Byod for ya c
Transcript of Byod for ya c
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
BYOD в организации: надводные и подводные камни внедрения в контексте информационной безопасности
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
Наличие удаленного доступа к корпоративной почте и сервисам увеличивает рабочее время сотрудника на полчаса
56% сотрудников в мире периодически работают вне офиса Forrester
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Мобильника
97%
Интернет
84%
Автомобиля
64%
Партнера
43%
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Работай Так Как Тебе Удобно !
BYOD “узаконивает”
существующее явление
приноса персональных
ноутбуков , планшетов и
телефонов на работу
Использование персональных
мобильных устройств в бизнес-
целях получило название BYOD
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5 BYOD требует стратегии мобильного рабочего места
BYOD Я хочу подключить
iPad к сети
Конечный
пользователь
Увеличение эффективности, доступности и
лояльности
Безопасность? CEO
Уменьшение IT-затрат
Как подключить и поддерживать разные типы устройств ?
Как обеспечить корпоративные
сервисы на устройстве ?
Как построить процессы и
разделить зоны ответственности
IT
Нужно разработать политику или делать
исключения
Как подключить безопасно и только к нужным ресурсам?
Новые риски безопасности – а что если украдут, а что
если уволится ?
Security
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Где золотая середина?
Чего хотят пользователи
Доступ из любого места и в любое время
Независимость от устройств
Личные данные / приложения
Гибкие конфигурации
Чего хотят сотрудники ИТ и служб безопасности
Контролируемый сетевой доступ
Предсказуемые конфигурации
Безопасность данных
Блокировка пользователей
"Вы тормозите меня!"
"Прекратите протестовать и соблюдайте правила!"
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
1. На какие категории сотрудников распространяется ?
2. Какая процедура подключения новых устройств (орг. и техн.)?
3. Какая политика доступа с мобильных устройств изнутри корпоративной сети ?
4. Какова политика доступа с мобильных устройств к корпоративным ресурсам извне корпоративной сети?
5. Какова политика доступа с мобильного устройства к ресурсам Интернет?
6. Какие сервисы предоставляются (почта, UC, VDI …)?
7. Какие требования к защите мобильного устройства ?
8. Процедуры в случае потери/кражи устройства или увольнения сотрудника
9. Какие затраты оплачиваются (мобильный интернет, звонки …)?
10. Оценка затрат на внедрение или запрещение BYOD
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8\47
Устройства
Приложения
Соединение
Управление Безопасность
Internal
Apps
Web
Apps
2G/3G WiFi VPN
ОС
Голос
Видео Сообщения
Конференции
Форм
Фактор Защищенное
соединение
Контроль
приложений
Защита Web
Защита
устройства
Шифрование
данных
Управление
устройством
Слежение за
устройством
Внедрение
приложений
Производите
льность &
Диагностика
Управление
затратами на
связь
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9\47
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10\47
1. Вредоносное ПО (Web: основной вектор)
2. Платный контент и трафик
3. Утечка данных, кража или потеря устройств
4. Нарушение правил контроля доступа и политик безопасности
5. Нарушение правил использования устройства на работе и вне офиса
УГРОЗЫ
• Мобильные устройства пользователей: главный источник рисков
BYOD* ̶ основной риск
Source: 2011 ISACA IT Risk/Reward Barometer, US Edition (www.isaca.org/risk-reward-barometer)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
• Направления атаки
Сотовые сети
Соединения Bluetooth
Интернет (WLAN, 2/3/4G)
Синхронизация USB-устройств
Другие периферийный устройства
• Выберите то, что актуально для вас!
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
• Журнал вызовов и SMS-сообщения
• Электронная и голосовая почта
• Контакты и календарь событий
• Конфиденциальные данные и файлы, хранимые на устройстве или SD-картах
• Архив кэша клавиатуры (включая вводимые пароли)
• Фотографии, журнал просмотра Web-ресурсов
• Геолокационные данные
• Удаленные данные (изображения, сообщения электронной почты и т.д.)
• Приложения
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
• Вредоносный код
• Утечки конфиденциальной информации
• Установка пиратского ПО и кража легитимного ПО
• Перехват данных
• Вывод устройства из строя
• Кража/потеря устройства
• Посещение сайтов, ненужных для работы
• Нарушение требований регуляторов
• Высокие затраты на Интернет-трафик
• Звонки на платные номера / дорогие SMS на короткие номера
• Спам / фишинг / смишинг
• Отслеживание перемещений (вмешательство в личную жизнь)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Контроль доступа
Мне нужно, чтобы
пользователи и
устройства получали
адекватный доступ к
сетевым сервисам
(dACL, Qos, и т. п.)
Мне требуется разрешить
гостевой доступ к сети
Я хочу разрешить работу
в моей сети только
«нужных» пользователей
и устройств
Мне требуется
уверенность, что мои
оконечные устройства не
станут источником атаки
Мне требуется
разрешить/запретить
доступ с iPAD в мою
сеть(BYOD)
Сервисы
авторизации
Управление
жизненным циклом
гостевого доступа
Сервисы
профилирования
Сервисы
аутентификации
Сервисы оценки
состояния
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Мобильная безопасность
Безопасность контента
Сетевая безопасность
Управление безопасностью
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Контроль мобильного устройства при
доступе к корпоративным
ресурсам Защита самого
мобильного устройства
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Уровень устройства
Уровень сети
Уровень приложений
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Встроенная
Локальная
Централизованная
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
• Пользователи хотят выбирать мобильные устройства самостоятельно (BYOD)
• Спектр выбираемых устройств очень широк
ОС: iPhone, Windows Mobile, Symbian, BlackBerry, WebOS
Платформа: iPhone, Nokia, HTC, LG, Samsung, BlackBerry, Palm
• Проблема выбора не только средств защиты, но и самой мобильной платформы
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Версия Forrester
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Версия Gartner
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Версия J’son & Partners
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
Мобильные устройства в Cisco
Версия Cisco
2
6
Рост использования мобильных устройств в Cisco 102%
19% 45%
21%
13%
*Includes devices with corporate plans, personal plans, and wi-fi only
Platform* June
2010
June
2011
June
2012
iPhone 3,554 16,857 23,258
iPad 150 5,418 10,779
BlackBerry 14,802 14,233 9,724
Android 40 3,526 6,592
Others 7,005 1,406 1,010
Total 25,401 41,440 51,363
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
• Встроенный функционал в мобильные устройства
Например, идентификация местоположения устройства в iPad или встроенный VPN-клиент в Nokia e61i на Symbian
• Функционал мобильных приложений
Например, функция удаления данных в Good или Exchange ActiveSync
• Отдельные решения для мобильных устройств
В рамках портфолио – Cisco, Лаборатория Касперского, Sybase
Специализированные игроки - MobileIron, Mobile Active Defense, AirWatch, Zenprise и т.д.
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30\47
0% 10% 20% 30% 40% 50% 60%
Application monitoring and control
URL filtering
Anti-spam for messaging content
Back-up and restore
Firewall
Secure client and web-based VPN connectivity
Data-loss protection
Encryption
Loss and theft protection
Anti-virus
First choice
Second choice
Third choice
© Canalys
Source: Candefero survey results, June 2011 (87 respondents)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
• Windows, Mac и Linux
• Apple iOS 4+ iPhone 3G/3GS/4, iPad, iTouch
• Windows Mobile, Palm, Symbian
• Android, Cisco Cius, Windows Phone 7
• BlackBerry, WebOS и т.д.
• Функционал одной системы защиты может меняться на разных платформах
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Доступ своих к чужим
Доступ своих к своим
Доступ чужих к своим
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
• Какова политика доступа с мобильного устройства к корпоративным ресурсам изнутри корпоративной сети?
• Какова политика доступа с мобильного устройства к корпоративным ресурсам извне корпоративной сети?
Только VPN? Применяется NAC? Доступ только к отдельным приложениям?
Необходимо ли пропускать мультимедиа-трафик (VoIP, ВКС)? Через VPN?
• Какова политика доступа с мобильного устройства к ресурсам Интернет?
Изнутри корпоративной сети? А извне корпоративной сети?
А межсетевой экран нужен?
