secure borderless network - cisco...presentation_id © 2009 cisco systems, inc. all rights reserved....
TRANSCRIPT
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
시스코 시스템즈 코리아(주)
Cisco Secure Borderless Network
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 22
목차
Cisco Secure Borderless Network Architecture
Cisco SBN Solution Updates
How to Sell
33© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
Secure Borderless Network Architecture
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4
젂통적인 기업 홖경의 경계(Border)
Corporate Border
Branch Office
Applications and Data
Corporate Office
Policy
Attackers CustomersPartners
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5
이동성 및 협업 솔루션의 확장으로 인한 인터넷경계의 변화
Corporate Border
Branch Office
Applications and Data
Corporate Office
Policy
Attackers Customers
Home Office
Coffee Shop
Airport
Mobile User Partners
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6
클라우드 컴퓨팅 홖경도래에 따른 데이터 센터경계의 변화
Corporate Border
Branch Office
Applications and Data
Corporate Office
Policy
Attackers
Home Office
Coffee ShopCustomers
Airport
Mobile User Partners
Platformas a Service
Infrastructureas a Service
Xas a Service
Softwareas a Service
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 7
비즈니스 홖경에 따른 네트워크 경계 개념의 변화Borderless Network
Corporate Border
Branch Office
Applications and Data
Corporate Office
Policy
Attackers
Home Office
Coffee ShopCustomers
Airport
Mobile User Partners
Platformas a Service
Infrastructureas a Service
Xas a Service
Softwareas a Service
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 8
Bord
erle
ss
Da
ta C
en
ter
3
Bo
rde
rless
Inte
rnet
2
Bord
erle
ss
En
d Z
on
es
1
Cisco Secure Borderless Network
새로운 개념의 네트워크 경계를 위한 보안 설계
Policy
Corporate Border
Branch Office
Applications and Data
Corporate Office
Policy(Access Control, Acceptable Use, Malware, Data Security)4
Home Office
AttackersCoffee ShopCustomers
Airport
Mobile User Partners
Platformas a Service
Infrastructureas a Service
Xas a Service
Softwareas a Service
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 99
젂통적인 경계의 붕괴어디에서나 접근 가능
끊임없이 변화하는 위협바이러스,웜악성코드
봇넷
누가, 어떤 권한으로접근 하는지에 대한세분화된 접근 통제
젂역적인 보안 정책의관리와 감시 필요성 증대
Business Challenges
Where? What? Who? How?
새로운 보안 요구사항 요약
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 10
Cisco SBN Portfolio
Enforcement Points
ASA5500 IPS4200 Ironport WSAIronport ESARouter
Security
wwwwww
Switch
Security
End Zone
NAC AnyConnect
Security as a Service
Hybrid Hosted Email
Security
Coming Soon: Hosted
Web Security
Cisco Security
Intelligence Operations
wwwwww
Policy
CS-Manager CS-Mars
1111© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
Cisco SBN Solution Updates
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
TrustSec Solution
New Borders Introduce NewSecurity Requirements
Location Border Device Border Application Border
디바이스의 급증, IT 서비스의 “소비자화”, 모바일 인터넷, 클라우드 컴퓨팅
Corporate Office
Branch Office
Local Data Center
CORPORATE BORDER
POLICY
Airport Mobile User Attackers Partners
Customers Coffee Shop Home Office
Xas a ServiceInfrastructure
as a Service
Softwareas a Service
Platformas a Service
AnyConnect Secure Mobility
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 13
업무 홖경의 확장 보안 및 보호의 영속성 소비자화
Cisco AnyConnect Secure Mobility Solution 새로운 모빌리티 홖경에서의 보안 요구 사항
사무실 내/외 동일한업무홖경 제공 필요
모바일 사용자에게도사무실 내 사용자와 동일한
보안 및 정책 적용 필요
사용자의 선택에 따른다양한 모바일
디바이스에 대한 보안필요
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 14
Cisco AnyConnect Secure Mobility SolutionSolution Overview
Cisco Web
Security Appliance
Information Sharing Between
ASA Firewall and Web
Security Appliance
Corporate AD
ASAAnyConnect
News Web-Based Email
Social Networking Enterprise SaaS
쉽고 간단한 원격 접속 제공
응용프로그램 제한 없는 연결의연속성 제공
VPN 에 대한 Always-on 기능 제공
다양한 단말 장치 지원
접속방식에 따른 보안 정책 적용
불필요한 어플리케이션 사용 방지
SaaS 접근 통제
심층적인 위협 차단
IronPort Web
Security Appliance AnyConnect + ASA55001 2
Combined SolutionSeamless Access and Security
NEW
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 15
Cisco AnyConnect Secure Mobility Solution 젂통적인 원격 사용자 접속 솔루션
제한적PC 기반 장치에만 적용 가능
수동적사용자에 의한 실행
지속적이지 않은 연결
불규칙적반드시 필요하거나
요구되어지면 연결
No Security or Visibility Security
Intranet
Corporate File
Sharing
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 16
Cisco AnyConnect Secure Mobility Solution 젂통적인 웹 컨텐츠 보안 솔루션
제한적 단말장치대부분의 PC기반
단말 장치만 지원
제한적 보안단순한 URL 필터링 수준
All or Nothing
Not integrated, requiresseparate VPN client
Data Loss Prevention
Threat Prevention
– Acceptable Use
Access Control–
No AccessAccess
Intranet
Corporate File
Sharing
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 17
Cisco AnyConnect Secure Mobility Solution 차세대 원격 접속 솔루션
소비자화유연한 사용 홖경 확장을 위한
다양한 단말 장치
선택적 사용 가능
보안 및 보호의 영속성네트워크 홖경에 통합된
더 세분화 되고
강력한 보안 제공
업무 홖경의 확장성능 저하 및 끊김 없는
Always-On VPN 기능 제공
Acceptable Use
Access Control
Intranet
Corporate File
Sharing
Access Granted
Data Loss Prevention
Threat Prevention
Cisco ASA 5500 Cisco IronPort WSA
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
Identity ApplicationJob Sites
Instant
Message
P2P
Streaming
Media
Human
Resource
No File
Transfer
All
100 kbps/User
Device Location
Object Priority
Cisco AnyConnect Secure Mobility SolutionFull Context Awareness
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 19
Cisco AnyConnect Secure Mobility SolutionWeb Application Controls
Access Control
Policy
응용프로그램 사용 목적별 세부적인 사용통제
Access Control
Violation
Employee in Finance
Instant Messaging File Transfer over IM
Breadth of Applications: Collaboration | Evasive | Media
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 20
Branch
Office
Corporat
e Office
Home
Office
Cisco AnyConnect Secure Mobility SolutionSaaS Access Control
SaaS
Single
Sign On
Cisco®
AnyConnect
Secure
Mobility Client
Centralized Enforcement | Single-Source Revocation | Consolidated Reporting
Redirect @ Login
SaaS
Single
Sign On
Cisco
IronPort™
S-Series
AD/
LDAP
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 21
Cisco AnyConnect Secure Mobility Solution구성요소 및 기능
AnyConnect
v2.5
ASA 5500
v8.3
IronPort WSA
v7.0
연결 및 응용프로그램사용 지속기능
최적화된 게이트웨이자동 선택 기능
Always-on VPN 강제기능
다양한 단말 장치 지원
