Архитектура Cisco Zero Trust
Transcript of Архитектура Cisco Zero Trust
Защита Современного Сотрудника сИнтуитивной моделью доступа
Архитектура Cisco Zero Trust
Михаил Кадер
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Межсетевой экран
Локальные приложения
Отсутствие
пароля
Беспарольная
АутентификацияMFA
Облачные
приложения
Сертификат
устройства
Состояние
устройства
Без VPN
Workforce Zero Trust = Удобнее + Безопаснее
2
Программа
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Обзор Workforce Zero Trust
• Установление доверияПользователей и Устройств
• Удобный доступ для Современного Сотрудника
• Заключение
3
ОбзорWorkforce Zero Trust
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Чем отличается подход Zero-Trust
Традиционный подход
Доверие основывается на том из какой сети приходит запрос
Доверие устанавливается для каждой попытки подключения, независимо от того откуда пришел запрос
Подход Zero Trust
Как только злоумышленник проникает вовнутрь, он может осуществлять спонтанное перемещение по сети и получать нужный доступ
Безопасность не распространяется на новый облачный периметр, мобильное и гибридное окружения
Безопасный доступ в Ваши приложения и сети. Убедиться в том что только нужные пользователи и устройства получают доступ
Расширение доверия с поддержкой современных BYOD, облачных приложений, гибридных окружений и прочего.
5
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
73% Организаций Планируют Внедрение Zero Trust
16%
13%43%
21%6%
29%Внедрено или внедряется
В стадии внедрения
ВнедреноПланируют
Нет плановНе знакомы с Zero Trust
6
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Secure Zero Trust
Целостный подход обеспечения безопасного доступа в сети, приложения, окружение.
7
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Zero Trust
Какие приложения используются в сети?
Что обращается к приложениям и данным?
Безопасны ли и доверены коммуникации с приложениями?
Пользователь тот за кого себя выдает?
Есть ли у них доступ к нужным приложениям?
Безопасно ли их устройство?
Доверенное ли устройство?
Аутентифицируются ли пользователи и устройства в сети?
Какой доступ они получают?
Безопасны ли эти устройства?
Сетевая сегментация основана на доверии?
Workforce Workload WorkplaceДоступ пользователей и устройств
Доступ к приложениями и сервисам
Сетевой доступ
Secure Access by Duo Secure Workload ISE, SDA, Cisco CyberVision
8
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
SaaS Приложения
Традиционные приложения
Вся сеть
Доверие пользователю✓ MFA
✓ Адаптивный MFA
✓ Без пароля
Доверие устройству ✓ PCs и Macs
✓ iOS и Android
Безопасный доступ✓ Single Sign-On (SSO)
✓ Удаленный доступ без VPN
Secure Access от Duo обеспечивает workforce zero trust
Любой пользователь
Любое устройство
9
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Мгновенная интеграция всех приложений
• Пользователи сами регистрируются за минуты
• Аутентификация за секунды без ввода кодов
Самый простой и безопасный MFA в
мире
10
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Легкая интеграция пользователей AD, LDAP или Azure
Импортируйте пользователей напрямую в Duo из Azure без локального программного обеспечения
Импорт пользователей через LDAP из AD либо OpenLDAP каталогов. Требуется установка Duo Authentication proxy
Узнайте больше о синхронизации каталога
Duo Cloud Service
Azure Active Directory
SSL-443
1
2 Active Directory
Windows Domain Сервер
Authentication Proxy
LDAP Синхронизация
1
2 Auth Proxy исходящий доступ по TCP порт 443 HTTPS
11
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Duo никогда не трогает основную аутентификацию
Основное устройство пользователя
Ваши Сервера и Приложения
Вторичное устройство пользователя
Основное устройство пользователя
Основная Аутентификация
Выполняется Вами.
Duo никогда не видит пароля пользователя
Связь с сервером
Duo интеграции
Вторичная аутентификация
Пользователь подтверждает логин на своем устройстве
• Duo Push
• Mobile Passcode
• Phone, SMS
• HOTP Token
• U2F/WebAuthN
• Bypass
Успех!
Пользователь получил доступ
Запрос отправляется в Duo
Основной сервис и движок политик всегда в облаке
12
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обезопасить любое приложение
Документы по интеграции доступны по адресуduo.com/docs
Внутренние приложения(VPNs)
Облачные приложения
Web Приложения
SAML 2.0 Приложения
Собственные приложения (APIs)
Microsoft Окружение
Облачные сервисы
Unix Устройства(SSH Сессии)
13
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Повысить пользовательскую продуктивность с SSO
• Получайте простой доступ во все облачные приложения из единого окна
• Внедряйте целостную политику доступа во всех облачных приложениях
• Обезопасить каждое облачное приложение
• Облачный портал Duo SSO
14
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Новый облачный портал Duo Single Sign-On (SSO) для SaaS приложений
• Полностью в облаке
• Развертывание за минуты
• Полный Zero Trust контроль
15
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Поддержка сторонних SSO/IAM
• Нативная интеграция с множеством Identity/SSO платформ
• Обеспечить пользователям целостный опыт работы с единой политикой безопасности во всех приложениях
• Легко получите осведомленность и доверие во всех приложениях
16
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Внедряйте адаптивные политики
• Создавайте настраиваемые политики безопасности
• Используйте уровни контроля Групповой, Приложения и Глобальный
• Устанавливайте уровеньдоверия основываясь на пользователях и устройствах
17
Установление доверия Пользователей и Устройств
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как Duo получает данные
Мобильные УстройстваМобильные браузеры иприложение Duo Mobile
Ноутбуки/ХостыБраузеры ноутбуков/хостов и приложениеDuo Device Health
19
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Полная осведомленность• Получите полную осведомленность о всех Ваших устройствах
20
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Глубокая осведомленность о хостах и ноутбуках
• Оценка безопасности хостов
• Проверка устройств до их логина
• Корпоративное или BYOD устройство
• Поддержка Web приложений
• Windows 10 и MacOS
21
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Оценка состояния мобильных устройств без MDM
• Проверка обновлений мобильных устройств
• Проверка наличия шифрования и пароля
• Проверка jailbreak и целостности устройства
• Работает как для управляемых, так и не
управляемых устройств
22
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Нативно: Microsoft AD, Ivanti (Landesk), AMP
Скриптами: Symantec Altiris, Chef, Microsoft SCCM, AirWatch и др.
Альтернатива : Cisco Duo может раздавать сертификаты
Duo: Приложение Duo Mobile может использоваться для доверия мобильному устройству. (подходит для организаций безMDM)
Нативно: AirWatch, MobileIron, Google G Suite, Sophos
Альтернатива: Cisco Duo может раздавать сертификаты
Нативно: Jamf, AMP
Скриптами : Symantec Altiris, Chef, Microsoft SCCM, AirWatch и др
Альтернатива : Cisco Duo может раздавать сертификаты
Отличайте управляемые устройства от BYOD
Mobile Windows MacOS
23
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как работает проверка доверенного устройства (Win/Mac)
Duo Push
Phone call
Passcode
С сертификатомDuo Защищенное
Web приложение
Duo Сертификат устройства Duo Облачный
CA
Пользователи и клиенты
Без сертификатаDuo
1. Duo выпускает сертификаты для аутентификации клиентов на управляемые устройства из облачного PKI
2. Пользователь логинится в браузерное,защищенное Duo приложение, показывая окно Duo
3. Успешная основная аутентификация направляет приложение в клиент Duo
4. Облачный сервис Duo применяет политики доверенного устройства для данной сессии
5. Duo проверяет наличие сертификата устройства Duo в пользовательском хранилище сертификатов. Если сертификат найден. Duo отчитывается что устройство доверенное
6. Если сертификат Duo не найден (соответственно устройство не доверенное). Доступ к приложению может быть ограничен
24
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пользователи используют свои устройств для доступа к приложениям
Cisco Secure Endpoint, запущенный на хосте обнаруживает malware
Cisco Secure Endpoint уведомляет Duo об инфекции на устройстве
Duo блокирует доступ устройств в приложения
Постоянное наблюдение
Duo и Cisco Secure Endpoint совместно работают для обеспечения безопасного доступа
25
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
1. Сбор AMP данных учетных из Вашей панели
управления
2. Ввод AMP данных учетных в консоль
управления Cisco Duo
3. Установка политик в Cisco Duo для защиты от
устройств с высоким уровнем риска
Duo и Cisco Secure Endpoint
Интеграция за Минуты
26
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Настройка Secure Endpoint политики в Duo для мгновенной блокировки рискованных устройств
27
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Новая мощная функция: Trust Monitor
кто обычно подключается
В какое время
К каким приложения
С каких устройств
Из каких локаций
С какой аутентификацией
28
Удобный доступ для Современного Сотрудника
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 98 стран
• 100,000+ пользователей
• Различные методы аутентификации
• Интеграция: AD, Azure AD и Ping ID
• 12+ приложений с доступом без VPN
• 120,000+ устройств с установленнымприложением Duo Device Health (DHA)
Cisco развернула Duo Workforce Zero Trust в рекордные 3 месяца!
