Архитектура безопасности Cisco SAFE
-
Upload
cisco-russia -
Category
Technology
-
view
395 -
download
7
Transcript of Архитектура безопасности Cisco SAFE
1© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Архитектура безопасности Cisco SAFE
2© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Что лучше – зоопарк или целостная система?
3© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Сложность системы увеличивает вероятность ошибки!
4© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Точечные продукты не умеют «говорить» друг с другом
5© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Излишняя фокусировка на предотвращении
6© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Вендоры продают решения для борьбы с сегодняшними угрозами…
7© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
8© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Cisco SAFE - это решение названных задач
9© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Как защитить ваш центр обработки данных?
10© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Что нужно для защиты данных, циркулирующих между сегментами с высокими и низкими требованиями по безопасности?
11© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Как защитить данные платежных карт в местах снятия наличных?
12© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Каковы лучшие практики по защите данных платежных карт, передаваемых по беспроводной сети?
13© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Cisco SAFE
14© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Это действия и противодействия
Это теория игр
Упрощенная, но действенная модель
SAFE – это модель
15© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Мы стартуем с определения актуальных угроз…
16© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
…и защищаемся от них.
17© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• SAFE снижает сложность
• Игровая модель позволяет упростить общение на одном языке
• Достоверные и проверенные архитектуры и дизайны с базовым уровнем безопасности
Что такое SAFE?
18© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• SAFE позволяет решить операционные проблемы на всем жизненном цикле атаки «До — Во время — После» (Before – During – After)
• SAFE обеспечивает компаниям согласованность, необходимую для обеспечения безопасности, защиты и проверки их сетей на ежедневной основе
SAFE накладывается на жизненный цикл атаки BDA
ДООбнаружение Блокировка Защита
ВО ВРЕМЯ ПОСЛЕКонтрольПрименение политик
Сдерживание
ОхватИзоляцияУстранение
Жизненный цикл атаки
Сеть Оконечныеустройства
Мобильныеустройства
Виртуальныерешения
Облако
Момент времени Непрерывно
19© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• Снижение сложности• Предоставление эталонной модели • Целостный взгляд на защиту всего предприятия, а не только отдельных его компонентов
• Интеграция всех компонентов между собой• Возможность поэтапной реализации
Преимущества Cisco SAFE
20© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
С чего начать?
21© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Ключ к Cisco SAFE
22© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Мы должны защитить ключевые сегменты
Взгляд со стороны инфраструктуры
Это буква «В»в модели BDA (выстраивание
системы отражения вторжений)
ДОКонтрольПрименениеполитик
Сдерживание
23© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Взгляд со стороны эксплуатации
Не забывать про непрерывность защиты
Это буквы «D» и «А»модели BDA
(выстраивание системы реагирования на инциденты)
Обнаружение Блокировка Защита
ВО ВРЕМЯ ПОСЛЕОхват
ИзоляцияУстранение
24© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Ключевые сегменты
ЗащищенныйЦОД
Защищенный филиал
Защищенная WAN
Защищенное облако
Защищенный комплекс зданий
Защищенный периметр
25© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Обеспечение непрерывной безопасности
26© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Защищенное управление
Управление устройствами и системами с использованием централизованных сервисов —критически важно для согласованного внедрения политик, управления изменением потоком операций и возможности обеспечения исправления систем. Управление координирует политики,объекты и изменения
27© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Аналитика угроз
Обеспечивает глобальное определение и агрегацию появляющегося вредоносного ПО и угроз. Предоставляет инфраструктуру для динамического применения политик, так как репутация согласуется с учетом контекста новых угроз. Таким образом обеспечивается комплексная и своевременная защита.
28© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Соответствие требованиям
Регулирует политики, как внутренние, так и внешние.Показывает, как несколько средств управления можно реализовать в одном решении. Примеры соответствия внешним требованиям— PCI DSS, СТО БР ИББС, 382-П, ФЗ-152 и другие
29© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Сегментация
Устанавливает границы для данных, пользователей и устройств. В традиционной ручной сегментации для применения политик используется сочетание сетевой адресации, сетей VLAN и возможностей межсетевого экрана. В усовершенствованной сегментации используется инфраструктура на основе контекстной идентификации дляприменения политик автоматически и с возможностью масштабирования, что значительно снижает трудности при эксплуатации
30© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Защита от угроз
Обеспечивает мониторинг наиболее трудно выявляемых и опасных угроз (например, целенаправленных атак). Для этого используются такие возможности, как анализ телеметрии и репутации сетевого трафика, а также учет контекста. Обеспечивает возможности оценки характера и потенциального риска подозрительной деятельности в сети с целью принятия соответствующих мер для предотвращения кибератаки
31© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Защищенные сервисы
Включает такие технологии, как управление доступом, виртуальные частные сети (VPN) и шифрование. Также обеспечивает защиту небезопасных сервисов, например, приложений, инструментов совместной работы и беспроводного доступа
32© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Ключ к Cisco SAFE
33© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Архитектура Cisco SAFE
34© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
С чем мы боремся:угрозы
Перенаправление
Добавление услуг
Черви
Вирусы
Пользователи,выдающие себя за других
Шпионское ПО
Утечки
Трояны
Шпионские программы
Зомби
Командаи управление
DDoS
Атаки нулевого дня
Разрушение
Просачивание наружу
Проникновение
35© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Поэтапное упрощение вопроса обеспечения безопасности
Фаза возможностей Фаза архитектуры Фаза дизайна
36© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
1. Этап «Возможности»
37© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
ЦОД
Банкомат
WAN
Дочернее предприятие
Электронная коммерция
Центральный офис
Банк
Интернет-периметр
Соответствие требованиям
Разбейте сеть на элементы и области
38© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Говоря о возможностях, мы упрощаем принятие решения, так как внимание фокусируется на функциях продукта, а не на самом продуктеНам не нужен межсетевой экран, нам нужно решение для разграничения сетевого трафикаУ Cisco это может быть решено с помощью многофункциональных устройств ASA, маршрутизатора ISR с IOS Firewall, виртуального устройства ASAv, маршутизатораASR с IOS Firewall, облачного МСЭ Meraki, коммутаторов Catalyst 6000 с модулем МСЭ…
Возможности
39© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Отдельные элементы
40© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
С помощью чего мы боремся: возможности
Управлениедоступом
с использованиемTrustSec
Анализ/корреляция Обнаружениеаномалий
Анти-вредоносное ПО
Анти-спам Мониторинги контроль
приложений (AVC)
Безопасностьклиента
Cisco Cloud WebSecurity
Предотвращениеутечки данных
База данных Защитаот DDoS-атак
Шифрованиеэлектроннойпочты
Защитаэлектроннойпочты
Коммутацияфабрики
Межсетевойэкран
Межсетевойэкран
Анализ потока Идентификация Авторизация
Идентификация Авторизация
Обнаружениевторжений
Предотвращениевторжений
Коммутация L2 Виртуальнаякоммутация L2
Сеть L2/L3
Сеть L2/L3 Коммутация L3 Балансировщикнагрузки
Регистрацияв журнале/отчетность
Песочницадля вредоносного ПО
Управлениемобильнымиустройствами
Мониторинг Политики/конфигурация
41© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Место в сети ДоверенныеНедоверенные
Межсетевой экран
Сеть L2/L3Оценка состояния
МСЭ веб-приложений
Балансировщикнагрузки
Защита от DDoS-атакДоступ
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрацияв журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Безопасность веб-трафика
Совместно используемые
База данных
Сервер
Хранение
Приложение
Угрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
Предотвращениевторжений
Стратегия возможностей
42© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Видео
Управлениеуязвимостями
Аналитика угроз
Голос
Клиент
Хранение
Сервер
МСЭвеб-приложений
РазгрузкаTLS
Синхронизациявремени
VPN-концентратор
Оценкасостояния
Безопасностьвеб-трафика
Репутация/фильтрациявеб-трафика
Обнаружениевторжений
в беспроводнойсети
Беспроводноеподключение
Виртуальнаячастная сеть
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Мониторинги контрольприложений
Безопасностьклиента
Cisco Cloud WebSecurity
Отказв обслуживании
(DDoS)
Мониторинг
Управление мобильнымиустройствами
Защитаэлектроннойпочты
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
Песочницадля вредоносного
ПО
Предотвращениевторжений
в беспроводнойсети
ОблакоОбщ. доступ
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Возможности SAFE
Доступ
ПРИЛОЖЕНИЕ
Балансировканагрузки
ПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО БЕСПРОВОДНАЯ
СЕТЬ
Безопасностьсервера
Регистрацияв журнале/отчетность
Мостконференции
43© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Управлениеуязвимостями
Аналитика угроз
Хранение
Сервер
МСЭвеб-приложений
РазгрузкаTLS
Синхронизациявремени
VPN-концентратор
Безопасностьвеб-трафика
Репутация/фильтрациявеб-трафика
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Мониторинги контрольприложений
Отказв обслуживании
(DDoS)
Мониторинг
Защитаэлектроннойпочты
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
Песочницадля вредоносного
ПО
Общ. доступ
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Периметр
Доступ
ПРИЛОЖЕНИЕ
Балансировканагрузки
ПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО БЕСПРОВОДНАЯ
СЕТЬ
Безопасностьсервера
Регистрацияв журнале/отчетность
44© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Видео
Управлениеуязвимостями
Аналитика угроз
Голос
Клиент
Синхронизациявремени
Оценкасостояния
Обнаружениевторжений
в беспроводнойсети
Беспроводноеподключение
Виртуальнаячастная сеть
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Безопасностьклиента
Мониторинг
Управление мобильнымиустройствами
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
Предотвращениевторжений
в беспроводнойсети
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Кампусная сеть
Доступ
ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
БЕСПРОВОДНАЯ СЕТЬ
Регистрацияв журнале/отчетность
Мостконференции
45© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Видео
Управлениеуязвимостями
Аналитика угроз
Голос
Клиент
Синхронизациявремени
Оценкасостояния
Обнаружениевторжений
в беспроводнойсети
Беспроводноеподключение
Виртуальнаячастная сеть
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Безопасностьклиента
Cisco Cloud WebSecurity
Мониторинг
Управление мобильнымиустройствами
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
Предотвращениевторжений
в беспроводнойсети
ОблакоОбщ. доступ
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Филиал
Доступ
ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО БЕСПРОВОДНАЯ
СЕТЬ
Регистрацияв журнале/отчетность
46© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
=
Управлениеуязвимостями
Аналитика угроз
Хранение
Сервер
МСЭвеб-приложений
РазгрузкаTLS
Синхронизациявремени
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Мониторинги контрольприложений
Мониторинг
Защитаэлектроннойпочты
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
Песочницадля вредоносного ПО
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
ЦОД
Доступ
ПРИЛОЖЕНИЕ
Балансировканагрузки
ПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
БЕСПРОВОДНАЯ СЕТЬ
Безопасностьсервера
Регистрацияв журнале/отчетность
Мостконференции
47© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Управлениеуязвимостями
Аналитика угроз
Хранение
Сервер
Синхронизациявремени
Репутация/фильтрациявеб-трафика
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Мониторинги контрольприложений
Cisco Cloud WebSecurity
Мониторинг
Сетеваяинфраструктура
ОблакоОбщ. доступ
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Облако
Доступ
ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ
АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВОБЕСПРОВОДНАЯ
СЕТЬ
Безопасностьсервера
Регистрацияв журнале/отчетность
48© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Управлениеуязвимостями
Аналитика угроз
Синхронизациявремени
Виртуальнаячастная сеть
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Мониторинг
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
WAN
Доступ
ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
БЕСПРОВОДНАЯ СЕТЬ
Регистрацияв журнале/отчетность
49© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• Думайте как хакер и попробуйте взломать себя
• Думайте как аудитор и попробуйте пройти аудит
Моделирование возможностей
Это не страшно!
50© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• Маппируйте риски, угрозы и политики
• Найдите и нейтрализуйте все пробелы
• Оцените каждую возможность;; если вы не можете ее реализовать -уберите
Описание возможностейФилиал — Сопоставление функций безопасности и угроз
Политика: минимизация масштаба PCI
Политика: обеспечение доступа с меньшими привилегиями
Угроза: индивидуальное вредоносное ПО для PoS
Безопасность хоста ДаАнтивирусное ПОАнтивредоносное ПО ДаПривилегии ОС ДаVPN ДаМСЭ хоста Да
Беспроводная ТД WPAКонтроллер беспроводной сети Да ДаWIPSИдентификация/авторизацияОценка состояния ДаУправление доступом + TrustSec Да ДаАнализ потока Да
Сеть L2/L3 ДаNGFW/маршрутизатор Да ДаМСЭ Да ДаNGIPS + AVC Да ДаУправление доступом + TrustSec Да ДаУсовершенствованное антивредоносное ПО ДаАнализ потока ДаVPNАналитика угроз Да
Cloud Web Security + TLSУсовершенствованное антивредоносное ПО Да
Репутация/фильтрация/динамический анализ контента веб-‐трафикаAVCОбнаружение аномалий
51© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
2. Этап «Архитектура»
52© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• Создание традиционного представления архитектуры • Сопоставление возможностей с архитектурой • Создание архитектуры, которая будет лучше всего отражать идентифицированные угрозы
Создание архитектуры безопасности
53© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Примерные компоненты архитектуры
Коммутатор L3
Балансировщик нагрузкиNexus 1Kv
Маршрутизатор
Защищенный сервер Хранение
МСЭ Контроллербеспроводной сети
Обнаружение вторжений
Защита электронной почты
54© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• Какие возможности нужны?• Какие компоненты архитектуры их могут реализовать?
Компоненты архитектуры и возможности
Коммутатор L3МСЭ
55© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Коммутаторуровня доступа
Место в сети ДоверенныеНедоверенные
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрация в журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Совместно используемыеУгрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
Устройство
Хранение
Защищенный серверКоммутаторс агрегацией сервисов
Устройство обеспечениябезопасности
Стратегия архитектуры
56© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Анализ потока
Сеть L2/L3
МСЭАнтивре-доносное ПО
Аналитика угроз
к внешним зонам
Управление доступом +TrustSec
к комплексу зданий
к облаку
Межсетевой экран нового поколения
Зоны обще-
доступ-ных
серверов Сеть L2/L3
Мониторинг и контроль приложений (AVC)
Безопасностьвеб-трафика
Защитаэлектроннойпочты
Система предотвра-щениявторжений нового поколения
Отказв обслужи-вании(DDoS)VPN-
концентратор
Безопасность хоста
МСЭ веб-приложений
Баланси-ровщикнагрузки
Транспорти-ровкаРазгрузка функций безопасности транспортного уровня
Интернет
SAFE упрощает обеспечение ИБ: периметр
57© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Безопасность хоста
Беспроводная сеть
Беспроводная сетьПредотвращение вторжений в беспроводной сети
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сеть L2/L3
Сеть L2/L3Безопасность хоста
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сервисы безопасности веб-трафика
МСЭ Система предотвращения вторжений нового поколения
Анти-вредоносное ПО
Анализ потока
Мониторинг и контроль приложений (AVC)
Аналитика угроз
VPN
Менеджер, анализирующий информацию о продукте
Оператор, обрабатывающий транзакции по кредитным картам
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения/маршрутизатор
к ЦОД
к облаку
WAN
SAFE упрощает обеспечение ИБ: филиал
58© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Безопасность хоста
Беспроводная сеть
Предотвра-щениевторженийв беспроводнойсети
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сеть L2/L3
Сеть L2/L3Безопасность хоста Идентификация Оценкасостояния
МСЭ Система предотвра-щениявторжений нового поколения
Антивре-доносное ПО
Анализ потокаАналитика угроз
VPN
Председатель правления, отправляющий электронные сообщения акционерам
Менеджер по работе с клиентами, анализирующий базу данных клиентов
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения
к ЦОДWAN
Иденти-фикация
Управление мобильными устройствами
Анализ потокаУправление доступом +TrustSec
Управление доступом +TrustSec
Управление доступом +TrustSec
Маршрутизатор
SAFE упрощает обеспечение ИБ: комплекс зданий
59© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Сеть L2/L3
Управление доступом +TrustSec
к комплексу зданий
Зона общих сервисов
Система предотвра-щениявторжений нового поколения
Зона сервера приложений
Зона соответствия
стандартам PCI
Зона базы данных
Анализ потока
Безопасность хоста
Баланси-ровщикнагрузки
Анализ потока
МСЭ
Антивре-доносное ПО
Анали-тика угроз
Управление доступом +TrustSec
Система предотвра-щениявторжений нового поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть L2/L3МСЭ VPN
Коммута-тор
МСЭ веб-приложений
Централизованное управление
Политики/Конфигурация
Мониторинг/контекст
Анализ/корреляция
Аналитика
Регистрация в журнале/отчетность
Аналитика угроз
Управлениеуязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
SAFE упрощает обеспечение ИБ: ЦОД
60© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
к периметру
Зона общих
сервисов
Cisco Cloud Web Security
Облачный сервис CRM
Интернет
Интернет
Сервис поиска в Интернете
Аналитика угроз
Безопасность хоста
Мониторинг и контроль приложений (AVC)
Анти-вредоносное ПО
Обнаружение аномалий
Репутация/ фильтрация веб-трафика
к филиалу
SAFE упрощает обеспечение ИБ: облако
61© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
к периметру
Интернет
Инженерпо эксплуатации, размещающий
заказна выполнение
работ
Технический специалист, удаленно
проверяющий журналы
Заказчик, обновляющий
профиль
Безопасность хоста
Иденти-фикация
Оценка состояния
МСЭ Антивре-доносное ПО
Репутация/ фильтрация веб-трафика
Система предотвращения вторжений нового поколения
VPN
VPN
Безопасность хоста
Безопасность хоста
Межсетевой экран нового поколения
ВНЕШНИЕ ЗОНЫ
SAFE упрощает обеспечение ИБ:внешние зоны
62© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
3. Этап «Дизайн»
63© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
• Создание традиционного представления дизайна• Выбор продуктов, содержащих функциональные возможности, определенные в архитектуре
• Создание дизайна, наиболее подходящего для отражения ранее определенных угроз, и учитывающего дополнительные потребности инфраструктуры, например, высокую доступность, производительность и затраты
Создание дизайнов для обеспечения безопасности
64© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Примеры компонентов дизайна
Блейд-сервер
КоммутаторCatalyst для ЦОД
Защитаэлектронной почты
FirePOWERУстройство
МСЭ
Обнаружениевторжений
Коммутатор L3
Балансировщикнагрузки
Nexus 1Kv
КоммутаторNexus для ЦОД
КоммутаторNexus для фабрики
КоммутаторNexus
65© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Место в сети ДоверенныеНедоверенные
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрацияв журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Совместно используемыеУгрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
G0/0
G0/1
G0/2
E1/2
E1/1
E1/1
E1/2G0/0
G0/1
E2/1-4
E2/1-4
E2/5-8
E2/5-8
G0/3
E1/1
E1/2
E2/1-4
E2/1-4
G0/2
G0/3
E1/1
E1/2
E1/3
E1/4
P1
P2
P3
P4
P1
P2
P3
P4
E1/3
E1/4
E1/1
E1/2
E1/1
E1/2
E2/1-4
E2/1-4
E2/5-8
E1/5-8
E2/5-8
E1/5-8
E1/5-8
E1/1-4
E1/1-4
E1/5-8
P1
P2
E1/3
E1/3
SAN/NAS
UCS 5108
UCS 5108
ASA5555-x
ASA5555-x
N77-C7706
N77-C7706
WAF-BBX UCS-FI-6248UP
WAF-BBX UCS-FI-6248UP
WS-C3850-48U
Стратегия дизайна
66© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Почему SAFE — это просто?
67© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Таким образом, вы сможете начать диалог очень просто, с описания возможностей
68© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Затем переходите к архитектурам, по которым вы можете быть доверенным консультантом
69© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Прежде чем перейти к обсуждению более сложных дизайнов и функций продуктов
70© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Manager researching product information
Clerk processing credit card transaction
Vendor remotely checking logs
71© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
72© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
73© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
74© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
75© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
76© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Где взять Cisco SAFE?
77© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Где найти?
www.cisco.com/go/cvd www.cisco.com/go/safe
78© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Структура справочных материалов по архитектуре SAFE
Возможности создания общей картины
Архитектуры компонентов/областей
Утвержденные дизайны (CVD)
Обзор SAFE
Руководство по архитектуре
Инструкции
Краткий обзор
DIG
Возможности создания общей картины
Руководство по архитектуре
Дизайны CVD
Руководство «Обзор Safe»
Руководство по архитектуре для защищенного ЦОД
Как развертывать кластер ASA
Краткое руководство по созданию защищенного ЦОД
Создание кластера ASA с сервисами FirePOWER
79© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
На сайте Cisco документы уже есть!
80© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Пишите на security-[email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/