Решения Cisco в области информационной безопасности

Стратегия Cisco в
области обеспечения
информационной
безопасности
Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 1/124

Рост Соответствие
Внимание
ИТ
Глобализация Риск-менеджмент

Разрешить Защитить
Соответствие Регулирование

Внимание
ИБ
Привлечение людей Персданные

Внимание руководства


Организационно – КТО?

Compliance Ops. Endpoint Team

Network Ops. Security Ops.

Политика Application Team HR

Технологически – ЧТО?
 Не пустить плохих
 Пустить хороших Контроль доступа Endpoint

 Соответствовать Identity Mgmt Вторжения

 Учесть BYOD Соответствие Управления
 Разрешить виртуализацию
 Быть готовым к облакам Операционно – КАК?

Проводное В сети

Беспроводное Поверх сети

VPN На устройстве

ОТ К

# ! %
Поэтапный дизайн Координация систем

Унифицированные точки
Точечные решения
применения политик

Всесторонний контроль
Ограничение обзора
на 360

Проверка на «кошках» Проверенный дизайн


Маршрутизация всех запросов
Источники всех данных
Управление всеми устройствами

СЕТЬ
Контроль всех потоков

Контроль всех потоков
Видимость всего трафика Контроль всех пользователей


Исследования в области ИБ (SIO)

Защищенный
Защищенный Защищенный ЦОД и
универсальный
филиал и периметр облако
доступ

Косьюмеризация Депериметризация Виртуализация

Политика
Управление

Точки приложения сил

Сеть


Исследования в области ИБ

Политика
Устройства &
Пользователи Активы & Информация

Управление

Точки приложения сил

Сеть


Политика

Кто Что Как Где/откуда Когда

Анализ
угроз
SensorBase Operations Center Dynamic Updates

Внедрение на Интегрированная Высокоскоростная Облачные
уровне сети инфраструктура навесная защита вычисления


• Сложность

• Операционные затраты

• Число уязвимостей

• Обучение специалистов

• Поддержка

• Эксплуатация и управление

• Мониторинг и устранение неисправностей

• Конфигурация и обновление

• Интеграция


Россия коренным образом отличается от всего мира в
области информационной безопасности!!!

Новые
Угрозы
технологии

Требования
регуляторов

© Cisco, 2010. Все права защищены.
ИНФРАСТРУКТУРА 11/124

Мотивация Известность Деньги

Метод Дерзко Незаметно

Фокус Все равно Мишень

Средства Вручную Автомат

Результат Подрыв Катастрофа

Тип Уникальный код Tool kit

Цель Инфраструктура Приложения

Агент Изнутри Третье лицо

Социальные
Аутсорсинг Виртуализация Облака Мобильность Web 2.0
сети


Глобальные сложные угрозы

Поддельные сайты «Сбор средств
KOOBFACE
Microsoft Update на восстановление Гаити»

РИСК
РИСК: ВЫСОКИЙ РИСК: ВЫСОКИЙ РИСК: СРЕДНИЙ

ПРОБЛЕМА

Высокая сложность Необнаруженное Надежность защиты
Многовекторные атаки – вредоносное ПО ограничивается
ни одна не похожа на Отключается системы ИБ, сигнатурными методами
другую крадет данные, открывает и поиском по локальным
© Cisco, 2010. Все права защищены. удаленный доступ к системе данным 17/124

4 TB 750,000+
ДАННЫХ В ДЕНЬ ГЛОБАЛЬНЫХ СЕНСОРОВ

30B
WEB -ЗАПРОСОВ
100M
СООБЩЕНИЙ EMAIL
35%
МИРОВОГО ТРАФИКА

SensorBase Threat Operations Center Dynamic Updates
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18

