Архитектура cisco securex в области информационной...
TRANSCRIPT
© 2011 Cisco and/or its affiliates. All rights reserved. 1
Архитектура Cisco SecureX в области информационной безопасности
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 2
СЕТЬ MOBILITY MOBILITY
COLLABORATION COLLABORATION
CLOUD
НОВАЯ КАРТИНА УГРОЗ
СНИЖЕНИЕ КОНТРОЛЯ
© 2011 Cisco and/or its affiliates. All rights reserved. 3
• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака
• Концентрация на местах сосредоточения трафика / данных
© 2011 Cisco and/or its affiliates. All rights reserved. 4 Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 4
Любое устройство к любому облаку
ЧАСТНОЕ ОБЛАКО
ОБЩЕ-ДОСТУПНОЕ
ОБЛАКО
ГИБРИДНОЕ ОБЛАКО
© 2011 Cisco and/or its affiliates. All rights reserved. 5
Шпионаж Разрушение Манипуляция
Script
Kiddies
Группы
хактивистов
Организованная
преступность
Спец
службы
© 2011 Cisco and/or its affiliates. All rights reserved. 6
Расширенная контактная
зона
Расширенные постоянные
угрозы Cyberware
Шпионские программы и руткиты Черви
Антивирус
(на базе
серверов)
IDS/IPS
(периметр сети)
Репутация
(глобальная)
и использование
"песочницы"
Интеллектуальные
ресурсы и
аналитика (облако)
Реакция
предприятия
2010 2000 2005 Завтра
Ландшафт угроз эволюционирует
© 2011 Cisco and/or its affiliates. All rights reserved. 7
© 2011 Cisco and/or its affiliates. All rights reserved. 8
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросов Источники всех данных
Контроль всех потоков
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
© 2011 Cisco and/or its affiliates. All rights reserved. 9
Интегрированная
архитектура ИБ
Локальный и
глобальный анализ
угроз
Общие политика
&
Управление
Сеть,
реализующая
политику
Многофункциона-
льное устройство
Анализ угроз
Политика &
Управление
Hardware
Сеть
Одноцелевое
устройство
Network
Security
Content
Security
Ана-
лиз
угроз
Policy
&
Mgmt
HW
Ана-
лиз
угроз
Policy
&
Mgmt
HW
Сеть
Эта архитектура обеспечивает:
• Понимание контекста
• Всесторонний обзор
• Масштабируемый контроль
• Динамическая адаптация к новым угрозам
• Защита данных и приложений
© 2011 Cisco and/or its affiliates. All rights reserved. 10
Архитектурный подход для…
Профессиональные сервисы, Соответствие, CVD
Cisco Intelligent Network
Общие политика и управление
Глобальный и локальный анализ угроз
Облако
Защита перехода к
виртуализации и облакам
BYOD
Защищенный доступ для
распределенного рабочего
места
Коммутаторы Устройства Wi-Fi Виртуалка Маршрутизаторы Частное облако
Интегрированная защита от угроз
Email МСЭ Web VPN Политика IPS
Сеть, реализующая политику
Взаимодействие
Защищенные приложения,
контент и трафик
© 2011 Cisco and/or its affiliates. All rights reserved. 11
Управление Общие политики безопасности и управление безопасностью
API управления безопасностью
API Cisco ONE
API платформы API интеллектуальных
ресурсов облака
Координация
Физическое устройство Виртуальные Облако
Уровень
элементов
инфраструктуры
Платформа
сервисов
безопасности
Безопасность
Услуги и
Приложения
API устройства – OnePK, OpenFlow, CLI
Сетевые операционные системы Cisco (предприятие, центр обработки данных, оператор связи)
Уровень данных ASIC Уровень данных ПО Маршрутизация – коммутация – вычисление
Управление доступом
Учет контекста
Анализ контекста
Прозрачность приложений
Предотвращение угроз
Приложения Cisco в сфере безопасности Сторонние приложения
API API
© 2011 Cisco and/or its affiliates. All rights reserved. 12
ОБЩИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
Маршрутизаторы и коммутаторы Cisco
