Architektura SecureX. Ivo Němeček, CCIE #4108 Manager, Systems Engineering , Cisco Expo Praha. Cisco Public

Architektura SecureX Ivo Němeček, CCIE #4108 Manager, Systems Engineering 25.4.2012, Cisco Expo Praha

Cisco ExpoExpo Cisco

© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.

Cisco Public

1

• IT se mění a má to dopad na bezpečnost • SecureX architektura

• Bezpečný přístup a mobilita • Bezpečná síť a hranice sítě • Zabezpečené datové centrum



Cisco Public

2

INTERNÍ PŘÍSTUP

ODKUDKOLIV

ODKUDKOLIV Z ČEHOKOLIV

COKOLIV ODKUDKOLIV Z ČEHOKOLIV

VIRTUÁLNÍ FIRMA

Musíme přijít do práce, abychom měli přístup k datům

K datům máme přístup odkudkoliv z IT zařízení

K datům máme přístup odkudkoliv z jakýchkoliv zařízení

Služby vládnou nad datyů služby jsou nezávislé na zařízení

Firmy jsou virtuální, nezávilslé na místě a službách

Zařízení jsou konzumním zbožím



Služby jsou konzumním zbožím Cisco Public

3



2012: faxy



2014: bloudění



2017: pevný ethernet pro koncové uživatele



2018: laptop (nahradí ho tenký klient)



2020: © copyright



2021: oznamovací tón telefonních hovorů - - - - - - -



2027: telefonní čísla



2030: klíče



2033: mince



2045: zaměstnání (“oblak lidí” – mturk.com)



2049: papírové noviny



2050: kancelářské budovy

+420 2 2143 5111

Zdroj: http://rossdawsonblog.com/weblog/archives/2007/10/extinction_time. a Cisco Innovation workshop, December 2010



Cisco Public

4



Cisco Public

5

všechna možná zařízení, ať jsou kdekoliv

Široké spektrum aplikací data směřující do cloudu virtualizovaná datová centra A to vše proti stále komplexnějším hrozbám



Cisco Public

6

Integrovaná

Překryvná

Cloud

Síť Vhled

Kontext

Řízení

Nexus 1K a sítě připojené do cloudu

Ochrana podle kontextu Cisco Infrastructure

Řízení přístupu

Pravidla pracující s kontextem Řízení přístupu

Koncová zařízení

Cisco SIO

Aplikační programová rozhraní Správa


Služby


Partneři

Cisco Public

7

Security Intelligence Operations (SIO) Globální telemetrie pro hrozby ScanSafe: ochrana před malwarem

Cisco SensorBase

Bezpečnostní operační středisko

Propracované algoritmy

PSIRT Applied Mitigation

IP Reputation

Zpětná vazba v reálném čase

Cisco AnyConnect Endpoints

Cisco ASA Context-Aware Firewall

Edge Cisco ExpoExpo Cisco

Cisco IronPort Web Security Appliances

Cisco IronPort Email Security Appliances

Cloud © 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.

Cisco IDS/IPS Appliances/ Modules

Data Center

Cisco ScanSafe Cloud-based Security

Cisco Identity Services Engine

Branch Cisco Public

8

Dynamické prostředí podnikových sítí

Vzdálený přístup

Útoky, malware

Virtualizace

Bezpečný přístup a jednotná pravidla

Bezpečná mobilita

Síť a hranice sítě

Bezpečná datová centra a cloud

Rozlišení zařízení, uživatelů a rolí

Rozšíření firemní sítě

Ochrana přenášených dat

Ochrana mozku firmy

ISE

MACSec

VPN

Síť

ASA

AnyConnect

ISE

MACSec

ScanSafe

VPN

AnyConnect

WSA

ISE

ASA

Router

IPS

VPN

ESA

VPN

ASA

Nexus 1000V

VSG

Cisco SecureX V kontextu je síla Cisco ExpoExpo Cisco


Cisco Public

9

Bezpečný přístup

Kavárna

Kancelář

ÚLOHA Přístup podle zařízení, totožnosti a role Přístup pro hosty Cisco ExpoExpo Cisco

Prosazení pravidel od koncového zařízení až po datové centrum © 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.

Zajištění důvěrnosti v celé síti

Cisco Public

10

KDE CO

?

?

?

KDY JAK

KDO

Virtuální stroje v DC

VPN

MACSec

Datové centrum

CISCO ŘEŠENÍ Konzistentni pravidla pracující s identitou - od libovolných zařízení po datová centra Cisco ExpoExpo Cisco

Distribuce pravidel a informací do sítě


Bezpečností značky (Security Group Tagging ) pro pružné prosazení kontextových pravidel Cisco Public

11

Součásti řešení TrustSec Správa pravidel Distribuce pravidel Identity Services Engine (ISE) Identity Access Policy System

Prosazování pravidel v síti

Cat 2900/3560/3700/4500/6500, Nexus 5000/7000 přepínače, bezdrátová a směrovaná infrastruktura

Prosazování pravidel v koncových zařízeních

NAC Agent

Web Agent

Trvalý i dočasný klient pro prohlídku a léčbu

Cisco ASA, ISR, ASR 1000

802.1x Supplicant AnyConnect OS-Embedded Supplicant

Identity-Based Access Is a Feature of the Network Spanning Wired, Wireless, and VPN Cisco ExpoExpo Cisco


Cisco Public

12

Dr. Sova

Známá Známá WiFi WiFi

KONTEXTOVÁPRAVIDLA PRAVIDLA KONTEXTOVÁ PŘIPOJUJI…

PŘÍSTUP: PLNÝ

 NOvěřuji uživatele A

Přiřazuji profil podle

 Prohlížím zařízení Lékařské záznamy  Typu zařízení

 Uživatele  Zavádím konfiguraci Mobilní Is Mr. Allen‟s lab workTelePresence ready yet?  Místa Not Aplikace yet but i will let you  know the moment it

Email  Podnikové aplikace Messenger  Automatická pravidla arrives Instant

ZABEZPEČENÍ:

AnyConnect

© 2010 Cisco and/or its affiliates. All rights reserved.

ASA

ISE

Cisco Public

13 13

Veřejné WiFi Veřejné Veřejné WiFi WiFi

PRAVIDLA PRO ROAMING

PŘÍSTUP: OMEZEN N

A Lékařské záznamy Mobilní TelePresence Email Instant Messenger

ZABEZPEČENÍ:

AnyConnect


ASA

ISE

VPN

ScanSafe

Cisco Public

14 14

Dr. Sova

Známá WiFi

Přístup pro hosty

Is Mr. Allen‟s lab work ready yet? Not yet but i will let you know the moment it arrives

ZABEZPEČENÍ:

AnyConnect


ASA

ISE

VPN

ScanSafe

Cisco Public

15 15

Kompletní Guest Service včetně správy a web ověřování Pružné definované ověřovací metody (802.1X, MAB, Web Auth v různém pořadí)

Pružná definice pravidel pro ověřování, řízení přístupu podle rolí

NAC Guest Server

tiskárna MAB NAC Profiler 802.1X

RADIUS

zaměstnanec

Catalyst Switch

Web Auth

ISE Různé mětody autorizace (VLAN, Downloadable ACL, URL Redirect, SGA)

host

Postupné nasazování 802.1X (Monitor Mode, Low Impact Mode, High Security Mode)



Directory Server Profiling System pro zjišťování stavu stanic pro široké spektrum koncových zařízení

Cisco Public

16

Šifrování, SGA, SXP

RADIUS Guest sluţby Posture Profiler

Filtrování na vstupu

Uživatel na bezdrátu

Cisco ISE WLC SXP 802.1X

Uživatel na pevném připojení

Campus síť MACsec

Nexus® 7K, 5K and 2K Cat 6K Datové Centrum

Filtrování na vstupu

Filtrování na výstupu



Cisco Public

17



Útoky, malware

Virtualizace


Bezpečná mobilita






Ochrana mozku firmy

ISE

MACSec

VPN

Síť

ASA

AnyConnect

ISE

MACSec

ScanSafe

VPN

AnyConnect

WSA

ISE

ASA

Router

IPS

VPN

ESA

VPN

ASA

Nexus 1000V

VSG



Cisco Public

18

425 miliónů ÚLOHA Vysoce mobilní uživatelé potřebují přístup do sítě a ke cloud službám Cisco ExpoExpo Cisco

Široké spektrum mobilních zařízení uživatelů ztěžuje definici pravidel © 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.

Ztráta zařízení zvyšuje riziko ztráty dat a porušování norem Cisco Public

19

Libovolný uživatel s libovolným zařízením

Cisco AnyConnect Access přepínače

ISR

ASA TrustSec

WSA

Interní, cloud & sociální aplikace

CISCO ŘEŠENÍ Bezpečné připojení Šifrování MACsec na celé trase Hybridní bezpečnost webu


Široká podpora zařízení: Windows XP/7,MAC OSX, Linux, Apple iOS (iPhone & iPad), Nokia Symbian, Webos, Windows Mobile, Android* © 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.

Bohaté funkce nepřetržitá ochrana hybridní (cloud nebo místní) řešení Cisco Public

20

AnyConnect klient • • Přítulné rozhraní • Funkce pro WLAN i LAN • Integrovaná správa připojení • Bohaté funkce Neustálé připojení Spolupráce s WSA a ScanSafe Integrovaná inspekce stanic Podpora pro ScanSafe cloud security Mnoho podporovaných zařízení a OS



Cisco Public

21

Hybridní ochrana web komunikace s AnyConnect klientem

AnyConnect

Novinky

Email

Sociální sítě

Podnikové SaaS

Sdílení informací mezi ASA a WSA

ASA

Cisco Web Security Appliance

Firemní AD



Cisco Public

22

ZABEZPEČENÍ:

AnyConnect


MACSec

VPN

Web Security Appliance

Cisco Public

23 23

ZABEZPEČENÍ:

AnyConnect


MACSec

VPN

Web Security Appliance

ScanSafe Cisco Public

24 24

Hybridní ochrana webu komunikace s ISR směrovači Pobočka

ISR

Bezpečný přístup do internetu Internet

Cisco IOS Firewall

Cisco IOS Firewall

Local LAN

POS

Zóna pevného připojení


Cisco IOS IPS

Guest Users

ASR

Ústředí

Zóna bez drátů


Cisco Public

25

ISR

ZABEZPEČENÍ:

Firewall


IPS

VPN

ScanSafe

ISE

Cisco Public

26 26

ZABEZPEČENÍ:

ASA


IPS

VPN

ScanSafe

ISE

AnyConnect Cisco Public

27 27

ISR

ASA


IPS

VPN

E1 SPOJ

ScanSafe

ISE

AnyConnect Cisco Public

28 28



Útoky, malware

Virtualizace


Bezpečná mobilita






Ochrana mozku firmy

ISE

MACSec

VPN

Síť

ASA

AnyConnect

ISE

MACSec

ScanSafe

VPN

AnyConnect

WSA

ISE

ASA

Router

IPS

VPN

ESA

VPN

ASA

Nexus 1000V

VSG



Cisco Public

29

Zabezpečení

FW | IPS

VPN

Web

Email

IPS

Správa

Kontextová pravidla

Premise | Cloud | Virtual

Síťová infrastruktura


Inspekce

Připojení

Řízení

Vhled do aplikací

Služby IOS pro VPN a cloud

Snadná správa


Cisco Public

30

VHLED DO APLIKACÍ

ROZPOZNÁNÍ HROZEB

VPN & PŘÍSTUP

STAVOVÝ FW & IPS Cisco ExpoExpo Cisco


ŠKATULE MODULY VIRTUÁLNÍ

Cisco Public

31

ASA 5585-X SSP-60 (40 Gbps)

ASA firewally střední třídy

ASA 5585 –X SSP-40 (20 Gbps)

ASA 5585-X SSP-20 (10 Gbps)

ASA 5585-X SSP-10 (4 Gbps) New

ASA 5555-X (4* Gbps, 1M Conn.) New

ASA 5545-X

Výkon a rozšiřitelnost

New

(3* Gbps, 750K Conn.)

ASA 5525-X New


ASA 5515-X (1.2* Gbps, 250K Conn.) New

ASA 5512-X

ASA 5540


(650 Mbps, 650K Conn.)

ASA 5520 (450 Mbps, 400K Conn.)

ASA 5510 ASA 5505



ASA 5550 (1.2 Gbps)

SOHO


Pobočky

Internet přístup


Kampus

* Výkon bude upřesněn

Datová centra

Cisco Public

32

Nová ASA CX Kontextový firewall Aktivní a pasivní ověřování

Vhled do aplikací a jejich řízení Identifikace zařízení Reputační filtrování

Místa připojení



Cisco Public

33

TLS & SSL

HTTP

MSRPC

FTP

Scanner „N‟

Virtuální paketové prstence

Připojitelná kontextová úloţiště

Kontextový Policy Engine

nScan pole

Datová vrstva pracující s kontextem



Cisco Public

34

ASA 5585-X MultiScale™ Počet paralelních spojení 10 millionů

Počet spojení za sekundu 350,000 CPS

Funkce FW, IPS, vzdálený přístup

Propustnost Aţ 40 Gbps FW 10 Gbps IPS Modularita, pruţnost nasazení



Cisco Public

35

ASA 5585-X MultiScale Cluster Vlastník

1: Aktualizace stavue

SYN

SYN

Server

Director

Client

ASA Cluster Zasílatel

•

Director je zvolen per spojení pomocí hashing algoritmu

•

Director slouţí jako záloha pro případ selhání vlastníka

•

Optimalizace můţe vypustit kroky 2 a 3 pokud je to potřeba


Cisco Public

36 36

ASA 5585-X MultiScale Cluster Owner


SYN

Vnitřní síť

SYN

Server

Vnější síť

Director

Client SYN/ACK

ASA Cluster Odesílatel

•


•


•



Cisco Public

37 37


Vnitřní síť

SYN


SYN

Server

Vnější síť

Director 2: Dotaz na vlastnííka

3:Pozice vlastníka

Client

SYN/ACK


•


•


•



Cisco Public

38 38


SYN/ACK

Director 2: Dotaz na vlastnííka

3:Pozice vlastníka

Client

Po kroku 4, všechny další pakety jsou posílány přímo vlastníkovi

Vnitřní síť

SYN

1: Aktualizace 1: State update stavue

SYN

Server

Vnější síť

SYN/ACK


•


•


•



Cisco Public

39 39

MultiScale™ výkon

320G 112G


160G 64G 80G 32G 40G 20G


Cisco Public

40

Cisco IPS Innovations in Threat Management

Cisco SIO IPS Attackers

Attacks

REPUTATION FILTER

TRAFFIC CLEANSING

Data Center

GLOBAL CORRELATION INSPECTION

SIGNATURE TECHNOLOGY

Perimeter

Campus



Cisco Public

41

Aktualizace signatur

Aktualizace sw

Globální korelace

Industriální protokoly

Cisco Security Intelligence Operations

Normalizační modul

Modulární inspekční kód

Lokální korelační modul

Řídící pravidla podle rizika

Reputační filtr

Výběr virtuálního sensoru

Forenzní analýza

OUT

IN Cisco ExpoExpo Cisco

Blokování a výstrahy


Cisco Public

42

Cisco IPS produktové řady ASA5585-P40S40 ASA5585-P60S60 ASA5585-P10S1 ASA5585-P20S20

ASA 5500-X Series ASA 5512-X IPS

ASA 5500 Series

ASA5510-AIP10 ASA5510-AIP20

ASA 5555-X IPS ASA 5545-X IPS ASA 5525-X IPS ASA 5515-X IPS

ASA5520-AIP10 ASA5520-AIP20 ASA5520-AIP40

ASA5540-AIP20 ASA5540-AIP40

IPS 4360

IPS 4270

IPS 4300 and 4200 Series

IPS 4345 IPS 4260 IPS 4240 IPS 4255

Catalyst 6500 IDSM2 bundle IDSM2

Catalyst 6500

IPS NME

ISR

IOS IPS

Střední

Malé

Velké

Velikost organizace Cisco ExpoExpo Cisco


Cisco Public

43

Zařízení

Hybridní

Cloud

BEZPEČNOST

ŘÍZENÍ

Ochrana proti malwaru Ochrana před ztrátou dat

Ochrana webu a řízení aplikací řízení SaaS přístupu

Centralizovaná správa a výkazy Bezpečná mobilita



Cisco Public

44

Zařízení

Cloud

Hybridní

Spravovaná

Ochrana před hrozbami

Bezpečnost dat

Ochrana před viry a spamem Cílení ochrana před hrozbami

Ochrana před ztrátou dat Šifrování

Viditelnost do dat a řízení Podpora více zařízení



Cisco Public

45

Vícevrstvá ochrana na vstupu Vstup

Reputation Filtering

Anti-Spam

Anti-Virus

Virus Outbreak Filters

Asyncos™ MTA Platform

Encryption

Remediation

DLP

Content Filter

Výstup Cisco ExpoExpo Cisco


Cisco Public

46

Vícevrstvá ochrana na výstupu Vstup

Reputation Filtering

Anti-Spam

Anti-Virus

Virus Outbreak Filters

Asyncos™ MTA Platform

Encryption

Remediation

DLP

Content Filter

Výstup Cisco ExpoExpo Cisco


Cisco Public

47



Útoky, malware

Virtualizace


Bezpečná mobilita






Ochrana mozku firmy

ISE

MACSec

VPN

Síť

ASA

AnyConnect

ISE

MACSec

ScanSafe

VPN

AnyConnect

WSA

ISE

ASA

Router

IPS

VPN

ESA

VPN

ASA

Nexus 1000V

VSG



Cisco Public

48

Připojení partnerů

PRIVÁTNÍ CLOUD


ZABEZPEČENÍ:

Nexus 1000V


VSG

ASA

VPN

Cisco Public

49 49

OBTÍŢE Snížená viditelnost dat Nezabezpečená bílá místa Cisco ExpoExpo Cisco

Menší zkušenost s novými technologiemi

Rozšiřování kapacit bezpečnostních řešení

Koordinace kompetencí © 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.

Cisco Public

50

1. vMotion přesouvá VM mezi fyzickými porty—pravidla v síti musí následovat vMotion (přes racky, řady, DCs)

2. Potřebujeme vidět lokálně přepínaná data a aplikovat na ně pravidla

Port Group

Správce bezpečnosti

3. Musíme zajistit oddělení rolí pro zachování nepřerušeného provozu Správce serverů Správce sítě



Cisco Public

51

Virtual Security Gateway

PRIVÁTNÍ CLOUD

ASA1000V

Nexus 1000V Switch

Datové centrum FW, IPS (ASA)

Partner Connection


ZABEZPEČENÍ:

Nexus 1000V


VSG

ASA

VPN

Cisco Public

52 52

Orchestrace / cloud portály Virtual Network Management Center

VSG

ASA 1000V

VM 1

VM 2

Rozšiřuje existující pracovní postupy do virtuálního prostředí Rozšiřuje síťové služby do virtuálního prostředí

VM 3

Rozšiřuje síťovou infrastrukturu do virtuálního prostředí

Nexus 1000V

vPath

Výpočetní prostředí (e.g. UCS) Virtualizované


Pružné


Řízené pravidly

Multi-tenant

Cisco Public

53

VMkernal VSG vEth

vEth

vEth

vEth

Mgmt

Storage

Produkce vPath Nexus 1000V

VMNIC 1

VMNIC 2

VMNIC 3

ASA 1000V

VMNIC 4

Management Network Production Network

Production Network Cisco ExpoExpo Cisco

vCenter © 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.

VNMC

Storage Cisco Public

54


VÝSLEDEK

Nexus 1000V


VSG

ASA

VPN

Cisco Public

55 55

Business pravidla Kdo

Kdy

Jak

Kde

Kdy

Porozumění hrozbám SensorBase

Prosazení v síti


V síťové infrastruktuře

Operační středisko

Překryvné, výkonné


Dyn. aktualizace

Připojené do cloudu

Cisco Public

56

Děkuji

Architektura SecureX. Ivo Němeček, CCIE #4108 Manager, Systems Engineering , Cisco Expo Praha. Cisco Public

Recommend Documents