Secure Mobile Office
0 likes979 views
Документ обсуждает возможность создания защищённого мобильного офиса, обращая внимание на необходимость обеспечения безопасности при доступе к корпоративным ресурсам с различных мобильных устройств. Упоминаются проблемы, связанные с аутентификацией и защитой данных, а также важность высокоскоростных сетей для бизнеса. Обозначены стратегии и технологии, такие как использование VPN, для повышения безопасности в условиях мобильной работы.
Secure Mobile Office
- 1. Можно ли мобильный офис сделать защищенным? Алексей Лукацкий, менеджер по развитию бизнеса © Cisco, 2010. Все права защищены. 1/38
- 2. Смена ожиданий бизнеса © Cisco, 2010. Все права защищены. 2/38
- 3. Политика Периметр Приложения и данные Офис Филиал Хакеры Партнеры Заказчики © Cisco, 2010. Все права защищены. 3/38
- 4. Политика Периметр Приложения и данные Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики © Cisco, 2010. Все права защищены. 4/38
- 5. Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики © Cisco, 2010. Все права защищены. 5/38
- 6. Политика Периметр Platform Infrastructure Приложения и as a Service as a Service Software X данные as a Service as a Service Офис Филиал Дом Аэропорт Мобильный Кафе пользователь Хакеры Партнеры Заказчики © Cisco, 2010. Все права защищены. 6/38
- 7. 66% 45% 59% 45% 57% Согласятся на Готовы Хотят ИТ- ИТ-специалистов снижение поработать на использовать специалистов утверждают, что компенсации 2-3 часа в день на работе не готовы основной задачей (10%), если больше, если личные обеспечить при повышении смогут работать смогут сделать устройства бóльшую мобильности из любой точки это удаленно мобильность сотрудников мира сотрудников является обеспечение безопасности © Cisco, 2010. Все права защищены. 7/38
- 8. • Достичь большего при тех же ресурсах и с теми же активами • Сокращение штатов, ограничение бюджетов и давление со стороны конкурентов заставляет предприятия Увеличивать продуктивность Увеличивать взаимодействие Снижать затраты И еще… поддерживать лояльность сотрудников, удовлетворенность работой и психологический климат • Глобализация экономики требует работать не только в режиме 8х5, но и в нерабочие часы © Cisco, 2010. Все права защищены. 8/38
- 9. • В ДОРОГЕ (отели, аэропорты, бизнес-центры) 280 миллионов бизнес-поездок в год Спад производительности >60–65% • ДОМА (teleworking) 137 миллионов надомных работников в 2003г. 40% надомных работников в США из крупных компаний и среднего бизнеса • НА РАБОТЕ (филиалы, отделения, партнеры) E-business требует быстрых сетей Филиал должен быть там где люди Источник: Gartner, Cahners Instat, Wharton Center for Applied Research © Cisco, 2010. Все права защищены. 9/38
- 10. 100% 90% В разное время в разных местах 80% В одно время в разных местах 70% 60% В одно время в одном месте 50% Работа в одиночку 40% 30% % работы, зависящей от 20% группового вклада 10% 0% 2000 2005 2010 Сотрудничество – драйвер роста Взаимодействие с другими, но не лицом к лицу Рост продуктивности невозможен без поддержки этой тенденции Источник: Gartner Group © Cisco, 2010. Все права защищены. 10/38
- 11. Предприятие Филиал Дом Отель Главный Si Аэропорт офис HQ Si WAN/Internet Дорога Кафе Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям 100 500 1000 сотрудников сотрудников сотрудников Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн. 1 час потери продуктивности $1,200 $6,000 $12,000 Потери в год от 1 часа в неделю $62,5K $312,5К $625К • Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…) • Сотрудник в среднем тратит только 30–40% времени в офисе © Cisco, 2010. Все права защищены. 11/38
- 12. Любой пользователь С любого устройства Сотрудники, iPhone, Смартфон, Партнеры, IP-телефон, Заказчики, Лэптоп Сообщества Сеть без границ Всегда на связи, На работе, дома, Мгновенный доступ, в кафе, в аэропорту Мгновенная реакция на ходу… Отовсюду В любое время © Cisco, 2010. Все права защищены. 12/38
