Transcription
Úloha sítě při zajištěníkybernetické bezpečnostiIvo Němeček, CCIE #4108Manager, Systems EngineeringKonference ISSS, 8. 4. 2014CiscoExpoExpoCisco 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Cisco Public1
Bezpečnostní modelNepřetržité jištěníBlokováníObranaKoncové lníKoncentrované 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.POTÉVirtuálníCloudSpojitéCisco Public2
Obrana v sítiKDEKDYCOJAKKDOVhled, kontext a řízenízařízeníSíťKontextCisco ISENG FW / IPSCisco ISR G2 NBARNetFlow Data pro vhleddo komunikace odpřístupové vrstvyCiscoExpoExpoCiscoObohacení Flow dat oidentitu, událostí a aplikačníinfo pro kontext 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Jednotný pohled na síťpro detekci, vyšetřovánía výkazyCisco Public3
Řízení přístupu do sítě podle SRADIUSFiremníDHCP802.1x EAPověření uživateleVLAN 10VLAN 202HQFiremnízařízeníProfilování zařízeníWireless Definicepravidel35Stav zařízeníProsazenípravidel v sítiJednotná správapřístupuCiscoExpoExpoCiscozdroje4 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.6Plný neboomezený přístuppřidělenCisco Public4
Rozpoznávání připojených zařízeníKLASIFIKACE ZAŘÍZENÍProfilování zařízení v přepínaných i bezdrátových idla pro tiskárnu[omezený přístup][připoj do VLAN X]CDPLLDPDHCPMACŘešeníISE Profiler IOS SensorCiscoExpoExpoCiscoPravidla provideotelefonCDPLLDPDHCPMACTypický scénář spolupráce ISE a Cisco IOS SensorSběr dat – přepínačshromažďuje datatýkající se zařízení apředává je do ISEKlasifikace – ISE klasifikujezařízení, shromažďujeinformace o datovém toku aposkytuje informace o zařízení 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Autorizace – ISEuplatňuje pravidlapodle vyprofilovanéhokontextuCisco Public5
Přidělování oprávnění po ověřeníKompletní Guest Servicevčetně správy a webověřováníPružné definované ověřovací metody(802.1X, MAB, Web Auth v různémpořadí)Pružná definice pravidelpro ověřování,řízení přístupu podle rolíNAC Guest ystSwitchWeb AuthRůzné mětody autorizace (VLAN,Downloadable ACL, URL Redirect, SGA)hostPostupné nasazování 802.1X(Monitor Mode, Low Impact Mode,High Security Mode)CiscoExpoExpoCiscoNAC Profiler 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Directory ServerProfiling System pro zjišťovánístavu stanic pro široké spektrumkoncových zařízeníCisco Public6
Řízení v síti podle rolíTrustsecRADIUSGuest službyPostureProfilerFiltrování na vstupuUživatel nabezdrátuCiscoISEWLCSXP802.1XUživatel napevnémpřipojeníCampussíťMACsecNexus 7K, 5K and 2KCat 6KDatové CentrumFiltrování na vstupuFiltrování na výstupuCiscoExpoExpoCisco 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Cisco Public7
CiscoTyp zařízeníMísto 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.StavzařízeníčasPřístupová metodaCisco Public8
Integrace s MDM Administrátor může provést vzdáleně akce nazařízení přes MDM server (např. vymazat data)MyDevices PortalISE Endpoints Directory CiscoExpoExpoCisco 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All tZcela vymazatVymazat firemníUzamknoutCisco Public9
Důvěrnost přenosů i v LAN sítíchOchrana dat pomocí šifrování L2 (MACSec)Šifrování datŠifrování datInData ní navstupu do rozhraníCORPORATE RESOURCESŠifrování na výstupuz rozhraníPakety uvnitř přepínače nejsou šifrovanéŘešeníDůvěrnost dat sezachovanou viditelnostídatových tokůCiscoExpoExpoCiscoTypický scénář nasazeníŠifrování na L2 –„Hop by Hop” 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Viditelnost datových toků prouplatňování bezpečnostníchpravidel a QoSCisco Public10
Monitorování toků v sítiFlexible NetFlow a NBARNewsKey FieldsPacket #2Source IP10.1.1.1Destination IP72.163.4.161Source Portflow record app recordmatch ipv4 source address10.1.1.1match ipv4 destination addressmatch .173.194.34.134match application name20457Source Port30307Destination Port23Destination Port80Layer 3 protocol6Layer 3 protocol6TOS byte0TOS byte0Ingres InterfaceEthernet 0Ingres InterfaceEthernet 0Key FieldsSource IPDestination IPCiscoExpoExpoCiscoPacket #1NetFlow cacheSrc. IPDest.Dest. IPIPSrc. PortDest.PortLayer 3Prot.TOSByteIngress 204572045780806600Ethernet 0Ethernet 0HTTP10.1.1.172.163.4.161303078060Ethernet 0YoutubeAppNameTimestampsFirst packet of a flow will create the Flow entry using the Key Fields”Remaining packets of this flow will only update statistics (bytes, counters, timestamps) 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.ByttesPacketsCisco Public11
Architektura řešení Cyber Threat DefenseZařízeníPřístupBranchCatalyst 3750-XDistribuceCatalyst 3750-X StackManagementEdgeStealthWatchFlowCollectorSběr a analýza NetFlowzáznamůISRNetFlowAccess eAccess PointCampusCatalyst 3560-XKorelace a zobrazeníinformací o tocích a identitěFWCatalyst 4500IdentityData CenterCiscoISECatalyst Catalyst 65006500Catalyst 6500AAA služby, profiling ainspekce koncových nfrastruktura 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Cisco TrustSec:Řízení přístupu, profilinga postureS podporouNetFlowCisco Public12
Hybridní ochrana web komunikaces AnyConnect klientemAnyConnectNovinkyEmailSociální sítěPodnikovéSaaSSdílení informací meziASA a WSAASACisco WebSecurity ApplianceFiremní ADCiscoExpoExpoCisco 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Cisco Public13
Centralizovaná inteligenceSecurity Intelligence Operations (SIO)Globální telemetrie pro hrozbyCloud web securityCisco SensorBaseBezpečnostníoperační tionIPReputationZpětná vazba v reálném časeCiscoAnyConnectEndpointsCisco oWeb SecurityAppliancesCiscoEmail SecurityAppliancesCloud 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Cisco IDS/IPSAppliances/ModulesData CenterCiscoCloud-basedSecurityCisco IdentityServices EngineBranchCisco Public14
Centralizované řízení bezpečnostiSDN přístupemPOKYN K NÁPRAVĚCisco APICEnterprise ModuleAKTUALIZACECiscoAPIC EnterpriseModuleAPICDefense CenterZJIŠTĚNA HROZBACiscoExpoExpoCisco 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Cisco Public15
Shrnutí: moderní síť Chrání sebe samu i připojené stanice Řídí přístup ke informacím podle kontextu Chrání komunikaci šifrováním Obsahuje a využívá pokročilé bezpečnostní funkce (FW, IPS, ) Vidí hluboko i do šíře do komunikace Poskytuje cenné telemetrické údaje Spolupracuje se specializovanými bezpečnostními systémyPřesměrovává k nim dataVyměňuje si s nimi informaceAktivně reaguje na hrozbyCiscoExpoExpoCisco 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Cisco Public16
mGlobální inteligenceProsazenív sítiCiscoExpoExpoCiscoV síťovéinfrastruktuřeOperační střediskoPřekryvné,výkonné 2011Ciscoand/orits affiliates.All rightsreserved. 2011Ciscoand/orits affiliates.All rightsreserved.Dyn. aktualizacePřipojené doclouduCisco Public17
Děkuji
Cisco Cisco Expo Expo 2011 Cisco and/or its affiliates. All rights reserved. 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
