Краткий обзор Cisco TrustSec
1 like3,758 views
Документ предоставляет общий обзор архитектуры Cisco SecureX и решения Cisco TrustSec, предназначенных для обеспечения безопасности сетей без границ. Он подчеркивает важность контекстуального доступа и идентификации пользователей и устройств для управления безопасностью в условиях мобильности и облачных технологий. Решение TrustSec интегрирует функции управления доступом, профилирования и мониторинга, обеспечивая защиту данных и соответствие нормативным требованиям.
Краткий обзор Cisco TrustSec
- 1. Краткий обзор © Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками Cisco и (или) ее филиалов в США и ряде других стран. Для просмотра перечня товарных знаков Cisco перейдите по адресу www.cisco.com/go/trademarks. Прочие товарные знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев. Использование слова «партнер» не означает наличия партнерских отношений компании Cisco с какой-либо другой компанией. (1110R) Архитектура Cisco SecureX Разработанная компанией Cisco ® концепция «сети без границ» меняет структуру сети, обеспечивая предоставление доступа любому пользователю, из любой точки мира, в любое время, с помощью любого устройства. Архитектура Cisco SecureX — это архитектура нового поколения для систем обеспечения безопасности с учетом контекста, соответствующая растущим потребностям сети без границ в защите. Учет контекста и защищенный доступ Взрывной рост числа потребительских информационных устройств, необходимость в поддержке совместной работы в глобальном масштабе и переход к облачным технологиям и сервисам виртуализации означает, что традиционные границы корпоративных сетей уходят в прошлое. Потребность в мобильности сотрудников, поддержке совместной работы и продуктивности никогда не была столь острой. Архитектура Cisco TrustSec ® отражает фундаментальные изменения, позволяя вам видеть, кто и с помощью какого устройства подключен к вашей проводной или беспроводной сети, а также предоставляет лидирующие в отрасли средства управления, определяющие, что пользователь может сделать и какими ресурсами может воспользоваться, находясь в сети. Cisco TrustSec обеспечивает безопасность сетей клиентов за счет формирования и реализации политик доступа на основе идентификации и контекста для пользователей и устройств, одновременно защищая критически важные данные в масштабе всей сети. Cisco TrustSec является основополагающим элементом архитектуры Cisco SecureX Architecture™ и сетей без границ. TrustSec допускает комбинацию с персонализованными, профессиональными сервисами для упрощения развертывания решения и управления им. К сети может подключиться любой. Cisco TrustSec обеспечивает безопасность подключения. Реализация политик доступа на основе идентификации и контекста является критически важным фактором защиты сетей без границ • Кто? Идентификация пользователей и устройств и предоставление дифференцированного доступа в динамичной среде без границ • Что? Реализация политик в отношении растущей массы потребительских устройств и средств, позволяющих подключаться к сети • Где? Традиционные границы размыты. Необходима реализация политики доступа для пользователей и устройств независимо от их местонахождения • Каким образом? Установление, мониторинг и обеспечение соблюдения единообразных глобальных политик доступа для всех трех методов доступа: проводного, беспроводного и по VPN Cisco TrustSec защищает сети без границ TrustSec является платформой на основе политик, которая обеспечивает интеграцию сервисов оценки состояния, профилирования и гостевых функций для принятия решений по управлению доступом с учетом контекста. Решение TrustSec уникально тем, что строится на основе имеющейся инфраструктуры с учетом идентификационных данных путем реализации этих политик с возможностью дальнейшего масштабирования. Решение CiscoTrustSec: • Способствует повышению продуктивности бизнеса. Оно дает растущему числу мобильных сотрудников и высококвалифицированных специалистов доступ к нужным ресурсам с гарантированной защитой • Обеспечивает безопасность и устранение рисков, связанных с несоответствием нормативным требованиям. Решение дает полное представление о том, кто и с помощью каких устройств подключается к сети, а также позволяет контролировать, к каким ресурсам пользователь имеет доступ и что он может делать. • Повышает эффективность работы ИТ-персонала. Снижает нагрузку ИТ-служб за счет централизованных сервисов безопасности, интегрированного управления политиками и масштабируемых механизмов реализации политик Обзор Cisco TrustSec Cisco TrustSec® ИНТЕЛЛЕКТУАЛЬНЫЙ ЗАЩИЩЕННЫЙ ДОСТУП ДЛЯ СЕТЕЙ БЕЗ ГРАНИЦ
- 2. Краткий обзор © Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками Cisco и (или) ее филиалов в США и ряде других стран. Для просмотра перечня товарных знаков Cisco перейдите по адресу www.cisco.com/go/trademarks. Прочие товарные знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев. Использование слова «партнер» не означает наличия партнерских отношений компании Cisco с какой-либо другой компанией. (1110R) Полная прозрачность • Организация сети с контролем идентификационных данных. Cisco TrustSec поддерживает методы гибкой аутентификации (FlexAuth), в том числе IEEE 802.1X, web- аутентификацию (WebAuth) и обход аутентификации по MAC-адресам (MAB), используя сеть для идентификации пользователей и устройств • Оптимизированное профилирование устройств. Автоматически выполняется идентификация и классификация устройств путем сбора данных об оконечных устройствах с помощью сетевых сенсоров устройств в коммутационной инфраструктуре Cisco Catalyst ® . Результаты классификации дополнительно уточняются с использованием технологии направленного активного сканирования оконечных устройств на основе политик. Примечание. Сенсоры устройств вскоре будут предусмотрены в контроллерах беспроводной локальной сети Cisco • Гостевой доступ и управление жизненным циклом. Приглашенные сотрудниками гости получают ограниченный доступ к определенным ресурсам (Интернет, принтеры и т. д.) через персонализированный web-портал. Доступ к внутренней сети блокируется, а действия пользователя отслеживаются и фиксируются для отчета Абсолютный контроль • Централизованная политика и ее реализация. Платформа централизованных политик поддерживает формирование скоординированных политик и единообразную реализацию политик на основе контекста в масштабе всей корпоративной инфраструктуры, включая центральный офис, филиалы и удаленных пользователей. Устройства, не соответствующие требованиям, могут быть подвергнуты карантину или восстановлены до требуемого состояния, либо им может быть предоставлен ограниченный доступ • Независимое от топологии управление доступом. Новая революционная технология доступа для групп безопасности (Security Group Access, SGA), позволяет клиентам трансформировать свои бизнес-цели в решения по управлению доступом к сети. Технология SGA объединяет управление доступом на основе ролей с масштабируемыми, согласованными механизмами авторизации и реализации политик, которые не зависят от топологии сети • Сохранение целостности и конфиденциальности данных. Пути к данным от оконечного устройства-клиента до ядра сети могут подвергаться шифрованию с использованием стандарта IEEE MAC Security (802.1AE MACsec). Шифрование MACsec обеспечивает защиту данных на скорости передачи канала, одновременно допуская проверку потоков данных с помощью таких технологий, как NetFlow Эффективное управление • Унифицированная платформа. Платформа объединяет функции аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единого унифицированного устройства, результатом чего являются упрощенное развертывание, наличие единой точки управления и снижение совокупной стоимости владения • Мониторинг, управление и диагностика. Централизованное корпоративное управление на основе политик и обеспечение соответствия нормативным требованиям предполагает централизованный мониторинг и отслеживание пользователей и устройств для поддержания соответствия политике. В платформе предусмотрены сложные процедуры диагностики, детализированный аудит, а также формирование как отчетов в реальном времени, так и хронологических отчетов • Интеграция с системой управления сетевым оборудованием (NCS) Cisco Prime™. Платформа обеспечивает унифицированное представление всех сетевых функций для упрощения работ по управлению сетью Компоненты развертывания Cisco TrustSec SS C Cisco Identity Services Engine образует платформу централизованных политик на основе идентификации для принятия решений по управлению доступом с учетом контекста в масштабе всей инфраструктуры проводной, беспроводной и VPN-сети. Identity Services Engine объединяет функции аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единого унифицированного устройства, обеспечивая единую точку управления политиками, мониторинга и диагностики. Инфраструктура Cisco на основе TrustSec использует существующую инфраструктуру Cisco со встроенными функциями TrustSec: • FlexAuth (802.1X, WebAuth, MAB): все платформы коммутаторов Cisco Catalyst • Сенсоры устройств: Cisco Catalyst серии 3000, Cisco Catalyst серии 4000 с Supervisor Engine 7-E, контроллеры беспроводной локальной сети Cisco • Доступ для групп безопасности: - Cisco Catalyst серий 3000 и 4000: только SXP - Cisco Catalyst серии 6000: SXP, SGT, SGACL - Cisco Nexus ® серий 7000 и 5000: SXP, SGT, SGACL - Маршрутизаторы Cisco с интеграцией сервисов: SXP, SG-FW
