Обзор продуктов в области информационной...

10/15/2012

1

Обзор продуктов в области информационной безопасностиМихаил Кадер

[email protected]

• Вступление

• Межсетевые экраны

• Системы обнаружения и предоствращения вторжений

• Архитектура управления доступом Cisco TrustSec

• Система управления информационной безопасностью предприятия

• Заключение

План презентации

10/15/2012

2

Требование разнообразия устройств

Смешение частного и служебного

Нужен доступ к критичных ресурсам

Цель

Расширение спектра целевых угроз

Атаки на новые технологии

Рост экосистемы киберпреступности

# ! %

10/15/2012

3

Инкапсуляция коммуникаций

Виртуализация центров обработки данных

Переход к облачному хранению

# ! %

Рост трафика на ПК Драматический рост трафика в ЦОД

Взаимодействие видео и социальных сетей

# ! %

Business Pipeline

Социальные сети

Web-почта

Приложения

Hotmail

10/15/2012

4

Борьба и единство противоположностей

Внимание руководства

Рост

Глобализация

Соответствие

Привлечение людей

Разрешить

ВниманиеИТ


Риск-менеджмент

Регулирование

Персданные

Защитить

ВниманиеИБ

Рост сложности

� Не пустить плохих

� Пустить хороших

� Соответствовать

� Учесть BYOD

� Разрешить виртуализацию

� Быть готовым к облакам

Политика

Организационно – ?

Операционно – ?

Технологически – ?

Compliance Ops.

Network Ops.

Application Team

Endpoint Team

Security Ops.

HR

Контроль доступа

Identity Mgmt


Endpoint

Вторжения

Управления

Проводное

Беспроводное

VPN

В сети

Поверх сети

На устройстве

10/15/2012

5

ОТ К

Поэтапный дизайн# ! %

Координация систем

Точечные решенияУнифицированные точки применения политик

Ограничение обзораВсесторонний контроль на 360°

Проверка на «кошках» Проверенный дизайн

Требуется новый подход

Что объединяет всех?!

Видимость трафика

Маршрутизация запросовИсточники данных

Контроль потоков

Управление устройствами

Контроль пользователей

Контроль потоков

10/15/2012

6

Сеть

Элементы Cisco SecureX

• Объединить людей и информацию... Безопасно

Исследования в области ИБ

Политика

Управление

Точки приложения сил

� � � � � � � � � � & � � � � � � � � � � � � � � & � � � � � � � � � �

Cisco SecureX

� � � � � � � � � � � �� !Distributed

Workforce & BYODDistributed

Workforce & BYOD

Защищенный универсальный

доступ

Защита сетевого периметра

Threat DefenseThreat Defense

Защищенный переход к облачным

вычислениям

Virtualization & Cloud

Virtualization & Cloud

Application Visibility & Control

Application Visibility & Control

Авторизованное использование

контента" � � # � $ � � % & � � ' ( � � )* � & � � + � � & % , - � # � � � + %

10/15/2012

7

� � � � � � � � � � � � �� E L A

Встроенная ИБ

Отдельная ИБ

Hardware

Software

От продуктов К решениям

Три основных трансформации Cisco ИБ

B o r d e r l e s sN e t w o r k s D a t a C e n t e r /V i r t u a l i z a t i o nC o l l a b o r a t i o n S e r v i c eP r o v i d e rSecureX

Интегрированная безопасность

10/15/2012

8

Что влияет на продуктовую линейку?

� � � � � � � � � � � � � �

( � � ) � � �� & � # � ( � �� % & � ,� � ( ' # , � � � � �

� � � � � � � � � � : P C I 1 . 0 / 2 . 0 H I P A A S O X � � � 1 5 2 ! " # $Сервисы:

Сеть:

Distributed

Workforce & BYOD

Threat

Defense

Virtualization

& Cloud

Application

Visibility & Control

Исследование угроз:

Политика:

Web Security Appliance

VPN

Identity Services Engine TrustSec

Cisco Advanced Services Partner Shared Services

AnyConnect

Cloud Web Security

WLAN Controller

Adaptive Security

Intrusion Prevention

Virtual Security Gateway

Nexus 1000v

Router Security

Email | Web Security

Adaptive Security (CX)

Router Security

Web Security

Adaptive Security

NCS Prime: Networks/Security

Router Switch Appliance Cloud Virtual

Identity Services Engine

Что входит в портфолио Cisco по ИБ

10/15/2012

9

Межсетевые экраны

Новый модуль ASA для Catalyst 6500

Показатель Значение

Производительность шасси 64 Гбит/сек

Производительность модуля 16 Гбит/сек

Одновременных сессий 10M

Новых соединений в секунду 350K

Контекстов безопасности 250

VLANs 1K

10/15/2012

10

Cisco Virtual Security Gateway

VirtualizationSecurity

V-Motion (Memory)

V-Storage (VMDK)

VM Segmentation

Hypervisor Security

VM Sprawl

Patch Management

VM OS Hardening

Role Based Access

Physical Security

Virtual Security Gateway на Nexus 1000V с vPath

Место Cisco Virtual Security Gateway

SecurityAdmin

Port Group

ServiceAdmin

Virtual Network Management Center• Консоль управления VSG

• Запуск на одной из VMs

Virtual Security Gateway• Программный МСЭ

• Запускается на одной из VMs

• Сегментация и политики для всех VMs

Nexus 1000V with vPath• Распределенный virtual

switch

• Запускается как часть гипервизора

Физический сервер• UCS или

• Другой x86server

10/15/2012

11

Cisco ASA 1000V Cloud Firewall

• Проверенные технологии Cisco теперь и для виртуализированных сред

• Совместная модель безопасности

– VSG для зон безопасности на уровне одного заказчика

– ASA 1000V для контроля безопасности границы между заказчиками

• Бесшовная интеграция

– С Nexus 1000V & vPath

• Масштабирование по необходимости

Cisco ASA 5500 Series Appliance�Еще совсем недавно

M u l t i � S e r v i c e( F i r e w a l l / V P N � I P S )

Perform

ance

and Sca

lability

D a t a C e n t e rC a m p u sB r a n c h O f f i c eS O H O I n t e r n e t E d g e

ASA 5585 SSP-60(40 Gbps, 350K cps)




ASA 5540 (650 Mbps,25K cps)



ASA 5505 (150 Mbps, 4K cps)

ASA 5550 (1.2 Gbps, 36K cps)

ASA 5580-20 (10 Gbps, 90K cps)

ASA 5580-40(20 Gbps, 150K cps)

10/15/2012

12

ASA 5512-XПропускная способность межсетевого экрана 1 Гбит/с

ASA 5515-XПропускная способность межсетевого экрана 1,2 Гбит/с




� � � � � � � � � � � � � � � � � � � � �� / �Для удовлетворения растущих требований к пропускной способности� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � (дополнительное оборудование не требуется)Для поддержки меняющихся потребностей бизнеса � � � � � � � � � � � � � � � � � � � �� Для защиты инвестиций

5 новых моделей Cisco ASA 5500-x

Создание высокопроизводительного центра обработки данных®®®

� � � � � � !" # � $ % & ' ( �� !" # � $ % & ' ( � ) ' & * + , & � * $ � # - & . $ -) ' & * + , & � * $ � # - & . $ - / # � . $ � ' * + � 0 * !/ # � . $ � ' * + � 0 * !��

64-разрядное

ПО

10/15/2012

13

Кластеризация:согласованный коэффициент масштабирования

• Общая пропускная способность = Кол-во x Пропускная способность одного узла x Коэффициент масштабируемости� � � � � � .

Кластер из 4 узлов с Cisco® ASA 5585-S60 сEMIX обеспечивает 64 миллиона подключений и пропускную способность 64 Гбит/с.

• Коэффициент линейного масштабирование независимо от количества� � � � � � .

Если кластер из 4 узлов поддерживает 32 миллиона подключений, кластер из 8 узлов будет поддерживать 64 миллиона подключений для трафика того же профиля.

• Общая кол-во подключений = Кол-во x Кол-во подключений одного узла x Коэффициент масштабируемости� � � � � � .

Кластер из 4 узлов с Cisco ASA 5585-S60 может поддерживать 32 миллиона подключений.