$100M 24x7x365
ИНВЕСТИЦИЙ В ОПЕРАЦИИ
ИССЛЕДОВАНИЯ И РАЗРАБОТКУ

500 40+ 80+
ИНЖЕНЕРОВ, ТЕХНАРЕЙ И ЯЗЫКОВ Ph.D.s, CCIE, CISSPs, MSCEs
АНАЛИТИКОВ

Threat Operations Center Dynamic Updates

3-5 6,500+
ИНТЕРВАЛЫ ОБНОВЛЕНИЙ ВЫПУЩЕНО СИГНАТУР IPS

20+ 200+ 8M+
ПУБЛИКАЦИЙ КОНТРОЛЬ ПАРАМЕТРОВ ПРАВИЛ В ДЕНЬ

Threat Operations Center Dynamic Updates

Внешние и внутренние
угрозы
Внутренние угрозы Внешние угрозы

Ботнеты ВПО

ПРОБЛЕМА

Масштабирование Отсутствие глобальной Слабая координация
производительности и информации об угрозах и действий систем
своевременное контекстной информации обеспечения ИБ и
распространение для обеспечения надежной сетевого оборудования
обновлений
© Cisco, 2010. Все права защищены. защиты 21/124

Защита от угроз ГДЕ

ЧТО КОГДА

КТО КАК
Политика
с учетом
контекста

IPS ASA

WSA ESA

СЕТЬ

РЕШЕНИЕ CISCO

Полномасштабное Политика с учетом Простота
решение: ASA, IPS, контекста точнее развертывания и
«облачные» сервисы соответствует бизнес- обеспечения защиты
защиты web-трафика и потребностям в сфере ИБ распределенной среды
электронной почты

• Многоуровневый анализ пакетов и трафика
МСЭ / Защита • Расширенные службы проверки приложений и протоколов
приложений • Контроль сетевых приложений
• Расширенная защита мультимедиа и голосовых приложений
• Защита от сетевых червей и вирусов
IPS / Анти- • Обнаружение и фильтрация вредоносного кода
• Технология аккуратного предотвращения и упреждающее реагирование
вирусная защита • Корреляция событий и упреждающее реагирование

Контроль • Контроль на 4 и 3 уровне
доступа и • Контроль состояния
• Гибкость политик для пользователей, сетевых, приложений
аутентификация
• Не требующие вмешательства автоматически обновляемый
Защита удаленный доступ по IPSec
• Гибкие и защищенные сервисы SSL VPN
соединений • Поддержка QoS, маршрутизации в VPN
• Интегрированная защита от угроз для VPN

Интеллектуальные • Малая задержка • Виртуализация сервисов
сетевые • Различная топология • Сетевая сегментация
• Поддержка Multicast • Маршрутизация, распределение нагрузки
сервисы Cisco


ASA 5585 SSP-60
(40 Gbps, 350K cps)

ASA 5585 SSP-40
(20 Gbps, 200K cps)

Multi-Service ASA 5585 SSP-20
(10 Gbps, 125K cps)
(Firewall/VPN и IPS)
Performance and Scalability

ASA 5585 SSP-10
(4 Gbps, 50K cps)

ASA 5540
(650 Mbps,25K cps)

ASA 5520
(450 Mbps,12K cps)
ASA 5510
(300 Mbps,9K cps)
ASA 5505
(150 Mbps, 4K cps) ASA 5580-40
(20 Gbps, 150K cps)

ASA 5580-20
(10 Gbps, 90K cps)

ASA 5550
(1.2 Gbps, 36K cps)

SOHO Branch Office Internet Edge Campus Data Center


Показатель Значение
Производительность шасси 64 Гбит/сек

Производительность модуля 16 Гбит/сек

Одновременных сессий 10M

Новых соединений в секунду 350K

Контекстов безопасности 250

VLANs 1K


Функция ASASM FWSM
Real-IP ACLs/
Да Нет
Global ACLs
8 Bridge-groups 8 Bridge-groups
Bridge-groups
4 Interfaces each 2 Interfaces each

