secure mobile office
DESCRIPTION
TRANSCRIPT
1/38 © Cisco, 2010. Все права защищены.
Можно ли мобильный офис сделать защищенным?
Алексей Лукацкий, менеджер по развитию бизнеса
© Cisco, 2010. Все права защищены. 2/38
Смена ожиданий бизнеса
© Cisco, 2010. Все права защищены. 3/38
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры Заказчики Партнеры
© Cisco, 2010. Все права защищены. 4/38
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры Заказчики
Дом
Кафе
Аэропорт
Мобильный
пользователь Партнеры
© Cisco, 2010. Все права защищены. 5/38
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service X
as a Service Software
as a Service
© Cisco, 2010. Все права защищены. 6/38
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service X
as a Service Software
as a Service
© Cisco, 2010. Все права защищены. 7/38
66% 45% 59% 45% 57%
Согласятся на
снижение
компенсации
(10%), если
смогут работать
из любой точки
мира
Готовы
поработать на
2-3 часа в день
больше, если
смогут сделать
это удаленно
Хотят
использовать
на работе
личные
устройства
ИТ-
специалистов
не готовы
обеспечить
бóльшую
мобильность
сотрудников
ИТ-специалистов
утверждают, что
основной задачей
при повышении
мобильности
сотрудников
является
обеспечение
безопасности
© Cisco, 2010. Все права защищены. 8/38
• Достичь большего при тех же ресурсах и с теми же активами
• Сокращение штатов, ограничение бюджетов и давление со стороны конкурентов заставляет предприятия
Увеличивать продуктивность
Увеличивать взаимодействие
Снижать затраты
И еще… поддерживать лояльность сотрудников, удовлетворенность работой и психологический климат
• Глобализация экономики требует работать не только в режиме 8х5, но и в нерабочие часы
© Cisco, 2010. Все права защищены. 9/38
• В ДОРОГЕ (отели, аэропорты, бизнес-центры)
280 миллионов бизнес-поездок в год
Спад производительности >60–65%
• ДОМА (teleworking)
137 миллионов надомных работников в 2003г.
40% надомных работников в США из крупных компаний и среднего бизнеса
• НА РАБОТЕ (филиалы, отделения, партнеры)
E-business требует быстрых сетей
Филиал должен быть там где люди
Источник: Gartner, Cahners Instat,
Wharton Center for Applied Research
© Cisco, 2010. Все права защищены. 10/38
Источник: Gartner Group
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
2000 2005 2010
% работы, зависящей от
группового вклада
Работа в одиночку
В одно время в одном месте
В одно время в разных местах
В разное время в разных местах
Сотрудничество – драйвер роста
Взаимодействие с другими, но не лицом к лицу
Рост продуктивности невозможен без поддержки этой тенденции
© Cisco, 2010. Все права защищены. 11/38
Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
Аэропорт
WAN/Internet
SiSi
SiSi
Отель
Предприятие
Дорога
Кафе
Главный
офис HQ
Филиал Дом
• Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)
• Сотрудник в среднем тратит только 30–40% времени в офисе
100 сотрудников
500 сотрудников
1000 сотрудников
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К
© Cisco, 2010. Все права защищены. 12/38
Любой пользователь С любого устройства
В любое время Отовсюду
Сеть без
границ
iPhone, Смартфон,
IP-телефон,
Лэптоп
Сотрудники,
Партнеры,
Заказчики,
Сообщества
На работе, дома,
в кафе, в аэропорту
на ходу…
Всегда на связи,
Мгновенный доступ,
Мгновенная реакция
© Cisco, 2010. Все права защищены. 13/38
• Пользователи (особенно руководство) хотят получать доступ к корпоративным ресурсам даже с мобильных устройств
• Пользователи хотят выбирать мобильные устройства самостоятельно
• Спектр выбираемых устройств очень широк
ОС: iPhone, Windows Mobile, Symbian, BlackBerry, WebOS
Платформа: iPhone, Nokia, HTC, LG, Samsung, BlackBerry, Palm
• Платформы закрытые и функциональных средств защиты для мобильных устройств практически нет
© Cisco, 2010. Все права защищены. 14/38
Традиционные средства защиты
ориентированы на «мощные» платформы
Для многих мобильных платформ средств
защиты просто нет (Android, BlackBerry, iPhone
и т.д.)
Тенденция применения собственных
мобильных устройств
Несогласованные политики доступа
к проводному и беспроводному
сегментам сети
© Cisco, 2010. Все права защищены. 15/38
Cisco
3rd Parties • Device lock
• Device wipe
• Pin
enforcement
• Device audit
• Разрешенное
использование
• Контроль
доступа
• Защита от
вредоносного
кода
• Контроль
утечек
• Аутентификация
• Защищенное
соединение
• VPN-туннели
• Виртуальный
сейф
• Анализ
защищенности
• NAC
© Cisco, 2010. Все права защищены. 16/38
IPSec VPN SSL VPN
• Широко распространенная, отработанная технология
• Хорошо подходит для расширенного доступа сотрудников с корпоративнымы компьютерами
• Расширяет защищенный доступ для «не-сотрудников», например, контрактников и временных служащих
• Облегченный доступ для партнеров
• Обеспечивает доступ “отовсюду”, включая недоверенные и неуправляемые ПК (Интернет-кафе)
• Снижает операционные затраты, связанные с клиентским ПО
Cisco Confidential 17 © 2010 Cisco and/or its affiliates. All rights reserved.
Поддержка доступа с клиентом и без клиента
Доступ с клиентом Доступ к сети без клиента
Web-доступ к файлам
Туннели SmartTunnels
Автоматическая загрузка и обновление
Доступ к любому приложению или ресурсу
Поддержка мобильных устройств
Качественная передача речи (DTLS)
Web-доступ к файлам
Поддержка FTP и CIFS
Интерфейс браузера и web-папок
Туннели SmartTunnels
Перенаправление портов на уровне приложений
Поддержка большинства приложений, использующих Winsock версии 2
Доступ к сложному web-контенту
Поддержка Win2K, XP, Vista, Mac OS X
© Cisco, 2010. Все права защищены. 18/38
• Cisco Secure Desktop (CSD) поддерживает сотни предустановленных приложений
Антивирусы, anti-spyware, персональные МСЭ и др.
• 4 основных функции
Host Scan (Windows)
Advanced Endpoint Assessment
Secure Vault (Windows 2K/XP)
Cache Cleaner (Windows, Mac OS X и Linux)
© Cisco, 2010. Все права защищены. 19/38
• Поддерживаемые проверки
Проверки реестра
Проверки файлов
Проверки сертификатов
Проверка версии Windows
Проверка IP-адресов
• Визуализация облегчает конфигурирование и снижает число ошибок
© Cisco, 2010. Все права защищены. 20/38
© Cisco, 2010. Все права защищены. 21/38
Доступ к отдельным ресурсам
Новый дизайн портала
Локализация
RSS
Персональные закладки
Доступ с AnyConnect Client
Доступ к файлам (FTP/CIFS)
Поддержка Flash
Поддержка удаленного управления через telnet, SSH, RDP и VNC
Перенаправление запросов на доступ к Windows-приложениям (Smart Tunnel)
© Cisco, 2010. Все права защищены. 22/38
• Обеспечивается доступ к web- и традиционным приложениям через браузер
• Технология Smart Tunnel обеспечивает доступ TCP приложениям
Не требуется полномочий администратора на ПК
© Cisco, 2010. Все права защищены. 23/38
© Cisco, 2010. Все права защищены. 24/38
© Cisco, 2010. Все права защищены. 25/38
Поддержка Citrix требует специального SSL-клиента или Java-апплета или иного резидентного ПО
Медленная инициация приложения
Может не работать из-за настроек безопасности браузера
Потенциальные конфликты ПО, особенно на неуправляемых узлах
Типичная поддержка
Citrix SSL VPN
Citrix Server Microsoft Office
Mainframe Access
Port Forwarding
загрузка апплета
Полная поддержка Citrix без специального клиента
Быстрое время инициализации – ничего не надо загружать
Высокая производительность – нет локального приложения-транслятора
Не зависит от настроек безопасности и браузера
Высокая стабильность – нет потенциальных конфликтов с ПО
Поддержка
Cisco Citrix
Медленная загрузка,
конфликт с ПО, браузер
блокирует апплет
Полная
поддержка
Citrix
Citrix Server Microsoft Office
Mainframe Access
© Cisco, 2010. Все права защищены. 26/38
© Cisco, 2010. Все права защищены. 27/38
© Cisco, 2010. Все права защищены. 28/38
© Cisco, 2010. Все права защищены. 29/38
© Cisco, 2010. Все права защищены. 30/38
Настраиваемый
баннер
Настраиваемые
цвета и разделы
портала
Настраиваемые
ссылки, доступные
сетевые ресурсы
Настраиваемые
методы доступа
Настраиваемые
сообщения
RSS-каналы
© Cisco, 2010. Все права защищены. 31/38
Основное назначение – защититься от перехватчиков ввода с клавиатуры
Может быть использована на любой странице, где требуется ввести пароль
© Cisco, 2010. Все права защищены. 32/38
Защита невзирая на место подключения к Интернет
News Email
Social Networking Enterprise SaaS
Отражение угроз
Предотвращение утечек
Допустимое использование
Security Enforcement Array
Контроль доступа
Оптимальный выбор между облаком и
предприятием
Прозрачно для пользователя
Зависит от местоположения пользователя
© Cisco, 2010. Все права защищены. 33/38
Выбор реализации: облако или на предприятии
News Email
Social Networking Enterprise SaaS
Cisco Web Security Appliance
Обмен информацией между ASA и WSA
Corporate AD
ASA AnyConnect
Как угодно+ (Переход к AnyConnect)
Факт: Мобильные пользователи только 17% времени в Интернет проводят в
VPN. Как контролировать 83% оставшегося времени?
© Cisco, 2010. Все права защищены. 34/38
Опция 1 – при помощи имеющейся инфраструктуры заказчика
С изменениями настроек браузера:
• Настройки Proxy загружаются на компьютеры
из AD (GPO / PAC file) или по DHCP
• МСЭ блокирует исходящий HTTP трафик на
все адреса кроме ScanSafe
Без изменения настроек браузера:
• Имеющееся у заказчика устройство
перенаправляет трафик в облако помощи
функций Cascade Proxy или Port Foreward
Опционально - Passive Identity Management:
• В HTTP-запросы пользователей добавляется
защищенная (хеши) информация об имени
пользователя/группы при помощи Login
скриптов/GPO
• Прозрачно для пользователя
ScanSafe
Websecurity Service
DC
© Cisco, 2010. Все права защищены. 35/38
Опция 2 – при помощи Connector
ПО ScanSafe Connector
• Устанавливается и настраивается один раз, в дальнейшем не требует администрирования и обновлений
• Перенаправляет Web трафик в облако
• Отвечает за взаимодействие с AD и предоставляет в облако защищенную информацию о пользователе/группе
• В будущем – функциональность Connector интегрированная в маршрутизаторы и МСЭ Cisco
ScanSafe
Websecurity Service
DC Connector
© Cisco, 2010. Все права защищены. 36/38
Опция 3 – клиент Anywhere+ для мобильных пользователей
• Устанавливается как сетевой драйвер, незаметен для пользователя
• Автоматически определяет ближайший к пользователю ЦОД
• Перенаправляет Web трафик пользователя в облако
• Обеспечивает User/Group Granularity
• Защищен от выключения пользователем
Факт: Мобильные пользователи только
17% времени в Интернет проводят в корпоративном VPN. Как контролировать
оставшиеся 83%?
© Cisco, 2010. Все права защищены. 37/38
Мобильный доступ
Туннелирование IPsec VPN
Туннелирование DTLS (голос и
видео)
VPN-доступ без установки
клиента
Желательно внедрять унифицированную платформу для всех сценариев
Туннелирование SSL VPN
© Cisco, 2010. Все права защищены. 38/38
Мобильный сотрудник + клиент
AnyConnect
Интернет
Cisco ASA
Коммутатор Cisco Catalyst
+ TrustSec
Identity Services Engine
Active Directory
Сеть комплекса
зданий
Коммутатор Cisco Nexus
Switch + TrustSec
Защищенные сетевые ресурсы
ПРОБЛЕМЫ
• Мобильным сотрудникам требуется доступ к сети и «облачным» сервисам
• На множестве пользовательских устройств используются как пользовательские, так и корпоративные профили
• Множество защищенных и незащищенных точек и методов доступа
РЕШЕНИЕ CISCO
• Единственное в отрасли решение на базе унифицированного клиента
• Решение для обеспечения защищенного доступа с учетом контекста: поддерживаются проводные, беспроводные и VPN-подключения
• Средства шифрования обеспечивают конфиденциальность передаваемых данных
(интеграция MACsec)
© Cisco, 2010. Все права защищены. 39/38
• Проблема
В 2001 DSL-провайдер Cisco обанкротился. Cisco® IT должно было перевести 9000 удаленных пользователей на новый сервис за один месяц
• Решение
Миграция с модели «SP Managed VPN Service» на «пользовательскую» модель с программным VPN-клиентом
• Результат
Сегодня пользователи могут получить доступ в корпоративную сеть из ЛЮБОГО места, где есть Интернет. Использование доступа утроилось
• Что дальше
Cisco IT расширяет число VPN-шлюзов, ускоряет апгрейд и улучшает качество защиты и сжатия
© Cisco, 2010. Все права защищены. 40/38
• С ростом Интернет и широкополосного доступа ИТ начинает проект по организации удаленного широкополосного доступа для сотрудников с рядом операторов связи
• Главная проблема: Множество поставщиков, неполное покрытие
Наша цель - обеспечить лучший сервис для всех сотрудников по разумной цене
• Rhythms NetConnections был выбран для обеспечения защищенного xDSL-доступа для сотрудников в США
Сервис Rhythms DSL был эффективным «частным" DSL сервисов, предлагающим прямое виртуальное соединение с корпоративной сетью Cisco
© Cisco, 2010. Все права защищены. 41/38
• Август 2001: Rhythms NetConnections обанкротился; более 9000 сотрудников оказались без доступа, ранее обеспечиваемого с помощью Rhythms DSL service
Задача – обеспечить доступ 9000 сотрудников за один месяц
• Из опыта ИТ знали, что миграция на другой сервис обойдется дороже и потребует в 10 раз больше человеческих ресурсов, чем было в наличии
© Cisco, 2010. Все права защищены. 42/38
• Кризис удаленного доступа заставил ИТ задуматься о других вариантах
• Из множества сценариев была выбрана новая модель:
Пользовательская модель на базе программного VPN-клиента
Пользователь сам выбирал способ подключения к сети (GPRS, CDMA, Wi-Fi, DSL и т.д.)
Cisco оплачивает подключение к оператору связу
Cisco IT обеспечивает и поддерживает VPN-соединение через Интернет-шлюз в корпоративную сеть Cisco
© Cisco, 2010. Все права защищены. 43/38
• Рост продуктивности
Удаленный доступ означает возможность работать из дома или в дороге. Для многих пользователей это значит увеличение продуктивности на 10-40% в день
• Рост удовлетворенности
Сотрудники находят баланс между работой и семьей, имея возможность подключаться к корпоративной сети в любое время.
В 2001 Cisco® имело 9000 DSL пользователей, а в 2003 их стало уже 23,000.
© Cisco, 2010. Все права защищены. 44/38
• Глобализация
Глобальная компания должна предоставлять эффективную возможность работать всем сотрудникам, находящимся в разных часовых поясах, в разных точках земного шара.
• Гибкость
Удаленный доступ обеспечивает гибкость во время кризисов, эпидемий, катастроф и т.д.
• Поддержка
Т.к. большинство сотрудников Cisco используют собственное подключение к оператору связи, мы не тратим усилия на поддержку и разбор проблем, связанных с подключением к Интернет
© Cisco, 2010. Все права защищены. 46/38
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco