Архитектура защищенного мобильного доступа
Post on 13-Apr-2017
408 Views
Preview:
TRANSCRIPT
Архитектура*защищенного*мобильного*доступа
Владимир*ИлибманЭксперт*по*продуктам*безопасности*Cisco
01.10.15 ©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.
• Сценарии(использования(мобильных(устройств(
• Фазы(развития((мобильного(доступа(на(примере(Cisco
• Архитектура(Cisco(для(мобильного(доступа
• Продукты(и(решения(для(безопасного(мобильного(доступа
• Сервисы(и(приложения
Изменение*ландшафта*IT
Более*15*миллиардов устройств*в*2015* с*3*устройствами*на*сотрудникаУ*75% опрошенных* мобильные* устройства*поражались* вредоносным* кодом*хотя*бы*1*раз*за*последние* 12*месяцев63% загружали* на*мобильные* устройства*чувствительную информацию
2003 2007 2012 2014+
Поколение*1 Удаленный*и*гостевой*доступ
Корпоративная*мобильность
Мобильные*приложения* в*бизнесе
Управляемые*ITустройства
Простой*доступ Корпоративные*и*персональные*устройства
PostkPC*эра
Пирамида*потребностей*по*Маслоу
Пирамида*потребностей*по*Маслоу
Пирамида*потребностей*по*Маслоу
Гаджет*и*BYOD* k это только*верхушка*айсберга
BYOD(требует(анализа(процессов внутри(компании
BYODЯ*хочу*читать*почту*со*своего*Androidkпланшета
Конечный(пользователь
Рост*производительности*
трудаCEO
Уменьшение*затрат
Есть(ли(решение(удаленного(доступа
Справится( ли(WiFi ?
Как(поддерживать(разнородные(устройства( ? IT
Как(обеспечить(compliance( с(регуляторными(требованиями
Что(делать(при(краже(устройства( или(увольнении(сотрудника( ?
Новые(риски(безопасности(
(утечка(информации,(вирусы…)( ?
Security
Появление*еще*одной*модели*– CYODChoosekYourkOwnkDevice*
Пример*Cisco IT.*Стратегия AnyDevice
Other16,450 36,104 13,901 1663,979
82,794 34,5458,225
71,325
Personally*
Owned*
Mobile*
Devices*
(BYOD)
125,564
Corporate*
Laptops*
(CYOD)
725
Эволюция*развития*BYOD/CYOD*в*Cisco
2009Mobile*BYOD*Mandate*Mobile*Mail*and*WikFi*on*iPhone,*BlackBerry,*Android,*etc.MacBook*Pro
2010h2011Tablet*SupportAnyConnect*on*Trusted*DevicesWebEx*and*Jabber
2012Cisco*eStore*LaunchedMacBook*AirMobile*AppsISE*1.1*Rollout
2013+BYOD*for*nonkCisco*laptopseStore*for*mobileExpanded*Mobile*App*PortfolioCloud*ServicesISE*1.2*and*1.3
2003h2008CorporatekPaid*DevicesGood*Mobile*Windows*XP
Any*Device*Roadmap
1. Несанкционированное*подключение*устройств
2. Утечка*данных,*кража*или*потеря3. Вредоносное*ПО (источник*–Веб)4. Отсутствие*на*устройстве*корпорат.механизмов*безопасности
5. Нарушение*правил*использования*устройства*на*работе*и*вне*офиса
УГРОЗЫ
Риски безопасности*для*мобильных*устройств*
Персональное(устройство(– “форточка” для(атаки(на(сеть(в(целом((Source:*2011*ISACA*IT*Risk/Reward*Barometer,*US*Edition*(www.isaca.org/riskkrewardkbarometer)
Решение*Cisco*для*безопасного*подключения*мобильных*устройств
Mobile* Device*ManagementУправление рабочим*местом
AnyConnect,*ASA,*ScanSafe,*WSA,*AMP
ISE
Функции*коммутаторов,*WiFiи*маршрутизаторовУправление—Cisco* Prime
Безопасная* мобильность
Инфраструктура* управления*политиками
Сетевая* инфраструктураПроводный и(
беспроводный доступ
Политики(для(безопасного( доступа
Безопасность(мобильного(и(
удаленного(доступа
Управление(персональными(устройствами
Сервисы(и(приложения
Техническая*архитектура*безопасного*мобильного*доступа
MobileDeviceManagement
Cisco*Identity*Services*Engine*(ISE)
Wireless*Devices
AnyConnect*VPN*(All*Mobile)
Web*Security*Appliance
Wired*Network*Devices
Adaptive*Security*
Appliance
Cisco*Core*Network
Продукты*и*решения*безопасного*мобильного*доступа
01.10.15 ©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.
