trustsec и identity services engine - надежная поддержка управления...

© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 1 Конфиденциальная информация Cisco © Cisco и/или ее дочерние компании, 2011 г. Все права защищены. 1

TrustSec и Identity Services Engine Надежная поддержка управления доступом на основе политик для вашего бизнеса

Алексей Лукацкий

Менеджер по развитию бизнеса

© Cisco и/или ее дочерние компании, 2011 г. Все права защищены. Конфиденциальная информация Cisco 2

СЕТЬ MOBILITY MOBILITY

COLLABORATION COLLABORATION

CLOUD

НОВАЯ КАРТИНА УГРОЗ

СНИЖЕНИЕ КОНТРОЛЯ


• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака

Периметр давно уже размыт, а защита концентрируется там и на ПК/серверах


Что объединяет всех?!

СЕТЬ

Видимость всего трафика

Маршрутизация всех запросов Источники всех данных

Контроль всех потоков

Управление всеми устройствами

Контроль всех пользователей

Контроль всех потоков


Интегрированная

архитектура ИБ

Локальный и

глобальный анализ

угроз

Общие политика

&

Управление

Сеть,

реализующая

политику

Одноцелевые и многоцелевые устройства работают хорошо… но в вакууме

Многофункциона-

льное устройство

Анализ угроз

Политика &


Hardware

Сеть

Одноцелевое

устройство

Network

Security

Content

Security

Ана-

лиз

угроз

Policy

&

Mgmt

HW

Ана-

лиз

угроз

Policy

&

Mgmt

HW

Сеть


СЕТЬ

Всесторонний обзор и масштабируемый контроль

Безопасность, встроенная в инфраструктуру

Глобальный и локальный анализ угроз

Общие политика и управление

Инф

орм

ац

ия

Реал

иза

ци

я

Behavioral Analysis

Encryption Identity Awareness

Device Visibility Policy Enforcement

Access Control

Threat Defense

Sees All Traffic

Routes All Requests Sources All Data

Controls All Flows

Handles All Devices

Touches All Users Shapes All Streams

Сеть, реализующая политику


Как управлять доступом к сети? Кто должен иметь доступ и к чему?


На службы ИТ ложится тяжелое бремя

Проблемы, которые сразу приходят на ум

БЫСТРЫЙ РОСТ ЧИСЛА УСТРОЙСТВ

• Как обеспечить единообразное качество обслуживания для всех устройств?

• Как реализовать множество политик безопасности для каждого отдельного пользователя и устройства?

• Что поддерживать и как?

• Как управлять риском, возникающим, когда сотрудники приносят свои собственные устройства?




• Препятствую ли я своим сотрудникам в реализации конкурентных преимуществ?

• Как удержать наиболее талантливые кадры?

• Как обеспечить соответствие требованиям ФЗ-152, СТО БР и т. д.?

• Как достойным образом обходиться с партнерами, консультантами, гостями?

ПЕРСОНАЛ СТАНОВИТСЯ ДРУГИМ




• Как узнать, кто осуществляет доступ к моей

инфраструктуре виртуальных настольных систем?

• Как обеспечить защищенный доступ

к моим данным в облаке,

сохраняя масштабируемость?

• Как обеспечить соответствие нормативным

требованиям

без ограничения рамками географических регионов?

ВИРТУАЛИЗАЦИЯ


Чего мы хотим на уровне предприятия с точки зрения ИТ/ИБ?

Соблюдение требований и

опасность несоблюдения

Обеспечить постоянный доступ с предсказуемым качеством. Рассмотреть

возможность применения BYOD

Защитить интеллектуальную

собственность

Защитить свою ИТ-инфраструктуру

CXO


Политики, использующие

имеющиеся технические возможности

Унифицированные политики,

относящиеся к коммерческой деятельности

Решаемые задачи. Определение политики

Администрирование

приложений

Сетевое

администрирование

Системное

администрирование

joe_ b Фин.

