meraki и firepower: лучше - cisco€¦ · вместе лучше! Владимир...
Post on 17-Jun-2020
30 Views
Preview:
TRANSCRIPT
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Meraki и Firepower: вместе лучше!
Владимир Илибман, Ciscovoilibma@cisco.com
1. Сколько времени ууходит на настройку политики на брандмауэре ?
2. Сколько времени у Вас уходит на настройку VPN Full Mesh ?
3. Сколько времени требуетнастройка антивирусной защиты
4. В филиале плохо работает облачныйсервис. В чем причина ?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Что показано на картинке ?
Законченное ИТ решение с облачным управлением
WiFi, коммутация, безопасность, SD-WAN, IP-телефония, управление мобильными устройствами и даже камеры безопасности
Интегрированные аппаратное и программное обеспечение и облачные сервисы
Лидер в облачном управлении ИТ
В числе самых быстрорастущих решений Cisco
Более 140 000 уникальных клиентов
Более 2 миллионов сетевых устройств Meraki онлайн
Meraki - упрощаем IT с управлением через облако
4PSOSEC-1055
Управление Out-of-band из облакаOut of band– Пользовательский трафик не проходит через облако– Сеть функционирует без связи с облаком
Надежное- Шифрованное соединение с датацентром- Каждый пользователь общается с двумя датацентрами
(active / passive) - Все датацентры географически распределены- 99.99% доступность по SLA
США (Dallas, San Diego)Япония (Tokyo) Европа (Dublin, London, Germany)Латинская Америка (Sao Paulo)
User traffic
Management data (1 kb/s)
Законченное облачное решение
Единая панель управления
Systems ManagerEMM
MCIP Telephony
MR Wireless
MSКоммутация
MX Безопасность и Глобальная сеть
MVКамеры наблюдения
Полный перечень продукции Meraki
6PSOSEC-1055
Контроль приложенийОграничение полосы трафикаФильтрация содержимого URL-
адресаКонтроль качества
обслуживания
БезопасностьБрандмауэр нового поколения VPNПредотвращение вторжений (IPS)Защита от вредоносных программ
Межсетевой экран с гео-IP
СетиРезервирование через
3G/4GМаршрутизация филиалаБалансировка WAN и отказоустойчивостьВысокая доступность
Интеллектуальный выбор пути
Meraki MX - комплексное решение для сети и управления угрозами
7PSOSEC-1055
Безопасность корпоративного уровня, которую легко внедрить• Надежный набор технологий Cisco Security• Интуитивно понятная конфигурация на основе GUI• Бесшовные обновления из облака
Лучшая в отрасли видимость• Идентификация пользователей, приложений,
устройств и угроз• Отслеживание одного сайта или всего
развертывания• Унифицированный мониторинг и отчетность с
другими технологиями Cisco Meraki
Исключительная масштабируемость• Zero-touch инициализация с помощью VPN с облачным
брокером• Простое централизованное управление с помощью
встроенных средств удаленной диагностики• Шаблоны конфигурации с несколькими местоположениями
Почему клиенты выбирают Cisco Meraki MX
8PSOSEC-1055
Средний филиал
Малый филиал
Линейка Meraki Security & SD-WAN
*Доступно с беспроводными моделями(MX64W, MX65W, MX67W, MX68W, MX68CW)
Большой филиал, кампус Виртуальный MX
Телеработа
Z3 Z3C~5 пользователей 802.11ac Wave 2 Wireless & PoEFW throughput: 100 MbpsCAT 3 LTE (Z3C)
