Как маршрутизатор Cisco ISR помогает выполнить требования PCI DSS
0 likes1,335 views
Документ описывает систему безопасности маршрутизаторов Cisco IOS и её соответствие требованиям стандарта PCI. Ключевые требования включают установку конфигурации межсетевого экрана, шифрование данных, управление доступом к данным и использование антивирусного программного обеспечения. Также рассматриваются механизмы отслеживания доступа и предотвращения вторжений для обеспечения целостности и безопасности данных.
Как маршрутизатор Cisco ISR помогает выполнить требования PCI DSS
- 1. Система безопасности маршрутизатора Cisco IOS: обеспечение соответствия требованиям стандарта PCI Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 1
- 2. Система безопасности Cisco IOS обеспечивает соответствие требованиям стандарта PCI Обеспечение Требование стандарта PCI безопасности Требование 1 стандарта PCI: установка и поддержка конфигурации межсетевого экрана Межсетевой экран Cisco IOS для защиты данных Требование 2 стандарта PCI: запрет на использование предоставляемых поставщиком Программное обеспечение стандартных значений для системных паролей и других параметров безопасности Cisco IOS Требование 3 стандарта PCI: защита хранимых данных Недоступно Требование 4 стандарта PCI: шифрование передачи данных держателей карт и Решения для VPN Cisco IOS конфиденциальной информации в общедоступных сетях Требование 5 стандарта PCI: использование и регулярное обновление антивирусных Cisco IOS Scansafe программ Connector Требование 6 стандарта PCI: разработка и обслуживание защищенных систем и Функция NAC Cisco IOS приложений Требование 7 стандарта PCI: ограничение доступа к данным по принципу необходимого Межсетевой экран Cisco IOS знания на основе идентификации Требование 8 стандарта PCI: назначение уникального идентификатора каждому Центр сертификации Cisco пользователю, имеющему доступ к компьютеру IOS, 802.1x Требование 9 стандарта PCI: ограничение физического доступа к данным держателей карт Недоступно Требование 10 стандарта PCI: отслеживание и контроль всех попыток доступа к сетевым Cisco IOS Syslog, MIB и ресурсам и данным держателей карт Netflow Требование 11 стандарта PCI: регулярная проверка систем и процессов обеспечения Система предотвращения безопасности вторжений (IPS) Cisco IOS Требование 12 стандарта PCI: поддержка политики, которая обеспечивает Cisco CLI, CCP, CSM и CCE информационную безопасность Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 2
- 3. Требование 1 стандарта PCI: установка и поддержка конфигурации межсетевого экрана для защиты данных Межсетевой экран Cisco IOS с политикой на основе зон Позволяет группировать физические и Поддерживаемые функции виртуальные интерфейсы в зоны. Проверка уровня 3-7 с учетом состояния Политики межсетевого экрана настроены Проверка приложений: IM, POP, на передачу трафика между зонами. IMAP, SMTP/ESMTP, HTTP, SIP, Skinny, FTP, TFTP и т. д. Простота добавления или удаления Фильтрация URL-адресов интерфейсов и их интеграции в политику Параметр для каждой политики межсетевого экрана Прозрачный межсетевой экран Межсетевой экран с поддержкой Политика VRF закрытой ДМЗ Демили Политика таризов закрытой ДМЗ анная Политика зона открытой ДМЗ Надежная Интернет Ненадежная зона зона Закрытая-открытая политика Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 3
- 4. Требование 2 стандарта PCI: запрет на использование предоставляемых поставщиком стандартных значений для системных паролей Безопасная работа устройств Cisco IOS Функция безопасности Действие и преимущество Cisco® IOS® Шифрованный доступ через Шифрование доступа к SDM на основе web-интерфейса с помощью HTTPS. web-интерфейс Шифрованный доступ к CLI Telnet CLI и HTTPS защищены с помощью шифрования по протоколам SSHv2 и SSL. Протокол SNMPv3 обеспечивает защищенное управление при использовании готовых и настраиваемых приложений. Защищенный доступ к Cisco IOS поддерживает шифрование по стандартам DES и AES. функциям управления Недавно институт SANS определил самую важную проблему в области безопасности, следующую за такими основными проблемами, как пароли. Обеспечение более высокого уровня безопасности по сравнению со стандартными предраспределенными Инфраструктура открытых ключами. ключей (PKI) Исключение возможности попадания предраспределенных ключей в руки злоумышленников. Закрытый ключ, Защита от использования маршрутизаторов, захваченных злоумышленниками: если злоумышленник пытается защищенный алгоритмом изменить конфигурацию, закрытый ключ стирается, что приводит к невозможности использования устройства. RSA Сервер сертификатов Облегченный сервер сертификатов, входящий в состав Cisco IOS, для упрощения развертываний. Интеграция AAA Возможность простого хранения разрешений пользователей или групп на сервере AAA. Проверка безопасности Предоставление журнала аудита изменений конфигурации Доступ к интерфейсу Предоставление отдельных наборов команд и уровней доступа. командной строки (CLI) на Процесс создания политик происходит независимо от выполнения текущих операций, что способствует более основе ролей эффективной подотчетности. Регистрация изменения конфигурации для отдельных пользователей и отдельных сеансов обеспечивает Настройка и регистрация достоверное ведение журналов. событий Более высокий уровень прозрачности и подотчетности, большая уверенность в действии механизма отчетности. Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 4
- 5. Требование 4 стандарта PCI: шифрование передачи данных держателей карт Ведущие в отрасли решения для VPN Cisco IOS Решение Основные технологии Стандартный Полное соответствие стандартами для взаимодействия с протокол IPSec другими поставщиками Сеть VPN с топологией «звезда»: Enhanced Easy VPN — динамические интерфейсы виртуальных туннелей (VTI), внедрение обратной маршрутизации, динамический проброс политики, высокая Расширенная масштабируемость сеть VPN по Направленный IPSec + GRE или DMVPN с динамической маршрутизацией схеме «узел- VPN с топологией «сеть-сеть»: Динамическая многоточечная узел» сеть VPN (DMVPN) — сети VPN по запросу (частичная mesh- (site-to-site) топология) VPN с топологией «любой-к-любому»: Group-Encrypted Transport (GET) VPN — отсутствие туннелей «точка-точка» Easy VPN (IPSec): динамический проброс политики Cisco и Расширенная БЕСПЛАТНЫЕ VPN-клиенты для платформ Windows, Linux, сеть VPN Solaris и Mac удаленного SSL VPN: предварительная установка клиента не требуется; доступа безопасность оконечных устройств обеспечивается с помощью защищенной настольной системы Cisco Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 5
- 6. Требование 5 стандарта PCI: использование и регулярное обновление антивирусных программ Решение Cisco IOS по фильтрации контента и защите от вирусов, предоставляемое серверами Scansafe в облачной среде Филиал, розничное предприятие или домашний офис Офис предприятия Интернет ISR G2 с программой Scansafe Утвержденный Connector контент Web-службы безопасности и фильтрации Scansafe Заблокированные Заблокированные файлы URL-адреса Заблокированный контент Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 6
- 7. Требование 6 стандарта PCI: разработка и обслуживание защищенных систем и приложений с помощью установленных обновлений системы безопасности от поставщиков Функция управления доступом в сеть Cisco IOS обнаруживает и изолирует несовместимые устройства Серверы, предпринимающие Реализация Обеспечивает действие попытки доступа в сеть прав доступа на основе Сервер Сервер состояния безопасности политики поставщика Учетные Учетные (AAA) Учетные оконечных устройств данные данные данные Позволяет использовать EAP/UDP, RADIUS HTTPS только совместимые и EAP/802.1x Права доверенные оконечные доступа Соответствует? Уведомление устройства Cisco Trust Agent Ограничивает доступ несовместимых устройств в сеть Коалиция ведущих поставщиков Поддерживает несколько поставщиков AV и ПО для безопасности настольных систем, включая Cisco® Security Agent Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 7
- 8. Требование 7 стандарта PCI: ограничение доступа к данным по принципу необходимого знания Межсетевой экран Cisco IOS на основе идентификации пользователей или групп 2.1.1.2 : пользователь: Мария Межсет евой экран 2.1.1.1 : пользователь: Иван TAG Ивана: отказать в доступе к HR, проверить HTTP/FTP TAG Марии: отказать в доступе к Eng, проверить http/smtp Интернет Головные ограничение скорости для p2p/im 1.1.1.1 : пользователь: Иван офисы Поддерживает интеграцию политик межсетевого экрана на основе зон с MS Active Directory и LDAP для ограничения доступа выбранных пользователей или групп к определенным данным и (или) приложениям. Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 8