• Доступ к облачным вычислениям (если внедрены в организации)
• А может лучше терминальный доступ (VDI)?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
Защита мобильного устройства
Интернет-трафик
VPN – внутренний трафик
(опционально)
Облачная безопасность
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Новости Электронная
почта
Социальные сети Корпоративная
SaaS-система
Фильтрация
контента
Corporate AD
МСЭ/
IPS Защита
Интернет-доступа
в сети предприятия
Облачная безопасность
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
• Устройству не хватает мощностей ;-(
• Защита в зависимости от местонахождения
Перенаправление на периметр или в облако
• Гранулированный контроль доступа к сайтам
• Доступ в ближайшее облако через SSO
• Контроль утечек информации в Web или e-mail трафике
WSA
VPN
Corporate DC
Premise Based Cloud Based
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
• Как проводится аутентификация пользователя на мобильном устройстве?
PIN? Логин/пароль? Графические шаблоны? Одноразовые пароли? Аппаратные токены? Сертификаты?
• Возможна ли интеграция с моим каталогом учетных записей? Как?
• Поддерживается ли SSO? Какой стандарт?
• Поддерживается ли федеративная система аутентификации? Какой стандарт?
• Нужна ли аутентификация к локальным ресурсам и устройствам?
• Необходим ли многопользовательский доступ к мобильному устройству?
А зачем?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
Пароли Токены Биометрия Pattern Lock
Безопасность Слабая Сильная Сильная Слабая
Простота
использования
Просто Средне Тяжело Просто
Внедрение Просто Тяжело Тяжело Просто
Работа на
мобильном
устройстве
Да Нет Возможно Да
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
Интернет
“Сотрудники могут получать доступ ко всем
ресурсам с личных и корпоративных
устройств. Доступ внешних пользователей
блокируется.”
“Сотрудники должны использовать
корпоративные устройства. Личные
устройства запрещены, гостевой
доступ не предусмотрен.”
Внутренние
ресурсы
“Сотрудники могут получать доступ
к любым ресурсам с корпоративных
устройств. Сотрудникам, использующим
личные устройства,
и партнерам предоставляется
ограниченный доступ.”
Сеть комплекса
зданий Ограниченный
набор ресурсов
Сервисы политики
Это важно!
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
45
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
Тип Место User Статус Время Метод Свои
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
• Есть ограничения на используемые приложения?
• Собственная разработка?
• Процедура тестирования для внешних приложений и исходного кода?
• Контроль магазинов приложений? Собственные корпоративные магазины приложений?
• Процедура установки приложений?
Доверяем ли мы неподписанным приложениям?
• Существуют ли приложения третьих фирм при оказании сервиса?
• Используемые меры защиты приложений?
Права приложений
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
Workforce
Security Collaboration Function App
Store
Virtualization
Basics
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
“Приложения
регулярно шлют
информацию
маркетинговым
компаниям, которые
составляют досье на
мобильных
пользователей”
Source:
http://blogs.wsj.com/wtk-mobile/
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 55
• Как организовать?
• Централизованно или через пользователя?
А насколько высока из квалификация?
• Как отключать некоторые аппаратные элементы (камера, диктофон, Bluetooth и т.д.)? Надо ли?
• Как контролировать настройки?
• Как контролировать наличие «чужих» программ?
• Как удаленно «снять» конфигурацию?
• Как провести инвентаризацию?
• Как проводить troubleshooting?
• Как организовать доступ администратора к устройству?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
• Как искать украденное/потерянное устройство?
А надо ли?
• Как дистанционно заблокировать устройство или удалить данные?
• Как защититься при смене SIM-карты?
• Контроль местонахождения устройства?
GPS, Глонасс, «Найди iPhone»?
• Рекомендации вернуть устройство владельцу?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60
• Возможно ли сканирование мобильных устройств?
Агентское или дистанционное?
• Как часто сканируются мобильные устройства?
• Каков процесс устранения уязвимостей?
• Как устанавливаются патчи?
• Отношение к Jailbrake?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62
• Черные списки телефонов?
• Скрытие от посторонних глаз SMS/номеров?
Отдельные контакты помечаются как «личные» и вся связанная с ними информация (SMS, звонки, контакты) будет скрыта от посторонних глаз
• Шифрование важной информации
Специальные «секретные» папки для документов и файлов
Динамический виртуальный шифрованный диск
Поддержка карт памяти
• Антивирус
• Нужен ли вам персональный межсетевой экран?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 64
• Антивирус
Проверка в реальном времени
Проверка по требованию
Проверка по расписанию
Автоматическое обновление
• Межсетевой экран
Блокирование подозрительных соединений
Разные предопределенные уровни защиты
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65
ОСОБЕННОСТИ РЕАЛИЗАЦИИ
.
