Единая политика доступа
0 likes496 views
Документ описывает политику управления доступом Cisco для поддержки концепции BYOD (принеси свое собственное устройство), обеспечивая безопасность и управление доступом для различных типов устройств в сети. Он охватывает архитектуру, управление политиками, интеграцию с решениями управления мобильными устройствами (MDM) и процессы аутентификации пользователей и устройств. Также упоминаются проблемы и решения, связанные с обеспечением безопасности и согласованности сетевых политик.
![Инновации
Cisco
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Поддерживаемые платформы:
Для проводных и беспроводных сетей IOS 15.0(1)SE1 для Cat 3K
IOS 15.1(1)SG для Cat 4K
CDP WLC 7.2 MR1 - DHCP только данные
LLDP ISE 1.1.1
DHCP ПОЛИТИКА
MAC
Принтер Личный iPad
ISE
Политика для Политика для
принтера CDP
LLDP
CDP
LLDP
личного iPad
DHCP DHCP
[поместить в VLAN X] MAC MAC
[ограниченный доступ]
Точка
доступа
Решение Сценарий развертывания с использованием сенсоров устройств Cisco
Эффективная КЛАССИФИКАЦИЯ АВТОРИЗАЦИЯ
СБОР ДАННЫХ
классификация устройств с Коммутатор собирает данные, ISE производит классификацию ISE реализует доступ на основе
использованием относящиеся к устройству, и устройства, сбор данных о политик для данного
инфраструктуры передает отчет в ISE трафике и формирует отчет об пользователя и устройства
использовании устройства
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 36](https://image.slidesharecdn.com/random-130218004319-phpapp02/85/-36-320.jpg)
Единая политика доступа
- 1. Единая политика доступа Виктор Платов системный инженер-консультант по направлению Mobility © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены.
- 2. Политика управления доступом: проблемы и архитектура UA с использованием Cisco ISE – вводная демонстрация (BYOD) Доступ для групп безопасности и TrustSec Устройства доступа Cisco и идентификация Принцип работы ISE – демонстрация администрирования ISE © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 2
- 3. Проблема:(«принеси свое собственное устройство») BYOD Поддержка BYOD без увеличения затрат на сопровождение ИТ Автоматическая производительности, загрузкастоимость, дополнительная Повышение регистрация устройств, низкая приложений, оценка состояния устройств на портале без участия пользователя защита Проблема: Определение типов устройств, подключенных к сети Управление безопасным доступом – подключение устройств Цифровая метка устройства (идентифицирующая "предмет"), анализ состояния, Прозрачность устройств (профилирование), оценка состояния, управление с учетом контекста, аутентификация, авторизация, учет (AAA) Проблема: Обеспечение согласованных топологически Единообразная общесетевая политика управления независимых политик при обмене данными E2E Cisco TrustSec и разграничением доступа Управление управление политиками ВЫСШЕЕ ТЕХНОЛОГИЯ КОММУНАЛЬНЫЕ ЭНЕРГЕТИКА ЗДРАВООХРАНЕНИЕ ОБРАЗОВАНИЕ СРЕДНЕЕ УСЛУГИ ОБРАЗОВАНИЕ © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 3
- 4. Управление политиками Identity Services Engine (ISE) Инфраструктура Prime Infrastructure Информация о политиках , Каталог Профилирование из Оценка состояния ПО пользователей инфраструктуры Cisco NAC/AnyConnect Agent Соблюдение политик Инфраструктура Cisco: коммутаторы, контроллеры беспроводной сети, межсетевые экраны, маршрутизаторы Контекст политик Собственность Идентификационные Личные Устройства, не принадлежащие устройства компании данные пользователя пользователям © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 4
- 5. Gartner 2013 NAC MQ Претенденты Лидеры Решение для Первое общесистемное решение Глубокая сетевая интеграция управления Способность к Общесистемное управление политиками реализации политиками с одного экрана Управление Удостоенный различных наград унифицированным продукт доступом к сети Премия Cisco Pioneer Award 2012 Нишевые игроки Провидцы Решение BYOD Более 400 обученных и Полнота видения проверенных партнеров июнь 2012 По состоянию на ATP «под ключ» Более 1000 продаж за 1 год © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 5
