Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Download as PPTX, PDF0 likes754 views
Документ описывает сервис безопасности Cisco ScanSafe, предлагающий защиту веб-доступа как облачную услугу. Он рассматривает преимущества использования SaaS, включая нулевые капитальные затраты и простоту внедрения, а также детали архитектуры и масштабируемости решения. Включены также вопросы уязвимости веб-приложений и типы угроз, а также примеры успешного применения службы безопасности в различных организациях.
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
- 1. Cisco ScanSafeЗащита web-доступа как услуга “из облака”Павел Антонов, Инженер-консультантpaantono@cisco.com
- 2. Эволюция сервисов безопасностиОт приобретения оборудования до SaaSУслуги из облакаУслуги Managed ServicesСобственная инфраструктура
- 3. Мобильные сотрудникиГраницаустройстваГраницаобъектаГраницаприложенияРост популярностиперсональных устройствПриложениядля внешнихпользователейВнутренниеприложенияИзменение условий: размывание границ“Облачные” сервисыIaaS,SaaS
- 4. Преимущества SaaSНулевые CapExПредсказуемые OpExОсвобождение ресурсов для бизнес задачМинимальные сроки внедренияПростые и удобные средства управленияОткройте новые возможности
- 5. "Облачная" система безопасности CiscoMulti-tenant архитектура для обслуживания множества заказчиков
- 6. Распределенная масштабируемая платформа с резервированием
- 7. Постоянное наращивание производительности и внедрение новых ЦОД
- 8. Глобальная система мониторинга угроз
- 9. Встроенная система управления и формирования отчетов
- 10. Глобальная платформа для мобильных пользователейЭволюция Интернет угроз – фокус на Web
- 11. HTTP – это новый TCP?FTPIMWeb-трафик7
- 12. Web страница –рецепт зараженияКак работает web сайт?HTMLкод содержит список ссылок на объекты Получая этот список web-браузер скачивает с указанных источников все объекты, включая: Файлы с изображениями
- 13. Скрипты
- 14. Исполняемый код
- 15. Другие web-страницыТипичное поведение Вашего браузераАдресов в браузере: 1
- 17. Изображений: 66с 18 разных доменов
- 20. Flash объектов: 8 c 4доменовУязвимая экосистема Web браузеровSANS Top 20 Security Riskshttp://www.sans.org/top20/#c1IE and Firefox vulnerable“…hundreds of vulnerabilities in ActiveX controls installed by software vendors have been discovered.”Media Players & Browser Helper Objects (BHO)RealPlayer, iTunes, Flash, Quicktime, Windows Media
- 21. Explosion of BHOs and third-party plug-ins
- 22. Plug-ins are installed (semi) transparently by website. Users unaware an at-risk helper object or plug-in is installed … introducing more avenues for hackers to exploit users visiting malicious web sites.Уязвимые Web серверыSANS Top 20 Security Riskshttp://www.sans.org/top20/#s1“Web application vulnerabilities account for almost half the total number of vulnerabilities being discovered in the past year**. These vulnerabilities are being exploited widely to convert trusted web sites into malicious servers serving client-side exploits and phishing scams.”** including open-source and custom-built applications
- 23. Пример: зараженная web-страницаСкрытая ссылка на скрипт в HTML коде
- 25. Кто такой ScanSafe?AwardsSecurity product of the year 2008Профиль компании:Основана в 2004г.
- 26. Пионер и мировой лидер в области SaaS услуг Webбезопасности
- 27. Клиенты - от SMBдо Large Enterprise в более чем 100 странах
- 28. 100% Uptime за всю историю предоставления услуги
- 29. Является подразделением Cisco с Декабря 2009г.CustomersPartners
- 30. Обзор решения
- 32. 100% доступность сервиса за всю историю
- 33. SLAпо непрерывности и эффективности работыМасштабируемостьMultitenant архитектура
- 34. Обрабатывает ~3Млрд.web-транзакций в день
- 35. Постоянное масштабированиеАрхитектура защиты от Web-угроз 2 антивирусных движка (Symantec+ЛК)
- 36. False Positive \ False Negative rate < 0,0004%
- 37. Гарантированная доступность – 99,999%Фильтрация контента Web 2.0Традиционная URL-фильтрацияРасширенная функциональность Протоколы HTTPS, FTP over HTTP
- 38. DLP,«предупредить, но не блокировать» (AUP) ианонимизацияДинамическая классификация неизвестных сайтов За 1/1000 секунды
- 39. Эффективность детектирования сайтов для взрослых, криминальных и т.п. = 99%Обработка поисковых запросов SearchAhead Классификация и уведомление пользователя© 2005 Cisco Systems, Inc. All rights reserved.