30
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Workforce
Люди и их Устройства(Ноутбук, Планшет, Смартфон)
Доступ к приложениям
Отовсюду
Доступ пользователя
и устройства
SecureAccess by Duo
SecureEndpoint
Cisco SecureX
Cisco Umbrella
Cisco AnyConnect
SecureWorkload
Workload
SecureCloud
Analytics
Доступ к сервисам
и приложениям
Workplace
IdentityServicesEngine
Secure NetworkAnalytics
CiscoDNA
Center
Сетевой доступ
Приложения, Сервисы, Микросервисы
Связь с другими системами
Локальные, Гибридные и Публичные облака
IT Хосты и Сервера, Internet of Things (IoT) устройства и OT/ICS
Доступ в сеть: Проводной, Беспроводной, и VPN
Локальные, Гибридные и Публичные облака
Кто или Что
Проверка доверия
От
Cisco
Zero
Trust
31
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как Secure Access Services Edge(SASE) обеспечивает интуитивный доступ?
Целостная безопасность
• Единый опыт использования как для офисных, так и для удаленных сотрудников
• Централизация политики и фильтрации
Полная осведомленность
• Доверенные пользователи и устройства
• Layer 3 – Layer 7 соединения, потоки и доступ приложений
• Межсетевой экран, Безопасность Web, CASB, Защита от Malware
Постоянная инспекция
• SASE становится осьюуправления для Zero Trust
• Постоянный мониторинг доступа к ресурсам и приложениям
32
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
SaaS
Сотрудник кампуса или филиала
Удаленный сотрудник
SecureWorkload
Улучшая работу пользователя: SASE+Zero Trust
Workload
Workforce
Workplace
ISE
DNS SWG CASB
CDFW Adaptive MFASecurity aaS
CEaaS
SD-WANFabric
SD-WAN
Umbrella
Cisco SASE
SSO
OT IOT
HTTP / HTTPS
DNS
DNG
Auto SASE Tunnel
33
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
SaaS
SecureWorkload
Улучшая работу пользователя : SASE+Zero TrustУдаленный сотрудник с VPN
Workload
Workforce
Workplace
ISE
DNS SWG CASB
CDFW Adaptive MFASecurity aaS
CEaaS
SD-WANFabric
SD-WAN
Umbrella
Cisco SASE
SSO
Доступ с наименьшими
привилегиями
34
Сотрудник кампуса или филиала
Удаленный сотрудник
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
SaaS
SecureWorkload
Улучшая работу пользователя: SASE+Zero TrustУдаленный сотрудник с VPN
Workload
Workforce
Workplace
ISE
DNS SWG CASB
CDFW Adaptive MFASecurity aaS
CEaaS
SD-WANFabric
SD-WAN
Umbrella
Cisco SASE
SSO
OT IOT
Доступ к IOT и OT
устройствам
35
Сотрудник кампуса или филиала
Удаленный сотрудник
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
SaaS
SecureWorkload
Улучшая работу пользователя: SASE+Zero TrustУдаленный сотрудник с VPN
Workload
Workforce
Workplace
ISE
DNS SWG CASB
CDFW Adaptive MFASecurity aaS
CEaaS
SD-WANFabric
SD-WAN
Umbrella
Cisco SASE
SSO
OT IOT
Защита работы с Web и
SaaS через Split Tunnel
HTTP / HTTPS
DNS
36
Сотрудник кампуса или филиала
Удаленный сотрудник
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
SaaS
SecureWorkload
Улучшая работу пользователя: SASE+Zero TrustУдаленный сотрудник БЕЗ VPN
Workload
Workforce
Workplace
ISE
DNS SWG CASB
CDFW Adaptive MFASecurity aaS
CEaaS
SD-WANFabric
SD-WAN
Umbrella
Cisco SASE
SSO
OT IOT
• Secure Internet Gateway
• Современный доступ к
Частным Приложениям с
Duo Network Gateway
HTTP / HTTPS
DNS
DNG
37
Сотрудник кампуса или филиала
Удаленный сотрудник
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Duo Network Gateway предоставляет организациям удаленный доступ с политикой Zero Trust к web приложениям, web страницам и SSH серверам без необходимости в VPN.
