Как маршрутизатор cisco isr помогает выполнить требования...
DESCRIPTION
TRANSCRIPT
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 1
Система безопасности маршрутизатора Cisco IOS: обеспечение соответствия требованиям стандарта PCI
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 2
Система безопасности Cisco IOS обеспечивает соответствие требованиям стандарта PCI
Требование стандарта PCI Обеспечение безопасности
Требование 1 стандарта PCI: установка и поддержка конфигурации межсетевого экрана
для защиты данных
Межсетевой экран Cisco IOS
Требование 2 стандарта PCI: запрет на использование предоставляемых поставщиком
стандартных значений для системных паролей и других параметров безопасности
Программное обеспечение Cisco IOS
Требование 3 стандарта PCI: защита хранимых данных Недоступно
Требование 4 стандарта PCI: шифрование передачи данных держателей карт и
конфиденциальной информации в общедоступных сетях
Решения для VPN Cisco IOS
Требование 5 стандарта PCI: использование и регулярное обновление антивирусных
программ
Cisco IOS Scansafe Connector
Требование 6 стандарта PCI: разработка и обслуживание защищенных систем и
приложений
Функция NAC Cisco IOS
Требование 7 стандарта PCI: ограничение доступа к данным по принципу необходимого
знания
Межсетевой экран Cisco IOS на основе идентификации
Требование 8 стандарта PCI: назначение уникального идентификатора каждому
пользователю, имеющему доступ к компьютеру
Центр сертификации Cisco IOS, 802.1x
Требование 9 стандарта PCI: ограничение физического доступа к данным держателей карт Недоступно
Требование 10 стандарта PCI: отслеживание и контроль всех попыток доступа к сетевым
ресурсам и данным держателей карт
Cisco IOS Syslog, MIB и Netflow
Требование 11 стандарта PCI: регулярная проверка систем и процессов обеспечения
безопасности
Система предотвращения вторжений (IPS) Cisco IOS
Требование 12 стандарта PCI: поддержка политики, которая обеспечивает
информационную безопасность
Cisco CLI, CCP, CSM и CCE
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 3
Требование 1 стандарта PCI: установка и поддержка конфигурации межсетевого экрана для
защиты данных
Позволяет группировать физические и виртуальные интерфейсы в зоны.
Политики межсетевого экрана настроены на передачу трафика между зонами.
Простота добавления или удаления интерфейсов и их интеграции в политику межсетевого экрана
Демилитаризованная зона
Ненадежная зона
Надежная зона
Закрытая-открытая политика
Политика открытой
ДМЗ
Политика закрытой ДМЗ
Политика закрытой ДМЗ
Поддерживаемые функции
Проверка уровня 3-7 с учетом состояния
Проверка приложений: IM, POP, IMAP, SMTP/ESMTP, HTTP, SIP, Skinny, FTP, TFTP и т. д.
Фильтрация URL-адресов
Параметр для каждой политики
Прозрачный межсетевой экран
Межсетевой экран с поддержкой VRF
Интернет
Межсетевой экран Cisco IOS с политикой на основе зон
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 4
Функция безопасности
Cisco® IOS® Действие и преимущество
Шифрованный доступ через web-интерфейс
Шифрование доступа к SDM на основе web-интерфейса с помощью HTTPS.
Шифрованный доступ к CLI Telnet CLI и HTTPS защищены с помощью шифрования по протоколам SSHv2 и SSL.
Защищенный доступ к функциям управления
Протокол SNMPv3 обеспечивает защищенное управление при использовании готовых и настраиваемых приложений.
Cisco IOS поддерживает шифрование по стандартам DES и AES.
Недавно институт SANS определил самую важную проблему в области безопасности, следующую за такими основными проблемами, как пароли.
Инфраструктура открытых ключей (PKI)
Обеспечение более высокого уровня безопасности по сравнению со стандартными предраспределенными ключами.
Исключение возможности попадания предраспределенных ключей в руки злоумышленников.
Закрытый ключ, защищенный алгоритмом
RSA
Защита от использования маршрутизаторов, захваченных злоумышленниками: если злоумышленник пытается изменить конфигурацию, закрытый ключ стирается, что приводит к невозможности использования устройства.
