В данной сессии мы рассмотрим общие архитектурные принципы построения защищённой, отказоустойчивой и эффективной корпоративной сети передачи данных с учётом современных угроз, как внешних, так и внутренних. Данная презентация является основой для последующих презентаций «Архитектура защищенного периметра», «Архитектура защищённого ЦОД», Архитектура защищённого мобильного доступа» и «Архитектура защиты внутренней сети». Слушатели получат общее представление о способах построения защищённых сетей, о стратегии Cisco и базовых методах, используемых для построения того или иного функционального блока.
2. С
чем
мы
сталкиваемся?
Изменение
бизнес-‐моделей
Динамичность
угроз
Сложность
и
фрагментация
организаций
не
знают
всех
своих
сетевых
устройств
BYOD
90%
ПОГЛОЩЕНИЯ
раз
больше
облачных
сервисов
используется,
чем
знает
ИТ
и
ИБ
ОБЛАКА
в
5–10
основных 500
Android-‐
приложений имеют
проблемы
с
безопасностью
ПРИЛОЖЕНИЯ
92%
поглощений
в
первой
половине 2014 года
16,775
3. С
чем
мы
сталкиваемся?
Изменение
бизнес-‐моделей
Динамичность
угроз
Сложность
и
фрагментация
Сообщество злоумышленников целенаправленно ведет свою деятельность скрытно
60%
Данных
крадутся
за
ЧАСЫ
54%Проникновений
остаются
необнаруженными
МЕСЯЦАМИ
ГОДЫМЕСЯЦЫЧАСЫСТАРТ
85%вторжений
в
PoS
не
обнаруживаются
НЕДЕЛЯМИ
НЕДЕЛИ
51%увеличилось
число
компаний,
заявивших
о
потерях
в
$10M+ за
3
ГОДА
4. С
чем
мы
сталкиваемся?
Изменение
бизнес-‐моделей
Сложность
и
фрагментация
Динамичность
угроз
Вендоров ИБ
на
конференции
RSA 2015
Нехватка
персонала
ИБ
373 12x
Среднее
число
ИБ-‐
вендоров на
крупном
предприятии
50
Сложность ЛюдиФрагментация
6. Проблемы
с
традиционной
моделью
«эшелонированной»
безопасности
Слабая
прозрачность
Многовекторные и
продвинутые
угрозы
остаются
незамеченными
Точечные
продукты
Высокая
сложность,
меньшая
эффективность
Ручные
и
статические
механизмы
Медленный
отклик,
ручное
управление,
низкая
результативность
Наличие
обходных
каналов
Мобильные
устройства,
Wi-‐Fi, флешки,
ActiveSync,
CD/DVD и
т.п.
7. Современные
угрозы
требуют
большего,
чем
просто
эшелонированная
оборона!
54%
компрометаций
остаются
незамеченными
месяцами
60%
данных
похищается
за
несколько
часов
Они
стремительно
атакуют
и
остаются
неуловимыми
Целое
сообщество
злоумышленников
остается
нераскрытым,
будучи
у
всех
на
виду
100%
организаций
подключаются
к
доменам,
содержащим
вредоносные
файлы
или
службы
9. Угрозы
– не
единственная
причина
думать
об
ИБ
Страх
Соответствие
требованиям
регуляторов
Экономика
• Самая
популярная
причина
продажи
ИБ
со
стороны
вендоров (реальные
инциденты
и
мифические
угрозы)
• В
условиях
кризиса
не
работает
(есть
более
приоритетные
риски
и
угрозы
–колебания
курса,
нет
заимствований,
сокращение,
банкротство
контрагентов…)
• Наиболее
актуальная
причина
для
государственных
органов
• Средняя
актуальность
–крупные
предприятия
• Низкая
актуальность
–средний
бизнес
• Практически
неактуальна
–для
малого
бизнеса
• Очень
редко
когда
применяется
в
ИБ
• В
условиях
кризиса
приобретает
очень
важное
значение
10. Гипотезы
безопасности
Cisco
Консалтинг Интеграция УправлениеЗнание
угроз ПлатформыВидимость
Акцент
на
операционную
деятельность
Нехватка
персонала
+
Проблемы
безопасности
+
Требуется
изменение
отношения
к
ИБ
14. Серебряной
пули
не
существует…
“Captive
Portal”
“Это
соответствует
шаблону”
“Нет
ложных
срабатываний,
нет
пропусков.”