- 6. Мне нужно разрешать подключение к сети Сервисы только определенных пользователей и устройств аутентификации Мне нужно, чтобы пользователи и устройства Единая Сервисы пользовались соответствующими сетевыми авторизации сеть сервисами Управление Мне нужно разрешить гостям доступ в сеть и управлять режимом их работы жизненным циклом гостя Мне нужно разрешать и блокировать Сервисы использование профилирования и Единая iPad в моей сети (BYOD) BYOD политика Мне нужно, чтобы в моей сети Сервисы были неинфицированные устройства оценки состояния Единое Мне необходим масштабируемый способ TrustSec SGA реализации политики доступа в сети управление © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 6
- 7. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 7
- 8. Новый способ В ближайшем будущем Будущие практические Практические решения на сегодняшний день решения (~ 2 квартал 2013) ISE MDM ISE и MDM Управление доступом к Управление безопасностью Обеспечение совместимости мобильных устройствам мобильных устройств устройств • Профилирование устройств • Совместимость устройств • Принудительная адаптация к MDM персональных устройств, • Реализация BYOD • Управление мобильными используемых для работы приложениями • Управление доступом к • Регистрируемый, но ограниченный устройствам • Обеспечение доступ персональных устройств, не безопасности хранящихся находящихся под управлением MDM данных • Изоляция несовместимых устройств на основе политики MDM В целях обеспечения безопасности MDM не "видит" незарегистрированные устройства, но при этом сеть распознает их! MDM: Диспетчер мобильных устройств © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 8
- 9. • Регистрация устройств MDM Интерфейс посредством ISE управления MDM o Незарегистрированные клиенты Интерфейс управления перенаправляются на страницу ISE Проверка регистрации MDM регистрации устройства • Ограниченный доступ Информация o Клиентам, не соответствующим о состоянии требованиям, предоставляется Устройство, устройства Платформа MDM ограниченный доступ с учетом пытающееся получить доступ состояния оценки MDM к сети • Агент MDM Установка приложений на o Соответствие требованиям устройство (AnyConnect и Jabber) o Оценка установленных приложений устройств c • Работа устройства из ISE • Очистка данных на клиенте в случае кражи устройства © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 9
- 10. • Пользователь подключается по защищенному идентификатору SSID Персональные • PEAP: Имя пользователя/ ресурсы Пароль • Перенаправляется на Защищенный BYOD портал регистрации Точка доступа • Пользователь регистрирует устройство Загружает сертификат Контроллер Загружает настройки беспроводной запрашиваемого устройства локальной сети • Пользователь повторно подключается при помощи EAP-TLS ISE AD/LDAP © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 10
- 11. • Пользователь подключается к открытому идентификатору SSID • Перенаправляется на портал WebAuth Персональные ресурсы • Пользователь вводит учетные данные сотрудника Защищенный BYOD или гостя Открытый BYOD • Гость подписывает правила пользования сетью (AUP) и Точка доступа получает гостевой доступ • Сотрудник регистрирует устройство Контроллер беспроводной Загружает сертификат локальной сети Загружает настройки запрашиваемого устройства • Сотрудник повторно подключается при помощи EAP- TLS ISE AD/LDAP © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 11
- 12. Известное Нет устройство MyDevices Регистрация устройства в ISE Да Зарегистрировано нет в MDM ISE Portal Регистрация устройства в MDM Да Access-Accept © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 12
- 13. Архитектура UA для единой политики с использованием BYOD Интеграция MDM для проверки соответствия и NCS Prime для прозрачности создания отчетов Cisco® ISE приложений Cisco Диспетчер MDM Prime™ NCS RADIUS Стороннее приложение MDM Коммутаторы Cisco Catalyst® Контроллер Межсетевой экран беспроводной Cisco ASA локальной сети (WLAN) Cisco Устройства в проводной сети Проводная сеть Беспроводная сеть Удаленный доступ © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 13
- 14. Пример формирования Причина неисправности отчета ISE с MDM Телефон не отвечает; Администратор устройств деактивирован; Пароль не установлен © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 14
- 15. © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 15
- 16. Длительность % от Тип оконечного Число Число Трафик % % длительности % от сессии устройства сессий клиентов (часы) (Мбайт) сессий клиентов сессии трафика Неизвестное устройство Устройство HP Устройство Cisco Клиенты по типам оконечных устройств Устройство Cisco = 2 Устройство HP = 2 Неизвестное устройство = 27 © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 16
