cisco email & web security

1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Cisco Email & Web Security Обзор технологии и функционала

2 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Малый и средний бизнес, филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводная сеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAv ASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Аналитический центр Talos

Удаленные устройства

Доступ

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть SDN)

АСУ ТП

CTD

IDS RA

МСЭ Беспроводная

сеть

Коммутатор

Маршрутизатор

Сегментация Мониторинг

Архитектура ИБ Cisco


Эволюция угроз, связанных с Email: Снаружи Входящие

угрозы

?

Завтра

Низкие объемы Высокая стоимость

Сегодня

Большие объемы Низкая стоимость

Вчера

Целевые атаки

Targeted Phishing

Covert, Sponsored Targeted Attacks

Blended Threats

Advanced Persistent Threats

Фишинг Спам

Attachment-based

Slammer

Worms

Network Evasions Polymorphic Code

Code Red Image Spam

Вирусные атаки

Custom URL

Botnets Conficker

Stuxnet

???


Эволюция угроз, связанных с Email: Изнутри

? Завтра

Небольшие объемы Слабое влияние

Вчера

Исходящая

Высокие объемы Сильное влияние

Сегодня

Доступ к почти из любой точки

Соответствие

Потери активов заказчика

HIPAA

State regulations

Brand Social security numbers

PCI Credit card numbers

Интеллектуальная стоимость

Product-planning documents

Data breaches

Corporate espionage

Trade secrets

Legal documents

4

К 2015, доступ с более 7 млрд мобильных устройств

Использование

Доступ к почте только из-за корпоративного МЭ

Меняющееся законодательство

European Union laws

State laws Federal laws

Province laws


Cisco – это многолетний лидер в квадранте Gartner Secure Email Gateways

Gartner’s Magic Quadrant for Secure Email Gateways Peter Firstbrook and Brian Lowans, July 2, 2013.

This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from this URL. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Abi

lity

to E

xecu

te

Completeness of Vision

Challengers Leaders

Niche Players Visionaries

Cisco

Microsoft

Websense Mimecast

McAfee

Sophos Barracuda Networks

Trend Micro

Clearswift Sophos

Fortinet

SilverSky

Dell

Gartner MQ: Secure Email Gateway – Август 2013

Proofpoint Symantec

Trustwave

Watchguard


Защита от угроз Cisco Email Security Полная защита входящих

Cisco® SIO

Репутационные фильтры SenderBase

Антиспам

Сигнатурный антивирус & AMP

Фильтры Outbreak

Анализ URL в реальном времени

cws

Доставка Карантин Перезапись URLs Сброс

Сброс

Сброс/Карантин

Сброс/Карантин

Карантин/Перезапись

Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 7

§  Репутационная безопасность возвращает числовое значение уровня доверия к объекту, что позволяет устройству предпринять действие, предписанное политикой.

§  Репутация строится на трех вещах: §  Наша оценка (данные SensorBase) §  Оценки 3-х сторон §  Сложная модель, которая возвращает значение в

реальном времени

Что такое репутационная безопасность?


Cisco SenderBase: База данных Email репутации

Complaint Reports

IP Blacklists and Whitelists

Domain Blacklist and Safelists

Compromised Host Lists

Website Composition Data

Other Data Global Volume Data

Message Composition Data

Spam Traps

+10 0 -10

IP Reputation Score

Выгоды •  Полный динамический обзор угроз •  Понимание уязвимостей и технологий •  Просмотр наиболее опасных атак •  Последние техники и тренды атак

Знание об угрозах •  Более 1,6 млн устройств •  Библиотека о 40 тыс угроз •  35% глобального email трафика •  13B+ web запросов •  200+ параметров отслеживается •  Мультивекторный обзор


Динамические обновления Автоматизированная защита

Обновления Преимущества

•  Cisco устройства запрашивают обновления раз в 3-5 мин

•  8M+ правил в день

•  Обновления репутации – защита в реальном времени

•  Снижение времени окна «небезопасности»

•  Минимизация затрат на управление

Cisco® SIO


Антиспам

Whitelisted is delivered

Нормальная почта идет на антиспам фильтр Подозрительная идет на антиспам фильтр и ограничивается •  > 99% Catch Rate

•  < 1 на 1 ложных срабатываний

Известная плохая блокируется перед входом в сеть

Почта с разной репутацией

SBRS

Поддерживается SIO

Blacklisted email is dropped

WHAT

Cisco Anti-Spam

WHEN WHO

HOW WHERE

Политики


Многократная проверка

Хорошая, плохая, неизвестная

Сброс

IronPort Anti-Spam

Engine

Anti-Spam Engine B

Anti-Spam Engine (Future)

IronPort Anti-Spam

Engine

Доставка

Intelligent Multi-Scan

Results


Intelligent Multi-Scan Лучшее из двух миров – выше уровень срабатывания, ниже уровень ложных срабатываний

Greater Spam Detection…with Cisco-Leading FP Rate

+Engine A

+Engine B

MS Улучшение

IMS улучшение

.20%

.10%

Cisco 99.60% 1 in 1 Million

18 in 1 Million

21 in 1 Million

Multi-Scan 40 in 1 Million 99.90%

.30% -4000%

Intelligent Multi-Scan 1.2 in 1 Million 99.90%

- 20% .30%

False Positives Catch Rate


Маркировка сообщений Обнаружение маркетинговых сообщений

§ Опции для доставки, карантина, сброса, отбивки

§  Включено в отчеты


Защита от вирусов в деталях

Антивирусные механизмы

Выбор антивирусных движков

Outbreak фильтры

Защита от вирусов и фишинга 0 дня


Фильтры Cisco Data Security Outbreak Защита от Malware 0 дня

Virus Filter

Динамический карантин Cisco® SIO

Выбор антивирусов

Антивирусы Фильтры Outbreak в действии

Защита от вирусов и фишинга 0 дня

Преимущества Outbreak Filters •  Среднее время опережения: 13 часов •  Заблокировано атак: 291 •  Общее время защиты: 157 дней


Защита Cisco от Zero-Hour Malware Advanced Malware Protection

Облачное обнаружение вредоносного ПО Zero-

Hour

Advanced Malware Protection Outbreak Filters

Обнаружение вредоносного ПО и вирусов Zero-Hour на

базе телеметрии

Файловая репутация

Файловая песочница

Известная репутация файла

Неизвестный файл отправляется в песочницу

Обновление репутации Интеграция

Sourcefire AMP


Основные функции AMP на Cisco Email и Web Security

File Sandboxing

Анализ поведения неизвестных файлов

File Retrospection

Ретроспективный анализ после атаки

File Reputation

Блокирование вредоносных файлов


За горизонтом события ИБ

Антивирус Песочница

Начальное значение = Чисто

Точечное обнаружение

Начальное значение = Чисто

AMP

Пропущены атаки

Актуальное значение = Плохо = Поздно!!

Регулярный возврат к ретроспективе Видимость и контроль – это ключ

Не 100% Анализ остановлен

Sleep Techniques Unknown Protocols

Encryption

Polymorphism

Актуальное значение = Плохо = Блокировано

Ретроспективное обнаружение, анализ продолжается


Интеграция механизмов контроля e-mail и web

Сайт чистый Клик на ссылку

Website is blocked Cisco Security

The requested web page has been blocked

http://www.threatlink.com Cisco Email and Web Security protects your organization’s network from malicious software. Malware is designed to look like a legitimate email or website which accesses your computer, hides itself in your system, and damages files.

Динамическая инспекция HTTP в реальном времени

Cisco SIO


Блокирование фишинговых атак и скрытых угроз

Репутационный фильтр

Спам-фильтр

Анализ контента сообщение

Черные списки

Защита от спуфинга

Блокирование неожидаемых сообщений

Перенаправление подозрительных ссылок для анализа и выполнения в

защищенное облако Фильтрация плохих URL базируется на репутации web и категориях


Cisco Email Security обеспечивает прекрасный контроль над исходящим потоком

Encrypt Sensitive Data

Compliance/ DLP

Sender

Rate Limiting Outbound

Recipient

AS/AV Checks DKIM/SPF


Ограничение исходящего потока Ограничение по Mail From:

1-100 Emails 101-1000 Emails

Alert admin when limit is hit

•  Для отдельных отправителей пороговое значение может быть увеличено

•  Пользователь отправляет 100 писем в час

Typical User

Known High Volume Sender

•  Получение предупреждений об отправителях с очень большими объемами сообщений

Admin

•  Администратор устанавливает порог для отдельных пользователей

Policy !

!

Malicious Sender


Сдерживание почты от инфицированных пользователей

Держитесь подальше от черных списков

•  Остановите вредоносное и неправильное использование систем

•  Знайте, кого надо изолировать •  Объединяйте к Outbreak Filters для двусторонней защиты

Anti-Virus Anti-Spam (Intelligent Multi-Scan)

Ограничение по Mail From

Предупредить

!


DLP и соответствия Отдельное или часть общего решения DLP

RSA DLP на устройстве Интегрируется с RSA Enterprise DLP

Data Loss Prevention

Инциденты Политики

•  Email Uptime •  Threat Prevention •  Email Scanning •  Policy Enforcement

•  Определение Risk Policy

•  Расследование инцидентов

•  Fingerprinting

Точный, простой, расширяемый


Примените политики шифрования TLS на основе Mail From

•  Защита чувствительных данных •  Запрет на отправку данных в открытом виде

Ваша компания Cisco ESA


Любой может прочитать сообщение

Нет гарантированного отзыва сообщения

Нет управления процессом отправки

TO

CC

SUBJECT

У традиционной Internet почты есть ограничения

Confidential Email

Read Receipt

Guaranteed Recall

Secure Reply and forward

TO

CC

SUBJECT


Cisco Envelope Encryption Просто отправителю

•  Автоматическое управление ключами •  Не требуется дополнительное ПО •  Прозрачная отправка на любой адре •  Шифрование инициируется -- Keywords | Policies | Senders | Recipients

| etc.

Cisco Email Security Appliance

Recipient Sender Controls

Message Key


Просто получателю

Подтвердите идентичность

2

Корпоративная учетная запись(opt)

Cisco Registered Envelope Service

Откройте аттач

1

Посмотрие сообщение

3


•  Блокирование фишинг и спуфинг атак

•  Применяйте более либеральные политики к аутентифицированным внешним источникам

Your Company

DKIM и SPF Аутентификация Email

DNS Server

SIGNED

SIGNED ü  Verified Trusted_Partner.com

Trusted_Partner.com

Imposter Cisco ESA

Drop/Quarantine


•  Не дайте подделать ваши сообщения

•  Защитите свою репутацию

•  Не попадайте в черные списки

Your Company ISP

Аутентификация почты DKIM и SPF

DNS Server

Public

From: Your_Company.com From: Your_Company.com

SIGNED

From: Your_Company.com

SIGNED ü  Verified

Cisco ESA


Cisco Email Security. Администрирование

Admin

Отчетность Message Tracking Управление


Detailed Message Tracking Drill Down Reporting

Простое управление и мониторинг


Обзор обработки Email Message Tracking

Что случилось с письмом, которое я отослал 2 часа назад?

  Можно проследить индивидуальные сообщения

Кто еще получил похожие сообщения?

  Расследования для гарантии соответствия


Поддержка IPv6 Защита от увеличивающегося количества IPv6 угроз для систем Email

•  Поддержка: IPv4/IPv6 адреса– single или dual stack – с Anti-Spam, Anti-Virus, Content Filters, DLP, Encryption,

•  Преобразование: IPv6 вход, IPv4 выход… или наоборот

•  Полная поддержка отчетности и Message Tracking

IPv6 адреса

Ваша система безопасности может правильно фильтровать контент с IPv6 адресами?


•  Email Volumes

•  Spam Counters

•  Policy Violations

•  Virus Reports

•  Outgoing Email Data

•  Reputation Service

•  System Health View

•  Простой просмотр потоков почты в организации

•  Отчеты в режиме реального времени как для email, так и для угроз

•  Иерархическая модель очетов.

Multiple data points Consolidated and Custom Reports

Полный обзор Унифицированные бизнес-отчеты


Новая версия ESA AsyncOS 8.5.x

• Фильтры по объему/времени Управление большими потоками email

•  Улучшения Outbreak Filters Усовершенствованное управление и отчетность

• Интеграция Webcat и WBRS URL репутация для email URL категоризация для email

•  Усовершенствование управления SL/BL

• UI улучшения Усовершенствование задач Соответствие CLI / UI

•  Локализация PXE Envelope UI на 11 языках Настраиваемая опция*

•  Усовершенствование телеметрии Стохастическая выборка


Web категоризация и поддержка URL

• Используйте Content фильтр для поиска соответствия в категориях URL

• Используйте «белый список» URL для того, чтобы не проверять некоторые URL


Web категоризация и поддержка URL

• Система Message Tracking усовершенствована и включает возможность искать по URL категориям


High Volume Mail Management (HVMM)

•  Полный обзор атак HVM, Top отправителей, и совпадения с Threshold Filter

•  Фильтр базируется на поле «Тема» или же на отправителе конверта

•  Используется как для входящего, так и для исходящего контроля •  Эффективно для блокирования больших объемов почты и спама

(UI Mockup)

•  Быстрое обнаружение скомпрометированных учетных записей, которые отправляют большие объемы спама.

•  Поддержка в Message Tracking


ESA v9.0 – Новый функционал!

•  Поддержка sandboxing для новых типов файлов

•  Карантин для Malware

•  Anti Snowshoe

•  S/MIME подпись и шифрование

•  Поддержка больших дисков

•  Гибкое распределение разделов на диске

•  AsyncOS API

•  Поддержка Virtual SMA

•  Поддержка сложных политик

•  Гибкая настройка системы уведомления о спаме

•  Block page white labeling


Варианты исполнения Cisco Email Security

Выгоды от виртуализации •  Выбор форм-фактора •  Гибкость развертывания •  Ценовая модель – подписка

Варианты использования •  Региональный офис •  Пики трафика •  Инициатива облака/виртуализация

Cisco E-mail Hosted Security Cisco UCS

+

+

ESAV


Зксплоиты Кражи и шпионаж Прерывание работы

Безопасность Web – ставки выше, чем когда-либо


Web страницы содержат скрытые угрозы

•  Flash •  Java

•  JPG

•  PDF

•  Script

•  .exe

•  Etc.

Potential threats


Facebook time: 2,110,516 minutes or 35,175 hours, 1465 days, 4.1 years!

# of Facebook likes: 3,925,407 at 1 second a like that’s almost 1100 hrs/day or 45 days just liking things!

Bytes on YouTube video playback: 11,344,463,363,245 or 10 TB

Pandora: 713,884,303,727 or .6 TB

Total browse time for the day: 2,270,690,423 or 4,320 Years.

Total bytes for the day: 70,702,617,989,737 or 64 TB over 15% from YouTube!

Потеря производительности – это тоже угроза Сколько полосы пропускания занимает ежедневно Web 2.0?

Source: Cloud Web Security Report


Cisco – это лидер в квадранте Gartner для Secure Web Gateways

Gartner’s Magic Quadrant for Secure Web Gateways Lawence Orans, Peter Firstbrook, 28 May 2013

This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from this URL. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Abi

lity

to E

xecu

te

Completeness of Vision

Challengers Leaders

Niche Players Visionaries

Cisco Blue Coat Systems

Websense Zscaler McAfee

Symantec Barracuda Networks

Trend Micro Trustwave

Sophos Sangfor

ContentKeeper Technologies

Phantom Technologies-iboss

Security


Cisco Web Security обеспечивает сильную защиту

WWW

Время запроса

Время ответа

Cisco® SIO

URL Фильтрация

Репутационный фильтра

Динамический анализ (DCA)

Сигнатурные anti-malware движки & AMP

Анализ в Sandbox real-time

Block

WWW

Block

WWW

Block

WWW

Block

WWW

Allow

WWW Warn

WWW WWW Partial Block

Block

WWW

cws


1. Скан текста

Cisco Web Usage Controls URL фильтрация и динамический анализ контента

WWW

URL Database

3. Вычисление близости к эталонным документов

4. Наиболее близкое совпадение категории

2. Определение релевантности

Finance Adult Health

Finance Adult Health

Allow

WWW Warn

WWW WWW Partial Block

Block

WWW

5. Применение политики

Если не знаем -- анализ

Block

WWW

Warn

WWW

Allow

WWW

Если знаем


Анализ репутации Мощь контекста в реальном времени

Suspicious Domain Owner

Server in High Risk Location

Dynamic IP Address

Domain Registered

< 1 Min 192.1.0.68 example

.com Example.org 17.0.2.12 Beijing London San Jose Kiev HTTP SSL HTTPS Domain

Registered > 2 Year

Domain Registered < 1 Month

Web server < 1 Month

Who How Where When

0010 010 10010111001 10 100111 010 00010 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10

IP Значение репутации


Механизм динамического анализа контента (DCA) Злоумышленники активно используют сайты-однодневки

Останавливает 50% спорного контента* *Source: Cisco SIO, based on data from customer production traffic

Высокая производительность

•  База данных URL – более 50 млн ужлов

•  Категоризация в реальном времени для неизвестных URL

•  Поддержка русского языка

Настройка для обычно блокируемого контента

•  Pornography and Adult •  Hate •  Gambling •  Proxy Avoidance

Анализ контента с человеческой точки зрения

•  Эвристический анализ на основе моделирования концепции контента

•  Улучшенная точность


Безопасный поиск и рейтинг контента Более глубокий контроль приложений

Безопасный поиск §  Предотвращение обхода политики с помощью поисковиков

§  Гарантия того, что поисковые механизмы вернут результат, в котором нежелательный контент отфильтрован

§  Настройка – один клик §  Поддержка: Google, Bing, Yahoo, Yandex. Дальше

-- болше

Рейтинг сайтов §  Блокирование нежелательного контента на разных сайтах

§  Основано на метаданных, а не на анализе файлов

§  Поддержка: Flickr, Craigslist, YouTube


Контроль полосы пропускания для потокового медиа

•  Механизм AVC обнаруживает потоковое аудио и видео, которое использует HTTP как транспорт

•  Ограничения по пользователям Каждому клиенту разрешается использовать N Kbit/sec для потокового медиа Ограничение перегрузки, применение правил использования, увеличение производительности пользователей

•  Агрегатные ограничение Потоковое медиа может использовать не более, чем N мбит/сек полосы пропускания Гарантия полосы

•  Может комбинироваться с категориями и Identlties.


Сканирование Malware в реальном времени Dynamic vectoring and streaming

Сигнатурный и эвристический анализ

•  Оптимизация эффективности и уровня обнаружения с интеллектуальным мульти-сканированием

•  Расширенное покрытие несколькими механизмами

•  Идентификация зашифрованного вредоносного трафика с помощью перехвата, расшифровки и сканирования SSL трафика

•  Улучшение впечатления пользователя благодаря параллельному потоковому сканированию для более быстрого анализа

•  Всегда самые свежие сигнатуры благодаря автоматическим обновлениям

Эвристическое обнаружение Необычное поведение

Anti-Malware сканирование

Параллельное, потоковое сканирование

Сигнатурная проверка Идентификация известного поведения

Несколько движков Anti-

Malware


Adaptive Scanning

Адаптивное сканирование: автоматический выбор сканера

Репутация + тип контента + выбор сканера = Адаптивное сканирование

www.anysite2.com -3.5

www.anysite1.com +1.1

www.anysite3.com -5.5

WSA

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

Cisco® SIO

HTML

HTML

HTML


Удаление ненужных объектов на странице Анализ каждого объекта на странице (CWS only)

Эмуляция в реальном времени


Основные функции AMP на Cisco Email и Web Security

File Sandboxing

Анализ поведения неизвестных файлов

File Retrospection

Ретроспективный анализ после атаки

File Reputation

Блокирование вредоносных файлов


Мониторинг угроз на сетевом уровне

Пользователи Анализ на сетевом уровне

Предотвращение трафика ботнетов (“Phone-home”)

•  Сканирование всего трафика, на всех портах, по всем протоколам

•  Обнаружение вредоносного ПО, обходящего порт 80

•  Предотвращение трафика ботнетов

Мощные данные для борьбы с вредоносным кодом

•  Автоматически обновляемые правила

•  Генерация правил в реальном времени, используя “динамическую идентификацию”

Инспекция пакетов и заголовков

Интернет


Application Visibility and Control (AVC)

1,000+ Apps

URL фильтрация

•  База данный URL – более 50 млн сайтов

•  Динамическия категоризация для неизвестных URL Application

Behavior

150,000+ Micro-Apps

•  Управление приложениями Web 2.0

•  Политика для работы с приложениями

•  Поведение внутри приложений

•  Обзор деятельности в сети

http://

+

Правила применения в сегодняшнем Web Снижение уровня «расстроенности» пользователей


Предотвращение утечек данных Снижение риска утечки чувствительной информации

On-Premises

Интеграция DLP по ICAP

протоколу

CWS

WSA

Cloud

DLP вендор

WSA

+

Базовый DLP

Расширенный DLP

Базовый DLP


Cisco Web Security предлагает полное управление

Data Loss Prevention (DLP)

Application Visibility and Control (AVC)

Admin

Allow

WWW

WWW Partial Block

Block

WWW

Centralized Management &

Reporting Policy

Threat Protection User

Cisco Web Usage Controls


Централизованное управление и отчетность Complete solution for on-premises or cloud

Централизованная отчетность

Централизованное управление

Просмотр угроз Возможности расследования

Внутри Угрозы, данные, приложения

Управление Общие политики между офисами и

удаленными пользователями

Обзор Разные устройства, сервисы, сетевые

уровни

Управление политиками

Делегированное администрирование

Анализ, исправление и переработка политик безопасности


Новая версия WSA AsyncOS 8.5 – 8.6

• Интеграция ISE с WSA Использование аутентификационной информации с ISE в WSA

•  Advanced Malware Protection (AMP) Фаза 2 Поддержка новых типов файлов, а также архивированных/сжатых файлов

• Новые возможности по контролю приложений Квотирование по объему и по времени

•  Высокая доступность и отказоустойчивость Поддержка VRRP (CARP)

•  Усовершенствования работы

• Поддержка KVM


Как было раньше: Cisco Context Directory Agent §  Цель CDA – предоставить ASA / ASA NGFW / WSA / CWS информации о соответствии IP-адреса и имени пользователя для применении политики безопасности, базирующейся на имени пользователя, а не IP-адреса

§  CDA, заменяющий AD Agent, интегрируется с ISE 1.1.x и ACS 5.3/5.4 и позволяет получить информацию о пользователях, не зарегистрированных в AD