VirtualContexts 250 Max 250 Max

Mixed-Mode Да Да

AutoState Да Да

Route Health Injection Нет* Да

VPN FCS +6 Только управление


ASA 5512-X
Пропускная
способность
межсетевого экрана 1
Гбит/с
1. Пропускная способность на
ASA 5515-X
Пропускная уровне нескольких Гбит/с
способность Для удовлетворения растущих
межсетевого экрана 1,2
Гбит/с требований к пропускной способности
ASA 5525-X 2. Встроенные средства ускорения
способность сервисов
Гбит/с
(дополнительное оборудование не
ASA 5545-X требуется)
Пропускная Для поддержки меняющихся
межсетевого экрана 3 потребностей бизнеса
Гбит/с
ASA 5555-X 3. Платформа с поддержкой
Пропускная сервисов нового поколения
межсетевого экрана 4 Для защиты инвестиций
Гбит/с


Широкий спектр платформ
Устройство Интегрированное решение Виртуализация

Понимание контекста

Классический МСЭ ASA


Широкий спектр платформ
Устройство Интегрированное решение Виртуализация

Cisco ASA CX

Понимание контекста



• Межсетевой экран нового
поколения
• Context-Aware Firewall

• Активная/Пассивная
аутентификация
• Application Visibility and
Control/DPI с анализом контента
• Репутационная фильтрация
КТО ЧТО ГДЕ/ОТКУДА КОГДА КАК


КТО

• Покрытие широкого спектра сценариев идентификации

AD/LDAP Identity
• Non-auth-aware apps
NTLM • Any platform
Kerberos • AD/LDAP credential
TRUSTSEC*
Network Identity
Group information
User Authentication Any tagged traffic IP Surrogate
• Auth-Aware Apps AD Agent
• Mac, Windows, Linux
• AD/LDAP user credential

* Future

ЧТО

Покрытие…
… классификация всего
трафика

1,000+ приложений

MicroApp Engine
Глубокий анализ трафика
приложений

75,000+ MicroApps

Поведение
Контроль действий
пользователя внутри


ЧТО

60
языков

200
стран

20
mn URLs

98%
Маркетинг Юристы Финансы
покрытие


ГДЕ/ОТКУДА

ОТЕЛЬ
ОФИС


КАК

• Информация с 100,000,000 оконечных устройств
Устройство Версия ОС Состояние

AV

Files
Registry

Identity Services Engine


Заказчику нужен
ASA и ASA CX?
Пусть заказывает
два модуля в шасси
5585-X!

Заказчику нужен
только ASA CX?
Пусть заказывает
один модуль в
шасси 5585-X!


• Система управления
для ASA CX
• Встроенный в ASA CX
для управления одним
МСЭ
• Отдельное устройство
для поддержки
нескольких ASA CX
• RBAC

• Конфигурация, события
и репортинг
• Виртуальная машина
или устройство UCS


Cisco ASA CX

Понимание контекста Понимание угроз



Исследования Обновления Обновления Контекст Сетевой
Cisco в области ИБ сигнатур ядра контекст

Защита от Модули Встроенная Контроль на
обхода и обмана инспекции корреляция основе рисков
IPS • ―Рейтинг рисков‖
• L3-7 Нормализация • Уязвимости вычисляется для
трафика для • Meta Event каждого события
• Эксплоиты Generator для
противодействия • Реагирование зависит
• Аномалии поведения корреляции
попыткам скрыть от рейтинга рисков
атаку • Аномалии протоколов событий
• Фильтры
• Универсальные модули

Выбор Отражение и
виртуального Сбор сигнализация
сенсора доказательств • ―Рейтинг угрозы‖
• Трафик направляется
• До атаки события показывает
на нужный
• В процессе атаки уровень снижения
виртуальный сенсор
рисков
• После атаки
ВЫХОД
ВХОД

4510, 4520 (Glen Rose)
Июнь 2012

ASA5585-S60P60

ASA5585-S40P40

ASA5585-S20P20
Performance and Scalability

IDSM-2
ASA5585-S10P10

ISR-NME ASA-SSM-40

ASA-SSM-20

ASA-SSM-10 IPS-4270
ASA-SSC-5

4360 (Saleen)
IPS-4260
IPS-4255 Mar 2012
4345 (Saleen)
IPS-4240 Mar 2012
ISR-AIM

SOHO Филиалы Периметр Кампус ЦОД


• IPS модуль для ASA-
5585
• Высокая
производительность – Масштаб
до 10 Гбит/сек
• Интеграция с
межсетевым экраном


• Ядро, ориентированное на
многопроцессорность/многоядерность
• 64-битная архитектура

• Мониторинг функционирования (контроль IPS 4345
750 Мбит/сек IPS
температуры и т.п.) ―реальный трафик‖
$39,995

• Поддержка Jumbo-Frame

• Поддержка Flow-Control

• Аппаратный ускоритель Regex для IPS 4360
модуля IPS string-XL 1.25 Гбит/сек IPS
―реальный трафик‖
$59,995

• 1RU


• Платформа 5500-X
ASA 5512-X включают FW, VPN и
IPS, запускаемые на
Гбит/с
одном физическом
ASA 5515-X устройстве без
способность дополнительных
межсетевого экрана 1,2
Гбит/с аппаратных модулей
ASA 5525-X Это значит, что для новых
платформ Cisco ASA 5500-X
межсетевого экрана 2 (исключая 5585-X) отдельных
Гбит/с
ASA 5545-X физических модулей (SSM
Пропускная или SSP) больше не
существует
Гбит/с
ASA 5555-X • Функционал IPS на ASA
5500-X активируется
Гбит/с отдельной лицензией

• Бета-версия запущена в
конце января
• FCS в июне-июле
• Модуль IPS в шасси 5585-X
3 Гбит/сек (4510) – цель от 2 до
5 Гбит/сек
6 Гбит/сек (4520) – от 4 до 11
Гбит/сек


Anti-Spam RSA Email DLP
• SenderBase Reputation Filtering • 100+ политик DLP
• IronPort Anti-Spam (IPAS) • Аккуратность
• Простота внедрения

Входящая защита Cisco IronPort Email Исходящий контроль
Security Solution

Anti-Virus Шифрование
• Virus Outbreak Filters (VOF) • Защищенная доставка
• McAfee Anti-Virus • Transport Layer Security
• Sophos Anti-Virus

Защита сотрудников от Защита компании
фишинга, вредоносных от утечек важной
программ и спама
информации 45/124

Точный
jsmith@acme.com

Полный Prescription for J Smith
Правильное
We need to fax the following prescription information for Roger McMillan
Интегрированный FEXOFENANDINE (ALLEGRA) 180 MG TABLET
обнаружение имен

Dosage: Take 1 tablet by mouth daily
Prescribed by Dr. Joseph A. Kennedy, MD on 7/22/10
Please delivery to pharmacy stat.
==============================================
SSN: 331075839
Разные номера (SSN,
Matches are found кредитные карты)
Name: Roger McMillan
in close proximity
Medical Record: 06135443
Primary Care Provider: Blue Cross Blue Shield CA

Весовые Clinic: Stanford Hospital
коэффициенты при Address:
Соответствие
повторе ключевых 177 Bovet Road
уникальным правилам
San Mateo, CA 94402
фрагментов


Опции реагирования:
Доставка, карантин, сброс или шифрование

Модификация:
Добавить дисклеймер, изменитьт тему

Уведомить других:
Копия администраторам или менеджерам

Уведомление:
Отправитель или получатель получают
уведомление


Guaranteed
Read Receipt

Guaranteed
Recall


462 млн

ПРОБЛЕМА

Мобильным сотрудникам На разнообразных Кража/утеря устройств –
требуется доступ к пользовательских высочайший риск утери
сетевым и «облачным» устройствах используются корпоративных данных и
сервисам как пользовательские, так и нарушения нормативных
корпоративные профили требований 50/124

Cisco AnyConnect

Сервисы Cisco для
Cisco ASA обеспечения безопасности
контента

51/124

• Клиент IPSec/SSL/DTLS VPN
Client/Clientless

• Оценка состояния
• Location-Specific Web Security
На периметре (Ironport WSA) или через ScanSafe
облако (ScanSafe)