MX64/65 MX67/68 MX67C/68CW~50 пользователей802.11ac Wireless* & PoEFW throughput: 250 Mbps
~50 пользователей802.11ac Wave 2* & PoEFW throughput: 450 Mbps
~50 пользователей802.11ac Wave 2* & PoEFW throughput: 450 MbpsCAT 6 LTE
MX84 MX100~200 пользователейFW throughput: 500 Mbps
~500 пользователейFW throughput: 750 Mbps
MX250 MX450~2,000 пользователейFW throughput: 4 Gbps
10,000 пользователейFW throughput: 6 Gbps
vMX100 для AWS & Azure
FW throughput: 750 MbpsVPN & SD-WAN features
Обновленный WiFi 802.11AC
(Wave 2)
ВстроенныйLTE Advanced
Увеличенная производительность
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Globa lSa les T ra in ing
MX Security Линейка для малых филиаловУвеличенная производительность и встроенный LTE Advanced
Firewall Throughput 250 Mbps 250 Mbps 450 Mbps 450 Mbps 450 Mbps 450 Mbps
VPN Throughput 100 Mbps 100 Mbps 200 Mbps 200 Mbps 200 Mbps 200 Mbps
Gigabit WAN Ports 2 (1 shared) 2 2 (1 shared) 2 2 (1 shared) 2
Gigabit LAN Ports 4 10 4 10 4 10
PoE+ Ports - 2 - 2 - 2
Wi-Fi (on W models) 802.11ac 802.11ac 802.11ac Wave 2 802.11ac Wave 2 - 802.11ac Wave 2
Embedded Cellular - - - - CAT 6 LTE CAT 6 LTE
MX64/64W MX67CMX67/67W MX68/68W MX68CWMX65/65W
Простаябезопасность корпоративного уровня с Meraki MX
Брандмауэр следующего поколения
Брандмауэр, поддерживающий приложения
Предотвращение вторжений (IPS) На основе Cisco Snort
URL Content Filtering
Более 80 категорий и более 4 миллиардов категоризированных URL. Фильтрация YouTube и Google SafeSearch
Geo-based security Разрешить или заблокировать трафик по странам
Malware Protection Cisco AMP и Threat Grid
Automatic updatesОбновления программного обеспечения и безопасности из облака
PCI compliancePCI 3.2 облачная сертифицированная система управления
Функции безопасности
13PSOSEC-1055
Экосистема MX Security
14FLPSEC-2701
Интеграция c Meraki
Безопасностьинтегрированная
в Meraki
Cisco ISE
AMP
API
1,5 миллиона образцов вредоносных программ в день
600 миллиардов почтовых сообщений в день
16 миллиардов веб-запросов / день
Honeypots
Сообщества с открытым исходным кодом
Внутренниеобнаружение уязвимостей
Телеметрии
Сканирование по всей сети Интернет
Более 250 исследователей угроз
Миллионы агентов телеметрии
4 глобальных ЦОД
Более 100 партнеров по разведке угроз
Более 1100 ловушек угрозы
При поддержке аналитики угроз Cisco Talos
15PSOSEC-1055
Advanced Malware Protection для Meraki MX
Расширенная защита от угроз Контекстная видимость Быстрое обнаружение Простота управления
Автоматическая защита от постоянно растущего списка
известных вредоносных файлов, а также поддержка
песочницы ThreatGrid
Центр обеспечения безопасности позволяет
легко обеспечить наличие последней информации об
атаках в сети
Автоматическое оповещение, когда уже загруженный файл был
определен как вредоносный после загрузки
Включите лучшую в своем классе защиту от
вредоносных программ всего за два клика
▪ 220 млн - известные вредоносные файлы
▪ 407 млн - известные чистые файлы
▪ 1.5 млн - новые образцы вредоносных программ в день
▪ 1.6 млн - устройств, использующих AMP глобально
▪ 3.1 млрд – поисковых запросов в день
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
File Analysis
File Reputation�� ?
HostWebEmail
Network Attached Controls
NGIPSNGFW ISR
Meraki MX
ESA / CES WSA / Umbrella Endpoint
StealthwatchISE
Threat Intelligence
AMP CloudFile Reputation
Threat GridFile Analysis
Threat Intelligence
PSOSEC-1055
Архитектура Advanced Malware Protection
17
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public#CLUS
Взаимодействие Meraki и Cisco AMP
18FLPSEC-2701
AMP TG Connector
AMP Threat Grid
Файловая песочница
AMP Облако
AMP Connector
Поиск расположения
Internet
Усовершенствованная защита от вредоносных программ с помощью ретроспективы и интеграции ThreatGrid
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public#CLUS
AMP и ThreatGRID
19FLPSEC-2701
Security appliance ->Threat protection
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public#CLUS
• Агрегированное представление событий безопасности
• Быстрая детализация результатов анализа файлов
• Идентификация клиентов и сетей, которые потенциально заражены
AMP-cобытия центра безопасности Meraki
20PSOSEC-1055
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public#CLUS
IDS/IPS
21FLPSEC-2701
Security appliance ->Threat protection
• Три набора правил IPS для обнаружения или предотвращения• Видимость событий IDS/IPS в едином Meraki Dashboard через
центр обеспечения безопасности
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public#CLUS
Правила брандмауэра
Правила уровня 3
22FLPSEC-2701
Правила уровня 7
По доменному имени FQDN
С учетом контекста
Security appliance -> Firewall
?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public#CLUS
Фильтрация содержимого URL
23FLPSEC-2701
Security appliance -> Content filtering
Управление• Частотой обновления
списка веб-сайтов• Режимами
отказоустойчивости• Размер выборки
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public#CLUS
Security Center
24FLPSEC-2701
Security appliance -> Security Center
• Детали срабатывания правил фильтрации
• Анализ событий и помощь в расследованиях
• Вид• Executive (Топ
категорий)• Детальный
Organization -> Security Centerили
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public#CLUS
Обнаружение аномалий
25FLPSEC-2701
Изменение профиля трафика с течением времени
Organization -> Summary report
Подробности интеграции
Экспорт из MX может быть использован Stealthwatch или Stealthwatch Cloud
Основные ограничения:
Нет Flexible NetFlow
Нет NAT flow stitching
PSOSEC-1055
Текущие интеграции-Stealthwatch
26
Подробности интеграции
• Аутентификация RADIUS с использованием ISE для проводных соединений на всех моделях MX64/MX65/Z3
• Аутентификация RADIUS с помощью ISE для беспроводных подключений на MX64W/MX65W
• ISE может интегрироваться с Meraki Systems Manager Enterprise (MDM)
Основные ограничения
• Нет поддержки TrustSec на MX
• Ограничения профилирования и оценки состояния через Meraki MX
PSOSEC-1055
Текущие интеграции-ISE
27
Что делает Cisco Meraki MDM (Systems ManagerУправляет устройствамиСмартфоны, планшеты, ноутбуки, десктопы
- Apple iPad, iPod Touch, iPhone, Apple TV
- Android 4.0+ (Android for Work 5.0+)
- MacOS ������
- Windows 10, 8.1, 8, 7,
- Windows Phone 10
- Windows Server 2016, 2012, 2008 R2
- Chrome OS
Простое, единое лицензирование для всех платформ и операционных систем
Управляет приложениями
Управляет безопасностью
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Threat IntelligenceAnalytics and Insights Cloud and Web Security
Network InfrastructurePosture and Policy Malware
Intrusion Prevention
Endpoint Management
Security Architecture
Meraki MXFirewall
Remote Access
Cisco ISEand TrustSec
= Active development or beta= Limited integration or interoperability = Deeper integration
33PSOSEC-1055
Cisco AnyConnect Meraki Systems Manager Enterprise
Расширение возможностей с помощью API
34
Выполнение аудита брандмауэра является
болезненной задачей для ИТ.
Сотрудник Cisco Meraki Михаил Папацоглу создал
решение, помогающее автоматизировать аудиты PCI
брандмауэра и производить массовые изменения
проще, чем когда-либо.
Amazon Alexa может использовать Meraki
Dashboard API для контроля и ответа на вопросы.
Сотрудник Cisco Meraki в Шийуе Чэн создал скрипт
для Alexa, чтобы узнавать статус сети,
контролировать использование трафика, и
блокировать фанатский футбольные сайты J.
https://create.meraki.io/
И не толькобезопасность…Поговорим об ИТ-функциональности
Двойные uplink порты 2 порта uplink на всех моделях MX для балансировки нагрузки и резервирования
LTE failover Поддержка USB модема во всех моделях с автоматическим переключением при сбое
Site-to-site VPNОблачный оркестрованный VPN (Meraki Auto VPN) с возможностями балансировки нагрузки и самовосстановления
Интеллектуальное управление маршрутизацией
Маршрутизация на основе политик и динамический выбор пути c учетом производительности
Маршрутизация филиалов
Автоматическое распределение маршрутов через Auto VPNАнонс маршрутов через OSPFПоявилась поддержка BGP
Высокая доступность Активное / пассивное аппаратное резервирование
Формирование трафика
Ограничение пропускной способности приложения и приоритизация
Надежное и экономичное соединение с Meraki SD-WAN
36PSOSEC-1055
Просто Создавайте VPN-туннели между местоположениями с помощью простого интерфейса или примените шаблоны конфигурации для включения и настройки VPN во многих местах одновременно
Автоматически Конфигурация VPN, созданная и развертываемая автоматически из облака, настраивает топологию сети и концентратора
Отказоустойчиво Автоматически корректируется к изменениям для обеспечения безопасного подключения во время сбоев Интернер-канала, оборудования или обновления IP-адреса
Автоматизированный VPN "сеть-сеть" (Auto VPN)
37PSOSEC-1055
Auto VPN
SD-WANBranch
Datacenter 2
Datacenter 1
Расширение Auto VPN и Meraki SD-WAN в AWS/Azure
38PSOSEC-1055
•500 Мбит/с пропускная способность VPN
•Доступно в Azure/Amazon Marketplace•Полные возможности SD-WAN•Одинаковая лицензия
Dual active VPNБалансировка нагрузки VPN-трафика по гибридной WAN
Маршрутизация на основе политикВыберите предпочтительный путь для трафика на основе протокола, порта, источника и назначения IP, или даже приложения
Динамический выбор путиВыберите лучший VPN туннель для трафика автоматически с учетомпроизводительности
Интегрированное решение, которое объеденяет передовые SD-WAN с ведущими в отрасли технологиями безопасности
Интеллектуальное управление маршрутизацией с учетом приложений
39PSOSEC-1055
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Meraki Insight -мониторинг приложенийУправление производительностью сети и облачных сервисов
Сократите время устранения неполадок от 5 часов до 5 минут и 5 щелчков мыши
o Решение проблемы:
o “ПОМОГИТЕ, МОЙ GMAIL МЕДЛЕННО
РАБОТАЕТ!”
o Устранение неполадок
производительности веб-приложений
без развертывания дополнительного
оборудования
o
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Брандмауэр следующего поколения
Site-to-site и клиентский VPN
Интеллектуальное управление маршрутизацией
Объединение каналов и отказоустойчивость
Формирование полосы пропускания и QoS
Маршрутизация филиалов
Веб-кэширование
Active/Passive high availability
Enterprise License
Advanced Security License
* требуется дополнительная подписка Threat Grid
Все корпоративные функции, плюс
URL-фильтрация (с безопасным поиском Google)
Advanced Malware Protection
Snort IDS/IPS
Threat Grid integration*
Geo-based firewall rules
Сценарии для лицензирования
41PSOSEC-1055
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Meraki MX Cisco Firepower & ASA
Задача по уменьшению CAPEX
Фокус на упрощение управляемости
Требуется комбинация WAN с дешевым Интернет-каналами (SD-WAN)
Существующие клиенты Firepower, TrustSec, AMP for Endpoints customer
Требуется расследование сложных угроз
Внедрение на внутреннем периметре корпораций
Датацентр
Развертывание в филиалах или в распределенном предприятии
Периметр Интернет
Сценарии использования
42PSOSEC-1055
Internet connection
VPN tunnel
Магазины
HQ
Магазины
Минимагазины
Схема решения Cisco+ Meraki для компании ”X”
Интернет
MX67
MX67
Cisco ISRZ3
MX450 WAN
FirePOWER 2120
Internet DMZ
FirePOWER 4110
Data Center
Финальный слайд
Next Generation Firewall на примере FirePOWERПодход Меraki MX
+
top related