Date post: | 16-Apr-2017 |
Category: |
Technology |
Upload: | cisco-russia |
View: | 93 times |
Download: | 8 times |
Архитектура безопасности Cisco SAFE
Что лучше – зоопарк или целостная система?
Сложность системы увеличивает вероятность ошибки!
Точечные продукты не умеют «говорить» друг с другом
Излишняя фокусировка на предотвращении
Вендоры продают решения для борьбы с сегодняшними угрозами…
Cisco SAFE - это решение названных задач
Как защитить ваш центр обработки данных?
Что нужно для защиты данных, циркулирующих между сегментами с высокими и низкими требованиями по безопасности?
Как защитить данные платежных карт в местах снятия наличных?
Каковы лучшие практики по защите данных платежных карт, передаваемых по беспроводной сети?
Cisco SAFE
Это действия и противодействия
Это теория игр
Упрощенная, но действенная модель
SAFE – это модель
Мы стартуем с определения актуальных угроз…
С чем мы боремся:угрозы
Перенаправление
Добавление услуг
Черви
Вирусы
Пользователи,выдающие себя за других
Шпионское ПО
Утечки
Трояны
Шпионские программы
Зомби
Командаи управление
DDoS
Атаки нулевого дня
Разрушение
Просачивание наружу
Проникновение
…и защищаемся от них
• SAFE снижает сложность
• Игровая модель позволяет упростить общение на одном языке
• Достоверные и проверенные архитектуры и дизайны с базовым уровнем безопасности
Что такое SAFE?
• SAFE позволяет решить операционные проблемы на всем жизненном цикле атаки «До — Во время — После» (Before – During – After)
• SAFE обеспечивает компаниям согласованность, необходимую для обеспечения безопасности, защиты и проверки их сетей на ежедневной основе
SAFE накладывается на жизненный цикл атаки BDA
ДООбнаружение Блокировка
Защита
ВО ВРЕМЯ ПОСЛЕКонтроль
Применение политик
Сдерживание
ОхватИзоляция
Устранение
Жизненный цикл атаки
Сеть Оконечныеустройства
Мобильныеустройства
Виртуальныерешения
Облако
Момент времени Непрерывно
• Снижение сложности• Предоставление эталонной модели • Целостный взгляд на защиту всего предприятия, а не только
отдельных его компонентов• Интеграция всех компонентов между собой• Возможность поэтапной реализации
Преимущества Cisco SAFE
С чего начать?
Жизненный цикл угрозы
Защита в момент времени Непрерывная защита
Сеть ПК Мобильное устройство Виртуальная машина Облако
Жизненный цикл внутренней угрозы
ИсследованиеВнедрение политик
Укрепление
ОбнаружениеБлокированиеЗащита
ЛокализацияИзолированиеВосстановление
ДО АТАКИ ВО ВРЕМЯ АТАКИ
ПОСЛЕ АТАКИ
Ключ к Cisco SAFE
Мы должны защитить ключевые сегменты
Взгляд со стороны инфраструктуры
Это буква «В»в модели BDA (выстраивание
системы отражения вторжений)
ДОКонтроль
Применениеполитик
Сдерживание
Взгляд со стороны эксплуатации
Не забывать про непрерывность защиты
Это буквы «D» и «А»модели BDA
(выстраивание системы реагирования на
инциденты)
Обнаружение Блокировка
Защита
ВО ВРЕМЯ ПОСЛЕОхват
ИзоляцияУстранение
Защищенное управление
Управление устройствами и системами с использованием централизованных сервисов—критически важно для согласованного внедрения политик, управления изменением потоком операций и возможности обеспечения исправления систем. Управление координирует политики,объекты и изменения
Аналитика угроз
Обеспечивает глобальное определение и агрегацию появляющегося вредоносного ПО и угроз. Предоставляет инфраструктуру для динамического применения политик, так как репутация согласуется с учетом контекста новых угроз. Таким образом обеспечивается комплексная и своевременная защита.
Соответствие требованиям
Регулирует политики, как внутренние, так и внешние.Показывает, как несколько средств управления можно реализовать в одном решении. Примеры соответствия внешним требованиям— PCI DSS, СТО БР ИББС, 382-П, ФЗ-152 и другие
Сегментация
Устанавливает границы для данных, пользователей и устройств. В традиционной ручной сегментации для применения политик используется сочетание сетевой адресации, сетей VLAN и возможностей межсетевого экрана. В усовершенствованной сегментации используется инфраструктура на основе контекстной идентификации для применения политик автоматически и с возможностью масштабирования, что значительно снижает трудности при эксплуатации
Защита от угроз
Обеспечивает мониторинг наиболее трудно выявляемых и опасных угроз (например, целенаправленных атак). Для этого используются такие возможности, как анализ телеметрии и репутации сетевого трафика, а также учет контекста. Обеспечивает возможности оценки характера и потенциального риска подозрительной деятельности в сети с целью принятия соответствующих мер для предотвращения кибератаки
Защищенные сервисы
Включает такие технологии, как управление доступом, виртуальные частные сети (VPN) и шифрование. Также обеспечивает защиту небезопасных сервисов, например, приложений, инструментов совместной работы и беспроводного доступа
Ключ к Cisco SAFE
Архитектура Cisco SAFE
Поэтапное упрощение вопроса обеспечения безопасности
Фаза возможностей Фаза архитектуры Фаза дизайна
1. Этап «Возможности»
ЦОД
Банкомат
WAN
Дочернее предприятие
Электронная коммерция
Центральный офис
Банк
Интернет-периметр
Соответствие требованиям
Разбейте сеть на элементы и области
С помощью чего мы боремся: возможности
Управлениедоступом
с использованиемTrustSec
Анализ/корреляция Обнаружениеаномалий
Анти-вредоносное ПО
Анти-спам Мониторинги контроль
приложений (AVC)
Безопасностьклиента
Cisco Cloud WebSecurity
Предотвращениеутечки данных
База данных Защитаот DDoS-атак
Шифрованиеэлектроннойпочты
Защитаэлектроннойпочты
Коммутацияфабрики
Межсетевойэкран
Межсетевойэкран
Анализ потока Идентификация Авторизация
Идентификация Авторизация
Обнаружениевторжений
Предотвращениевторжений
Коммутация L2 Виртуальнаякоммутация L2
Сеть L2/L3
Сеть L2/L3 Коммутация L3 Балансировщикнагрузки
Регистрацияв журнале/отчетность
Песочницадля вредоносного ПО
Управлениемобильнымиустройствами
Мониторинг Политики/конфигурация
• Говоря о возможностях, мы упрощаем принятие решения, так как внимание фокусируется на функциях защиты, а не на самом продукте или его фичах
• Нам нужен не Cisco ASA или Firepower, нам нужно разграничение сетевого доступа
• У Cisco это может быть решено с помощью- Многофункциональных устройств ASA или Firepower- Маршрутизатора ISR с IOS Firewall- Виртуального МСЭ ASAv или VSG- Маршрутизатора ASR с IOS Firewall- Облачного МСЭ Meraki- Коммутаторов Catalyst 6000 с модулем МСЭ…
Возможности
Место в сети ДоверенныеНедоверенные
Межсетевой экран
Сеть L2/L3Оценка состояния
МСЭ веб-приложений
Балансировщикнагрузки
Защита от DDoS-атакДоступ
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрацияв журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Безопасность веб-трафика
Совместно используемые
База данных
Сервер
Хранение
Приложение
Угрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
Предотвращениевторжений
Стратегия возможностей
Видео
Управлениеуязвимостями
Аналитика угроз
Голос
Клиент
Хранение
Сервер
МСЭвеб-приложений
РазгрузкаTLS
Синхронизациявремени
VPN-концентратор
Оценкасостояния
Безопасностьвеб-трафика
Репутация/фильтрациявеб-трафика
Обнаружениевторжений
в беспроводнойсети
Беспроводноеподключение
Виртуальнаячастная сеть
Политики/Конфигурация
Анализ/Корреляция
Обнаружениеаномалий
Анти-вредоносное ПО
Мониторинги контрольприложений
Безопасностьклиента
Cisco Cloud WebSecurity
Отказв обслуживании
(DDoS)
Мониторинг
Управление мобильнымиустройствами
Защитаэлектроннойпочты
МСЭ
Анализ потока
Обнаружениевторжений
Предотвращениевторжений
Сетеваяинфраструктура
Песочницадля вредоносного
ПО
Предотвращениевторжений
в беспроводнойсети
ОблакоОбщ. доступ
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Возможности SAFE
Доступ
ПРИЛОЖЕНИЕ
Балансировканагрузки
ПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО БЕСПРОВОДНАЯ
СЕТЬ
Безопасностьсервера
Регистрацияв журнале/отчетность
Мостконференции
Анализ потока
Сеть L2/L3
МСЭАнтивре-доносное ПО
Аналитика угроз
к внешним зонам
Управление доступом +TrustSec
к комплексу зданий
к облаку
Межсетевой экран нового поколения
Зоны обще-
доступ-ных
серверов Сеть L2/L3
Мониторинг и контроль приложений (AVC)
Безопасностьвеб-трафика
Защитаэлектроннойпочты
Система предотвра-щениявторжений нового поколения
Отказв обслужи-вании(DDoS)VPN-
концентратор
Безопасность хоста
МСЭ веб-приложений
Баланси-ровщикнагрузки
Транспорти-ровкаРазгрузка функций безопасности транспортного уровня
Интернет
SAFE упрощает обеспечение ИБ: периметр
Безопасность хоста
Беспроводная сеть
Беспроводная сетьПредотвращение вторжений в беспроводной сети
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сеть L2/L3
Сеть L2/L3Безопасность хоста
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сервисы безопасности веб-трафика
МСЭ Система предотвращения вторжений нового поколения
Анти-вредоносное ПО
Анализ потока
Мониторинг и контроль приложений (AVC)
Аналитика угроз
VPN
Менеджер, анализирующий информацию о продукте
Оператор, обрабатывающий транзакции по кредитным картам
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения/маршрутизатор
к ЦОД
к облаку
WAN
SAFE упрощает обеспечение ИБ: филиал
Безопасность хоста
Беспроводная сеть
Предотвра-щениевторженийв беспроводнойсети
Оценкасостояния
Управление доступом +TrustSec
Анализ потока
Сеть L2/L3
Сеть L2/L3Безопасность хоста Идентификация Оценкасостояния
МСЭ Система предотвра-щениявторжений нового поколения
Антивре-доносное ПО
Анализ потокаАналитика угроз
VPN
Председатель правления, отправляющий электронные сообщения акционерам
Менеджер по работе с клиентами, анализирующий базу данных клиентов
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения
к ЦОДWAN
Иденти-фикация
Управление мобильными устройствами
Анализ потокаУправление доступом +TrustSec
Управление доступом +TrustSec
Управление доступом +TrustSec
Маршрутизатор
SAFE упрощает обеспечение ИБ: комплекс зданий
Сеть L2/L3
Управление доступом +TrustSec
к комплексу зданий
Зона общих сервисов
Система предотвра-щениявторжений нового поколения
Зона сервера приложений
Зона соответствия
стандартам PCI
Зона базы данных
Анализ потока
Безопасность хоста
Баланси-ровщикнагрузки
Анализ потока
МСЭ
Антивре-доносное ПО
Анали-тика угроз
Управление доступом +TrustSec
Система предотвра-щениявторжений нового поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть L2/L3МСЭ VPN
Коммута-тор
МСЭ веб-приложений
Централизованное управление
Политики/Конфигурация
Мониторинг/контекст
Анализ/корреляция
Аналитика
Регистрация в журнале/отчетность
Аналитика угроз
Управлениеуязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
SAFE упрощает обеспечение ИБ: ЦОД
к периметру
Зона общих
сервисов
Cisco Cloud Web Security
Облачный сервис CRM
Интернет
Интернет
Сервис поиска в Интернете
Аналитика угроз
Безопасность хоста
Мониторинг и контроль приложений (AVC)
Анти-вредоносное ПО
Обнаружение аномалий
Репутация/ фильтрация веб-трафика
к филиалу
SAFE упрощает обеспечение ИБ: облако
к периметру
Интернет
Инженерпо эксплуатации,
размещающий заказ
на выполнение работ
Технический специалист,
удаленно проверяющий
журналы
Заказчик, обновляющий
профиль
Безопасность хоста
Иденти-фикация
Оценка состояния
МСЭ Антивре-доносное ПО
Репутация/ фильтрация веб-трафика
Система предотвращения вторжений нового поколения
VPN
VPN
Безопасность хоста
Безопасность хоста
Межсетевой экран нового поколения
ВНЕШНИЕ ЗОНЫ
SAFE упрощает обеспечение ИБ:внешние зоны
Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
Всесторонняя инфраструктура защиты
NGIPS
NGFW
Анализ аномалий
NetworkAnti-
Malware
NGIPS
NGFW
HostAnti-
MalwareDNSЗащита
DNS
ЗащитаWeb
ЗащитаEmail
NGIPS
DNSЗащита DNS
ЗащитаWeb
NGIPS
Threat Intelligence
SAFE для вымогателей
• Думайте как хакер и попробуйте взломать себя
• Думайте как аудитор и попробуйте пройти аудит
Моделирование возможностей
Это не страшно!
• Маппируйте риски, угрозы и требования
• Найдите и нейтрализуйте все пробелы
• Оцените каждую возможность; если вы не можете ее реализовать -уберите
Описание возможностей
Угроза Актуальнаяугроза
Требование Возможность
ВредоносноеПО
Да Да AntiAPT / BDS / AV / NBAD
Утечки данных Да Нет DLP / СКЗИ
DDoS Нет Нет Anti-DDoS
Превышение привилегий
Да Да Разграничение доступа
НДВ Нет Нет SAST/DAST
Нет Нет
…
2. Этап «Архитектура»
• Создание традиционного представления архитектуры • Сопоставление возможностей с архитектурой • Создание архитектуры, которая будет лучше всего отражать
идентифицированные угрозы
Создание архитектуры безопасности
Примерные компоненты архитектуры
Коммутатор L3
Балансировщик нагрузкиNexus 1Kv
Маршрутизатор
Защищенный сервер Хранение
МСЭ Контроллербеспроводной сети
Обнаружение вторжений
Защита электронной почты
• Какие возможности нужны?• Какие компоненты архитектуры их могут реализовать?
Компоненты архитектуры и возможности
Коммутатор L3МСЭ
Коммутаторуровня доступа
Место в сети ДоверенныеНедоверенные
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрация в журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Совместно используемыеУгрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
Устройство
Хранение
Защищенный серверКоммутаторс агрегацией сервисов
Устройство обеспечениябезопасности
Стратегия архитектуры
3. Этап «Дизайн»
• Создание традиционного представления дизайна• Выбор продуктов, содержащих функциональные возможности,
определенные в архитектуре• Создание дизайна, наиболее подходящего для отражения ранее
определенных угроз, и учитывающего дополнительные потребности инфраструктуры, например, высокую доступность, производительность и затраты
Создание дизайнов для обеспечения безопасности
Примеры компонентов дизайна
Блейд-сервер
КоммутаторCatalyst для ЦОД
Защитаэлектронной почты
FirePOWERУстройство
МСЭ
Обнаружениевторжений
Коммутатор L3
Балансировщикнагрузки
Nexus 1Kv
КоммутаторNexus для ЦОД
КоммутаторNexus для фабрики
КоммутаторNexus
Место в сети ДоверенныеНедоверенные
Управлениеуязвимостями
Политики/конфигурация
МониторингРегистрацияв журнале/отчетность
Мониторинги контроль
приложений (AVC)
Анализ/корреляция
Совместно используемыеУгрозы
Проникновение наружу
Трояны
Черви
Шпионское ПО
Сервисы
G0/0
G0/1
G0/2
E1/2
E1/1
E1/1
E1/2G0/0
G0/1
E2/1-4
E2/1-4
E2/5-8
E2/5-8
G0/3
E1/1
E1/2
E2/1-4
E2/1-4
G0/2
G0/3
E1/1
E1/2
E1/3
E1/4
P1
P2
P3
P4
P1
P2
P3
P4
E1/3
E1/4
E1/1
E1/2
E1/1
E1/2
E2/1-4
E2/1-4
E2/5-8
E1/5-8
E2/5-8
E1/5-8
E1/5-8
E1/1-4
E1/1-4
E1/5-8
P1
P2
E1/3
E1/3
SAN/NAS
UCS 5108
UCS 5108
ASA5555-x
ASA5555-x
N77-C7706
N77-C7706
WAF-BBX UCS-FI-6248UP
WAF-BBX UCS-FI-6248UP
WS-C3850-48U
Стратегия дизайна
Объединить все вместе и получить синергетический эффект
ISE Stealthwatch CTA OpenDNS AnyConnect WSA ESA NGIPS NGFW AMP for Endpoints
AMP for Networks / Content
Threat Grid
Security Packet Analyzer
Stealthwatch Learning Network
CloudLock
ISE Да Да Да Да Да Да Да Да ДаStealthwatch Да nvzFlow Да Да Да
CTA Да Да Да Да
OpenDNS Да Да ДаAnyConnect Да nvzFlow Да Да Да Да
WSA Да Да Да Да Да Да
ESA Да ДаNGIPS Да Да Да Да Да Да
NGFW Да Да Да Да Да Да Да Да
AMP for Endpoints Да Да Да Да Да Да Да
AMP for Networks/Content
Да Да Да Да Да Да Да
Threat Grid Да Да Да Да Да Да Да ДаSecurity Packet Analyzer Да ДаStealthwatch Learning Network
Да Да Да
CloudLock Да
Где взять Cisco SAFE?
Где найти?
www.cisco.com/go/cvd www.cisco.com/go/safe
Структура справочных материалов по архитектуре SAFE
Возможности создания общей картины
Архитектуры компонентов/областей
Утвержденные дизайны (CVD)
Обзор SAFE
Руководство по архитектуре
Инструкции
Краткий обзор
DIG
Возможности создания общей картины
Руководство по архитектуре
Дизайны CVD
Руководство «Обзор Safe»
Руководство по архитектуре для защищенного ЦОД
Как развертывать кластер ASA
Краткое руководство по созданию защищенного ЦОД
Создание кластера ASA с сервисами FirePOWER
На сайте Cisco документы уже есть!
Малый и средний бизнес, филиалы
Кампус Центр обработки данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active Directory
Беспроводнаясеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленныеустройства
Дост
уп
Облачный шлюз
безопасности
Облачный шлюз
безопасности
Матрица ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭБеспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
На что обращает вниманиесовременный хакер?
Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/