Политика* безопасного*доступа*в*организацииУстройства
Приложения
Соединение
УправлениеБезопасность
InternalApps
WebApps
2G/3G WiFi VPN
ОС
Голос
Видео Сообщения
Конференции
ФормФактор Защищенное(
соединение
Контроль(приложений
Защита(Web
Защита(устройства
Шифрование(данных
Управление(устройством
Слежение(за((устройством
Внедрение(приложений
Производительность(&(Диагностика
Управление(затратами( на(
связь
Cisco*Identity*Services*Engine*(ISE)Корпоративная*система*управления*политиками
Кто Что Где Когда Как
Сотрудник,*гость*,*клиент.* Корпоративное*или*личное*устройство
Wired Wireless VPN
Бизнес*политики
Атрибуты*политики*безопасности
Идентификация*пользователей*и*
устройств
Определение*политики*мобильного*доступа*на*ISE
Тип(устройства
МестоположениеПользователь Оценка Время Метод(доступа
ISE*получает*интеграцию(с(MSE 8.0(или CMX.((Это*обеспечивает*:• Возможность*использовать*атрибуты*местоположения*в*политике
• Определять*зоны(безопасности• Периодически*проверять*местоположение*в*случае*изменений
• Проводить*переавторизацию в*случае*изменения*локации
Интеграция*информации*о*местоположении
!
NEWISE(2.0
Что*предлагает*ISE*для*управления*персональными*устройствами
Поддержка*множества*типов*устройств:
iOS (post*4.x) MAC*OSX Android* (2.2*and**later)
Windows* (XP,*Vista,*Win7,*Win8,*Win10)
Безопасность*на*основе*сертификата
Поддержка*всех*сетевых*подключений
Занесение*устройств*в*“черный” список и*удаленная*очистка
Саморегистрация
Портал**“Мои*устройства”
Распространение(корпоративного( ПО
Инвентаризация
Управление(Backup,(Remote(
Wipe,(etc.)
AUP
Классификация/Профилирование
Регистрация
Безопасный( сетевой(доступ(Wireless,(Wired,(VPN)
Управление( сетевым(доступом(на(основе(
контекста
Настройка(профилей(
безопасности(устройства
User(<h>(Device(Ownership
Mobile(+(PC
Соответствие( политике((Jailbreak,( Pin(Lock,(etc.)
Шифрование(данных
СЕТЕВАЯ(БЕЗОПАСНОСТЬ( (ISE) УПРАВЛЕНИЕ( УСТРОЙСТВОМ((MDM)
Позиционирование*ISE*и*MDM
Пользователи и*IT*совместно*управляют*устройством*и*доступом
Пользователь* управляет* устройствомIT*управляет*доступом*в*сеть
Управление затратами
Интеграция*ISE*и*MDMISEMDM*
Manager
Регистрация устройств*при*включении*в*сеть*–незарегистрированные*клиенты*направляются*на*страницу*регистрации*MDM
Ограничение(доступа(k неkсоответствующие*клиенты*будут*иметь*ограниченный*доступ*в*сеть,*исходя*из*информации*полученной*от*систем*MDM
Инициация(действий через*интерфейс*ISE*– например*устройство*украденоk>*очистить*данные*на*устройстве
Сбор(дополнительной(информации про*устройство*дополняет*функции*классификации*и*профилирования*ISE
ЭкопартнерыCiscohttp://www.cisco.com/c/dam/en/us/products/collateral/security/identityhserviceshengine/at_a_glance_c45h726284.pdf
Облачное*MDM*решение*
• Централизованное* управления• Настройка* сетевых*параметров• Определение* местоположения• Удаленное* внедрение* приложений• Внедрение* политики* ограничений* для*приложений* и*данных
• Интеграция* *с*AD/ISE
Cisco*System*Manager*Enterprise
•*Apple*iPad,*iPod*Touch,*iPhone,*and*Apple*TV*(iOS 5*or*higher)•*Android*(2.2*or*higher),*including*Amazon’s*Kindle*Fire•*Mac*OS*X*(10.5,*10.6,*10.7,*10.8,*10.9,*10.10)•*Windows*Pro*7,*8,*8.1,*Vista,*XP*(Service*Pack*3*or*higher),*Server*2008,*R2,*2012•*Windows*Phone*8.1
Пример*политики*в*Cisco
Local*and*Remote*Wipe
Encryption*andManagement
4*Digit*PIN10*Minute*Timeout
Trusted*DevicesSecured*Devices
Реализация*политики*безопасности*в*Cisco
Network(Edge 4(Digit(PIN 10(Minute((
TimeoutRemoteWipe
Management
Encryption
Безопасные(устройства
Core(Network
Доверенные(устройства
Управление*и*защита*webkдоступаНейтрализация*основного* канала*угроз*мобильных*устройств
Тонкое*управление*работой*с*приложениями
Мобильный*сотрудник
Политика(контроля(доступа Нарушение(политики
• Мгновенные*сообщения• Facebook:* *с*ограничениями• Видео:*не*более*512*кбит/с
• Передача*файлов*по*IM•P2P•Защита*от*вирусов*и*вредоносного* кода*•Блокировка* «взрослого»* контента*• Ограничение* пропускной* способности
Защита*Интернетkдоступа*мобильного*устройства*в*пределах*офиса
Новости Электроннаяпочта
Социальные*сети КорпоративнаяSaaSkсистема
Фильтрация*контента
Corporate*AD
Маршрутизатор
/коммутаторЗащита
Интернетkдоступа*в*сети*предприятия
Cloud*Web* Security
Cisco(WSA
ASA(c(FirePOWER
Объединяем*ISE*с*WSAДоступ*через*WSA*с*авторизацией*через*ISE
Cisco® ISE* получает*информацию*контекст*и*идентификацию*мобильного*устройства
WSA*применяет*гранулированную*политику*доступа**в*зависимости*от*прав*и*состояния*устройства
Consistent(Secure(Access(Policy
Who:*DoctorWhat:*LaptopWhere:*Office
Who:*DoctorWhat:*iPadWhere:*Office
Who:*GuestWhat:*iPadWhere:*Office
Cisco® Identity(Service(Engine
WSA
Confidential(Patient(Records
Internal(Employee(Intranet
Internet
Cisco*Web*Security*Virtual*Appliance
Преимущества:• Выбор*формkфактора• Гибкость*развертывания• Ценовая*модель*– подписка
Варианты*использования• Бюджетный*вариант*для*ЦО• Региональный*офис• В*случае*повышенной*нагрузки
Cisco*UCS+
+WSAV
Защита(мобильного(устройстваAnyConnect
VPN
А*как*защищать*Интернетkдоступ*на*мобильных*устройствах*вне*офиса?
Интернетhтрафик Cisco( Cloud(Web(Security
Cisco(ASAвнутренний( трафик
Интернет
Решение*Cisco*AnyConnect*Secure*Mobility*Solution
Широкая*поддержка*платформ
• Apple*IOS,**Android,*Blackberry,*Windows*Phone,*Windows*7/8/10,*MAC,*Linux,*
• Работа*через*клиента*и*через*браузер
Постоянное*подключение
• постоянно*активное*подключение,*• выбор*оптимального*шлюза,*• автоматическое*восстановление*подключения
Унифицированная* безопасность*и*модульность
• Идентификация*пользователей*и*устройств• Проверка*соответствия• Интегрированная*вебkбезопасность• Интеграция*с*защитой*от*вредоносного*кода• Поддержка*VDI
Корпоративныйофис
Безопасный,*ПостоянныйДоступ
ASA
Wired WikFi
мобильнаяили WikFi
Мобильный* сотрудникДомашнийофис
Филиал
Поддерживаемые*платформыУстройства(пользователей(и(инфраструктура
ИнфраструктураКлиенты
Microsoft(Windows Mac(OS(X Linux
Настольное( устройство
Мобильные( средства( связи
Apple iOSiPhone и*iPad
• HTC• Motorola• Samsung• Версия* 4.0*и*более*поздние
• HTC• Lenovo• Motorola• Samsung• Версия* 4.0*и*более*поздние
Бесклиентскиеподключения
BlackBerry
+
AndroidСмартфоны*****Планшетные*
компьютеры*****
Управление
ASDM CSMCLI
Защищенные(соединения
Cisco(ISR*
Cisco®ASA
Cisco(ASR*
Коммутаторы(IEEE(802.1x
Интернетhбезопасность
Cisco(WSA
Cisco(ISE
Идентификация(и(политика+
Cisco(NAC
Cisco(AnyConnectдля(webhзащитына(основе(облака
Windows(Phone
IPSec,(SSL(VPN
802.1X
MACSec
Cisco Network Access Manager – управление*проводным*и*беспроводным*подключением
• Управление*корпоративными*подключениями
• Проводное*(802.3)*и*беспроводное*(802.11)*подключение*с*помощью*одной*структуры*аутентификации
• Аутентификация*пользователей*и*устройств*уровня*2:
–802.1X,*802.1XkREV* (установка*проводного*ключа)
–802.1AE* (MACsec:*проводное*шифрование)
–Поддержка*нескольких*типов*EAP
–802.11i*(сеть*с*повышенной*безопасностью)
• Поддержка*конфигураций*сети*для*администратора*(офис)* и*пользователя*(дом)
Постоянное*подключение*(Always*On)
Автоматическое* переподключение между*сетями* *WikFi,*3G*и*разрывах* связи
Повторная* аутентификация* не*требуется
Таймер* максимальной* *продолжительности* сеанса
Off*Premises
Выбор*оптимального*шлюза
Подключение*к*наиболее*оптимальному*головному*устройству
Время( =(25(мсВремя( =(23(мсВремя( =(24(мс
Время( =(110( мсВремя( =(127( мсВремя( =(125( мс
Время( =(33(мсВремя( =(35(мсВремя( =(26(мс
МоскваАстана
Алматы
Пороговое(значение(времени(приостановки((часы)(
Пороговое(значение(повышения(производительности((%)
Параметры(профиля:
Семипалатинск
Что*нового*в Cisco*AnyConnect*4.0?Подключает*только*разрешенные*приложения*через*VPN
Избранное* туннелирование через*VPN
VPN
Обеспечивает*безопасный*удаленный*доступ*для*выбранных*приложений*для*определенного* пользователя,*устройства*и*роли (perkapp*VPN)
Уменьшает* риски*неразрешенных*приложений,*связанные*с*компрометацией* данных
Поддерживает*большое*количество*типов**устройств*и*удаленных*пользователей*(сотрудники,*партнеры,*контрактники),*
WWW
Что нового*в*Cisco*AnyConnect*4.0?Оценка*состояния*и*безопасный* VPN*доступ*с*унифицированным* агентом*и Cisco*ISE
Поддерживает* оценку*состояния*для*разных*способов*доступа
Упрощает*управление*с*единым*агентом
Предотвращает* подключение*несоответствующих*устройств*(проверка* патчей,*ключей*реестра,*антивирусов….)
Пример*сценария• Идентификация*пользователя:
• Логин/пароль*
• Пользовательский* сертификат* (802.1X)
• “Идентичность” устройства:• номер BIOS,*MACkадрес,* UDID*для моб,*
• Тип*устройства• Машинный* сертификат* (802.1X)• Наличие* корпоративного* ПО,*ключей*реестра* и*
секретных* “меток”….
• Политика*доступа*с*множеством*проверок Пользователь Устройство+ = Политика(
доступа
Корпоративное*устройство*?
00:11:22:AA:BB:CC
ID
Корпоративный*пользователь
Привет,*я*Маша,*мой*пароль*******
ID
Что*нового*в*AnyConnect 4.1AMP*активатор*расширяет*защиту*от*malware
Обеспечивает* быстрый*и*удобный*путь*включения* функционала* Advanced*Malware* Protection* (AMP)*
Обеспечивает* защиту* конечного*устройства*до*туннелирования трафика* в*сеть
Минимизирует* потенциальное* влияние*путем*обеспечения* проактивной защиты*и*быстрого* устранения* заражения
Больше*защиты
Windows/MAC MobileМобильное*устройство
NEW
AnyConnect*– больше*чем*просто*VPN
SSL(/(DTLS(VPNIPsec VPN HostScan
/ISE(AgentCloud(Web(Security
L2(Supplicant((Win(Only)
Switches*andWireless*controllers
ASA WSAISE/ACS Cloud*Web*Security**+*AMP
Центральные(устройства
ASR/CSR
ISR
Базовый(VPN РасширенныйVPN Другие(сервисы
Модуль(сетевой(видимости
AMP(((Enabler
Планируется, к,выходу,в,2015,
году
Новое*лицензирование*в Cisco*AnyConnect 4.xУпрощение*и*большая*гибкость
01.10.15
Новые*лицензии* переносимы* между*любыми*аппаратными* платформами,*что*упрощает* модернизацию* и*замену*аппаратных* платформ
Новая*двухуровневая* модель*лицензирования* позволяет* клиентам*расти*с*учетом*актуальных*потребностей* в*мобильности
Программа* миграции:• Essentials* to*Plus• Premium* to*Apex
Лицензия* по*пользователям(с*любым*колkвом*устройств)
Лицензия* Plus Лицензия* Apex
! VPN! Мобильный*VPN*по*приложениям*(новое)
! Вебkбезопасность
! Менеджер*сетевого*подключения*(NAM)
! Функции*Plus
! Соответствие*устройств*(новое)
! Безклиентскийдоступ
! Криптография*Suite*B
Модули*AnyConnect
Клиент*Cisco*AnyConnect® Secure*Mobility*может*состоять*из*следующих*модулей:
Windows OS*X Linux Apple* iOS Android
VPN Да Да Да Да Да
NAM Да x x x x
WebSec Да Да x x x
Оценка*состояния Да x x x x
Телеметрия Да x x x x
DART Да Да x x x
Терминация VPNkподключений*на**Cisco*ASA*5500kX
Производиткльность
Data(CenterCampusBranch(Office( Internet(Edge
ASA*5585kX*SSPk20(10*Gbps,*125K*cps)
ASA*5585kX*SSPk60(40*Gbps,*350K*cps)
ASA*5585kX*SSPk40(20*Gbps,*200K*cps)
ASA*5585kX*SSPk10(4*Gbps,*50K*cps)ASA*5555kX*
(4*Gbps,50K*cps)
ASA*5545kX*(3 Gbps,30K*cps)ASA*5525kX*
(2*Gbps,20K*cps)
NEW
SOHO
ASA*5506*(150*Mbps,*5K*cps)
<50
7502500
500010000
ASA*5508kX*(250 Mbps,*10K*
cps)
50k100
250ASA*5516kX*(500 Mbbps10K*cps)
NEW
NEW
Сервисы*и*приложения*для*персональных*устройств
01.10.15 ©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.
Реализация*передовых*возможностейПример*Cisco*IT в*Cisco*ITBasics
MobileMail
eStore*AppsCollaboration
ToolsConnectivity Content(and(
CollateralLearning
News(&(Events
Sales BetaEmployeeServices
Архитектура*Cisco*для BYOD/*моб.*устройствМобильныеустройства
Инфраструктура*доступа:*Проводный,*WiFi,*Мобильный
Шлюзы*безопасности
Инфраструктура*защиты*иуправлениям* политиками
www.cisco.com/go/byod
Часть*новой*архитектуры*CiscoSAFE
Выводы1. Мобильные*устройства*влияют*на*бизнесkпроцессы,*
стратегию*IT и*оценку*рисков*безопасности
2. На*сегодня*мобильный*доступ*есть*фактически*в*каждой*организации*– отличается*лишь*степень*проникновения*
3. Cisco*предлагает* законченную*интегрированную*архитектуру*для*защищенного*мобильного*доступа
ISEASAAnyConnect Cisco*PrimeSec*GroupAccess
Cloud*Web*Security ESA/WSA Wireless Wired
Решение*Cisco для* безопасного*мобильного*доступа
Ждем(ваших(сообщений(с(хештегом#CiscoConnectKZ
©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.
СпасибоПожалуйста,*заполните*анкеты.*Ваше*мнение*очень*важно*для*нас.Владимир*Илибман+380443913600voilibma@cisco.com
top related