Сервер сертификатов Облегченный сервер сертификатов, входящий в состав Cisco IOS, для упрощения развертываний.
Интеграция AAA Возможность простого хранения разрешений пользователей или групп на сервере AAA.
Проверка безопасности Предоставление журнала аудита изменений конфигурации
Доступ к интерфейсу командной строки (CLI) на
основе ролей
Предоставление отдельных наборов команд и уровней доступа.
Процесс создания политик происходит независимо от выполнения текущих операций, что способствует более эффективной подотчетности.
Настройка и регистрация событий
Регистрация изменения конфигурации для отдельных пользователей и отдельных сеансов обеспечивает достоверное ведение журналов.
Более высокий уровень прозрачности и подотчетности, большая уверенность в действии механизма отчетности.
Требование 2 стандарта PCI: запрет на использование предоставляемых поставщиком стандартных значений для системных паролей
Безопасная работа устройств Cisco IOS
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 5
Требование 4 стандарта PCI: шифрование передачи данных держателей карт
Решение Основные технологии
Стандартный протокол IPSec
Полное соответствие стандартами для взаимодействия с другими поставщиками
Расширенная сеть VPN по схеме «узел-
узел» (site-to-site)
Сеть VPN с топологией «звезда»:
Enhanced Easy VPN — динамические интерфейсы виртуальных туннелей (VTI), внедрение обратной маршрутизации, динамический проброс политики, высокая масштабируемость
Направленный IPSec + GRE или DMVPN с динамической маршрутизацией
VPN с топологией «сеть-сеть»: Динамическая многоточечная сеть VPN (DMVPN) — сети VPN по запросу (частичная mesh-топология)
VPN с топологией «любой-к-любому»: Group-Encrypted Transport (GET) VPN — отсутствие туннелей «точка-точка»
Расширенная сеть VPN
удаленного доступа
Easy VPN (IPSec): динамический проброс политики Cisco и БЕСПЛАТНЫЕ VPN-клиенты для платформ Windows, Linux, Solaris и Mac
SSL VPN: предварительная установка клиента не требуется; безопасность оконечных устройств обеспечивается с помощью защищенной настольной системы Cisco
Ведущие в отрасли решения для VPN Cisco IOS
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 6
Требование 5 стандарта PCI: использование и регулярное обновление антивирусных программ
Интернет
Web-службы безопасности и
фильтрации Scansafe
Офис предприятия
Заблокированные
URL-адреса
Заблокированные
файлы
Заблокированный
контент
Утвержденный
контент
Филиал, розничное предприятие или домашний офис
ISR G2 с
программой
Scansafe
Connector
Решение Cisco IOS по фильтрации контента и защите от вирусов, предоставляемое серверами Scansafe в облачной среде
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 7
Сервер
политики
(AAA)
Сервер
поставщика
Серверы,
предпринимающие
попытки доступа в
сеть
Учетные данные
Учетные данные
Учетные данные
Права доступа Уведомление
Соответствует?
Cisco Trust Agent
Требование 6 стандарта PCI: разработка и обслуживание защищенных систем и приложений с помощью установленных обновлений системы безопасности от поставщиков
Обеспечивает действие прав доступа на основе состояния безопасности оконечных устройств
Позволяет использовать только совместимые и доверенные оконечные устройства
Ограничивает доступ несовместимых устройств в сеть
Поддерживает несколько поставщиков AV и ПО для безопасности настольных систем, включая Cisco® Security Agent
Реализация
RADIUS HTTPS EAP/UDP, EAP/802.1x
Коалиция ведущих поставщиков
Функция управления доступом в сеть Cisco IOS обнаруживает и изолирует несовместимые устройства
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 8
Требование 7 стандарта PCI: ограничение доступа к данным по принципу необходимого знания
Поддерживает интеграцию политик межсетевого экрана на основе зон с MS Active Directory и LDAP для ограничения доступа выбранных пользователей или групп к определенным данным и (или) приложениям.
1.1.1.1 : пользователь: Иван
2.1.1.1 : пользователь: Иван
2.1.1.2 : пользователь: Мария Межсет
евой
экран
Интернет
TAG Ивана: отказать в доступе к HR,
проверить HTTP/FTP
TAG Марии: отказать в доступе к Eng,
проверить http/smtp
ограничение скорости для p2p/im Головные
офисы
Межсетевой экран Cisco IOS на основе идентификации пользователей или групп
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 9
Офис предприятия
Требование 8 стандарта PCI: назначение уникального идентификатора каждому пользователю, имеющему доступ к компьютеру
Контролирует пользователей, получающих доступ к сети
802.1x, NAC уровня 2 NAC, ACL, безопасность портов, уведомления MAC-адресов
Безопасное управление
RADIUS/TACAC+, SSH, SNMPv3
Easy VPN также поддерживает сертификаты PKI и может использовать сервер клиентского доступа Cisco® IOS® для регистрации
Соблюдение принципов идентификации
по стандарту 802.1x
Маршрутизатор
филиала
стандарта 802.1x
Маршрутизатор филиала или
домашний маршрутизатор с
клиентом EzVPN
Сервер AAA
WAN
Контролируемый доступ к сети с помощью стандарта 802.1x Cisco IOS и упрощенное развертывание инфраструктуры открытых ключей (PKI)
Цифровой
сертификат Цифровой
сертификат
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 10
Требование 10 стандарта PCI: отслеживание и контроль всех попыток доступа к сетевым ресурсам и данным держателей карт
Cisco предоставляет несколько вариантов контроля событий защиты сети
Серверы Syslog
Все компоненты Cisco IOS могут отправлять события с помощью сообщений Syslog
SNMP (через MIB)
Функция Netflow Cisco IOS
Идентификация и классификация атак
Отслеживание атак вплоть до их источника
Система управления безопасностью Cisco MARS (CS-MARS)
Допустимые инциденты
Сеансы
Правила
Проверка
Изолированные
события
Настройка
маршрутизатора
Журнал межсетевого
экрана
Настройка коммутатора
Журнал коммутатора
Настройка NAT
NetFlow
Настройка
межсетевого экрана
Событие IDS
. . .
Действие системы CS-MARS
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 11
Требование 11.4 стандарта PCI: использование систем обнаружения и предотвращения вторжений в сеть
Небольшой филиал
Филиал
Небольшой офис и удаленный
сотрудник
Офис предприятия Интернет
Применение системы предотвращения вторжений (IPS) к трафику из филиалов для уничтожения червей с зараженных компьютеров
Остановка атак до их распространения по глобальной сети
Защита маршрутизатора и локальной сети от DoS-атак
Система предотвращения вторжений (IPS) Cisco IOS обеспечивает распределенную защиту от атак
Cisco® IOS® IPS блокирует атаки в точке входа, обеспечивает безопасность полосы пропускания глобальной сети и защищает маршрутизатор и удаленную сеть от DoS-атак.
Отсутствие привязки к процессу передачи данных — возможность защиты любого типа интерфейсов LAN, WAN, WLAN в обоих направлениях трафика, включая 3G, T3/E3 и MPLS.
Поддержка сигнатур более 3 700 различных атак, использующих одну базу данных сигнатур, находящуюся на изолированных датчиках IPS Cisco.
Возможность использования настраиваемых наборов сигнатур и действий, а также автоматические загрузки обновлений сигнатур для быстрого реагирования на новые угрозы.
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 12
Требование 12 стандарта PCI: поддержка политики, которая обеспечивает информационную безопасность
Cisco предоставляет целый ряд возможностей по настройке функций и политик обеспечения безопасности на маршрутизаторах.
Интерфейс командной строки (CLI) Cisco IOS
Средства для профессионального управления конфигурацией Cisco (CCP)
Простота использования: интеллектуальные мастеры, встроенные учебники
Интеллектуальные приложения: база знаний конфигураций Cisco IOS, утвержденных центром технической поддержки (TAC)
Интегрированное управление услугами: маршрутизация, коммутация, обеспечение безопасности, беспроводная связь, качество обслуживания, голосовая связь
Cisco Security Manager (CSM)
Поддержка представлений «Устройство», «Политика» и «Топология»
Поддержка нескольких функций безопасности и устройств Cisco (ASA, ISR, IPS)
Система настройки Cisco Configuration Engine (CCE) для крупномасштабных развертываний
© 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco Presentation_ID 13