Как маршрутизатор cisco isr помогает выполнить требования...

© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 1

Система безопасности маршрутизатора Cisco IOS: обеспечение соответствия требованиям стандарта PCI


Система безопасности Cisco IOS обеспечивает соответствие требованиям стандарта PCI

Требование стандарта PCI Обеспечение безопасности

Требование 1 стандарта PCI: установка и поддержка конфигурации межсетевого экрана

для защиты данных

Межсетевой экран Cisco IOS

Требование 2 стандарта PCI: запрет на использование предоставляемых поставщиком

стандартных значений для системных паролей и других параметров безопасности

Программное обеспечение Cisco IOS

Требование 3 стандарта PCI: защита хранимых данных Недоступно

Требование 4 стандарта PCI: шифрование передачи данных держателей карт и

конфиденциальной информации в общедоступных сетях

Решения для VPN Cisco IOS

Требование 5 стандарта PCI: использование и регулярное обновление антивирусных

программ

Cisco IOS Scansafe Connector

Требование 6 стандарта PCI: разработка и обслуживание защищенных систем и

приложений

Функция NAC Cisco IOS

Требование 7 стандарта PCI: ограничение доступа к данным по принципу необходимого

знания

Межсетевой экран Cisco IOS на основе идентификации

Требование 8 стандарта PCI: назначение уникального идентификатора каждому

пользователю, имеющему доступ к компьютеру

Центр сертификации Cisco IOS, 802.1x

Требование 9 стандарта PCI: ограничение физического доступа к данным держателей карт Недоступно

Требование 10 стандарта PCI: отслеживание и контроль всех попыток доступа к сетевым

ресурсам и данным держателей карт

Cisco IOS Syslog, MIB и Netflow

Требование 11 стандарта PCI: регулярная проверка систем и процессов обеспечения

безопасности

Система предотвращения вторжений (IPS) Cisco IOS

Требование 12 стандарта PCI: поддержка политики, которая обеспечивает

информационную безопасность

Cisco CLI, CCP, CSM и CCE


Требование 1 стандарта PCI: установка и поддержка конфигурации межсетевого экрана для

защиты данных

Позволяет группировать физические и виртуальные интерфейсы в зоны.

Политики межсетевого экрана настроены на передачу трафика между зонами.

Простота добавления или удаления интерфейсов и их интеграции в политику межсетевого экрана

Демилитаризованная зона

Ненадежная зона

Надежная зона

Закрытая-открытая политика

Политика открытой

ДМЗ

Политика закрытой ДМЗ

Политика закрытой ДМЗ

Поддерживаемые функции

Проверка уровня 3-7 с учетом состояния

Проверка приложений: IM, POP, IMAP, SMTP/ESMTP, HTTP, SIP, Skinny, FTP, TFTP и т. д.

Фильтрация URL-адресов

Параметр для каждой политики

Прозрачный межсетевой экран

Межсетевой экран с поддержкой VRF

Интернет

Межсетевой экран Cisco IOS с политикой на основе зон


Функция безопасности

Cisco® IOS® Действие и преимущество

Шифрованный доступ через web-интерфейс

Шифрование доступа к SDM на основе web-интерфейса с помощью HTTPS.

Шифрованный доступ к CLI Telnet CLI и HTTPS защищены с помощью шифрования по протоколам SSHv2 и SSL.

Защищенный доступ к функциям управления

Протокол SNMPv3 обеспечивает защищенное управление при использовании готовых и настраиваемых приложений.

Cisco IOS поддерживает шифрование по стандартам DES и AES.

Недавно институт SANS определил самую важную проблему в области безопасности, следующую за такими основными проблемами, как пароли.

Инфраструктура открытых ключей (PKI)

Обеспечение более высокого уровня безопасности по сравнению со стандартными предраспределенными ключами.

Исключение возможности попадания предраспределенных ключей в руки злоумышленников.

Закрытый ключ, защищенный алгоритмом

RSA

Защита от использования маршрутизаторов, захваченных злоумышленниками: если злоумышленник пытается изменить конфигурацию, закрытый ключ стирается, что приводит к невозможности использования устройства.

Сервер сертификатов Облегченный сервер сертификатов, входящий в состав Cisco IOS, для упрощения развертываний.

Интеграция AAA Возможность простого хранения разрешений пользователей или групп на сервере AAA.

Проверка безопасности Предоставление журнала аудита изменений конфигурации

Доступ к интерфейсу командной строки (CLI) на

основе ролей

Предоставление отдельных наборов команд и уровней доступа.

Процесс создания политик происходит независимо от выполнения текущих операций, что способствует более эффективной подотчетности.

Настройка и регистрация событий

Регистрация изменения конфигурации для отдельных пользователей и отдельных сеансов обеспечивает достоверное ведение журналов.

Более высокий уровень прозрачности и подотчетности, большая уверенность в действии механизма отчетности.

Требование 2 стандарта PCI: запрет на использование предоставляемых поставщиком стандартных значений для системных паролей

Безопасная работа устройств Cisco IOS


Требование 4 стандарта PCI: шифрование передачи данных держателей карт

Решение Основные технологии

Стандартный протокол IPSec

Полное соответствие стандартами для взаимодействия с другими поставщиками

Расширенная сеть VPN по схеме «узел-

узел» (site-to-site)

Сеть VPN с топологией «звезда»:

Enhanced Easy VPN — динамические интерфейсы виртуальных туннелей (VTI), внедрение обратной маршрутизации, динамический проброс политики, высокая масштабируемость

Направленный IPSec + GRE или DMVPN с динамической маршрутизацией

VPN с топологией «сеть-сеть»: Динамическая многоточечная сеть VPN (DMVPN) — сети VPN по запросу (частичная mesh-топология)

VPN с топологией «любой-к-любому»: Group-Encrypted Transport (GET) VPN — отсутствие туннелей «точка-точка»

Расширенная сеть VPN

удаленного доступа

Easy VPN (IPSec): динамический проброс политики Cisco и БЕСПЛАТНЫЕ VPN-клиенты для платформ Windows, Linux, Solaris и Mac

SSL VPN: предварительная установка клиента не требуется; безопасность оконечных устройств обеспечивается с помощью защищенной настольной системы Cisco

Ведущие в отрасли решения для VPN Cisco IOS


Требование 5 стандарта PCI: использование и регулярное обновление антивирусных программ

Интернет

Web-службы безопасности и

фильтрации Scansafe

Офис предприятия

Заблокированные

URL-адреса

Заблокированные

файлы

Заблокированный

контент

Утвержденный

контент

Филиал, розничное предприятие или домашний офис

ISR G2 с

программой

Scansafe

Connector

Решение Cisco IOS по фильтрации контента и защите от вирусов, предоставляемое серверами Scansafe в облачной среде


Сервер

политики

(AAA)

Сервер

поставщика

Серверы,

предпринимающие

попытки доступа в

сеть

Учетные данные



Права доступа Уведомление

Соответствует?

Cisco Trust Agent

Требование 6 стандарта PCI: разработка и обслуживание защищенных систем и приложений с помощью установленных обновлений системы безопасности от поставщиков

Обеспечивает действие прав доступа на основе состояния безопасности оконечных устройств

Позволяет использовать только совместимые и доверенные оконечные устройства

Ограничивает доступ несовместимых устройств в сеть

Поддерживает несколько поставщиков AV и ПО для безопасности настольных систем, включая Cisco® Security Agent

Реализация

RADIUS HTTPS EAP/UDP, EAP/802.1x

Коалиция ведущих поставщиков

Функция управления доступом в сеть Cisco IOS обнаруживает и изолирует несовместимые устройства

http://www.ca.com/


Требование 7 стандарта PCI: ограничение доступа к данным по принципу необходимого знания

Поддерживает интеграцию политик межсетевого экрана на основе зон с MS Active Directory и LDAP для ограничения доступа выбранных пользователей или групп к определенным данным и (или) приложениям.

1.1.1.1 : пользователь: Иван

2.1.1.1 : пользователь: Иван

2.1.1.2 : пользователь: Мария Межсет

евой

экран

Интернет

TAG Ивана: отказать в доступе к HR,

проверить HTTP/FTP

TAG Марии: отказать в доступе к Eng,

проверить http/smtp

ограничение скорости для p2p/im Головные

офисы

Межсетевой экран Cisco IOS на основе идентификации пользователей или групп


Офис предприятия

Требование 8 стандарта PCI: назначение уникального идентификатора каждому пользователю, имеющему доступ к компьютеру

Контролирует пользователей, получающих доступ к сети

802.1x, NAC уровня 2 NAC, ACL, безопасность портов, уведомления MAC-адресов

Безопасное управление

RADIUS/TACAC+, SSH, SNMPv3

Easy VPN также поддерживает сертификаты PKI и может использовать сервер клиентского доступа Cisco® IOS® для регистрации

Соблюдение принципов идентификации

по стандарту 802.1x

Маршрутизатор

филиала

стандарта 802.1x

Маршрутизатор филиала или

домашний маршрутизатор с

клиентом EzVPN

Сервер AAA

WAN

Контролируемый доступ к сети с помощью стандарта 802.1x Cisco IOS и упрощенное развертывание инфраструктуры открытых ключей (PKI)

Цифровой

сертификат Цифровой

сертификат


Требование 10 стандарта PCI: отслеживание и контроль всех попыток доступа к сетевым ресурсам и данным держателей карт

Cisco предоставляет несколько вариантов контроля событий защиты сети

Серверы Syslog

Все компоненты Cisco IOS могут отправлять события с помощью сообщений Syslog

SNMP (через MIB)

Функция Netflow Cisco IOS

Идентификация и классификация атак

Отслеживание атак вплоть до их источника

Система управления безопасностью Cisco MARS (CS-MARS)

Допустимые инциденты

Сеансы

Правила

Проверка

Изолированные

события

Настройка

маршрутизатора

Журнал межсетевого

экрана

Настройка коммутатора

Журнал коммутатора

Настройка NAT

NetFlow

Настройка

межсетевого экрана

Событие IDS

. . .

Действие системы CS-MARS


Требование 11.4 стандарта PCI: использование систем обнаружения и предотвращения вторжений в сеть

Небольшой филиал

Филиал

Небольшой офис и удаленный

сотрудник

Офис предприятия Интернет

Применение системы предотвращения вторжений (IPS) к трафику из филиалов для уничтожения червей с зараженных компьютеров

Остановка атак до их распространения по глобальной сети

Защита маршрутизатора и локальной сети от DoS-атак

Система предотвращения вторжений (IPS) Cisco IOS обеспечивает распределенную защиту от атак

Cisco® IOS® IPS блокирует атаки в точке входа, обеспечивает безопасность полосы пропускания глобальной сети и защищает маршрутизатор и удаленную сеть от DoS-атак.

Отсутствие привязки к процессу передачи данных — возможность защиты любого типа интерфейсов LAN, WAN, WLAN в обоих направлениях трафика, включая 3G, T3/E3 и MPLS.

Поддержка сигнатур более 3 700 различных атак, использующих одну базу данных сигнатур, находящуюся на изолированных датчиках IPS Cisco.

Возможность использования настраиваемых наборов сигнатур и действий, а также автоматические загрузки обновлений сигнатур для быстрого реагирования на новые угрозы.


Требование 12 стандарта PCI: поддержка политики, которая обеспечивает информационную безопасность

Cisco предоставляет целый ряд возможностей по настройке функций и политик обеспечения безопасности на маршрутизаторах.

Интерфейс командной строки (CLI) Cisco IOS

Средства для профессионального управления конфигурацией Cisco (CCP)

Простота использования: интеллектуальные мастеры, встроенные учебники

Интеллектуальные приложения: база знаний конфигураций Cisco IOS, утвержденных центром технической поддержки (TAC)

Интегрированное управление услугами: маршрутизация, коммутация, обеспечение безопасности, беспроводная связь, качество обслуживания, голосовая связь

Cisco Security Manager (CSM)

Поддержка представлений «Устройство», «Политика» и «Топология»

Поддержка нескольких функций безопасности и устройств Cisco (ASA, ISR, IPS)

Система настройки Cisco Configuration Engine (CCE) для крупномасштабных развертываний

Как маршрутизатор cisco isr помогает выполнить требования...

Self Improvement