Архитектура Cisco Zero Trust

Защита Современного Сотрудника сИнтуитивной моделью доступа

Архитектура Cisco Zero Trust

Михаил Кадер

[email protected]

[email protected]

mailto:[email protected]

mailto:[email protected]

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public

Межсетевой экран

Локальные приложения

Отсутствие

пароля

Беспарольная

АутентификацияMFA

Облачные

приложения

Сертификат

устройства

Состояние

устройства

Без VPN

Workforce Zero Trust = Удобнее + Безопаснее

2

Программа


• Обзор Workforce Zero Trust

• Установление доверияПользователей и Устройств

• Удобный доступ для Современного Сотрудника

• Заключение

3

ОбзорWorkforce Zero Trust


Чем отличается подход Zero-Trust

Традиционный подход

Доверие основывается на том из какой сети приходит запрос

Доверие устанавливается для каждой попытки подключения, независимо от того откуда пришел запрос

Подход Zero Trust

Как только злоумышленник проникает вовнутрь, он может осуществлять спонтанное перемещение по сети и получать нужный доступ

Безопасность не распространяется на новый облачный периметр, мобильное и гибридное окружения

Безопасный доступ в Ваши приложения и сети. Убедиться в том что только нужные пользователи и устройства получают доступ

Расширение доверия с поддержкой современных BYOD, облачных приложений, гибридных окружений и прочего.

5


73% Организаций Планируют Внедрение Zero Trust

16%

13%43%

21%6%

29%Внедрено или внедряется

В стадии внедрения

ВнедреноПланируют

Нет плановНе знакомы с Zero Trust

6


Cisco Secure Zero Trust

Целостный подход обеспечения безопасного доступа в сети, приложения, окружение.

7


Cisco Zero Trust

Какие приложения используются в сети?

Что обращается к приложениям и данным?

Безопасны ли и доверены коммуникации с приложениями?

Пользователь тот за кого себя выдает?

Есть ли у них доступ к нужным приложениям?

Безопасно ли их устройство?

Доверенное ли устройство?

Аутентифицируются ли пользователи и устройства в сети?

Какой доступ они получают?

Безопасны ли эти устройства?

Сетевая сегментация основана на доверии?

Workforce Workload WorkplaceДоступ пользователей и устройств

Доступ к приложениями и сервисам

Сетевой доступ

Secure Access by Duo Secure Workload ISE, SDA, Cisco CyberVision

8


SaaS Приложения

Традиционные приложения

Вся сеть

Доверие пользователю✓ MFA

✓ Адаптивный MFA

✓ Без пароля

Доверие устройству ✓ PCs и Macs

✓ iOS и Android

Безопасный доступ✓ Single Sign-On (SSO)

✓ Удаленный доступ без VPN

Secure Access от Duo обеспечивает workforce zero trust

Любой пользователь

Любое устройство

9


• Мгновенная интеграция всех приложений

• Пользователи сами регистрируются за минуты

• Аутентификация за секунды без ввода кодов

Самый простой и безопасный MFA в

мире

10


Легкая интеграция пользователей AD, LDAP или Azure

Импортируйте пользователей напрямую в Duo из Azure без локального программного обеспечения

Импорт пользователей через LDAP из AD либо OpenLDAP каталогов. Требуется установка Duo Authentication proxy

Узнайте больше о синхронизации каталога

Duo Cloud Service

Azure Active Directory

SSL-443

1

2 Active Directory

Windows Domain Сервер

Authentication Proxy

LDAP Синхронизация

1

2 Auth Proxy исходящий доступ по TCP порт 443 HTTPS

11

https://duo.com/docs/adsync


Duo никогда не трогает основную аутентификацию

Основное устройство пользователя

Ваши Сервера и Приложения

Вторичное устройство пользователя

Основное устройство пользователя

Основная Аутентификация

Выполняется Вами.

Duo никогда не видит пароля пользователя

Связь с сервером

Duo интеграции

Вторичная аутентификация

Пользователь подтверждает логин на своем устройстве

• Duo Push

• Mobile Passcode

• Phone, SMS

• HOTP Token

• U2F/WebAuthN

• Bypass

Успех!

Пользователь получил доступ

Запрос отправляется в Duo

Основной сервис и движок политик всегда в облаке

12


Обезопасить любое приложение

Документы по интеграции доступны по адресуduo.com/docs

Внутренние приложения(VPNs)

Облачные приложения

Web Приложения

SAML 2.0 Приложения

Собственные приложения (APIs)

Microsoft Окружение

Облачные сервисы

Unix Устройства(SSH Сессии)

13

https://duo.com/docs


Повысить пользовательскую продуктивность с SSO

• Получайте простой доступ во все облачные приложения из единого окна

• Внедряйте целостную политику доступа во всех облачных приложениях

• Обезопасить каждое облачное приложение

• Облачный портал Duo SSO

14


Новый облачный портал Duo Single Sign-On (SSO) для SaaS приложений

• Полностью в облаке

• Развертывание за минуты

• Полный Zero Trust контроль

15


Поддержка сторонних SSO/IAM

• Нативная интеграция с множеством Identity/SSO платформ

• Обеспечить пользователям целостный опыт работы с единой политикой безопасности во всех приложениях

• Легко получите осведомленность и доверие во всех приложениях

16


Внедряйте адаптивные политики

• Создавайте настраиваемые политики безопасности

• Используйте уровни контроля Групповой, Приложения и Глобальный

• Устанавливайте уровеньдоверия основываясь на пользователях и устройствах

17

Установление доверия Пользователей и Устройств


Как Duo получает данные

Мобильные УстройстваМобильные браузеры иприложение Duo Mobile

Ноутбуки/ХостыБраузеры ноутбуков/хостов и приложениеDuo Device Health

19


Полная осведомленность• Получите полную осведомленность о всех Ваших устройствах

20


Глубокая осведомленность о хостах и ноутбуках

• Оценка безопасности хостов

• Проверка устройств до их логина

• Корпоративное или BYOD устройство

• Поддержка Web приложений

• Windows 10 и MacOS

21


Оценка состояния мобильных устройств без MDM

• Проверка обновлений мобильных устройств

• Проверка наличия шифрования и пароля

• Проверка jailbreak и целостности устройства

• Работает как для управляемых, так и не

управляемых устройств

22


Нативно: Microsoft AD, Ivanti (Landesk), AMP

Скриптами: Symantec Altiris, Chef, Microsoft SCCM, AirWatch и др.

Альтернатива : Cisco Duo может раздавать сертификаты

Duo: Приложение Duo Mobile может использоваться для доверия мобильному устройству. (подходит для организаций безMDM)

Нативно: AirWatch, MobileIron, Google G Suite, Sophos

Альтернатива: Cisco Duo может раздавать сертификаты

Нативно: Jamf, AMP

Скриптами : Symantec Altiris, Chef, Microsoft SCCM, AirWatch и др

Альтернатива : Cisco Duo может раздавать сертификаты

Отличайте управляемые устройства от BYOD

Mobile Windows MacOS

23


Как работает проверка доверенного устройства (Win/Mac)

Duo Push

Phone call

Passcode

С сертификатомDuo Защищенное

Web приложение

Duo Сертификат устройства Duo Облачный

CA

Пользователи и клиенты

Без сертификатаDuo

1. Duo выпускает сертификаты для аутентификации клиентов на управляемые устройства из облачного PKI

2. Пользователь логинится в браузерное,защищенное Duo приложение, показывая окно Duo

3. Успешная основная аутентификация направляет приложение в клиент Duo

4. Облачный сервис Duo применяет политики доверенного устройства для данной сессии

5. Duo проверяет наличие сертификата устройства Duo в пользовательском хранилище сертификатов. Если сертификат найден. Duo отчитывается что устройство доверенное

6. Если сертификат Duo не найден (соответственно устройство не доверенное). Доступ к приложению может быть ограничен

24


Пользователи используют свои устройств для доступа к приложениям

Cisco Secure Endpoint, запущенный на хосте обнаруживает malware

Cisco Secure Endpoint уведомляет Duo об инфекции на устройстве

Duo блокирует доступ устройств в приложения

Постоянное наблюдение

Duo и Cisco Secure Endpoint совместно работают для обеспечения безопасного доступа

25


1. Сбор AMP данных учетных из Вашей панели

управления

2. Ввод AMP данных учетных в консоль

управления Cisco Duo

3. Установка политик в Cisco Duo для защиты от

устройств с высоким уровнем риска

Duo и Cisco Secure Endpoint

Интеграция за Минуты

26


Настройка Secure Endpoint политики в Duo для мгновенной блокировки рискованных устройств

27


Новая мощная функция: Trust Monitor

кто обычно подключается

В какое время

К каким приложения

С каких устройств

Из каких локаций

С какой аутентификацией

28

Удобный доступ для Современного Сотрудника


• 98 стран

• 100,000+ пользователей

• Различные методы аутентификации

• Интеграция: AD, Azure AD и Ping ID

• 12+ приложений с доступом без VPN

• 120,000+ устройств с установленнымприложением Duo Device Health (DHA)

Cisco развернула Duo Workforce Zero Trust в рекордные 3 месяца!

30


Workforce

Люди и их Устройства(Ноутбук, Планшет, Смартфон)

Доступ к приложениям

Отовсюду

Доступ пользователя

и устройства

SecureAccess by Duo

SecureEndpoint

Cisco SecureX

Cisco Umbrella

Cisco AnyConnect

SecureWorkload

Workload

SecureCloud

Analytics

Доступ к сервисам

и приложениям

Workplace

IdentityServicesEngine

Secure NetworkAnalytics

CiscoDNA

Center

Сетевой доступ

Приложения, Сервисы, Микросервисы

Связь с другими системами

Локальные, Гибридные и Публичные облака

IT Хосты и Сервера, Internet of Things (IoT) устройства и OT/ICS

Доступ в сеть: Проводной, Беспроводной, и VPN

Локальные, Гибридные и Публичные облака

Кто или Что

Проверка доверия

От

Cisco

Zero

Trust

31


Как Secure Access Services Edge(SASE) обеспечивает интуитивный доступ?

Целостная безопасность

• Единый опыт использования как для офисных, так и для удаленных сотрудников

• Централизация политики и фильтрации

Полная осведомленность

• Доверенные пользователи и устройства

• Layer 3 – Layer 7 соединения, потоки и доступ приложений

• Межсетевой экран, Безопасность Web, CASB, Защита от Malware

Постоянная инспекция

• SASE становится осьюуправления для Zero Trust

• Постоянный мониторинг доступа к ресурсам и приложениям

32


SaaS

Сотрудник кампуса или филиала

Удаленный сотрудник

SecureWorkload

Улучшая работу пользователя: SASE+Zero Trust

Workload

Workforce

Workplace

ISE

DNS SWG CASB

CDFW Adaptive MFASecurity aaS

CEaaS

SD-WANFabric

SD-WAN

Umbrella

Cisco SASE

SSO

OT IOT

HTTP / HTTPS

DNS

DNG

Auto SASE Tunnel

33


SaaS

SecureWorkload

Улучшая работу пользователя : SASE+Zero TrustУдаленный сотрудник с VPN

Workload

Workforce

Workplace

ISE

DNS SWG CASB


CEaaS

SD-WANFabric

SD-WAN

Umbrella

Cisco SASE

SSO

Доступ с наименьшими

привилегиями

34




SaaS

SecureWorkload

Улучшая работу пользователя: SASE+Zero TrustУдаленный сотрудник с VPN

Workload

Workforce

Workplace

ISE

DNS SWG CASB


CEaaS

SD-WANFabric

SD-WAN

Umbrella

Cisco SASE

SSO

OT IOT

Доступ к IOT и OT

устройствам

35




SaaS

SecureWorkload

Улучшая работу пользователя: SASE+Zero TrustУдаленный сотрудник с VPN

Workload

Workforce

Workplace

ISE

DNS SWG CASB


CEaaS

SD-WANFabric

SD-WAN

Umbrella

Cisco SASE

SSO

OT IOT

Защита работы с Web и

SaaS через Split Tunnel

HTTP / HTTPS

DNS

36




SaaS

SecureWorkload

Улучшая работу пользователя: SASE+Zero TrustУдаленный сотрудник БЕЗ VPN

Workload

Workforce

Workplace

ISE

DNS SWG CASB


CEaaS

SD-WANFabric

SD-WAN

Umbrella

Cisco SASE

SSO

OT IOT

• Secure Internet Gateway

• Современный доступ к

Частным Приложениям с

Duo Network Gateway

HTTP / HTTPS

DNS

DNG

37




Duo Network Gateway предоставляет организациям удаленный доступ с политикой Zero Trust к web приложениям, web страницам и SSH серверам без необходимости в VPN.