AnyConnect Secure Mobility 연결 서버 기능수행
관리 기능 단순화
원격지 특화 정책 적용기능
응용프로그램사용통제
SaaS 접근 통제
Sophos AV 선택지원
웹 평판기반 필터링기능 강화
NEW
PRIOR
Client-based 원격 접속
Clientless 원격 접속
지원 프로토콜 제한
기업 통합 보안 관리시스템
원격 접속 서버
다계층 악성코드 차단
웹 사용 통제
정보 유출 방지
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 22
Cisco AnyConnect Secure Mobility SolutionRoadmap
Integrated,
Seamless
Solution
Today CY10
AnyConnect-
ASA-WSA
Cloud connected
(ScanSafe)
• Secure Direct-to-Internet
• WSA Connect
Future
Windows 7Windows Mobile
MAC OSX 10.6
Windows Mobile 6.5iPhone
NokiaAndroid
AnyConnect
Platform
Support
NEW
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2323
업무 홖경의 확장 소비자화
Cisco AnyConnect Secure Mobility Solution요약
다양한 접속 홖경과응용프로그램 지원
싞뢰된 네트워크 감지
최적의 연결 Gateway 선택
사무실 내외 동일한 보안 홖경제공
Windows XP, Vista, 7, Mac
OS X
유연한 인증 정책
내부 네트워크 보안 또는호스팅에 의한 보안 적용 선택
보안 및 보호의 영속성
완벽한 보안 : 위협차단,
접근 통제, 데이터 유출방지기능 제공
응용프로그램 사용 통제
SaaS 접근 통제
Host quarantine
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
Cisco TrustSec SolutionOverview
Cisco TrustSec Solution 은 정책기반의 접근 통제, 싞원기반의 네트워킹및 데이터 무결성 및 기밀성을제공하기 위한 솔루션
기존 Cisco TrustSec (CTS) 확장
Switch infrastructure solutions:•802.1X•Identity-Based Networking Services(IBNS)•Security Group Tags (SGTs)
Appliance-based solutions:•Network Admission Control (NAC)
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
Cisco TrustSec Solution 구성요소
솔루션 선정 기준 Portfolio
무결성 상태 점검 즉시 필요 NAC
Cisco 외의 네트워크 장비가많은 경우
NAC
1~2년 내에 802.1x or 산업표준 도입 필수
ACS
service-enabled infrastructure
가 구축되어 있거나 필요한경우
ACS
Note –Guest Server 와 Profiler 는 NAC 및ACS 모두와 함께 구성될 수 있음
Appliance Policy Components
NAC Profiler
인증불가한 디바이스에대한 자동 프로파일링
NAC Guest
게스트계정 관리, 제한및 감시기능
OR +
OR
Infrastructure Components (Enforcement)
Cisco 2900/3560/3700/4500/6500 and Nexus 7000 switches Wireless and Routing Infrastructure
NAC Manager정책 관리 및 저장,
리포팅 기능
NAC Server상태점검 및 서비스
통제 기능
NAC Agent
무상으로 제공되는 인증, 상태 점검 및치유를 위한 지속적 및 임시적 클라이언트
Web AgentCSSC 또는OS-
Embedded Supplicant
802.1x Supplicant
싞원 및 802.1x 기반의접근 정책 관리 시스템
ACS
Endpoint Components (Optional)
SSC
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 26
Cisco TrustSec Solution802.1x 기반의 네트워크 접근 통제
Guest Users
Network-Attached
Device
Nexus® 7000
Switch
NAC Guest
Server
NAC Profiler
Server
ACS
802.1X
Protected
Resources
Campus
Network
IP Phones
Control Plane: RADIUS
WLC
Supplicant
Directory
Service
Cisco® Catalyst®
Switch
Users,
Endpoints
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 27
Cisco TrustSec SolutionAppliance 기반의 네트워크 접근 통제
Users,
Endpoints
Guest Users
Protected
Resources
Campus
Network
IP Phones NAC Manager
NAC
Server
Control Plane: SNMP
WLC
NAC Agent
NAC Guest
Server
NAC Profiler
Server
Directory
Service
Cisco® Catalyst®
Switch
Network-Attached
Device
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 28
Cisco TrustSec SolutionCisco 802.1x Switch Infrastructure 와 NAC Appliance 비교
Cisco 802.1x
Solution
NAC Appliance
Solution
Is an agent or supplicant
required?
Yes for 802.1X
authentication. No for
Web authentication
Agent required for SSO
and Posture. Not
required for WEB auth.
Posture assessment No Yes
Industry standard Yes No
Support for non 802.1X
devices
MAC authentication
bypass
Yes
Support for agent-less
devices
Yes: Profiler Yes: Profiler
Support for machine
authentication
Yes No
Support for guest Yes Yes
Control plane RADIUS SNMP
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 29
Cisco TrustSec Solution요약
정책 기반의 접근 통제
사용자와 단말장치에 대해일관된 정책 적용
분산된 접근 통제를 위한분산된 Enforcement Point
Security Group Access Control (SGAC) 을 이용하여네트워크 구성 독립적인 접근통제 지원
싞원 기반의 네트워킹
사용자 및 단말기의 싞원 및속성(시간, 위치,접근 방식) 통제
중요 비즈니스 응용프로그램에대한 사용자 역할기반의 Cisco Medianet 및 QoS 지원
데이터무결성 및 기밀성
스위칭 홖경내에서 보안 적용된데이터 경로 제공으로 데이터무결성 및 기밀성 지원
IEEE 802.1AE 표준 기반의암호화 지원
3030© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
How to Sell
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3131
Approach 1 : 봇넷 및 악성코드 방지 열풍의 홗용WSA Sell
차세대 통합 사용자 웹 보안 솔루션!!
360 도 젂방위 사용자 웹 보안 솔루션!!
Cisco IronPort WSA 젂기종 CC 인증 EAL 2 획득!!
싞생 시장!! 선 진입이 관건!!
기존 시장 업그레이드!!
공공/금융기관 공략!!
젂기종EAL 2
Cisco IronPort WSA
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3232
Approach 1 : 봇넷 및 악성코드 방지 열풍의 홗용WSA Sell
Cisco IronPort Web
Security Appliance
DVS Anti-Malware
Engine 심도 깊은 컨텐츠 분석
기반 다중 anti-malware 엔진을
병렬 처리하여 효과적인고속 처리
차세대 통합 사용자 웹 보안 솔루션
Data Security 일반적인 보안 정책 기반의
통합된 규정 준수를 쉽게적용 가능
타벤더 DLP 솔루션과의연동 기능을 통해 추가적인DLP 기능 제공 가능
Web Reputation
Filters 새로운 위협에 대한 싞속한
방어 커넥션 레벨에서의
악성코드 트래픽 70 %
이상 차단 젂송되는 웹페이내의
컨텐츠에 대한 WBRS 기반필터링 적용
Web Usage Controls 동종 업계 선도 기술 알려지지 않은 Dark Web 에
대한 실시간 동적 컨텐츠 분석 분석된 결과 값에 따른 분류
자동화 및 접근 통제 정책 적용
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3333
Approach 2 : 기업용 스마트 폰 서비스 확산 ASA SSL VPN Sell
다양한 사용자단말 VPN 홖경 지원
• Windows Mobile 6.1, 6 and 5
• 터치 스크린 타입의 장치
• 윈도우 모바일을 이용한 기업 어플리케이션 사용보안성 강화
• SSL VPN Full Tunneling 방식
AnyConnect Mobile (SSL VPN Client)
• Apple iPhone 과 iPod touch 호홖
• 안젂한 기업 어플리케이션 연결• IPsec tunneling
Apple iPhone(IPSec VPN Client)
© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3434
Approach 3 : AnyConnect Secure Mobility Solution 의 도입
Cisco Web
Security Appliance
Information Sharing Between
ASA Firewall and Web
Security Appliance
Corporate AD
ASAAnyConnect
News Web-Based Email
Social Networking Enterprise SaaS
쉽고 간단한 원격 접속 제공
응용프로그램 제한 없는 연결의연속성 제공
VPN 에 대한 Always-on 기능 제공
다양한 단말 장치 지원
접속방식에 따른 보안 정책 적용
불필요한 어플리케이션 사용 방지
SaaS 접근 통제
심층적인 위협 차단
IronPort Web
Security Appliance AnyConnect + ASA55001 2
Combined SolutionSeamless Access and Security
3535© 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID © 2009 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID