Архитектура безопасности Cisco SAFE

Что лучше – зоопарк или целостная система?

Сложность системы увеличивает вероятность ошибки!

Точечные продукты не умеют «говорить» друг с другом

Излишняя фокусировка на предотвращении

Вендоры продают решения для борьбы с сегодняшними угрозами…

Cisco SAFE - это решение названных задач

Как защитить ваш центр обработки данных?

Что нужно для защиты данных, циркулирующих между сегментами с высокими и низкими требованиями по безопасности?

Как защитить данные платежных карт в местах снятия наличных?

Каковы лучшие практики по защите данных платежных карт, передаваемых по беспроводной сети?

Cisco SAFE

Это действия и противодействия

Это теория игр

Упрощенная, но действенная модель

SAFE – это модель

Мы стартуем с определения актуальных угроз…

С чем мы боремся:угрозы

Перенаправление

Добавление услуг

Черви

Вирусы

Пользователи,выдающие себя за других

Шпионское ПО

Утечки

Трояны

Шпионские программы

Зомби

Командаи управление

DDoS

Атаки нулевого дня

Разрушение

Просачивание наружу

Проникновение

…и защищаемся от них

• SAFE снижает сложность

• Игровая модель позволяет упростить общение на одном языке

• Достоверные и проверенные архитектуры и дизайны с базовым уровнем безопасности

Что такое SAFE?

• SAFE позволяет решить операционные проблемы на всем жизненном цикле атаки «До — Во время — После» (Before – During – After)

• SAFE обеспечивает компаниям согласованность, необходимую для обеспечения безопасности, защиты и проверки их сетей на ежедневной основе

SAFE накладывается на жизненный цикл атаки BDA

ДООбнаружение Блокировка

Защита

ВО ВРЕМЯ ПОСЛЕКонтроль

Применение политик

Сдерживание

ОхватИзоляция

Устранение

Жизненный цикл атаки

Сеть Оконечныеустройства

Мобильныеустройства

Виртуальныерешения

Облако

Момент времени Непрерывно

• Снижение сложности• Предоставление эталонной модели • Целостный взгляд на защиту всего предприятия, а не только

отдельных его компонентов• Интеграция всех компонентов между собой• Возможность поэтапной реализации

Преимущества Cisco SAFE

С чего начать?

Жизненный цикл угрозы

Защита в момент времени Непрерывная защита

Сеть ПК Мобильное устройство Виртуальная машина Облако

Жизненный цикл внутренней угрозы

ИсследованиеВнедрение политик

Укрепление

ОбнаружениеБлокированиеЗащита

ЛокализацияИзолированиеВосстановление

ДО АТАКИ ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ

Ключ к Cisco SAFE

Мы должны защитить ключевые сегменты

Взгляд со стороны инфраструктуры

Это буква «В»в модели BDA (выстраивание

системы отражения вторжений)

ДОКонтроль

Применениеполитик

Сдерживание

Взгляд со стороны эксплуатации

Не забывать про непрерывность защиты

Это буквы «D» и «А»модели BDA

(выстраивание системы реагирования на

инциденты)

Обнаружение Блокировка

Защита

ВО ВРЕМЯ ПОСЛЕОхват

ИзоляцияУстранение

Защищенное управление

Управление устройствами и системами с использованием централизованных сервисов—критически важно для согласованного внедрения политик, управления изменением потоком операций и возможности обеспечения исправления систем. Управление координирует политики,объекты и изменения

Аналитика угроз

Обеспечивает глобальное определение и агрегацию появляющегося вредоносного ПО и угроз. Предоставляет инфраструктуру для динамического применения политик, так как репутация согласуется с учетом контекста новых угроз. Таким образом обеспечивается комплексная и своевременная защита.

