10/15/2012 1 Обзор продуктов в области информационной безопасности Михаил Кадер [email protected]• Вступление • Межсетевые экраны • Системы обнаружения и предоствращения вторжений • Архитектура управления доступом Cisco TrustSec • Система управления информационной безопасностью предприятия • Заключение План презентации
79
Embed
Обзор продуктов в области информационной безопасности.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
10/15/2012
1
Обзор продуктов в области информационной безопасностиМихаил Кадер
• Общая пропускная способность = Кол-во x Пропускная способность одного узла x Коэффициент масштабируемости� � � � � � .
Кластер из 4 узлов с Cisco® ASA 5585-S60 сEMIX обеспечивает 64 миллиона подключений и пропускную способность 64 Гбит/с.
• Коэффициент линейного масштабирование независимо от количества� � � � � � .
Если кластер из 4 узлов поддерживает 32 миллиона подключений, кластер из 8 узлов будет поддерживать 64 миллиона подключений для трафика того же профиля.
• Общая кол-во подключений = Кол-во x Кол-во подключений одного узла x Коэффициент масштабируемости� � � � � � .
Кластер из 4 узлов с Cisco ASA 5585-S60 может поддерживать 32 миллиона подключений.
Кластеризация:высокая доступность
• Все устройства в кластере являются активными и передают трафик.
• Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу.
• В случае сбоя узла проведение сеанса переходит на резервные устройства.
• Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу.
10/15/2012
14
Управление кластеризацией
• Единая консоль конфигурации и автоматическая синхронизация конфигурации в кластере.
Управление кластером из 8 устройств осуществляет всего один экземпляр Cisco ASDM.
• Обработка удаленных команд выполняется на узле.
• Статистические данные использования ресурсов в рамках кластера
Использование ресурсов ЦП и памяти для � � � � � �узла.
Использование канала управления кластером.
• Поддержка Cisco® Security Manager
Кластеризация:мастер конфигурации
Slide 27
jz1 Please replace "Andaman" with the actual release nameJudith Ziajka, 7/6/2012
10/15/2012
15
Кластеризация:системная панель мониторинга
Кластеризация:использование ресурсов
Использование ресурсов ЦП и
памяти для � � � � � �узла в кластере
Количество подключений в
секунду для всего кластера и для каждого узла
10/15/2012
16
Кластеризация:вкладка «Пропускная способность»
Общая пропускная способность и пропускная способность каждого узла
Кластеризация: сведения о распределении нагрузки и использовании канала управления кластером
Использование канала
управления кластером
Распределение нагрузки между
членами кластера
10/15/2012
17
Кластеризация:захват пакетов
Интеграция решения МСЭ и web-защиты Cisco Cloud Web Security
10/15/2012
18
Лучшее в своем классе
Лучшая в своем классебезопасность сети
Лучшая в своем классеweb-защита на основе
облака
Обзор решения для web-защиты Cisco Cloud Web Security
• Web-защита на основе облака с учетом контекста• Поддержка перенаправления контекста в решение Cisco ScanSafe Cloud Web Security• Несколько антивирусных механизмов и сканеров web-содержимого• Cisco ScanSafe Cloud Web Security и Cisco AVC поддерживают более 1000 web-приложений и 75 000 микроприложений
Cisco TrustSec: расширение политик безопасности Cisco ASA
10/15/2012
21
Метка групп безопасности
SGT f Пользователь, группа, состояние, код устройства, IP-адрес, сертификат��
Основа Cisco TrustSec:Cisco ISE
10/15/2012
22
SGT: расширение политики Cisco ASA
Правила Cisco TrustSec® можно использовать в сочетании с правилами на основе пяти кортежей в устройстве Cisco® ASA. Для настройки политик можно использовать SGT (0008) или имя группы безопасности (sgt_marketing).
Объединение всех компонентов
� � � �� � � � � � � � �Каталоги AD
и LDAP
S X P
SGT (003)SGT (003)
Пользователь = kpahareПользователь = kpahare
SXP
� � � � � � � � � � � � � � � � �SGT = 003
®
10/15/2012
23
Основные моменты
• Решение Cisco TrustSec® поддерживается только частью коммутаторов; оно позволяет выполнять поэтапные развертывания.
• SGT может быть функцией одного или нескольких атрибутов. Допускает использование сложных правил политик.
• Политики доступа Cisco® ASA могут быть сочетанием SGT и правил на основе пяти сетевых признаков.
Пользователь = G u e s t
аутентифицируется с � � � � � � � � � _ i P a d
и ему назначаетсяSGT = 1 0 0 / G u e s t ( � & . $ - ) .На устройстве Cisco ASA: { если SGT = 100; разрешить доступ � � � � � � _ � _ � � � � � � � �
}
Пользователь = k p a h a r eаутентифицируется с
i P a d ( # � # � � � � � $ � � % � # � � � � � _ % � � # � % )и ему назначается SGT = 0 0 9 / B Y O D .На устройстве Cisco ASA: {если SGT=009; разрешить доступ � � � � � � _ $ � _ $ � � � � � � � , _ r d p к - # � % � � � � . / _ $ � # � � 0 � � # 1 / }Пользователь = k p a h a r e
назначается SGT = 0 0 7 / Q u a r a n t i n e ( 9 � ' � $ * ) . Антивирусное ПО было отключено. После включения антивирусного ПО пользователю k p a h a r e
назначается 0 0 8 / C o m p l i a n t ( . & & $ , � $ . $ , @ � $ ) .На устройстве Cisco® ASA: { если SGT = 008; разрешить
C i s c o A S A 5 5 8 5 ) X )S 6 0 P 6 0C i s c o A S A 5 5 8 5 )S 4 0 P 4 0C i s c o A S A 5 5 8 5 )S 2 0 P 2 0C i s c o A S A 5 5 8 5 )S 1 0 P 1 0C i s c o ® A S A 5 5 1 2 )X I P S C i s c o A S A 5 5 1 5 ) X I P SC i s c o A S A5 5 2 5 ) X I P S C i s c o A S A5 5 4 5 ) X I P S C i s c o A S A 5 5 5 5 ) X I P S
ядер, 24 потоков)• 48 ГБ ОЗУ• Резервный источник питания• Аппаратное ускорение Regex (x2)• Открытый слот (в верхней части) для
использования в будущем� � . $ � ' � + , � ' $ � , � * !• Средние и крупные предприятия• Центр обработки данных• Требуется 5 Гбит/с реальной пропускной
способности IPS• Требуется резервный источник питания• Требуется специализированная система IPS
� � � � � � � � � � � � � � � � � � � � � � �C i s c o I P S 4 5 0 0• Прозрачна и незаметна в сети• Ввод-вывод на основе IPS• Нормализация под управлением IPS• Свободный слот для использования в
будущем� � � � � � � � � � � � � � � � � � � � � � �C i s c o A S A 5 5 8 5 � X I P S• Прозрачность как вариант.• Ввод-вывод принадлежит межсетевому
экрану.• Нормализацией управляет межсетевой экран.• Для выбора политики IPS доступны
дополнительные возможности (5 элементов потока, код пользователя и т. д.).
Варианты в центре обработки данных: Cisco IPS 5585-X и Cisco IPS 4500
Реальная методология тестирования
• Определение максимальной пропускной способности с помощью сочетания различных протоколов и размеров пакетов.
• Для оценки используются средние показатели пяти тестов.
• Сочетание типов трафика зависит от типа и расположения сети.
• В тестах используются стандартные профили приложений пределов прочности (сочетания трафика).
центрам обработки данных требуется большое количество
подключений.
3,800,000 8,400,000� � � � � � � � � � � � � � � Задержка может привести к проблемам транзакций и повлиять
на производительность.< 150 мс < 150 мс
10/15/2012
44
Контекстно-зависимая архитектура IPS
Прозрачность контекста
IPS
Cisco® SIO
Политика с учетом контекста
Политика с учетом контекста
в режиме Inline, корреляция в устройстве
в режиме Inline, корреляция в устройстве
в режиме Inline, оценка рисков для бизнеса на основе
контекста
в режиме Inline, оценка рисков для бизнеса на основе
контекста
Проверка политики с учетом контекста
Текущие средства контроля:
Порт IP
Протокол
Сети VLAN
Работа с копией трафика и режим inline
Требуются гибкие средства контроля для приведения политики в соответствие с направлениями угроз, повышения производительности проверки и снижения количества ложноположительных результатов.