дир.

www.customer.

com/sapapp

Разрешить

IP-адрес –

1.1.1.1

Маска сети

255.255.0.0

Сеть

10.10.0.0

Разрешить

bjoe12 Finance_g

roup

\\a_server\sap\ Разрешить

Финансовый

директор

Корпоративный

ноутбук

Личный iPad

Заказы

продукции

SalesForce.

com

Польз

овате

ль

Роль Устройст

во

Услуга Местопол

ожение

Действие

Все Любой iPad Заказы продукции Все Ограничить

Все Любой iPad Salesforce.com Вне офиса Разрешить

Любой Финансо

вый

отдел

Корпорат

ивный

актив

Заказы продукции /

Salesforce.com

Любой Разрешить

X

Данные

заказчиков

Разрешить

Ограничить X


Динамическая контекстная зависимость

и контекстная зависимость в режиме реального времени

Решаемые задачи. Учет контекста

Ограниченный или статический контекст

Финансовый

директор

(вне офиса)

Корпоративный

ноутбук

Личный iPad

10.10.30.45

0a:34:90:df:34:ab

05:ab:5f:a0:34:87

Заказы

продукции

SalesForce.

com

Данные


User ID= jblog

User ID= joeb

Заказы

продукции

SalesForce.

com

Данные


User ID= jblog

User ID= jblog X

?

?

?

Разрешить

Ограничить X


Не зная броду, не суйся в воду

Device

Location

Access Method

Hygiene

Reputation

Direction

Telemetry

Trustworthiness


Добавляя контекст и понимание

C I2 I4 A

ЛОКАЛЬНО

Бизнес Контекст

Кто

Что

Как

Откуда

Когда

Внутри ВАШЕЙ сети

ГЛОБАЛЬНО

Ситуационный

анализ угроз

Снаружи ВАШЕЙ сети

Репутация

Взаимо-

действия

APP Приложения

URL Сайты

Реализация безопасности с локальным и глобальным контекстом


Сводные отчеты, упрощенный аудит Разрозненная отчетность, отсутствие корреляции

Решаемые задачи. Прозрачность и контроль

jblog Финансовый

директор

Корпорат

ивные

ноутбук

SJC стр. 1

Заказы

продукции Разрешить

jblog Финансовый

директор

iPad Удаленное

расположение Заказы

продукции

Ограничить

• Учет контекста – данные реального времени

объединяют приложения, системы и

контекст сети

• Единый источник информации, поддержка

контроля и пересмотра политики

• Множество разрозненных отчетов

• Отсутствие прозрачности и контроля с учетом

контекста Консолидированная панель

управления

Отчет об

использовани

и приложений

Отчет об

использовании

сети

Отчеты о

безопасности


Динамический контекст

Объединяя все вместе

Абстрагированная политика

Бизнес-политика

Ресурсы и требования

X

Распределенное

применение

Пользователи и

устройства

Распределенный

движок политик


Надежная поддержка управления доступом на основе политик для вашего бизнеса

Представляем Cisco TrustSec

Всеобъемлющий учет

контекста: кто, что, где,

когда, как

Использование

преимуществ сети для

защищенного доступа к

критически важным

ресурсам, нейтрализации

рисков и поддержания

соответствия

нормативным


Централизованное

управление сервисами

защищенного доступа и

масштабируемыми

средствами обеспечения

соответствия

Центр обработки данных

Интранет Интернет Зоны безопасности

Инфраструктура с контролем

идентификационных

данных и учетом контекста

IP-устройства

Удаленный пользователь, подключенный

по VPN

Пользователь беспроводной

сети / гость

Сотрудник Клиент

виртуальной машины

Использование существующей

инфраструктуры

Эффективное

управление

Абсолютный

контроль

Полная

прозрачность


Безопасность, ориентированная на идентификацию и контекст

Архитектура Cisco TrustSec

КОГДА ЧТО

ГДЕ

КАК КТО

Идентификация

Атрибуты

политики


Модуль централизованных политик

Политики,

относящиеся к бизнесу

Пользователи и


Динамическая политика и реализация

УПРАВЛЕНИЕ

ПРИЛОЖЕНИЯМИ

МОНИТОРИНГ И

ОТЧЕТНОСТЬ

РЕАЛИЗАЦИЯ ПОЛИТИК

БЕЗОПАСНОСТИ


Комплексное решение для подхода BYOD («принеси свое собственное устройство»)

