Обзор продуктов в области информационной...
TRANSCRIPT
10/15/2012
1
Обзор продуктов в области информационной безопасностиМихаил Кадер
• Вступление
• Межсетевые экраны
• Системы обнаружения и предоствращения вторжений
• Архитектура управления доступом Cisco TrustSec
• Система управления информационной безопасностью предприятия
• Заключение
План презентации
10/15/2012
2
Требование разнообразия устройств
Смешение частного и служебного
Нужен доступ к критичных ресурсам
Цель
Расширение спектра целевых угроз
Атаки на новые технологии
Рост экосистемы киберпреступности
# ! %
10/15/2012
3
Инкапсуляция коммуникаций
Виртуализация центров обработки данных
Переход к облачному хранению
# ! %
Рост трафика на ПК Драматический рост трафика в ЦОД
Взаимодействие видео и социальных сетей
# ! %
Business Pipeline
Социальные сети
Web-почта
Приложения
Hotmail
10/15/2012
4
Борьба и единство противоположностей
Внимание руководства
Рост
Глобализация
Соответствие
Привлечение людей
Разрешить
ВниманиеИТ
Соответствие
Риск-менеджмент
Регулирование
Персданные
Защитить
ВниманиеИБ
Рост сложности
� Не пустить плохих
� Пустить хороших
� Соответствовать
� Учесть BYOD
� Разрешить виртуализацию
� Быть готовым к облакам
Политика
Организационно – ?
Операционно – ?
Технологически – ?
Compliance Ops.
Network Ops.
Application Team
Endpoint Team
Security Ops.
HR
Контроль доступа
Identity Mgmt
Соответствие
Endpoint
Вторжения
Управления
Проводное
Беспроводное
VPN
В сети
Поверх сети
На устройстве
10/15/2012
5
ОТ К
Поэтапный дизайн# ! %
Координация систем
Точечные решенияУнифицированные точки применения политик
Ограничение обзораВсесторонний контроль на 360°
Проверка на «кошках» Проверенный дизайн
Требуется новый подход
Что объединяет всех?!
Видимость трафика
Маршрутизация запросовИсточники данных
Контроль потоков
Управление устройствами
Контроль пользователей
Контроль потоков
10/15/2012
6
Сеть
Элементы Cisco SecureX
• Объединить людей и информацию... Безопасно
Исследования в области ИБ
Политика
Управление
Точки приложения сил
� � � � � � � � � � & � � � � � � � � � � � � � � & � � � � � � � � � �
Cisco SecureX
� � � � � � � � � � � �� � � � � � � � � !Distributed
Workforce & BYODDistributed
Workforce & BYOD
Защищенный универсальный
доступ
Защита сетевого периметра
Threat DefenseThreat Defense
Защищенный переход к облачным
вычислениям
Virtualization & Cloud
Virtualization & Cloud
Application Visibility & Control
Application Visibility & Control
Авторизованное использование
контента" � � # � $ � � % & � � ' ( � � )* � & � � + � � & % , - � # � � � + %
10/15/2012
7
� � � � � � � � � � � � �� � � � � � � � � � � � � �� � � � � � � � � � �� � � � � � � � � � � � � � �E L A
Встроенная ИБ
Отдельная ИБ
Hardware
Software
От продуктов К решениям
Три основных трансформации Cisco ИБ
B o r d e r l e s sN e t w o r k s D a t a C e n t e r /V i r t u a l i z a t i o nC o l l a b o r a t i o n S e r v i c eP r o v i d e rSecureX
Интегрированная безопасность
10/15/2012
8
Что влияет на продуктовую линейку?
� � � � � � � � � � � � � �
( � � ) � � �� � � & � # � ( � �� � � � � % & � ,� � ( ' # , � � � � �
� � � � � � � � � � : P C I 1 . 0 / 2 . 0 H I P A A S O X � � � 1 5 2 ! " # $Сервисы:
Сеть:
Distributed
Workforce & BYOD
Threat
Defense
Virtualization
& Cloud
Application
Visibility & Control
Исследование угроз:
Политика:
Web Security Appliance
VPN
Identity Services Engine TrustSec
Cisco Advanced Services Partner Shared Services
AnyConnect
Cloud Web Security
WLAN Controller
Adaptive Security
Intrusion Prevention
Virtual Security Gateway
Nexus 1000v
Router Security
Email | Web Security
Adaptive Security (CX)
Router Security
Web Security
Adaptive Security
NCS Prime: Networks/Security
Router Switch Appliance Cloud Virtual
Identity Services Engine
Что входит в портфолио Cisco по ИБ
10/15/2012
9
Межсетевые экраны
Новый модуль ASA для Catalyst 6500
Показатель Значение
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
10/15/2012
10
Cisco Virtual Security Gateway
VirtualizationSecurity
V-Motion (Memory)
V-Storage (VMDK)
VM Segmentation
Hypervisor Security
VM Sprawl
Patch Management
VM OS Hardening
Role Based Access
Physical Security
Virtual Security Gateway на Nexus 1000V с vPath
Место Cisco Virtual Security Gateway
SecurityAdmin
Port Group
ServiceAdmin
Virtual Network Management Center• Консоль управления VSG
• Запуск на одной из VMs
Virtual Security Gateway• Программный МСЭ
• Запускается на одной из VMs
• Сегментация и политики для всех VMs
Nexus 1000V with vPath• Распределенный virtual
switch
• Запускается как часть гипервизора
Физический сервер• UCS или
• Другой x86server
10/15/2012
11
Cisco ASA 1000V Cloud Firewall
• Проверенные технологии Cisco теперь и для виртуализированных сред
• Совместная модель безопасности
– VSG для зон безопасности на уровне одного заказчика
– ASA 1000V для контроля безопасности границы между заказчиками
• Бесшовная интеграция
– С Nexus 1000V & vPath
• Масштабирование по необходимости
Cisco ASA 5500 Series Appliance�Еще совсем недавно
M u l t i � S e r v i c e( F i r e w a l l / V P N � I P S )
Perform
ance
and Sca
lability
D a t a C e n t e rC a m p u sB r a n c h O f f i c eS O H O I n t e r n e t E d g e
ASA 5585 SSP-60(40 Gbps, 350K cps)
ASA 5585 SSP-40(20 Gbps, 200K cps)
ASA 5585 SSP-20(10 Gbps, 125K cps)
ASA 5585 SSP-10(4 Gbps, 50K cps)
ASA 5540 (650 Mbps,25K cps)
ASA 5520 (450 Mbps,12K cps)
ASA 5510 (300 Mbps,9K cps)
ASA 5505 (150 Mbps, 4K cps)
ASA 5550 (1.2 Gbps, 36K cps)
ASA 5580-20 (10 Gbps, 90K cps)
ASA 5580-40(20 Gbps, 150K cps)
10/15/2012
12
ASA 5512-XПропускная способность межсетевого экрана 1 Гбит/с
ASA 5515-XПропускная способность межсетевого экрана 1,2 Гбит/с
ASA 5525-XПропускная способность межсетевого экрана 2 Гбит/с
ASA 5545-XПропускная способность межсетевого экрана 3 Гбит/с
ASA 5555-XПропускная способность межсетевого экрана 4 Гбит/с
� � � � � � � � � � � � � � � � � � � � �� � � � � � � � � � � � � � � � � � / �Для удовлетворения растущих требований к пропускной способности� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � (дополнительное оборудование не требуется)Для поддержки меняющихся потребностей бизнеса � � � � � � � � � � � � � � � � � � � �� � � � � � � � � � � � � � � � � � � Для защиты инвестиций
5 новых моделей Cisco ASA 5500-x
Создание высокопроизводительного центра обработки данных®®®
� � � � � � !" # � $ % & ' ( �� � � � � � !" # � $ % & ' ( � ) ' & * + , & � * $ � # - & . $ -) ' & * + , & � * $ � # - & . $ - / # � . $ � ' * + � 0 * !/ # � . $ � ' * + � 0 * !����������������
64-разрядное
ПО
10/15/2012
13
Кластеризация:согласованный коэффициент масштабирования
• Общая пропускная способность = Кол-во x Пропускная способность одного узла x Коэффициент масштабируемости� � � � � � .
Кластер из 4 узлов с Cisco® ASA 5585-S60 сEMIX обеспечивает 64 миллиона подключений и пропускную способность 64 Гбит/с.
• Коэффициент линейного масштабирование независимо от количества� � � � � � .
Если кластер из 4 узлов поддерживает 32 миллиона подключений, кластер из 8 узлов будет поддерживать 64 миллиона подключений для трафика того же профиля.
• Общая кол-во подключений = Кол-во x Кол-во подключений одного узла x Коэффициент масштабируемости� � � � � � .
Кластер из 4 узлов с Cisco ASA 5585-S60 может поддерживать 32 миллиона подключений.
Кластеризация:высокая доступность
• Все устройства в кластере являются активными и передают трафик.
• Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу.
• В случае сбоя узла проведение сеанса переходит на резервные устройства.
• Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу.
10/15/2012
14
Управление кластеризацией
• Единая консоль конфигурации и автоматическая синхронизация конфигурации в кластере.
Управление кластером из 8 устройств осуществляет всего один экземпляр Cisco ASDM.
• Обработка удаленных команд выполняется на узле.
• Статистические данные использования ресурсов в рамках кластера
Использование ресурсов ЦП и памяти для � � � � � �узла.
Использование канала управления кластером.
• Поддержка Cisco® Security Manager
Кластеризация:мастер конфигурации
Slide 27
jz1 Please replace "Andaman" with the actual release nameJudith Ziajka, 7/6/2012
10/15/2012
15
Кластеризация:системная панель мониторинга
Кластеризация:использование ресурсов
Использование ресурсов ЦП и
памяти для � � � � � �узла в кластере
Количество подключений в
секунду для всего кластера и для каждого узла
10/15/2012
16
Кластеризация:вкладка «Пропускная способность»
Общая пропускная способность и пропускная способность каждого узла
Кластеризация: сведения о распределении нагрузки и использовании канала управления кластером
Использование канала
управления кластером
Распределение нагрузки между
членами кластера
10/15/2012
17
Кластеризация:захват пакетов
Интеграция решения МСЭ и web-защиты Cisco Cloud Web Security
10/15/2012
18
Лучшее в своем классе
Лучшая в своем классебезопасность сети
Лучшая в своем классеweb-защита на основе
облака
Обзор решения для web-защиты Cisco Cloud Web Security
Script
Flash
Java
.exe
� � � � � � � � �� � � � � � A VWeb-
страница
«Чистый»
контент
Известные вредоносные программы заблокированы
� � � � � � �� � � � � �� � � � � � � � � � � � � � � � � � � � � �� � �� � � � ! � �" � � � # � � �$ � � � � � � � � � �� � � % � � � �� � � � � � � �Да
Новыевредоносные программы
заблокированы
Web-контент
Контроль исходящего трафика
Script-сканирова
ние
Сканированиерепутации
PDF-сканирова
ние
Flash-сканирова
ние
Java-сканирова
ние
Exe-сканирова
ние
��������
10/15/2012
19
Cisco CloudWebSecurity:прозрачность и контроль web-приложений
ЧТО
Классификация и контроль web-трафика
Более 1000 приложений
Подробная классификация и контроль поведений микроприложений и приложений
Более 75 000 микроприложений
� � � � � � � �# � � # � " � � � �" # � " � � � � " � �
Конфигурация Cisco ASA
10/15/2012
20
Гибкая реализация политик
• Web-защита на основе облака с учетом контекста• Поддержка перенаправления контекста в решение Cisco ScanSafe Cloud Web Security• Несколько антивирусных механизмов и сканеров web-содержимого• Cisco ScanSafe Cloud Web Security и Cisco AVC поддерживают более 1000 web-приложений и 75 000 микроприложений
?®��������
��������
� � � � � � � � � � � � � ���������� � � � � � � � � � �� � � � � �� � � � . � � � �* % $ � � � % ,� # ' � %
C I C
Cisco TrustSec: расширение политик безопасности Cisco ASA
10/15/2012
21
Метка групп безопасности
SGT f Пользователь, группа, состояние, код устройства, IP-адрес, сертификат��
Основа Cisco TrustSec:Cisco ISE
10/15/2012
22
SGT: расширение политики Cisco ASA
Правила Cisco TrustSec® можно использовать в сочетании с правилами на основе пяти кортежей в устройстве Cisco® ASA. Для настройки политик можно использовать SGT (0008) или имя группы безопасности (sgt_marketing).
Объединение всех компонентов
� � � �� � � � � � � � �Каталоги AD
и LDAP
S X P
SGT (003)SGT (003)
Пользователь = kpahareПользователь = kpahare
SXP
� � � � � � � � � � � � � � � � �SGT = 003
®
10/15/2012
23
Основные моменты
• Решение Cisco TrustSec® поддерживается только частью коммутаторов; оно позволяет выполнять поэтапные развертывания.
• SGT может быть функцией одного или нескольких атрибутов. Допускает использование сложных правил политик.
• Политики доступа Cisco® ASA могут быть сочетанием SGT и правил на основе пяти сетевых признаков.
Пользователь = G u e s t
аутентифицируется с � � � � � � � � � _ i P a d
и ему назначаетсяSGT = 1 0 0 / G u e s t ( � & . $ - ) .На устройстве Cisco ASA: { если SGT = 100; разрешить доступ � � � � � � _ � _ � � � � � � � �
}
Пользователь = k p a h a r eаутентифицируется с
i P a d ( # � # � � � � � $ � � % � # � � � � � _ % � � # � % )и ему назначается SGT = 0 0 9 / B Y O D .На устройстве Cisco ASA: {если SGT=009; разрешить доступ � � � � � � _ $ � _ $ � � � � � � � , _ r d p к - # � % � � � � . / _ $ � # � � 0 � � # 1 / }Пользователь = k p a h a r e
аутентифицируется с � � � $ � � % � # � � � � � % � � # � %и ему
назначается SGT = 0 0 7 / Q u a r a n t i n e ( 9 � ' � $ * ) . Антивирусное ПО было отключено. После включения антивирусного ПО пользователю k p a h a r e
назначается 0 0 8 / C o m p l i a n t ( . & & $ , � $ . $ , @ � $ ) .На устройстве Cisco® ASA: { если SGT = 008; разрешить
$ � � � . B _ C � � � , $к - # � % � � � � . / _ $ � # � � 0 � � # 1 / }
Примеры сценариев использования
10/15/2012
24
Параметры правил Cisco ASA 9.0
* Предполагает группы объектов для IP-адресов.
Источник Назначение ДействиеI P � � � � � � � �� � � � � � � � � A D � � � � � �� � � � � � � �� � � � � � � � � � � I P � � � � � �� � � � � � � �� � � � � � � � � � � � � � � � � � � � Любой [email protected] 10.1.1.1
Любой Любой � � � � � � i P a d � � � � � � � � � � � � http Разрешить
Любой Любой
� � � � � � � �� � � � �� � � � � � � � �� � � � � � � � �� � � � � � � � � �� � � � � � � � � ( H V D ) C R Mhttp Разрешить
Любой Любой
� � � � � � � �� � � � � � � �� � � � � � �� � � � � � � � � �� � � � � � � � � ( H V D ) � � � � � � � � � �� � � � � � � �� � � � � https Разрешить
Любой Любой � � � � �Любой � � � � �
Любой Запретить
Поддержка МСЭ IPv6
10/15/2012
25
Текущая поддержка IPv6
• Адресация интерфейсов
• Списки доступа IPv6
• Статическая маршрутизация по протоколу IPv6
• Обнаружение соседей по протоколу IPv6
• Межсетевой экран в контекстах безопасности по протоколу IPv6
• Прослушиватель MLDv2 в однопользовательском режиме по протоколу IPv6
• Модули проверки приложений с поддержкой IPv6 включают сквозное пропускание по протоколам FTP, HTTP, ICMP, SIP, SMTP и IPsec
• IPv6 в режиме прозрачного межсетевого экрана (уровень 2)
• Поддержка IPv6 в Cisco® Adaptive Security Device Manager (ASDM).
• Туннелирование VPN между площадками по протоколу IPv6, IKEv1 и IKEv2
• Аварийное переключение по протоколу IPv6
• Заголовок расширения IPv6
• Поддержка Cisco ASDM по протоколу IPv6
Унифицированный список контроля доступа
10/15/2012
26
Поддержка OSPFv3
Улучшения мультиконтекстных возможностей на МСЭ ASA
10/15/2012
27
Cisco ASA 9.0:несколько контекстов
OSPFv2 EIGRP/ & # � , & � 9 + � ( " # ! ' & , ," & � � � ' � * , � � ( � �� # ! 9 � � � & � & 9 & $ � 9 . $ � 2 (процессы) 1 (экземпляр)) & � � � ' � 9 � 9 & $ � 9 . $ �Пользователь и администратор) & � � � ' � 9 � " � ' � 9 ' � $ * !
Да (область) Да (активный-резервный)) & � � � ' � 9 � & � � � � &* $ � ' % � � . � Да� � * * $ & $ � � * $ � ' % � � .C L I , ( @ # - $ * � *& � & 9 & $ � 9 . $ & (' � � * ( � � Да
Cisco ASA 9.0: VPN-подключения между площадками в мультиконтекстном режиме
(этот выпуск).
• VPN-подключения между площадками по протоколам IKEv1 и IKEv2:IPv4 и IPv6
• Поддерживаются все режимы аварийного переключения:
«активный/активный» и «активный/резервный»
• Конфигурация аналогична конфигурации в режиме одного контекста
• Ограничения и распределения ресурсов в системном контексте:распределение и распределение при резком увеличении спроса на лицензии
10/15/2012
28
Cisco ASA 9.0:смешанный мультиконтекстный режим
Кластеризация
IPv6
Cisco® Cloud Web Security
Улучшения мультиконтекстных возможностейСмешанный режим
Cisco TrustSec®
Шифрование нового поколения
Бесклиентские VPN-подключения
Улучшения производительности и масштабируемости
VPN-подключения в Cisco ASA-SM
10/15/2012
29
Новый прикладной МСЭ Cisco ASA CX и система управления Cisco Prime Security Manager
Понимание контекста
Классический МСЭ ASA
Так было�
Устройство Интегрированное решение Виртуализация
� � � � � � � � � � � � � � � � � � � � �
10/15/2012
30
Cisco ASA CXCisco ASA CX
Понимание контекста
Классический МСЭ ASA
Так стало
Устройство Интегрированное решение Виртуализация
� � � � � � � � � � � � � � � � � � � � �
ASA CX – новый прикладной МСЭ
• Межсетевой экран нового поколения
• Context-Aware Firewall
• Активная/Пассивная аутентификация
• Application Visibility and Control/DPI с анализом контента
• Репутационная фильтрация � � � � �� � � � � � / � � � � � � � �� � �
10/15/2012
31
Идентификация пользователей
• Покрытие широкого спектра сценариев идентификации
* Future
КТО
TRUSTSEC*N e t w o r k I d e n t i t yGroup informationAny tagged traffic
U s e r A u t h e n t i c a t i o n• Auth-Aware Apps• Mac, Windows, Linux• AD/LDAP user credential
A D / L D A P I d e n t i t y• Non-auth-aware apps• Any platform• AD/LDAP credential
IP SurrogateAD Agent
NTLMKerberos
Анализ работы приложенийЧТО
75,000+ MicroApps
M i c r o A p p E n g i n eГлубокий анализ трафика приложений� � � � � � � �� � � � � � � � � �Контроль действий пользователя внутри приложений
� � � � � � � � �� классификация всего трафика
1,000+ приложений
10/15/2012
32
Фильтрация URL бизнес-классаЧТО
Маркетинг Юристы Финансы
языков
стран
mn URLs
покрытие
60
200
20
98%
Политики на базе местоположенияГДЕ/ОТКУДА
ОФИС
ОТЕЛЬ
10/15/2012
33
Идентификация устройств
• Информация с 100,000,000 оконечных устройств
Устройство Состояние
AV
Registry Files
Версия ОС
Identity Services Engine
КАК
Полный контекст. Плюс знание угроз
� � � � �� � � � � � / � � � � � � � �� � � Знание угрозЗнание угроз
10/15/2012
34
Полный контекст. Плюс знание угроз
www.facebook.com G OCisco SIO
Когда использовать ASA, а когда ASA CX?
ASA
ASA CX
10/15/2012
35
А в чем разница между WSA и ASA CX?
WSA
ASA CX
ASA CX – модуль для ASA 5585-X
10/15/2012
36
Один или два?
Заказчику нужен только ASA CX? Пусть заказывает один модуль в шасси 5585-X!
Заказчику нужен ASA и ASA CX? Пусть заказывает два модуля в шасси 5585-X!
Cisco Prime Security Manager
• Система управления для ASA CX
• Встроенный в ASA CX для управления одним МСЭ
• Отдельное устройство для поддержки нескольких ASA CX
• RBAC
• Конфигурация, события и репортинг
• Виртуальная машина или устройство UCS
10/15/2012
37
Cisco ASA CXCisco ASA CX
Понимание контекста
Классический МСЭ ASA
Объединяя все вместе
Понимание угроз
Новое поколение систем предотвращения вторжений Cisco IPS
10/15/2012
38
Семейство специализированных устройств IPS Cisco
� �������������� ,������� �������� ,�����������
� � � � � �� � � � � �� � � � � � �� � � � � �� � � � C i s c o I P S 4 3 6 0C i s c o ® I P S 4 3 4 5
� � � � � � � � � � � � �� � � � � �
C i s c o I P S 4 5 1 0C i s c o I P S 4 5 2 0� � ! " # $ � � ! " # $ � � ! " # $ � � ! " # $
Семейство интегрированных устройств ASA-IPS Cisco
� �������������� ,������� �������� ,�����������
� � � � � �� � � � � �� � � � � � �� � � � � �� � � � S O H O � � � � � � � � � � � � �� � � � � �
C i s c o A S A 5 5 8 5 ) X )S 6 0 P 6 0C i s c o A S A 5 5 8 5 )S 4 0 P 4 0C i s c o A S A 5 5 8 5 )S 2 0 P 2 0C i s c o A S A 5 5 8 5 )S 1 0 P 1 0C i s c o ® A S A 5 5 1 2 )X I P S C i s c o A S A 5 5 1 5 ) X I P SC i s c o A S A5 5 2 5 ) X I P S C i s c o A S A5 5 4 5 ) X I P S C i s c o A S A 5 5 5 5 ) X I P S
� � ! " # $ � � ! " # $ � � ! " # $ � � ! " # $ � � ! " # $
10/15/2012
39
Cisco ASA серии 5500-X IPS
• Платформа межсетевого экрана нового поколения с поддержкой сервисов
• Устройства ASA среднего уровня с функцией ПО IPS с учетом контекста
• Cisco® ASA 5525-X , ASA 5545-X и ASA 5555-X имеют аппаратное ускорение для IPS.