10/15/2012
45
Встроенная корреляция определяетсовременные атаки
ИД обходанормализации
трафика
Анализ протокола
ИД атаки требуется полная прозрачность среди нескольких сигнатур, пользователей, протоколов и других компонентов
� � � � �� � � � � � � � � XСигнатура A 10:17Сигнатура B 10:19Сигнатура C 10:19
Кроме мониторинга ресурсов устройств, можно также контролировать параметры трафика (нагрузка для выполнения анализа, пропущенные пакеты).
� & * $ & ' * � I P SВозможность мониторинга ресурсов устройств ASA, параметров трафика (количество подключений и т. д.), аварийного переключения.
� & * $ & ' * �( � � . � $ � , � �� 9 ' � & ,Пользователь может контролировать состояние туннеля, пользователей RAVPN и т. д.
� & * $ & ' * � . � $ � �V P NA S A
IPS VPN
Пользователь может управлять уведомлениями на основе важных данных об устройствах (ЦП, память, срок действия лицензии, состояние интерфейса и т. д.).
� " ' � , # � * �@ , � � & ( # � * ! ( *
Управление образами
Пользователи могут создавать комплекты образов (образ ASA, образы AnyConnect и т. д.) для развертывания.
/ & ( " # � 9 $ �& � ' � + & ,Подход на основе мастеров для проверки, развертывания обновлений для образов, отправки уведомлений об их выпуске (включая аварийное переключение).
� " ' � , # � * �& � ' � + � ( * A S AИнтеграция с CCO, функцией подачи заявок CSM, развертыванием работ, утверждениями и т. д. для обеспечения удобной работы пользователей.
) ' & . $ � !* $ � � ' � 0 * !A S A
IPS VPN
10/15/2012
63
Тактическая отчетность
Данные можно экспортировать в формат PDF/Excel. Отчеты можно запланировать для отправки по электронной почте.
� + � - � � � � � ' � � � �- # % & � � ' � � �� � � � � Отчеты, созданные на основе данных событий ASA, IPS и VPN.
� � � � � � & � �& % � � � % � � % � � �� � � � � Данные можно наглядно представить в форматах схем и таблиц.
� � � � � � % # � � A S AIPS VPN
Повышение эксплуатационной эффективности
• Механизм подачи заявок с интеграцией на основе URL-адресов
• Режим рабочих процессов с процессом утверждения
• Глобальный семантический поиск во всех политиках
• Встроенные функции RBAC (контроля доступа на основе ролей)
• Архивация конфигураций
• Автоматическое резервное копирование и восстановление
10/15/2012
64
Cisco Security Manager 4.3
В CSM 4.3 представлены новые возможности, связанные с мониторингом состояния и производительности, управления образами, доступна на основе интерфейсов API, а также целый ряд усовершенствований в других областях.� & , � � , & + ( & � & . $ * C i s c o S e c u r i t y M a n a g e r 4 . 3
• Мониторинг состояния и производительности устройств ASA и IPS.• Управление образами для устройств ASA.• Доступ на основе API к данным конфигурации политики CSM.• Представление концепции комплектов политик для назначения нескольких
политики нескольким устройствам.• Интеграция подачи заявок для отслеживания изменений политик.• Глобальный поиск устройств, политик и объектов политики во всей базе
данных конфигурации.• Поиск сведений об использовании объектов.• Автообнаружение конфликтов для удаления ненужных записей из таблицы
правил.• Обновления Policy Object Manager для улучшенной навигации.• Поддержка новых моделей — ASA 5512, 5515, 5525, 5535, 5545 и 5555.• Поддержка нового оборудования Cisco IPS серии 4300.