ОГРАНИЧЕННЫЙ ДОСТУП ДОСТУП НОВОГО

ПОКОЛЕНИЯ

РАСШИРЕННЫЙ

ДОСТУП БАЗОВЫЙ ДОСТУП

Среда требует строгого

контроля

Только устройства компании

Среда производителя

Торговая площадка

Закрытые сети гос. органов

Традиционные предприятия

Ориентирован на базовые

сервисы и удобный доступ

почти для всех

Более широкий круг устройств,

но только Интернет

Среды образовательных

учреждений

Гос. учреждения

Простые гости

Собственные корп.

приложения,

новые сервисы,

полный контроль

Множество типов устройств,

(корпоративных)

Инновационные предприятия

Электронная розничная торговля

Сервисы мобильной торговли

(видео, совместная работа и т. д.)

Поддержка

дифференцированных сервисов,

адаптационный период,

защищенный доступ, но не для

собственных устройств

Множество типов устройств и

методов доступа

Здравоохранение

Предприятия, первыми принявшие

подход BYOD

Доступ для подрядчиков


WLAN AP

Access Switch

МСЭ

Policy Engine (Cisco ISE)

Certificate Authority

(CA)

Mobile Device

Manager (MDM)

Wireless Router

Integrated Services Router

Aggregation Services Router

Campus

Switching Core

Branch Office

Home Office

Active Directory

(AD)

AnyConnect

WLAN Controller

Network Management

RSA Secure ID

Не доверенная сеть

Доверенная корпоративная

сеть

Internet

Mobile Network

Public Wi-Fi

WAN

Архитектура контроля доступа BYOD устройства

Проводной, Беспроводной, Мобильный доступ

Шлюзы безопасности Инфраструктура защиты и управлениям политиками

Инфраструктура доступа

Как это работает? Более подробный обзор Cisco TrustSec


Полная прозрачность Контроль идентификационных данных и учет контекста

Сеть с поддержкой идентификации (802.1X)

Полная прозрачность

ИДЕНТИФИКАЦИЯ

КОНТЕКСТ

КТО ЧТО ГДЕ КОГДА КАК

Гостевой доступ

Профилирование

Оценка состояния

802.1X

MAB

WebAuth КОММУТАТОРЫ, МАРШРУТИЗАТОРЫ, БЕСПРОВОДНЫЕ ТОЧКИ ДОСТУПА CISCO

Маша Петрова Федор Калязин

Шлюз камеры

видеонаблюдения Вася Пупкин Личный iPad

Сотрудник, служба

маркетинга

Проводная сеть

15:00

Гость

Беспроводная сеть

9:00

Автономный ресурс

Тверской филиал

Консультант

Центральный офис,

отдел стратегий

Удаленный доступ

18:00

Собственность сотрудника

Беспроводный центральный

офис


Сервисы аутентификации

Сервисы авторизации

Управление жизненным циклом гостевого доступа

Сервисы профилирования

Сервисы оценки состояния

Доступ для групп безопасности

Identity Services

Engine

Упрощенное

управление

политиками

Мне нужно разрешать подключение к сети

только определенных пользователей и

устройств

Мне нужно, чтобы пользователь и устройства пользовались соответствующими сетевыми

сервисами

Мне нужно разрешить гостям доступ в сеть и управлять их настройками

Мне нужно разрешать/блокировать использование iPad в моей сети (BYOD)

Мне нужно, чтобы в моей сети были чистые устройства

Мне необходим масштабируемый способ реализации политики доступа в сети

Задачи, решаемые Cisco ISE


Использование существующей сетевой инфраструктуры

Контроль идентификационных данных

Отличительные особенности

идентификации

Режим монитора

Гибкая последовательность

аутентификации

Поддержка IP-телефонии

Поддержка сред виртуальных

настольных систем

Коммутатор Cisco Catalyst®

Web-

аутентификация

Функции аутентификации

IEEE 802.1x Обход аутентификации по

MAC-адресам

Web-

аутентификация


Сетевое

устройство

802.1X

IP-

телефоны

Авторизо-

ванные

пользователи

Гости

MAB и

профилирование

Планшеты

На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации


Идентификация устройств

ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Множество устройств в проводной и беспроводной сети

Должно быть предусмотрено управление политиками для каждого типа устройств

Необходима гарантия того, что устройство соответствует цифровым меткам

Классификация устройств вручную и реализация политик

Быстрый рост числа

устройств

и идентификация для

реализации политик

Проблема


Политика для

личного iPad

[ограниченный доступ]

Точка доступа Политика для

принтера

[поместить в VLAN X]

Автоматическая классификация устройств с использованием инфраструктуры Cisco

Идентификация устройств

Принтер Личный iPad ISE

CDP

LLDP

DHCP MAC-адрес

CDP

LLDP

DHCP MAC-адрес

ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей

ПОЛИТИКА


Точка

доступа

Компоненты

Новаторство

СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO

СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE

КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства

АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства

Эффективная

классификация устройств

с использованием

инфраструктуры

Решение


Интегрированное профилирование:

прозрачность и масштабируемость

Сетевая инфраструктура обеспечивает локальную

функцию распознавания

Данные контекста передаются через RADIUS в ISE

Активное сканирование:

повышенная точность

ISE расширяет пассивную телеметрию сети

данными активной телеметрии оконечных

устройств

Web-канал данных об устройствах:

идентификация с возможностью

масштабирования

Изготовители и партнеры постоянно предоставляют

обновления для новых устройств

Клиенты получают пакеты данных по web-каналам

от Cisco

Эволюция идентификации устройств: шире и глубже

Web-канал данных об устройствах

Активное сканирование

оконечных устройств

ISE

Сенсор устройств Cisco

Сенсор устройств (функция сети)

Инновации

Cisco



Новое в ISE 1.2: Profiling Device Feed

100 НОВЫХ устройств появляются каждый

день

Интернет вещей делает отслеживание

новых устройств ночным кошмаром…

делал

Сервис Device feed автоматизирует

процесс получения профилей устройств

Больше поддерживаемых устройств в

обновлениях в реальном времени


Оценка состояния средствами ISE обеспечивает проверку работоспособности оконечного устройства до получения доступа к сети

Анализ с учетом контекста: оценка состояния

Временный

ограниченный доступ к

сети до устранения

проблем

Пример политики для сотрудника

• Исправления и обновления Microsoft установлены

• Антивирус McAfee установлен, обновлен и работает

• Корпоративный ресурс проходит проверку

• Приложение предприятия выполняется

Проблема:

• Наличие сведений о работоспособности устройства

• Различие уровней контроля над устройствами

• Затраты на устранение проблем

Ценность:

• Временный (на web-основе) или постоянный агент

• Автоматическое устранение проблем

• Реализация дифференцированных политик на основе ролей

Пользователь

проводной,

беспроводной,

виртуальной сети


Не

соответствует



Гостевые

политики

Гостевой сервис ISE для управления гостями

Анализ с учетом контекста: управление гостевым доступом

Гости

Web-

аутентификаци

я

Беспроводный или проводной доступ

Доступ только к Интернету

Выделение ресурсов: гостевые учетные записи

на спонсорском портале

Уведомление:

сведения о гостевой учетной

записи в бумажном виде, по

электронной почте или SMS

Управление:

права спонсоров,

гостевые учетные записи и

политики, гостевой портал

Отчет:

по всем аспектам гостевых

учетных записей

Интернет



Масштабируемая

реализация

Сети VLAN

Списки управления доступом (ACL)

Метки групп безопасности *

Шифрование MACSec *


доступом на

основе политик

Обеспечивает реализацию политик

Абсолютный контроль

Удаленный пользователь

VPN

Пользователь с беспроводным

доступом

Пользователь с проводным доступом

Устройства


* =

СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ

И УЧЕТОМ КОНТЕКСТА

Виртуальный рабочий стол

Центр обработки данных

Интранет Интернет Зоны


Инновации

Cisco


TrustSec: авторизация и реализация политик

Динамические или

именованные ACL-списки

• Меньше перебоев в работе

оконечного устройства (не

требуется смена IP-адреса)

