Архитектура безопасности cisco safe
TRANSCRIPT
![Page 1: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/1.jpg)
Архитектура безопасности Cisco SAFE
![Page 2: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/2.jpg)
Что лучше – зоопарк или целостная система?
![Page 3: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/3.jpg)
Сложность системы увеличивает вероятность ошибки!
![Page 4: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/4.jpg)
Точечные продукты не умеют «говорить» друг с другом
![Page 5: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/5.jpg)
Излишняя фокусировка на предотвращении
![Page 6: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/6.jpg)
Вендоры продают решения для борьбы с сегодняшними угрозами…
![Page 7: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/7.jpg)
![Page 8: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/8.jpg)
Cisco SAFE - это решение названных задач
![Page 9: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/9.jpg)
Как защитить ваш центр обработки данных?
![Page 10: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/10.jpg)
Что нужно для защиты данных, циркулирующих между сегментами с высокими и низкими требованиями по безопасности?
![Page 11: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/11.jpg)
Как защитить данные платежных карт в местах снятия наличных?
![Page 12: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/12.jpg)
Каковы лучшие практики по защите данных платежных карт, передаваемых по беспроводной сети?
![Page 13: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/13.jpg)
Cisco SAFE
![Page 14: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/14.jpg)
Это действия и противодействия
Это теория игр
Упрощенная, но действенная модель
SAFE – это модель
![Page 15: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/15.jpg)
Мы стартуем с определения актуальных угроз…
![Page 16: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/16.jpg)
С чем мы боремся:угрозы
Перенаправление
Добавление услуг
Черви
Вирусы
Пользователи,выдающие себя за других
Шпионское ПО
Утечки
Трояны
Шпионские программы
Зомби
Командаи управление
DDoS
Атаки нулевого дня
Разрушение
Просачивание наружу
Проникновение
![Page 17: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/17.jpg)
…и защищаемся от них
![Page 18: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/18.jpg)
• SAFE снижает сложность
• Игровая модель позволяет упростить общение на одном языке
• Достоверные и проверенные архитектуры и дизайны с базовым уровнем безопасности
Что такое SAFE?
![Page 19: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/19.jpg)
• SAFE позволяет решить операционные проблемы на всем жизненном цикле атаки «До — Во время — После» (Before – During – After)
• SAFE обеспечивает компаниям согласованность, необходимую для обеспечения безопасности, защиты и проверки их сетей на ежедневной основе
SAFE накладывается на жизненный цикл атаки BDA
ДООбнаружение Блокировка
Защита
ВО ВРЕМЯ ПОСЛЕКонтроль
Применение политик
Сдерживание
ОхватИзоляция
Устранение
Жизненный цикл атаки
Сеть Оконечныеустройства
Мобильныеустройства
Виртуальныерешения
Облако
Момент времени Непрерывно
![Page 20: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/20.jpg)
• Снижение сложности• Предоставление эталонной модели • Целостный взгляд на защиту всего предприятия, а не только
отдельных его компонентов• Интеграция всех компонентов между собой• Возможность поэтапной реализации
Преимущества Cisco SAFE
![Page 21: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/21.jpg)
С чего начать?
![Page 22: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/22.jpg)
Жизненный цикл угрозы
Защита в момент времени Непрерывная защита
Сеть ПК Мобильное устройство Виртуальная машина Облако
Жизненный цикл внутренней угрозы
ИсследованиеВнедрение политик
Укрепление
ОбнаружениеБлокированиеЗащита
ЛокализацияИзолированиеВосстановление
ДО АТАКИ ВО ВРЕМЯ АТАКИ
ПОСЛЕ АТАКИ
![Page 23: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/23.jpg)
Ключ к Cisco SAFE
![Page 24: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/24.jpg)
Мы должны защитить ключевые сегменты
Взгляд со стороны инфраструктуры
Это буква «В»в модели BDA (выстраивание
системы отражения вторжений)
ДОКонтроль
Применениеполитик
Сдерживание
![Page 25: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/25.jpg)
Взгляд со стороны эксплуатации
Не забывать про непрерывность защиты
Это буквы «D» и «А»модели BDA
(выстраивание системы реагирования на
инциденты)
Обнаружение Блокировка
Защита
ВО ВРЕМЯ ПОСЛЕОхват
ИзоляцияУстранение
![Page 26: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/26.jpg)
Защищенное управление
Управление устройствами и системами с использованием централизованных сервисов—критически важно для согласованного внедрения политик, управления изменением потоком операций и возможности обеспечения исправления систем. Управление координирует политики,объекты и изменения
![Page 27: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/27.jpg)
Аналитика угроз
Обеспечивает глобальное определение и агрегацию появляющегося вредоносного ПО и угроз. Предоставляет инфраструктуру для динамического применения политик, так как репутация согласуется с учетом контекста новых угроз. Таким образом обеспечивается комплексная и своевременная защита.
![Page 28: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/28.jpg)
Соответствие требованиям
Регулирует политики, как внутренние, так и внешние.Показывает, как несколько средств управления можно реализовать в одном решении. Примеры соответствия внешним требованиям— PCI DSS, СТО БР ИББС, 382-П, ФЗ-152 и другие
![Page 29: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/29.jpg)
Сегментация
Устанавливает границы для данных, пользователей и устройств. В традиционной ручной сегментации для применения политик используется сочетание сетевой адресации, сетей VLAN и возможностей межсетевого экрана. В усовершенствованной сегментации используется инфраструктура на основе контекстной идентификации для применения политик автоматически и с возможностью масштабирования, что значительно снижает трудности при эксплуатации
![Page 30: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/30.jpg)
Защита от угроз
Обеспечивает мониторинг наиболее трудно выявляемых и опасных угроз (например, целенаправленных атак). Для этого используются такие возможности, как анализ телеметрии и репутации сетевого трафика, а также учет контекста. Обеспечивает возможности оценки характера и потенциального риска подозрительной деятельности в сети с целью принятия соответствующих мер для предотвращения кибератаки
![Page 31: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/31.jpg)
Защищенные сервисы
Включает такие технологии, как управление доступом, виртуальные частные сети (VPN) и шифрование. Также обеспечивает защиту небезопасных сервисов, например, приложений, инструментов совместной работы и беспроводного доступа
![Page 32: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/32.jpg)
Ключ к Cisco SAFE
![Page 33: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/33.jpg)
Архитектура Cisco SAFE
![Page 34: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/34.jpg)
Поэтапное упрощение вопроса обеспечения безопасности
Фаза возможностей Фаза архитектуры Фаза дизайна
![Page 35: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/35.jpg)
1. Этап «Возможности»
![Page 36: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/36.jpg)
ЦОД
Банкомат
WAN
Дочернее предприятие
Электронная коммерция
Центральный офис
Банк
Интернет-периметр
Соответствие требованиям
Разбейте сеть на элементы и области
![Page 37: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/37.jpg)
С помощью чего мы боремся: возможности
Управлениедоступом
с использованиемTrustSec
Анализ/корреляция Обнаружениеаномалий
Анти-вредоносное ПО
Анти-спам Мониторинги контроль
приложений (AVC)
Безопасностьклиента
Cisco Cloud WebSecurity
Предотвращениеутечки данных
База данных Защитаот DDoS-атак
Шифрованиеэлектроннойпочты
Защитаэлектроннойпочты
Коммутацияфабрики
Межсетевойэкран
Межсетевойэкран
Анализ потока Идентификация Авторизация
Идентификация Авторизация
Обнаружениевторжений
Предотвращениевторжений
Коммутация L2 Виртуальнаякоммутация L2
Сеть L2/L3
Сеть L2/L3 Коммутация L3 Балансировщикнагрузки
Регистрацияв журнале/отчетность
Песочницадля вредоносного ПО
Управлениемобильнымиустройствами
Мониторинг Политики/конфигурация
![Page 38: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/38.jpg)
• Говоря о возможностях, мы упрощаем принятие решения, так как внимание фокусируется на функциях защиты, а не на самом продукте или его фичах
• Нам нужен не Cisco ASA или Firepower, нам нужно разграничение сетевого доступа
• У Cisco это может быть решено с помощью- Многофункциональных устройств ASA или Firepower- Маршрутизатора ISR с IOS Firewall- Виртуального МСЭ ASAv или VSG- Маршрутизатора ASR с IOS Firewall- Облачного МСЭ Meraki- Коммутаторов Catalyst 6000 с модулем МСЭ…
Возможности
![Page 39: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/39.jpg)
Место в сети ДоверенныеНедоверенные
Межсетевой экран
Сеть L2/L3Оценка состояния
МСЭ веб-приложений
Балансировщикнагрузки
Защита от DDoS-атакДоступ
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрацияв журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Безопасность веб-трафика
Совместно используемые
База данных
Сервер
Хранение
Приложение
Угрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
Предотвращениевторжений
Стратегия возможностей
![Page 40: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/40.jpg)
Видео
Управлениеуязвимостями
Аналитика угроз
Голос
Клиент
Хранение
Сервер
МСЭвеб-приложений
РазгрузкаTLS
Синхронизациявремени
VPN-концентратор
Оценкасостояния
Безопасностьвеб-трафика
Репутация/фильтрациявеб-трафика
Обнаружениевторжений
в беспроводнойсети
Беспроводноеподключение
Виртуальнаячастная сеть
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Мониторинги контрольприложений
Безопасностьклиента
Cisco Cloud WebSecurity
Отказв обслуживании
(DDoS)
Мониторинг
Управление мобильнымиустройствами
Защитаэлектроннойпочты
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
Песочницадля вредоносного
ПО
Предотвращениевторжений
в беспроводнойсети
ОблакоОбщ. доступ
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Возможности SAFE
Доступ
ПРИЛОЖЕНИЕ
Балансировканагрузки
ПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО БЕСПРОВОДНАЯ
СЕТЬ
Безопасностьсервера
Регистрацияв журнале/отчетность
Мостконференции
![Page 41: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/41.jpg)
Анализ потока
Сеть L2/L3
МСЭАнтивре-доносное ПО
Аналитика угроз
к внешним зонам
Управление доступом +TrustSec
к комплексу зданий
к облаку
Межсетевой экран нового поколения
Зоны обще-
доступ-ных
серверов Сеть L2/L3
Мониторинг и контроль приложений (AVC)
Безопасностьвеб-трафика
Защитаэлектроннойпочты
Система предотвра-щениявторжений нового поколения
Отказв обслужи-вании(DDoS)VPN-
концентратор
Безопасность хоста
МСЭ веб-приложений
Баланси-ровщикнагрузки
Транспорти-ровкаРазгрузка функций безопасности транспортного уровня
Интернет
SAFE упрощает обеспечение ИБ: периметр
![Page 42: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/42.jpg)
Безопасность хоста
Беспроводная сеть
Беспроводная сетьПредотвращение вторжений в беспроводной сети
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сеть L2/L3
Сеть L2/L3Безопасность хоста
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сервисы безопасности веб-трафика
МСЭ Система предотвращения вторжений нового поколения
Анти-вредоносное ПО
Анализ потока
Мониторинг и контроль приложений (AVC)
Аналитика угроз
VPN
Менеджер, анализирующий информацию о продукте
Оператор, обрабатывающий транзакции по кредитным картам
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения/маршрутизатор
к ЦОД
к облаку
WAN
SAFE упрощает обеспечение ИБ: филиал
![Page 43: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/43.jpg)
Безопасность хоста
Беспроводная сеть
Предотвра-щениевторженийв беспроводнойсети
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сеть L2/L3
Сеть L2/L3Безопасность хоста Идентификация Оценкасостояния
МСЭ Система предотвра-щениявторжений нового поколения
Антивре-доносное ПО
Анализ потокаАналитика угроз
VPN
Председатель правления, отправляющий электронные сообщения акционерам
Менеджер по работе с клиентами, анализирующий базу данных клиентов
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения
к ЦОДWAN
Иденти-фикация
Управление мобильными устройствами
Анализ потокаУправление доступом +TrustSec
Управление доступом +TrustSec
Управление доступом +TrustSec
Маршрутизатор
SAFE упрощает обеспечение ИБ: комплекс зданий
![Page 44: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/44.jpg)
Сеть L2/L3
Управление доступом +TrustSec
к комплексу зданий
Зона общих сервисов
Система предотвра-щениявторжений нового поколения
Зона сервера приложений
Зона соответствия
стандартам PCI
Зона базы данных
Анализ потока
Безопасность хоста
Баланси-ровщикнагрузки
Анализ потока
МСЭ
Антивре-доносное ПО
Анали-тика угроз
Управление доступом +TrustSec
Система предотвра-щениявторжений нового поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть L2/L3МСЭ VPN
Коммута-тор
МСЭ веб-приложений
Централизованное управление
Политики/Конфигурация
Мониторинг/контекст
Анализ/корреляция
Аналитика
Регистрация в журнале/отчетность
Аналитика угроз
Управлениеуязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
SAFE упрощает обеспечение ИБ: ЦОД
![Page 45: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/45.jpg)
к периметру
Зона общих
сервисов
Cisco Cloud Web Security
Облачный сервис CRM
Интернет
Интернет
Сервис поиска в Интернете
Аналитика угроз
Безопасность хоста
Мониторинг и контроль приложений (AVC)
Анти-вредоносное ПО
Обнаружение аномалий
Репутация/ фильтрация веб-трафика
к филиалу
SAFE упрощает обеспечение ИБ: облако
![Page 46: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/46.jpg)
к периметру
Интернет
Инженерпо эксплуатации,
размещающий заказ
на выполнение работ
Технический специалист,
удаленно проверяющий
журналы
Заказчик, обновляющий
профиль
Безопасность хоста
Иденти-фикация
Оценка состояния
МСЭ Антивре-доносное ПО
Репутация/ фильтрация веб-трафика
Система предотвращения вторжений нового поколения
VPN
VPN
Безопасность хоста
Безопасность хоста
Межсетевой экран нового поколения
ВНЕШНИЕ ЗОНЫ
SAFE упрощает обеспечение ИБ:внешние зоны
![Page 47: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/47.jpg)
Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
Всесторонняя инфраструктура защиты
NGIPS
NGFW
Анализ аномалий
NetworkAnti-
Malware
NGIPS
NGFW
HostAnti-
MalwareDNSЗащита
DNS
ЗащитаWeb
ЗащитаEmail
NGIPS
DNSЗащита DNS
ЗащитаWeb
NGIPS
Threat Intelligence
SAFE для вымогателей
![Page 48: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/48.jpg)
• Думайте как хакер и попробуйте взломать себя
• Думайте как аудитор и попробуйте пройти аудит
Моделирование возможностей
Это не страшно!
![Page 49: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/49.jpg)
• Маппируйте риски, угрозы и требования
• Найдите и нейтрализуйте все пробелы
• Оцените каждую возможность; если вы не можете ее реализовать -уберите
Описание возможностей
Угроза Актуальнаяугроза
Требование Возможность
ВредоносноеПО
Да Да AntiAPT / BDS / AV / NBAD
Утечки данных Да Нет DLP / СКЗИ
DDoS Нет Нет Anti-DDoS
Превышение привилегий
Да Да Разграничение доступа
НДВ Нет Нет SAST/DAST
Нет Нет
…
![Page 50: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/50.jpg)
2. Этап «Архитектура»
![Page 51: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/51.jpg)
• Создание традиционного представления архитектуры • Сопоставление возможностей с архитектурой • Создание архитектуры, которая будет лучше всего отражать
идентифицированные угрозы
Создание архитектуры безопасности
![Page 52: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/52.jpg)
Примерные компоненты архитектуры
Коммутатор L3
Балансировщик нагрузкиNexus 1Kv
Маршрутизатор
Защищенный сервер Хранение
МСЭ Контроллербеспроводной сети
Обнаружение вторжений
Защита электронной почты
![Page 53: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/53.jpg)
• Какие возможности нужны?• Какие компоненты архитектуры их могут реализовать?
Компоненты архитектуры и возможности
Коммутатор L3МСЭ
![Page 54: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/54.jpg)
Коммутаторуровня доступа
Место в сети ДоверенныеНедоверенные
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрация в журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Совместно используемыеУгрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
Устройство
Хранение
Защищенный серверКоммутаторс агрегацией сервисов
Устройство обеспечениябезопасности
Стратегия архитектуры
![Page 55: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/55.jpg)
3. Этап «Дизайн»
![Page 56: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/56.jpg)
• Создание традиционного представления дизайна• Выбор продуктов, содержащих функциональные возможности,
определенные в архитектуре• Создание дизайна, наиболее подходящего для отражения ранее
определенных угроз, и учитывающего дополнительные потребности инфраструктуры, например, высокую доступность, производительность и затраты
Создание дизайнов для обеспечения безопасности
![Page 57: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/57.jpg)
Примеры компонентов дизайна
Блейд-сервер
КоммутаторCatalyst для ЦОД
Защитаэлектронной почты
FirePOWERУстройство
МСЭ
Обнаружениевторжений
Коммутатор L3
Балансировщикнагрузки
Nexus 1Kv
КоммутаторNexus для ЦОД
КоммутаторNexus для фабрики
КоммутаторNexus
![Page 58: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/58.jpg)
Место в сети ДоверенныеНедоверенные
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрацияв журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Совместно используемыеУгрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
G0/0
G0/1
G0/2
E1/2
E1/1
E1/1
E1/2G0/0
G0/1
E2/1-4
E2/1-4
E2/5-8
E2/5-8
G0/3
E1/1
E1/2
E2/1-4
E2/1-4
G0/2
G0/3
E1/1
E1/2
E1/3
E1/4
P1
P2
P3
P4
P1
P2
P3
P4
E1/3
E1/4
E1/1
E1/2
E1/1
E1/2
E2/1-4
E2/1-4
E2/5-8
E1/5-8
E2/5-8
E1/5-8
E1/5-8
E1/1-4
E1/1-4
E1/5-8
P1
P2
E1/3
E1/3
SAN/NAS
UCS 5108
UCS 5108
ASA5555-x
ASA5555-x
N77-C7706
N77-C7706
WAF-BBX UCS-FI-6248UP
WAF-BBX UCS-FI-6248UP
WS-C3850-48U
Стратегия дизайна
![Page 59: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/59.jpg)
Объединить все вместе и получить синергетический эффект
ISE Stealthwatch CTA OpenDNS AnyConnect WSA ESA NGIPS NGFW AMP for Endpoints
AMP for Networks / Content
Threat Grid
Security Packet Analyzer
Stealthwatch Learning Network
CloudLock
ISE Да Да Да Да Да Да Да Да ДаStealthwatch Да nvzFlow Да Да Да
CTA Да Да Да Да
OpenDNS Да Да ДаAnyConnect Да nvzFlow Да Да Да Да
WSA Да Да Да Да Да Да
ESA Да ДаNGIPS Да Да Да Да Да Да
NGFW Да Да Да Да Да Да Да Да
AMP for Endpoints Да Да Да Да Да Да Да
AMP for Networks/Content
Да Да Да Да Да Да Да
Threat Grid Да Да Да Да Да Да Да ДаSecurity Packet Analyzer Да ДаStealthwatch Learning Network
Да Да Да
CloudLock Да
![Page 60: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/60.jpg)
Где взять Cisco SAFE?
![Page 61: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/61.jpg)
Где найти?
www.cisco.com/go/cvd www.cisco.com/go/safe
![Page 62: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/62.jpg)
Структура справочных материалов по архитектуре SAFE
Возможности создания общей картины
Архитектуры компонентов/областей
Утвержденные дизайны (CVD)
Обзор SAFE
Руководство по архитектуре
Инструкции
Краткий обзор
DIG
Возможности создания общей картины
Руководство по архитектуре
Дизайны CVD
Руководство «Обзор Safe»
Руководство по архитектуре для защищенного ЦОД
Как развертывать кластер ASA
Краткое руководство по созданию защищенного ЦОД
Создание кластера ASA с сервисами FirePOWER
![Page 63: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/63.jpg)
На сайте Cisco документы уже есть!
![Page 64: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/64.jpg)
Малый и средний бизнес, филиалы
Кампус Центр обработки данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active Directory
Беспроводнаясеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленныеустройства
Дост
уп
Облачный шлюз
безопасности
Облачный шлюз
безопасности
Матрица ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭБеспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
На что обращает вниманиесовременный хакер?
![Page 65: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/65.jpg)
Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65
![Page 66: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/66.jpg)
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/
![Page 67: Архитектура безопасности Cisco SAFE](https://reader030.vdocuments.us/reader030/viewer/2022020108/58724de01a28ab852f8b64e1/html5/thumbnails/67.jpg)