- 40. Как трафик попадаетв облакоОпция 1 – при помощи имеющейся инфраструктуры заказчикаС изменениями настроек браузера:Настройки Proxy загружаются на компьютерыиз AD (GPO / PAC file)или по DHCPМСЭ блокирует исходящий HTTP трафик на все адреса кроме ScanSafeБез изменения настроек браузера:Имеющееся у заказчика устройство перенаправляет трафик в облако помощи функций Cascade Proxy или Port ForewardОпционально -Passive Identity Management (PIM):В HTTP-запросы пользователей добавляется защищенная (хеши) информация об имени пользователя/группы при помощи Login скриптов/GPOПрозрачно для пользователя
- 41. Как трафик попадает в облако Опция 2 – при помощи ConnectorПО ScanSafe ConnectorУстанавливается и настраивается один раз, в дальнейшем не требует администрирования и обновленийПеренаправляетWeb трафик в облакоОтвечает за взаимодействие с AD и предоставляет в облако защищенную информацию о пользователе/группеВ будущем – функциональность Connector интегрированная в маршрутизаторы и МСЭCisco
- 42. Как трафик попадает в облако Опция 3 – клиент Anywhere+ для мобильных пользователейФакт: Мобильные пользователи только 17% времени в Интернет проводят в корпоративном VPN. Как контролировать оставшиеся 83%?Устанавливается как сетевой драйвер, незаметен для пользователяАвтоматически определяет ближайшийк пользователю ЦОДПеренаправляетWeb трафик пользователя в облакоОбеспечивает User/Group GranularityЗащищен от выключения пользователем
- 43. Интеграция ScanSafe c маршрутизаторамиCisco ISRG2ISRG2 c интегрированным ConnectorИнтернетОблако ScanSafeИнтернет трафикФилиалВнутренний VPNтрафикHQУдобное перенаправление web-трафика в облако ScanSafeГибкие возможности внедренияОптимальные пути прохождения трафика
- 44. Единый клиент – Cisco AnyConnect 3.0С интегрированным Anywhere+ScanSafeИнтернет трафикVPNтрафикв офисCisco AnyConnectSecure Mobility Client
- 45. Клиентский портал ScanCenterНастройка политик, отчеты, мониторингВсе настройки выполняются на порталеБолее 5000 шаблонов отчетовВозможность создания своих шаблонов отчетов и политик 75 анализируемых параметровтрафикаОтчеты по расписаниюИнформация как по клиенту так и глобальные тенденции
- 46. УсловияПолнофункциональный пробный доступ на 30 дней
- 48. По кол-ву рабочих мест– несколько $ за одно рабочее место в месяц (зависит от общего числа рабочих меств организации)
- 49. По полосе пропускания – Стоимость за 1Мбит/c пропускаемого Web-трафика. Предназначенодля отелей, кафе, аэропортов, магазинов.© 2005 Cisco Systems, Inc. All rights reserved.
- 50. Примеры использованияНадежностьДецентрализацияУнификацияЗадачаWeb 2.0стал неотъемлемым инструментом бизнеса , необходима передовая защитаРезультаты“Ряд механизмов безопасности лучше реализовывать в "облаке" для повышения уровня защищенности”ЗадачаДля поддержки офисов по всему миру и мобильных пользователей требовались существенные ресурсыРезультаты“Достоинством решения является невиданная ранее простота развертывания"ЗадачаТребовалось обеспечить развертывание политик и обеспечение отчетности по множеству объектовРезультаты"Контроль за ситуацией восстановлен, изменения политики распространяются практически мгновенно"В чем преимущество ScanSafe?Защита основного канала распространения угроз: Защиты от ВПО, ограничение доступа к сайтам по категориям, DLP, проверка HTTPS
- 51. Предсказуемые затраты: переход от CapExкOpEx
- 52. Для клиентов с большим кол-во филиалов: нет необходимости покупать много устройств или пропускать весь трафик через HQ
- 53. Для клиентов с мобильными сотрудниками: возможность обеспечить защиту от угроз и политику доступа в Интернет вне зависимости от местоположения сотрудника
- 54. Унификация и централизация: настройка политик и мониторинг из одной точки
- 55. Скорость внедрения:Не нужно ждать оборудования и окончания его запускаСпасибо!http://www.facebook.com/CiscoRuhttp://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMediahttp://www.flickr.com/photos/CiscoRussiahttp://vkontakte.ru/Cisco
- 56. Справочная информация“Облачная” безопасность Ciscohttp://www.cisco.com/go/cloudsecurityРешения и продукты Cisco в области ИБhttp://www.cisco.com/go/security(eng)http://www.cisco.com/web/RU/products/vpn.html (рус)Центр ИБSecurity Intelligence Operationshttp://tools.cisco.com/security/center/home.xЕжегодный отчет Cisco о угрозах ИБhttp://www.cisco.com/en/US/prod/vpndevc/annual_security_report.htmlБрошюры по ИБhttp://www.cisco.com/web/RU/broch.html(рус)