- 3. Краткий обзор © Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками Cisco и (или) ее филиалов в США и ряде других стран. Для просмотра перечня товарных знаков Cisco перейдите по адресу www.cisco.com/go/trademarks. Прочие товарные знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев. Использование слова «партнер» не означает наличия партнерских отношений компании Cisco с какой-либо другой компанией. (1110R) C45-653057-02 02/12 - Маршрутизатор Cisco ASR серии 1000 с агрегацией сервисов: SXP, SG-FW - Контроллер беспроводной локальной сети Cisco: только SXP - VDI и Cisco AnyConnect™ + RDP • Шифрование MACsec: клиенты Windows с Cisco AnyConnect 3.0, Cisco Catalyst серий 3560-C/X и 3750-X, Cisco Catalyst серии 4000 с Supervisor Engine 7-E, Cisco Catalyst серии 6000 с Supervisor Engine 2T, Cisco Nexus серии 7000 Матрица функций TrustSec, доступных на различных платформах Cisco, приведена по адресу www.cisco.com/go/trustsec. Cisco AnyConnect Secure Mobility Client и запрашивающий клиент 802.1X • Обеспечивает аутентификационные учетные данные зарегистрированных пользователей для сетевых устройств Cisco с поддержкой 802.1X, включая коммутаторы, маршрутизаторы и устройства беспроводного доступа Cisco • Cisco AnyConnect 3.0 включает запрашивающий клиент 802.1X для Windows и функцию шифрования 802.1AE MACsec на первом переходе к коммутаторам Cisco с поддержкой MACsec (Cisco Catalyst серий 3560-C/X и 3750-X, Cisco Catalyst серии 4500 с Supervisor Engine 7-E) Профессиональные услуги Экономичные услуги экспертов по планированию, развертыванию и управлению для любого решения Cisco TrustSec: • Анализ политик безопасности • Анализ архитектуры безопасности • Разработка специализированной стратегии проекта • Контролируемое развертывание в полном объеме • Обучение персонала и передача знаний Новые возможности Cisco TrustSec 2.1 • Поддержка сенсоров устройств во всех коммутаторах Cisco Catalyst серий 3000 и 4000 и контроллерах беспроводной локальной сети Cisco, обеспечивающая комплексную и масштабируемую прозрачность состояния сети • Распространение поддержки технологии SGA на маршрутизаторы Cisco ASR серии 1000 с агрегацией сервисов, маршрутизаторы Cisco с интеграцией сервисов, коммутаторы Cisco Nexus серии 5000 и контроллеры беспроводной локальной сети Cisco, что гарантирует единообразие политик и независимую от топологии реализацию управления доступом от удаленного офиса до центра обработки данных • Реализация политик межсетевого экрана для групп безопасности на маршрутизаторах Cisco с интеграцией сервисов и маршрутизаторах Cisco с агрегацией сервисов, что позволяет увеличить количество точек управления доступом • Поддержка лидирующей в отрасли технологии сквозного шифрования MACsec 802.1AE на скорости канала (1 и 10 Гбит/с) на новых коммутаторах Cisco Catalyst серии 4500 с Supervisor Engine 7E, поддерживающих MACsec • Модуль расширенных политик Cisco Identity Services Engine 1.1 предлагает: - Механизм активного сканирования оконечных устройств, в котором целевое сканирование в реальном времени на основе политик используется для сбора информации от оконечных устройств с целью получения более адекватного представления о состоянии - Интеграцию сенсоров устройств - Локализацию на 10 языков • FIPS 140-2: Identity Services Engine 1.1 предполагает возможность сертификации по стандарту FIPS 140-2 для предприятий и государственных учреждений, которым необходимо подтверждение соответствия нормативным требованиям Решение Cisco TrustSec позволяет справиться с ростом числа мобильных устройств благодаря полной прозрачности, расширенной идентификации и профилированию, а также функциям саморегистрации в рамках подхода BYOD. Решение обеспечивает полную поддержку линейки продуктов Cisco Network Access Control (NAC) и Cisco Secure Access Control System (ACS). Почему именно Cisco? Лидирующее положение Cisco на рынке: • Cisco TrustSec является единственным решением для управления доступом к сети, способным обеспечить единообразие политик и их реализации в масштабе всей инфраструктуры проводных, беспроводных и VPN-сетей • Cisco занимает лидирующее положение на рынке систем управления доступом к сети (NAC), коммутации в локальных сетях и технологий аутентификации, авторизации, учета (AAA) • По оценкам ведущих отраслевых аналитиков, Cisco занимает 1-е место на рынке систем NAC • Cisco является первопроходцем в создании оригинальной технологии NAC и разработке многочисленных отраслевых стандартов Для получения дополнительной информации посетите страницу www.cisco.com/go/trustsec.