Контроль
приложений
FW/VPN
IDS
/
IPS
UTM
NAC
AV
PKI
“Запретить
или
разрешить”
“Помочь
МСЭ”
“Нет
ключа,
нет
доступа”
Песочницы
“Обнаружить
неизвестное”
15. Только
комплексный
подход
способен
решить
эту
задачу!
ДО
Обнаружение
Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ
Контроль
Применение
Усиление
Видимость
Сдерживание
Устранение
Угрозы
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
машины
Облако
В
определенный
момент Непрерывно
16. Портфолио
решений
Cisco создано
с
использованием
этого
подхода
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Угрозы
Видимость
и
контроль
Firewall
NGFW
NAC
+
Identity
Services
VPN
UTM
NGIPS
/
AMP
Web
Security
Email
Security
Advanced
Malware
Protection
Network
Behavior
Analysis
Экономика
Требования
регуляторов
Incident
Response
17. Стратегические
задачи
Интеграция
в
сеть,
широкая
база
сенсоров,
контекст
и
автоматизация
Непрерывная
защита
от
целенаправленных
угроз,
облачное
исследование
угроз
Гибкие
и
открытые
платформы,
масштабируемость,
всесторонний
контроль,
управление
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
устройства
Облака
Видимость
всего
и
вся Фокус
на
угрозы Платформы
18. Проблемы
с
традиционным
мониторингом
Admin
Базируется
на
правилах
• Зависимость
от
сложных,
создаваемых
вручную
правил
• Зависимость
от
человеческого
фактора
Зависимость
от
времени
• Занимает
недели
или
месяцы
на
обнаружение
• Требует
постоянной
настройки
Security
Team
Очень
сложно
• Часто
требует
квалифицированный
персонал
для
управления
и
поддержки
111010000 110 0111
Невозможно
противодействовать
в
одиночку
современным
угрозам
20. Мозг архитектуры безопасности Cisco
Действующее
соединение SMTP?
(ESA)
Ненадлежащий или
нежелательный
контент?
(ASA/WSA/CWS)
Место для контроля
и управления?
(ASA/WSA)
Вредоносное
действие?
(ASA/IPS)
Вредоносный контент на
оконечных устройствах?
(AnyConnect)
WWW
Репутация Сигнатуры
Сигнатуры
Исследование
угроз
Регистрация
доменов
Проверка
контента
Ловушки для
спама, ловушки
для хакеров,
интеллектуальные
анализаторы
Черные списки
и репутация
Партнерство
со сторонними
разработчиками
Правила и логика
для конкретных платформ
Cisco Talos
21. Доверяем
ли
мы
внешнему
облаку?
Полностью
публичное
облако Гибридное
облако(только
хэши файлов
в
облаке)
Полностью
частное
облако
(все
данные
у
заказчика)
Данные
из
облака
+
ThreatGRID
Требуется
лицензия
на
ПО
НЕТ
устройств
ThreatGRID
Данные
из
облака
+
Предварительный
анализ
хешей в
облаке
+
Данные
из
облака
+
Весь
анализ
в
облаке
(ThreatGRID)
+
AMP
Appliance
или подписка
на
ПО
ThreatGRID
Требуется
лицензия
на
ПО
AMP
Appliance
или подписка
на
ПО AMP
Appliance
или подписка
на
ПО
22. Cisco
Platform
Exchange
Grid
(pxGrid)
Что
более
полезно
с
точки
зрения
безопасности?
“Адрес
скомпрометированного
устройства 192.168.100.123”
-‐ ИЛИ
-‐
“Скомпрометировано
устройство iPad Васи
Иванова в
комнате
13”
Cisco
ISE
собирает
контекстуальные
“big
data”
из
множества
источников
в
сети.
С
помощью
Cisco
pxGrid эта
информация
«делится»
с
решениями
партнеров.
С
контекстуальными
данными ISE,
решения
партнеров
могут
более
аккуратно
и
быстро
идентифицировать,
нейтрализовывать и
реагировать на
сетевые
угрозы.