- 13. • Пользователи (особенно руководство) хотят получать доступ к корпоративным ресурсам даже с мобильных устройств • Пользователи хотят выбирать мобильные устройства самостоятельно • Спектр выбираемых устройств очень широк ОС: iPhone, Windows Mobile, Symbian, BlackBerry, WebOS Платформа: iPhone, Nokia, HTC, LG, Samsung, BlackBerry, Palm • Платформы закрытые и функциональных средств защиты для мобильных устройств практически нет © Cisco, 2010. Все права защищены. 13/38
- 14. Традиционные средства защиты ориентированы на «мощные» платформы Для многих мобильных платформ средств защиты просто нет (Android, BlackBerry, iPhone и т.д.) Тенденция применения собственных мобильных устройств Несогласованные политики доступа к проводному и беспроводному сегментам сети © Cisco, 2010. Все права защищены. 14/38
- 15. • Аутентификация • Разрешенное • Защищенное использование соединение • Контроль • VPN-туннели доступа • Виртуальный • Защита от сейф вредоносного • Анализ кода защищенности Cisco • Контроль • NAC утечек 3rd Parties • Device lock • Device wipe • Pin enforcement • Device audit © Cisco, 2010. Все права защищены. 15/38
- 16. IPSec VPN SSL VPN • Широко распространенная, • Расширяет защищенный доступ отработанная технология для «не-сотрудников», например, контрактников и • Хорошо подходит для временных служащих расширенного доступа • Облегченный доступ для сотрудников с корпоративнымы партнеров компьютерами • Обеспечивает доступ “отовсюду”, включая недоверенные и неуправляемые ПК (Интернет- кафе) • Снижает операционные затраты, связанные с клиентским ПО © Cisco, 2010. Все права защищены. 16/38
- 17. Поддержка доступа с клиентом и без клиента Доступ с клиентом Доступ к сети без клиента Web-доступ к файлам Туннели SmartTunnels Web-доступ к файлам Поддержка FTP и CIFS Интерфейс браузера и web-папок Автоматическая загрузка и обновление Доступ к любому приложению или ресурсу Туннели SmartTunnels Поддержка мобильных устройств Перенаправление портов на уровне приложений Качественная передача речи (DTLS) Поддержка большинства приложений, использующих Winsock версии 2 Доступ к сложному web-контенту Поддержка Win2K, XP, Vista, Mac OS X © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
- 18. • Cisco Secure Desktop (CSD) поддерживает сотни предустановленных приложений Антивирусы, anti-spyware, персональные МСЭ и др. • 4 основных функции Host Scan (Windows) Advanced Endpoint Assessment Secure Vault (Windows 2K/XP) Cache Cleaner (Windows, Mac OS X и Linux) © Cisco, 2010. Все права защищены. 18/38
- 19. • Поддерживаемые проверки Проверки реестра Проверки файлов Проверки сертификатов Проверка версии Windows Проверка IP-адресов • Визуализация облегчает конфигурирование и снижает число ошибок © Cisco, 2010. Все права защищены. 19/38
- 20. © Cisco, 2010. Все права защищены. 20/38
- 21. Доступ к отдельным ресурсам Новый дизайн портала Локализация RSS Персональные закладки Доступ с AnyConnect Client Доступ к файлам (FTP/CIFS) Поддержка Flash Поддержка удаленного управления через telnet, SSH, RDP и VNC Перенаправление запросов на доступ к Windows- приложениям (Smart Tunnel) © Cisco, 2010. Все права защищены. 21/38
- 22. • Обеспечивается доступ к web- и традиционным приложениям через браузер • Технология Smart Tunnel обеспечивает доступ TCP приложениям Не требуется полномочий администратора на ПК © Cisco, 2010. Все права защищены. 22/38
- 23. © Cisco, 2010. Все права защищены. 23/38
- 24. © Cisco, 2010. Все права защищены. 24/38