Confidential Patient Records

Internal Employee Intranet

Internet Who: Guest What: iPad Where: Office

Who: Doctor What: Laptop Where: Office

Who: Doctor What: iPad Where: Office

TrustSec

ISE

WSA

►  Acquires important context and identity from the network

►  Monitors and provides visibility into unauthorized access

►  Cisco® ISE provides differentiated access to the network; Cisco TrustSec® provides segmentation throughout the network; Cisco Web Security Appliance provides web security and policy enforcement

Cisco ISE интегрирован с WSA напрямую


Варианты исполнения Cisco Web Security

Выгоды от виртуализации •  Выбор форм-фактора •  Гибкость развертывания •  Ценовая модель – подписка

Варианты использования •  Региональный офис •  Пики трафика •  Инициатива облака/виртуализация

Cisco Cloud Web Security Cisco UCS

+

+

WSAV


ASA или WSA? Зависит от задач, можно всё вместе ASA + FirePOWER WSA

Лицензирование По пропускной способности По пользователям

Стоимость устройств Высокая Средняя или нулевая (ВМ)

Интеграция в сеть «в разрыв» WCCP или веб-прокси

Понимание приложений Полное Только HTTP/FTP/SOCKS

Расшифровка SSL В следующих релизах Уже сейчас

Интеграция с DLP Нет Есть

Кэширование Нет Есть

Сканирование файлов антивирусом

АМР Webroot, Sophos, AMP и McAfee


На самом деле у нас больше решений по контролю доступа в Интернет


А у вас есть что-нибудь на замену MS TMG?


Решения Microsoft Security •  Традиционно не очень хорошая репутация, но очень хорошее финансовое предложение

•  Все началось в 1997 году с MS Proxy Server (потом MS Proxy Server v2.0)

•  Потом появился Internet Security and Acceleration Server v.2000, 2004, 2006

•  И последнее решение – Microsoft Threat Management Gateway Medium Business Edition и TMG 2010


Microsoft TMG и UAG – текущий статус •  Основная поддержка заканчивается

14 апреля 2015 года

•  Платная «расширенная» поддержка будет длиться еще пять лет

•  У Microsoft TMG практически нет замены У Microsoft нет продуктов on-premise для замены существующих TMG решений Для компаний, у которых нет плана перехода в облако возникает дилемма Заказчики начинают искать не-облачную альтернативу

•  Дополнительный продукт – Microsoft UAG (Unified Access Gateway). Его поддержка тоже заканчивается 14 апреля 2015 года

•  Firewall Protection Multi-Layer Firewall Application Layer Filtering Детальный контроль HTTP Защита от DoS Широкая поддержка протоколов

•  Публикация приложений

•  VPN

•  Система управления

•  Сетевые функции


Сопоставление решений Microsoft и Cisco TMG Firewall Cisco ASA c FirePOWER Services Многоуровневый Application Firewall ASA с FirePOWER Services (AVC) Application Level Filtering ASA с FirePOWER Services (AVC) Детальный контроль HTTP ASA с FirePOWER Services (URL-фильтрация)

или Web Security Appliance Защита от DoS ASA (возможно с NGIPS) Широкая поддержка протоколов ASA с FirePOWER Services (3000 приложений и

протоколов) Network Intrusion Prevention (или IPS) ASA с FirePOWER Services (NGIPS) Поддержка VoIP ASA (UC Proxy)


Сопоставление решений Microsoft и Cisco TMG Web Proxy Cisco WSA или ASA с FirePOWER (лицензия

URL-фильрации) HTTPS Inspection WSA – встроенный функционал

ASA с FirePOWER Services (будет в версии 6.0) Cisco FirePOWER 5.4 – встроенный функционал Опционально – внешний SSL Appliance

URL фильтрация WSA или ASA с FirePOWER Services Web anti-malware WSA – поддержка до 4-х одновременных анти-malware

механизмов ASA с FirePOWER Services (лицензия на AMP) AMP for Network Appliance

Аутентификация пользователей в AD, поддержка групповых политик

WSA или ASA с FirePOWER Services

Выбор устройства зависит от требуемого функционала и предпочтений заказчика. WSA – это HTTP прокси сервер, он обрабатывает только Web трафик, но предоставляет более удобный интерфейс управления, многоуровневый репортинг, большее количество методов аутентификации, и более высокий уровень безопасности.


Сопоставление решений Microsoft и Cisco Другой функционал MS TMG Решения Cisco VPN Более удобная поддержка на ASA, более широкий

выбор клиентов и протоколов Система управления Сейчас Cisco CSM и FireSight. В будущем эти системы

управления будут объединены Публикация ресурсов Cisco Anyconnect или же SSL VPN для публикации Централизованная аутентификация и идентификация пользователей

Cisco ISE имеет намного более широкие возможности для идентификации, в том числе и не Windows AD пользователей

Email Security Cisco Email Security Appliance. Более высокая производительность, функционал border MTA и безопасность


Защита мобильных пользователей Cisco AnyConnect Secure Mobility Client

Пользователи с телефонами, лаптопами, планшетами

Пользователи с ноутбуками

Client installed on machine

Web пользователи

Block

WWW

Warn

WWW

Allow

WWW

Вердикт

CWS applies web security features

WSA применяет политики

Web Security Location

Перенаправление Web трафика

Перенаправление трафика в WSA

Трафик через VPN попадает в HQ

Направляет трафик на ближайший Web прокси

Cisco AnyConnect™ Client

VPN

ACWS

VPN


Full-Time ‘DATA’ Connection Protected by ScanSafe

On-Demand or Always-On ‘VPN’ Connection Protocol Agnostic: DTLS/SSL/IPSec

Cisco AnyConnect Device Agnostic End-Point Client

Cisco ASA Context-Aware Firewall

Cisco IronPort Web Security

Appliances

Authentication and Identity Services: AD/LDAP/RADIUS/SDI/Kerberos

Captive Portal Remediation Optimal Gateway Selection Trusted Network Detection Secure SSL Portal

Single-Sign-On for Authentication to Resources

MDM Solution handles provisioning, de-provisioning, wipe, backup, app-stores, device & SD card encryption, lost device tracking etc.

outside inside

AnyConnect

SSO/SSL Proxy

Trusted Corporate Resources

INTERNET

Cisco Identity Services Engine (ISE) or Active Directory Identity Agent

AnyConnect

Защищенная мобильность


Cisco AnyConnect 4.0 Расширение контроля с учетом контекста для удаленного доступа

Доступ

Безопасность Контекст Соответствие Соединение

Сервисы

Унифицированный агент для Cisco ISE

Обеспечение множества сервисов ИБ

Для множества методов доступа


Cisco AnyConnect 4.0 и Cisco ISE 1.3 Унифицированный агент для контроля состояния и защищенной VPN

Предотвращение удаленного доступа для несоответствующих устройств


Корпоративная сеть

•  Унифицированный агент улучшает управление полосой пропускания VPN по сравнению с использованием нескольких параллельных агентов VPN

•  Усиливает эффект применения Cisco ASA и Cisco TrustSec для обеспечения сегментации прикладного трафика на всем пути

•  Расширяет традиционный периметр VPN до мобильных устройств для предотвращения доступа к корпоративной сети посторонних и не нужных для работы приложений

VPN

WWW

ЛВС

Избранные туннели для приложений через VPN

Per-App VPN Support: iOS 7+, Samsung Knox 2.0+

AnyConnect 4.0 с VPN для каждого приложения

cisco email & web security

Technology

cisco andor

cisco confidential whitelisted

cisco antisp

sdn ctd ids ra cisco

gartner document

gartner research publications

sbrs sio blacklisted

larger research document