Кластеризация:высокая доступность

• Все устройства в кластере являются активными и передают трафик.

• Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу.

• В случае сбоя узла проведение сеанса переходит на резервные устройства.

• Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу.

10/15/2012

14

Управление кластеризацией

• Единая консоль конфигурации и автоматическая синхронизация конфигурации в кластере.

Управление кластером из 8 устройств осуществляет всего один экземпляр Cisco ASDM.

• Обработка удаленных команд выполняется на узле.

• Статистические данные использования ресурсов в рамках кластера

Использование ресурсов ЦП и памяти для � � � � � �узла.

Использование канала управления кластером.

• Поддержка Cisco® Security Manager

Кластеризация:мастер конфигурации

jz1 Please replace "Andaman" with the actual release nameJudith Ziajka, 7/6/2012

10/15/2012

15

Кластеризация:системная панель мониторинга

Кластеризация:использование ресурсов

Использование ресурсов ЦП и

памяти для � � � � � �узла в кластере

Количество подключений в

секунду для всего кластера и для каждого узла

10/15/2012

16

Кластеризация:вкладка «Пропускная способность»

Общая пропускная способность и пропускная способность каждого узла

Кластеризация: сведения о распределении нагрузки и использовании канала управления кластером

Использование канала

управления кластером

Распределение нагрузки между

членами кластера

10/15/2012

17

Кластеризация:захват пакетов

Интеграция решения МСЭ и web-защиты Cisco Cloud Web Security

10/15/2012

18

Лучшее в своем классе

Лучшая в своем классебезопасность сети

Лучшая в своем классеweb-защита на основе

облака

Обзор решения для web-защиты Cisco Cloud Web Security

Script

PDF

Flash

Java

.exe

� � � � � � � � �� A VWeb-

страница

«Чистый»

контент

Известные вредоносные программы заблокированы

� � � � � � �� ! � �" � � � # � � �$ � � � � � � � � � �� % � � � �� Да

Новыевредоносные программы

заблокированы

Web-контент

Контроль исходящего трафика

Script-сканирова

ние

Сканированиерепутации

PDF-сканирова

ние

Flash-сканирова

ние

Java-сканирова

ние

Exe-сканирова

ние

��

10/15/2012

19

Cisco CloudWebSecurity:прозрачность и контроль web-приложений

ЧТО

Классификация и контроль web-трафика

Более 1000 приложений

Подробная классификация и контроль поведений микроприложений и приложений

Более 75 000 микроприложений

� � � � � � � �# � � # � " � � � �" # � " � � � � " � �

Конфигурация Cisco ASA

10/15/2012

20

Гибкая реализация политик

• Web-защита на основе облака с учетом контекста• Поддержка перенаправления контекста в решение Cisco ScanSafe Cloud Web Security• Несколько антивирусных механизмов и сканеров web-содержимого• Cisco ScanSafe Cloud Web Security и Cisco AVC поддерживают более 1000 web-приложений и 75 000 микроприложений

?®��

��

� � � � � � � � � � � � � �� . � � � �* % $ � � � % ,� # ' � %

C I C

Cisco TrustSec: расширение политик безопасности Cisco ASA

10/15/2012

21

Метка групп безопасности

SGT f Пользователь, группа, состояние, код устройства, IP-адрес, сертификат��

Основа Cisco TrustSec:Cisco ISE

10/15/2012

22

SGT: расширение политики Cisco ASA

Правила Cisco TrustSec® можно использовать в сочетании с правилами на основе пяти кортежей в устройстве Cisco® ASA. Для настройки политик можно использовать SGT (0008) или имя группы безопасности (sgt_marketing).

Объединение всех компонентов

� � � �� Каталоги AD

и LDAP

S X P

SGT (003)SGT (003)

Пользователь = kpahareПользователь = kpahare

SXP

� � � � � � � � � � � � � � � � �SGT = 003

®

10/15/2012

23

Основные моменты

• Решение Cisco TrustSec® поддерживается только частью коммутаторов; оно позволяет выполнять поэтапные развертывания.

• SGT может быть функцией одного или нескольких атрибутов. Допускает использование сложных правил политик.

• Политики доступа Cisco® ASA могут быть сочетанием SGT и правил на основе пяти сетевых признаков.

Пользователь = G u e s t

аутентифицируется с � � � � � � � � � _ i P a d

и ему назначаетсяSGT = 1 0 0 / G u e s t ( � & . $ - ) .На устройстве Cisco ASA: { если SGT = 100; разрешить доступ � � � � � � _ � _ � � � � � � � �

}

Пользователь = k p a h a r eаутентифицируется с

i P a d ( # � # � � � � � $ � � % � # � � � � � _ % � � # � % )и ему назначается SGT = 0 0 9 / B Y O D .На устройстве Cisco ASA: {если SGT=009; разрешить доступ � � � � � � _ $ � _ $ � � � � � � � , _ r d p к - # � % � � � � . / _ $ � # � � 0 � � # 1 / }Пользователь = k p a h a r e

аутентифицируется с � � � $ � � % � # � � � � � % � � # � %и ему

назначается SGT = 0 0 7 / Q u a r a n t i n e ( 9 � ' � $ * ) . Антивирусное ПО было отключено. После включения антивирусного ПО пользователю k p a h a r e

назначается 0 0 8 / C o m p l i a n t ( . & & $ , � $ . $ , @ � $ ) .На устройстве Cisco® ASA: { если SGT = 008; разрешить

$ � � � . B _ C � � � , $к - # � % � � � � . / _ $ � # � � 0 � � # 1 / }

Примеры сценариев использования

10/15/2012

24

Параметры правил Cisco ASA 9.0

* Предполагает группы объектов для IP-адресов.

Источник Назначение ДействиеI P � � � � � � � �� A D � � � � � �� I P � � � � � �� Любой [email protected] 10.1.1.1

Любой Любой � � � � � � i P a d � � � � � � � � � � � � http Разрешить

Любой Любой

� � � � � � � �� ( H V D ) C R Mhttp Разрешить

Любой Любой

� � � � � � � �� ( H V D ) � � � � � � � � � �� https Разрешить

Любой Любой � � � � �Любой � � � � �

Любой Запретить

Поддержка МСЭ IPv6

10/15/2012

25

Текущая поддержка IPv6

• Адресация интерфейсов

• Списки доступа IPv6

• Статическая маршрутизация по протоколу IPv6

• Обнаружение соседей по протоколу IPv6

• Межсетевой экран в контекстах безопасности по протоколу IPv6

• Прослушиватель MLDv2 в однопользовательском режиме по протоколу IPv6

• Модули проверки приложений с поддержкой IPv6 включают сквозное пропускание по протоколам FTP, HTTP, ICMP, SIP, SMTP и IPsec

• IPv6 в режиме прозрачного межсетевого экрана (уровень 2)

• Поддержка IPv6 в Cisco® Adaptive Security Device Manager (ASDM).

• Туннелирование VPN между площадками по протоколу IPv6, IKEv1 и IKEv2

• Аварийное переключение по протоколу IPv6

• Заголовок расширения IPv6

• Поддержка Cisco ASDM по протоколу IPv6

Унифицированный список контроля доступа

10/15/2012

26

Поддержка OSPFv3

Улучшения мультиконтекстных возможностей на МСЭ ASA

10/15/2012

27

Cisco ASA 9.0:несколько контекстов

OSPFv2 EIGRP/ & # � , & � 9 + � ( " # ! ' & , ," & � � � ' � * , � � ( � �� # ! 9 � � � & � & 9 & $ � 9 . $ � 2 (процессы) 1 (экземпляр)) & � � � ' � 9 � 9 & $ � 9 . $ �Пользователь и администратор) & � � � ' � 9 � " � ' � 9 ' � $ * !

Да (область) Да (активный-резервный)) & � � � ' � 9 � & � � � � &* $ � ' % � � . � Да� � * * $ & $ � � * $ � ' % � � .C L I , ( @ # - $ * � *& � & 9 & $ � 9 . $ & (' � � * ( � � Да

Cisco ASA 9.0: VPN-подключения между площадками в мультиконтекстном режиме

(этот выпуск).

• VPN-подключения между площадками по протоколам IKEv1 и IKEv2:IPv4 и IPv6

• Поддерживаются все режимы аварийного переключения:

«активный/активный» и «активный/резервный»

• Конфигурация аналогична конфигурации в режиме одного контекста

• Ограничения и распределения ресурсов в системном контексте:распределение и распределение при резком увеличении спроса на лицензии

10/15/2012

28

Cisco ASA 9.0:смешанный мультиконтекстный режим

Кластеризация

IPv6

Cisco® Cloud Web Security

Улучшения мультиконтекстных возможностейСмешанный режим

Cisco TrustSec®

Шифрование нового поколения

Бесклиентские VPN-подключения

Улучшения производительности и масштабируемости

VPN-подключения в Cisco ASA-SM

10/15/2012

29

Новый прикладной МСЭ Cisco ASA CX и система управления Cisco Prime Security Manager

Понимание контекста

Классический МСЭ ASA

Так было�

Устройство Интегрированное решение Виртуализация

� � � � � � � � � � � � � � � � � � � � �

10/15/2012

30

Cisco ASA CXCisco ASA CX



Так стало

Устройство Интегрированное решение Виртуализация

� � � � � � � � � � � � � � � � � � � � �

ASA CX – новый прикладной МСЭ

• Межсетевой экран нового поколения

• Context-Aware Firewall

• Активная/Пассивная аутентификация

• Application Visibility and Control/DPI с анализом контента

• Репутационная фильтрация � � � � �� / � � � � � � � ��

10/15/2012

31

Идентификация пользователей

• Покрытие широкого спектра сценариев идентификации

* Future

КТО

TRUSTSEC*N e t w o r k I d e n t i t yGroup informationAny tagged traffic

U s e r A u t h e n t i c a t i o n• Auth-Aware Apps• Mac, Windows, Linux• AD/LDAP user credential

A D / L D A P I d e n t i t y• Non-auth-aware apps• Any platform• AD/LDAP credential

IP SurrogateAD Agent

NTLMKerberos

Анализ работы приложенийЧТО

75,000+ MicroApps

M i c r o A p p E n g i n eГлубокий анализ трафика приложений� � � � � � � �� Контроль действий пользователя внутри приложений

� � � � � � � � �� классификация всего трафика

1,000+ приложений

10/15/2012

32

Фильтрация URL бизнес-классаЧТО

Маркетинг Юристы Финансы

языков

стран

mn URLs

покрытие

60

200

20

98%

Политики на базе местоположенияГДЕ/ОТКУДА

ОФИС

ОТЕЛЬ

10/15/2012

33

Идентификация устройств

• Информация с 100,000,000 оконечных устройств

Устройство Состояние

AV

Registry Files

Версия ОС

Identity Services Engine

КАК

Полный контекст. Плюс знание угроз

� � � � �� / � � � � � � � �� Знание угрозЗнание угроз

10/15/2012

34

Полный контекст. Плюс знание угроз

www.facebook.com G OCisco SIO

Когда использовать ASA, а когда ASA CX?

ASA

ASA CX

10/15/2012

35

А в чем разница между WSA и ASA CX?

WSA

ASA CX

ASA CX – модуль для ASA 5585-X

10/15/2012

36

Один или два?

Заказчику нужен только ASA CX? Пусть заказывает один модуль в шасси 5585-X!

Заказчику нужен ASA и ASA CX? Пусть заказывает два модуля в шасси 5585-X!

Cisco Prime Security Manager

• Система управления для ASA CX

• Встроенный в ASA CX для управления одним МСЭ

• Отдельное устройство для поддержки нескольких ASA CX

• RBAC

• Конфигурация, события и репортинг

• Виртуальная машина или устройство UCS

10/15/2012

37

Cisco ASA CXCisco ASA CX



Объединяя все вместе

Понимание угроз

Новое поколение систем предотвращения вторжений Cisco IPS

10/15/2012

38

Семейство специализированных устройств IPS Cisco

� �� ,�� ,��

� � � � � �� C i s c o I P S 4 3 6 0C i s c o ® I P S 4 3 4 5

� � � � � � � � � � � � ��

C i s c o I P S 4 5 1 0C i s c o I P S 4 5 2 0� � ! " # $ � � ! " # $ � � ! " # $ � � ! " # $

Семейство интегрированных устройств ASA-IPS Cisco

� �� ,�� ,��

� � � � � �� S O H O � � � � � � � � � � � � ��

C i s c o A S A 5 5 8 5 ) X )S 6 0 P 6 0C i s c o A S A 5 5 8 5 )S 4 0 P 4 0C i s c o A S A 5 5 8 5 )S 2 0 P 2 0C i s c o A S A 5 5 8 5 )S 1 0 P 1 0C i s c o ® A S A 5 5 1 2 )X I P S C i s c o A S A 5 5 1 5 ) X I P SC i s c o A S A5 5 2 5 ) X I P S C i s c o A S A5 5 4 5 ) X I P S C i s c o A S A 5 5 5 5 ) X I P S

� � ! " # $ � � ! " # $ � � ! " # $ � � ! " # $ � � ! " # $

10/15/2012

39

Cisco ASA серии 5500-X IPS

• Платформа межсетевого экрана нового поколения с поддержкой сервисов

• Устройства ASA среднего уровня с функцией ПО IPS с учетом контекста

• Cisco® ASA 5525-X , ASA 5545-X и ASA 5555-X имеют аппаратное ускорение для IPS.

• 1 интерфейс Gigabit Ethernet

• Доступны платы расширения ввода-вывода

• Специализированная платформа IPS среднего уровня с учетом контекста

• Четырехкратное увеличение производительности Cisco® IPS серии 4200 за половину стоимости

• Обработка с аппаратным ускорением Regex

• Интерфейсы Gigabit Ethernet

• Платы аппаратного обхода будут доступны в октябре

Устройства Cisco IPS серии 4300

10/15/2012

40

Устройства Cisco IPS серии 4500

• Специализированные высокоскоростные устройства IPS с учетом контекста

• Обработка с аппаратным ускорением Regex

• Развертывания на уровне ядра ЦОД или предприятия

• Интерфейсы Gigabit Ethernet, интерфейсы 10 Gigabit Ethernet и слот SFP

• Масштабируемость: доступен слот для будущего наращивания мощностей

Сравнение оборудования Cisco IPS 4300 и IPS 4500

Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520� � � � � � � � � � � � � �1RU 1RU 2 RU (шасси) 2 RU (шасси) � � � � � � � 4 ядер

4 потока 4 ядер8 потока

8 ядер16 потока

12 ядер24 потока � � � � �

8 GB 16 ГБ 24 ГБ 48 GB� � � � � � � � � � � � � � � � �8 x 1 GE Cu 8 x 1 GE Cu

6 x 1 GE Cu

4 x 10 GE SFP

6 x 1 GE Cu

4 x 10 GE SFP� � � � � � � � R e g e xОдинарный Одинарный Одинарный Двойной� � � � � � � � � � � Постоянное значение

переменного тока2 с возможностью горячей замены

2 с возможностью горячей замены

2 с возможностью горячей замены

10/15/2012

41

Cisco IPS 4510

) ' & * + , & � * $ � # - & . $ -• Реальный средний показатель: 3 Гбит/с• Реальный диапазон показателей: 1.2-5 Гбит/с• Транзакционная передача по HTTP: 5 Гбит/с� � ' � 9 $ � ' * . $ * 9 * " # � $ % & ' ( � :• 2 RU (шасси)• Многоядерный ЦП корпоративного класса (8

ядер, 16 потоков)• 24 ГБ ОЗУ• Резервный источник питания• Аппаратное ускорение Regex• Открытый слот (в верхней части) для

использования в будущем� � . $ � ' � + , � ' $ � , � * !• Средние и крупные предприятия• ЦОД кампуса• Требуется 3 Гбит/с реальной пропускной

способности IPS• Требуется резервный источник питания• Требуется специализированная система IPS

� � � A U X �� 6 GE Cu� � � � � � � � � ��

� � � �� ( � � � � � )� � � � � � � � � � � � � ��

4 слота 10 GE SFP

2 � � � � �U S B

Cisco IPS 4520

) ' & * + , & � * $ � # - & . $ -• Реальный средний показатель: 5 Гбит/с• Реальный диапазон показателей: 2.5-7.7 Гбит/с• Транзакционная передача по HTTP: 7,6 Гбит/с� � ' � 9 $ � ' * . $ * 9 * " # � $ % & ' ( � :• 2 RU (шасси)• Многоядерный ЦП корпоративного класса (12

ядер, 24 потоков)• 48 ГБ ОЗУ• Резервный источник питания• Аппаратное ускорение Regex (x2)• Открытый слот (в верхней части) для

использования в будущем� � . $ � ' � + , � ' $ � , � * !• Средние и крупные предприятия• Центр обработки данных• Требуется 5 Гбит/с реальной пропускной

способности IPS• Требуется резервный источник питания• Требуется специализированная система IPS

� � � A U X �� 6 GE Cu� � � � � � � � � ��

� � � �� ( � � � � � )� � � � � � � � � � � � � ��

4 слота 10 GE SFP

2 � � � � �U S B

10/15/2012

42

� � � � � � � � � � � � � � � � � � � � � � �C i s c o I P S 4 5 0 0• Прозрачна и незаметна в сети• Ввод-вывод на основе IPS• Нормализация под управлением IPS• Свободный слот для использования в

будущем� � � � � � � � � � � � � � � � � � � � � � �C i s c o A S A 5 5 8 5 � X I P S• Прозрачность как вариант.• Ввод-вывод принадлежит межсетевому

экрану.• Нормализацией управляет межсетевой экран.• Для выбора политики IPS доступны

дополнительные возможности (5 элементов потока, код пользователя и т. д.).

Варианты в центре обработки данных: Cisco IPS 5585-X и Cisco IPS 4500

Реальная методология тестирования

• Определение максимальной пропускной способности с помощью сочетания различных протоколов и размеров пакетов.

• Для оценки используются средние показатели пяти тестов.

• Сочетание типов трафика зависит от типа и расположения сети.

• В тестах используются стандартные профили приложений пределов прочности (сочетания трафика).

• Тестирование предоставляет клиентам рекомендации.

• Клиенты могут легко воспроизвести тесты.

• Тесты не имеют отношения к компании Cisco.

10/15/2012

43

Производительность Cisco IPS 4500 в режиме inline

0 12345678

Реальный средний показатель Транзакционная передача по HTTP4 5 1 0 4 5 2 0

Максимальная производительность (Гбит/с)

Сравнение производительности Cisco IPS 4500� � � � � � Cisco IPS 4510

Cisco IPS4520� � � � � � � � � � � � � � � � � � � �( � � � � / � ) Cisco использует пять сторонних

тестов, которые показывают составсмешанного трафика

развертываний.

3 5� � � � � � � � � � �� ( � � � � / � ) Максимальные уровни пропускной способности при полной проверке

трафика.5 10� � � � � � � � � � � � � � � � � �� Беспроблемная обработка

всплесков подключений.72,000 100,000� � � � � � � � � � � � � � � � � �� Динамично функционирующим

центрам обработки данных требуется большое количество

подключений.

3,800,000 8,400,000� � � � � � � � � � � � � � � Задержка может привести к проблемам транзакций и повлиять

на производительность.< 150 мс < 150 мс

10/15/2012

44

Контекстно-зависимая архитектура IPS

Прозрачность контекста

IPS

Cisco® SIO

Политика с учетом контекста

Политика с учетом контекста

в режиме Inline, корреляция в устройстве

в режиме Inline, корреляция в устройстве

в режиме Inline, оценка рисков для бизнеса на основе

контекста

в режиме Inline, оценка рисков для бизнеса на основе

контекста

Проверка политики с учетом контекста

Текущие средства контроля:

Порт IP

Протокол

Сети VLAN

Работа с копией трафика и режим inline

Требуются гибкие средства контроля для приведения политики в соответствие с направлениями угроз, повышения производительности проверки и снижения количества ложноположительных результатов.

10/15/2012

45

Встроенная корреляция определяетсовременные атаки

ИД обходанормализации

трафика

Анализ протокола

ИД атаки требуется полная прозрачность среди нескольких сигнатур, пользователей, протоколов и других компонентов

� � � � �� XСигнатура A 10:17Сигнатура B 10:19Сигнатура C 10:19

Контекстная динамическая оценка угроз

Уникальные параметры контекста формируют точную оценку бизнес-рисков

Риск д

ля

бизнеса

Обнаружение и применение рисков объекта атаки и

злоумышленника из Cisco® SIO и локальные данные

Внутренняя репутацияГлобальная репутацияКонтроль признаков

операционной системыКонечное значение

Контексты атакиКонтексты злоумышленника и объекта атаки

Поток встроенной корреляции Механизм действий

Риск д

ля

бизнеса

Обнаружение и применение рисков эксплойтов из Cisco SIO

СерьезностьТочность

10/15/2012

46

Архитектура IPS с учетом контекста

• Понимание бизнес-рисков

• Точность

• Быстродействие

• Эффективность

• Прозрачность

Инновации в управлении угрозами

• Динамическая оценка бизнес-рисков

• Контекстные данные для точного определения риска и соответствующего действия

• Встроенная корреляция, выполняемая немедленно (не после свершения)

• Отправка уведомлений или эскалация (если необходимо)

Cisco IPS для АСУ ТП

Все типы оборудования• SCADA• DCS• PLC• SIS• EMS

• Все основные производители

• Schneider• Siemens• Rockwell• GE, ABB • Yokogawa• Motorola• Emerson• Invensys• Honeywell• SEL

• И это не конец�

10/15/2012

47

Cisco IPS: возможности управления

• Cisco® Security Manager 4.3

• Cisco IPS DeviceManager 7.1(4)*

• Cisco IPS DeviceManager 7.1(5)

• Cisco IME 7.2.3

* При первых поставках клиенту Cisco IPS 4510 и IPS 4520 поставляются с 7.1(4).

Cisco Security Manager 4.3• Единое интегрированное приложение

• Унифицированный графический интерфейс дляполитики управления и устранения неполадок межсетевого экрана, устройств IPS и VPN.

• Управление устройствами безопасности корпоративного класса.

• Управление сотнями устройств безопасностиCisco®.

• Часть семейства управляемых устройств Cisco Security Managerс выпуска CiscoSecurity Manager 4.3.

• Мониторинг состояния и производительности (Cisco®ASA and Cisco IPS).

• Управление образами (Cisco ASA).

• Закрепляемый Policy Object Manager и глобальный поиск объектов.

10/15/2012

48

Cisco IDM 7.1(5)

• Поддержка расширенного декодирования HTTP.

• Профили угроз для характерной для развертывания настройки (ЦОД и периметр) с помощью мастера.

• Статистические данные о нагрузке для выполнения анализа.

• Поддержка новых платформ.

Развертывание шаблонов с помощьюCisco IDM 7.1(5)

• Базовая настройка сигнатур, адаптированная для различных расположений в сети

• Текущая поддержка только на платформах с аппаратным ускорением Regex

• Пошаговый мастер

• Шаблон, предназначенный для ЦОД

10/15/2012

49

Архитектура Cisco TrustSec

КОГДАЧТО

ГДЕ

КАККТО

Идентификация

Атрибуты политики безопасности � � � � � � � � � � � � � � � � � � � � � � � � �

Политики, относящиеся к бизнесу

Пользователи и устройства

Динамическая политика и реализация

УПРАВЛЕНИЕ ПРИЛОЖЕНИЯМИ

МОНИТОРИНГ И ОТЧЕТНОСТЬ

РЕАЛИЗАЦИЯ ПОЛИТИК БЕЗОПАСНОСТИ

Портфель решений Cisco TrustSec

Администрированиеполитики

Принятие решений на базе политик

Реализацияполитик

На основе TrustSec

Информация о политике

На основе TrustSec

Доступ на основе идентификации — это не опция, а свойство сети,включая проводные, беспроводные сети и VPN

Cisco 2900/3560/3700/4500/6500, коммутаторы Nexus 7000, инфраструктура беспроводной сети и маршрутизации