Соответствие требованиям

Регулирует политики, как внутренние, так и внешние.Показывает, как несколько средств управления можно реализовать в одном решении. Примеры соответствия внешним требованиям— PCI DSS, СТО БР ИББС, 382-П, ФЗ-152 и другие

Сегментация

Устанавливает границы для данных, пользователей и устройств. В традиционной ручной сегментации для применения политик используется сочетание сетевой адресации, сетей VLAN и возможностей межсетевого экрана. В усовершенствованной сегментации используется инфраструктура на основе контекстной идентификации для применения политик автоматически и с возможностью масштабирования, что значительно снижает трудности при эксплуатации

Защита от угроз

Обеспечивает мониторинг наиболее трудно выявляемых и опасных угроз (например, целенаправленных атак). Для этого используются такие возможности, как анализ телеметрии и репутации сетевого трафика, а также учет контекста. Обеспечивает возможности оценки характера и потенциального риска подозрительной деятельности в сети с целью принятия соответствующих мер для предотвращения кибератаки

Защищенные сервисы

Включает такие технологии, как управление доступом, виртуальные частные сети (VPN) и шифрование. Также обеспечивает защиту небезопасных сервисов, например, приложений, инструментов совместной работы и беспроводного доступа

Ключ к Cisco SAFE

Архитектура Cisco SAFE

Поэтапное упрощение вопроса обеспечения безопасности

Фаза возможностей Фаза архитектуры Фаза дизайна

1. Этап «Возможности»

ЦОД

Банкомат

WAN

Дочернее предприятие

Электронная коммерция

Центральный офис

Банк

Интернет-периметр

Соответствие требованиям

Разбейте сеть на элементы и области

С помощью чего мы боремся: возможности

Управлениедоступом

с использованиемTrustSec

Анализ/корреляция Обнаружениеаномалий

Анти-вредоносное ПО

Анти-спам Мониторинги контроль

приложений (AVC)

Безопасностьклиента

Cisco Cloud WebSecurity

Предотвращениеутечки данных

База данных Защитаот DDoS-атак

Шифрованиеэлектроннойпочты

Защитаэлектроннойпочты

Коммутацияфабрики

Межсетевойэкран

Межсетевойэкран

Анализ потока Идентификация Авторизация

Идентификация Авторизация

Обнаружениевторжений

Предотвращениевторжений

Коммутация L2 Виртуальнаякоммутация L2

Сеть L2/L3

Сеть L2/L3 Коммутация L3 Балансировщикнагрузки

Регистрацияв журнале/отчетность

Песочницадля вредоносного ПО

Управлениемобильнымиустройствами

Мониторинг Политики/конфигурация

• Говоря о возможностях, мы упрощаем принятие решения, так как внимание фокусируется на функциях защиты, а не на самом продукте или его фичах

• Нам нужен не Cisco ASA или Firepower, нам нужно разграничение сетевого доступа

• У Cisco это может быть решено с помощью- Многофункциональных устройств ASA или Firepower- Маршрутизатора ISR с IOS Firewall- Виртуального МСЭ ASAv или VSG- Маршрутизатора ASR с IOS Firewall- Облачного МСЭ Meraki- Коммутаторов Catalyst 6000 с модулем МСЭ…

Возможности

Место в сети ДоверенныеНедоверенные

Межсетевой экран

Сеть L2/L3Оценка состояния

МСЭ веб-приложений

Балансировщикнагрузки

Защита от DDoS-атакДоступ

Управлениеуязвимостями

Политики/конфигурация

МониторингРегистрацияв журнале/отчетность

Мониторинги контроль

приложений (AVC)

Анализ/корреляция

Безопасность веб-трафика

Совместно используемые

База данных

Сервер

Хранение

Приложение

Угрозы

Проникновение наружу

Трояны

Черви

Шпионское ПО

Сервисы

Предотвращениевторжений

Стратегия возможностей

Видео

Управлениеуязвимостями

Аналитика угроз

Голос

Клиент

Хранение

Сервер

МСЭвеб-приложений

РазгрузкаTLS

Синхронизациявремени

VPN-концентратор

Оценкасостояния

Безопасностьвеб-трафика

Репутация/фильтрациявеб-трафика

Обнаружениевторжений

в беспроводнойсети

Беспроводноеподключение

Виртуальнаячастная сеть

Политики/Конфигурация

Анализ/Корреляция

Обнаружениеаномалий

Анти-вредоносное ПО

Мониторинги контрольприложений

Безопасностьклиента

Cisco Cloud WebSecurity

Отказв обслуживании

(DDoS)