Новое впечатляющее меню
Старые страницы CS
10/15/2012
65
Подача заявок
• Связывание изменений с заявками
• Поиск на основе ИД или описания заявки
• Просмотр измененных заявок по развертыванию
• Настройка и запуск по URL-адресу внешней системы подачи заявок
• Сведения о последней измененной заявке, отображаемые в POM и правилах межсетевого экрана
• ИД заявки не является обязательным; допускаются повторяющиеся записи
• Возможность указания нескольких ИД заявок, разделенных запятыми
• Ticket Manager отображает журнал всех заявок
• В новой установке эта возможность включена по умолчанию
• После обновления существующие настройки рабочих процессов и другие параметры остаются без изменений
• Для отключения возможности нужно последовательно выбрать Admin Settings (Настройки администрирования) -> Ticket Manager
10/15/2012
66
Поиск сведений об использовании —устройства, политики, объекты...
Улучшения Policy Object Manager
• Настраиваемые избранные типы объектов в дереве типов объектов
• Отображение 10 последних измененных объектов в дереве
• Просмотр сведений о ссылках на объекты с помощью одного щелчка
• Больший объем информации в таблице• Количество переопределений (если имеются) или переопределяемых объектов
• Дата последнего изменения и последняя измененная заявка (или пользователь)
• Полное описание
• Объект, который был указан в ссылке или нет (при нажатии кнопки «Referenced» (Ссылка на))
• Перетаскивание и размещение объектов• Из POM в представление правил межсетевого экрана и из представления объектов в
представление групп
• Копирование, печать, экспорт (CSV)
• Дерево типов объектов с возможностью поиска
• Поддержка быстрой фильтрации
10/15/2012
67
Policy Object Manager
Прочие улучшения
• Семантическая фильтрация (IP / сеть) поддерживается в фильтрах таблиц объектов политик сети и узлов, а также в таблицах правил межсетевых экранов.
• Копирование в виде текста в буфер обмена из большинства компонентов пользовательского интерфейса, таких как дерево, список, таблица, текст.
• Поле быстрой фильтрации, используемое в таблицах «Инвентаризационные данные», «Activity/Ticket Manager», «Policy Objects Manager» и «Сигнатуры IPS».
• Возможность поиска во всех деревьях (иерархических структурах) в Configuration Manager.
• Добавлен параметр «Expand-All / Collapse-All» (Развернуть все / Свернуть все) для всех деревьев и таблиц.
• С экрана входа в клиент CSM удален параметр «Enable / Disable Https connection» (Включить /отключить соединение по протоколу HTTPS). Соединение по протоколу HTTPS используется не всегда.
• Теперь в представлении политики отображаются прямые назначения устройств, наследование и назначения с помощью комплектов политик.
• Экспорт детализированной общей политики.
• Настраиваемая панель инструментов.
10/15/2012
68
Новая функция обнаружения конфликтов. Общие сведения
• Автоматическая функция — ACD• Функция, на основе которой выполняются практические действия —
AACD• Встроенные отчеты о конфликтах — при просмотре отчетов можно
изменять правила. Таким образом решается проблема использования, связанная с имеющимся средством анализа правил.
• Функция используется только для автоматического обнаружения конфликтов. Она не предоставляет возможности их автоматического устранения.
• Она поддерживается только в интерфейсе с примененными правилами доступа.
• Отчеты о конфликтах формируются на основе источника, назначения, сервисов, пользователей, интерфейсов. Значения других полей (например, для указания диапазона времени и параметров ведения журнала) не учитываются.
• Конфликты внутри объектов не поддерживаются.
Поддержка функций идентификации для средств межсетевой защиты
� Фильтрация трафика на основе идентификационных данных поддерживается с версии CSM 4.2.
� Уже поддерживаются такие средства, как «Запрос политики», «Найти и заменить», «Срок действия правила».
� CSM 4.3 расширит поддержку средств межсетевой защиты для учета критериев идентификации в правилах межсетевых экранов.
� Сочетание правил — принятие во внимание не только сетей, интерфейсов и сервисов, но и пользователей.
� Количество попаданий — отображение количества попаданий для записей правила доступа, содержащих пользователей.
� Импорт правил — усовершенствованная возможность импорта групп пользователей и правил доступа с помощью групп объектов.
