cisco cloud security
DESCRIPTION
TRANSCRIPT
Cisco Expo 2010
Павел Антонов, Инженер-консультант
Безопасность информационных бизнес коммуникаций как услуга «из облака»
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 2Cisco Public
План доклада
Почему SaaS?
Почему Email и Web?
Облачные услуги безопасности Cisco
IronPort Hosted Email Security
ScanSafe Web Security
Примеры использования
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 3Cisco Public
Преимущества SaaS
Нулевые CapEx
Предсказуемые OpEx
Освобождение ресурсов
для бизнес задач
Минимальные сроки
внедрения
Простые и удобные
средства управления
Откройте новые возможности
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 4Cisco Public
"Облачная" система безопасности Cisco
Multi-tenant архитектура для обслуживания множества заказчиков
Распределенная масштабируемая платформа с резервированием
Постоянное наращивание производительности и внедрение новых ЦОД
Глобальная система мониторингаугроз
Встроенная система управления и формирования отчетов
Глобальная платформа для мобильных пользователей
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 5Cisco Public
IPSSensor
Cisco Security Intelligence Operations (SIO)Глобальная система мониторинга угроз
WebSensor
Email Security Solutions
Web Security Solutions
Firewalls IPS Devices
Cisco SecurityIntelligence Operations
IPSSensor
EmailSensor
WebSensor
FirewallSensor
WebSensor
FirewallSensor
EmailSensor
EmailSensor
IPSSensor
EmailSensor
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 6Cisco Public
Характеристики облака Cisco
Люди
Обрабатывает
HTTP-транзакций в день
3
Защищает
сотрудников клиентов
235Получает
статистики в день
500
30%
мирового Email
трафика
Предоставляет оценок
IP-репутации в день
2.8
Более100
выделенных экспертов
ТехнологииПередовые технологии
безопасности, Глобальная
система оценки угроз
РесурсыТысячи устройств в десятках
ЦОД по всему миру
Млрд.
Млн.
Млрд.
Гбайт
Получает
статистику о
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID Cisco Public
Фокус на Email и Web
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 8Cisco Public
Почему Email и Web?
1. Сегодня это основные виды информационных бизнес коммуникаций
2. Они же основные каналы распространения угроз
3. Облачные по своей природе
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 9Cisco Public
Объемы
• Ежегодное двукратное увеличение объемов спама
• Ежегодный рост численности ботнетов
Сложность
• Комбинированные угрозы
• Использование социальных технологий
Тенденции развития Email угрозРост объемов и сложности
“Изощренные”
технологии спама (1%-2%)
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 10Cisco Public
HTTP – это новый TCP?
IM
FTP
Web-трафик10
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 11Cisco Public
Web страница – рецепт заражения
Как работает web сайт?
1. HTML код содержит список ссылок на объекты
2. Получая этот список web-браузер скачивает с указанных источников все объекты, включая:
• Файлы с изображениями
• Скрипты
• Исполняемый код
• Другие web-страницы
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 12Cisco Public
Типичное поведение Вашего браузера
Адресов в браузере: 1
HTTP запросов: 162
Изображений: 66 с 18 разных доменов
Скриптов: 87 с 7 доменов
Cookie: 118 с 15 доменов
Flash объектов: 8 c 4доменов
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 13Cisco Public
Уязвимая экосистема Web браузеров
IE and Firefox vulnerable“…hundreds of vulnerabilities in ActiveX controls installed by software vendors have been discovered.”
Media Players & Browser Helper Objects (BHO)• RealPlayer, iTunes, Flash, Quicktime, Windows Media
• Explosion of BHOs and third-party plug-ins
• Plug-ins are installed (semi) transparently by website. Users unaware an at-risk helper object or plug-in is installed … introducing more avenues for hackers to exploit users visiting malicious web sites.
SANS Top 20 Security Risks
http://www.sans.org/top20/#c1
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 14Cisco Public
Уязвимые Web серверы
“Web application vulnerabilities account for almost half
the total number of vulnerabilities being discovered in
the past year**. These vulnerabilities are being exploited
widely to convert trusted web sites into malicious servers
serving client-side exploits and phishing scams.”
SANS Top 20 Security Risks
http://www.sans.org/top20/#s1
** including open-source and custom-built applications
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 15Cisco Public
Пример: зараженная web-страница
Скрытая ссылка на скрипт в HTML коде
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID Cisco Public
IronPort Hosted Email Security
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 17Cisco Public
Архитектура решения IronPort ESA
Anti Virus
Encryption
Inbound
Outbound
Anti Spam
Data Loss
Prevention
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 18Cisco Public
Сеть SenderBase – с чего начинался SIOГлобальная система Email репутации
Global Volume
Data
Message
Composition
Data
Spam Traps
Complaint
ReportsIP Blacklists
& Whitelists
Domain
Blacklist &
Safelists
Compromised
Host Lists
Web Site
Composition
Data
Other Data
Оценка IP репутации
+100- 10
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 19Cisco Public
Многоуровневое детектированиеспама
Multi-layer Spam Defense
Движок анализа
содержимого
Репутационная
фильтрация
Кто? Как?
Что? Куда?
Score
Блокирует >90% всего
поступающего спама
Блокирует >99%
оставшегося спама
Менее 1 ложного срабатывания
на 1Млн. сообщений
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 20Cisco Public
Многоуровневая защита от вредоносного кода
Multi-layer Virus Defense
Антивирусные движкиVirus Outbreak Filters
T = 0
-zip (exe) files
T = 5 mins
-zip (exe) files
-Size 50 to
55 KB
T = 15 mins
-zip (exe) files
-Size 50 to
55KB
-“Price” in the
filename
Преимущества Virus Outbreak Filters: Среднее время опережения* -13 часов
Заблокированных эпидемий* -175
Совокупное сохраненное время* - 94 дня
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 21Cisco Public
На объекте
заказчика
Единые политики | Централизованное управление | Единообразная защита
Форматы IronPort Email Security
Managed Email
Security
Customer Premise
Equipment (CPE)
Hosted Email Security (SaaS)
HybridHosted Email
Security В облаке Cisco
HybridHosted Email
Security
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 22Cisco Public
Преимущества размещения в облаке Cisco:
Быстрое развертывание
Снижение нагрузки по обслуживанию
Размещение, масштабирование, отказоустойчивость – наши заботы
2: Доставка проверенной
почты
1
2
3. Опционально: Фильтрация
исходящей почты
1: Очистка в облаке от спама и вирусов
Hosted Email Security
ЦОД Cisco
Заказчик
3
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 23Cisco Public
Лучшее из обоих миров
Очистка входящей почты – в облаке Cisco
Обработка исходящей почты, в т.ч. и DLP – у заказчика
Конфиденциальная информация не покидает сети заказчика
Единый интерфейс мониторинга
2. Доставка проверенной
почты
1
2
3Применение политик DLP,
интеграция с AD
1: Очистка в облаке от спама и вирусов
Hybrid Hosted Email Security
ЦОД Cisco
Заказчик
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 24Cisco Public
Отслеживание сообщений | Кейсы | ОтчетыЗаказчик
Об
сл
уж
ива
ни
еО
тчеты
ЦОД Cisco
Разделяемый доступ
Co-ManagedМы администрируем, Вы контролируете
CiscoМониторинг работоспособности | Обновления | Настройки
Объект заказчика
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID Cisco Public
ScanSafe Web Security
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 26Cisco Public
Кто такой ScanSafe?
Профиль компании:
Основана в 2004г.
Пионер и мировой лидер в области SaaS услуг Web безопасности
Клиенты - от SMB до Large Enterprise в более чем 100 странах
100% Uptime за всю историю предоставления услуги
Является подразделением Cisco с Декабря 2009г.
Customers
Security product of the year 2008
Awards
Partners
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 27Cisco Public
Обзор решения
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 28Cisco Public
ЦОДы Cisco ScanSafe
Надежность 15 ЦОДов
100% доступность сервиса
за всю историю
SLA по непрерывности и
эффективности работы
Масштабируемость Multitenant архитектура
Обрабатывает ~3Млрд. web-
транзакций в день
Постоянное масштабирование
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 29Cisco Public
Архитектура защиты от Web-угроз
Статистика за 2009г.:
28М уникальных JavaScript в день
560К уникальных PDF в день
244 уникальных ShockWave в день
2 антивирусных движка (Symantec+ЛК)
False Positive \ False Negative rate < 0,0004%
Гарантированная доступность – 99,999%
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 30Cisco Public
Фильтрация контента Web 2.0
Традиционная URL-фильтрация
Расширенная функциональность
– Протоколы HTTPS, FTP over HTTP
– DLP, «предупредить, но не блокировать» (AUP) и анонимизация
Динамическая классификация неизвестных сайтов
– За 1/1000 секунды
– Эффективность детектирования сайтов для взрослых, криминальных и т.п. = 99%
Обработка поисковых запросов SearchAhead
– Классификация и уведомление пользователя
© 2005 Cisco Systems, Inc. All rights reserved.
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 31Cisco Public
Как трафик попадает в облакоОпция 1 – при помощи имеющейся инфраструктуры заказчика
С изменениями настроек браузера:
Настройки Proxy загружаются на компьютерыиз AD (GPO / PAC file) или по DHCP
МСЭ блокирует исходящий HTTP трафик на все адреса кроме ScanSafe
Без изменения настроек браузера:
Имеющееся у заказчика устройство перенаправляет трафик в облако помощи функций Cascade Proxy или Port Foreward
Опционально – User/Group Granularity:
В HTTP-запросы пользователей добавляется защищенная (хеши) информация об имени пользователя/группы при помощи Login скриптов/GPO
Прозрачно для пользователя
ScanSafe
Websecurity Service
DC
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 32Cisco Public
ПО ScanSafe Connector
Устанавливается и настраивается один раз, в дальнейшем не требует администрирования и обновлений
Перенаправляет Web трафик в облако
Отвечает за взаимодействие с AD и предоставляет в облако защищенную информацию о пользователе/группе
В будущем – функциональность Connector интегрированная в маршрутизаторы и МСЭ Cisco
ScanSafe
Websecurity Service
DC Connector
Как трафик попадает в облакоОпция 2 – при помощи Connector
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 33Cisco Public
Как трафик попадает в облако Опция 3 – клиент Anywhere+ для мобильных пользователей
Устанавливается как сетевой драйвер, незаметен для пользователя
Автоматически определяет ближайший к пользователю ЦОД
Перенаправляет Web трафик пользователя в облако
Обеспечивает User/Group Granularity
Защищен от выключения пользователем
Факт: Мобильные пользователи только
17% времени в Интернет проводят в корпоративном VPN. Как контролировать
оставшиеся 83%?
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 34Cisco Public
Защита мобильных пользователейАвтоматический выбор: в облаке или на предприятии
News Email
Social Networking Enterprise SaaS
Cisco Web Security Appliance
Обмен информацией между ASA и WSA
Corporate AD
ASAСisco AnyConnect
ScanSafe Anywhere+(В будущем
Cisco AnyConnect )
Оптимальный выбор между облаком
и предприятием в зависимости от
местоположения пользователя
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 35Cisco Public 3535
Клиентский портал ScanCenterНастройка политик, отчеты, мониторинг
Все настройки выполняются на портале
Более 5000 шаблонов отчетов
Возможность создания своих шаблонов отчетов и политик
75 анализируемых параметров трафика
Отчеты по расписанию
Информация как по клиенту так и глобальные тенденции
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 36Cisco Public
Условия
© 2005 Cisco Systems, Inc. All rights reserved.
Полнофункциональный пробный доступ на 30 дней
Небольшой одноразовый платеж за включение услуги
Несколько $ за одно рабочее место в месяц (зависит от общего числа рабочих мест в организации)
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 37Cisco Public
Как оператору запустить эту услугу?
Мы помогаем развивать этот сервис операторам:
– Полное отсутствие финансовых затрат на внедрение услуги
– Обучение продавцов, служб маркетинга и инженеров
– Маркетинговые акции, семинары, telesales
– Снабжение маркетинговыми материалами, калькуляторы ROI
© 2005 Cisco Systems, Inc. All rights reserved.
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 38Cisco Public
Как это выглядит для клиента
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID Cisco Public
Заключение
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 40Cisco Public
Надежность Децентрализация Унификация
Задача
Web 2.0 стал неотъемлемым инструментом бизнеса , необходима передовая защита
Результаты
“Ряд механизмов безопасности лучше реализовывать в "облаке" для повышения уровня защищенности”
Задача
Для поддержки офисов по всему миру и мобильных пользователей требовались существенные ресурсы
Результаты
“Достоинством решения является невиданная ранее простота развертывания"
Задача
Требовалось обеспечить развертывание политик и обеспечение отчетности по множеству объектов
Результаты
"Контроль за ситуацией восстановлен, изменения политики распространяются практически мгновенно"
Истории успеха ScanSafe
© 2010 Cisco and/or its affiliates. All rights reserved.Presentation_ID 41Cisco Public
Справочная информация
“Облачная” безопасность Ciscohttp://www.cisco.com/go/cloudsecurity
Решения и продукты Cisco в области ИБhttp://www.cisco.com/go/security (eng)http://www.cisco.com/web/RU/products/vpn.html (рус)
Центр ИБ Security Intelligence Operationshttp://tools.cisco.com/security/center/home.x
Ежегодный отчет Cisco о угрозах ИБhttp://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html
Брошюры по ИБhttp://www.cisco.com/web/RU/broch.html (рус)