Мониторинг

Управление мобильнымиустройствами

Защитаэлектроннойпочты

МСЭ

Анализ потока

Обнаружениевторжений

Предотвращениевторжений

Сетеваяинфраструктура

Песочницадля вредоносного

ПО

Предотвращениевторжений

в беспроводнойсети

ОблакоОбщ. доступ

СЕТЬКЛИЕНТ

СРЕДА

БЕЗОПАСНОСТЬ

ОБЩИЕ

Возможности SAFE

Доступ

ПРИЛОЖЕНИЕ

Балансировканагрузки

ПОЛЬЗОВАТЕЛЬ

Динамика развития возможностей

ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ

ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО БЕСПРОВОДНАЯ

СЕТЬ

Безопасностьсервера

Регистрацияв журнале/отчетность

Мостконференции

Анализ потока

Сеть L2/L3

МСЭАнтивре-доносное ПО

Аналитика угроз

к внешним зонам

Управление доступом +TrustSec

к комплексу зданий

к облаку

Межсетевой экран нового поколения

Зоны обще-

доступ-ных

серверов Сеть L2/L3

Мониторинг и контроль приложений (AVC)

Безопасностьвеб-трафика

Защитаэлектроннойпочты

Система предотвра-щениявторжений нового поколения

Отказв обслужи-вании(DDoS)VPN-

концентратор

Безопасность хоста

МСЭ веб-приложений

Баланси-ровщикнагрузки

Транспорти-ровкаРазгрузка функций безопасности транспортного уровня

Интернет

SAFE упрощает обеспечение ИБ: периметр

Безопасность хоста

Беспроводная сеть

Беспроводная сетьПредотвращение вторжений в беспроводной сети

Оценкасостояния

Управление доступом +TrustSec

Анализ потока

Сеть L2/L3

Сеть L2/L3Безопасность хоста

Оценкасостояния

Управление доступом +TrustSec

Анализ потока

Сервисы безопасности веб-трафика

МСЭ Система предотвращения вторжений нового поколения

Анти-вредоносное ПО

Анализ потока

Мониторинг и контроль приложений (AVC)