Антивирус должен быть установлен, если иное не предусмотрено технологическим процессом. Для платформ Apple iOS антивирусов не существует
Проверка на отсутствие вредоносных программ на мобильном устройстве может быть осуществлена с помощью технологий NAC (Network Admission Control)
Трафик с мобильного устройства может перенаправления через AV-шлюз на корпоративном периметре или через «облако» SaaS
Отсутствие антивируса на мобильных устройствах может быть оправдано при условии разработки соответствующей модели угроз и реализации набора компенсационных мер (блокирование доступа, корпоративный appstore и т.д.)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 66
• Как осуществляется расследование?
• Как вы обеспечиваете сбор доказательств несанкционированной деятельности?
• У вас есть доступ к логам на мобильном устройстве? Как долго вы их храните? Возможно ли увеличение этого срока?
• Можно ли организовать хранение логов на внешнем хранилище? Как?
• Разработан ли план реагирования на инциденты, связанные с мобильными устройствами?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 67
• Обезличивание критичных данных и предоставление к ним доступа только авторизованному персоналу?
• Какие устройства собираются и хранятся на мобильном устройстве?
Как долго?
• Что включить в политику предоставления корпоративного мобильного устройства сотруднику? А что в политику доступа к корпоративной сети с личного мобильного устройства?
• Есть ли национальные законодательные требования по обеспечению privacy? Как найти баланс?
• Гарантии нераскрытия информации третьим лицам и третьими лицами?
• Как защищаются данные при передаче устройства в ремонт?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 68
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 69
• Wiki
Mobility Rules of Use
Vulnerability Announcements
Security Advisories
Best practices/user guidelines
• Форумы
• Рассылки
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
• Подчиняется ли мобильное устройство обязательным нормативным требованиям? Каким?
• Необходимо ли проводить внешний аудит соответствия мобильных устройств?
ISO 27001
PCI DSS
СТО БР ИББС
382-П
Аттестация по ФСТЭК
ФЗ-152
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71
ОСОБЕННОСТИ РЕАЛИЗАЦИИ
.
Необходимость использования СКЗИ определяется самостоятельно, если иное не предусмотрено законодательством РФ
Все зависит от модели угроз. Если речь идет не о персональных данных, то возможно применение несертифицированных СКЗИ
Для ПДн СКЗИ должно быть сертифицировано. Такие СКЗИ для мобильных платформ сегодня уже есть, но…
Установка сертифицированных СКЗИ подразумевает jailbreak. Вы готовы?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72
• Обладатель информации
• Собственник (владелец) системы
Обмен собственной
информацией
• Госорган Обмен с
госорганами
• Организация госзаказа Обмен с
организациями госзаказа
• Обладатель информации
• Пользователь (потребитель)
Обработка и хранение без
передачи
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73
• Какой уровень доступности в SLA необходимо обеспечить?
• Какие меры обеспечения доступности используются для защиты от угроз и ошибок?
Резервный оператор связи
Подключение по Wi-Fi
• План действия на время простоя?
Вы поставили сотрудникам «Angry Beards» ;-)
• Резервирование и восстановление
• Как соотносятся оказываемые сервисы с мобильными устройствами с точки зрения критичности/доступности?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74 74
C-Level Term Impact Description
C1 Mission Imperative Any outage results in immediate cessation of a primary function,
equivalent to immediate and critical impact to revenue
generation, brand name and/or customer satisfaction; no
downtime is acceptable under any circumstances
C2 Mission Critical Any outage results in immediate cessation of a primary function,
equivalent to major impact to revenue generation, brand name
and/or customer satisfaction
C3 Business Critical Any outage results in cessation over time or an immediate
reduction of a primary function, equivalent to minor impact to
revenue generation, brand name and/or customer satisfaction
C4 Business Operational A sustained outage results in cessation or reduction of a primary
function
C5 Business
Administrative
A sustained outage has little to no impact on a primary function
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75
75
Criticality Classification Matrix v3.0
Operational Continuity
(Planned and Unplanned Downtime) Disaster Recovery
Adjusted
Availabilit
y Ceiling
Planned
Downtime
Acceptabl
e?
Acceptable
Recovery
Time
(ART,
hours)
Acceptable
Data Loss
(ADL,
Hours)
Reduced
Performance
Acceptable
(Single DC
Loss)?
Recovery
Time
Objective
(RTO, in
Hours)
Recovery
Point
Objective
(RPO, in
Hours)
Reduced
Performance
Acceptable
(Large-Scale
Disaster)?
Criticalit
y Level
Distrib
-ution
Up to
99.999% N ~0 ~0 N n/a** n/a n/a C1
< 5% Up to
99.995% N 1 0 N 4 1 N C2
Up to
99.99% Y 4 0 N 24 1 Y C3 ~10%
Up to
99.9% Y 24 1 Y 48 24 Y C4 > 60%
Up to
99.9% Y Best Effort 24 Y Best Effort 1 wk Y C5 < 25%
• ART = Maximum downtime following incidents (up to and including one DC in Metro down)
• ADL = Maximum data loss following incidents (up to and including one DC in Metro down)
• RTO = Maximum downtime for applications following large-scale disaster (multiple Tier-III DCs in Metro down, highly
unlikely)
• RPO = Maximum data loss following large-scale disaster (multiple Tier-III DCs in Metro down, highly unlikely)
** Targeting distributed architectures (active/active over large distance) to meet service continuity requirements without DR
invocation
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76
• Процедура завершение трудового договора предусматривает возврат мобильного устройства или данных на нем?
• Возврат корпоративных данных на личном мобильном устройстве? В какой форме?
• Как скоро организация/сотрудник получит свои данные обратно?
• Как будут уничтожены все резервные и иные копии моих данных? Как скоро? Какие гарантии? Как проконтролировать?
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 77
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 78
ОГРАНИЧЕННЫЙ ПЕРЕДОВОЙ РАСШИРЕННЫЙ БАЗОВЫЙ
Среды с жестким контролем
Только корпоративные устройства Производства
Госучреждения (секретность!)
Традиционные корпорации
Базовые сервисы, простой доступ
Широкий спектр устройств/только
Интернет
Образование
Общественные организации
и общественные места
Простой гостевой доступ
Различные сервисы, подключение
локально и удаленно
Различные типы устройств и методы
доступа, VDI Здравоохранение
Корпорации, стремящиеся внедрить BYOD
Поддержка временных сотрудников
Корпоративные приложения, новые
сервисы, управление
Различные типы устройств,
MDM
Инновационные корпорации
Розничные продажи Мобильные сотрудники
(видео, среды совместной работы, .)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 79
Mobile Device Management Управление рабочим местом
Защитный клиент,
защита периметра
NAC, IAM, Compliance, Guest,
Policy Management
Функции коммутаторов,
беспроводных точек
доступа и маршрутизаторов
Безопасная мобильность
Инфраструктура управления
политиками
Сетевая инфраструктура Проводной и беспроводный доступ, унифицированное управление
Унифицированные политики для безопасного доступа
Безопасный мобильный и удаленный доступ
Управление мобильными и персональными устройствами
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 80
Сценарий Ограниченный Базовый Расширенный Передовой
Бизнес
политика Блокировать доступ
Доступ по ролям
изнутри сети
Гранулир. доступ
внутри и снаружи
Полноценное
мобильное рабочее
место
ИТ-
требования
Технологии
• Знать “кто” и “что”
включено в сеть
• Давать доступ
только
корпоративным
устройствам
• Предоставлять
персональным и
гостевым
устройствам
доступ в
Интернет и
ограниченному
числу внутренних
ресурсов
• Гранулированный
доступ изнутри
сети
• Гранулированный
удаленный
доступ к
ресурсам через
Интернет
• Использование
VDI
• Обеспечение
родных
приложений для
мобильных
устройств
• Управление
мобильными
устройствами
(MDM)
Коммутаторы, маршрутизаторы, точки беспроводного доступа Сетевая
инфраструктура
Управление
Идентификация и политики
Удаленный доступ и
безопасность
Приложения
LAN Management –
MDM
IAM, NAC, Guest, Policy
МСЭ/Web Security
Защитный клиент
Облачная безопасность
Корпоративные приложения и VDI
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 81
Политика допускает использование только корпоративных устройств
Контроль доступа
• Внедряем систему контроля
доступа для запрета и/или
выявления не-корпоративных
устройств
• Нужно идентифицировать
происхождение и тип
подключаемого устройства
Policy Management
• Идентификация того КТО и
ЧТО включается в сеть
• Классификация типов
подключаемых устройств
• Ограничение не-
корпоративных устройств
Функции инфраструктуры
• Режим мониторинга (Monitor
Mode) упрощают выявление
не-корпоративных