• 1 интерфейс Gigabit Ethernet
• Доступны платы расширения ввода-вывода
• Специализированная платформа IPS среднего уровня с учетом контекста
• Четырехкратное увеличение производительности Cisco® IPS серии 4200 за половину стоимости
• Обработка с аппаратным ускорением Regex
• Интерфейсы Gigabit Ethernet
• Платы аппаратного обхода будут доступны в октябре
Устройства Cisco IPS серии 4300
10/15/2012
40
Устройства Cisco IPS серии 4500
• Специализированные высокоскоростные устройства IPS с учетом контекста
• Обработка с аппаратным ускорением Regex
• Развертывания на уровне ядра ЦОД или предприятия
• Интерфейсы Gigabit Ethernet, интерфейсы 10 Gigabit Ethernet и слот SFP
• Масштабируемость: доступен слот для будущего наращивания мощностей
Сравнение оборудования Cisco IPS 4300 и IPS 4500
Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520� � � � � � � � � � � � � �1RU 1RU 2 RU (шасси) 2 RU (шасси) � � � � � � � 4 ядер
4 потока 4 ядер8 потока
8 ядер16 потока
12 ядер24 потока � � � � �
8 GB 16 ГБ 24 ГБ 48 GB� � � � � � � � � � � � � � � � �8 x 1 GE Cu 8 x 1 GE Cu
6 x 1 GE Cu
4 x 10 GE SFP
6 x 1 GE Cu
4 x 10 GE SFP� � � � � � � � R e g e xОдинарный Одинарный Одинарный Двойной� � � � � � � � � � � Постоянное значение
переменного тока2 с возможностью горячей замены
2 с возможностью горячей замены
2 с возможностью горячей замены
10/15/2012
41
Cisco IPS 4510
) ' & * + , & � * $ � # - & . $ -• Реальный средний показатель: 3 Гбит/с• Реальный диапазон показателей: 1.2-5 Гбит/с• Транзакционная передача по HTTP: 5 Гбит/с� � ' � 9 $ � ' * . $ * 9 * " # � $ % & ' ( � :• 2 RU (шасси)• Многоядерный ЦП корпоративного класса (8
ядер, 16 потоков)• 24 ГБ ОЗУ• Резервный источник питания• Аппаратное ускорение Regex• Открытый слот (в верхней части) для
использования в будущем� � . $ � ' � + , � ' $ � , � * !• Средние и крупные предприятия• ЦОД кампуса• Требуется 3 Гбит/с реальной пропускной
способности IPS• Требуется резервный источник питания• Требуется специализированная система IPS
� � � A U X �� � � � � �� � � � � � � � � � � � � �� � � � � � � � � �6 GE Cu� � � � � � � � � �� � � � � � � � �
� � � �� � � � � � � �� � � � � � �� � � � � � � � � � � �( � � � � � )� � � � � � � � � � � � � �� � � � � � � � � �
4 слота 10 GE SFP
2 � � � � �U S B
Cisco IPS 4520
) ' & * + , & � * $ � # - & . $ -• Реальный средний показатель: 5 Гбит/с• Реальный диапазон показателей: 2.5-7.7 Гбит/с• Транзакционная передача по HTTP: 7,6 Гбит/с� � ' � 9 $ � ' * . $ * 9 * " # � $ % & ' ( � :• 2 RU (шасси)• Многоядерный ЦП корпоративного класса (12
ядер, 24 потоков)• 48 ГБ ОЗУ• Резервный источник питания• Аппаратное ускорение Regex (x2)• Открытый слот (в верхней части) для
использования в будущем� � . $ � ' � + , � ' $ � , � * !• Средние и крупные предприятия• Центр обработки данных• Требуется 5 Гбит/с реальной пропускной
способности IPS• Требуется резервный источник питания• Требуется специализированная система IPS
� � � A U X �� � � � � �� � � � � � � � � � � � � �� � � � � � � � � �6 GE Cu� � � � � � � � � �� � � � � � � � �
� � � �� � � � � � � �� � � � � � �� � � � � � �� � � � � ( � � � � � )� � � � � � � � � � � � � �� � � � � � � � � �
4 слота 10 GE SFP
2 � � � � �U S B
10/15/2012
42
� � � � � � � � � � � � � � � � � � � � � � �C i s c o I P S 4 5 0 0• Прозрачна и незаметна в сети• Ввод-вывод на основе IPS• Нормализация под управлением IPS• Свободный слот для использования в
будущем� � � � � � � � � � � � � � � � � � � � � � �C i s c o A S A 5 5 8 5 � X I P S• Прозрачность как вариант.• Ввод-вывод принадлежит межсетевому
экрану.• Нормализацией управляет межсетевой экран.• Для выбора политики IPS доступны
дополнительные возможности (5 элементов потока, код пользователя и т. д.).
Варианты в центре обработки данных: Cisco IPS 5585-X и Cisco IPS 4500
Реальная методология тестирования
• Определение максимальной пропускной способности с помощью сочетания различных протоколов и размеров пакетов.
• Для оценки используются средние показатели пяти тестов.
• Сочетание типов трафика зависит от типа и расположения сети.
• В тестах используются стандартные профили приложений пределов прочности (сочетания трафика).
• Тестирование предоставляет клиентам рекомендации.
• Клиенты могут легко воспроизвести тесты.
• Тесты не имеют отношения к компании Cisco.
10/15/2012
43
Производительность Cisco IPS 4500 в режиме inline
0 12345678
Реальный средний показатель Транзакционная передача по HTTP4 5 1 0 4 5 2 0
Максимальная производительность (Гбит/с)
Сравнение производительности Cisco IPS 4500� � � � � � Cisco IPS 4510
Cisco IPS4520� � � � � � � � � � � � � � � � � � � �( � � � � / � ) Cisco использует пять сторонних
тестов, которые показывают составсмешанного трафика
развертываний.
3 5� � � � � � � � � � �� � � � � � � � � � � � � � � � ( � � � � / � ) Максимальные уровни пропускной способности при полной проверке
трафика.5 10� � � � � � � � � � � � � � � � � �� � � � � � Беспроблемная обработка
всплесков подключений.72,000 100,000� � � � � � � � � � � � � � � � � �� � � � � � � � � � � � � � � � � Динамично функционирующим
центрам обработки данных требуется большое количество
подключений.
3,800,000 8,400,000� � � � � � � � � � � � � � � Задержка может привести к проблемам транзакций и повлиять
на производительность.< 150 мс < 150 мс
10/15/2012
44
Контекстно-зависимая архитектура IPS
Прозрачность контекста
IPS
Cisco® SIO
Политика с учетом контекста
Политика с учетом контекста
в режиме Inline, корреляция в устройстве
в режиме Inline, корреляция в устройстве
в режиме Inline, оценка рисков для бизнеса на основе
контекста
в режиме Inline, оценка рисков для бизнеса на основе
контекста
Проверка политики с учетом контекста
Текущие средства контроля:
Порт IP
Протокол
Сети VLAN
Работа с копией трафика и режим inline
Требуются гибкие средства контроля для приведения политики в соответствие с направлениями угроз, повышения производительности проверки и снижения количества ложноположительных результатов.
10/15/2012
45
Встроенная корреляция определяетсовременные атаки
ИД обходанормализации
трафика
Анализ протокола
ИД атаки требуется полная прозрачность среди нескольких сигнатур, пользователей, протоколов и других компонентов
� � � � �� � � � � � � � � XСигнатура A 10:17Сигнатура B 10:19Сигнатура C 10:19
Контекстная динамическая оценка угроз
Уникальные параметры контекста формируют точную оценку бизнес-рисков
Риск д
ля
бизнеса
Обнаружение и применение рисков объекта атаки и
злоумышленника из Cisco® SIO и локальные данные
Внутренняя репутацияГлобальная репутацияКонтроль признаков
операционной системыКонечное значение
Контексты атакиКонтексты злоумышленника и объекта атаки
Поток встроенной корреляции Механизм действий
Риск д
ля
бизнеса
Обнаружение и применение рисков эксплойтов из Cisco SIO
СерьезностьТочность
10/15/2012
46
Архитектура IPS с учетом контекста
• Понимание бизнес-рисков
• Точность
• Быстродействие
• Эффективность
• Прозрачность
Инновации в управлении угрозами
• Динамическая оценка бизнес-рисков
• Контекстные данные для точного определения риска и соответствующего действия
• Встроенная корреляция, выполняемая немедленно (не после свершения)
• Отправка уведомлений или эскалация (если необходимо)
Cisco IPS для АСУ ТП
Все типы оборудования• SCADA• DCS• PLC• SIS• EMS
• Все основные производители
• Schneider• Siemens• Rockwell• GE, ABB • Yokogawa• Motorola• Emerson• Invensys• Honeywell• SEL
• И это не конец�
10/15/2012
47
Cisco IPS: возможности управления
• Cisco® Security Manager 4.3
• Cisco IPS DeviceManager 7.1(4)*
• Cisco IPS DeviceManager 7.1(5)
• Cisco IME 7.2.3
* При первых поставках клиенту Cisco IPS 4510 и IPS 4520 поставляются с 7.1(4).
Cisco Security Manager 4.3• Единое интегрированное приложение
• Унифицированный графический интерфейс дляполитики управления и устранения неполадок межсетевого экрана, устройств IPS и VPN.
• Управление устройствами безопасности корпоративного класса.
• Управление сотнями устройств безопасностиCisco®.
• Часть семейства управляемых устройств Cisco Security Managerс выпуска CiscoSecurity Manager 4.3.
• Мониторинг состояния и производительности (Cisco®ASA and Cisco IPS).
• Управление образами (Cisco ASA).
• Закрепляемый Policy Object Manager и глобальный поиск объектов.
10/15/2012
48
Cisco IDM 7.1(5)
• Поддержка расширенного декодирования HTTP.
• Профили угроз для характерной для развертывания настройки (ЦОД и периметр) с помощью мастера.
• Статистические данные о нагрузке для выполнения анализа.
• Поддержка новых платформ.
Развертывание шаблонов с помощьюCisco IDM 7.1(5)
• Базовая настройка сигнатур, адаптированная для различных расположений в сети
• Текущая поддержка только на платформах с аппаратным ускорением Regex
• Пошаговый мастер
• Шаблон, предназначенный для ЦОД
10/15/2012
49
Архитектура Cisco TrustSec
КОГДАЧТО
ГДЕ
КАККТО
Идентификация
Атрибуты политики безопасности � � � � � � � � � � � � � � � � � � � � � � � � �
Политики, относящиеся к бизнесу
Пользователи и устройства
Динамическая политика и реализация
УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ
МОНИТОРИНГ И ОТЧЕТНОСТЬ
РЕАЛИЗАЦИЯ ПОЛИТИК БЕЗОПАСНОСТИ
Портфель решений Cisco TrustSec
Администрированиеполитики
Принятие решений на базе политик
Реализацияполитик
На основе TrustSec
Информация о политике
На основе TrustSec
Доступ на основе идентификации — это не опция, а свойство сети,включая проводные, беспроводные сети и VPN
Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, инфраструктура беспроводной сети и маршрутизации
Cisco ASA, ISR, ASR 1000
Identity Services Engine (ISE) Система политик доступа на основе идентификации
Агент NAC Web-агент
AnyConnect или запрашивающий клиент, встроенный в ОС
Запрашивающий клиент 802.1x
Бесплатные клиенты с постоянным или временным подключением для оценки состояния и устранения проблем
10/15/2012
50
Контроль идентификационных данных� � � � � � � � � � � � � � � � � � �� � � � � � � � � � � �Режим монитора
Гибкая последовательность аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных настольных систем
* � � � ' � % � � � C i s c o C a t a l y s t ®Web-
аутентификация
Функции аутентификации
IEEE 802.1x Обход аутентификации по MAC-адресам
Web-аутентификация
Полная прозрачность
Сетевое устройство
802.1X
IP-телефоны
Авторизо-ванные
пользователи
Гости
MAB и профилирование
Планшеты
На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации
Идентификация устройств
ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯМножество устройств в проводной и беспроводной сети
Должно быть предусмотрено управление политиками для каждого типа устройств
Необходима гарантия того, что устройство соответствует цифровым меткам
Быстрый рост числа устройств
и идентификация для реализации политик
Проблема
10/15/2012
51
Политика дляличного iPad
[ограниченный доступ]
Точка доступаПолитика для
принтера
[поместить в VLAN X]
Идентификация устройств
Принтер Личный iPadI S E C D PL L D PD H C PM A C � � � �C D PL L D PD H C PM A C � � � �ПРОФИЛИРОВАНИЕ УСТРОЙСТВ
Для проводных и беспроводных сетей� � � � � � � �� � � � � � � �� � � � � � � �Полная прозрачность
Точкадоступа
� � � � � " � " � �� � $ � � � � � �
СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO� � � � � � � ! "Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE
� # � � � $ % $ � � & $ 'ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства
� ( � � $ ) � & $ 'ISE реализует доступ на основе политик для данного пользователя и устройства
Эффективная классификация устройств
с использованием инфраструктуры
Решение
Анализ с учетом контекста:оценка состояния
Временный ограниченный доступ к сети до устранения
проблем
Пример политики для сотрудника• Исправления и обновления Microsoft
установлены
• Антивирус McAfee установлен, обновлен и работает
• Корпоративный ресурс проходит проверку
• Приложение предприятия выполняется
Проблема:• Наличие сведений о
работоспособности устройства
• Различие уровней контроля над устройствами
• Затраты на устранение проблем
Ценность:• Временный (на web-основе) или
постоянный агент
• Автоматическое устранение проблем
• Реализация дифференцированных политик на основе ролей
Пользователь проводной,
беспроводной, виртуальной сети
Полная прозрачность
Не соответствует требованиям
10/15/2012
52
Гостевые политики
Анализ с учетом контекста:управление гостевым доступом
Гости
Web-аутентификация
Беспроводный или проводной доступ
Доступ только к Интернету
Выделение ресурсов:гостевые учетные записи на спонсорском портале
Уведомление: сведения о гостевой учетной записи в бумажном виде, по электронной почте или SMS
Управление: права спонсоров,
гостевые учетные записи и политики, гостевой портал
Отчет: по всем аспектам гостевых
учетных записей
Интернет
Полная прозрачность
Масштабируемая реализация� � � V L A N� � � � � � � � � � � � � �� � � � � � � � ( A C L )� � � � � � � � �� � � � � � � � � � � *� � � � � � � � � M A C S e c *
Управление доступом на
основе политик
Реализация политики
Удаленный пользователь
VPN
Пользователь с беспроводным
доступом
Пользователь с проводным доступом
Устройства
Абсолютный контроль
* =
СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ
И УЧЕТОМ КОНТЕКСТА
Виртуальный рабочий стол
Центр обработки данных Интранет Интернет
Зоны безопасности
� " " � $ � ! !C i s c o
10/15/2012
53
TrustSec: авторизация и реализация политик
Динамические или именованные ACL-списки
• Меньше перебоев в работе оконечного устройства (не требуется смена IP-адреса)
• Повышение удобства для пользователей
Сети VLAN
• Не требует управления ACL-списками на портах коммутатора
• Предпочтительный выбор для изоляции путей
Доступ для групп безопасности
• Упрощение управления ACL-списками
• Единообразная реализация политик независимо от топологии
• Детализированное управление доступом
� � � � �VLAN 4VLAN 3
� � � � � � � �� � � � � � � � � � � � � � � � � � � � �� � � � � � � � �Любой IP-адрес
Доступ для групп безопасности — SXP, SGT, SGACL, SGFW
Гибкие механизмы реализации политик в вашей инфраструктуреШирокий диапазон доступных клиенту вариантов доступа
Абсолютный контроль� " " � $ � ! !C i s c o
Политики на основе понятного технического языка
Повышение уровня реализации политик во всей сети
Таблица доступа согласно политике на основе ролей
Ресурсы
D1(10.156.78.100)
Медицинские карты
пациентов
D3(10.156.54.200)
Электронная почта
в интранет-сети
D5(10.156.100.10)
Финансовая служба
D6
D4
D2
Разрешения $ � � � � � �)� � � � � � � � � � �� � � � � � � � �� ! " $ " � � � �� � � � � � � � � ! � ! " � # ! �# $ � � �� $ � ! � " � � Врач Интернет IMAP
Нет доступа
Совместный web-доступ к файлам
Финансовая служба
Интернет IMAP Интернет Нет доступа
ИТ-админист-
ратор
WWW, SQL, SSH
Полныйдоступ
SQL SQL
Матрица политик
Совместный web-доступ к
файлам
permit tcp S1 D1 eq httpspermit tcp S1 D1 eq 8081deny ip S1 D1…………permit tcp S4 D6 eq httpspermit tcp S4 D6 eq 8081deny ip S4 D6
Требует затрат времениРучные операцииПредрасположенность к ошибкам
ПростотаГибкостьУчет характера деятельности
permit tcp dst eq 443permit tcp dst eq 80permit tcp dst eq 445permit tcp dst eq 135deny ip
ACL-список "Врач - карта пациента"
Врачи
Финансовая служба
ИТ-администраторы
S1(10.10.24.13)
S2 (10.10.28.12)
S3 (10.10.36.10)
S4 (10.10.135.10)
Отдельные пользователи
10/15/2012
54
HR Server #110.1.200.50
Finance Server #110.1.200.100
VSG
ASA
10.1.200.254
10.1.204.2546506
F i n a n c eF i n a n c e F i n a n c eH R✓
10.1.204.126
Nexus 7000Agg VDC
ISE
SXP IP Address 10.1.204.126 = SGT 5
EAPOL (dot1x)
RADIUS (Access Request)
RADIUS (Access Accept, SGT = 5)
SG ACL MatrixIP Address to SGT Mapping
Nexus 7000Core VDC
Пример контроля доступа в ЦОД с ISE
WLAN AP
Access Switch
AdaptiveSecurity
Appliance (ASA)
Identity Services
Engine (ISE)
CertificateAuthority
(CA)
Mobile Device
Manager (MDM)
WirelessRouter
IntegratedServicesRouter G2(ISR G2)
AggregationServices
Router (ASR)
Campus
SwitchingCore
Branch Office
Home Office
ActiveDirectory
(AD)
AnyConnect
WLAN Controller(WLC)
PrimeNCS
RSASecure ID
� $ � � � � � & & % ,� � � ! � � � � � � & & % ,+ � � - � � % � � � & % ,� � � !Internet