� Оптимизация внутреннего списка ACL — улучшенная возможность оптимизации ACL на основе не только сетей, интерфейсов и сервисов, но и пользователей.
10/15/2012
69
Поддержка функций идентификации для средств межсетевой защиты (продолжение)
Возможности монитора состояния и производительности (Health and Performance Monitor, HPM)
• Предоставление возможностей мониторинга для устройств ASA,VPN и IPS
• Предоставление графиков тенденций важных показателей
• Предоставление сводной панели для отображения объединенных сведений о состоянии, уведомлениях и значениях показателей в рамках представления
• Предоставление механизма уведомлений для различных отслеживаемых параметров
• Предоставление набора предопределенного представления мониторинга.
• Предоставление пользователям возможности создания, редактирования, изменения настраиваемого представления мониторинга
10/15/2012
70
Возможности HPM — мониторинг ASA
• Мониторинг ASA распространяется на следующие типы показателей:
• ресурсы устройства — ЦП, память, интерфейсы;
• параметры трафика — количество подключений, скорость подключений, количество трансляций, скорость трансляций, отброс пакетов, включая отброс при обнаружении угрозы, пропускная способность.
• Параметры аварийного переключения
• Уведомления ASA
• Уведомления об аварийном переключении
• Уведомления о состоянии интерфейса
• Уведомления об использовании ресурсов ЦП
• Уведомления об использовании ресурсов памяти
Возможности HPM — мониторинг сетей VPN
• Мониторинг сетей VPN распространяется на следующие типы параметров:
• Мониторинг активного туннеля между площадками
• Мониторинг пользователей удаленного доступа (RA) —пользователи – web-клиента VPN, IPSec и SSL, клиента Anyconnect.
• Сводные данные о сетях VPN — сводное представление для туннеля между площадками, сеансов удаленного доступа, сведений о лицензиях и сертификатах.
CSM Image Manager - Общие сведения� CSM Image Manager обеспечивает полное управление образами для
устройств ASA.
� Это средство используется на различных этапах процесса обновления образов для устройств ASA, предоставляя следующие возможности:� � � � � � � � и поддержка � � � � � � � � различных типов и версий образов, � � � � � образов, � � � � влияния обновления этих образов на устройства (в анализ входит влияние обновления
на конфигурацию устройств), � � � � � � � � � и � � � � � � � � обновления и
предоставление надежного способа � � � � � � � устройств с использованием встроенных механизмов резервирования и восстановления, что способствует сокращению времени простоев.
• Недостатки предыдущего решения, RME, для управления образамиRME больше не входит в комплект CSM.
Обновление образа с помощью RME рассматривалось как изменение OOB в CSM и требовало повторного обнаружения устройств, что приводило к потере назначенных и общих политик в CSM.
Механизм RME поддерживал только системное ПО. Отсутствует поддержка образов ASDM и других образов SSLVPN.
Отсутствует поддержка обновления аварийного переключения ASA, которое присутствует в большинстве развертываний ASA.
Сценарии использования управления образами
� Поддержка репозитория различных типов и версий образов ASA.
� Проверка доступности новых образов на сайте Cisco.com.
� Загрузка образов с сайта Cisco.com.
� Проверка и анализ влияния обновлений образов на устройства.
� Совместимость устройств с образами.
� Объединение совместимых образов в комплект.
� Планирование обновления образа одного или нескольких устройств. Контроль пошагового выполнения операции обновления.
� Управление изменениями для операций по обновлению образов.
10/15/2012
73
Преимущества Image Manager� Полное управление образами для ASA** — поддержка системы ASA,
ASDM, CSD, Hostscan, Anyconnect и подключаемого модуля SSLVPN (RDP, Telnet, SSH и т. д.).
� Поддержка обновления пары аварийного переключения «Активный/резервный».
� Тесная интеграция с Configuration Manager — пользователь получает уведомления о влиянии обновления образа на конфигурацию устройства в CSM и сведения о действиях, которые необходимо выполнить до и после обновления, чтобы обеспечить беспрепятственное управление конфигурациям устройств в CSM.
� Надежные обновления — проверки совместимости образов, проверки требований к ОЗУ, проверки объема флэш-памяти, уведомления о влиянии на конфигурации и т. д.
� Управление файлами флэш-памяти ASA.
� Комплект образов — объединение совместимых образов и их быстрое развертывание.
� Элементарные проверки надежности на ранних этапах становления управления образами SSLVPN в Configuration Manager. Вывод сообщений о недостатке места.
� Поддержка внешнего диска в ASA — диска 1.
Встроенные функции контроля доступа на основе ролей (RBAC)
• Выпуски ACS, вышедшие после версии 4.x, больше нельзя использовать в качестве решения RBAC для CSM. NRBAC предоставляет те же функции RBAC, которые присутствовали в ACS для CSM. Эти функции встроены в CSM, поэтому их использовать гораздо проще.
• Одной из ведущих мотиваций перехода на RBAC является возможность разделения обязанностей (Separation Of Duties, SOD).
– снижение риска случайного повреждения или мошенничества
– ограничение доступа к объектам (устройствам и политикам)
• Что изменилось?
– Common Services (CS) имели авторизацию на уровне задач и поставлялись только с пятью стандартными ролями. Они не обеспечивали детализацию RBAC на уровне устройств.
– При использовании NRBAC вводится детализация на уровне устройств и поставляется восемь (7 + 1) стандартных ролей. 1 роль не требуется для CSM.
• Сохраняется поддержка ACS 4.x.
10/15/2012
74
Стандартные роли, поставляемые с CSM
� Стандартные роли совпадают с ролями ACS � 5 ролей являются общими для CS и CSM
� 1 роль является специальной для CS
� 2 роли являются специальными для CS
Специальные ролиCSMЛицо, утверждающее системыбезопасности
Администратор систембезопасности
Специальная роль CS
Суперадминистратор
Общие роли
Утверждающее лицо
Служба поддержки
Администратор сети
Оператор сети
Системный администратор
Задачи приложений
� Задачи приложения назначаются ролям. Задача может относиться к одному конкретному приложению или использоваться для двух или более приложений.
ПРИМЕЧАНИЕ. Изменить разрешения для стандартных ролей нельзя.
10/15/2012
75
Группа устройств
� Группы устройств представляют собой контейнеры для устройств и используются в конфигурации авторизации на уровне устройств.
� Устройство может входить в несколько групп устройств.
ПРИМЕЧАНИЕ. Устройство может быть связано с несколькими группами устройств [ 1:n ]. Для конфигурации NRBAC не требуется связывать с пользователем все группы устройств. Достаточно только одной группы устройств.
Вывод. В системе могут находиться группы устройств, имеющие связанные устройства, но никогда не использовавшиеся для авторизации NRBAC на уровне устройств.
Различные типы авторизации в NRBAC
Полная авторизация
Авторизация на уровне задач
Авторизация на уровне устройств
10/15/2012
76
Другие функциональные возможности
� NRBAC предоставляет возможность авторизации внешним серверам идентификации, используемым для аутентификации.
� Удаленных пользователей AAA следует создать локально и назначить им роли.
� К некоторым серверам аутентификации, которые поддерживаются CS, относятся ACS 5.x как сервер TACACS+, Microsoft AD, локальная аутентификация Windows.
• Создание настраиваемой роли
• Создание новой строки привилегии запрещено.
• Следует использовать с осторожностью.
• ACS 4.x по-прежнему поддерживается «как есть». Требуется повторная регистрация, поскольку в CSM добавлены дополнительные строки привилегий для новых возможностей.
Dynamic UpdatesOperations CenterSensorBase� � � � � � � � � � �� � � � � � � � � И н т е г р и р о в а н н а яи н ф р а с т р у к т у р аИ н т е г р и р о в а н н а яи н ф р а с т р у к т у р а В ы с о к о с к о р о с т н а яс п е ц и а л и з и р о в а н н а яз а щ и т аВ ы с о к о с к о р о с т н а яс п е ц и а л и з и р о в а н н а яз а щ и т а О б л а ч н ы ев ы ч и с л е н и яО б л а ч н ы ев ы ч и с л е н и яСтоит ли класть все яйца в одну корзину?