• Повышение удобства для

пользователей

Сети VLAN

• Не требует управления

ACL-списками на портах

коммутатора

• Предпочтительный выбор

для изоляции путей

Доступ для групп


• Упрощение управления

ACL-списками

• Единообразная

реализация политик

независимо от топологии

• Детализированное

управление доступом

Гость

VLAN 4 VLAN 3

Устранение проблем

Сотрудники Подрядчик

Сотрудник Любой IP-

адрес

Доступ для групп безопасности

— SXP, SGT, SGACL, SGFW

Гибкие механизмы реализации политик в вашей инфраструктуре

Широкий диапазон доступных клиенту вариантов доступа


Инновации

Cisco


Политики на основе понятного технического языка

Повышение уровня реализации политик во всей сети

Таблица доступа согласно политике на основе ролей

Ресурсы

D1

(10.156.78.100)

Медицинские

карты

пациентов

D3

(10.156.54.200)

Электронная

почта

в интранет-сети

D5 (10.156.100.10)

Финансова

я служба D6

D4

D2

Разрешения

Интранет

-

портал

Почтовый

сервер

Серверы

финансовой

службы

Медицинские

карты

пациентов

Врач Интернет IMAP Нет

доступа Совместный web-

доступ к файлам

Финансовая

служба Интернет IMAP Интернет Нет доступа

ИТ-

админист-

ратор

WWW,

SQL, SSH

Полный

доступ SQL SQL

Матрица политик

Совместный

web-доступ к

файлам

permit tcp S1 D1 eq https permit tcp S1 D1 eq 8081 deny ip S1 D1 …… …… permit tcp S4 D6 eq https permit tcp S4 D6 eq 8081 deny ip S4 D6

Требует затрат времени

Ручные операции

Предрасположенность к

ошибкам

Простота

Гибкость

Учет характера

деятельности

permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 permit tcp dst eq 135 deny ip

ACL-список "Врач - карта пациента"

Врачи

Финансовая служба

ИТ-администраторы

S1

(10.10.24.13)

S2 (10.10.28.12)

S3 (10.10.36.10)

S4 (10.10.135.10)

Отдельные пользователи


Традиционное управление доступом

Серверы (узлы назначения)

D1

Продажи

D3

Кадры

D5

Финансов

ая служба D6

D4

D2

Руководители

Отч. кадровой службы

ИТ-администраторы

S1

(10.10.24.13)

S2 (10.10.28.12)

S3 (10.10.36.10)

S4 (10.10.135.10)

Пользователь (источник)

permit tcp S1 D1 eq https

permit tcp S1 D1 eq 8081

permit tcp S1 D1 eq 445

deny ip S1 D1

Управление доступом S1 — D1

• (число источников) * (число узлов назначения) * число разрешений = число ACE

• Число источников (S1~S4) * число узлов назначения (S1~S6) * число разрешений (4) = 96 ACE

для S1~4

• Растущее количество ACE ведет к расходованию ресурсов в точке реализации политик

• Администратор сети явным образом управляет каждой связью «IP источника — IP назначения»

Запись управления

доступом (ACE)

Число ACE растет по

мере роста числа

разрешений


Как SGACL упрощает управление доступом

• Администратор сети управляет каждой связью «группа источника — группа назначения»

• Это отделяет топологию сети от политик и снижает количество

правил политик, которые администратор должен поддерживать

• Сеть автоматизирует привязку пользователей / серверов к группам

S1

S2

S3

S4

Пользователь Серверы

D1

D3

D5

D6

D4

D2

Группа безопасности (узел назначения)

Сервер

продаж

(500 SGT)

Сервер

кадров

(600 SGT)

Сервер финансов

(700 SGT)

Группа безопасности (источник)

Рук-во A

(10 SGT)

Рук-во B

(20 SGT)

Отчеты

кадров

(30 SGT)

ИТ-админ.