Общедоступное и частное облако
ВЕРТИКАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
ГОРИЗОНТАЛЬНОЕ
МАСШТАБИРОВАНИЕ
Устройства обеспечения
безопасности
Виртуализированное устройство автоматическое масштабирование | многопользовательская среда
Устройство обеспечения безопасности, действующее как программируемый сетевой контроллер
© 2011 Cisco and/or its affiliates. All rights reserved. 13
Всесторонний обзор и масштабируемый контроль
Глобальный и локальный анализ угроз
Общие политика и управление
Инф
орм
ац
ия
Реал
иза
ци
я
Behavioral Analysis
Encryption Identity Awareness
Device Visibility Policy Enforcement
Access Control
Threat Defense
Sees All Traffic
Routes All Requests Sources All Data
Controls All Flows
Handles All Devices
Touches All Users Shapes All Streams
Сеть, реализующая политику
© 2011 Cisco and/or its affiliates. All rights reserved. 14
Сеть и безопасность: синергия обеспечивает эффективность
Кластеризация сервиса центра
обработки данных обеспечивает
непревзойденные возможности
масштабирования
Автоматическая сетевая
переадресация
Единообразное, комплексное обеспечение безопасности
Реализация политик
Мобильность и использование BYOD:
ускорение / обеспечение возможности
реализации
Ускорение обработки
больших наборов данных
Обнаружение угроз
Безопасность
Сеть
Реализация
масштабирования
Ускорение
обнаружения
Агрегация
уникального
контекста
© 2011 Cisco and/or its affiliates. All rights reserved. 15
Device
Location
Access Method
Hygiene
Reputation
Direction
Telemetry
Trustworthiness
© 2011 Cisco and/or its affiliates. All rights reserved. 16
C I2 I4 A
ЛОКАЛЬНО
Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО
Ситуационный
анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-
действия
APP Приложения
URL Сайты
© 2011 Cisco and/or its affiliates. All rights reserved. 17
Динамический контекст Абстрагированная политика
Бизнес-политика
Ресурсы и требования
X
Распределенное
применение
Пользователи и
устройства
Распределенный
движок политик
© 2011 Cisco and/or its affiliates. All rights reserved. 18
Cisco Identity Services Engine (ISE) унифицированное управление контекстом и сетью
Преимущества унифицированного управления контекстом
Более глубокое понимание вопросов, связанных с сетью и с безопасностью
Более детальное управление BYOD и чувствительными пользователями/группами
Выявление важных сетевых событий и событий безопасности и создание условий для их использования
Унификация пакетов политик
Кто | Что | Где | Когда | Как
Инфраструктура
ИТ
Cisco ISE
Политики
Совместное
использование
контекста
Выполнение
сетевых
действий
Сеть Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. 19
Новый уровень интеграции Cisco ISE и SIEM
• Уточнение, на каких событиях в сфере безопасности требуется
сосредоточиться
• Анализ безопасности на базе устройства, пользователя и группы позволяет
SIEM/TD тщательно проверить определенные среды, например, BYOD или
группы пользователей высокого риска
• Обеспечение эффективности событий в сфере безопасности в сети
Сетевой карантин для
пользователей и
устройств с помощью ISE
SIEM & CTD ПРИНИМАЮТ МЕРЫ
Идентификация, тип устройства, оценка состояния,
уровень авторизации, местоположение
CISCO ISE ПРЕДОСТАВЛЯЕТ КОНТЕКСТ
Преимущества
© 2011 Cisco and/or its affiliates. All rights reserved. 20
Единый
инструментарий
Привязка
пользователя
к событию
Журналы
AAA
Привязка
пользователя к
авторизации
IAM
Проверка состояния
оконечного устройства
NAC
Где оно
находится
в сети?
??
Что это
за устройство?
??
Как можно
нейтрализовать
угрозу?
??