- 9. Требование 8 стандарта PCI: назначение уникального идентификатора каждому пользователю, имеющему доступ к компьютеру Контролируемый доступ к сети с помощью стандарта 802.1x Cisco IOS и упрощенное развертывание инфраструктуры открытых ключей (PKI) Контролирует пользователей, получающих доступ к сети 802.1x, NAC уровня 2 NAC, ACL, безопасность портов, уведомления MAC-адресов Безопасное управление RADIUS/TACAC+, SSH, SNMPv3 Easy VPN также поддерживает сертификаты PKI и может использовать сервер клиентского доступа Cisco® IOS® для регистрации Соблюдение принципов идентификации по стандарту 802.1x Цифровой Цифровой сертификат сертификат Маршрутизатор филиала или Сервер AAA домашний маршрутизатор с клиентом EzVPN WAN Офис Маршрутизатор предприятия филиала стандарта 802.1x Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 9
- 10. Требование 10 стандарта PCI: отслеживание и контроль всех попыток доступа к сетевым ресурсам и данным держателей карт Cisco предоставляет несколько вариантов контроля событий Действие системы CS-MARS защиты сети Журнал межсетевого Событие IDS экрана Настройка Журнал коммутатора Серверы Syslog Настройка коммутатора межсетевого экрана Настройка NAT Все компоненты Cisco IOS могут отправлять события с помощью сообщений Syslog Настройка маршрутизатора . . NetFlow . SNMP (через MIB) Изолированные события Функция Netflow Cisco IOS Сеансы Идентификация и классификация атак Отслеживание атак вплоть до их источника Правила Проверка Система управления безопасностью Cisco MARS (CS-MARS) Допустимые инциденты Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 10
- 11. Требование 11.4 стандарта PCI: использование систем обнаружения и предотвращения вторжений в сеть Система предотвращения вторжений (IPS) Cisco IOS обеспечивает распределенную защиту от атак Cisco® IOS® IPS блокирует атаки в точке входа, обеспечивает безопасность полосы пропускания глобальной сети и защищает маршрутизатор и удаленную сеть от DoS-атак. Отсутствие привязки к процессу передачи данных — возможность защиты любого типа интерфейсов LAN, WAN, WLAN в обоих направлениях трафика, включая 3G, T3/E3 и MPLS. Поддержка сигнатур более 3 700 различных атак, использующих одну базу данных сигнатур, находящуюся на изолированных датчиках IPS Cisco. Возможность использования настраиваемых наборов сигнатур и действий, а также автоматические загрузки обновлений сигнатур для быстрого реагирования на новые угрозы. Защита маршрутизатора Остановка атак и локальной до их сети от DoS-атак распространения Филиал по глобальной сети Офис Интернет предприятия Применение системы Небольшой предотвращения вторжений филиал Небольшой офис (IPS) к трафику из филиалов и удаленный для уничтожения червей с сотрудник зараженных компьютеров Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 11
- 12. Требование 12 стандарта PCI: поддержка политики, которая обеспечивает информационную безопасность Cisco предоставляет целый ряд возможностей по настройке функций и политик обеспечения безопасности на маршрутизаторах. Интерфейс командной строки (CLI) Cisco IOS Средства для профессионального управления конфигурацией Cisco (CCP) Простота использования: интеллектуальные мастеры, встроенные учебники Интеллектуальные приложения: база знаний конфигураций Cisco IOS, утвержденных центром технической поддержки (TAC) Интегрированное управление услугами: маршрутизация, коммутация, обеспечение безопасности, беспроводная связь, качество обслуживания, голосовая связь Cisco Security Manager (CSM) Поддержка представлений «Устройство», «Политика» и «Топология» Поддержка нескольких функций безопасности и устройств Cisco (ASA, ISR, IPS) Система настройки Cisco Configuration Engine (CCE) для крупномасштабных развертываний Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 12
- 13. Presentation_ID © 2006 Cisco Systems, Inc. Все права защищены. Конфиденциальная информация Cisco 13