Повышение
эффективности
решений
партнеров
через
обмен
контекстом
23. Экосистема
решений
ISE как “Сервис контекста”, TrustSec
Архитектура открытой платформы
Разработка экосистемы SSP
Встроенная безопасность в ИТ
Мобильность (MDM), Угрозы (SIEM),
облачные решения
Комплексное партнерское решение
Lancope, «Сеть как сенсор»
Использование знания Сети
Текущая экосистема
партнеров Cisco
24. Экосистемные партнёры
Инфраструктура
API
ДО
Политика
и
контроль
ПОСЛЕ
Анализ
и
восстановление
Обнаружение
и
блокирование
ВО ВРЕМЯ
Инфраструктура
&
Мобильность
NACУправление
уязвимостями Обнаружение
пользовательских
событий Захват
пакетов Реагирование
на
инциденты
SIEMВизуализацияNetwork
Access
Taps
25. Ок,
у
Cisco
крутые
продукты,
что
дальше?
Дальше
это
выглядит
так,
как
будто
кто-‐то
вывалил
кучу
деталей
Lego
на
ковёр.
26. Необходимость
стройной
и
понятной
архитектуры
решений
Мы
не
знаем,
что
нам
делать
со
всеми
этими
деталями,
как
нам
получить
то,
что
на
картинке?
27. Мы
ориентируемся
на
конкретные
сетевые
зоны
Как
мне
обеспечить
безопасность
ЦОД?
И
от
чего?
Что
именно
мне
нужно
сделать,
чтобы
обезопасить
работу
сервисов
между
доверенной
и
партнёрской
зонами
в
ЦОД?
28. Нас
интересуют
практические
задачи!
Как
обезопасить
данные
кредитных
карт
от
кражи?
Какие
существуют
рекомендации
по
обработке
кредитных
карт
по
беспроводным
сетям?
Это
вообще
возможно?
29. Простота
всегда
побеждает
Вы
же
сами
рассказываете,
что
сложность
безопасности
растёт,
значит
надо
всё
делать
проще!
30. Цели
архитектуры
SAFE
• Упростить
сложное
• Показать,
как
УГРОЗЫ
связаны
с
ВОЗМОЖНОСТЯМИ
противодействия
средств
защиты
• Предоставить
эталонный
дизайн – ту
самую
картинку
на
коробке
Lego
32. Как
в
SAFE
выглядит
защита
от
угроз
и
соответствие
требованиям
регуляторов
для
филиала?
33. От
архитектуры
к
решению:
защищаем
филиал
на
20-‐99
пользователей
Маршрутизатор
ISR
S2S
VPN,
унифицированные
коммуникации,
Trustsec, CWS,
анализ
Netflow
Коммутатор
Catalyst
Контроль
доступа
+ Trustsec,
анализ
Netflow,
ISE
Безопасность
хостов
Антивирус,
AMP
for
Endpoints
Унифицированная
БЛВС
Контроль
доступа
+ Trustsec,
анализ
Netflow,
WirelessIPS,
ISE
WAN
ASA
с
сервисами
FirePower
FW,
NGIPS,
AVC,
AMP,
фильтрация
URL
Email
Security
Appliance
Централизованная
защита
email,
антиспам,
антивирус,
DLP,
AMP
ISE
+
Cisco
Threat
Defense
Централизованные ISE
и CTD
Контроль
доступа
+ Trustsec,
Проверка
на
соответствие,
Защита
от
угро на
основе
анализа
потоков
Netflow
Internet
34. От
решения
– к
низкоуровневому
дизайну
Маршрутизатор
ISR
ISR
4321
Коммутатор
Catalyst
Catalyst
3850-‐48
Безопасность
хостов
Антивирус,
AnyConnect 4.0,
AMP
for
Endpoints
Унифицированная
БЛВС
WLC
5508,
AP3701i,MSEv
ASA
с
сервисами
FirePower
ASA
5515
w/
FP
Services
Email
Security
Appliance
ESA
в
центральном
офисе
ISE
ISE в
центральном
офисе
Vlan 10
G1/1
G2/1
Trunk
G1/2
G1/23
G2/1
10.1.1.0/24
10.1.2.0/24
Vlan 12
12.1.1.0/24
WAN
Internet
35. Структура
документов
по
архитектуре
SAFE
Общий
высокоуровневый
обзор
архитектуры
Архитектурные
руководства
по
местам
в
сети
и
доменам
безопасности
Проверенные
дизайны
Cisco
Validated
Design
SAFE
Overview
Architecture
Guides
How
To
First
Look
DIGПроверено
36. Пример
руководств
по
проектированию
и
внедрению
безопасного
ЦОД
SAFE
Overview
Guide
Secure
Data
Center
Architecture
Guide
How
To
Deploy
ASA
Cluster
Secure
Data
Center
First
Look
Guide
ASA
Clustering
with
FirePOWER
Общий
высокоуровневый
обзор
архитектуры
Архитектурные
руководства
по
местам
в
сети
и
доменам
безопасности
Проверенные
дизайны
Cisco
Validated
Design
Проверено
37. Рекомендуемые
руководства
• Firewall
and
IPS
Deployment
Guide
• Remote
Access
VPN
Deployment
Guide
• Remote
Mobile
Access
Deployment
Guide
• VPN
Remote
Site
Over
3G/4G
Deployment
Guide
• Email
Security
using
Cisco
ESA
Deployment
Guide
• Cloud
Web
Security
Deployment
Guide
• Web
Security
using
Cisco
WSA
Deployment
Guide
• 5
BYOD
Deployment
Guides
• Teleworking
ASA
5505
Deployment
Guide
www.cisco.com/go/cvd
38. Состав
руководства
Цели
руководства
Обзор
архитектуры
Описание
решения
• С
бизнес
и
технологической
точки
зрения
Детали
внедрения
• Типовая
конфигурация
• Отказоустойчивость
• Управление
• Итоги
Список
продуктов
Пример
конфигурации
40. Если
вы
знаете, что
ваша
сеть
уже
скомпрометирована,
будете
ли
вы
защищаться
по
старому?
41. Не
видя
ничего,
ничего
и
не
обнаружишь
Сетевые
сервера
ОС
Рутера и
свитчи
Мобильные
устройства
Принтеры
VoIP
телефоны
Виртуальные
машины
Клиентские
приложения
Файлы
Пользователи
Web
приложения
Прикладные
протоколы
Сервисы
Вредоносное
ПО
Сервера
управления
ботнетами
Уязвимости
NetFlow
Сетевое
поведение
Процессы
43. Обнаружить,
понять
и
остановить
угрозу
?
Аналитика и
исследования
угроз
Угроза
определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
44. Непрерывная
защита
от
целенаправленных
угроз
Как
Что
Кто
Где
Когда
Аналитика и
исследования
угроз
История событий
Непрерывный анализКонтекст Блокирование
45. Только
комплексный
подход
способен
решить
поставленные
задачи
ДО
Обнаружение
Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ
Контроль
Применение
Усиление
Видимость
Сдерживание
Устранение
Угрозы
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
машины
Облако
В
определенный
момент Непрерывно
46. FirePOWER подчиняется
той
же
идее
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт
угроз
Видимость
и
контекст
Firewall
NGFW
Управление
уязвимостями
VPN
UTM
NGIPS
Web
Security
Исследования
ИБ
Advanced
Malware
Protection
Ретроспективный
анализ
IoC /
реагирование
на
инциденты
47. И
Cisco
Advanced
Malware
Protection тоже
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт
угроз
Видимость
и
контекст
Контроль
сетевого
доступа
Обнаружение
и
блокирование
вредоносного
кода
Ретроспективный
анализ
48. Cisco
ISE
также
поддерживает
этот
подход
и
объединяет
решения
Cisco в
единый
комплекс
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт
угроз
Видимость
и
контекст
Контроль
сетевого
доступа
Передача
контекста
Ограничение
доступа
и
локализация
нарушителей
• Cisco
ASA
• Cisco
FireSIGHT
• Cisco
ISR
• Cisco
Catalyst
• Cisco
Nexus
• Cisco
WSA
• Cisco
CTD
• SIEM
• pxGRID
49. Внедрение
ИБ
там
где,
нужно,
а
не
там,
где
получается
Малый
и
средний
бизнес,
филиалы
Кампус Центр
обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные
сервисы
ISR-‐G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный
ЦОД
Физический
ЦОД
Аналитический
центр
Talos
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица
ASA,
(сеть
SDN)
АСУ
ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
50. «Поэтому
и
говорится:
если
знаешь
его
и
знаешь
себя,
сражайся
хоть
сто
раз,
опасности
не
будет;
если
знаешь
себя,
а
его
не
знаешь,
один
раз
победишь,
другой
раз
потерпишь
поражение;
если
не
знаешь
ни
себя,
ни
его,
каждый
раз,
когда
будешь
сражаться,
будешь
терпеть
поражение.»
Сунь
Цзы.
Искусство
войны.