Аналитика угроз

VPN

Менеджер, анализирующий информацию о продукте

Оператор, обрабатывающий транзакции по кредитным картам

Контроллер беспроводной сети

Коммутатор Межсетевой экран нового поколения/маршрутизатор

к ЦОД

к облаку

WAN

SAFE упрощает обеспечение ИБ: филиал

Безопасность хоста

Беспроводная сеть

Предотвра-щениевторженийв беспроводнойсети

Оценкасостояния

Управление доступом +TrustSec

Анализ потока

Сеть L2/L3

Сеть L2/L3Безопасность хоста Идентификация Оценкасостояния

МСЭ Система предотвра-щениявторжений нового поколения

Антивре-доносное ПО

Анализ потокаАналитика угроз

VPN

Председатель правления, отправляющий электронные сообщения акционерам

Менеджер по работе с клиентами, анализирующий базу данных клиентов

Контроллер беспроводной сети

Коммутатор Межсетевой экран нового поколения

к ЦОДWAN

Иденти-фикация

Управление мобильными устройствами

Анализ потокаУправление доступом +TrustSec

Управление доступом +TrustSec

Управление доступом +TrustSec

Маршрутизатор

SAFE упрощает обеспечение ИБ: комплекс зданий

Сеть L2/L3

Управление доступом +TrustSec

к комплексу зданий

Зона общих сервисов

Система предотвра-щениявторжений нового поколения

Зона сервера приложений

Зона соответствия

стандартам PCI

Зона базы данных

Анализ потока

Безопасность хоста

Баланси-ровщикнагрузки

Анализ потока

МСЭ

Антивре-доносное ПО

Анали-тика угроз

Управление доступом +TrustSec

Система предотвра-щениявторжений нового поколения

Межсетевой экран нового поколения Маршрутизатор

Сеть L2/L3МСЭ VPN

Коммута-тор

МСЭ веб-приложений

Централизованное управление

Политики/Конфигурация

Мониторинг/контекст

Анализ/корреляция

Аналитика

Регистрация в журнале/отчетность

Аналитика угроз

Управлениеуязвимостями

Мониторинг

к периметру

Виртуализированные функции

WAN

SAFE упрощает обеспечение ИБ: ЦОД

к периметру

Зона общих

сервисов

Cisco Cloud Web Security

Облачный сервис CRM

Интернет

Интернет

Сервис поиска в Интернете

Аналитика угроз

Безопасность хоста

Мониторинг и контроль приложений (AVC)

Анти-вредоносное ПО

Обнаружение аномалий

Репутация/ фильтрация веб-трафика

к филиалу

SAFE упрощает обеспечение ИБ: облако

к периметру

Интернет

Инженерпо эксплуатации,

размещающий заказ

на выполнение работ

Технический специалист,

удаленно проверяющий

журналы

Заказчик, обновляющий

профиль

Безопасность хоста

Иденти-фикация

Оценка состояния

МСЭ Антивре-доносное ПО

Репутация/ фильтрация веб-трафика

Система предотвращения вторжений нового поколения

VPN

VPN

Безопасность хоста

Безопасность хоста

Межсетевой экран нового поколения

ВНЕШНИЕ ЗОНЫ

SAFE упрощает обеспечение ИБ:внешние зоны

Разведка Доставка

ЦЕЛЬ

Управление Действия

ВЗЛОМ

Запуск Эксплойт Инсталляция

ЗАРАЖЕНИЕ

Всесторонняя инфраструктура защиты

NGIPS

NGFW

Анализ аномалий

NetworkAnti-

Malware

NGIPS

NGFW

HostAnti-

MalwareDNSЗащита

DNS

ЗащитаWeb

ЗащитаEmail

NGIPS

DNSЗащита DNS

ЗащитаWeb

NGIPS

Threat Intelligence

SAFE для вымогателей

• Думайте как хакер и попробуйте взломать себя

• Думайте как аудитор и попробуйте пройти аудит

Моделирование возможностей

Это не страшно!

• Маппируйте риски, угрозы и требования

• Найдите и нейтрализуйте все пробелы

• Оцените каждую возможность; если вы не можете ее реализовать -уберите

Описание возможностей

Угроза Актуальнаяугроза

Требование Возможность

ВредоносноеПО

Да Да AntiAPT / BDS / AV / NBAD

Утечки данных Да Нет DLP / СКЗИ

DDoS Нет Нет Anti-DDoS

Превышение привилегий

Да Да Разграничение доступа

НДВ Нет Нет SAST/DAST

Нет Нет

…

2. Этап «Архитектура»

• Создание традиционного представления архитектуры • Сопоставление возможностей с архитектурой • Создание архитектуры, которая будет лучше всего отражать

идентифицированные угрозы

Создание архитектуры безопасности

Примерные компоненты архитектуры

Коммутатор L3

Балансировщик нагрузкиNexus 1Kv

Маршрутизатор

Защищенный сервер Хранение

МСЭ Контроллербеспроводной сети

Обнаружение вторжений

Защита электронной почты

• Какие возможности нужны?• Какие компоненты архитектуры их могут реализовать?

Компоненты архитектуры и возможности

Коммутатор L3МСЭ

Коммутаторуровня доступа

Место в сети ДоверенныеНедоверенные

Управлениеуязвимостями

Политики/конфигурация

МониторингРегистрация в журнале/отчетность

Мониторинги контроль

приложений (AVC)

Анализ/корреляция

Совместно используемыеУгрозы

Проникновение наружу

Трояны

Черви

Шпионское ПО

Сервисы

Устройство

Хранение

Защищенный серверКоммутаторс агрегацией сервисов

Устройство обеспечениябезопасности

Стратегия архитектуры

3. Этап «Дизайн»

• Создание традиционного представления дизайна• Выбор продуктов, содержащих функциональные возможности,

