Архитектура безопасности Cisco SAFE

1© Cisco и (или) дочерние компании, 2015. Все права защищены. Конфиденциальная информация Cisco
Архитектура безопасности Cisco SAFE

Что лучше – зоопарк или целостная
система?

Сложность системы увеличивает
вероятность ошибки!

Точечные продукты не умеют «говорить» друг
с другом

Излишняя фокусировка на
предотвращении

Вендоры продают решения для борьбы с
сегодняшними угрозами…

Cisco SAFE - это решение
названных задач

Как защитить ваш центр обработки
данных?

Что нужно для защиты
данных, циркулирующих
между сегментами с
высокими и низкими
требованиями по
безопасности?

Как защитить данные платежных карт в
местах снятия наличных?

Каковы лучшие практики по защите
данных платежных карт, передаваемых по
беспроводной сети?

Cisco SAFE

Это действия и
противодействия
Это теория игр
Упрощенная, но действенная
модель
SAFE – это модель

Мы стартуем с
определения
актуальных угроз…

…и защищаемся от них.

• SAFE снижает сложность
• Игровая модель позволяет
упростить общение на одном
языке
• Достоверные и проверенные
архитектуры и дизайны с базовым
уровнем безопасности
Что такое SAFE?

• SAFE позволяет решить операционные проблемы на всем жизненном
цикле атаки «До — Во время — После» (Before – During – After)
• SAFE обеспечивает компаниям согласованность, необходимую для
обеспечения безопасности, защиты и проверки их сетей на ежедневной
основе
SAFE накладывается на жизненный цикл
атаки BDA
ДО
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ ПОСЛЕ
Контроль
Применение
политик
Сдерживание
Охват
Изоляция
Устранение
Жизненный цикл атаки
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
решения
Облако
Момент времени Непрерывно

• Снижение сложности
• Предоставление эталонной модели
• Целостный взгляд на защиту всего предприятия, а не только
отдельных его компонентов
• Интеграция всех компонентов между собой
• Возможность поэтапной реализации
Преимущества Cisco SAFE

С чего начать?

Ключ к Cisco SAFE

Мы должны защитить ключевые сегменты
Взгляд со стороны
инфраструктуры
Это буква «В»
в модели BDA
(выстраивание
системы отражения
вторжений)
ДО
Контроль
Применение
политик
Сдерживание

Взгляд со стороны
эксплуатации
Не забывать про непрерывность защиты
Это буквы «D» и «А»
модели BDA
(выстраивание системы
реагирования на
инциденты)
Блокировка
Защита
ВО ВРЕМЯ ПОСЛЕ
Охват
Изоляция
Устранение

Ключевые сегменты
Защищенный
ЦОД
филиал
Защищенная WAN
Защищенное облако
комплекс зданий
периметр

Обеспечение непрерывной безопасности

Защищенное управление
Управление устройствами и системами
с использованиемцентрализованных сервисов —
критически важно для согласованного внедрения
политик, управления изменением потокомопераций
и возможности обеспечения исправления систем.
Управление координирует политики,
объекты и изменения

Аналитика угроз
Обеспечивает глобальное определение и агрегацию
появляющегося вредоносного ПО и угроз.
Предоставляет инфраструктуру для динамического
применения политик, так как репутация согласуется с
учетом контекста новых угроз. Таким образом
обеспечивается комплексная и своевременная защита.

Соответствие требованиям
Регулирует политики, как внутренние, так и
внешние.
Показывает, как несколько средств
управления можно реализовать в одном
решении. Примеры соответствия
внешним требованиям — PCI DSS, СТО БР
ИББС, 382-П, ФЗ-152 и другие

Сегментация
Устанавливает границы для данных,
пользователей и устройств. В традиционной
ручной сегментации для применения политик
используется сочетание сетевой адресации, сетей
VLAN и возможностей межсетевого экрана. В
усовершенствованной сегментации
используется инфраструктура на основе
контекстной идентификации для применения
политик автоматически и с возможностью
масштабирования, что значительно снижает
трудности при эксплуатации