• Защищенный доступ в облако через SSO
• Контроль сетевого доступа Internet-Bound
Web Communications
802.1X Authentication and Posture
MACsec encryption
Cisco TrustSec devices (план)

• Windows, Mac, Linux, Windows Mobile,
Apple iOS, Palm, Symbian, Android, Cius,
Windows Phone (план)


Новости Электронная
почта

AnyConnect
Обмен данными между ASA и
WSA

ASA
Cisco WSA

Социальные сети Корпоративная
SaaS-система
Corporate AD


Запрет/ограничение Разреше Поддержка Энтузиазм
ние
Среды с жестким Базовые сервисы, Различные сервисы, Корпоративные
контролем простой доступ, почти защищенное приложения, новые
для всех подключение сервисы, управление

Только Широкий спектр Различные типы
корпоративные устройств/только Различные типы устройств,
устройства Интернет устройств и методы MDM
Производства Образование доступа, VDI Инновационные
Госучреждения Общественные Здравоохранение корпорации
(секретность!) организации Корпорации Ретайл


AD/LDAP
Интеграция с лидерами рынка
MDM *
ISE
Контекстная MDM Mgr
• MobileIron, Airwatch, Zenprise
политика
?
• Заказчики могут выбирать

Cisco Catalyst
Switches
Cisco WLAN
Controller

Функции:
User X User Y
• Всесторонний анализ устройств

• Детальный контекст пользователей
и устройств

• Расширенная защита устройств и
Window или OS X Смартфоны, включая
ПК устройства с iOS или
Android
Wired или Wireless Wireless


ISE
NCS Prime

IronPort WSA

Коммутаторы
Cisco MDM Manager
Catalyst

Контроллер
WLAN Cisco Устройство стороннего
поставщика (MDM)

CSM / ASDM
Устройства
проводной
сети

AC NAM
(только AC NAM
Windows) (только
Windows) AC VPN (все мобильные
платформы)
Интеграция AC с облачными
сервисами (Все PC)


Доступ с любого устройства

КАФЕ
ОФИС

ПРОБЛЕМА

Учет результатов Обеспечение Защита
идентификации и ролевая выполнения политик: от конфиденциальности
модель контроля доступа пользовательских в рамках всей сети
Гостевой доступ устройств до ЦОД

• Как управлять риском, возникающим, когда сотрудники
приносят свои собственные устройства?

• Как обеспечить единообразное качество
обслуживания для всех устройств?

• Как реализовать множество политик безопасности
для каждого отдельного пользователя и
устройства?

• Что поддерживать и как?

БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ

• Препятствую ли я своим сотрудникам
в реализации конкурентных преимуществ?

• Как удержать наиболее талантливые кадры?

• Как обеспечить соответствие требованиям
ФЗ-152, СТО БР и т. д.?

• Как достойным образом обходиться с
партнерами, консультантами, гостями?

ПЕРСОНАЛ СТАНОВИТСЯ ДРУГИМ

• Как узнать, кто осуществляет доступ к моей
инфраструктуре виртуальных настольных систем?

• Как обеспечить защищенный доступ
к моим данным в облаке,
сохраняя масштабируемость?

• Как обеспечить соответствие нормативным
требованиям
без ограничения рамками географических регионов?

ВИРТУАЛИЗАЦИЯ

Пользователь Сотрудник
беспроводной Клиент
Удаленный сети / гость
пользователь, виртуальной
подключенный машины
Всеобъемлющий учет
Полная по VPN
IP-устройства контекста: кто, что, где,
прозрачность когда, как

Использование
преимуществ сети для
защищенного доступа к
Инфраструктура с контролем критически важным
Абсолютный идентификационных ресурсам, нейтрализации
контроль данных и учетом контекста рисков и поддержания
соответствия
нормативным

Централизованное
управление сервисами
Эффективное Центр обработки Интранет Интернет Зоны безопасности
защищенного доступа и
масштабируемыми
управление данных
средствами обеспечения
Использование существующей соответствия
инфраструктуры