38
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Настройка Duo Network Gateway (DNG)
• Развертывание DNG в DMZ илиПубличном Облаке
• Настройка SAML IdP на основную аутентификацию.
• Создание публичных DNS записей для защищаемых внутренних web приложений, указывающих на публичный интерфейс DNG.
• Пользователи получают доступ к “внутреннему” приложению через браузер либо SSH клиент.
Интернет
DMZВнутренняя сеть
HTTPS443
SAML
Периметровыймежсетевой экран
SAML 2.0Identity Provider
Внутренний межсетевой экран
Внутренние Веб приложения
Внутренняя сеть компании
Duo Network gateway
39
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
SaaS
SecureWorkload
Улучшая работу пользователя: SASE+Zero TrustПользователь кампуса или филиала
Workload
Workforce
Workplace
ISE
DNS SWG CASB
CDFW Adaptive MFASecurity aaS
CEaaS
SD-WANFabric
SD-WAN
Umbrella
Cisco SASE
SSO
OT IOT
• Secure Internet Gateway
• Сетевая сегментация с ISE
• Политика наименьших
привилегий доступа
пользователей/устройств
HTTP / HTTPS
DNS
DNG
Auto SASE Tunnel
40
Сотрудник кампуса или филиала
Удаленный сотрудник
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
SaaS
SecureWorkload
Улучшая работу пользователя : SASE+Zero TrustКампусный или филиальный IOT/OT и любое не пользовательское устройство
Workload
Workforce
Workplace
ISE
DNS SWG CASB
CDFW Adaptive MFASecurity aaS
CEaaS
SD-WANFabric
SD-WAN
Umbrella
Cisco SASE
SSO
OT IOT
• Secure Internet Gateway
• Сетевая сегментация с ISE
• Политика наименьших
привилегий доступа
пользователей/устройств
HTTP / HTTPS
DNS
DNG
Auto SASE Tunnel
41
Сотрудник кампуса или филиала
Удаленный сотрудник
Заключение
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Улучшение опыта работы пользователей с Zero Trust
• Подготовьте к гибридной работе с
• С целостным опытом как для локальной, так и удаленной работы
• Централизованная и целостная политика безопасности с SASE
• Начните путешествие с Workforce Zero Trust:
• Включите SSO и MFA для своей организации
• Внедрите доверие для Пользователя и Устройства
• Разверните Zero Trust Network Access для популярных и критичных приложений с Duo Network Gateway
Пользователь тот за кого себя выдает?
Есть ли у них доступ к нужным приложениям?
Безопасно ли их устройство?
Доверенное ли устройство?
WorkforceДоступ пользователей и устройств
Duo
43
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
А теперь совсем вживую …
• Dcloud.cisco.com
• SASE - Secure Remote Worker v1 - Guided Demo
• Cisco Duo Lab v1
• Trusted Workplace
• Secure Remote Workforce
• Secure Remote Worker v2 Business Value Demo
• Cisco Secure Workload (Tetration) Platform 3.5 v1 - Instant Demo
• … и многое другое
44
Спасибо!