(40 SGT)


• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))

• 400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый

Пример снижения TCO

С традиционным ACL-списком на межсетевом экране

Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE

Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —

для группы-источника используются диапазоны адресов подсети

4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE

С использованием Cisco ISE

4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE

На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)

1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE


Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —

для группы-источника используются диапазоны адресов подсети

• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))

• 400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый

Пример снижение TCO (2)

С традиционным ACL-списком на межсетевом экране

Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE

4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE

С использованием Cisco ISE

4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE

На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)

1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE


Маркировка трафика данными о контексте

Доступ для групп безопасности (SGA) Медицинские карты пациентов

(конфиденциальная информация)

Неограниченный доступ

для сотрудников

Интернет

Врач

Финансовая

служба

Гость


СНИЖЕНИЕ

ЭКСПЛУАТАЦИОННЫХ

РАСХОДОВ

Масштабируемая реализация

политик независимо от

топологии сети МАСШТАБИРУЕМАЯ И

ЕДИНООБРАЗНАЯ

РЕАЛИЗАЦИЯ ПОЛИТИК

Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОМ

ДЛЯ ГРУПП БЕЗОПАСНОСТИ (SGA) ПОВЫШЕНИЕ

МАНЕВРЕННОСТИ

КОМПАНИИ

Инновации

Cisco


SGA: реальные сценарии развертывания у клиентов

ПРИМЕРЫ РАЗВЕРТЫВАНИЯ

.

Здравоохранение: гарантия конфиденциальности сведений о пациентах за счет доступа на основе ролей и сегментации во всей сети

Розничная торговля: связь сетевых устройств внутри магазина, обеспечивающая доступ к данным платежных карт только авторизованным пользователям и устройствам

Технологии и прикладные науки: доступ к внутренним порталам и хранилищу корпоративных приложений для разрешенных планшетных устройств, принадлежащих сотрудникам

Производство: маркировка трафика из внешней сети, обеспечивающая поставщику ПЛК удаленный доступ только к конкретной производственной зоне, а также доступ внешних партнеров по разработке только к серверам подразделения НИОКР


Соответствие нормативным требованиям защита данных путем шифрования на уровнях L3/L4

Отсутствие прозрачности

трафика для реализации

политик безопасности и QoS

Шифрование

исключает

прозрачность для


Шифрование на

уровне IP или на

прикладном уровне

Проблема Типичный сценарий развертывания

Шифрованные данные

Шифрование L3/L4

Прозрачность

отсутствует

КОРПОРАТИВНЫЕ РЕСУРСЫ



Шифрованные

данные Шифрованные

данные

Дешифрование на входном

интерфейсе

Шифрование на

выходном интерфейсе

MACSec: защита данных путем шифрования с шифрованным доступом на основе политик

Прозрачность трафика для


безопасности и QoS

Конфиденциальность

данных

в сочетании с

прозрачностью

Шифрование L2 на

последовательных

переходах

Решение Типичный сценарий развертывания

Шифрование 802.1 AE

Шифрование 802.1 AE

Целостность меток

групп безопасности

КОРПОРАТИВНЫЕ РЕСУРСЫ

Трафик прозрачен

для реализации

политик


Инновации

Cisco


Эксплуатация

Эффективное управление

Эффективное управление

Объединенный мониторинг

безопасностью и политиками

Состояние контекста и панели мониторинга для

проводных и беспроводных сетей

Централизованное планирование задач

управления на несколько дней

Рабочие потоки настройки инструктивного характера

Сокращение сроков диагностики и

устранения неполадок

Интеграция с Cisco NCS Prime


Вовлечение конечного пользователя в управление

Эффективное управление Эффективное управление

Снижение нагрузки на ИТ-персонал

Адаптационный период для устройств, саморегистрация,

выделение ресурсов запрашивающему клиенту*

Снижение нагрузки на службу технической

поддержки

Простой, интуитивно понятный интерфейс пользователя

Модель самообслуживания

Портал регистрации устройства пользователя*, портал для

приглашения гостей

* запланировано на лето 2012 г.