Cisco ASA, ISR, ASR 1000

Identity Services Engine (ISE) Система политик доступа на основе идентификации

Агент NAC Web-агент

AnyConnect или запрашивающий клиент, встроенный в ОС

Запрашивающий клиент 802.1x

Бесплатные клиенты с постоянным или временным подключением для оценки состояния и устранения проблем

10/15/2012

50

Контроль идентификационных данных� � � � � � � � � � � � � � � � � � �� Режим монитора

Гибкая последовательность аутентификации

Поддержка IP-телефонии

Поддержка сред виртуальных настольных систем

* � � � ' � % � � � C i s c o C a t a l y s t ®Web-

аутентификация

Функции аутентификации

IEEE 802.1x Обход аутентификации по MAC-адресам

Web-аутентификация

Полная прозрачность

Сетевое устройство

802.1X

IP-телефоны

Авторизо-ванные

пользователи

Гости

MAB и профилирование

Планшеты

На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации


ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯМножество устройств в проводной и беспроводной сети

Должно быть предусмотрено управление политиками для каждого типа устройств

Необходима гарантия того, что устройство соответствует цифровым меткам

Быстрый рост числа устройств

и идентификация для реализации политик

Проблема

10/15/2012

51

Политика дляличного iPad

[ограниченный доступ]

Точка доступаПолитика для

принтера

[поместить в VLAN X]


Принтер Личный iPadI S E C D PL L D PD H C PM A C � � � �C D PL L D PD H C PM A C � � � �ПРОФИЛИРОВАНИЕ УСТРОЙСТВ

Для проводных и беспроводных сетей� � � � � � � �� Полная прозрачность

Точкадоступа

� � � � � " � " � �� $ � � � � � �

СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO� � � � � � � ! "Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE

� # � � � $ % $ � � & $ 'ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства

� ( � � $ ) � & $ 'ISE реализует доступ на основе политик для данного пользователя и устройства

Эффективная классификация устройств

с использованием инфраструктуры

Решение

Анализ с учетом контекста:оценка состояния

Временный ограниченный доступ к сети до устранения

проблем

Пример политики для сотрудника• Исправления и обновления Microsoft

установлены

• Антивирус McAfee установлен, обновлен и работает

• Корпоративный ресурс проходит проверку

• Приложение предприятия выполняется

Проблема:• Наличие сведений о

работоспособности устройства

• Различие уровней контроля над устройствами

• Затраты на устранение проблем

Ценность:• Временный (на web-основе) или

постоянный агент

• Автоматическое устранение проблем

• Реализация дифференцированных политик на основе ролей

Пользователь проводной,

беспроводной, виртуальной сети


Не соответствует требованиям

10/15/2012

52

Гостевые политики

Анализ с учетом контекста:управление гостевым доступом

Гости

Web-аутентификация

Беспроводный или проводной доступ

Доступ только к Интернету

Выделение ресурсов:гостевые учетные записи на спонсорском портале

Уведомление: сведения о гостевой учетной записи в бумажном виде, по электронной почте или SMS

Управление: права спонсоров,

гостевые учетные записи и политики, гостевой портал

Отчет: по всем аспектам гостевых

учетных записей

Интернет


Масштабируемая реализация� � � V L A N� � � � � � � � � � � � � �� ( A C L )� � � � � � � � �� *� � � � � � � � � M A C S e c *

Управление доступом на

основе политик

Реализация политики

Удаленный пользователь

VPN

Пользователь с беспроводным

доступом

Пользователь с проводным доступом

Устройства

Абсолютный контроль

* =

СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ

И УЧЕТОМ КОНТЕКСТА

Виртуальный рабочий стол

Центр обработки данных Интранет Интернет

Зоны безопасности

� " " � $ � ! !C i s c o

10/15/2012

53

TrustSec: авторизация и реализация политик

Динамические или именованные ACL-списки

• Меньше перебоев в работе оконечного устройства (не требуется смена IP-адреса)

• Повышение удобства для пользователей

Сети VLAN

• Не требует управления ACL-списками на портах коммутатора

• Предпочтительный выбор для изоляции путей

Доступ для групп безопасности

• Упрощение управления ACL-списками

• Единообразная реализация политик независимо от топологии

• Детализированное управление доступом

� � � � �VLAN 4VLAN 3

� � � � � � � �� Любой IP-адрес

Доступ для групп безопасности — SXP, SGT, SGACL, SGFW

Гибкие механизмы реализации политик в вашей инфраструктуреШирокий диапазон доступных клиенту вариантов доступа

Абсолютный контроль� " " � $ � ! !C i s c o

Политики на основе понятного технического языка

Повышение уровня реализации политик во всей сети

Таблица доступа согласно политике на основе ролей

Ресурсы

D1(10.156.78.100)

Медицинские карты

пациентов

D3(10.156.54.200)

Электронная почта

в интранет-сети

D5(10.156.100.10)

Финансовая служба

D6

D4

D2

Разрешения $ � � � � � �)� � � � � � � � � � �� ! " $ " � � � �� ! � ! " � # ! �# $ � � �� $ � ! � " � � Врач Интернет IMAP

Нет доступа

Совместный web-доступ к файлам


Интернет IMAP Интернет Нет доступа

ИТ-админист-

ратор

WWW, SQL, SSH

Полныйдоступ

SQL SQL

Матрица политик

Совместный web-доступ к

файлам

permit tcp S1 D1 eq httpspermit tcp S1 D1 eq 8081deny ip S1 D1…………permit tcp S4 D6 eq httpspermit tcp S4 D6 eq 8081deny ip S4 D6

Требует затрат времениРучные операцииПредрасположенность к ошибкам

ПростотаГибкостьУчет характера деятельности

permit tcp dst eq 443permit tcp dst eq 80permit tcp dst eq 445permit tcp dst eq 135deny ip

ACL-список "Врач - карта пациента"

Врачи


ИТ-администраторы

S1(10.10.24.13)

S2 (10.10.28.12)

S3 (10.10.36.10)

S4 (10.10.135.10)

Отдельные пользователи

10/15/2012

54

HR Server #110.1.200.50

Finance Server #110.1.200.100

VSG

ASA

10.1.200.254

10.1.204.2546506

F i n a n c eF i n a n c e F i n a n c eH R✓

10.1.204.126

Nexus 7000Agg VDC

ISE

SXP IP Address 10.1.204.126 = SGT 5

EAPOL (dot1x)

RADIUS (Access Request)

RADIUS (Access Accept, SGT = 5)

SG ACL MatrixIP Address to SGT Mapping

Nexus 7000Core VDC

Пример контроля доступа в ЦОД с ISE

WLAN AP

Access Switch

AdaptiveSecurity

Appliance (ASA)

Identity Services

Engine (ISE)

CertificateAuthority

(CA)

Mobile Device

Manager (MDM)

WirelessRouter

IntegratedServicesRouter G2(ISR G2)

AggregationServices

Router (ASR)

Campus

SwitchingCore

Branch Office

Home Office

ActiveDirectory

(AD)

AnyConnect

WLAN Controller(WLC)

PrimeNCS

RSASecure ID

� $ � � � � � & & % ,� � � ! � � � � � � & & % ,+ � � - � � % � � � & % ,� � � !Internet

Mobile Network

Public Wi-Fi

WAN

Архитектура Cisco для BYOD BYOD

устройстваПроводной, Беспроводный,

Мобильный доступыШлюзы безопасности Инфраструктура защиты и

управлениям политикамиИнфраструктура доступа

10/15/2012

55

Сценарии использования BYOD

Сценарий Ограниченный Базовый Расширенный Передовой� � ) & � �- � # � � � + % Блокировать доступДоступ по ролям из сети

Гранулир. доступ внутри и снаружи

Полноценноемобильное рабочее место" � �� % & � ,

� � � & � # � ( � �• Знать “кто” и “что”включено в сеть

• Давать доступ только корпоративным устройствам

• Предоставлять персональным и гостевым устройствам доступ в Интернет и ограниченному числу внутренних ресурсов

• Гранулированныйдоступ изнутри сети

• Гранулированный удаленный доступ к ресурсам через Интернет

• Использование VDI

• Обеспечениеродных приложений для мобильных устройств

• Управление мобильными устройствами (MDM)

Cisco Switches, Cisco Routers, Cisco Wireless LAN InfrastructureСетевая

инфраструктура

Управление

Идентификация и политики

Удаленный доступ и

безопасность

Приложения

Cisco Prime NCS

Third Party MDM

Cisco Identity Services Engine

Cisco ASA/ESA/WSACisco AnyConnectScanSafe

Корпоративные приложения и VDI

Унифицированный клиент AnyConnect

• Клиент IPSec/SSL/DTLS VPN

– Client/Clientless

• Оценка состояния

• Location-Specific Web Security

– На периметре (Ironport WSA) или черезоблако (ScanSafe)

• Защищенный доступ в облако через SSO

• Контроль сетевого доступа

– 802.1X Authentication and Posture

– MACsec encryption

– Cisco TrustSec devices (план)

• Windows, Mac, Linux, Windows Mobile, Apple iOS, Palm, Symbian, Android, Windows Phone (план)

Internet-Bound Web Communications

ScanSafe

10/15/2012

56

Гибридное решение для обеспечения защищенного доступа к web-ресурсам

Новости Электроннаяпочта

Социальные сети КорпоративнаяSaaS-система

Cisco WSA

Обмен данными между ASA и WSA

Corporate AD

ASA

AnyConnect

Secure Mobile Device Management

Wired или Wireless

Cisco CatalystSwitches

Window или OS X ПК

Cisco WLAN Controller

ISE

MDM Mgr* � & � � + � � & % ,- � # � � � + %

Смартфоны, включая устройства с iOS или

AndroidWireless

AD/LDAP

User X User Y

? Интеграция с лидерами рынка MDM

• MobileIron, Airwatch, Zenprise, Good

• Заказчики могут выбирать

Функции:

• Всесторонний анализ устройств

• Детальный контекст пользователей и устройств

• Расширенная защита устройств и приложений

10/15/2012

57

Управление безопасностьюsco Security Manager 4.3

Краткий обзор CSM� Комплексное � � � � � � � � � ��

для FW, VPN и IPS на разнотипных устройствах (ASA, IPS, FWSM, PIX, ISR/ASR)

� � � � � � � � � � � � � � � � � � � �—

события межсетевого журнала (Syslogs) и IPS (SDEE)

� � � � � � � � � � � � �� для ASA и

IPS

��

для межсетевых экранов и устройств IPS

� � � � � � � � � � � � � � � � �для ASA и

IPS

� A P I для доступа к политике� Поддержка

� � �устройств в

одном развертывании

� � � � � � W i n d o w s:

конструктивные параметры устройства, также доступен в виде установки ПО

Cisco Security Manager

� � � � � � � � � �� ! � " � � � � � � � � � � �# $ � � � � � " �% & � '( � ) � � * � � +* � ) � � * ,* � �� ) � � - � " �

. � � � / � 0 *A P I

10/15/2012

58

� - � � � � ) � � � � % & & �� - � � % � � � - � � � � - � � � & � � � ) � - % � & � � � �� % # ! & � � � ) ' # ! � % � � � � � ' - � % � # � & � �� ! �

Cisco Security Manager

Представление политик

Представлениеустройств

Представление топологии

Управление межсетевыми экранами

Перенос политик на несколько устройств и переопределения объектов обеспечивают согласованное определение политик.

� & � # � . & , � & . $ - Интуитивный графический интерфейс с представлениями политик и объектов.

� � � � � � � �Наследование политик обеспечивает реализацию корпоративных политик.

� � � � � � � � � � � � � � � � I S R A S R

10/15/2012

59

Управление межсетевыми экранами

Поиск пользователей и групп пользователей на основе установки и сопоставления Active Directory.

� $ � � ' � 0 * ! A D Политики моделирования на основе пользователей и групп пользователей

) & # - + & , � $ � # * *� ' @ " " �" & # - + & , � $ � # � �Политики моделирования на основе FQDN (например, apps.cisco.com).

) & # � �� & ( � � � * ( � �

Средства повышения производительности межсетевых экранов

Сопоставление событий с политиками упрощает процесс изучения администратором.

� � � � � � � �Интегрированное средство отслеживания пакетов для глубокой диагностики и устранения неполадок.

� � � � � � � � � �� Число попаданий в список ACL, запрос правил и отслеживание сроков действия упрощают базовые функции политики.

� � � � � � � � ��

10/15/2012

60

Управление IPS

Согласованные сигнатуры и реакции на события в датчике IPS.

� & � # � . & , � & . $ -Технология глобального сопоставления на основе репутаций обеспечивает защиту сети в упреждающем режиме.

� " ' � � � � � � � !+ � � * $ �

� � � � � � �I P S ASA AIP IDSMI O S I P SНавигация IPS от уведомлений к

сигнатурам обеспечивает быструю настройку проблемных сигнатур.

� � � � � � � � � ��

Средства повышения производительности IPS

Отчеты об инвентаризационных данных и лицензиях IPS, а также автоматические обновления лицензий упрощают выполнение повседневных задач.

) ' & + ' � & . $ -* , � $ � ' * + � 0 * & � � � � � �Автоматические обновления сигнатур и пакетов обеспечивают оперативную защиту IPS.

� " � ' � $ * , � !+ � � * $ �� C S M

I P S I P S I P SI P S

Cisco

Навигация IPS от уведомлений к сигнатурам обеспечивает быструю настройку проблемных сигнатур.

) ' & . $ � !� * � � & . $ * 9 � *@ . $ ' � � * � � " & # � � & 9

10/15/2012

61

Подготовка сетей VPN

Простота развертывания в среде из тысяч устройств, включая неуправляемые устройства сторонних поставщиков.

� � � � � � � � � � � � � � � � � � � � � � � � � � � � �� Возможности производственного развертывания для поддержки существующих VPN-подключений.

� * * ( � # - & � � ' @ � � * �" ' & * + , & � * $ � # - & . $ *Простой в использовании мастер установки сетей VPN обеспечивает точность настроек на разных устройствах.

� # & � � �' � + , � ' $ � , � * !� � . $ � ' . & + � � * !. � $ � � V P NI P S e c G R E D M V P N G E T V P N E a s yV P N I P S e cR A S S LV P N

Управление событиями

Детализация привязки события к политике позволяет выполнять анализ основных причин и точную настройку правил.

� � , * � � 0 * ! & $. & � � $ * � 9" & # * $ * 9 �Представления событий ASA, IPS и VPN в режиме реального времени и в хронологической последовательности.

� � � � � � � � � �� Гибкие и комплексные критерии событий исключают возникновение помех.

( * # - $ ' � * � . $ ' � * , � � ( � �" ' � � . $ � , # � * ! A S AIPS VPN

10/15/2012

62

Мониторинг состояния и производительности

Кроме мониторинга ресурсов устройств, можно также контролировать параметры трафика (нагрузка для выполнения анализа, пропущенные пакеты).

� & * $ & ' * � I P SВозможность мониторинга ресурсов устройств ASA, параметров трафика (количество подключений и т. д.), аварийного переключения.

� & * $ & ' * �( � � . � $ � , � �� 9 ' � & ,Пользователь может контролировать состояние туннеля, пользователей RAVPN и т. д.

� & * $ & ' * � . � $ � �V P NA S A

IPS VPN

Пользователь может управлять уведомлениями на основе важных данных об устройствах (ЦП, память, срок действия лицензии, состояние интерфейса и т. д.).

� " ' � , # � * �@ , � � & ( # � * ! ( *

Управление образами

Пользователи могут создавать комплекты образов (образ ASA, образы AnyConnect и т. д.) для развертывания.

/ & ( " # � 9 $ �& � ' � + & ,Подход на основе мастеров для проверки, развертывания обновлений для образов, отправки уведомлений об их выпуске (включая аварийное переключение).

� " ' � , # � * �& � ' � + � ( * A S AИнтеграция с CCO, функцией подачи заявок CSM, развертыванием работ, утверждениями и т. д. для обеспечения удобной работы пользователей.

) ' & . $ � !* $ � � ' � 0 * !A S A

IPS VPN

10/15/2012

63

Тактическая отчетность

Данные можно экспортировать в формат PDF/Excel. Отчеты можно запланировать для отправки по электронной почте.

� + � - � � � � � ' � � � �- # % & � � ' � � �� Отчеты, созданные на основе данных событий ASA, IPS и VPN.

� � � � � � & � �& % � � � % � � % � � �� Данные можно наглядно представить в форматах схем и таблиц.

� � � � � � % # � � A S AIPS VPN

Повышение эксплуатационной эффективности

• Механизм подачи заявок с интеграцией на основе URL-адресов

• Режим рабочих процессов с процессом утверждения

• Глобальный семантический поиск во всех политиках

• Встроенные функции RBAC (контроля доступа на основе ролей)

• Архивация конфигураций

• Автоматическое резервное копирование и восстановление

10/15/2012

64

Cisco Security Manager 4.3

В CSM 4.3 представлены новые возможности, связанные с мониторингом состояния и производительности, управления образами, доступна на основе интерфейсов API, а также целый ряд усовершенствований в других областях.� & , � � , & + ( & � & . $ * C i s c o S e c u r i t y M a n a g e r 4 . 3

• Мониторинг состояния и производительности устройств ASA и IPS.• Управление образами для устройств ASA.• Доступ на основе API к данным конфигурации политики CSM.• Представление концепции комплектов политик для назначения нескольких

политики нескольким устройствам.• Интеграция подачи заявок для отслеживания изменений политик.• Глобальный поиск устройств, политик и объектов политики во всей базе

данных конфигурации.• Поиск сведений об использовании объектов.• Автообнаружение конфликтов для удаления ненужных записей из таблицы

правил.• Обновления Policy Object Manager для улучшенной навигации.• Поддержка новых моделей — ASA 5512, 5515, 5525, 5535, 5545 и 5555.• Поддержка нового оборудования Cisco IPS серии 4300.

Новое впечатляющее меню

Старые страницы CS

10/15/2012

65

Подача заявок

• Связывание изменений с заявками

• Поиск на основе ИД или описания заявки

• Просмотр измененных заявок по развертыванию

• Настройка и запуск по URL-адресу внешней системы подачи заявок

• Сведения о последней измененной заявке, отображаемые в POM и правилах межсетевого экрана

• ИД заявки не является обязательным; допускаются повторяющиеся записи

• Возможность указания нескольких ИД заявок, разделенных запятыми

• Ticket Manager отображает журнал всех заявок

• В новой установке эта возможность включена по умолчанию

• После обновления существующие настройки рабочих процессов и другие параметры остаются без изменений

• Для отключения возможности нужно последовательно выбрать Admin Settings (Настройки администрирования) -> Ticket Manager

10/15/2012

66

Поиск сведений об использовании —устройства, политики, объекты...

Улучшения Policy Object Manager

• Настраиваемые избранные типы объектов в дереве типов объектов

• Отображение 10 последних измененных объектов в дереве

• Просмотр сведений о ссылках на объекты с помощью одного щелчка

• Больший объем информации в таблице• Количество переопределений (если имеются) или переопределяемых объектов

• Дата последнего изменения и последняя измененная заявка (или пользователь)

• Полное описание

• Объект, который был указан в ссылке или нет (при нажатии кнопки «Referenced» (Ссылка на))

• Перетаскивание и размещение объектов• Из POM в представление правил межсетевого экрана и из представления объектов в

представление групп

• Копирование, печать, экспорт (CSV)

• Дерево типов объектов с возможностью поиска

• Поддержка быстрой фильтрации

10/15/2012

67

Policy Object Manager

Прочие улучшения

• Семантическая фильтрация (IP / сеть) поддерживается в фильтрах таблиц объектов политик сети и узлов, а также в таблицах правил межсетевых экранов.

• Копирование в виде текста в буфер обмена из большинства компонентов пользовательского интерфейса, таких как дерево, список, таблица, текст.

• Поле быстрой фильтрации, используемое в таблицах «Инвентаризационные данные», «Activity/Ticket Manager», «Policy Objects Manager» и «Сигнатуры IPS».

• Возможность поиска во всех деревьях (иерархических структурах) в Configuration Manager.

• Добавлен параметр «Expand-All / Collapse-All» (Развернуть все / Свернуть все) для всех деревьев и таблиц.

• С экрана входа в клиент CSM удален параметр «Enable / Disable Https connection» (Включить /отключить соединение по протоколу HTTPS). Соединение по протоколу HTTPS используется не всегда.

• Теперь в представлении политики отображаются прямые назначения устройств, наследование и назначения с помощью комплектов политик.

• Экспорт детализированной общей политики.

• Настраиваемая панель инструментов.

10/15/2012

68

Новая функция обнаружения конфликтов. Общие сведения

• Автоматическая функция — ACD• Функция, на основе которой выполняются практические действия —

AACD• Встроенные отчеты о конфликтах — при просмотре отчетов можно

изменять правила. Таким образом решается проблема использования, связанная с имеющимся средством анализа правил.

• Функция используется только для автоматического обнаружения конфликтов. Она не предоставляет возможности их автоматического устранения.

• Она поддерживается только в интерфейсе с примененными правилами доступа.

• Отчеты о конфликтах формируются на основе источника, назначения, сервисов, пользователей, интерфейсов. Значения других полей (например, для указания диапазона времени и параметров ведения журнала) не учитываются.

• Конфликты внутри объектов не поддерживаются.

Поддержка функций идентификации для средств межсетевой защиты

� Фильтрация трафика на основе идентификационных данных поддерживается с версии CSM 4.2.

� Уже поддерживаются такие средства, как «Запрос политики», «Найти и заменить», «Срок действия правила».

� CSM 4.3 расширит поддержку средств межсетевой защиты для учета критериев идентификации в правилах межсетевых экранов.

� Сочетание правил — принятие во внимание не только сетей, интерфейсов и сервисов, но и пользователей.

� Количество попаданий — отображение количества попаданий для записей правила доступа, содержащих пользователей.

� Импорт правил — усовершенствованная возможность импорта групп пользователей и правил доступа с помощью групп объектов.

� Оптимизация внутреннего списка ACL — улучшенная возможность оптимизации ACL на основе не только сетей, интерфейсов и сервисов, но и пользователей.

10/15/2012

69

Поддержка функций идентификации для средств межсетевой защиты (продолжение)

Возможности монитора состояния и производительности (Health and Performance Monitor, HPM)

• Предоставление возможностей мониторинга для устройств ASA,VPN и IPS

• Предоставление графиков тенденций важных показателей

• Предоставление сводной панели для отображения объединенных сведений о состоянии, уведомлениях и значениях показателей в рамках представления

• Предоставление механизма уведомлений для различных отслеживаемых параметров

• Предоставление набора предопределенного представления мониторинга.

• Предоставление пользователям возможности создания, редактирования, изменения настраиваемого представления мониторинга

10/15/2012

70

Возможности HPM — мониторинг ASA

• Мониторинг ASA распространяется на следующие типы показателей:

• ресурсы устройства — ЦП, память, интерфейсы;

• параметры трафика — количество подключений, скорость подключений, количество трансляций, скорость трансляций, отброс пакетов, включая отброс при обнаружении угрозы, пропускная способность.

• Параметры аварийного переключения

• Уведомления ASA

• Уведомления об аварийном переключении

• Уведомления о состоянии интерфейса

• Уведомления об использовании ресурсов ЦП

• Уведомления об использовании ресурсов памяти

Возможности HPM — мониторинг сетей VPN

• Мониторинг сетей VPN распространяется на следующие типы параметров:

• Мониторинг активного туннеля между площадками

• Мониторинг пользователей удаленного доступа (RA) —пользователи – web-клиента VPN, IPSec и SSL, клиента Anyconnect.

• Сводные данные о сетях VPN — сводное представление для туннеля между площадками, сеансов удаленного доступа, сведений о лицензиях и сертификатах.

10/15/2012

71

Возможности HPM — мониторинг IPS

�� A S A � � � � � � � � � � � � � � � � � � � � � � � � � � � � �� :•

� � � � � � � � � � � � � � � �— ЦП, память, интерфейсы;

•� � � � � � � � � � � � � � � �

— нагрузка для выполнения анализа, пропущенные пакеты, режим обхода;

•� � � � � � � � � I P S

— основное приложение, приложение для датчиков, приложение для совместной работы.

•� � � � � � � � � � � � � � � � I P S � � � � � � � � � � � � � � � � �

•� � � � � � � � � •

� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �•

� � � � � � � � � � � � � � � � � � � � � � � � � � •

� � � � � � � � � �•

� � � � � � � � � � � � � � � � � �•

� � � � � � � � � � � � � � � � � � � � � � � � � � � �•

� � � � � � � � � � � � � � � � � � � � � � � �•

� � � � � � � � � � � � � � � � �•

� � � � � � � � � � � � � � � � � � � � � � � � �Возможности HPM — представление мониторинга

Дерево представления мониторинга

Дерево представления мониторинга

Панель сводных данных

Панель сводных данных

Сведения о выбранных устройствах

Сведения о выбранных устройствах

Вкладка «Alerts» (Оповещения)

Вкладка «Alerts» (Оповещения)

10/15/2012

72

CSM Image Manager - Общие сведения� CSM Image Manager обеспечивает полное управление образами для

устройств ASA.

� Это средство используется на различных этапах процесса обновления образов для устройств ASA, предоставляя следующие возможности:� � � � � � � � и поддержка � � � � � � � � различных типов и версий образов, � � � � � образов, � � � � влияния обновления этих образов на устройства (в анализ входит влияние обновления

на конфигурацию устройств), � � � � � � � � � и � � � � � � � � обновления и

предоставление надежного способа � � � � � � � устройств с использованием встроенных механизмов резервирования и восстановления, что способствует сокращению времени простоев.

• Недостатки предыдущего решения, RME, для управления образамиRME больше не входит в комплект CSM.

Обновление образа с помощью RME рассматривалось как изменение OOB в CSM и требовало повторного обнаружения устройств, что приводило к потере назначенных и общих политик в CSM.

Механизм RME поддерживал только системное ПО. Отсутствует поддержка образов ASDM и других образов SSLVPN.

Отсутствует поддержка обновления аварийного переключения ASA, которое присутствует в большинстве развертываний ASA.

Сценарии использования управления образами

� Поддержка репозитория различных типов и версий образов ASA.

� Проверка доступности новых образов на сайте Cisco.com.

� Загрузка образов с сайта Cisco.com.

� Проверка и анализ влияния обновлений образов на устройства.

� Совместимость устройств с образами.

� Объединение совместимых образов в комплект.

� Планирование обновления образа одного или нескольких устройств. Контроль пошагового выполнения операции обновления.

� Управление изменениями для операций по обновлению образов.

10/15/2012

73

Преимущества Image Manager� Полное управление образами для ASA** — поддержка системы ASA,

ASDM, CSD, Hostscan, Anyconnect и подключаемого модуля SSLVPN (RDP, Telnet, SSH и т. д.).

� Поддержка обновления пары аварийного переключения «Активный/резервный».

� Тесная интеграция с Configuration Manager — пользователь получает уведомления о влиянии обновления образа на конфигурацию устройства в CSM и сведения о действиях, которые необходимо выполнить до и после обновления, чтобы обеспечить беспрепятственное управление конфигурациям устройств в CSM.

� Надежные обновления — проверки совместимости образов, проверки требований к ОЗУ, проверки объема флэш-памяти, уведомления о влиянии на конфигурации и т. д.

� Управление файлами флэш-памяти ASA.

� Комплект образов — объединение совместимых образов и их быстрое развертывание.

� Элементарные проверки надежности на ранних этапах становления управления образами SSLVPN в Configuration Manager. Вывод сообщений о недостатке места.

� Поддержка внешнего диска в ASA — диска 1.

Встроенные функции контроля доступа на основе ролей (RBAC)

• Выпуски ACS, вышедшие после версии 4.x, больше нельзя использовать в качестве решения RBAC для CSM. NRBAC предоставляет те же функции RBAC, которые присутствовали в ACS для CSM. Эти функции встроены в CSM, поэтому их использовать гораздо проще.

• Одной из ведущих мотиваций перехода на RBAC является возможность разделения обязанностей (Separation Of Duties, SOD).

– снижение риска случайного повреждения или мошенничества

– ограничение доступа к объектам (устройствам и политикам)

• Что изменилось?

– Common Services (CS) имели авторизацию на уровне задач и поставлялись только с пятью стандартными ролями. Они не обеспечивали детализацию RBAC на уровне устройств.

– При использовании NRBAC вводится детализация на уровне устройств и поставляется восемь (7 + 1) стандартных ролей. 1 роль не требуется для CSM.

• Сохраняется поддержка ACS 4.x.

10/15/2012

74

Стандартные роли, поставляемые с CSM

� Стандартные роли совпадают с ролями ACS � 5 ролей являются общими для CS и CSM

� 1 роль является специальной для CS

� 2 роли являются специальными для CS

Специальные ролиCSMЛицо, утверждающее системыбезопасности

Администратор систембезопасности

Специальная роль CS

Суперадминистратор

Общие роли

Утверждающее лицо

Служба поддержки

Администратор сети

Оператор сети

Системный администратор

Задачи приложений

� Задачи приложения назначаются ролям. Задача может относиться к одному конкретному приложению или использоваться для двух или более приложений.

Типы приложений[AUTOUPDATE] — серверавтообновления

[CSM] — Cisco Security Manager

[CS] — Common Services

ПРИМЕЧАНИЕ. Изменить разрешения для стандартных ролей нельзя.

10/15/2012

75

Группа устройств

� Группы устройств представляют собой контейнеры для устройств и используются в конфигурации авторизации на уровне устройств.

� Устройство может входить в несколько групп устройств.

ПРИМЕЧАНИЕ. Устройство может быть связано с несколькими группами устройств [ 1:n ]. Для конфигурации NRBAC не требуется связывать с пользователем все группы устройств. Достаточно только одной группы устройств.

Вывод. В системе могут находиться группы устройств, имеющие связанные устройства, но никогда не использовавшиеся для авторизации NRBAC на уровне устройств.

Различные типы авторизации в NRBAC

Полная авторизация

Авторизация на уровне задач

Авторизация на уровне устройств

10/15/2012

76

Другие функциональные возможности

� NRBAC предоставляет возможность авторизации внешним серверам идентификации, используемым для аутентификации.

� Удаленных пользователей AAA следует создать локально и назначить им роли.

� К некоторым серверам аутентификации, которые поддерживаются CS, относятся ACS 5.x как сервер TACACS+, Microsoft AD, локальная аутентификация Windows.

• Создание настраиваемой роли

• Создание новой строки привилегии запрещено.

• Следует использовать с осторожностью.

• ACS 4.x по-прежнему поддерживается «как есть». Требуется повторная регистрация, поскольку в CSM добавлены дополнительные строки привилегий для новых возможностей.

Заключение

10/15/2012

77

В заключение

� � � � � � � �Кто Что Как Где/откуда Когда� � � � � ��

Dynamic UpdatesOperations CenterSensorBase� � � � � � � � � � �� И н т е г р и р о в а н н а яи н ф р а с т р у к т у р аИ н т е г р и р о в а н н а яи н ф р а с т р у к т у р а В ы с о к о с к о р о с т н а яс п е ц и а л и з и р о в а н н а яз а щ и т аВ ы с о к о с к о р о с т н а яс п е ц и а л и з и р о в а н н а яз а щ и т а О б л а ч н ы ев ы ч и с л е н и яО б л а ч н ы ев ы ч и с л е н и яСтоит ли класть все яйца в одну корзину?

• Сложность

• Операционные затраты

• Число уязвимостей

• Обучение специалистов

• Поддержка

• Эксплуатация и управление

• Мониторинг и устранение неисправностей

• Конфигурация и обновление

• Интеграция

10/15/2012

78

Хотите узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

[email protected]

Обзор продуктов в области информационной...

Technology

p i cisco asa

n t cisco asa

cisco hardware e

vvpath cisco asa

cisco asasm

r e i p

cisco asa20

cisco ise21