Алексей Лукацкий (IT-Тренды 2014)
27
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 От MDM к EMM Алексей Лукацкий Бизнес-консультант по безопасности
description
Transcript of Алексей Лукацкий (IT-Тренды 2014)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
От MDM к EMM
Алексей Лукацкий Бизнес-консультант по безопасности
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
Наличие удаленного доступа к корпоративной почте и сервисам увеличивает рабочее время сотрудника на полчаса
56% сотрудников в мире периодически работают вне офиса Forrester
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Мобильника
97%
Интернет
84%
Автомобиля
64%
Партнера
43%
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Внедрение
Конфигурация
Защита
Приложения / контент
Мониторинг и управление
Поддержка
Завершение
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7 EMM – это стратегия мобильного рабочего места
BYOD Я хочу подключить
iPad к сети
Конечный пользователь
Увеличение эффективности, доступности и лояльности
Безопасность? CEO Уменьшение
IT-затрат
Как подключить и поддерживать разные типы устройств ?
Как обеспечить корпоративные сервисы на устройстве ?
Как построить процессы и
разделить зоны ответственности
IT
Нужно разработать политику или делать
исключения
Как подключить безопасно и только к нужным ресурсам?
Новые риски безопасности – а что если украдут, а что если уволится ?
Security
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
1. На какие категории сотрудников распространяется ? 2. Какая процедура подключения новых устройств (орг. и техн.)? 3. Какая политика доступа с мобильных устройств изнутри
корпоративной сети ? 4. Какова политика доступа с мобильных устройств к
корпоративным ресурсам извне корпоративной сети? 5. Какова политика доступа с мобильного устройства к ресурсам
Интернет? 6. Какие сервисы предоставляются (почта, UC, VDI …)? 7. Какие требования к защите мобильного устройства ? 8. Процедуры в случае потери/кражи устройства или увольнения
сотрудника 9. Какие затраты оплачиваются (мобильный интернет, звонки …)? 10. Оценка затрат на внедрение или запрещение J BYOD / EMM
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
WLAN AP
Access Switch
МСЭ
Policy Engine (Cisco ISE)
Certificate Authority
(CA)
Mobile Device
Manager (MDM)
Wireless Router
Integrated Services Router
Aggregation Services Router
Campus
Switching Core
Branch Office
Home Office
Active Directory
(AD)
AnyConnect
WLAN Controller
Network Management
RSA Secure ID
Не доверенная сеть
Доверенная корпоративная
сеть
Internet
Mobile Network
Public Wi-Fi
WAN
BYOD устройства
Проводной, Беспроводной, Мобильный доступ
Шлюзы безопасности Инфраструктура защиты и управлениям политиками
Инфраструктура доступа
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Контроль доступа
Мне нужно, чтобы пользователи и устройства получали адекватный доступ к сетевым сервисам (dACL, Qos, и т. п.)
Мне требуется разрешить ���гостевой доступ к сети
Я хочу разрешить работу ���в моей сети только
«нужных» пользователей и устройств
Мне требуется уверенность, что мои оконечные устройства не станут источником атаки
Мне требуется разрешить/запретить доступ с iPAD в мою сеть(BYOD)
Сервисы авторизации
Управление жизненным циклом гостевого доступа
Сервисы профилирования
Сервисы аутентификации
Сервисы оценки состояния
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Контроль мобильного устройства при доступе к
корпоративным ресурсам Защита самого
мобильного устройства
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12\47
ü Инвентаризация ü Инициализация устройства
ü Безопасность данных на устройстве
ü Безопасность приложен. ü Управление затратами
ü Полная или частичная очистка удаленного устройства
MDM продукты Контроль доступа и защита от сетевых угроз
Политики Защитный клиент МСЭ Облако Web Sec
ü Аутентификация пользователей и устройств
ü Оценка состояния
ü Применение политики доступа
ü Безопасный удаленный доступ
ü Защита от угроз ü Политика использования Web
ü Защита от утечек информации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Интернет
“Сотрудники могут получать доступ ко всем ресурсам с личных и корпоративных
устройств. Доступ внешних пользователей блокируется.”
“Сотрудники должны использовать корпоративные устройства. Личные устройства запрещены, гостевой
доступ не предусмотрен.” Внутренние ресурсы
“Сотрудники могут получать доступ к любым ресурсам с корпоративных
устройств. Сотрудникам, использующим личные устройства,
и партнерам предоставляется ограниченный доступ.”
Сеть комплекса зданий
Ограниченный набор ресурсов
Сервисы политики
Это важно!
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14\47
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
15
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Тип Место User Статус Время Метод Свои
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17 17
Jail Broken
PIN Locked
Encryption ISE Registered PIN Locked MDM Registered Jail Broken
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18\47
Защита мобильного устройства
Интернет-трафик
VPN – внутренний трафик
(опционально)
Облачная безопасность
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19\47
Новости Электронная почта
Социальные сети Корпоративная SaaS-система
Фильтрация контента
Corporate AD
МСЭ/IPS Защита
Интернет-доступа в сети предприятия
Облачная безопасность
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
• Устройству не хватает мощностей ;-(
• Защита в зависимости от местонахождения Перенаправление на периметр или в облако
• Гранулированный контроль доступа к сайтам
• Доступ в ближайшее облако через SSO
• Контроль утечек информации в Web или e-mail трафике
WSA
VPN
Corporate DC
Premise Based Cloud Based
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
• Wiki Mobility Rules of Use Vulnerability Announcements Security Advisories Best practices/user guidelines
• Форумы
• Рассылки
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Cisco Confidential 24 © 2010 Cisco and/or its affiliates. All rights reserved.
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
• Подчиняется ли мобильное устройство обязательным нормативным требованиям? Каким?
• Необходимо ли проводить внешний аудит соответствия мобильных устройств?
ISO 27001 PCI DSS СТО БР ИББС 382-П Аттестация по ФСТЭК ФЗ-152 Приказ ФСТЭК №17 по защите ГИС Приказ ФСТЭК №21 по защите ПДн
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
Управление/ развертывание
Динамическая политика
Интегрир. средства
Доп. решение Облако
Облако/Saas
Web-сайты
Web-приложения
Сервисы
Соц. сети
СХД
Что? Средства,
контент, данные
Защищенный, персонализированный и контекстно-зависимый доступ к данным Прозрачный - оперативный - надежный
Интеллектуальная сеть
Кто? Когда? Как? Место-
положение?
Устройство?
Сотовая 3G/4G
Wi-Fi
Проводная
Дома
В дороге
На работе
Клиент на базе VM • Управляемое
• Неуправляемое • Корпоративное • Личное
СОТРУДНИК
ВРЕМ. СОТРУДНИК
ГОСТЬ
Контекст
SIO
ЦОД/VDI
Обеспечение с учетом контекста
Обеспечение с учетом контекста
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Спасибо за внимание!