Mobile Network
Public Wi-Fi
WAN
Архитектура Cisco для BYOD BYOD
устройстваПроводной, Беспроводный,
Мобильный доступыШлюзы безопасности Инфраструктура защиты и
управлениям политикамиИнфраструктура доступа
10/15/2012
55
Сценарии использования BYOD
Сценарий Ограниченный Базовый Расширенный Передовой� � ) & � �- � # � � � + % Блокировать доступДоступ по ролям из сети
Гранулир. доступ внутри и снаружи
Полноценноемобильное рабочее место" � �� � � � � % & � ,
� � � & � # � ( � �• Знать “кто” и “что”включено в сеть
• Давать доступ только корпоративным устройствам
• Предоставлять персональным и гостевым устройствам доступ в Интернет и ограниченному числу внутренних ресурсов
• Гранулированныйдоступ изнутри сети
• Гранулированный удаленный доступ к ресурсам через Интернет
• Использование VDI
• Обеспечениеродных приложений для мобильных устройств
• Управление мобильными устройствами (MDM)
Cisco Switches, Cisco Routers, Cisco Wireless LAN InfrastructureСетевая
инфраструктура
Управление
Идентификация и политики
Удаленный доступ и
безопасность
Приложения
Cisco Prime NCS
Third Party MDM
Cisco Identity Services Engine
Cisco ASA/ESA/WSACisco AnyConnectScanSafe
Корпоративные приложения и VDI
Унифицированный клиент AnyConnect
• Клиент IPSec/SSL/DTLS VPN
– Client/Clientless
• Оценка состояния
• Location-Specific Web Security
– На периметре (Ironport WSA) или черезоблако (ScanSafe)
• Защищенный доступ в облако через SSO
• Контроль сетевого доступа
– 802.1X Authentication and Posture
– MACsec encryption
– Cisco TrustSec devices (план)
• Windows, Mac, Linux, Windows Mobile, Apple iOS, Palm, Symbian, Android, Windows Phone (план)
Internet-Bound Web Communications
ScanSafe
10/15/2012
56
Гибридное решение для обеспечения защищенного доступа к web-ресурсам
Новости Электроннаяпочта
Социальные сети КорпоративнаяSaaS-система
Cisco WSA
Обмен данными между ASA и WSA
Corporate AD
ASA
AnyConnect
Secure Mobile Device Management
Wired или Wireless
Cisco CatalystSwitches
Window или OS X ПК
Cisco WLAN Controller
ISE
MDM Mgr* � & � � + � � & % ,- � # � � � + %
Смартфоны, включая устройства с iOS или
AndroidWireless
AD/LDAP
User X User Y
? Интеграция с лидерами рынка MDM
• MobileIron, Airwatch, Zenprise, Good
• Заказчики могут выбирать
Функции:
• Всесторонний анализ устройств
• Детальный контекст пользователей и устройств
• Расширенная защита устройств и приложений
10/15/2012
57
Управление безопасностьюsco Security Manager 4.3
Краткий обзор CSM� Комплексное � � � � � � � � � �� � � � � � � � �
для FW, VPN и IPS на разнотипных устройствах (ASA, IPS, FWSM, PIX, ISR/ASR)
� � � � � � � � � � � � � � � � � � � �—
события межсетевого журнала (Syslogs) и IPS (SDEE)
� � � � � � � � � � � � �� � � � � � � � � � � � �для ASA и
IPS
�� � � � � �
для межсетевых экранов и устройств IPS
� � � � � � � � � � � � � � � � �для ASA и
IPS
� A P I для доступа к политике� Поддержка
� � �устройств в
одном развертывании
� � � � � � W i n d o w s:
конструктивные параметры устройства, также доступен в виде установки ПО
Cisco Security Manager
� � � � � � � � � �� � � � � ! � " � � � � � � � � � � �# $ � � � � � " �% & � '( � ) � � * � � +* � ) � � * ,* � �� � � � � � � � � �� ) � � - � " �
. � � � / � 0 *A P I
10/15/2012
58
� - � � � � ) � � � � % & & �� - � � % � � � - � � � � - � � � & � � � ) � - % � & � � � �� � % # ! & � � � ) ' # ! � % � � � � � ' - � % � # � & � �� � � ! �
Cisco Security Manager
Представление политик
Представлениеустройств
Представление топологии
Управление межсетевыми экранами
Перенос политик на несколько устройств и переопределения объектов обеспечивают согласованное определение политик.
� & � # � . & , � & . $ - Интуитивный графический интерфейс с представлениями политик и объектов.
� � � � � � � �Наследование политик обеспечивает реализацию корпоративных политик.
� � � � � � � � � � � � � � � � I S R A S R
10/15/2012
59
Управление межсетевыми экранами
Поиск пользователей и групп пользователей на основе установки и сопоставления Active Directory.
� $ � � ' � 0 * ! A D Политики моделирования на основе пользователей и групп пользователей
) & # - + & , � $ � # * *� ' @ " " �" & # - + & , � $ � # � �Политики моделирования на основе FQDN (например, apps.cisco.com).
) & # � �� & ( � � � * ( � �
Средства повышения производительности межсетевых экранов
Сопоставление событий с политиками упрощает процесс изучения администратором.
� � � � � � � �Интегрированное средство отслеживания пакетов для глубокой диагностики и устранения неполадок.
� � � � � � � � � �� � � � � � � � �Число попаданий в список ACL, запрос правил и отслеживание сроков действия упрощают базовые функции политики.
� � � � � � � � �� � � � � � � � � � � � � � �� � � � � � � � � � � � � � � �
10/15/2012
60
Управление IPS
Согласованные сигнатуры и реакции на события в датчике IPS.
� & � # � . & , � & . $ -Технология глобального сопоставления на основе репутаций обеспечивает защиту сети в упреждающем режиме.
� " ' � � � � � � � !+ � � * $ �
� � � � � � �I P S ASA AIP IDSMI O S I P SНавигация IPS от уведомлений к
сигнатурам обеспечивает быструю настройку проблемных сигнатур.
� � � � � � � � � �� � � � �
Средства повышения производительности IPS
Отчеты об инвентаризационных данных и лицензиях IPS, а также автоматические обновления лицензий упрощают выполнение повседневных задач.
) ' & + ' � & . $ -* , � $ � ' * + � 0 * & � � � � � �Автоматические обновления сигнатур и пакетов обеспечивают оперативную защиту IPS.
� " � ' � $ * , � !+ � � * $ �� � � � C S M
I P S I P S I P SI P S
Cisco
Навигация IPS от уведомлений к сигнатурам обеспечивает быструю настройку проблемных сигнатур.
) ' & . $ � !� * � � & . $ * 9 � *@ . $ ' � � * � � " & # � � & 9
10/15/2012
61
Подготовка сетей VPN
Простота развертывания в среде из тысяч устройств, включая неуправляемые устройства сторонних поставщиков.
� � � � � � � � � � � � � � � � � � � � � � � � � � � � �� � � � � � � � � � � � � �Возможности производственного развертывания для поддержки существующих VPN-подключений.
� * * ( � # - & � � ' @ � � * �" ' & * + , & � * $ � # - & . $ *Простой в использовании мастер установки сетей VPN обеспечивает точность настроек на разных устройствах.
� # & � � �' � + , � ' $ � , � * !� � . $ � ' . & + � � * !. � $ � � V P NI P S e c G R E D M V P N G E T V P N E a s yV P N I P S e cR A S S LV P N
Управление событиями
Детализация привязки события к политике позволяет выполнять анализ основных причин и точную настройку правил.
� � , * � � 0 * ! & $. & � � $ * � 9" & # * $ * 9 �Представления событий ASA, IPS и VPN в режиме реального времени и в хронологической последовательности.
� � � � � � � � � �� � � � � � � � � � �� � � � � � �� � � � � � � � � � � � �� � � � � � � � � � � � � �Гибкие и комплексные критерии событий исключают возникновение помех.
( * # - $ ' � * � . $ ' � * , � � ( � �" ' � � . $ � , # � * ! A S AIPS VPN
10/15/2012
62
Мониторинг состояния и производительности
Кроме мониторинга ресурсов устройств, можно также контролировать параметры трафика (нагрузка для выполнения анализа, пропущенные пакеты).
� & * $ & ' * � I P SВозможность мониторинга ресурсов устройств ASA, параметров трафика (количество подключений и т. д.), аварийного переключения.
� & * $ & ' * �( � � . � $ � , � �� 9 ' � & ,Пользователь может контролировать состояние туннеля, пользователей RAVPN и т. д.
� & * $ & ' * � . � $ � �V P NA S A
IPS VPN
Пользователь может управлять уведомлениями на основе важных данных об устройствах (ЦП, память, срок действия лицензии, состояние интерфейса и т. д.).
� " ' � , # � * �@ , � � & ( # � * ! ( *
Управление образами
Пользователи могут создавать комплекты образов (образ ASA, образы AnyConnect и т. д.) для развертывания.
/ & ( " # � 9 $ �& � ' � + & ,Подход на основе мастеров для проверки, развертывания обновлений для образов, отправки уведомлений об их выпуске (включая аварийное переключение).
� " ' � , # � * �& � ' � + � ( * A S AИнтеграция с CCO, функцией подачи заявок CSM, развертыванием работ, утверждениями и т. д. для обеспечения удобной работы пользователей.
) ' & . $ � !* $ � � ' � 0 * !A S A
IPS VPN
10/15/2012
63
Тактическая отчетность
Данные можно экспортировать в формат PDF/Excel. Отчеты можно запланировать для отправки по электронной почте.
� + � - � � � � � ' � � � �- # % & � � ' � � �� � � � � Отчеты, созданные на основе данных событий ASA, IPS и VPN.
� � � � � � & � �& % � � � % � � % � � �� � � � � Данные можно наглядно представить в форматах схем и таблиц.
� � � � � � % # � � A S AIPS VPN
Повышение эксплуатационной эффективности
• Механизм подачи заявок с интеграцией на основе URL-адресов
• Режим рабочих процессов с процессом утверждения
• Глобальный семантический поиск во всех политиках
• Встроенные функции RBAC (контроля доступа на основе ролей)
• Архивация конфигураций
• Автоматическое резервное копирование и восстановление
10/15/2012
64
Cisco Security Manager 4.3
В CSM 4.3 представлены новые возможности, связанные с мониторингом состояния и производительности, управления образами, доступна на основе интерфейсов API, а также целый ряд усовершенствований в других областях.� & , � � , & + ( & � & . $ * C i s c o S e c u r i t y M a n a g e r 4 . 3
• Мониторинг состояния и производительности устройств ASA и IPS.• Управление образами для устройств ASA.• Доступ на основе API к данным конфигурации политики CSM.• Представление концепции комплектов политик для назначения нескольких
политики нескольким устройствам.• Интеграция подачи заявок для отслеживания изменений политик.• Глобальный поиск устройств, политик и объектов политики во всей базе
данных конфигурации.• Поиск сведений об использовании объектов.• Автообнаружение конфликтов для удаления ненужных записей из таблицы
правил.• Обновления Policy Object Manager для улучшенной навигации.• Поддержка новых моделей — ASA 5512, 5515, 5525, 5535, 5545 и 5555.• Поддержка нового оборудования Cisco IPS серии 4300.
Новое впечатляющее меню
Старые страницы CS
10/15/2012
65
Подача заявок
• Связывание изменений с заявками
• Поиск на основе ИД или описания заявки
• Просмотр измененных заявок по развертыванию
• Настройка и запуск по URL-адресу внешней системы подачи заявок
• Сведения о последней измененной заявке, отображаемые в POM и правилах межсетевого экрана
• ИД заявки не является обязательным; допускаются повторяющиеся записи
• Возможность указания нескольких ИД заявок, разделенных запятыми
• Ticket Manager отображает журнал всех заявок
• В новой установке эта возможность включена по умолчанию
• После обновления существующие настройки рабочих процессов и другие параметры остаются без изменений
• Для отключения возможности нужно последовательно выбрать Admin Settings (Настройки администрирования) -> Ticket Manager
10/15/2012
66
Поиск сведений об использовании —устройства, политики, объекты...
Улучшения Policy Object Manager
• Настраиваемые избранные типы объектов в дереве типов объектов
• Отображение 10 последних измененных объектов в дереве
• Просмотр сведений о ссылках на объекты с помощью одного щелчка
• Больший объем информации в таблице• Количество переопределений (если имеются) или переопределяемых объектов
• Дата последнего изменения и последняя измененная заявка (или пользователь)
• Полное описание
• Объект, который был указан в ссылке или нет (при нажатии кнопки «Referenced» (Ссылка на))
• Перетаскивание и размещение объектов• Из POM в представление правил межсетевого экрана и из представления объектов в
представление групп
• Копирование, печать, экспорт (CSV)
• Дерево типов объектов с возможностью поиска
• Поддержка быстрой фильтрации
10/15/2012
67
Policy Object Manager
Прочие улучшения
• Семантическая фильтрация (IP / сеть) поддерживается в фильтрах таблиц объектов политик сети и узлов, а также в таблицах правил межсетевых экранов.
• Копирование в виде текста в буфер обмена из большинства компонентов пользовательского интерфейса, таких как дерево, список, таблица, текст.
• Поле быстрой фильтрации, используемое в таблицах «Инвентаризационные данные», «Activity/Ticket Manager», «Policy Objects Manager» и «Сигнатуры IPS».
• Возможность поиска во всех деревьях (иерархических структурах) в Configuration Manager.
• Добавлен параметр «Expand-All / Collapse-All» (Развернуть все / Свернуть все) для всех деревьев и таблиц.
• С экрана входа в клиент CSM удален параметр «Enable / Disable Https connection» (Включить /отключить соединение по протоколу HTTPS). Соединение по протоколу HTTPS используется не всегда.
• Теперь в представлении политики отображаются прямые назначения устройств, наследование и назначения с помощью комплектов политик.
• Экспорт детализированной общей политики.
• Настраиваемая панель инструментов.
10/15/2012
68
Новая функция обнаружения конфликтов. Общие сведения
• Автоматическая функция — ACD• Функция, на основе которой выполняются практические действия —
AACD• Встроенные отчеты о конфликтах — при просмотре отчетов можно
изменять правила. Таким образом решается проблема использования, связанная с имеющимся средством анализа правил.
• Функция используется только для автоматического обнаружения конфликтов. Она не предоставляет возможности их автоматического устранения.
• Она поддерживается только в интерфейсе с примененными правилами доступа.
• Отчеты о конфликтах формируются на основе источника, назначения, сервисов, пользователей, интерфейсов. Значения других полей (например, для указания диапазона времени и параметров ведения журнала) не учитываются.
• Конфликты внутри объектов не поддерживаются.
Поддержка функций идентификации для средств межсетевой защиты
� Фильтрация трафика на основе идентификационных данных поддерживается с версии CSM 4.2.
� Уже поддерживаются такие средства, как «Запрос политики», «Найти и заменить», «Срок действия правила».
� CSM 4.3 расширит поддержку средств межсетевой защиты для учета критериев идентификации в правилах межсетевых экранов.
� Сочетание правил — принятие во внимание не только сетей, интерфейсов и сервисов, но и пользователей.
� Количество попаданий — отображение количества попаданий для записей правила доступа, содержащих пользователей.
� Импорт правил — усовершенствованная возможность импорта групп пользователей и правил доступа с помощью групп объектов.
� Оптимизация внутреннего списка ACL — улучшенная возможность оптимизации ACL на основе не только сетей, интерфейсов и сервисов, но и пользователей.
10/15/2012
69
Поддержка функций идентификации для средств межсетевой защиты (продолжение)
Возможности монитора состояния и производительности (Health and Performance Monitor, HPM)
• Предоставление возможностей мониторинга для устройств ASA,VPN и IPS
• Предоставление графиков тенденций важных показателей
• Предоставление сводной панели для отображения объединенных сведений о состоянии, уведомлениях и значениях показателей в рамках представления
• Предоставление механизма уведомлений для различных отслеживаемых параметров
• Предоставление набора предопределенного представления мониторинга.
• Предоставление пользователям возможности создания, редактирования, изменения настраиваемого представления мониторинга
10/15/2012
70
Возможности HPM — мониторинг ASA
• Мониторинг ASA распространяется на следующие типы показателей:
• ресурсы устройства — ЦП, память, интерфейсы;
• параметры трафика — количество подключений, скорость подключений, количество трансляций, скорость трансляций, отброс пакетов, включая отброс при обнаружении угрозы, пропускная способность.
• Параметры аварийного переключения
• Уведомления ASA
• Уведомления об аварийном переключении
• Уведомления о состоянии интерфейса
• Уведомления об использовании ресурсов ЦП
• Уведомления об использовании ресурсов памяти
Возможности HPM — мониторинг сетей VPN
• Мониторинг сетей VPN распространяется на следующие типы параметров:
• Мониторинг активного туннеля между площадками
• Мониторинг пользователей удаленного доступа (RA) —пользователи – web-клиента VPN, IPSec и SSL, клиента Anyconnect.
• Сводные данные о сетях VPN — сводное представление для туннеля между площадками, сеансов удаленного доступа, сведений о лицензиях и сертификатах.
10/15/2012
71
Возможности HPM — мониторинг IPS
�� � � � � � � � � � A S A � � � � � � � � � � � � � � � � � � � � � � � � � � � � �� � � � � � � � � :•
� � � � � � � � � � � � � � � �— ЦП, память, интерфейсы;
•� � � � � � � � � � � � � � � �
— нагрузка для выполнения анализа, пропущенные пакеты, режим обхода;
•� � � � � � � � � I P S
— основное приложение, приложение для датчиков, приложение для совместной работы.
•� � � � � � � � � � � � � � � � I P S � � � � � � � � � � � � � � � � �
•� � � � � � � � � •
� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �•
� � � � � � � � � � � � � � � � � � � � � � � � � � •
� � � � � � � � � �•
� � � � � � � � � � � � � � � � � �•
� � � � � � � � � � � � � � � � � � � � � � � � � � � �•
� � � � � � � � � � � � � � � � � � � � � � � �•
� � � � � � � � � � � � � � � � �•
� � � � � � � � � � � � � � � � � � � � � � � � �Возможности HPM — представление мониторинга
Дерево представления мониторинга
Дерево представления мониторинга
Панель сводных данных
Панель сводных данных
Сведения о выбранных устройствах
Сведения о выбранных устройствах
Вкладка «Alerts» (Оповещения)
Вкладка «Alerts» (Оповещения)
10/15/2012
72
CSM Image Manager - Общие сведения� CSM Image Manager обеспечивает полное управление образами для
устройств ASA.
� Это средство используется на различных этапах процесса обновления образов для устройств ASA, предоставляя следующие возможности:� � � � � � � � и поддержка � � � � � � � � различных типов и версий образов, � � � � � образов, � � � � влияния обновления этих образов на устройства (в анализ входит влияние обновления
на конфигурацию устройств), � � � � � � � � � и � � � � � � � � обновления и
предоставление надежного способа � � � � � � � устройств с использованием встроенных механизмов резервирования и восстановления, что способствует сокращению времени простоев.
• Недостатки предыдущего решения, RME, для управления образамиRME больше не входит в комплект CSM.
Обновление образа с помощью RME рассматривалось как изменение OOB в CSM и требовало повторного обнаружения устройств, что приводило к потере назначенных и общих политик в CSM.
Механизм RME поддерживал только системное ПО. Отсутствует поддержка образов ASDM и других образов SSLVPN.
Отсутствует поддержка обновления аварийного переключения ASA, которое присутствует в большинстве развертываний ASA.
Сценарии использования управления образами
� Поддержка репозитория различных типов и версий образов ASA.
� Проверка доступности новых образов на сайте Cisco.com.
� Загрузка образов с сайта Cisco.com.
� Проверка и анализ влияния обновлений образов на устройства.
� Совместимость устройств с образами.
� Объединение совместимых образов в комплект.
� Планирование обновления образа одного или нескольких устройств. Контроль пошагового выполнения операции обновления.
� Управление изменениями для операций по обновлению образов.
10/15/2012
73
Преимущества Image Manager� Полное управление образами для ASA** — поддержка системы ASA,
ASDM, CSD, Hostscan, Anyconnect и подключаемого модуля SSLVPN (RDP, Telnet, SSH и т. д.).
� Поддержка обновления пары аварийного переключения «Активный/резервный».
� Тесная интеграция с Configuration Manager — пользователь получает уведомления о влиянии обновления образа на конфигурацию устройства в CSM и сведения о действиях, которые необходимо выполнить до и после обновления, чтобы обеспечить беспрепятственное управление конфигурациям устройств в CSM.
� Надежные обновления — проверки совместимости образов, проверки требований к ОЗУ, проверки объема флэш-памяти, уведомления о влиянии на конфигурации и т. д.
� Управление файлами флэш-памяти ASA.
� Комплект образов — объединение совместимых образов и их быстрое развертывание.
� Элементарные проверки надежности на ранних этапах становления управления образами SSLVPN в Configuration Manager. Вывод сообщений о недостатке места.
� Поддержка внешнего диска в ASA — диска 1.
Встроенные функции контроля доступа на основе ролей (RBAC)
• Выпуски ACS, вышедшие после версии 4.x, больше нельзя использовать в качестве решения RBAC для CSM. NRBAC предоставляет те же функции RBAC, которые присутствовали в ACS для CSM. Эти функции встроены в CSM, поэтому их использовать гораздо проще.
• Одной из ведущих мотиваций перехода на RBAC является возможность разделения обязанностей (Separation Of Duties, SOD).
– снижение риска случайного повреждения или мошенничества
– ограничение доступа к объектам (устройствам и политикам)
• Что изменилось?
– Common Services (CS) имели авторизацию на уровне задач и поставлялись только с пятью стандартными ролями. Они не обеспечивали детализацию RBAC на уровне устройств.
– При использовании NRBAC вводится детализация на уровне устройств и поставляется восемь (7 + 1) стандартных ролей. 1 роль не требуется для CSM.
• Сохраняется поддержка ACS 4.x.
10/15/2012
74
Стандартные роли, поставляемые с CSM
� Стандартные роли совпадают с ролями ACS � 5 ролей являются общими для CS и CSM
� 1 роль является специальной для CS
� 2 роли являются специальными для CS
Специальные ролиCSMЛицо, утверждающее системыбезопасности
Администратор систембезопасности
Специальная роль CS
Суперадминистратор
Общие роли
Утверждающее лицо
Служба поддержки
Администратор сети
Оператор сети
Системный администратор
Задачи приложений
� Задачи приложения назначаются ролям. Задача может относиться к одному конкретному приложению или использоваться для двух или более приложений.
Типы приложений[AUTOUPDATE] — серверавтообновления
[CSM] — Cisco Security Manager
[CS] — Common Services
ПРИМЕЧАНИЕ. Изменить разрешения для стандартных ролей нельзя.
10/15/2012
75
Группа устройств
� Группы устройств представляют собой контейнеры для устройств и используются в конфигурации авторизации на уровне устройств.
� Устройство может входить в несколько групп устройств.
ПРИМЕЧАНИЕ. Устройство может быть связано с несколькими группами устройств [ 1:n ]. Для конфигурации NRBAC не требуется связывать с пользователем все группы устройств. Достаточно только одной группы устройств.
Вывод. В системе могут находиться группы устройств, имеющие связанные устройства, но никогда не использовавшиеся для авторизации NRBAC на уровне устройств.
Различные типы авторизации в NRBAC
Полная авторизация
Авторизация на уровне задач
Авторизация на уровне устройств
10/15/2012
76
Другие функциональные возможности
� NRBAC предоставляет возможность авторизации внешним серверам идентификации, используемым для аутентификации.
� Удаленных пользователей AAA следует создать локально и назначить им роли.
� К некоторым серверам аутентификации, которые поддерживаются CS, относятся ACS 5.x как сервер TACACS+, Microsoft AD, локальная аутентификация Windows.
• Создание настраиваемой роли
• Создание новой строки привилегии запрещено.
• Следует использовать с осторожностью.
• ACS 4.x по-прежнему поддерживается «как есть». Требуется повторная регистрация, поскольку в CSM добавлены дополнительные строки привилегий для новых возможностей.
Заключение
10/15/2012
77
В заключение
� � � � � � � �Кто Что Как Где/откуда Когда� � � � � �� � � � �
Dynamic UpdatesOperations CenterSensorBase� � � � � � � � � � �� � � � � � � � � И н т е г р и р о в а н н а яи н ф р а с т р у к т у р аИ н т е г р и р о в а н н а яи н ф р а с т р у к т у р а В ы с о к о с к о р о с т н а яс п е ц и а л и з и р о в а н н а яз а щ и т аВ ы с о к о с к о р о с т н а яс п е ц и а л и з и р о в а н н а яз а щ и т а О б л а ч н ы ев ы ч и с л е н и яО б л а ч н ы ев ы ч и с л е н и яСтоит ли класть все яйца в одну корзину?
• Сложность
• Операционные затраты
• Число уязвимостей
• Обучение специалистов
• Поддержка
• Эксплуатация и управление
• Мониторинг и устранение неисправностей
• Конфигурация и обновление
• Интеграция
10/15/2012
78
Хотите узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco