Облачные сервисы безоспасности Cisco (ScanSafe). Павел...

© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID 1

Сети без границ

ScanSafe. Безопасность Web трафика как SaaS

Павел Родионов. Системный инженер. [email protected]

2

© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID

Содержание

1.  Почему SaaS?

2.  ScanSafe Web Security – обзор

3.  Варианты подключения

4.  Демо

3


Эволюция сервисов безопасности От приобретения оборудования до SaaS

Услуги Managed Services

Услуги из облака

Собственная инфраструктура

4


Преимущества SaaS

Нулевые CapEx

Предсказуемые OpEx

Освобождение ресурсов для бизнес задач

Минимальные сроки внедрения

Простые и удобные средства управления

Откройте новые возможности

5


"Облачная" система безопасности Cisco

§  Multi-tenant архитектура для обслуживания множества заказчиков

§  Распределенная масштабируемая платформа с резервированием

§  Постоянное наращивание производительности и внедрение новых ЦОД

§  Глобальная система мониторинга угроз

§  Встроенная система управления и формирования отчетов

§  Глобальная платформа для мобильных пользователей

6


IPS Sensor

Cisco Security Intelligence Operations (SIO) Глобальная система мониторинга угроз

Web Sensor

Email Security Solutions

Web Security Solutions

Firewalls IPS Devices

Cisco Security Intelligence Operations

IPS Sensor

Email Sensor

Web Sensor

Firewall Sensor Web

Sensor

Firewall Sensor

Email Sensor

Email Sensor

IPS Sensor

Email Sensor

7


Характеристики облака Cisco

Люди

Обрабатывает HTTP-транзакций в день

7

Защищает сотрудников клиентов

235 Получает

статистики в день

500 30%

мирового Email трафика

Предоставляет оценок IP-репутации в день

2.8

Более100 выделенных экспертов

Технологии Передовые технологии

безопасности, Глобальная система оценки угроз

Ресурсы Тысячи устройств в десятках

ЦОД по всему миру

Млрд.

Млн. Млрд.

Гбайт

Получает статистику о

© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID 8

Сети без границ

ScanSafe

Описание и технологии

9


Кто такой ScanSafe?

Профиль компании: §  Основана в 2004г. §  Пионер и мировой лидер в области SaaS услуг Web безопасности

§  Клиенты -‐ от SMB до Large Enterprise в более чем 100 странах

§  100% UpRme за всю историю предоставления услуги

§  Является подразделением Cisco с Декабря 2009г.

Customers

Security product of the year 2008

Awards

Partners

10


Обзор решения

11


ЦОДы Cisco ScanSafe

Надежность §  15 ЦОДов §  100% доступность сервиса за всю историю §  SLA по непрерывности и эффективности работы

Масштабируемость §  Multitenant архитектура §  Обрабатывает ~7Млрд. web-транзакций в день §  Постоянное масштабирование

12


Архитектура защиты от Web-угроз

§  Статистика за 2009г.: 28М уникальных JavaScript в день 560К уникальных PDF в день 244 уникальных ShockWave в день

§  2 антивирусных движка (Symantec+ЛК)

§  False Positive \ False Negative rate < 0,0004%

§  Гарантированная доступность – 99,999%

§  2010 год – 7 млрд web запросов в день

13


Фильтрация контента Web 2.0

1.  Традиционная URL-фильтрация 2.  Расширенная функциональность

–  Протоколы HTTPS, FTP over HTTP

–  DLP, «предупредить, но не блокировать» (AUP) и анонимизация

3.  Динамическая классификация неизвестных сайтов

–  За 1/1000 секунды

–  Эффективность детектирования сайтов для взрослых, криминальных и т.п. = 99%

4.  Обработка поисковых запросов SearchAhead

–  Классификация и уведомление пользователя

© 2005 Cisco Systems, Inc. All rights reserved.

14


Сервисы ScanSafe

Делаем Не делаем

Управляем HTTP, HTTPS, FTP over HTTP Web фильтрация Фильтрация контента Сканирование Web malware Отчеты об использовании Защита мобильных пользователей

Не-‐HTTP/s трафик P2P IDS/IPS Маршрутизатор/МЭ Отчеты об общей полосе пропускания QoS для всего трафика VPN Оптимизация WAN

15


Опции развертывания

1. Прямой метод передачи трафика

2. Connector

3. PIM

4. Anywhere+/Anyconnect Secure Mobility Client

16


Классическая конфигурация

Connector

§  Обработка § Политики

Scanning Towers AD: Гибкое управление и резервирование через GPO, PAC

§  Тонкие агенты §  Любой сервер Win §  Тегирование запросов

§  Маленький драйвер>

Мобильные пользователи

17


Как трафик попадает в облако Опция 1 – при помощи имеющейся инфраструктуры заказчика

С изменениями настроек браузера: 1. Настройки Proxy загружаются на компьютеры из AD (GPO / PAC file) или по DHCP

2. МСЭ блокирует исходящий HTTP трафик на все адреса кроме ScanSafe

Без изменения настроек браузера: 1. Имеющееся у заказчика устройство перенаправляет трафик в облако помощи функций Cascade Proxy или Port Foreward

Опционально – User/Group Granularity:

1. В HTTP-запросы пользователей добавляется защищенная (хеши) информация об имени пользователя/группы при помощи Login скриптов/GPO

2. Прозрачно для пользователя

ScanSafe Websecurity Service

DC

18


Firewall

`

Client

Active Directory Server

`

Client

`

Client

ScanSafe

xss--3-Plel6UC8EGJdNQiG-Mfq..

Encrypted Header (user granularity)

LoginScript

Set encrypted header

PIM -‐ Passive IdenKty Management

Преимущества §  Обеспечивает детализацию по

пользователям/группам в AD §  Обеспечивает резервирование через PAC §  Не нужен коннектон §  Динамическая регистрация IP через DDNS §  Масштабируется на уровень больших

предприятий

§  Функциональность §  Запускается логин-‐скриптом §  Подключение напрямую к ЦОД §  Данные напрямую не отправляются §  Детальная информация содержится в

заголовке HTTP/HTTPS

19


Как он работает?

1.  Windows исполняемый файл

2.  Рекомендуется запускать логин-‐скриптом

3.  Добавляет заголовок –XS в строчку user-‐agent

4.  В эту строчку включен уникальный хеш, который идентифицирует пользователя

5.  Это зашифровано

6.  При регистрации, PIM отправляет запрос на ScanSafe и загружает информацию о пользовательских группах

7.  Группы автоматически создаются на ScanCenter

8.  После регистрации, при каждом запросе нам отправляется только хеш, на основании которого мы определяем принадлежность пользователя к политикам

20


ПО ScanSafe Connector 1.  Устанавливается и настраивается один раз, в дальнейшем не требует администрирования и обновлений

2. Перенаправляет Web трафик в облако

3. Отвечает за взаимодействие с AD и предоставляет в облако защищенную информацию о пользователе/группе

4.  В будущем – функциональность Connector интегрированная в маршрутизаторы и МСЭ Cisco

ScanSafe Websecurity Service

DC Connector

Как трафик попадает в облако Опция 2 – при помощи Connector

21


Обзор коннектора

1. Объект в сети заказчика 2. Захват внутреннего IP 3. Захват имени пользователя

4. Захват членства в группе AD 5. Управление исключениями

6. Аутентификация по лицензионным ключам/IP 7. Варианты развертывания: §  Отдельный §  ISA Plug-in §  ISR G2

22


Существующее решение: Перенаправление трафика, Port Forwarding(ASA 8.3)

Основной функционал 1.  Проверка только HTTP и FTP over HTTP 2.  Один ЦОД 3.  Ограниченный набор исключений и подробности Варианты использования 1.  Web безопасность 2.  Поддержка любого устройства просмотра Web 3.  Публичные хотспоты, гостевой доступ

ASA

23


1.  Web-фильтрация для WiFi с общим доступом

•  Фильтрация для гостей •  Одна политика, нет деления для пользователей

2.  Возможность для безопасности Web в местах общего доступа

•  Операторы Hotspot •  ASA для перенаправления

3.  Отдельный SKU

ScanSafe for Public Hotspot WiFI

24


1.  Внедрение функционала коннектора в ISR 2.  Перенаправление трафика в облако ScanSafe без дополнительного оборудования

3.  Поддержка web политик для индивидуальных пользователей и групп. Работа в режиме SSO при аутентификации в LDAP

4.  Поддержка на маршрутизаторах Cisco ISR G2 (880, 890, 19xx,29XX, и 39XX)

ISR G2

25


Как трафик попадает в облако Опция 3 – клиент Anywhere+ для мобильных пользователей

1.  Устанавливается как сетевой драйвер, незаметен для пользователя

2.  Автоматически определяет ближайший к пользователю ЦОД

3.  Перенаправляет Web трафик пользователя в облако

4.  Обеспечивает User/Group Granularity

5.  Защищен от выключения пользователем

Факт: Мобильные пользователи только

17% времени в Интернет проводят в корпоративном VPN. Как контролировать

оставшиеся 83%?

26


Защита мобильных пользователей Автоматический выбор: в облаке или на предприятии

News Email

Social Networking Enterprise SaaS

The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.

Cisco Web Security Appliance

Обмен информацией между ASA и WSA

Corporate AD

ASA Сisco AnyConnect

Cisco AnyConnect

Оптимальный выбор между облаком и предприятием в зависимости от местоположения пользователя

27


Что такое Web безопасность Cisco? §  Web безопасность это новый компонент Cisco AnyConnect VPN

§  Состоит из функционала “Anywhere+”

§  Дополнительный уровень в Any Connect, работающий с драйвером вместе с остальным функционалом

NAM

Web Security

VPN

Driver

KDF Driver

Web Security

Dart etc.

28


Возможности WebSecurity

Все возможности Anywhere+ v1.2

Полная поддержка всех версий Windows

Поддержка интерфейсов WWAN (3G modem)

Контроль прямого доступа к узлам IPv6 ( IPv6.Google.com)

Блокировка для предотвращения выключения

•  Поддержка Hosted Scansafe •  Клиенты для других платформ (Mac, мобильные устройства) •  Дополнительные опции развертывания •  Разные улучшения и обновления

Будущие релизы (2011)

29

© 2008 Cisco Systems, Inc. All rights reserved. Presentation_ID 29 29

Клиентский портал ScanCenter Настройка политик, отчеты, мониторинг

1.  Все настройки выполняются на портале

2.  Более 5000 шаблонов отчетов

3.  Возможность создания своих шаблонов отчетов и политик

4.  75 анализируемых параметров трафика

5.  Отчеты по расписанию

6.  Информация как по клиенту так и глобальные тенденции

30


Вопросы и Ответы

Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 (495) 961-1410

31


Условия

§ Полнофункциональный пробный доступ на 30 дней § Небольшой одноразовый платеж за включение услуги

§ Несколько $ за одно рабочее место в месяц (зависит от общего числа рабочих мест в организации)

Облачные сервисы безоспасности Cisco (ScanSafe). Павел...

Technology

Transcript of Облачные сервисы безоспасности Cisco (ScanSafe). Павел...