Архитектура безопасности Cisco SAFE

1© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco

Архитектура безопасности Cisco SAFE


Что лучше – зоопарк или целостная система?


Сложность системы увеличивает вероятность ошибки!


Точечные продукты не умеют «говорить» друг с другом


Излишняя фокусировка на предотвращении


Вендоры продают решения для борьбы с сегодняшними угрозами…


Cisco SAFE - это решение названных задач


Как защитить ваш центр обработки данных?


Что нужно для защиты данных, циркулирующих между сегментами с высокими и низкими требованиями по безопасности?


Как защитить данные платежных карт в местах снятия наличных?


Каковы лучшие практики по защите данных платежных карт, передаваемых по беспроводной сети?


Cisco SAFE


Это действия и противодействия

Это теория игр

Упрощенная, но действенная модель

SAFE – это модель


Мы стартуем с определения актуальных угроз…


…и защищаемся от них.


• SAFE снижает сложность

• Игровая модель позволяет упростить общение на одном языке

• Достоверные и проверенные архитектуры и дизайны с базовым уровнем безопасности

Что такое SAFE?


• SAFE позволяет решить операционные проблемы на всем жизненном цикле атаки «До — Во время — После» (Before – During – After)

• SAFE обеспечивает компаниям согласованность, необходимую для обеспечения безопасности, защиты и проверки их сетей на ежедневной основе

SAFE накладывается на жизненный цикл атаки BDA

ДООбнаружение Блокировка Защита

ВО ВРЕМЯ ПОСЛЕКонтрольПрименение политик

Сдерживание

ОхватИзоляцияУстранение

Жизненный цикл атаки

Сеть Оконечныеустройства

Мобильныеустройства

Виртуальныерешения

Облако

Момент времени Непрерывно


• Снижение сложности• Предоставление эталонной модели • Целостный взгляд на защиту всего предприятия, а не только отдельных его компонентов

• Интеграция всех компонентов между собой• Возможность поэтапной реализации

Преимущества Cisco SAFE


С чего начать?


Ключ к Cisco SAFE


Мы должны защитить ключевые сегменты

Взгляд со стороны инфраструктуры

Это буква «В»в модели BDA (выстраивание

системы отражения вторжений)

ДОКонтрольПрименениеполитик

Сдерживание


Взгляд со стороны эксплуатации

Не забывать про непрерывность защиты

Это буквы «D» и «А»модели BDA

(выстраивание системы реагирования на инциденты)

Обнаружение Блокировка Защита

ВО ВРЕМЯ ПОСЛЕОхват

ИзоляцияУстранение


Ключевые сегменты

ЗащищенныйЦОД

Защищенный филиал

Защищенная WAN

Защищенное облако

Защищенный комплекс зданий

Защищенный периметр


Обеспечение непрерывной безопасности


Защищенное управление

Управление устройствами и системами с использованием централизованных сервисов —критически важно для согласованного внедрения политик, управления изменением потоком операций и возможности обеспечения исправления систем. Управление координирует политики,объекты и изменения


Аналитика угроз

Обеспечивает глобальное определение и агрегацию появляющегося вредоносного ПО и угроз. Предоставляет инфраструктуру для динамического применения политик, так как репутация согласуется с учетом контекста новых угроз. Таким образом обеспечивается комплексная и своевременная защита.


Соответствие требованиям

Регулирует политики, как внутренние, так и внешние.Показывает, как несколько средств управления можно реализовать в одном решении. Примеры соответствия внешним требованиям— PCI DSS, СТО БР ИББС, 382-П, ФЗ-152 и другие


Сегментация

Устанавливает границы для данных, пользователей и устройств. В традиционной ручной сегментации для применения политик используется сочетание сетевой адресации, сетей VLAN и возможностей межсетевого экрана. В усовершенствованной сегментации используется инфраструктура на основе контекстной идентификации дляприменения политик автоматически и с возможностью масштабирования, что значительно снижает трудности при эксплуатации


Защита от угроз

Обеспечивает мониторинг наиболее трудно выявляемых и опасных угроз (например, целенаправленных атак). Для этого используются такие возможности, как анализ телеметрии и репутации сетевого трафика, а также учет контекста. Обеспечивает возможности оценки характера и потенциального риска подозрительной деятельности в сети с целью принятия соответствующих мер для предотвращения кибератаки


Защищенные сервисы

Включает такие технологии, как управление доступом, виртуальные частные сети (VPN) и шифрование. Также обеспечивает защиту небезопасных сервисов, например, приложений, инструментов совместной работы и беспроводного доступа


Ключ к Cisco SAFE


Архитектура Cisco SAFE


С чем мы боремся:угрозы

Перенаправление

Добавление услуг

Черви

Вирусы

Пользователи,выдающие себя за других

Шпионское ПО

Утечки

Трояны

Шпионские программы

Зомби

Командаи управление

DDoS

Атаки нулевого дня

Разрушение

Просачивание наружу

Проникновение


Поэтапное упрощение вопроса обеспечения безопасности

Фаза возможностей Фаза архитектуры Фаза дизайна


1. Этап «Возможности»


ЦОД

Банкомат

WAN

Дочернее предприятие

Электронная коммерция

Центральный офис

Банк

Интернет-периметр

Соответствие требованиям

Разбейте сеть на элементы и области


Говоря о возможностях, мы упрощаем принятие решения, так как внимание фокусируется на функциях продукта, а не на самом продуктеНам не нужен межсетевой экран, нам нужно решение для разграничения сетевого трафикаУ Cisco это может быть решено с помощью многофункциональных устройств ASA, маршрутизатора ISR с IOS Firewall, виртуального устройства ASAv, маршутизатораASR с IOS Firewall, облачного МСЭ Meraki, коммутаторов Catalyst 6000 с модулем МСЭ…

Возможности


Отдельные элементы


С помощью чего мы боремся: возможности

Управлениедоступом

с использованиемTrustSec

Анализ/корреляция Обнаружениеаномалий

Анти-вредоносное ПО

Анти-спам Мониторинги контроль

приложений (AVC)

Безопасностьклиента

Cisco Cloud WebSecurity

Предотвращениеутечки данных

База данных Защитаот DDoS-атак

Шифрованиеэлектроннойпочты

Защитаэлектроннойпочты

Коммутацияфабрики

Межсетевойэкран

Межсетевойэкран

Анализ потока Идентификация Авторизация

Идентификация Авторизация

Обнаружениевторжений

Предотвращениевторжений

Коммутация L2 Виртуальнаякоммутация L2

Сеть L2/L3

Сеть L2/L3 Коммутация L3 Балансировщикнагрузки

Регистрацияв журнале/отчетность

Песочницадля вредоносного ПО

Управлениемобильнымиустройствами

Мониторинг Политики/конфигурация


Место в сети ДоверенныеНедоверенные

Межсетевой экран

Сеть L2/L3Оценка состояния

МСЭ веб-приложений

Балансировщикнагрузки

Защита от DDoS-атакДоступ

Управлениеуязвимостями

Политики/конфигурация

МониторингРегистрацияв журнале/отчетность

Мониторинги контроль


Анализ/корреляция

Безопасность веб-трафика

Совместно используемые

База данных

Сервер

Хранение

Приложение

Угрозы

Проникновение наружу

Трояны

Черви


Сервисы


Стратегия возможностей


Видео



Голос

Клиент

Хранение

Сервер

МСЭвеб-приложений

РазгрузкаTLS

Синхронизациявремени

VPN-концентратор

Оценкасостояния

Безопасностьвеб-трафика

Репутация/фильтрациявеб-трафика


в беспроводнойсети

Беспроводноеподключение

Виртуальнаячастная сеть

Политики/Конфигурация

Анализ/Корреляция

Обнаружениеаномалий


Мониторинги контрольприложений



Отказв обслуживании

(DDoS)

Мониторинг

Управление мобильнымиустройствами


МСЭ

Анализ потока



Сетеваяинфраструктура

Песочницадля вредоносного

ПО



ОблакоОбщ. доступ

СЕТЬКЛИЕНТ

СРЕДА

БЕЗОПАСНОСТЬ

ОБЩИЕ

Возможности SAFE

Доступ

ПРИЛОЖЕНИЕ

Балансировканагрузки

ПОЛЬЗОВАТЕЛЬ

Динамика развития возможностей

ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ

ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО БЕСПРОВОДНАЯ

СЕТЬ

Безопасностьсервера


Мостконференции




Хранение

Сервер




VPN-концентратор








Отказв обслуживании

(DDoS)



МСЭ





Песочницадля вредоносного

ПО

Общ. доступ


СРЕДА


ОБЩИЕ

Периметр

Доступ







СЕТЬ




Видео



Голос

Клиент














МСЭ








СРЕДА


ОБЩИЕ

Кампусная сеть

Доступ

ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ



ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО

БЕСПРОВОДНАЯ СЕТЬ




Видео



Голос

Клиент















МСЭ









СРЕДА


ОБЩИЕ

Филиал

Доступ





СЕТЬ



=



Хранение

Сервер











МСЭ





Песочницадля вредоносного ПО


СРЕДА


ОБЩИЕ

ЦОД

Доступ














Хранение

Сервер













СРЕДА


ОБЩИЕ

Облако

Доступ




ПРОВОДНАЯ СЕТЬ

АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВОБЕСПРОВОДНАЯ

СЕТЬ













МСЭ






СРЕДА


ОБЩИЕ

WAN

Доступ








• Думайте как хакер и попробуйте взломать себя

• Думайте как аудитор и попробуйте пройти аудит

Моделирование возможностей

Это не страшно!


• Маппируйте риски, угрозы и политики

• Найдите и нейтрализуйте все пробелы

• Оцените каждую возможность;; если вы не можете ее реализовать -уберите

Описание возможностейФилиал — Сопоставление функций безопасности и угроз

Политика: минимизация масштаба PCI

Политика: обеспечение доступа с меньшими привилегиями

Угроза: индивидуальное вредоносное ПО для PoS

Безопасность хоста ДаАнтивирусное ПОАнтивредоносное ПО ДаПривилегии ОС ДаVPN ДаМСЭ хоста Да

Беспроводная ТД WPAКонтроллер беспроводной сети Да ДаWIPSИдентификация/авторизацияОценка состояния ДаУправление доступом + TrustSec Да ДаАнализ потока Да

Сеть L2/L3 ДаNGFW/маршрутизатор Да ДаМСЭ Да ДаNGIPS + AVC Да ДаУправление доступом + TrustSec Да ДаУсовершенствованное антивредоносное ПО ДаАнализ потока ДаVPNАналитика угроз Да

Cloud Web Security + TLSУсовершенствованное антивредоносное ПО Да

Репутация/фильтрация/динамический анализ контента веб-‐трафикаAVCОбнаружение аномалий


2. Этап «Архитектура»


• Создание традиционного представления архитектуры • Сопоставление возможностей с архитектурой • Создание архитектуры, которая будет лучше всего отражать идентифицированные угрозы

Создание архитектуры безопасности


Примерные компоненты архитектуры

Коммутатор L3

Балансировщик нагрузкиNexus 1Kv

Маршрутизатор

Защищенный сервер Хранение

МСЭ Контроллербеспроводной сети

Обнаружение вторжений

Защита электронной почты


• Какие возможности нужны?• Какие компоненты архитектуры их могут реализовать?

Компоненты архитектуры и возможности

Коммутатор L3МСЭ


Коммутаторуровня доступа




МониторингРегистрация в журнале/отчетность




Совместно используемыеУгрозы


Трояны

Черви


Сервисы

Устройство

Хранение

Защищенный серверКоммутаторс агрегацией сервисов

Устройство обеспечениябезопасности

Стратегия архитектуры



Сеть L2/L3

МСЭАнтивре-доносное ПО


к внешним зонам

Управление доступом +TrustSec

к комплексу зданий

к облаку

Межсетевой экран нового поколения

Зоны обще-

доступ-ных

серверов Сеть L2/L3

Мониторинг и контроль приложений (AVC)



Система предотвра-щениявторжений нового поколения

Отказв обслужи-вании(DDoS)VPN-

концентратор

Безопасность хоста


Баланси-ровщикнагрузки

Транспорти-ровкаРазгрузка функций безопасности транспортного уровня

Интернет

SAFE упрощает обеспечение ИБ: периметр



Беспроводная сеть

Беспроводная сетьПредотвращение вторжений в беспроводной сети




Сеть L2/L3

Сеть L2/L3Безопасность хоста




Сервисы безопасности веб-трафика

МСЭ Система предотвращения вторжений нового поколения





VPN

Менеджер, анализирующий информацию о продукте

Оператор, обрабатывающий транзакции по кредитным картам

Контроллер беспроводной сети

Коммутатор Межсетевой экран нового поколения/маршрутизатор

к ЦОД

к облаку

WAN

SAFE упрощает обеспечение ИБ: филиал



Беспроводная сеть

Предотвра-щениевторженийв беспроводнойсети




Сеть L2/L3

Сеть L2/L3Безопасность хоста Идентификация Оценкасостояния

МСЭ Система предотвра-щениявторжений нового поколения

Антивре-доносное ПО

Анализ потокаАналитика угроз

VPN

Председатель правления, отправляющий электронные сообщения акционерам

Менеджер по работе с клиентами, анализирующий базу данных клиентов

Контроллер беспроводной сети

Коммутатор Межсетевой экран нового поколения

к ЦОДWAN

Иденти-фикация

Управление мобильными устройствами

Анализ потокаУправление доступом +TrustSec



Маршрутизатор

SAFE упрощает обеспечение ИБ: комплекс зданий


Сеть L2/L3


к комплексу зданий

Зона общих сервисов


Зона сервера приложений

Зона соответствия

стандартам PCI

Зона базы данных



Баланси-ровщикнагрузки


МСЭ

Антивре-доносное ПО

Анали-тика угроз



Межсетевой экран нового поколения Маршрутизатор

Сеть L2/L3МСЭ VPN

Коммута-тор


Централизованное управление


Мониторинг/контекст


Аналитика

Регистрация в журнале/отчетность




к периметру

Виртуализированные функции

WAN

SAFE упрощает обеспечение ИБ: ЦОД



Зона общих

сервисов

Cisco Cloud Web Security

Облачный сервис CRM

Интернет

Интернет

Сервис поиска в Интернете





Обнаружение аномалий

Репутация/ фильтрация веб-трафика

к филиалу

SAFE упрощает обеспечение ИБ: облако



Интернет

Инженерпо эксплуатации, размещающий

заказна выполнение

работ

Технический специалист, удаленно

проверяющий журналы

Заказчик, обновляющий

профиль


Иденти-фикация

Оценка состояния

МСЭ Антивре-доносное ПО

Репутация/ фильтрация веб-трафика

Система предотвращения вторжений нового поколения

VPN

VPN



Межсетевой экран нового поколения

ВНЕШНИЕ ЗОНЫ

SAFE упрощает обеспечение ИБ:внешние зоны


3. Этап «Дизайн»


• Создание традиционного представления дизайна• Выбор продуктов, содержащих функциональные возможности, определенные в архитектуре

• Создание дизайна, наиболее подходящего для отражения ранее определенных угроз, и учитывающего дополнительные потребности инфраструктуры, например, высокую доступность, производительность и затраты

Создание дизайнов для обеспечения безопасности


Примеры компонентов дизайна

Блейд-сервер

КоммутаторCatalyst для ЦОД

Защитаэлектронной почты

FirePOWERУстройство

МСЭ


Коммутатор L3

Балансировщикнагрузки

Nexus 1Kv

КоммутаторNexus для ЦОД

КоммутаторNexus для фабрики

КоммутаторNexus





МониторингРегистрацияв журнале/отчетность




Совместно используемыеУгрозы


Трояны

Черви


Сервисы

G0/0

G0/1

G0/2

E1/2

E1/1

E1/1

E1/2G0/0

G0/1

E2/1-4

E2/1-4

E2/5-8

E2/5-8

G0/3

E1/1

E1/2

E2/1-4

E2/1-4

G0/2

G0/3

E1/1

E1/2

E1/3

E1/4

P1

P2

P3

P4

P1

P2

P3

P4

E1/3

E1/4

E1/1

E1/2

E1/1

E1/2

E2/1-4

E2/1-4

E2/5-8

E1/5-8

E2/5-8

E1/5-8

E1/5-8

E1/1-4

E1/1-4

E1/5-8

P1

P2

E1/3

E1/3

SAN/NAS

UCS 5108

UCS 5108

ASA5555-x

ASA5555-x

N77-C7706

N77-C7706

WAF-BBX UCS-FI-6248UP

WAF-BBX UCS-FI-6248UP

WS-C3850-48U

Стратегия дизайна


Почему SAFE — это просто?


Таким образом, вы сможете начать диалог очень просто, с описания возможностей


Затем переходите к архитектурам, по которым вы можете быть доверенным консультантом


Прежде чем перейти к обсуждению более сложных дизайнов и функций продуктов


Manager researching product information

Clerk processing credit card transaction

Vendor remotely checking logs


Где взять Cisco SAFE?


Где найти?

www.cisco.com/go/cvd www.cisco.com/go/safe


Структура справочных материалов по архитектуре SAFE

Возможности создания общей картины

Архитектуры компонентов/областей

Утвержденные дизайны (CVD)

Обзор SAFE

Руководство по архитектуре

Инструкции

Краткий обзор

DIG

Возможности создания общей картины

Руководство по архитектуре

Дизайны CVD

Руководство «Обзор Safe»

Руководство по архитектуре для защищенного ЦОД

Как развертывать кластер ASA

Краткое руководство по созданию защищенного ЦОД

Создание кластера ASA с сервисами FirePOWER


На сайте Cisco документы уже есть!


Пишите на security-[email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/

Архитектура безопасности Cisco SAFE

Technology

Transcript of Архитектура безопасности Cisco SAFE