Надежная защита для малых, средних и распределенных...
TRANSCRIPT
Надежная защита для малых, средних и распределенных предприятий
Михаил Кадер
Конфиденциальная информация Cisco 2 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Программа
Сети малых предприятий под ударом
МСЭ нового поколения Cisco для малого и
среднего бизнеса
Филиалы и дополнительные рынки
Начало поставок, заказ, стоимость, план запуска
Немного техники
Демо
Конфиденциальная информация Cisco 3 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Проблемы обеспечения безопасности в сетях предприятий малого и среднего бизнеса
Конфиденциальная информация Cisco 4 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
И крупные, и малые предприятия подвергаются все более разрушительным атакам
• Противник вооружен, мотивирован, обеспечен
финансово, и его мишень — малый и средний
бизнес
• В 2012 г. было скомпрометировано 87%
малых предприятий— на 10% больше, чем в
2011 г.
• Партнеры требуют от малого бизнеса усилить
защиту от угроз
* Исследование PWC по поручению Министерства по делам бизнеса, инноваций и
профессионального образования Великобритании, 2013 г.
** New York Times, март 2014 г. .
Любая организация
обязана защищать
доверенные ей
данные,
интеллектуальную
собственность и
коммерческую
тайну.
Конфиденциальная информация Cisco 5 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Существующие решения не вполне подходят малому бизнесу
Традиционные МСЭ нового поколения и
решения для унифицированного управления
угрозами не предназначены для защиты от
современных угроз.
• Решения для унифицированного
управления угрозами в меньшей степени
ориентированы на защиту от конкретных
угроз.
• Прежние МСЭ нового поколения и
точечные решения затратны и сложны в
управлении.
• Интеграция точечных решений сопряжена
с рисками, а эффективность сомнительна.
Конфиденциальная информация Cisco 6 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
МСЭ нового поколения Cisco для малых, средних и распределенных предприятий
Конфиденциальная информация Cisco 7 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Непревзойденная защита от угроз Интегрированная, многоуровневая защита в одном устройстве: настольном или
монтируемом в стойку (1U)
Непревзойденная выгода Превосходное соотношение цена-производительность и низкая
совокупная стоимость владения
Гибкие возможности управления Управление может быть локальным или централизованным (если устройств
несколько)
Решения, ориентированные на защиту от угроз, для малого бизнеса и филиалов ASA в сочетании с функциями FirePOWER
Конфиденциальная информация Cisco 8 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
100% МСЭ нового
поколения: поставляется
с функциями FirePOWER
Низкие требования к ресурсам
5506-X
2 квартал 2015
финансового года
3 квартал 2015
финансового года
3 квартал 2015
финансового года 2015 финансовый год
Современные МСЭ нового поколения Cisco для малых, средних и распределенных предприятий
Хит продаж! На замену
ASA 5505:
около 10 тыс.
единиц в месяц
Конфиденциальная информация Cisco 9 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Непревзойденная
защита от угроз
Интегрированная, многоуровневая
защита в одном устройстве: настольном
или монтируемом в стойку (1U).
Конфиденциальная информация Cisco 10 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Фильтрация URL-адресов (по подписке)
Локальное или
централизованное
управление
Усиленная защита от
вредоносного кода
Advanced Malware
Protection (AMP) (по подписке)
Мониторинг и
контроль приложений
(AVC)
Межсетевой экран
Маршрутизация и
коммутация
WWW
VPN
Система предотвращения
вторжений
нового поколения (NGIPS) (по подписке)
Защита FirePOWER Защита от угроз — наше главное преимущество
Функции и лицензии аналогичны более крупным ASA с функциями FirePOWER при использовании FireSIGHT
Упрощенное предложение МСЭ нового поколения с локальным менеджером ASDM 7.3.x
Конфиденциальная информация Cisco 11 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Расширенные возможности VPN Безопасная мобильность с AnyConnect™
Политика допустимого применения
Контроль доступа
Предотвращение утечки данных
Предотвращение угроз Совместный доступ сотрудников к файлам
Доступ разрешен
Выбор Поддержка разнообразных
оконечных устройств
повышает гибкость
Безопасность Широкие и гранулярные
возможности защиты,
интегрированные в сеть
Возможности
пользователя Бесперебойное функционирование
для удобной и эффективной работы
Конфиденциальная информация Cisco 12 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Непревзойденная
выгода Превосходное соотношение
цена-производительность.
Низкая совокупная стоимость
владения.
Конфиденциальная информация Cisco 13 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Максимальные цены на оборудование; предварительные показатели производительности**
Параметры/
Модели
5505 5506-X
Пропускная
способность МСЭ с
функцией контроля
состояния
соединений
150 Мбит/с 500 Мбит/с
NGIPS или AVC
(размеры)
НД 85 Мбит/с
NGIPS+AVC+ AMP НД 40 Мбит/с
ЦЕНЫ
PID
Рекомендуемая цена
ASA5506-K9 $995
ПРОИЗВОДИТЕЛЬНОСТЬ
Конфиденциальная информация Cisco 14 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Отчет Security Value Map по
системам предотвращения
вторжений (IPS)
Отчет Security Value Map: специалисты NSS подтверждают эффективность решений Cisco
Отчет Security Value Map по МСЭ
нового поколения (NGFW)
Отчет Security Value Map по
системам обнаружения
компрометаций
Конфиденциальная информация Cisco 15 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Гибкие возможности
управления Интегрированное локальное
управление.
А если устройств много —
централизованное.
Конфиденциальная информация Cisco 16 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Новая разработка! Сочетает в себе контроль над политиками доступа и функциями защиты от современных угроз. Улучшенный пользовательский интерфейс позволяет как следить за событиями в общем, так и углубляться в детали
Локальная система управления: ASDM 7.3.x
Конфиденциальная информация Cisco 17 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Дает специалистам по безопасности следующие возможности:
Управление группой устройств
Полный мониторинг и контролирование сетевой активности
Эффективное восстановление благодаря локализации заражения и определению первопричины
Централизованное управление
Централизованное
управление:
Как и Elektra,
использует
CSM и FireSIGHT
ДО Изучение
Внедрение политик
Безопасное
конфигурирование
ВО ВРЕМЯ Обнаружение
Блокирование
Защита
ПОСЛЕ Локализация
Изолирование
Восстановление
Конфиденциальная информация Cisco 18 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Дополнительные рынки и движущие силы продаж Обновление 5505 Распределенные предприятия и филиалы Управление производством
Конфиденциальная информация Cisco 19 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Ключевая возможность: обновление существующего парка устройств модели 5505
Категория 5505 5506-X
МСЭ нового
поколения
Функции FirePOWER
Мониторинг и
контроль приложений
Нет Да
AMP, NGIPS, фильтрация URL
Подписки Нет Да
Защита
оборудования Защита от физического вмешательства,
основанная на ACT 2 Нет Да
Упрощенная
процедура приобретения
Неограниченное количество
пользователей (узлов) Нет Да
VPN Улучшенная поддержка мобильности
Нет Да
Дополнительные
возможности
Пропускная способность Более 200% пропускной способности
МСЭ
Встроенная беспроводная точка доступа Нет Да (вариант 5506W-X)
5506-X
Безопаснее
Масштабируемее
Гибче
Конфиденциальная информация Cisco 20 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Распределенное предприятие
• Модель 5505 активно используется в
филиалах компаний
• Распределенные конфигурации с более
чем 2000 устройств
• Под «филиалом» может подразумеваться все
— от домашнего офиса до розничного
подразделения
• Модель 5506W-X с интегрированной
беспроводной точкой доступа
привлекательна для многих таких
конфигураций
Конфиденциальная информация Cisco 21 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Начало поставок, заказ, план запуска, лицензирование и услуги
Конфиденциальная информация Cisco 22 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
План запуска линеек МСЭ нового поколения для малого бизнеса
5506
15.01 (AMER, IDEA)
5508/5516
Март (будет уточнено)
5506
7.04
5508/5516
7.04
Запуск для дистрибьюторов Внешний запуск
5506
14.01
5508/5516
11.03
Внутренний запуск Запуск для партнеров
5506-X
15.01; 5.02 (AMER, IDEA)
20.01 (EMEAR, IDEA)
1.02 (APJC, Бали)
20.01 (AMER, CDW)
Запуск для дистрибьюторов Внешний запуск
Упор на 5506-X
14.01
Внутренний запуск
Ограниченный запуск 5506-X
7.04.2015
Возможность заказа / начало поставок
5506-X
12.02 VoE
1.02.2015
18.02.2015
Конфиденциальная информация Cisco 23 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Лицензирование: аналогично ранее выпускавшимся моделям ASA с функциями FirePOWER
СОПВ
URL
URL
СОПВ
TAMC TAC TA
URL
URL
AMP
СОПВ
TAM
AMP
СОПВ
• Security plus • Лицензия VPN • Контекст безопасности
(только 5508-X) — 5 контекстов на 5508-X
Лицензирование ASA Лицензирование МСЭ нового поколения
Подписка на 1 или 3 года, AVC в комплекте, обновления AVC доступны с SmartNet.
ASA 5506 and FirePOWER On-Box Management
Конфиденциальная информация Cisco 25 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Аппаратная платформа
Desktop 5506– 7.92” x 8.92” x 1.73“
Конфиденциальная информация Cisco 26 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Сравнение моделей
Category Model ASA 5505 ASA 5506-X
Hardware CPU 1Cx500MHz 4Core @ 1.7GHz
RAM/Flash 512M/128M 4G/16GB
SSD none 64GB
I/O 8xGE L2SW 8xGE
PoE 2x PoE 0
WiFi no no
Form factor Desktop Desktop
Cooling convection convection
USB Yes USB (Type A) Port
NGFW (FirePOWER)
Services
IPS Yes (SSC) Yes
Application Control no Yes
URL Filtering no Yes
AMP (Advanced Malware
Protection) no Yes
New
Конфиденциальная информация Cisco 27 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
1 2 3
5 6
7 8
9
1) Power LED: Green -> power applied OK
2) Status LED: Green blinking -> system is booting up
Green solid -> successful boot
Orange -> error during boot-up
3) Active LED: Green -> unit is Active in failover pair
Orange -> unit is Standby in failover pair
Off -> not part of a failover pair
4) WLAN Module – not lit for 5506
5) GE ports: Left-side LED Green -> link
Right-side LED blinking -> network activity
6) Console Ports: RJ-45 and mini-USB Connector
if mini-USB is connected, RJ-45 becomes disconnected
7) GE Management Port
8) USB port for external storage – shows up as disk1
9) Reset Pin
Задняя панель 5506 4
Конфиденциальная информация Cisco 28 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Варианты внедрения
Конфиденциальная информация Cisco 29 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Inline deployment
• Traffic enters the ASA. • Incoming VPN traffic is decrypted. • Firewall policies are applied. • Traffic is sent to the ASA FirePOWER module. • The ASA FirePOWER module applies its security policy to the traffic, and takes appropriate
actions. FirePOWER sends traffic back to ASA for action. • Outgoing VPN traffic is encrypted. • Traffic exits the ASA.
Конфиденциальная информация Cisco 30 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Passive Deployment
The traffic flow in monitor-only mode is the same as it is for inline mode. The only difference is that the ASA FirePOWER module does not pass traffic back to the ASA. Instead, the module applies the security policy to the traffic and lets you know what it would have done were it operating in inline mode, e.g., traffic might be marked “would have dropped” in events. You can use this information for traffic analysis and to help you decide if inline mode is desirable.
Конфиденциальная информация Cisco 31 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Настройки ASA
Конфиденциальная информация Cisco 32 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
An ASA can be configured in Routed or Transport mode.
An ASA 5500 can be configured for multiple context. The ASA 5506 does not support multiple context.
After configuring an ASA, ensure that packets are passing through the ASA (e.g., by using ping).
Configure traffic redirection in your configuration, i.e., configure MPF policy to send traffic to SFR module. You can send all or a subset of traffic to be sent to the SFR module.
ASA configuration
Конфиденциальная информация Cisco 33 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
FirePOWER services can be deployed in monitor mode as well as in fail-open or fail-closed.
FirePOWER Services can be configured by
OnBox Manager
OffBox Manager
ASA configuration
Конфиденциальная информация Cisco 34 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
• Device Managers
• OnBox -vs- OffBox
• OnBox Manager
• Unified launch
• ASA5506 FireSIGHT’s Configuration Web UI embedded in ASDM
Конфиденциальная информация Cisco 35 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
OnBox Manager (New): The OnBox manager is the thick ASDM client with FireSIGHT Management Center (FMC) lite embedded into it. FMC will be used to manage FirePOWER Services on ASA.
FireSIGHT Management Center (FMC) appliance: A dedicated FMC (Defense Center) can be used to manage FirePOWER Services. FMC comes as hardware appliance and virtual appliance. The virtual appliance comes as OVF and can be installed in vSphere 5.1 or 5.5.
Device Managers
Конфиденциальная информация Cisco 36 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
OnBox OffBox
• Uses ASDM UI
• Manages single device
• Licenses enabled by default
• Dashboard is static
• Smaller url category database
• Geo country code installed at first boot
• Creates default Allow All policy at first boot
• Limited FireSIGHT features including
1. Device Configuration
2. Device Health Dashboard
3. SI/Malware Detection
4. Eventing and Reporting
5. License Management
6. Updates
• Uses FireSIGHT (Defense Center) UI
• Manages multiple devices
• Have to manually enable licenses
• Ability to add widgets
• Uses full url database
• Geo country not installed at first boot
• No policies automatically created
• Full FireSIGHT features including
1. Health Policy
2. Historic Event Data
Конфиденциальная информация Cisco 37 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Unified Launch
• User downloads ASDM to their client
• Integrates FireSIGHT’s navigation with ASDM’s look and feel, but each page is similar to DC’s page
• Uses an embedded jxbrowser to display FireSIGHT’s screens
Конфиденциальная информация Cisco 38 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Unified Launch
• Single Sign On to both ASDM and ASA5506 FireSIGHT management of FirePOWER Services
Конфиденциальная информация Cisco 39 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Access the OnBox Manager by typing the ASA IP address into a browser. This will download the thick client (ASDM). You can use it for other ASA clients.