- 25. Port Forwarding загрузка апплета Медленная загрузка, Citrix Server Citrix Server конфликт с ПО, браузер Microsoft Office Microsoft Office Полная блокирует апплет Mainframe Access Mainframe Access поддержка Citrix Типичная поддержка Поддержка Citrix SSL VPN Cisco Citrix Поддержка Citrix требует Полная поддержка Citrix без специального SSL-клиента или Java- специального клиента апплета или иного резидентного ПО Быстрое время инициализации – Медленная инициация приложения ничего не надо загружать Может не работать из-за настроек Высокая производительность – нет безопасности браузера локального приложения-транслятора Потенциальные конфликты ПО, Не зависит от настроек безопасности особенно на неуправляемых узлах и браузера Высокая стабильность – нет потенциальных конфликтов с ПО © Cisco, 2010. Все права защищены. 25/38
- 26. © Cisco, 2010. Все права защищены. 26/38
- 27. © Cisco, 2010. Все права защищены. 27/38
- 28. © Cisco, 2010. Все права защищены. 28/38
- 29. © Cisco, 2010. Все права защищены. 29/38
- 30. Настраиваемый Настраиваемые баннер сообщения Настраиваемые методы доступа Настраиваемые Настраиваемые ссылки, доступные цвета и разделы сетевые ресурсы портала RSS-каналы © Cisco, 2010. Все права защищены. 30/38
- 31. Основное назначение – защититься от перехватчиков ввода с клавиатуры Может быть использована на любой странице, где требуется ввести пароль © Cisco, 2010. Все права защищены. 31/38
- 32. Защита невзирая на место подключения к Интернет Security Enforcement Array Отражение News Email угроз Допустимое использование Контроль доступа Предотвращение утечек Оптимальный выбор между облаком и предприятием Social Networking Enterprise SaaS Прозрачно для пользователя Зависит от местоположения пользователя © Cisco, 2010. Все права защищены. 32/38
- 33. Выбор реализации: облако или на предприятии Как угодно+ (Переход к AnyConnect) Факт: Мобильные пользователи только News Email 17% времени в Интернет проводят в VPN. Как контролировать 83% оставшегося времени? Обмен информацией между ASA и WSA AnyConnect ASA Cisco Web Security Appliance Social Networking Enterprise SaaS Corporate AD © Cisco, 2010. Все права защищены. 33/38
- 34. Опция 1 – при помощи имеющейся инфраструктуры заказчика С изменениями настроек браузера: • Настройки Proxy загружаются на компьютеры ScanSafe из AD (GPO / PAC file) или по DHCP Websecurity Service • МСЭ блокирует исходящий HTTP трафик на все адреса кроме ScanSafe Без изменения настроек браузера: • Имеющееся у заказчика устройство DC перенаправляет трафик в облако помощи функций Cascade Proxy или Port Foreward Опционально - Passive Identity Management: • В HTTP-запросы пользователей добавляется защищенная (хеши) информация об имени пользователя/группы при помощи Login скриптов/GPO • Прозрачно для пользователя © Cisco, 2010. Все права защищены. 34/38
- 35. Опция 2 – при помощи Connector ПО ScanSafe Connector ScanSafe Websecurity Service • Устанавливается и настраивается один раз, в дальнейшем не требует администрирования и обновлений • Перенаправляет Web трафик в облако • Отвечает за взаимодействие с AD и DC Connector предоставляет в облако защищенную информацию о пользователе/группе • В будущем – функциональность Connector интегрированная в маршрутизаторы и МСЭ Cisco © Cisco, 2010. Все права защищены. 35/38
- 36. Опция 3 – клиент Anywhere+ для мобильных пользователей Факт: Мобильные пользователи только 17% времени в Интернет • Устанавливается как сетевой драйвер, проводят в корпоративном незаметен для пользователя VPN. Как контролировать оставшиеся 83%? • Автоматически определяет ближайший к пользователю ЦОД • Перенаправляет Web трафик пользователя в облако • Обеспечивает User/Group Granularity • Защищен от выключения пользователем © Cisco, 2010. Все права защищены. 36/38
- 37. Туннелирование VPN-доступ SSL VPN Туннелирование без установки DTLS (голос и клиента видео) Туннелирование Мобильный IPsec VPN доступ Желательно внедрять унифицированную платформу для всех сценариев © Cisco, 2010. Все права защищены. 37/38