Защита от угроз
Обеспечивает мониторингнаиболее трудно выявляемых
и опасных угроз (например, целенаправленных атак).
Для этого используются такие возможности, как анализ
телеметрии и репутации сетевого трафика, а также учет
контекста. Обеспечивает возможности оценки характера и
потенциального риска подозрительной деятельности в сети с
целью принятия соответствующих мер для предотвращения
кибератаки

Защищенные сервисы
Включает такие технологии, как управление
доступом, виртуальные частные сети (VPN)
и шифрование. Также обеспечивает защиту
небезопасных сервисов, например,
приложений, инструментовсовместной
работы и беспроводного доступа

Ключ к Cisco SAFE

Архитектура Cisco SAFE

С чем мы боремся:
угрозы
Перенаправление
Добавление услуг
Черви
Вирусы
Пользователи,
выдающие себя за других
Шпионское ПО
Утечки
Трояны
Шпионские программы
Зомби
Команда
и управление
DDoS
Атаки нулевого дня
Разрушение
Просачивание наружу
Проникновение

Поэтапное упрощение вопроса
обеспечения безопасности
Фаза возможностей Фаза архитектуры Фаза дизайна

1. Этап «Возможности»

ЦОД
Банкомат
WAN
Дочернее
предприятие
Электронная
коммерция
Центральный офис
Банк
Интернет-
периметр
Соответствие
требованиям
Разбейте сеть на элементы и области

Говоря о возможностях, мы упрощаем
принятие решения, так как внимание
фокусируется на функциях продукта, а не на
самом продукте
Нам не нужен межсетевой экран, нам нужно
решение для разграничения сетевого трафика
У Cisco это может быть решено с помощью
многофункциональных устройств ASA,
маршрутизатора ISR с IOS Firewall,
виртуального устройства ASAv, маршутизатора
ASR с IOS Firewall, облачного МСЭ Meraki,
коммутаторов Catalyst 6000 с модулем МСЭ…
Возможности

Отдельные элементы

С помощью чего мы боремся: возможности
Управление
доступом
с использованием
TrustSec
Анализ/корреляция Обнаружение
аномалий
Анти-
вредоносное ПО
Анти-спам Мониторинг
и контроль
приложений (AVC)
Безопасность
клиента
Cisco Cloud Web
Security
Предотвращение
утечки данных
База данных Защита
от DDoS-атак
Шифрование
электронной
почты
Защита
почты
Коммутация
фабрики
Межсетевой
экран
Межсетевой
экран
Анализ потока Идентификация
Авторизация
Идентификация
Авторизация
вторжений
вторжений
Коммутация L2 Виртуальная
коммутация L2
Сеть L2/L3
Сеть L2/L3 Коммутация L3 Балансировщик
нагрузки
Регистрация
в журнале/
отчетность
Песочница
для вредоносного ПО
мобильными
устройствами
Мониторинг Политики/
конфигурация

Место в сети ДоверенныеНедоверенные
Межсетевой экран
Сеть L2/L3Оценка состояния
МСЭ веб-приложений
Балансировщик
нагрузки
Защита от DDoS-атакДоступ
уязвимостями
Политики/
МониторингРегистрация
в журнале/
Мониторинг
и контроль
Анализ/
корреляция
Безопасность веб-трафика
Совместно используемые
База данных
Сервер
Хранение
Приложение
Угрозы
Проникновение наружу
Трояны
Черви
Сервисы
вторжений
Стратегия возможностей

Видео
Голос
Клиент
Хранение
Сервер
МСЭ
веб-приложений
Разгрузка
TLS
Синхронизация
времени
VPN-
концентратор
Оценка
состояния
веб-трафика
Репутация/
фильтрация
вторжений
в беспроводной
сети
Беспроводное
подключение
Виртуальная
частная сеть
Политики/
Конфигурация
Анализ/
Корреляция
аномалий
Анти-
и контроль
приложений
клиента
Cisco Cloud Web
Security
Отказ
в обслуживании
(DDoS)
Защита
почты
МСЭ
Анализ потока
вторжений
вторжений
Сетевая
инфраструктура
Песочница
для вредоносного
ПО
вторжений
сети
ОблакоОбщ. доступ
СЕТЬКЛИЕНТ
СРЕДА
БЕЗОПАСНОСТЬ
ОБЩИЕ
Возможности SAFE
Доступ
ПРИЛОЖЕНИЕ
Балансировка
нагрузки
ПОЛЬЗОВАТЕЛЬ
Динамика развития возможностей
ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИ ПОВЕРХНОСТЬ АТАКИПОВЕРХНОСТЬ АТАКИ
ПРОВОДНАЯ
СЕТЬ
АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
БЕСПРОВОДНАЯ
СЕТЬ
сервера
в журнале/отчетность
Мост
конференции