By default, the FirePOWER Services module will be visible to the manager. You don’t have to add the module (device) to the manager. In case the device is managed by OffBox FMC, the module will be disabled on OnBox.
Both FirePOWER Services and the ASA can be managed using the same OnBox manager.
OnBox Manager
Device 5506
already added.
Конфиденциальная информация Cisco 40 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Configure FirePOWER Services: OnBox Manager
Access Control Policies
IPS policies
Files Policies
Access
Policies/Rules
To test traffic, leave the default Action as Trust
All Traffic.
Конфиденциальная информация Cisco 41 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Dashboard
Конфиденциальная информация Cisco 42 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Configuration Navigation
• Integrated into ASDM existing navigation
Конфиденциальная информация Cisco 43 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Access Control Policy
• Has quick links to ASA policies as well as FirePOWER policies.
Конфиденциальная информация Cisco 44 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Device
Конфиденциальная информация Cisco 45 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
• Event Viewer
• Event Details
• Reporting
• Troubleshooting
Конфиденциальная информация Cisco 46 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Event Viewer
• Event Viewer is a software component of Sensor onbox management application that queries and displays events it collects from sensor. Event Viewer can be used as one of troubleshooting and diagnosis tool by network administrators. It provides activities monitoring function for sensor.
• Events generated by snort are shown to user in real-time. Event viewer supports:
• Connection Events
• Intrusion Events
• File Events
• Malware Events &
• Security Intelligence Events
• RNA events(user events, network discovery events etc) are not supported for onbox.
Конфиденциальная информация Cisco 47 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Event Viewer Views
• Event viewer will save user’s selections like filters added, columns chosen as a view. A view is a collection of user’s settings like columns & filters. Event viewer supports 2 types of views:
• System Views – Views provided by default to all users. These type of views cannot be modified by user.
• User Views - Views created by user. User can update/delete or rename these views.
Конфиденциальная информация Cisco 48 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Event Viewer Column Selector
• User can add/remove columns in event viewer using column selector. User can also filter columns in column selector.
Конфиденциальная информация Cisco 49 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Event Viewer Filters
• User can also add filters. Events which match these filters will be shown to user.
Конфиденциальная информация Cisco 50 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
Event Details
• User can also view details of each event and blacklist/whitelist IP addresses from event details section.
Конфиденциальная информация Cisco 51 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
On-box Reporting: Pages, Time-range
• Network overview
• Top N charts
• Top N tabular reports from menu
• Drilldown reports
• View more reports from drilldown report components
• Time range selection for dashboard/reporing page:
• Last 30 mins / 1 Hour / 24 hours / 7 days / 30 days
• Historical and real-time data will be presented
• Automatic page refresh every 10 minutes
• Custom time-range
• Only historical data
Конфиденциальная информация Cisco 52 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
On-box Reporting: Network overview page
Конфиденциальная информация Cisco 53 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
On-box Reporting: Top N reports overview
• Top N reports:
• Policies, Applications, Users, Destinations , URLs, Signatures.
• View by
• All transactions
• Denied transactions
• Allowed transactions
• Data usage
• Up to maximum 5 (ascending to descending)
• View more link to see more Top N data
• Drilldown report from label/bar
Конфиденциальная информация Cisco 54 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
On-box Reporting: Tabular reports overview
• View more links from Top N reports
• Menu: Dashboard -> (Users / Destinations /… )
• View by
• Values
• Percentages (against totals)
• Bi-directional sorting on all non-key columns ( Transactions / Allowed transactions/ Denied transactions/ Data usage/ Bytes sent / Bytes received)
• View more entries (10/100/…)
• Embedded graphical representation for transactions column
Конфиденциальная информация Cisco 55 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
On-box Dashboard: Tabular views
Конфиденциальная информация Cisco 56 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
OnBox Reporting: Drilldown report data
Users Policies URL Application Egress Zone Ingress Zone
Users NA X X X NA NA
Applications X X X NA NA NA
URLs X X NA X
NA
NA
Policies X
NA
X X
NA
NA
Ingress Zones X
X
X X X
NA
Egress Zones X
X
X
X
NA X
Destinations X
X
X
X
NA
NA
Конфиденциальная информация Cisco 57 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
On-box Reporting: A sample drilldown report
Конфиденциальная информация Cisco 58 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.
DEMO