- 17. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 17
- 18. © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 18
- 19. © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 19
- 20. Корпора- Любое Зарегистрированное устройство тивное устройство устройство Приложение Новостной "Карта Сервер Роль пользователя Общий веб- Портал портал рабочего кредитных и устройства сервер администратора сотрудника времени карт сотрудника" Незарегистрированное устройство Сотрудник Руководство Сканеры кредитных карт © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 20
- 21. Корпора- Любое тивное Зарегистрированное устройство устройство устройство Приложение Роль Новостной Сервер Общий веб- Портал "Карта рабочего пользователя Определение политики портал кредитных сервер менеджера времени и устройства сотрудника карт сотрудника" Незарегистрир ованное Открытый SSID устройство Корпоративный SSID Сотрудник Сертификат члена группы "Сотрудники" соответствует оконечному устройству Корпоративный SSID Член группы "Сотрудники и Руководство менеджеры" Сертификат соответствует оконечному устройству Credit_Card SSID Сканеры Член группы "Credit_Scanners" кредитных карт Профилируется как "iphone" © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 21
- 22. © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 22
- 23. SSID: Корпоративный беспроводной доступ Зарегистрированный сотрудником Группа AD: "Руководство" © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 23
- 24. Профилируется Требуется как iPhone сертификат SSID: cc-secure-wifi Группа AD: "Сканеры кредитных карт" © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 24
- 25. Архитектура VLAN Архитектура ACL Проблемы Трудность технического масштабирования сопровождения Высокая зависимость от сотен и тысяч правил топологии 802.1X © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 25
- 26. Роль пользователя и Политика SGA TAG устройства Маркер доступа Незарегистрированное кто что где когда как устройство Открытый SSID (Unregist_Dev_SGT) Сотрудник Корпоративный SSID (Employee_SGT) Член группы "Сотрудники" Сертификат соответствует оконечному Cisco ISE устройству Руководство Корпоративный SSID (Management_SGT) Член группы "Сотрудники и менеджеры" Сертификат соответствует оконечному устройству Сканеры кредитных карт Credit_Card SSID Сотрудник Финансы (CC_Scanner_SGT) Член группы "Credit_Scanners" Профилируется как "iphone" Менеджер © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 26
- 27. Метка сотрудника Метка менеджера Метка сканера кредитных карт © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 27
- 28. Метка сканера Метка менеджера кредитных карт © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 28
- 29. © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 29
- 30. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 30
- 31. Карта учета SRCDST Кредитная карта времени Менеджер (100) Доступ Нет доступа Менеджер SGT = 100 Зарегистрированное SGACL устройство Карта учета времени (SGT=4) Сканер кредитных карт (SGT=10) Менеджер SGT = 100 Cisco ISE Управление доступом на основе групп безопасности • ISE сопоставляет маркеры (SGT) с идентификационными данными пользователя • Политика авторизации ISE передает SGT для доступа к NAD (коммутатор/WLC) • Политика авторизации ISE передает ACL (SGACL) для выхода из NAD (ASA или Nexus) © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 31
- 32. Инновации Cisco IP-адрес SGT SRCDST Карта учета времени Кредитная карта Менеджер (100) Доступ Нет доступа Менеджер 10.1.100.3 100 Зарегистрированное SXP SGACL устройство Карта учета времени (SGT=4) Сканер кредитных карт 10.1.100.3 (SGT=10) Менеджер SGT = 100 Cisco ISE Протокол доступа для групп безопасности • Для передачи через ядро, не поддерживающее SGT © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 32
- 33. Инновации Cisco Назначение SGT пользователям и устройствам Catalyst 2K-S Catalyst 4K WLC 7.2 Nexus 7K Nexus 1Kv Catalyst 3K Catalyst 6K Nexus 55xx Cat 2K-S (SXP) Cat 6K Sup720 (SXP) ASR1K (SXP/SGT) Передача SGT по Cat 3K (SXP) N7K (SXP/SGT) ISR G2 (SXP) сети Cat 3K-X (SXP/SGT) N55xx (SGT) WLC 7.2 (SXP) (Inline/SXP) Cat 4K (SXP) N1Kv (SXP) ASA (SXP) Cat 6K Sup2T (SXP/SGT) Применение политики на основе SGT N7K /N55xx Cat6K Cat3K-X ASA (SGFW) ASR1K/ISRG2 (SGACL/SGFW) (SGACL) (SGACL) (SGACL) - CY12 2H (SGFW) © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 33
- 34. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 34
- 35. Инновации Cisco a Отличительные особенности Функции аутентификации идентификации Режим монитора Коммутатор Cisco Catalyst • Беспрепятственный доступ • Без влияния на производительность • Прозрачность Гибкая последовательность аутентификации • Предоставление единой конфигурации для большинства примеров использования • Гибкие политики и механизмы отката Полнофункциональный и надежный стандарт 802.1X Поддержка IP-телефонии для сред виртуальных настольных систем Авторизованные Планшеты IP-телефоны Сетевое Гости пользователи устройство • Режим одиночного узла • Режим нескольких узлов Веб- • Режим многократной аутентификации 802.1X MAB аутентификация • Мультидоменная аутентификация Аутентификация важных данных и голосовых данных • Непрерывность бизнеса в случае сбоя © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 35
- 36. Инновации Cisco ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Поддерживаемые платформы: Для проводных и беспроводных сетей IOS 15.0(1)SE1 для Cat 3K IOS 15.1(1)SG для Cat 4K CDP WLC 7.2 MR1 - DHCP только данные LLDP ISE 1.1.1 DHCP ПОЛИТИКА MAC Принтер Личный iPad ISE Политика для Политика для принтера CDP LLDP CDP LLDP личного iPad DHCP DHCP [поместить в VLAN X] MAC MAC [ограниченный доступ] Точка доступа Решение Сценарий развертывания с использованием сенсоров устройств Cisco Эффективная КЛАССИФИКАЦИЯ АВТОРИЗАЦИЯ СБОР ДАННЫХ классификация устройств с Коммутатор собирает данные, ISE производит классификацию ISE реализует доступ на основе использованием относящиеся к устройству, и устройства, сбор данных о политик для данного инфраструктуры передает отчет в ISE трафике и формирует отчет об пользователя и устройства использовании устройства © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 36
- 37. Тип проверки Предоставляемая информация MAC-адрес (OUI) RADIUS (Calling-Station-ID) Пример: 0A:1B:2C = vendor X Имя узла (по умолчанию может включать тип устройства) DHCP (host-name) Пример: jsmith-iPad (dhcp-class-identifier) Класс или тип устройства Примеры: BlackBerry, беспроводной IP-телефон Cisco DNS Доменное имя (по умолчанию имя узла может включать тип устройства) (обратный просмотр IP) Пример: jsmith-ipad.company.com HTTP Сведения об определенном типе мобильного устройства (User-Agent) Примеры: iPad, iPhone, iPod, Android, Win7 Сканирование NMAP Срабатывание оконечного устройства сканирование ОС (SNMPPortsAndOS-scan ) Пример: OS= Apple iOS Сообщение или запрос SNMP-trap MAC-адрес или данные об интерфейсе, данные сессии и системный запрос (MAC Notification/CDP/LLDP collection) Примеры: 0A:1B:2C/ARP table Перехват потоков для определения подходящего оконечного устройства Netflow (перехват потоков) пятикратный трафик Примеры: SRC/DST IP/Port/Protocol Система учета RADIUS предоставляют информацию о связи MAC:IP для поддержки других проверок, основывающихся на IP-адресе (DNS, NetFlow, NMAP и HTTP) © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 37
- 38. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 39
- 39. Пользователь Тип устройства Местоположение Оценка Время Метод доступа Специальный состояния © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 40
- 40. • Самостоятельное подключение BYOD пользователей • Партнерство с поставщиками MDM • Контекст: кто/ что/ как/ где Управление доступом • Прозрачность: профилирование • SGA: Независимость от топологии, язык бизнеса Целостное • Реализация: Функции маршрутизатора, коммутатора и контроллера решение • Оконечное устройство: Оценка состояния, VPN • Хранение информации: AD, LDAP, DHCP, MDM © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 41
- 41. • Информация о ISE: http://www.cisco.com/go/ise • Cisco TrustSec (SGA и сертифицированные решения): www.cisco.com/go/trustsec • Указания по применению и руководства с практическими советами: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/l anding_DesignZone_TrustSec.html • Зона проектирования – базовый вариант проекта BYOD: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns743/ ns1050/own_device.html#~overview © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 42