38


Настройка Duo Network Gateway (DNG)

• Развертывание DNG в DMZ илиПубличном Облаке

• Настройка SAML IdP на основную аутентификацию.

• Создание публичных DNS записей для защищаемых внутренних web приложений, указывающих на публичный интерфейс DNG.

• Пользователи получают доступ к “внутреннему” приложению через браузер либо SSH клиент.

Интернет

DMZВнутренняя сеть

HTTPS443

SAML

Периметровыймежсетевой экран

SAML 2.0Identity Provider

Внутренний межсетевой экран

Внутренние Веб приложения

Внутренняя сеть компании

Duo Network gateway

39


SaaS

SecureWorkload

Улучшая работу пользователя: SASE+Zero TrustПользователь кампуса или филиала

Workload

Workforce

Workplace

ISE

DNS SWG CASB


CEaaS

SD-WANFabric

SD-WAN

Umbrella

Cisco SASE

SSO

OT IOT


• Сетевая сегментация с ISE

• Политика наименьших

привилегий доступа

пользователей/устройств

HTTP / HTTPS

DNS

DNG

Auto SASE Tunnel

40




SaaS

SecureWorkload

Улучшая работу пользователя : SASE+Zero TrustКампусный или филиальный IOT/OT и любое не пользовательское устройство

Workload

Workforce

Workplace

ISE

DNS SWG CASB


CEaaS

SD-WANFabric

SD-WAN

Umbrella

Cisco SASE

SSO

OT IOT


• Сетевая сегментация с ISE

• Политика наименьших

привилегий доступа

пользователей/устройств

HTTP / HTTPS

DNS

DNG

Auto SASE Tunnel

41



Заключение


Улучшение опыта работы пользователей с Zero Trust

• Подготовьте к гибридной работе с

• С целостным опытом как для локальной, так и удаленной работы

• Централизованная и целостная политика безопасности с SASE

• Начните путешествие с Workforce Zero Trust:

• Включите SSO и MFA для своей организации

• Внедрите доверие для Пользователя и Устройства

• Разверните Zero Trust Network Access для популярных и критичных приложений с Duo Network Gateway

Пользователь тот за кого себя выдает?

Есть ли у них доступ к нужным приложениям?

Безопасно ли их устройство?

Доверенное ли устройство?

WorkforceДоступ пользователей и устройств

Duo

43


А теперь совсем вживую …

• Dcloud.cisco.com

• SASE - Secure Remote Worker v1 - Guided Demo

• Cisco Duo Lab v1

• Trusted Workplace

• Secure Remote Workforce

• Secure Remote Worker v2 Business Value Demo

• Cisco Secure Workload (Tetration) Platform 3.5 v1 - Instant Demo

• … и многое другое

44

https://dcloud2-lon.cisco.com/content/instantdemo/sase-secure-remote-worker-v1-guided-demo?returnPathTitleKey=content-view

https://dcloud2-lon.cisco.com/content/demo/389045?returnPathTitleKey=content-view

https://dcloud2-lon.cisco.com/content/businessvaluedemo/trusted-workplace?returnPathTitleKey=content-view

https://dcloud2-lon.cisco.com/content/salesplay/secure-remote-workforce?returnPathTitleKey=content-view

https://dcloud2-lon.cisco.com/content/businessvaluedemo/secure-remote-worker-v2-business-value-demo?returnPathTitleKey=content-view

https://dcloud2-lon.cisco.com/content/instantdemo/cisco-secure-workload-tetration-platform-3-5-lab-v1-instant-demo?returnPathTitleKey=content-view

Спасибо!

Архитектура Cisco Zero Trust

Documents

Transcript of Архитектура Cisco Zero Trust