SIEM & и партнеры по защите от угроз CISCO ISE
ISE + SIEM: Интеграция защиты от угроз в действии
Помещение устройства-
нарушителя в карантин
Предоставление точного контекста
в отношении пользователей и устройств
в реальном времени
ISE предоставляет SIEM
идентификационные данные и сведения
об устройстве для совершенствования
обнаружения угроз
Обнаружение Защита Устранение
ПОТЕНЦИАЛЬНОЕ НАРУШЕНИЕ
© 2011 Cisco and/or its affiliates. All rights reserved. 21
Обзор Контроль
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 Cisco SIO
1.6M ГЛОБАЛЬНЫХ СЕНСОРОВ
75TB ДАННЫХ ЕЖЕДНЕВНО
150M+ УСТАНОВЛЕННЫХ ENDPOINT
35% МИРОВОГО EMAIL ТРАФИКА
13B WEB-ЗАПРОСОВ
WWW
Email Web Устройства
IPS Endpoints Сети
24x7x365 ОПЕРАЦИИ
40+ ЯЗЫКОВ
600+ ИНЖЕНЕРОВ И ИССЛЕДОВАТЕЛЕЙ
80+ PH.D.S, CCIE, CISSP, MSCE
$100M+ ТРАТИТСЯ НА ИССЛЕДОВАНИЯ И
РАЗРАБОТКИ
От 3 до 5 МИНУТ ИНТЕРВАЛ МЕЖДУ
ОБНОВЛЕНИЯМИ
5,500+ IPS СИГНАТУР ВЫПУЩЕНО
8M+ ПРАВИЛ В ДЕНЬ
200+ ПАРАМЕТРОВ ОТСЛЕЖИВАЕТСЯ
70+ ПУБЛИКАЦИЙ ВЫПУЩЕНО
Облачный глобальный анализ угроз
Инф
орм
ац
ия
Дей
ств
ия
WWW
ESA ASA WSA
AnyConnect CWS IPS
© 2011 Cisco and/or its affiliates. All rights reserved. 22
Учет угроз Вредоносное ПО,
расширенные постоянные
угрозы
Возможности интегрированной платформы в сфере защиты, обнаружения и устранения
Управление
доступом Инфраструктура
Учет контекста Приложения
Учет контекста Идентификация,
данные, устройство
ПОВСЕМЕСТНЫЕ ОРИЕНТИРОВАННЫЕ НА ПЕРИМЕТР
СИ
СТ
ЕМ
А
УС
ТР
ОЙ
СТ
ВО
© 2011 Cisco and/or its affiliates. All rights reserved. 23
Защищенный
унифицирован-
ный доступ
Интегрирован-
ная защита от
угроз
Защищенный
центр
обработки
данных
Использование
разрешенных
приложений &
контента
Распределенное
рабочее место &
BYOD
Расширенный
периметр & новые
угрозы
Применение новых
средств
взаимодействия
Переход к
виртуализации &
облакам
• Защищенная динамическая сегментация
• Встроенная защита от угроз
• Обзор через «физику», виртуалку и
облака
• Гибкие идентификация и контроль
приложений
• Внедрение в облаке и в локальной
инфраструктуре
• Federated identity (SAML)
• Гибкие опции внедрения
• Учет состояния / политики
• Понимание глобального /
локального контекста
• Идентификация всех устройств
• Контекстный доступ
• Унифицированный wired/wireless/VPN
доступ
© 2011 Cisco and/or its affiliates. All rights reserved. 24
Защищенный
унифицирован-
ный доступ
Интегрирован-
ная защита от
угроз
Защищенны
й центр
обработки
данных
Использование
разрешенных
приложений &
контента
Распределенное
рабочее место &
BYOD
Расширенный
периметр & новые
угрозы
Применение новых
средств
взаимодействия
Переход к
виртуализации &
облакам
ASA-X CWS ISE AnyConnect
WWW
ESA WSA ASA-X IPS CWS ISR
WWW
WSA ASA-CX CWS
ASA-CX ASA-V IPS SGT
© 2011 Cisco and/or its affiliates. All rights reserved. 25
Что было сделано в ушедшем году
vm v
m vm
vm v
m vm
vm v
m vm
Интернет
1. Интеграция IOS Firewall, VPN, IPS
2. ASA midrange + ASA NGFW on midrage, Будущее: ASA-CX on IOS-XE
3. 802.1x, TrustSec, Security Group Tags
4. Сегментация и динамические политики на ISE
5. ISE и управление на UCS, интеграция с Prime
6. Virtual Firewall на Nexus 1000V (ASA 1000v, VSG)
7. Virtual Email и Web Security на UCS
8. ASA Module for 6500/7600
9. ScanSafe Connector для Cisco IOS
ЦОД
Кампус или филиал
© 2011 Cisco and/or its affiliates. All rights reserved. 26
TrustSec
Enabled
Enterprise
Network Identity
Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа
и обеспечивает ключевое понимание внутренней активности в сети
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
© 2011 Cisco and/or its affiliates. All rights reserved. 27
Security Information and Event Management (SIEM) и Threat Defense
Mobile Device Management
Приоритезация событий, анализ пользователей/устройств
• ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense
решения
• Партнеры используют контекст для идентификации пользователей, устройств,
статуса, местоположения и привилегий доступа с событиями в SIEM/TD
• Партнеры могут предпринимать действия к пользователям/устройствам через ISE
Обеспечение защищенного доступа и соответствия устройства
• ISE является шлюзом политик для сетевого доступа мобильных устройств
• MDM обеспечивает ISE контекстом соответствия безопасности мобильного
устройства
• ISE связывает привилегии доступа с контекстом соответствия
© 2011 Cisco and/or its affiliates. All rights reserved. 28
IPS и NGIPS
• Cisco IPS серии 4300
• Cisco ASA серии 5500-X
с интегрированным IPS
• FirePOWER NGIPS
• FirePOWER NGIPS
с управлением
приложениями
• FirePOWER Virtual
NGIPS
Интернет-безопасность
• Cisco Web Security
Appliance (WSA)
• Cisco Virtual Web Security
Appliance (vWSA)
• Cisco Cloud Web Security
МСЭ и NGFW
• Cisco ASA серии 5500-X
• Cisco ASA 5500-X
с лицензией NGFW
• Cisco ASA 5585-X
с NGFW blade
• FirePOWER NGFW
Advanced Malware Protection
• FireAMP
• FireAMP Mobile
• FireAMP Virtual
• AMP для лицензии
FirePOWER
• Выделенное устройство
AMP FirePOWER
NAC + Identity Services
• Cisco Identity Services
Engine (ISE)
• Cisco Access Control
Server (ACS)
Безопасность электронной
почты
• Cisco Email Security
Appliance (ESA)
• Cisco Virtual Email Security
Appliance (vESA)
• Cisco Cloud Email Security
• Cisco
• Sourcefire
Виртуализация
• VSG
• ASA 1000V
• SF Virtual Appliance
• FireAMP Virtual
VPN
• Cisco AnyConnect VPN
© 2011 Cisco and/or its affiliates. All rights reserved. 29
Анализ поведения сети
Advanced Malware Protection
NAC + Identity Services
NGFW
МСЭ
UTM
VPN
А Т А К А В О В Р Е М Е Н И
Управлять
Применить
Укрепить
Обнаружить
Блокировать
Защитить
Масштаб
Содержание
Восстановление
NGIPS
Интернет-безопасность
Безопасность
электронной почты
© 2011 Cisco and/or its affiliates. All rights reserved. 30
© 2011 Cisco and/or its affiliates. All rights reserved. 31
• Сложность
• Операционные затраты
• Число уязвимостей
• Обучение специалистов
• Поддержка
• Эксплуатация и управление
• Мониторинг и устранение неисправностей
• Конфигурация и обновление
• Интеграция
© 2011 Cisco and/or its affiliates. All rights reserved. 32
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blog.cisco.ru/
© 2011 Cisco and/or its affiliates. All rights reserved. 33 Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 33