определенные в архитектуре• Создание дизайна, наиболее подходящего для отражения ранее

определенных угроз, и учитывающего дополнительные потребности инфраструктуры, например, высокую доступность, производительность и затраты

Создание дизайнов для обеспечения безопасности

Примеры компонентов дизайна

Блейд-сервер

КоммутаторCatalyst для ЦОД

Защитаэлектронной почты

FirePOWERУстройство

МСЭ

Обнаружениевторжений

Коммутатор L3

Балансировщикнагрузки

Nexus 1Kv

КоммутаторNexus для ЦОД

КоммутаторNexus для фабрики

КоммутаторNexus

Место в сети ДоверенныеНедоверенные

Управлениеуязвимостями

Политики/конфигурация

МониторингРегистрацияв журнале/отчетность

Мониторинги контроль

приложений (AVC)

Анализ/корреляция

Совместно используемыеУгрозы

Проникновение наружу

Трояны

Черви

Шпионское ПО

Сервисы

G0/0

G0/1

G0/2

E1/2

E1/1

E1/1

E1/2G0/0

G0/1

E2/1-4

E2/1-4

E2/5-8

E2/5-8

G0/3

E1/1

E1/2

E2/1-4

E2/1-4

G0/2

G0/3

E1/1

E1/2

E1/3

E1/4

P1

P2

P3

P4

P1

P2

P3

P4

E1/3

E1/4

E1/1

E1/2

E1/1

E1/2

E2/1-4

E2/1-4

E2/5-8

E1/5-8

E2/5-8

E1/5-8

E1/5-8

E1/1-4

E1/1-4

E1/5-8

P1

P2

E1/3

E1/3

SAN/NAS

UCS 5108

UCS 5108

ASA5555-x

ASA5555-x

N77-C7706

N77-C7706

WAF-BBX UCS-FI-6248UP

WAF-BBX UCS-FI-6248UP

WS-C3850-48U

Стратегия дизайна

Объединить все вместе и получить синергетический эффект

ISE Stealthwatch CTA OpenDNS AnyConnect WSA ESA NGIPS NGFW AMP for Endpoints

AMP for Networks / Content

Threat Grid

Security Packet Analyzer

Stealthwatch Learning Network

CloudLock

ISE Да Да Да Да Да Да Да Да ДаStealthwatch Да nvzFlow Да Да Да

CTA Да Да Да Да

OpenDNS Да Да ДаAnyConnect Да nvzFlow Да Да Да Да

WSA Да Да Да Да Да Да

ESA Да ДаNGIPS Да Да Да Да Да Да

NGFW Да Да Да Да Да Да Да Да

AMP for Endpoints Да Да Да Да Да Да Да

AMP for Networks/Content

Да Да Да Да Да Да Да

Threat Grid Да Да Да Да Да Да Да ДаSecurity Packet Analyzer Да ДаStealthwatch Learning Network

Да Да Да

CloudLock Да

Где взять Cisco SAFE?

Где найти?

www.cisco.com/go/cvd www.cisco.com/go/safe

Структура справочных материалов по архитектуре SAFE

Возможности создания общей картины

Архитектуры компонентов/областей

Утвержденные дизайны (CVD)

Обзор SAFE

Руководство по архитектуре

Инструкции

Краткий обзор

DIG

Возможности создания общей картины

Руководство по архитектуре

Дизайны CVD

Руководство «Обзор Safe»

Руководство по архитектуре для защищенного ЦОД

Как развертывать кластер ASA

Краткое руководство по созданию защищенного ЦОД

Создание кластера ASA с сервисами FirePOWER

На сайте Cisco документы уже есть!

Малый и средний бизнес, филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводнаясеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAvASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Удаленныеустройства

Дост

уп

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть

SDN)

АСУ ТП

CTD

IDS RA

МСЭБеспроводная

сеть

Коммутатор

Маршрутизатор

СегментацияМониторинг

На что обращает вниманиесовременный хакер?

Пора задуматься о смене стратегии

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65

Пишите на security-request@cisco.com

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/