Портал самоуправления


Cisco ISE: Собираем все вместе

Тип устройства

Местоположение

Пользователь Оценка Время Метод доступа

Прочие атрибуты


Новое в ISE 1.2: Экосистема партнеров Cisco ISE Security Information and Event Management (SIEM) и Threat Defense

Mobile Device Management

Приоритезация событий, анализ пользователей/устройств

• ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense

решения

• Партнеры используют контекст для идентификации пользователей, устройств,

статуса, местоположения и привилегий доступа с событиями в SIEM/TD

• Партнеры могут предпринимать действия к пользователям/устройствам через ISE

Обеспечение защищенного доступа и соответствия устройства

• ISE является шлюзом политик для сетевого доступа мобильных устройств

• MDM обеспечивает ISE контекстом соответствия безопасности мобильного


• ISE связывает привилегии доступа с контекстом соответствия


Новое в ISE 1.2: Интеграция с MDMОценка соответствия мобильного устройства

Всесторонний защищенный доступ

Initial Posture Validation

MS Patches

Av and AS Installation

Application and Process

Running State

Интеграция с MDM

Проверка корпоративных и личных мобильных устройств

Новые

функции

MDM Policy Check

Статус регистрации устройства

Статус соответствия устройства

Статус шифрования диска

Статус установки блокировки экрана

Стасус Jailbreak

Производитель

Модель

IMEI

Серийный номер

Версия ОС

Номер телефона


Новое в ISE 1.2: Интеграция с MDM

5

7

Jail Broken

PIN Locked

Encryption ISE Registered PIN Locked MDM Registered Jail Broken


ISE + SIEM/TD БЛОКИРУЮТ СЕТЕВЫЕ УГРОЗЫ

SIEM / TD обнаруживает & направляет

в карантин пользователя

ISE сравнивает с политикой “Карантин”

Cisco Switch выполняет изменения в авторизации

Инфицированный пользователь переходит в

статус “ограниченный доступ”

Агрегируют и коррелируют данные об угрозах

Используют данные ISE для карантина пользователей и устройств

SIEM / TD

Предоставление контекста по устройствам и пользователям

Изменяет политики доступа в сети

ISE

Новое в ISE 1.2: SIEM/Threat Defense Тесная интеграция с информацией об угрозах


Матрица функциональных возможностей TrustSec Матрица функциональных возможностей TrustSec 2.1 Доступ для групп безопасности MACSec

Платформа Модели

Функции

802.1x /

иденти-

фикации

SGT SXP SGACL SG-FW Сенсоры

устройств

Коммута-

тор –

коммута-

тор

Клиент –

комму-

татор

Cat 2K 2960, 2960-S

Cat 3K 3560, 3650E, 3750, 3750E,

3750-X 3560-X x

3560 C

Cat 4K Sup 6E , Sup 6L-E

Sup 7E, Sup 7L-E

Cat 6K Sup32 / Sup720

Sup2T

Nexus 7K

Nexus 5K

ASR 1K

Pr1 / Pr2, 1001, 1002, 1004,

1006, 1013, ESP10/20/40,

SIP 10/40

ISR G2 88X 89X 19xx 29xx 39xx

ASA

Контроллер

беспроводной

локальной

сети

AnyConnect


Реализация политик

SG-ACL или SG-FW

Определение SGT

Политики SG-ACL Идентификация и классификация

пользователя / системы

Cisco ISE поддерживает не только инфраструктуру Cisco

Identity

Services

Engine

Nexus 7000

Nexus 5500*

Nexus 2000*

Catalyst 6500

Catalyst 4500

Catalyst 3k

WLC 7.2 *

В перспективе:

Catalyst 2k

Nexus 7000

Nexus 5500*

Nexus 2000*

Catalyst 6500 Sup 2T

Межсетевой экран

ISR*


ASR *

В перспективе:


ASA

Catalyst 3k-X

Catalyst 4k

trustsec и identity services engine - надежная поддержка управления...

Technology

web ise cisco cisco

web cisco

cisco trustsec

cisco andor

ae cisco

sgfw cisco

ace cisco ise

sga sga cisco