Хранение
Сервер
МСЭ
Разгрузка
TLS
времени
VPN-
Репутация/
Политики/
Анализ/
аномалий
Анти-
и контроль
Отказ
в обслуживании
(DDoS)
Защита
почты
МСЭ
вторжений
вторжений
Сетевая
Песочница
для вредоносного
ПО
Общ. доступ
СРЕДА
ОБЩИЕ
Периметр
Доступ
нагрузки
ПРОВОДНАЯ
СЕТЬ
СЕТЬ
сервера

Видео
Голос
Клиент
времени
Оценка
состояния
вторжений
сети
Политики/
Анализ/
аномалий
Анти-
клиента
МСЭ
вторжений
вторжений
Сетевая
вторжений
сети
СРЕДА
ОБЩИЕ
Кампусная сеть
Доступ
ПРИЛОЖЕНИЕПОЛЬЗОВАТЕЛЬ
ПРОВОДНАЯ
СЕТЬ
СЕТЬ
Мост

Видео
Голос
Клиент
времени
Оценка
состояния
вторжений
сети
Политики/
Анализ/
аномалий
Анти-
клиента
Cisco Cloud Web
Security
МСЭ
вторжений
вторжений
Сетевая
вторжений
сети
СРЕДА
ОБЩИЕ
Филиал
Доступ
ПРОВОДНАЯ
СЕТЬ АНАЛИЗ WAN ОБЛАКО СЕРВИСПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
СЕТЬ

=
Хранение
Сервер
МСЭ
Разгрузка
TLS
времени
Политики/
Анализ/
аномалий
Анти-
и контроль
Защита
почты
МСЭ
вторжений
вторжений
Сетевая
Песочница
для вредоносного ПО
СРЕДА
ОБЩИЕ
ЦОД
Доступ
нагрузки
ПРОВОДНАЯ
СЕТЬ
СЕТЬ
сервера
Мост

Хранение
Сервер
времени
Репутация/
Политики/
Анализ/
аномалий
Анти-
и контроль
Cisco Cloud Web
Security
Сетевая
СРЕДА
ОБЩИЕ
Облако
Доступ
ПРОВОДНАЯ
СЕТЬ
СЕТЬ
сервера

времени
Политики/
Анализ/
аномалий
Анти-
МСЭ
вторжений
вторжений
Сетевая
СРЕДА
ОБЩИЕ
WAN
Доступ
ПРОВОДНАЯ
СЕТЬ
АНАЛИЗ WAN ОБЛАКО СЕРВИС
ПОЛЬЗОВАТЕЛЬ УСТРОЙСТВО
СЕТЬ

• Думайте как хакер и попробуйте взломать себя
• Думайте как аудитор и попробуйте пройти аудит
Моделирование возможностей
Это не страшно!

• Маппируйте риски,
угрозы и политики
• Найдите и
нейтрализуйте все
пробелы
• Оцените каждую
возможность;; если
вы не можете ее
реализовать -
уберите
Описание возможностейФилиал
—
Сопоставление

функций
безопасности
и
угроз
Политика:
минимизация

масштаба
PCI
Политика:
обеспечение
доступа

с
меньшими
привилегиями
Угроза:
индивидуальное

вредоносное
ПО
для
PoS
хоста Да
Антивирусное
ПО
Антивредоносное
ПО Да
Привилегии
ОС Да
VPN Да
МСЭ
хоста Да
Беспроводная
ТД
WPA
Контроллер
беспроводной
сети Да Да
WIPS
Идентификация/авторизация
Оценка
состояния Да
доступом
+
TrustSec Да Да
Анализ
потока Да
Сеть
L2/L3 Да
NGFW/маршрутизатор Да Да
МСЭ
Да Да
NGIPS
+
AVC Да Да
доступом
+
TrustSec Да Да
Усовершенствованное

антивредоносное
ПО Да
Анализ
потока Да
VPN
Аналитика
угроз Да
Cloud
Web
Security
+
TLS
Усовершенствованное

антивредоносное
ПО Да
Репутация/фильтрация/динамический

анализ
контента
веб-‐трафика
AVC
аномалий

2. Этап «Архитектура»

• Создание традиционного представления архитектуры
• Сопоставление возможностей с архитектурой
• Создание архитектуры, которая будет лучше всего отражать
идентифицированные угрозы
Создание архитектуры безопасности

Примерные компоненты архитектуры
Коммутатор L3
Балансировщик нагрузки
Nexus 1Kv
Маршрутизатор
Защищенный сервер Хранение
МСЭ Контроллер
беспроводной сети
Обнаружение вторжений
Защита электронной почты

• Какие возможности нужны?
• Какие компоненты архитектуры их могут реализовать?
Компоненты архитектуры и возможности
Коммутатор L3МСЭ

Коммутатор
уровня доступа
Политики/
и контроль
Анализ/
Совместно используемыеУгрозы
Трояны
Черви
Сервисы
Устройство
Хранение
Защищенный серверКоммутатор
с агрегацией сервисов
Устройство обеспечения
Стратегия архитектуры

Сеть
L2/L3
МСЭАнтивре-
доносное ПО
Аналитика
угроз
к внешним зонам
доступом +
TrustSec
к комплексу
зданий
к облаку
Межсетевой экран нового поколения
Зоны
обще-
доступ-
ных
серверов Сеть
L2/L3
и контроль
(AVC)
Защита
почты
Система
предотвра-
щения
вторжений
нового
поколения
Отказ
в обслужи-
вании
(DDoS)VPN-
хоста
МСЭ
Баланси-
ровщик
нагрузки
Транспорти-
ровка
Разгрузка
функций
транспортного
уровня
Интернет
SAFE упрощает обеспечение ИБ:
периметр

хоста
сеть
Беспроводная сеть
вторжений
сети
Оценка
состояния
доступом +
TrustSec
Сеть
L2/L3
Сеть L2/L3Безопасность
хоста
Оценка
состояния
доступом +
TrustSec
Анализ
потока
Сервисы
МСЭ Система
предотвращения
вторжений нового
поколения
Анти-
ПО
Анализ
потока
и контроль
(AVC)
VPN
Менеджер,
анализирующий информацию о продукте
Оператор, обрабатывающий
транзакции по кредитным картам
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения/маршрутизатор
к ЦОД
к облаку
WAN
SAFE упрощает обеспечение ИБ: филиал

хоста
сеть
Предотвра-
щение
вторжений
сети
Оценка
состояния
доступом +
TrustSec
Сеть
L2/L3
Сеть L2/L3Безопасностьхоста Идентификация Оценка
состояния
МСЭ Система
предотвра-щения
вторжений нового
поколения
Антивре-
Анализ потокаАналитика
угроз
VPN
Председатель правления,
отправляющий электронные сообщения акционерам
Менеджер по работе с
клиентами,
анализирующий базу
данных клиентов
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения
к ЦОД
WAN
Иденти-
фикация
Анализ потокаУправление
доступом +
TrustSec
доступом +
TrustSec
доступом +
TrustSec
Маршрутизатор
комплекс зданий

Сеть
L2/L3
доступом +
TrustSec
к комплексу
зданий
Зона общих
сервисов
Система
предотвра-
щения
вторжений
нового
поколения
Зона сервера
Зона
соответствия
стандартам PCI
Зона базы
данных
Анализ
потока
хоста
Баланси-
ровщик
нагрузки
Анализ
потока
МСЭ
Антивре-
Анали-
тика угроз
доступом +
TrustSec
Система
предотвра-
щения
вторжений
нового
поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть
L2/L3МСЭ VPN
Коммута-
тор
МСЭ веб-
Централизованное управление
Политики/
Мониторинг/
контекст
Анализ/
Аналитика
в журнале/
Аналитика
угроз
к периметру
Виртуализированные функции
WAN
SAFE упрощает обеспечение ИБ: ЦОД

Зона
общих
сервисов
Cisco Cloud Web Security
Облачный
сервис CRM
Интернет
Интернет
Сервис поиска
в Интернете
Аналитика
угроз
хоста
и контроль
(AVC)
Анти-
ПО
аномалий
Репутация/
к филиалу
SAFE упрощает обеспечение ИБ: облако

Интернет
Инженер
по эксплуатации,
размещающий
заказ
на выполнение
работ
Технический
специалист,
удаленно
проверяющий
журналы
Заказчик,
обновляющий
профиль
хоста
Иденти-
фикация
Оценка
состояния
МСЭ Антивре-
доносное
ПО
Репутация/
Система
предотвращения
вторжений
нового поколения
VPN
VPN
хоста
хоста
Межсетевой экран нового поколения
ВНЕШНИЕ ЗОНЫ
внешние зоны

3. Этап «Дизайн»

• Создание традиционного представления дизайна
• Выбор продуктов, содержащих функциональные возможности,
определенные в архитектуре
• Создание дизайна, наиболее подходящего для отражения ранее
определенных угроз, и учитывающего дополнительные
потребности инфраструктуры, например, высокую доступность,
производительность и затраты
Создание дизайнов для обеспечения

Примеры компонентов дизайна
Блейд-сервер
Catalyst для ЦОД
Защита
электронной почты
FirePOWER
Устройство
МСЭ
вторжений
Коммутатор L3
Балансировщик
нагрузки
Nexus 1Kv
Nexus для ЦОД
Nexus для фабрики
Nexus

Политики/
в журнале/
и контроль
Анализ/
Совместно используемыеУгрозы
Трояны
Черви
Сервисы
G0/0
G0/1
G0/2
E1/2
E1/1
E1/1
E1/2
G0/0
G0/1
E2/1-4
E2/1-4
E2/5-8
E2/5-8
G0/3
E1/1
E1/2
E2/1-4
E2/1-4
G0/2
G0/3
E1/1
E1/2
E1/3
E1/4
P1
P2
P3
P4
P1
P2
P3
P4
E1/3
E1/4
E1/1
E1/2
E1/1
E1/2
E2/1-4
E2/1-4
E2/5-8
E1/5-8
E2/5-8
E1/5-8
E1/5-8
E1/1-4
E1/1-4
E1/5-8
P1
P2
E1/3
E1/3
SAN/NAS
UCS 5108
UCS 5108
ASA5555-x
ASA5555-x
N77-C7706
N77-C7706
WAF-BBX UCS-FI-6248UP
WAF-BBX UCS-FI-6248UP
WS-C3850-48U
Стратегия дизайна

Почему SAFE — это просто?

Таким образом, вы сможете начать диалог очень просто, с описания возможностей

Затем переходите к архитектурам, по которым вы можете быть доверенным
консультантом

Прежде чем перейти к обсуждению более сложных дизайнов и функций
продуктов

Manager researching product information
Clerk processing credit card transaction
Vendor remotely checking logs

Где взять Cisco SAFE?

Где найти?
www.cisco.com/go/cvd www.cisco.com/go/safe

Структура справочных материалов
по архитектуре SAFE
создания общей
картины
Архитектуры
компонентов/
областей
Утвержденные
дизайны (CVD)
Обзор SAFE
Руководство
по архитектуре
Инструкции
Краткий обзор
DIG
создания общей
картины
Руководство
по архитектуре
Дизайны CVD
Руководство «Обзор Safe»
Руководство по архитектуре
для защищенного ЦОД
Как развертывать кластер ASA
Краткое руководство по созданию
защищенного ЦОД
Создание кластера ASA с сервисами
FirePOWER

На сайте Cisco документы уже есть!

Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

Архитектура безопасности Cisco SAFE

Архитектура безопасности Cisco SAFE

More Related Content

What's hot (20)

Similar to Архитектура безопасности Cisco SAFE (20)

More from Cisco Russia (20)

Архитектура безопасности Cisco SAFE