устройств
• Функция коммутаторов
Sensor и Classifier позволяет
определить тип
подключаемого устройства
Функции BYOD
Уровень устройств
DESKTOP/ NOTEBOOKS
TABLETS
SMARTPHONES GAME/PRINTER THIN/VIRTUAL
CLIENTS
Wired Политики Управление Wireless
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 82
USER
CONFIG
DEVICE
Пример для проводной сети
Технологии для выявления “чужих” устройств
0. Фильтрация по MAC-адресам
1. Внедрение машинной аутентификации с помощью 802.1x
2. Классификация (профилирование) типов устройств на Policy Engine и
коммутаторе
3. Оценка состояния устройства и проверка наличия корпоративного ПО
(NAC)
Внедрение
машинных сертификатов Классификация
USER
Защитный клиент
CONFIG
DEVICE
OUI DHCP HTTP
Персональное устройство
Коммутатор
DNS NETFLOW SNMP
Corporate Resources
Internet
Policy Engine
Directory PKI CA
OUI DHCP
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 83
Предоставление базового сервиса доступа в Интернет и ограниченному перечню внутренних ресурсов
Управление доступом на
основе политик
• Идентификация и
аутентификация
персональных устройств
сотрудников
• Управление доступом в
зависимости от типа
устройства/роли пользователя
Гостевые устройства
• Полный цикл управления
гостевым доступом в сеть
• Предоставление Интернет-
доступа и доступа к
внутренним гостевым
ресурсам
Упрощенное подключение
новых устройств
• Регистрация и настройка
персональных устройств без
вмешательства IT-персонала
Функции BYOD
Уровень устройств
DESKTOP/ NOTEBOOKS
TABLETS
SMARTPHONES GAME/PRINTER THIN/VIRTUAL
CLIENTS
Wired Политики Управление Wireless
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 84
Policy Engine для расширенного управления политиками
ИДЕНТИФИ-
КАЦИЯ
КЛАССИФИКАЦИЯ
VLAN 10
VLAN 20
Wireless LAN Controller
DHCP
RADIUS
SNMP
NETFLOW
HTTP
DNS
Policy
Engine
Unified Access Management
Single SSID
802.1x EAP
Аутентификация
пользователя и
устройства
HQ
2:38pm
Классификация
устройства
Полный или частичный доступ
Персональный ресурс
Ресурс компании
Оценка состояния
устройства
Политика
доступа
4
5
6
Применение
политик
Корпоративные
ресурсы
Интернет
1
2
3
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 85
Сервис для гостевого доступа
Гостевая политика
Беспроводный или проводной
доступ
Доступ только в Интернет
Управление привилегиями
спонсоров, правами гостевых учетных
записей
Настройка Гостевых учетных
записей через Гостевой Портал
Извещение Уведомление
гостей об учетных записях -Print, Email, or SMS
Отчетность отчетность по
существующим записям
Гости
Веб-
аутентификаци
я
Internet
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 86
Доступ к сервисам и приложениям на работе и вне офиса
Применение политик
• Идентификация и
аутентификация
персональных устройств
сотрудников
• Управление доступом в
зависимости от типа
устройства/роли
пользователя
Безопасный мобильный
доступ
• Технологии безопасного
удаленного доступа к
Интернет-ресурсам и
корпоративным ресурсам
• Безопасность веб-доступа
Приложения для
совместной работы и VDI
• Предоставление приложений
для совместной работы и
доступа к корпоративным
сервисам
Функции BYOD
Уровень устройств
DESKTOP/NOTEBOOKS TABLETS
SMARTPHONES GAME/PRINTER THIN/VIRTUAL CLIENTS
Wired
Политики Управление
Wireless Router
Защитный клиент
Облако Web Sec МСЭ
WebEx Jabber Quad Enterprise Applications
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 87
Инсталляция корпоративных приложений, браузер или VDI
Родные приложения
для BYOD • Данные на устройстве
• Высокая
производительность
•“Родной” интерфейс
Браузер •Данные на устройстве
•Портирование на разные
платформы
•Интерфейс браузера
Виртульные сервисы •Нет локальных данных
•Самая высокая
безопасность
•Ощущения зависят от
скорости канала связи
Инсталлир. приложения
Корпоративные сервисы
Корпоративные сервисы
Корпоративные сервисы
Веб-браузер
HTML интерфейс
Клиент VDI Инфраструктура VDI
Data Center
Data Center
Data Center
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 88
Mobile Device Management
• Интегрированное управление политиками с управлением мобильными
устройствами (Mobile Device Management) предоставляет гранулированный
контроль устройств, многоуровневую безопасность и применение сетевых политик
доступа при внедрении BYOD
Полноценное рабочее место. Политика обеспечивает гранулированный доступ и управление для персональных устройств.
Функции BYOD
Уровень устройств
DESKTOP/NOTEBOOKS TABLETS
SMARTPHONES GAME/PRINTER THIN/VIRTUALCLIENTS
Wired
Политики Управление
Wireless Router
Защитный клиент
Облако Web Sec МСЭ
Jabber Quad Enterprise Applications
WebEx
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 89
Инвентаризация
Инициализация
устройства
Безопасность данных на
устройстве
Безопасность приложен.
Управление затратами
Полная или частичная
очистка удаленного
устройства
MDM продукты Контроль доступа и защита от сетевых угроз
Политики Защитный клиент МСЭ Облако Web Sec
Аутентификация
пользователей и
устройств
Оценка состояния
Применение
политики доступа
Безопасный
удаленный доступ
Защита от угроз
Политика
использования
Web
Защита от утечек
информации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 90
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 92
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 93
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 94
Внедрение
Конфигурация
Защита
Приложения / контент
Мониторинг и управление
Поддержка
Завершение
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 95
• Управление базовыми защитными механизмами
• Включение / блокирование функций
• Управление преимущественно функциями ИТ, а не ИБ
• Отсутствие серьезной интеграции с системами контроля доступа
• Отсутствие серьезной интеграции с системами экономической безопасности
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 97
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 98
WLAN AP
Access Switch
МСЭ
Policy Engine (Cisco ISE)
Certificate Authority
(CA)
Mobile Device
Manager (MDM)
Wireless Router
Integrated Services Router
Aggregation Services Router
Campus
Switching Core
Branch Office
Home Office
Active Directory
(AD)
AnyConnect
WLAN Controller
Network Management
RSA Secure ID
Не доверенная сеть
Доверенная корпоративная
сеть
Internet
Mobile Network
Public Wi-Fi
WAN
BYOD устройства
Проводной, Беспроводной, Мобильный доступ
Шлюзы безопасности Инфраструктура защиты и управлениям политиками
Инфраструктура доступа
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 99
Управление/
развертывани
е
Динамическая
политика
Интегрир.
средства
Доп.
решение Облако
Облако/Saas
Web-сайты
Web-
приложения
Сервисы
Соц. сети
СХД
Что? Средства,
контент, данные
Защищенный, персонализированный и контекстно-зависимый доступ к данным
Прозрачный - оперативный - надежный
Интеллектуальная сеть
Кто?
Когда? Как?
Место-
положение?
Устройство
?
Сотовая 3G/4G
Wi-Fi
Проводная
Дома
В дороге
На работе
Клиент на
базе VM • Управляемое
• Неуправляемое
• Корпоративное
• Личное
СОТРУДНИК
ВРЕМ. СОТРУДНИК
ГОСТЬ
Контекст
SIO
ЦОД/VDI
Обеспечение
с учетом
контекста
Обеспечение
с учетом
контекста
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 101
10
1
Не использовать Ничего не делать
Менее защищенный Более защищенный
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 102
1. Явление BYOD влияет на все сферы IT и предполагает наличия в организации концепции/стратегии мобильного рабочего места и соответствующих процессов
2. На сегодня BYOD есть фактически в каждой организации – отличается лишь степень проникновения персональных устройств
3. В зависимости от степени “зрелости” использования персональных устройств организация может выбирать разные сценарии внедрения BYOD
4. В зависимости от задач могут быть выбраны и разные защитные механизмы
Выбирать ВАМ!
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 103
Спасибо за внимание!