Политики,
относящиеся к бизнесу
ГДЕ

ЧТО КОГДА Атрибуты
КТО КАК
политики

Модуль централизованных политик

Идентификация

Динамическая политика и реализация

Пользователи и
устройства
РЕАЛИЗАЦИЯ ПОЛИТИК МОНИТОРИНГ И
БЕЗОПАСНОСТИ ОТЧЕТНОСТЬ УПРАВЛЕНИЕ
ПРИЛОЖЕНИЯМИ


Администрирование
политики
Принятие решений на
базе политик Identity Services Engine (ISE)
Система политик доступа на основе идентификации

Реализация
политик
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000,
На основе TrustSec инфраструктура беспроводной сети и маршрутизации
Cisco ASA, ISR, ASR 1000

Информация
о политике Агент NAC Web-агент Запрашивающий клиент 802.1x
Бесплатные клиенты с постоянным или временным AnyConnect или запрашивающий
На основе TrustSec подключением для оценки состояния и устранения проблем клиент, встроенный в ОС

Доступ на основе идентификации — это не опция, а свойство сети,
включая проводные, беспроводные сети и VPN

Полная прозрачность

Коммутатор Cisco Catalyst®
Отличительные особенности
идентификации
Режим монитора

Гибкая последовательность
аутентификации

Поддержка IP-телефонии

Поддержка сред виртуальных
Авторизо- Планшеты IP- Сетевое Гости настольных систем
ванные телефоны устройство
пользователи
MAB и Web-
802.1X
профилирование аутентификация

Функции аутентификации

IEEE 802.1x Обход аутентификации по Web-
MAC-адресам аутентификация
На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации

Проблема ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ
Быстрый рост числа
Множество устройств Должно быть Необходима гарантия того,
устройств в проводной и предусмотрено что устройство
и идентификация для беспроводной сети управление политиками для соответствует цифровым
реализации политик каждого типа устройств меткам


Компоненты
Новаторство

ПРОФИЛИРОВАНИЕ УСТРОЙСТВ
Для проводных и беспроводных сетей

ПОЛИТИКА

Принтер Личный iPad
ISE
Точка доступа
Политика для Политика для
CDP CDP
принтера LLDP LLDP личного iPad
DHCP DHCP
MAC-адрес MAC-адрес
[поместить в VLAN X] [ограниченный доступ]

Точка
доступа

Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO
Эффективная СБОР ДАННЫХ КЛАССИФИКАЦИЯ АВТОРИЗАЦИЯ
классификация устройств Коммутатор собирает ISE производит классификацию ISE реализует доступ на основе
с использованием данные, относящиеся к устройства, сбор данных о политик для данного
устройству, и передает отчет в трафике и формирует отчет об пользователя и устройства
инфраструктуры ISE использовании устройства


Пользователь
проводной,
беспроводной, вирт
уальной сети

Временный
ограниченный доступ к
Не сети до устранения
соответствует проблем

Пример политики для сотрудника Проблема: Ценность:
• Исправления и обновления Microsoft • Наличие сведений о • Временный (на web-основе) или
установлены работоспособности устройства постоянный агент
• Антивирус McAfee установлен, • Различие уровней контроля над • Автоматическое устранение
обновлен и работает устройствами проблем
• Корпоративный ресурс проходит проверку • Затраты на устранение проблем • Реализация
дифференцированных политик
• Приложение предприятия выполняется на основе ролей


Гостевые Web-
политики аутентификация

Интернет

Беспроводный или Гости
проводной доступ

Доступ только к
Интернету

Выделение ресурсов: Управление: Уведомление: Отчет:
гостевые учетные записи права спонсоров, сведения о гостевой учетной по всем аспектам гостевых
на спонсорском портале гостевые учетные записи и записи в бумажном виде, по учетных записей
политики, гостевой портал электронной почте или SMS

Абсолютный контроль

Удаленный Пользователь с Пользователь с Виртуальный
пользователь беспроводным проводным Устройства рабочий стол
VPN доступом доступом

Управление Масштабируемая
доступом на реализация
основе политик Сети VLAN
СЕТЬ С КОНТРОЛЕМ Списки управления
ИДЕНТИФИКАЦИОННЫХ ДАННЫХ доступом (ACL)
И УЧЕТОМ КОНТЕКСТА
Метки групп
безопасности *

Шифрование MACSec *

*=
Инновации
Центр обработки Зоны Cisco

данных Интранет Интернет

Абсолютный контроль

Инновации
Cisco

Динамические или Доступ для групп
Сети VLAN
именованные ACL-списки безопасности
Сотрудник
Любой IP-
адрес
Устранение
проблем

Подрядчик Сотрудники Гость
Доступ для групп безопасности
VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW

• Меньше перебоев в работе • Не требует управления • Упрощение управления
оконечного устройства (не ACL-списками на портах ACL-списками
требуется смена IP-адреса) коммутатора
• Единообразная
• Повышение удобства для • Предпочтительный выбор реализация политик
пользователей для изоляции путей независимо от топологии

• Детализированное
управление доступом

Гибкие механизмы реализации политик в вашей инфраструктуре
Широкий диапазон доступных клиенту вариантов доступа

Политики на основе Таблица доступа согласно
понятного технического языка политике на основе ролей
Отдельные
пользователи Разрешения Ресурсы Матрица политик
Врачи Интранет
Почтовый Серверы Медицинские
D1 - финансовой карты
S1 (10.156.78.100) сервер службы пациентов
портал
(10.10.24.13)
Медицинские Нет Совместный
Совместный web-
D2 карты Врач Интернет IMAP web-доступ к
доступ к файлам
S2 доступа файлам
пациентов
(10.10.28.12) Финансовая
Интернет IMAP Интернет Нет доступа
служба
D3 ИТ-
(10.156.54.200) WWW, Полный
Финансовая служба админист- SQL SQL
SQL, SSH доступ
ратор
Электронная
S3 D4 почта ACL-список "Врач - карта пациента"
(10.10.36.10) в интранет-сети
permit tcp dst eq 443
D5 permit tcp dst eq 135
ИТ-администраторы (10.156.100.10) deny ip
S4 Финансова
(10.10.135.10)
D6
я служба

permit tcp S1 D1 eq https
Требует затрат времени permit tcp S1 D1 eq 8081 Простота
Ручные операции deny ip S1 D1 Гибкость
……
Предрасположенность к …… Учет характера
ошибкам permit tcp S4 D6 eq https
деятельности
permit tcp S4 D6 eq 8081
deny ip S4 D6

Центральный
SaaS
офис
Филиал
Интернет

ЦОД

Удаленный
сотрудник
ПРОБЛЕМА

Использование SaaS-решений и
Ограниченность числа «облачных» систем приводит к Нормативные
ИТ-специалистов и раздельному туннелированию требования
специалистов по ИБ в трафика — новые проблемы
филиале, рост затрат безопасности

Центральный
офис

Все функции для защиты филиала

$ Лучшие показатели ROI
(реплицируемые)
+ Безопасность + оптимизация
работы приложений

ISR G2

РЕШЕНИЕ CISCO

VPN (IPSEc, GET Лучшие показатели ROI Оптимизация работы
VPN, DMVPN, SSL), МСЭ, (простота, согласованность, приложений в WAN
IPS, клиент ScanSafe интеграция), снижение затрат и WLAN/WAN
повышение производительности Ethernet-коммутатор
при раздельном туннелировании
Интегрированный сервер
73/124

Новый подход к построению сетей

Новая плоскость управления
Хранить Передавать
Программы

Платформа

Обрабатывать

Отделить Конвергировать Политики, как
программы от системы и способ
платформы с сервисы с целью внедрения,
целью быстрого/ использования поддержания и
гибкого включения единой унификации
сервисов и защиты платформы сервисов
инвестиций

• Иерархическая архитектура
• Cisco ISR G2 2900 или 3900, Catalyst
3750 & 3560, IP-телефоны
• Скорость WAN соединения до 100
Мбит/сек
• Высокая доступность и безопасность
• Проектирование с учетов сетевых
сервисов и масштабируемости
• Соответствие требованиям
регуляторов
Ключевые функции
Подключение – Маршрутизация (EIGRP, OSPF, eBGP), NAT/PAT, QoS
Безопасность – МСЭ, IPS, AAA, Content Security, VPN
Голос – CME, SRST, CUE, Gateway, RSVP, PRI Trunk, FXO
Оптимизация WAN – WAAS

Cisco ISR G2

Защищенные сетевые решения

Непрерывное Защищенная Защищенная Нормативное
ведение бизнеса голосовая связь мобильность соответствие

Интегрированное управление угрозами

011111101010101

Усовершенствован- Фильтрация Предотвращение Гибкие Контроль Система
ный межсетевой контента вторжений функции доступа 802.1x защиты
экран сравнения к сети основания сети
пакетов (FPM)

Защищенные каналы связи Управление и контроль состояния

Ролевой
GET VPN DMVPN Easy VPN SSL VPN CCP доступ NetFlow IP SLA


• Защита базовых сетевых сервисов
Network Foundation Protection (NFP)

• МСЭ с зональными политиками
Zone based Firewall

• Интеллект на уровне приложений
Application Intelligence Control

• Система предотвращения вторжений
Intrusion Prevention System

• Система контентной фильтрации
Content Filtering Solution

• Анализ содержимого пакетов
Flexible Packet Matching (FPM)


• Российские требования в области криптографической защиты
информации
• Учет используемых в организации решений по защите
информации
• Ориентация на продукцию российского производства для
работы в критичных приложениях
• Чего не хватает Cisco (и ISR G2) с этих точек зрения?!
Антивирус
VPN


• Контроль HTTP и FTP

• Проверка в реальном времени

• Выбор параметров фильтрации

• Проверка архивированных
файлов
• Выявление подозрительных
программ
• Групповые политики фильтрации

• Уведомление пользователей

• Прозрачность для пользователей


• VPN-решения Cisco признаны лучшими во многих странах и
признаны стандартом де-факто многими специалистами
• Использование VPN-решений Cisco в России сопряжено с
рядом трудностей
Порядок ввоза на территорию Таможенного союза шифровальных
средств
Требование использования национальных криптографических алгоритмов
Обязательная сертификация СКЗИ

• На сайте www.slideshare.com/CiscoRu выложена презентация
по регулированию криптографии в России


Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ
―О национальной платежной системе‖, ФЗ ―О служебной тайне‖, новые приказы
81 ФСТЭК/ФСБ и т.д.)

• Для обеспечения безопасности персональных данных при их
обработке в информационных системах должны
использоваться сертифицированные в системе сертификации
ФСБ России (имеющие положительное заключение
экспертной организации о соответствии требованиям
нормативных документов по безопасности информации)
криптосредства
• Встраивание криптосредств класса КС1 и КС2
осуществляется без контроля со стороны ФСБ России
Относится только к встраиванию в прикладные системы (АБС, ERP, БД и
т.д.)


• Можно ли использовать сертифицированное криптоядро в
составе VPN-решений?
Можно

• Будет ли такое использование легитимным?
Нет!!!


• Встраивание сертифицированных криптобиблиотек должно
проводиться не только в соответствие с позицией ФСБ, но и в
соответствии с документацией к сертифицированной СКЗИ
• Формуляр на КриптоПро CSP
Должна проводиться проверка корректности встраивания СКЗИ
«КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ в
случаях…если информация конфиденциального характера подлежит
защите в соответствии с законодательством Российской Федерации
Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ
России


• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-
решения, поддерживающие российские криптоалгоритмы на
базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-
1625, 124-1626 от 28 февраля 2011 года
Сертификат по классу КС2 на оба решения

Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)

Решение для ЦОД и штаб-квартир
• На базе UCS C-200

Решения Cisco в области информационной безопасности

Решения Cisco в области информационной безопасности

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Решения Cisco в области информационной безопасности

Similar a Решения Cisco в области информационной безопасности (20)

Más de Cisco Russia

Más de Cisco Russia (20)

Решения Cisco в области информационной безопасности

Notas del editor