижение стоимости
  • 5. Сегментация нужна, сегментация важна! 5 “Eataly’s network segmentation prevented a POS compromise at one store from compromising systems at the chain’s 26 other locations across the globe” “Network segmentation… is one of the most effective controls an agency can implement to mitigate the second stage of a network intrusion, propagation or lateral movement”“Effective network segmentation… reduces the extent to which an adversary can move across the network”
  • 6. TrustSec – упростим управление защитой! Масштабируемая и гибкая технологий сегментации, охватывающая более 40 серий продуктов компании Cisco и обеспечивающая динамическое ролевое управление доступом во всей сети 6 Deny Employee to FinancialServer Permit Developer to Developer Server Permit Guest to Web Permit Developer to Developer Server Сквозные политики Key Employee Tag Developer Tag Voice Tag Non-Compliant Tag SGACLs Сотрудник Серверы разработчиков Простота управления доступом Ускоренное администрирование Простота управления доступом Удобное управление политиками и обеспечение соответствия за счет предоставления доступа в зависимости от должностных обязанностей Ускоренное администрирование Более быстрое добавление и перемещение пользователей, упрощение настроек МСЭ при добавлении серверных ресурсов Интернет Серверы бухгалтерии Сквозные политики Централизованное управление сетевой сегментацией, вне зависимости от типа подключения Корпоративная сеть Гости Сотрудники Разработ- чики Не соответ- ствующие 8 Employee Info Tag Developer Server Tag Financial Server Tag HTTP Tag
  • 8. TrustSec как основа программно-управляемой сегментации 8 Узел Управление метками Управление политиками Security Group Tags Исполнение Исполнение Защита от угроз Распространение В канале передачи Классификация Статическая Идентификация Динамическая Сеть с поддержкой SGT Централизованное управление Программная сегментация Открытость Heterogeneous environment Внеполосное (SXP or pxGrid) Switch Router Firewall
  • 10. Управление групповыми метками безопасности Группы безопасности для определения ролей и политик 10 Printer 1 Printer 2 SGT_Guest SGT_Building Management SGT_Employee Guest 1 Guest 2 Guest 3 Guest 4 Employee 1 Employee 2 Employee 3 Employee 4 SGT_FinanceServer SGT_Printers Fin 1 Fin 2 Temperature Device 1 Temperature Device 2 Surveillance Device 1 Surveillance Device 2 50° 50° • Объединение в группы на основании требований бизнеса для обеспечения целостной политики доступа вне зависимости от сетевого подключения • Использование таких атрибутов, как местоположение и тип устройства для назначения в группу
  • 11. Гибкие методы классификации 11 Динамические механизмы Статические механизмы VPN V. Port Profile IP Address VLANsSubnets L3 Interface Port ACI (App- Centric) Пользователи и мобильные устройства Пользователи Внутренняя инфраструктура ИТ Внутренние ресурсы Внешние партнеры и т.п. Партнеры и т.п. СтатическиеДинамические SGT #1 SGT #2 SGT #3 SGT #4 Виртуалки Passive ID (Easy Connect) MAB, Profiling 802.1X. WebAuth pxGrid & REST APIs
  • 13. Как передать SGT? 13 В канале передачи • Ethernet • MACsec on Ethernet • IPSec • DMVPN • GETVPN • VXLAN Platform Exchange Grid (pxGrid) • Web Security Appliance (WSA) • Firepower Threat Defense • Партнерские продукты SGT eXchange Protocol (SXP) • Network Devices • ISE • IETF • Open Daylight
  • 14. В канале передачи 14 Branches Inline tagging Untagged ISE • Быстро и масштабируемо при наличии аппаратной поддержки • SGT передаются в канале данных на полной скорости канала • Пошаговая передача (2 = network devices sgt value) interface TenGigabitEthernet1/5/13 cts manual policy static sgt 2 trusted
  • 15. Внеполосная передача SGT 15 Через любую сеть IP Firepower NGFW SXP pxGrid SXP IP-SGT Bindings IP Address SGT SRC 10.1.100.98 50 Local ISE Ecosystem vendor products • Подписка на события TrustSec используя pxGrid • Информация о «связках» IP-SGT передается через pxGrid pxGrid • Не зависит от «железа» • Распространение от ISE или устройства доступа до любой точки контроля SXP www WSARouter 2 Router 1 Switch 1ANY network device ISE supports Generate IP-SGT mappings from ISE Send IP-SGT mappings to SXP & pxGrid peers
  • 17. Применение политик 17 Application Servers Database Servers FIB Lookup Destination MAC/Port SGT 30 Destination Classification App_Svr: SGT 20 DB_Svr: SGT 30 End user authenticated Employee: SGT 5 Destination Source App_Servers (20) DB_Servers (30) Employees (5)   BYOD (10)   Unknown (0)   10.1.100.100 SGT: 20 10.1.101.100 SGT: 30 SRC: 10.1.10.100 DST: 10.1.100.100 SGT: 5 5 SGFW SGACL
  • 18. ISE Egress Policy Matrix (SGACL) 18 permit tcp dst eq 6970 log permit tcp dst eq 6972 log permit tcp dst eq 3804 log permit tcp dst eq 8443 log permit tcp dst eq 8191 log permit tcp dst eq 5222 log permit tcp dst eq 37200 log permit tcp dst eq 443 log permit tcp dst eq 2748 log permit tcp dst eq 5060 log permit tcp dst eq 5061 log permit tcp dst range 30000 39999 log permit udp dst range 5070 6070 log deny ip log
  • 19. ISE 2.1 – промежуточные матрицы 19 • Контролируемое внедрение изменений • Этапность • Возможность возврата • Утверждение внесения изменений
  • 20. Множественные матрицы политик (ISE 2.2) Policy Applied to ALL Devices
  • 21. SGACL для масштабируемой сегментации 21 •Новый сетевой узел •Коммутатор запрашивает политики •Политики загружаются автоматически Dev_Server (SGT=10) Prod_Server (SGT=7) Dev_ServersProd_Servers Switches request policies for assets they protect SGT=3 SGT=4 SGT=5 Switches pull down only the policies they need • Итак: программно-управляемая сегментация • Централизация управления • Политики безопасности не зависят от сетевой топологии • Нет индивидуальной настройки политик на оборудовании • Единая точка для контроля политик доступа по всей сети
  • 23. Практически любые сценарии 23 Сегментация в ЦОД Сегментация сетей предприятия и офиса Контроль доступа пользователей к ресурсам ЦОД
  • 24. Доступ пользователя в ЦОД 24 Здание ЦОД с поддержкой TrustSec Головной офис Employee DeveloperVoice ISE Router Employee Non Compliant Employee Tag Developer Tag Guest Tag Non-Compliant Tag Guest Employee TS- enabled DC Remediation Internet Employee Developer Guest Non- Compliant ✓ X ✓ ✓ X X ✓ ✓ X X ✓ X Non CompliantEmployee Non Compliant SwitchSwitch • Ролевой контроль доступа • Автоматизацию и контроль BYOD • Сквозное соответствие требованиям ✓ ✓ ✓ ✓ Voice TrustSec обеспечивает: Политики в действии: Домен TrustSecProd server Dev server Домен ACI ACI Data Center Dev server Prod serverAPIC DC
  • 25. Сегментация сети предприятия и офиса 25 Employee Developer Data center Internet Employee Developer Building Mgmt Non- Compliant TrustSec обеспечивает: Router Employee Tag Developer Tag Building Mgmt Tag Non-Compliant Tag Switch Switch Здание Головной офис Удаленный офис ✓ X X ✓ X X X ✓ X X X X ✓ ✓ ✓ ✓ HQ Data Center Политики в действии: Switch Non Compliant Non Compliant Non Compliant DeveloperVoiceVoice Employee EmployeeEmployee Building Mgmt • Ролевой контроль доступа везде • Сквозное соответствие нормативным требованиям • Ограничение распространения атак
  • 26. Сегментация ЦОД 26 Database Servers Web Servers Storage Web Servers TrustSec обеспечивает: Политики в действии: Switch r Web Servers Middleware Servers Database Servers Storage Web Servers MiddlewareS ervers Database Servers Storage Middleware Servers ✓ ✓ ✓ ✓ X ✓ ✓ ✓ X ✓ ✓ ✓ X ✓ X X • Простота правил МСЭ • Соответствие нормативным требованиям • Зонирование серверов • Микро сегментацию • Сегментацию физических и виртуальных ресурсов
  • 28. Доступ пользователей и устройств в ЦОД 28 Основной сценарии внедрения TrustSec Почему Упрощение политик и переход на ролевой контроль доступа Снижение операционных затрат Внедрение на границе ЦОД Разработка Тестирование Соответствие Zones Production Commerce Development Compliance Mail App 1 App 2 App Portal DB Dev 1 Dev 2 Finance BI Data Storage VMS A VMS B Data Center Employee Auditor BYOD BYOD
  • 29. Централизованное управление классификацией в ISE 29 Передача «привязки» IP-SGT на устройство через SSH Передача «привязки» IP-SGT через SXP
  • 30. Основные методы классификации пользователей 30 Подсеть в SGT 4 • Легко начать • Аутентификация пользователей на нужна • Централизованное администрирование и управление Достоинства Corporate Voice Guest Employee Guests Corporate Voice Guest Employee Guests (Любое устройство, поддерживаемое ISE) ISE SXP SSH (Поддержка TrustSec) IP Address SGT 10.1.10.0/24 Employee 10.2.10.0/24 Guest
  • 31. Подсеть в SGT 31 Устройство доступа с поддержкой TrustSec access# show cts role-based sgt-map all Active IPv4-SGT Bindings Information IP Address SGT Source ======================================= ===== 10.1.10.0/24 4 CLI 11.2.20.0/24 6 CLI access# show cts environment-data Security Group Name Table: 0001-19 : 0-00:Unknown 2-00:TrustSec_Devices 3-00:Network_Services 4-00:Employees 5-00:Contractors 6-00:Guests… Corporate Voice Guest Employee Guests SSH IP Address SGT 10.1.10.0/24 Employee 10.2.10.0/24 Guest
  • 32. Классификация пользователей 32 Устройства доступа не поддерживают SGTs ISE SXP IP Address SGT 10.1.10.1 Auditor • Не зависит от «железа» • Динамическое назначение SGT • Прямая передача «привязки IP-SGT» на устройство контроля Достоинства
  • 33. Настройка ISE SXP 33 Routers Firewall Switches SXP ISE • Создание привязки IP-SGT на ISE • Создание привязки основе классификации по протоколу RADIUS • Привязка IP-SGT может создаваться сторонними решениями
  • 34. Классификация пользователей 34 Устройства с поддержкой TrustSec ISE • Широкая поддержка методов аутентификации - 802.1x, Web Auth, MAB, Easy Connect • Точность применения • Возможность прямого назначения SGT • Масштабируемость Достоинства
  • 35. Динамическое назначение SGT в профиле авторизации
  • 36. Динамическая классификация с 802.1X 36 Layer 2 Клиент Устройство ISE Layer 3 EAP Transaction Authorisation DHCP EAPoL Transaction RADIUS Transaction Authentication Authorized 0 Policy Evaluation DHCP Lease: 10.1.10.100/24 ARP Probe IP Device Tracking Authorised MAC: 00:00:00:AB:CD:EF SGT = 5 Binding: 00:00:00:AB:CD:EF = 10.1.10.100/24 1 2 3 SRC: 10.1.10.100 = SGT 5 00:00:00:AB:CD:EF cisco-av-pair=cts:security-group-tag=0005-01 3560X#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ============================================= 10.1.10.1 3:TrustSec_Devicea INTERNAL 10.1.10.100 5:Employee LOCAL SGT For Your Reference For Your Reference
  • 37. Использование Easy Connect 37 (Любой с поддержкой ISE) ISE MSFT Active Directory Network User Mapping from AD (Auditors Group) Auditor AuditorDHCP DNS NTP AD DOMAINbob No 802.1X 1 2 3 MAB • Без клиента • Любой коммутатор Достоинства • ISE 2.1 • Active Directory Условия
  • 38. Классификация серверов 38 Nexus 1000v DC Dist/Access Database Servers Web Servers • Nexus 1000v – привязка SGT к Port Profile или IP • Nexus 7000 – привязка SGT к VLAN или IP • Nexus 6000/5600/5500 – привязка SGT к порту
  • 39. interface Ethernet1/20 cts manual policy static sgt <value> no propagate sgt Примеры статической привязки cts role-based sgt-map A.B.C.D sgt value cts role-based sgt-map A.B.C.D/nn sgt SGT_value Subnet to SGT Mapping Port to SGT Mapping cts role-based sgt-map vlan-list VLAN sgt SGT_value VLAN to SGT Mapping Necessary command on a host facing port IP to SGT Mapping 39
  • 40. Групповые политики 40 Source Destination Action IP Sec Group IP Sec Group Service Action Any Employee Any Biz Servers HTTP Allow Any Partner-A Any Dev Apps HTTPS Allow Any Supplier-B Any Any TCP Deny Any Any Any Any Any Deny SGACL: SGFW:Destination Source App_Servers CC_Servers Employees (5)   BYOD (10)   POS Systems  
  • 42. TrustSec как средство соответствия PCI 42 Используя сегментацию TrustSec можно обеспечить выполнение ряда требований стандарта PCI (Payment Card Industry). Обеспечить сегментацию для узлов категорий 1 и категорий 2: Отделить терминалы оплаты и считыватели пластиковых карт от остальных сетевых устройств. Ограничить доступ к серверам доступа “jump servers”, которые имеют доступ к карточным серверам (CDE - Cardholder Data Environment). МСЭ на основании групп безопасности защищает ресурсы ЦОД, обрабатывающие платежные транзакции. Снижение необходимости применять МСЭ и VRF-ы для защиты CDE. Возможность классифицировать, изолировать и управлять доступом системных администраторов, устройств доступа (jump boxes), серверов, систем обработки финансовых и платежных транзакций Централизованное управление политиками Четкое разделение границ между зонами и отделение от других сегментов, не имеющих отношения к обработке платежной информации
  • 43. ASA Firewall Policy TrustSec для PCI 43 POS Store ABC Backbone Floor 1 SW Floor 2 SW Cardholder Data Environment DC FW POS PCI Server ISE Jump Servers OS Type: Windows 8 User: John AD Group: Floor Staff Device Group: Nurse Workstation Security Group = Employee OS Type: Windows 7 Embedded User: George AD Group: Point-of-Sales Admin Device Group: POS_Term Security Group = PCI Device Access Privilege Authorization with Security Group PCI Scope Stealthwatch Flow Analytics • Ограничение доступа к данным владельцев карт через МСЭ SGT (SGFW) • Отделение сегмента платежных терминалов от других устройств за счет фильтров по SGT на коммутаторах (SGACL). • Использование Stealthwatch для контроля сегментации. Employee Workstation Static Mapping Switch SGACL
  • 44. Контроль доступа к Jump серверам 44 POS Floor 1 SW Floor 2 SW Cardholder Data Environment DC FW PCI Admin PCI Server ISE Jump Servers Employee Workstation OS Type: Windows 10 User: John AD Group: Floor Staff Device Group: Nurse Workstation Security Group = Employee OS Type: Windows 10 User: Admin AD Group: PCI Administrators Device Group: Admin Workstation Security Group = PCI_Admin Access Privilege Authorization with Security Group PCI Scope ASA Firewall Policy Stealthwatch Flow Analytics • Только Jump серверы имеют доступ в серверам PCI. • Только администраторы PCI и аудиторы имеют доступ к Jump серверам. • Администраторы PCI изолированы от других сотрудников. OS Type: XenDesktop User: Admin AD Group: PCI Administrators Device Group: PCI Jump Server Security Group = PCI_Jump Store ABC Backbone Static Mapping
  • 45. Контроль доступа к общим серверам 45 • Сотрудникам нужен доступ к общим серверам, таким как DNS, и он также нужен серверам CDE. • Общие серверы отделены в отдельные сегменты от серверов CDE и доступ к ним идет через SGFW. • Также доступ к общим серверам может быть внедрен на уровне коммутаторов, если надо, используя SGACL. Cardholder Data Environment DC FW PCI Server Jump Servers AD DHCP DNS Shared Services Employee Workstation ASA Firewall Policy ISE Access Privilege Authorization with Security Group Static Mapping OS Type: Windows 10 User: John AD Group: Floor Staff Device Group: Nurse Workstation Security Group = Employee OS Type: Server 2012 Security Group = Shared_Services
  • 46. Анализ применения TrustSec для сегментации PCI 46 http://bit.ly/pci-trustsec-report
  • 47. Контроль доступа между пользователями
  • 48. Обычная сегментация 48 Voice ЦОД Магистраль VLAN Addressing DHCP Scope Redundancy Routing Static ACL ACLs Non Compliant Supplier Employee Voice Non Compliant Supplier EmployeeVoice Non Compliant Supplier Employee • Политики доступа на основе сетевой топологии • Высокая стоимость и сложность внесения изменений
  • 49. Сегментация с TrustSec 49 Supplier Employee Non Compliant • Сегментация базируется на SGT, и не зависит от топологии (VLAN, IP подсети) • Микросегментация (разделение устройств даже внутри одного VLAN) Destination Source Suppliers (100) Employees (105) Non Compliant (110) Suppliers (100) Permit all Deny all Deny all Employees (105) Deny all SGACL-1 Deny all Non Compliant (110) Deny all Deny all Deny all
  • 50. Сегментации в сети зданий и филиалов 50 LoB1 Production Users LoB1 Developers Protected Assets Guests Internet Access LoB1 Production Users Malware Blocking DENY PERMITDENY PERMIT Collab Apps LoB1 Developers Source PERMIT Collab Apps DENY PERMITDENY Malware Blocking DENY DENY DENY PERMIT Malware Blocking DENY PERMITDENYDENYDENY LoB = Line of Business Policy View Malware Blocking ACL Deny tcp dst eq 445 log Deny tcp dst range 137 139 log Permit all LoB2 Employees LoB2 Employees Guest MSFT Active Directory Database Servers Web Servers Classification Enforcement Logical View
  • 52. Программно-управляемая сегментация на маршрутизаторах 52 Destination Source BYOD (4) Employees (5) Employees (5) Intra_Jabb er_Sig Anti_Malw are Intra_Jabb er_Sig Anti_Malwa re BYOD (4) Intra_Jabb er_Sig Anti_Malw are Intra_Jabb er_Sig Anti_Malwa re www WSA FTD Stealthwatch • Версия ПО: 16.3.2 • Устройства: • ASR1006,ASR1004, ASR1009-X, ASR1006-X, ASR1001-X, ASR-1002-X, ASR-1002-HX • ISR4300, ISR4400 • CSR-1000v Достоинства • Сквозная поддержка TrustSec на маршрутизаторах и коммутаторах • Получение политик от ISE (применение после ZBFW) • Централизация политик для всех точек распределенной сети • Сегментация между филиалами
  • 53. Масштабируемая сквозная сегментация 53 Branch 2 Campus Employee Destination Source BYOD (4) Employees (5) Employees (5) Intra_Jabb er_Sig Anti_Malw are Intra_Jabb er_Sig Anti_Malwa re BYOD (4) Intra_Jabb er_Sig Anti_Malw are Intra_Jabb er_Sig Anti_Malwa re Non-TrustSec capable switch Non CompliantBYODEmployee Building MgmtQuarantine Branch 1 Non CompliantBYODEmployee Building Mgmt
  • 55. Понимание атаки 55 enterprise network Attacker Perimeter (Inbound) Perimeter (Outbound) Research targets (SNS) 1 C2 Server Spear Phishing ([email protected]) 2 http://welcome.to.jangle.com/exploit.php Victim clicks link unwittingly3 Bot installed, back door established and receives commands from C2 server 4 Scan LAN for vulnerable hosts to exploit & retain alternative back door + find privileged users 5 Privileged account found. Occupy directory service. Access to database backup, then copy them to staging server 6 Admin Node Zip data, slice it to multiple files, and send those out to external site over HTTPS 7 System compromised and data breached. Retain backdoor to collect more targeted data, otherwise erase all traces or wipe whole disk (e.g. Shamoon malware) 8 Lateral Movement (Scanning, Pivoting, Privilege Escalation, Brute Force, etc.)
  • 56. Как защититься после взлома? 56 enterprise network Attacker Perimeter (Inbound) Perimeter (Outbound) Research targets (SNS) 1 C2Server Spear Phishing ([email protected]) 2 Victim clicks link unwittingly3 Bot installed, back door established and receives commands from C2 server 4 TrustSec to block P2P scanning, OS Finger printing activity, and exploitation. 5 Admin NodeИспользуем инфраструктуру для уменьшения зоны атаки
  • 57. Cat 3850 User to User Policy Enforcement: Wired: Cat3750-X & Cat3560-X (IP-Base), Cat4500 Sup7E , Cat3850 Wireless: Catalyst 3650, Catalyst 3850 and WLC 5760 Защита от ВПО 57 Endpoint A Exploits by sending payload2 Segment A 1.1.1.101 1.1.1.102 DHCP DHCP Endpoint B 802.1X Name MAC Address SGT IP Address Endpoint A 00:00:00:00:00:0a 7 1.1.1.101 Endpoint B 00:00:00:00:00:0b 7 1.1.1.102 SGT can be assigned via RADIUS attributes in 802.1X Authorization OR statically assign to VLAN Cisco’s IP Device Tracking probes endpoint IP Address and binds it to SGT 1 Scan for open ports / OS SG-ACL Egress Policy SRC DST 7 7 Anti-Malware-ACL Anti-Malware-ACL deny icmp deny udp src dst eq domain deny tcp src dst eq 3389 deny tcp src dst eq 1433 deny tcp src dst eq 1521 deny tcp src dst eq 445 deny tcp src dst eq 137 deny tcp src dst eq 138 deny tcp src dst eq 139 deny udp src dst eq snmp deny tcp src dst eq telnet deny tcp src dst eq www deny tcp src dst eq 443 deny tcp src dst eq 22 deny tcp src dst eq pop3 deny tcp src dst eq 123 deny tcp match-all -ack +fin -psh -rst -syn -urg deny tcp match-all +fin +psh +urg permit tcp match-any +ack +syn SG-ACL for SGT 7 is applied statically on switch or dynamically downloaded from ISE. Filtering open port / OS fingerprint scanning prevents attacker to guess Application / OS specific vulnerabilities SG-ACL stops unnecessary P2P communication, including one used for exploitation Distribution SW Attacker seeks other victims3
  • 59. Классический контроль доступа и сегментация в ЦОД 59 • Разрозненные методы управления правилами • Внедрение политик доступа в множестве мест • Множественные изменения конфигурации при добавлении новых ресурсов N2K N1Kv N7K-A N7K-B N5K-A Firewall Firewall N5K-B vSwitch Core 1. МСЭ Вход/выход Между группами серверов 2. Фильтры IP-Based Access Control Lists Server VLANs Private VLANs Possibly VRFs Зависят от топологии!
  • 60. TrustSec для сегментации и контроля доступа в ЦОД 60 • Общие объекты для МСЭ и фильтров • Сквозное управление • Централизация и автоматизация управления фильтрами • Масштабируемость N2K N1Kv N7K-A N7K-B N5K-A Firewall Firewall N5K-B vSwitch Core 1. Security Group Firewall 2. Security Group ACLs Политики фильтрации по SGT и адресам IP Сегментация в виде простой матрицы доступа Применяется ко всем коммутаторам Nexus – масштабируемо и просто
  • 61. Зоны безопасности 61 VLAN 100 Risk Level 1 ISE• VLAN-ы часто соответствуют зонам безопасности • Во многих случаях между разными зонами применяются фильтры • Применение фильтров SGACL снижают использование TCAM • Переход от обычных фильтров ACL на SGACL дает экономию от 60% to 88% • Другой трафик может продолжать контролироваться МСЭ • VPC и Fabric Path поддерживаются с версии 7.2 Campus Network PCI_Web PCI_App LOB_App LOB_App N7K-DST1(config)# vlan 100 N7K-DST1(config-vlan)# cts role-based sgt 100 N7K-DST1# show cts role-based sgt-map IP ADDRESS SGT VRF/VLAN SGT CONFIGURATION 10.1.200.10 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration 10.1.200.77 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration 10.1.100.26 2000(PCI_Servers) vrf:1 CLI Configured 10.1.200.77 1000(Production_Servers)vrf:1 CLI Configured VLAN 200 Risk Level 1
  • 62. Внедрение на Nexus 1000V 62 VMVM VM VM Nexus 1000V VEM Server VMVM VM VM Nexus 1000V VEM Hypervisor TOR filters traffic based on SG-ACLs Nexus 1000V VSM SXP for Firewall SXP comes from VSM (not VEM) TOR filters traffic based on SGACLs N1000V: Assigns SGT based on Port-profile Assignments VEM filters traffic based on SG-ACLs PCI ISE PCI Hypervisor Server PCI Inline Tagging on VEM Uplinks TrustSec Policy from ISE N1000v 5.2(1)SV3(1.1) - inline tagging and SGACL Enforcement
  • 63. Комбинированное применение SGACL и SGFW 63 Risk Level 1 ISE Risk Level 2 PCI_Web PCI_App PCI_DB SXP SXP LOB2_DB PCI_Users • SGACL на коммутаторах для применения политик внутри зон безопасности • SGFW (ASA) для применения политик между зонами безопасности
  • 65. Управление групповыми политиками в рамках всего предприятия 65 Сквозная политика безопасности Упрощение управления защитой Сквозная сегментация Voice Employee Supplier BYOD Campus / Branch / Non-ACI DC TrustSec Policy Domain Voice VLAN Data VLAN Web App DB ACI Fabric Data Center APIC Policy Domain APIC DC ISE 2.1 Домен ACIДомен TrustSec
  • 66. TrustSec и ACI 66 TrustSec ACI Идентификатор сегмента 16-bit Security Group Tag (SGT) 16-bit Endpoint Group (EPG) Классификация Динамическая и статическая Динамическая и статическая Распространение SGT-over-Ethernet (Inline tagging), SXP, LISP, pxGrid, IPSec VxLAN Реализация SG-ACL, SG-Firewall SG-based-PBR, SG-QoS Contracts: ACL, QoS, Redirect (Service chaining) Охват Вся сеть ЦОД Управление Cisco ISE Cisco APIC
  • 67. Настройка интеграции с ACI в ISE 67 ACI Settings: • Controller • Credentials • Tenant name defined in ACI • L3 Routed Network defined in ACI
  • 68. Группы TrustSec и ACI 68 ISE Dynamically provisions TrustSec Security Groups in ACI Fabric ACI TrustSec Группы безопасности Группы TrustSec представлены как внешние EPG APIC DC Максимум: 200 групп
  • 71. Детальный контроль доступа 71 Data CenterCampus / Branch BYOD Employee Supplier APIC DC Shared Policy Groups Source Criteria Destination Criteria Servic e Action IP SGT IP SGT any Contractor any any Permit ASA- SGFW (outside the fabric) Outside Contract App Contract Contract App Web BYOD Employees Contract AppSupplier WEB_EPG192.168.1.0/24 192.168.2.0/24
  • 72. Целостное управление политиками между ЦОД 72 Web Servers Middleware Servers Database Servers Storage Web Servers MiddlewareS ervers Database Servers Storage ✓ ✓ ✓ ✓ X ✓ ✓ ✓ X ✓ ✓ ✓ X ✓ X X TrustSec Group-Based Policies TrustSec Data CenterData CenterAPIC DC TrustSec-enabled data center ISE Router TrustSec Policy DomainProd server Dev server ACI policy domain ACI Data Center APIC DC Dev server Prod server Enterprise Network Guest endpoint Employee endpoint Developer endpoint Non Compliant endpoint 8
  • 73. Информация о приложениях в политиках TrustSec 73 ISE «обучается» внутренним EPGs и VM от фабрики ACI ACI VM1 VM1000 Домен TrustSec TrustSec Фабрика ACI Политики TrustSec для контроля доступа к серверам ACI APIC DC
  • 74. Информация об группах узлов ACI в TrustSec 74 • В имя группы добавляется суффикс EPG • Привязка IP-SGT из ACI может передаваться через SXP на устройства TrustSec и на узлы pxGrid
  • 75. Сквозная сегментация на базе политик 75 User to App Contracts CDB Web Web App DB Voice Employee Supplier BYOD ЦОД Домен APIC Вся сеть Домен TrustSec Общие групповые политики APIC DC
  • 77. Open TrustSec 77 • SXP and Inline Tagging submitted to the IETF :- • ‘Source-Group Tag eXchange Protocol’ IETF Informational Draft https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/ • SGT can be carried in standards-track Network Services Header (NSH) • Allows for SGTs to be mapped to Source Class and Destination Class • https://tools.ietf.org/html/draft-guichard-sfc-nsh-dc-allocation-01
  • 78. Open Source TrustSec 78 SXP is now included in the Open Daylight SDN Controller https://www.opendaylight.org/whats-new-lithium Allows other vendors to integrate at Controller level instead of network Open Source SXP implementation now available via Github https://github.com/opendaylight/sxp Allows other vendors to use to implement in their own products (e.g. we use this in ISE 2.0)
  • 79. Check Point Software 79 CheckPoint получает информацию о метках SGT для различных групп через pxGrid (также как WSA и FTD). Web Security Appliance (WSA) Ecosystem Vendor products Firepower Threat Defense
  • 80. Bayshore Networks 80 Internet Remote Access VPN Users Per User SGT assignment from ISE Assembly Zone Пример: разные индустриальные партнеры имеют доступ в разные зоны Bayshore IC™ (Industrial Controls) Gateway Press & Weld Zone Paint & Plastic Zone
  • 82. Дизайн TrustSec 82 Что защищаем и контролируем Примеры: Карточные данные, Медицинские данные, Интеллектуальная собственность Механизмы клссификации Примеры: Dynamic, IP-SGT, VLAN-SGT И т.п. Точки внедрения политик • Сегментация ЦОД • Доступ полльзователей Методы распространения • Inline Tagging • SXP • DM-VPN • GET-VPN • IPSec • И т.п.. Знание о сетевых узлах поможет подобрать нужные методы классификации и точки их внедрения Ваша инфраструктура поможет определить точки внедрения политик Понимание методов классификации и возможностей по внедрению подскажет выбор методов распространения
  • 83. Итак! Внедряем эффективную сегментацию! 83 Обнаруживаем и классифицируем узлы: Классификация и назначение меток SGT с ISE Понимаем функционирование SGT в NetFlow Stealthwatch Внедрение политик: Применение на коммутаторах, точках доступа, маршрутизаторах, МСЭ, и т.п. Мониторинг: Обнаружение нарушений политик Stealthwatch Сетевая сегментация Разработка и моделирование политик SGT
  • 85. Матрица поддержки функций TrustSec 85 http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/trustsec_matrix.html Поддерживаемые функции и версии ПО для всей линейки продуктов компании Cisco
  • 87. #CiscoConnectRu#CiscoConnectRu Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции © 2017 Cisco and/or its affiliates. All rights reserved. Контакты: Тел.: +7 495 9611410 www.cisco.com www.facebook.com/CiscoRu www.vk.com/cisco www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia
  • 88. Свяжитесь с нами Тестируйте Составьте план внедрения Напишите нам на [email protected] или своему менеджеру Cisco для организации встречи для более глубокого обсуждения ваших задач и того, как мы можем их совместно решить Воспользуйтесь широким спектром возможностей по тестированию: • dCloud • Виртуальные версии всего ПО • Демо-оборудование • И не забудьте про Threat Awareness Service Мы поможем вам составить поэтапный план внедрения решений по кибербезопасности под ваши задачи Что сделать после семинара?