Облачные сервисы безоспасности cisco (scansafe). Павел...
DESCRIPTION
Доклад прочитан на конференции Мук и Cisco "Сети без границ" (Киев, 31 мая 2011 года) http://www.cisco.com/web/UA/borderless/index.html Автор доклада: Павел РодионовTRANSCRIPT
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID 1
Сети без границ
ScanSafe. Безопасность Web трафика как SaaS
Павел Родионов. Системный инженер. [email protected]
2
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Содержание
1. Почему SaaS?
2. ScanSafe Web Security – обзор
3. Варианты подключения
4. Демо
3
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Эволюция сервисов безопасности От приобретения оборудования до SaaS
Услуги Managed Services
Услуги из облака
Собственная инфраструктура
4
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Преимущества SaaS
Нулевые CapEx
Предсказуемые OpEx
Освобождение ресурсов для бизнес задач
Минимальные сроки внедрения
Простые и удобные средства управления
Откройте новые возможности
5
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
"Облачная" система безопасности Cisco
§ Multi-tenant архитектура для обслуживания множества заказчиков
§ Распределенная масштабируемая платформа с резервированием
§ Постоянное наращивание производительности и внедрение новых ЦОД
§ Глобальная система мониторинга угроз
§ Встроенная система управления и формирования отчетов
§ Глобальная платформа для мобильных пользователей
6
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
IPS Sensor
Cisco Security Intelligence Operations (SIO) Глобальная система мониторинга угроз
Web Sensor
Email Security Solutions
Web Security Solutions
Firewalls IPS Devices
Cisco Security Intelligence Operations
IPS Sensor
Email Sensor
Web Sensor
Firewall Sensor Web
Sensor
Firewall Sensor
Email Sensor
Email Sensor
IPS Sensor
Email Sensor
7
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Характеристики облака Cisco
Люди
Обрабатывает HTTP-транзакций в день
7
Защищает сотрудников клиентов
235 Получает
статистики в день
500 30%
мирового Email трафика
Предоставляет оценок IP-репутации в день
2.8
Более100 выделенных экспертов
Технологии Передовые технологии
безопасности, Глобальная система оценки угроз
Ресурсы Тысячи устройств в десятках
ЦОД по всему миру
Млрд.
Млн. Млрд.
Гбайт
Получает статистику о
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID 8
Сети без границ
ScanSafe
Описание и технологии
9
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Кто такой ScanSafe?
Профиль компании: § Основана в 2004г. § Пионер и мировой лидер в области SaaS услуг Web безопасности
§ Клиенты -‐ от SMB до Large Enterprise в более чем 100 странах
§ 100% UpRme за всю историю предоставления услуги
§ Является подразделением Cisco с Декабря 2009г.
Customers
Security product of the year 2008
Awards
Partners
10
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Обзор решения
11
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
ЦОДы Cisco ScanSafe
Надежность § 15 ЦОДов § 100% доступность сервиса за всю историю § SLA по непрерывности и эффективности работы
Масштабируемость § Multitenant архитектура § Обрабатывает ~7Млрд. web-транзакций в день § Постоянное масштабирование
12
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Архитектура защиты от Web-угроз
§ Статистика за 2009г.: 28М уникальных JavaScript в день 560К уникальных PDF в день 244 уникальных ShockWave в день
§ 2 антивирусных движка (Symantec+ЛК)
§ False Positive \ False Negative rate < 0,0004%
§ Гарантированная доступность – 99,999%
§ 2010 год – 7 млрд web запросов в день
13
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Фильтрация контента Web 2.0
1. Традиционная URL-фильтрация 2. Расширенная функциональность
– Протоколы HTTPS, FTP over HTTP
– DLP, «предупредить, но не блокировать» (AUP) и анонимизация
3. Динамическая классификация неизвестных сайтов
– За 1/1000 секунды
– Эффективность детектирования сайтов для взрослых, криминальных и т.п. = 99%
4. Обработка поисковых запросов SearchAhead
– Классификация и уведомление пользователя
© 2005 Cisco Systems, Inc. All rights reserved.
14
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Сервисы ScanSafe
Делаем Не делаем
Управляем HTTP, HTTPS, FTP over HTTP Web фильтрация Фильтрация контента Сканирование Web malware Отчеты об использовании Защита мобильных пользователей
Не-‐HTTP/s трафик P2P IDS/IPS Маршрутизатор/МЭ Отчеты об общей полосе пропускания QoS для всего трафика VPN Оптимизация WAN
15
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Опции развертывания
1. Прямой метод передачи трафика
2. Connector
3. PIM
4. Anywhere+/Anyconnect Secure Mobility Client
16
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Классическая конфигурация
Connector
§ Обработка § Политики
Scanning Towers AD: Гибкое управление и резервирование через GPO, PAC
§ Тонкие агенты § Любой сервер Win § Тегирование запросов
§ Маленький драйвер>
Мобильные пользователи
17
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Как трафик попадает в облако Опция 1 – при помощи имеющейся инфраструктуры заказчика
С изменениями настроек браузера: 1. Настройки Proxy загружаются на компьютеры из AD (GPO / PAC file) или по DHCP
2. МСЭ блокирует исходящий HTTP трафик на все адреса кроме ScanSafe
Без изменения настроек браузера: 1. Имеющееся у заказчика устройство перенаправляет трафик в облако помощи функций Cascade Proxy или Port Foreward
Опционально – User/Group Granularity:
1. В HTTP-запросы пользователей добавляется защищенная (хеши) информация об имени пользователя/группы при помощи Login скриптов/GPO
2. Прозрачно для пользователя
ScanSafe Websecurity Service
DC
18
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Firewall
`
Client
Active Directory Server
`
Client
`
Client
ScanSafe
xss--3-Plel6UC8EGJdNQiG-Mfq..
Encrypted Header (user granularity)
LoginScript
Set encrypted header
PIM -‐ Passive IdenKty Management
Преимущества § Обеспечивает детализацию по
пользователям/группам в AD § Обеспечивает резервирование через PAC § Не нужен коннектон § Динамическая регистрация IP через DDNS § Масштабируется на уровень больших
предприятий
§ Функциональность § Запускается логин-‐скриптом § Подключение напрямую к ЦОД § Данные напрямую не отправляются § Детальная информация содержится в
заголовке HTTP/HTTPS
19
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Как он работает?
1. Windows исполняемый файл
2. Рекомендуется запускать логин-‐скриптом
3. Добавляет заголовок –XS в строчку user-‐agent
4. В эту строчку включен уникальный хеш, который идентифицирует пользователя
5. Это зашифровано
6. При регистрации, PIM отправляет запрос на ScanSafe и загружает информацию о пользовательских группах
7. Группы автоматически создаются на ScanCenter
8. После регистрации, при каждом запросе нам отправляется только хеш, на основании которого мы определяем принадлежность пользователя к политикам
20
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
ПО ScanSafe Connector 1. Устанавливается и настраивается один раз, в дальнейшем не требует администрирования и обновлений
2. Перенаправляет Web трафик в облако
3. Отвечает за взаимодействие с AD и предоставляет в облако защищенную информацию о пользователе/группе
4. В будущем – функциональность Connector интегрированная в маршрутизаторы и МСЭ Cisco
ScanSafe Websecurity Service
DC Connector
Как трафик попадает в облако Опция 2 – при помощи Connector
21
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Обзор коннектора
1. Объект в сети заказчика 2. Захват внутреннего IP 3. Захват имени пользователя
4. Захват членства в группе AD 5. Управление исключениями
6. Аутентификация по лицензионным ключам/IP 7. Варианты развертывания: § Отдельный § ISA Plug-in § ISR G2
22
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Существующее решение: Перенаправление трафика, Port Forwarding(ASA 8.3)
Основной функционал 1. Проверка только HTTP и FTP over HTTP 2. Один ЦОД 3. Ограниченный набор исключений и подробности Варианты использования 1. Web безопасность 2. Поддержка любого устройства просмотра Web 3. Публичные хотспоты, гостевой доступ
ASA
23
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
1. Web-фильтрация для WiFi с общим доступом
• Фильтрация для гостей • Одна политика, нет деления для пользователей
2. Возможность для безопасности Web в местах общего доступа
• Операторы Hotspot • ASA для перенаправления
3. Отдельный SKU
ScanSafe for Public Hotspot WiFI
24
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
1. Внедрение функционала коннектора в ISR 2. Перенаправление трафика в облако ScanSafe без дополнительного оборудования
3. Поддержка web политик для индивидуальных пользователей и групп. Работа в режиме SSO при аутентификации в LDAP
4. Поддержка на маршрутизаторах Cisco ISR G2 (880, 890, 19xx,29XX, и 39XX)
ISR G2
25
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Как трафик попадает в облако Опция 3 – клиент Anywhere+ для мобильных пользователей
1. Устанавливается как сетевой драйвер, незаметен для пользователя
2. Автоматически определяет ближайший к пользователю ЦОД
3. Перенаправляет Web трафик пользователя в облако
4. Обеспечивает User/Group Granularity
5. Защищен от выключения пользователем
Факт: Мобильные пользователи только
17% времени в Интернет проводят в корпоративном VPN. Как контролировать
оставшиеся 83%?
26
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Защита мобильных пользователей Автоматический выбор: в облаке или на предприятии
News Email
Social Networking Enterprise SaaS
The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.
Cisco Web Security Appliance
Обмен информацией между ASA и WSA
Corporate AD
ASA Сisco AnyConnect
Cisco AnyConnect
Оптимальный выбор между облаком и предприятием в зависимости от местоположения пользователя
27
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Что такое Web безопасность Cisco? § Web безопасность это новый компонент Cisco AnyConnect VPN
§ Состоит из функционала “Anywhere+”
§ Дополнительный уровень в Any Connect, работающий с драйвером вместе с остальным функционалом
NAM
Web Security
VPN
Driver
KDF Driver
Web Security
Dart etc.
28
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Возможности WebSecurity
Все возможности Anywhere+ v1.2
Полная поддержка всех версий Windows
Поддержка интерфейсов WWAN (3G modem)
Контроль прямого доступа к узлам IPv6 ( IPv6.Google.com)
Блокировка для предотвращения выключения
• Поддержка Hosted Scansafe • Клиенты для других платформ (Mac, мобильные устройства) • Дополнительные опции развертывания • Разные улучшения и обновления
Будущие релизы (2011)
29
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID 29 29
Клиентский портал ScanCenter Настройка политик, отчеты, мониторинг
1. Все настройки выполняются на портале
2. Более 5000 шаблонов отчетов
3. Возможность создания своих шаблонов отчетов и политик
4. 75 анализируемых параметров трафика
5. Отчеты по расписанию
6. Информация как по клиенту так и глобальные тенденции
30
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Вопросы и Ответы
Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 (495) 961-1410
31
© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID
Условия
§ Полнофункциональный пробный доступ на 30 дней § Небольшой одноразовый платеж за включение услуги
§ Несколько $ за одно рабочее место в месяц (зависит от общего числа рабочих мест в организации)