- 38. ПРОБЛЕМЫ • Мобильным сотрудникам требуется доступ к сети и «облачным» сервисам • На множестве пользовательских устройств используются как пользовательские, так и корпоративные профили • Множество защищенных и незащищенных точек и методов доступа Identity Active Services Directory Engine Cisco ASA Коммутатор Сеть Cisco Интернет комплекса Nexus зданий Switch + Мобильный Коммутатор TrustSec сотрудник + клиент Cisco Catalyst AnyConnect + TrustSec Защищенные сетевые ресурсы РЕШЕНИЕ CISCO • Единственное в отрасли решение на базе унифицированного клиента • Решение для обеспечения защищенного доступа с учетом контекста: поддерживаются проводные, беспроводные и VPN-подключения • Средства шифрования обеспечивают конфиденциальность передаваемых данных (интеграция MACsec) © Cisco, 2010. Все права защищены. 38/38
- 39. • Проблема В 2001 DSL-провайдер Cisco обанкротился. Cisco® IT должно было перевести 9000 удаленных пользователей на новый сервис за один месяц • Решение Миграция с модели «SP Managed VPN Service» на «пользовательскую» модель с программным VPN-клиентом • Результат Сегодня пользователи могут получить доступ в корпоративную сеть из ЛЮБОГО места, где есть Интернет. Использование доступа утроилось • Что дальше Cisco IT расширяет число VPN-шлюзов, ускоряет апгрейд и улучшает качество защиты и сжатия © Cisco, 2010. Все права защищены. 39/38
- 40. • С ростом Интернет и широкополосного доступа ИТ начинает проект по организации удаленного широкополосного доступа для сотрудников с рядом операторов связи • Главная проблема: Множество поставщиков, неполное покрытие Наша цель - обеспечить лучший сервис для всех сотрудников по разумной цене • Rhythms NetConnections был выбран для обеспечения защищенного xDSL-доступа для сотрудников в США Сервис Rhythms DSL был эффективным «частным" DSL сервисов, предлагающим прямое виртуальное соединение с корпоративной сетью Cisco © Cisco, 2010. Все права защищены. 40/38
- 41. • Август 2001: Rhythms NetConnections обанкротился; более 9000 сотрудников оказались без доступа, ранее обеспечиваемого с помощью Rhythms DSL service Задача – обеспечить доступ 9000 сотрудников за один месяц • Из опыта ИТ знали, что миграция на другой сервис обойдется дороже и потребует в 10 раз больше человеческих ресурсов, чем было в наличии © Cisco, 2010. Все права защищены. 41/38
- 42. • Кризис удаленного доступа заставил ИТ задуматься о других вариантах • Из множества сценариев была выбрана новая модель: Пользовательская модель на базе программного VPN-клиента Пользователь сам выбирал способ подключения к сети (GPRS, CDMA, Wi-Fi, DSL и т.д.) Cisco оплачивает подключение к оператору связу Cisco IT обеспечивает и поддерживает VPN-соединение через Интернет-шлюз в корпоративную сеть Cisco © Cisco, 2010. Все права защищены. 42/38
- 43. • Рост продуктивности Удаленный доступ означает возможность работать из дома или в дороге. Для многих пользователей это значит увеличение продуктивности на 10-40% в день • Рост удовлетворенности Сотрудники находят баланс между работой и семьей, имея возможность подключаться к корпоративной сети в любое время. В 2001 Cisco® имело 9000 DSL пользователей, а в 2003 их стало уже 23,000. © Cisco, 2010. Все права защищены. 43/38
- 44. • Глобализация Глобальная компания должна предоставлять эффективную возможность работать всем сотрудникам, находящимся в разных часовых поясах, в разных точках земного шара. • Гибкость Удаленный доступ обеспечивает гибкость во время кризисов, эпидемий, катастроф и т.д. • Поддержка Т.к. большинство сотрудников Cisco используют собственное подключение к оператору связи, мы не тратим усилия на поддержку и разбор проблем, связанных с подключением к Интернет © Cisco, 2010. Все права защищены. 44/38
- 45. http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco © Cisco, 2010. Все права защищены. 46/38
- 46. Спасибо за внимание! security-request@cisco.com