Архитектура защищенного мобильного доступа

Архитектура*защищенного*мобильного*доступа

Владимир*ИлибманЭксперт*по*продуктам*безопасности*Cisco

01.10.15 ©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.

• Сценарии(использования(мобильных(устройств(

• Фазы(развития((мобильного(доступа(на(примере(Cisco

• Архитектура(Cisco(для(мобильного(доступа

• Продукты(и(решения(для(безопасного(мобильного(доступа

• Сервисы(и(приложения

Изменение*ландшафта*IT

Более*15*миллиардов устройств*в*2015* с*3*устройствами*на*сотрудникаУ*75% опрошенных* мобильные* устройства*поражались* вредоносным* кодом*хотя*бы*1*раз*за*последние* 12*месяцев63% загружали* на*мобильные* устройства*чувствительную информацию

2003 2007 2012 2014+

Поколение*1 Удаленный*и*гостевой*доступ

Корпоративная*мобильность

Мобильные*приложения* в*бизнесе

Управляемые*ITустройства

Простой*доступ Корпоративные*и*персональные*устройства

PostkPC*эра

Пирамида*потребностей*по*Маслоу

Пирамида*потребностей*по*Маслоу

Пирамида*потребностей*по*Маслоу

Гаджет*и*BYOD* k это только*верхушка*айсберга

BYOD(требует(анализа(процессов внутри(компании

BYODЯ*хочу*читать*почту*со*своего*Androidkпланшета

Конечный(пользователь

Рост*производительности*

трудаCEO

Уменьшение*затрат

Есть(ли(решение(удаленного(доступа

Справится( ли(WiFi ?

Как(поддерживать(разнородные(устройства( ? IT

Как(обеспечить(compliance( с(регуляторными(требованиями

Что(делать(при(краже(устройства( или(увольнении(сотрудника( ?

Новые(риски(безопасности(

(утечка(информации,(вирусы…)( ?

Security

Появление*еще*одной*модели*– CYODChoosekYourkOwnkDevice*

Пример*Cisco IT.*Стратегия AnyDevice

Other16,450 36,104 13,901 1663,979

82,794 34,5458,225

71,325

Personally*

Owned*

Mobile*

Devices*

(BYOD)

125,564

Corporate*

Laptops*

(CYOD)

725

Эволюция*развития*BYOD/CYOD*в*Cisco

2009Mobile*BYOD*Mandate*Mobile*Mail*and*WikFi*on*iPhone,*BlackBerry,*Android,*etc.MacBook*Pro

2010h2011Tablet*SupportAnyConnect*on*Trusted*DevicesWebEx*and*Jabber

2012Cisco*eStore*LaunchedMacBook*AirMobile*AppsISE*1.1*Rollout

2013+BYOD*for*nonkCisco*laptopseStore*for*mobileExpanded*Mobile*App*PortfolioCloud*ServicesISE*1.2*and*1.3

2003h2008CorporatekPaid*DevicesGood*Mobile*Windows*XP

Any*Device*Roadmap

1. Несанкционированное*подключение*устройств

2. Утечка*данных,*кража*или*потеря3. Вредоносное*ПО (источник*–Веб)4. Отсутствие*на*устройстве*корпорат.механизмов*безопасности

5. Нарушение*правил*использования*устройства*на*работе*и*вне*офиса

УГРОЗЫ

Риски безопасности*для*мобильных*устройств*

Персональное(устройство(– “форточка” для(атаки(на(сеть(в(целом((Source:*2011*ISACA*IT*Risk/Reward*Barometer,*US*Edition*(www.isaca.org/riskkrewardkbarometer)

Решение*Cisco*для*безопасного*подключения*мобильных*устройств

Mobile* Device*ManagementУправление рабочим*местом

AnyConnect,*ASA,*ScanSafe,*WSA,*AMP

ISE

Функции*коммутаторов,*WiFiи*маршрутизаторовУправление—Cisco* Prime

Безопасная* мобильность

Инфраструктура* управления*политиками

Сетевая* инфраструктураПроводный и(

беспроводный доступ

Политики(для(безопасного( доступа

Безопасность(мобильного(и(

удаленного(доступа

Управление(персональными(устройствами

Сервисы(и(приложения

Техническая*архитектура*безопасного*мобильного*доступа

MobileDeviceManagement

Cisco*Identity*Services*Engine*(ISE)

Wireless*Devices

AnyConnect*VPN*(All*Mobile)

Web*Security*Appliance

Wired*Network*Devices

Adaptive*Security*

Appliance

Cisco*Core*Network

Продукты*и*решения*безопасного*мобильного*доступа

01.10.15 ©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.

Политика* безопасного*доступа*в*организацииУстройства

Приложения

Соединение

УправлениеБезопасность

InternalApps

WebApps

2G/3G WiFi VPN

ОС

Голос

Видео Сообщения

Конференции

ФормФактор Защищенное(

соединение

Контроль(приложений

Защита(Web

Защита(устройства

Шифрование(данных

Управление(устройством

Слежение(за((устройством

Внедрение(приложений

Производительность(&(Диагностика

Управление(затратами( на(

связь

Cisco*Identity*Services*Engine*(ISE)Корпоративная*система*управления*политиками

Кто Что Где Когда Как

Сотрудник,*гость*,*клиент.* Корпоративное*или*личное*устройство

Wired Wireless VPN

Бизнес*политики

Атрибуты*политики*безопасности

Идентификация*пользователей*и*

устройств

Определение*политики*мобильного*доступа*на*ISE

Тип(устройства

МестоположениеПользователь Оценка Время Метод(доступа

ISE*получает*интеграцию(с(MSE 8.0(или CMX.((Это*обеспечивает*:• Возможность*использовать*атрибуты*местоположения*в*политике

• Определять*зоны(безопасности• Периодически*проверять*местоположение*в*случае*изменений

• Проводить*переавторизацию в*случае*изменения*локации

Интеграция*информации*о*местоположении

!

NEWISE(2.0

Что*предлагает*ISE*для*управления*персональными*устройствами

Поддержка*множества*типов*устройств:

iOS (post*4.x) MAC*OSX Android* (2.2*and**later)

Windows* (XP,*Vista,*Win7,*Win8,*Win10)

Безопасность*на*основе*сертификата

Поддержка*всех*сетевых*подключений

Занесение*устройств*в*“черный” список и*удаленная*очистка

Саморегистрация

Портал**“Мои*устройства”

Распространение(корпоративного( ПО

Инвентаризация

Управление(Backup,(Remote(

Wipe,(etc.)

AUP

Классификация/Профилирование

Регистрация

Безопасный( сетевой(доступ(Wireless,(Wired,(VPN)

Управление( сетевым(доступом(на(основе(

контекста

Настройка(профилей(

безопасности(устройства

User(<h>(Device(Ownership

Mobile(+(PC

Соответствие( политике((Jailbreak,( Pin(Lock,(etc.)

Шифрование(данных

СЕТЕВАЯ(БЕЗОПАСНОСТЬ( (ISE) УПРАВЛЕНИЕ( УСТРОЙСТВОМ((MDM)

Позиционирование*ISE*и*MDM

Пользователи и*IT*совместно*управляют*устройством*и*доступом

Пользователь* управляет* устройствомIT*управляет*доступом*в*сеть

Управление затратами

Интеграция*ISE*и*MDMISEMDM*

Manager

Регистрация устройств*при*включении*в*сеть*–незарегистрированные*клиенты*направляются*на*страницу*регистрации*MDM

Ограничение(доступа(k неkсоответствующие*клиенты*будут*иметь*ограниченный*доступ*в*сеть,*исходя*из*информации*полученной*от*систем*MDM

Инициация(действий через*интерфейс*ISE*– например*устройство*украденоk>*очистить*данные*на*устройстве

Сбор(дополнительной(информации про*устройство*дополняет*функции*классификации*и*профилирования*ISE

ЭкопартнерыCiscohttp://www.cisco.com/c/dam/en/us/products/collateral/security/identityhserviceshengine/at_a_glance_c45h726284.pdf

Облачное*MDM*решение*

• Централизованное* управления• Настройка* сетевых*параметров• Определение* местоположения• Удаленное* внедрение* приложений• Внедрение* политики* ограничений* для*приложений* и*данных

• Интеграция* *с*AD/ISE

Cisco*System*Manager*Enterprise

•*Apple*iPad,*iPod*Touch,*iPhone,*and*Apple*TV*(iOS 5*or*higher)•*Android*(2.2*or*higher),*including*Amazon’s*Kindle*Fire•*Mac*OS*X*(10.5,*10.6,*10.7,*10.8,*10.9,*10.10)•*Windows*Pro*7,*8,*8.1,*Vista,*XP*(Service*Pack*3*or*higher),*Server*2008,*R2,*2012•*Windows*Phone*8.1

Пример*политики*в*Cisco

Local*and*Remote*Wipe

Encryption*andManagement

4*Digit*PIN10*Minute*Timeout

Trusted*DevicesSecured*Devices

Реализация*политики*безопасности*в*Cisco

Network(Edge 4(Digit(PIN 10(Minute((

TimeoutRemoteWipe

Management

Encryption

Безопасные(устройства

Core(Network

Доверенные(устройства

Управление*и*защита*webkдоступаНейтрализация*основного* канала*угроз*мобильных*устройств

Тонкое*управление*работой*с*приложениями

Мобильный*сотрудник

Политика(контроля(доступа Нарушение(политики

• Мгновенные*сообщения• Facebook:* *с*ограничениями• Видео:*не*более*512*кбит/с

• Передача*файлов*по*IM•P2P•Защита*от*вирусов*и*вредоносного* кода*•Блокировка* «взрослого»* контента*• Ограничение* пропускной* способности

Защита*Интернетkдоступа*мобильного*устройства*в*пределах*офиса

Новости Электроннаяпочта

Социальные*сети КорпоративнаяSaaSkсистема

Фильтрация*контента

Corporate*AD

Маршрутизатор

/коммутаторЗащита

Интернетkдоступа*в*сети*предприятия

Cloud*Web* Security

Cisco(WSA

ASA(c(FirePOWER

Объединяем*ISE*с*WSAДоступ*через*WSA*с*авторизацией*через*ISE

Cisco® ISE* получает*информацию*контекст*и*идентификацию*мобильного*устройства

WSA*применяет*гранулированную*политику*доступа**в*зависимости*от*прав*и*состояния*устройства

Consistent(Secure(Access(Policy

Who:*DoctorWhat:*LaptopWhere:*Office

Who:*DoctorWhat:*iPadWhere:*Office

Who:*GuestWhat:*iPadWhere:*Office

Cisco® Identity(Service(Engine

WSA

Confidential(Patient(Records

Internal(Employee(Intranet

Internet

Cisco*Web*Security*Virtual*Appliance

Преимущества:• Выбор*формkфактора• Гибкость*развертывания• Ценовая*модель*– подписка

Варианты*использования• Бюджетный*вариант*для*ЦО• Региональный*офис• В*случае*повышенной*нагрузки

Cisco*UCS+

+WSAV

Защита(мобильного(устройстваAnyConnect

VPN

А*как*защищать*Интернетkдоступ*на*мобильных*устройствах*вне*офиса?

Интернетhтрафик Cisco( Cloud(Web(Security

Cisco(ASAвнутренний( трафик

Интернет

Решение*Cisco*AnyConnect*Secure*Mobility*Solution

Широкая*поддержка*платформ

• Apple*IOS,**Android,*Blackberry,*Windows*Phone,*Windows*7/8/10,*MAC,*Linux,*

• Работа*через*клиента*и*через*браузер

Постоянное*подключение

• постоянно*активное*подключение,*• выбор*оптимального*шлюза,*• автоматическое*восстановление*подключения

Унифицированная* безопасность*и*модульность

• Идентификация*пользователей*и*устройств• Проверка*соответствия• Интегрированная*вебkбезопасность• Интеграция*с*защитой*от*вредоносного*кода• Поддержка*VDI

Корпоративныйофис

Безопасный,*ПостоянныйДоступ

ASA

Wired WikFi

мобильнаяили WikFi

Мобильный* сотрудникДомашнийофис

Филиал

Поддерживаемые*платформыУстройства(пользователей(и(инфраструктура

ИнфраструктураКлиенты

Microsoft(Windows Mac(OS(X Linux

Настольное( устройство

Мобильные( средства( связи

Apple iOSiPhone и*iPad

• HTC• Motorola• Samsung• Версия* 4.0*и*более*поздние

• HTC• Lenovo• Motorola• Samsung• Версия* 4.0*и*более*поздние

Бесклиентскиеподключения

BlackBerry

+

AndroidСмартфоны*****Планшетные*

компьютеры*****

Управление

ASDM CSMCLI

Защищенные(соединения

Cisco(ISR*

Cisco®ASA

Cisco(ASR*

Коммутаторы(IEEE(802.1x

Интернетhбезопасность

Cisco(WSA

Cisco(ISE

Идентификация(и(политика+

Cisco(NAC

Cisco(AnyConnectдля(webhзащитына(основе(облака

Windows(Phone

IPSec,(SSL(VPN

802.1X

MACSec

Cisco Network Access Manager – управление*проводным*и*беспроводным*подключением

• Управление*корпоративными*подключениями

• Проводное*(802.3)*и*беспроводное*(802.11)*подключение*с*помощью*одной*структуры*аутентификации

• Аутентификация*пользователей*и*устройств*уровня*2:

–802.1X,*802.1XkREV* (установка*проводного*ключа)

–802.1AE* (MACsec:*проводное*шифрование)

–Поддержка*нескольких*типов*EAP

–802.11i*(сеть*с*повышенной*безопасностью)

• Поддержка*конфигураций*сети*для*администратора*(офис)* и*пользователя*(дом)

Постоянное*подключение*(Always*On)

Автоматическое* переподключение между*сетями* *WikFi,*3G*и*разрывах* связи

Повторная* аутентификация* не*требуется

Таймер* максимальной* *продолжительности* сеанса

Off*Premises

Выбор*оптимального*шлюза

Подключение*к*наиболее*оптимальному*головному*устройству

Время( =(25(мсВремя( =(23(мсВремя( =(24(мс

Время( =(110( мсВремя( =(127( мсВремя( =(125( мс

Время( =(33(мсВремя( =(35(мсВремя( =(26(мс

МоскваАстана

Алматы

Пороговое(значение(времени(приостановки((часы)(

Пороговое(значение(повышения(производительности((%)

Параметры(профиля:

Семипалатинск

Что*нового*в Cisco*AnyConnect*4.0?Подключает*только*разрешенные*приложения*через*VPN

Избранное* туннелирование через*VPN

VPN

Обеспечивает*безопасный*удаленный*доступ*для*выбранных*приложений*для*определенного* пользователя,*устройства*и*роли (perkapp*VPN)

Уменьшает* риски*неразрешенных*приложений,*связанные*с*компрометацией* данных

Поддерживает*большое*количество*типов**устройств*и*удаленных*пользователей*(сотрудники,*партнеры,*контрактники),*

WWW

Что нового*в*Cisco*AnyConnect*4.0?Оценка*состояния*и*безопасный* VPN*доступ*с*унифицированным* агентом*и Cisco*ISE

Поддерживает* оценку*состояния*для*разных*способов*доступа

Упрощает*управление*с*единым*агентом

Предотвращает* подключение*несоответствующих*устройств*(проверка* патчей,*ключей*реестра,*антивирусов….)

Пример*сценария• Идентификация*пользователя:

• Логин/пароль*

• Пользовательский* сертификат* (802.1X)

• “Идентичность” устройства:• номер BIOS,*MACkадрес,* UDID*для моб,*

• Тип*устройства• Машинный* сертификат* (802.1X)• Наличие* корпоративного* ПО,*ключей*реестра* и*

секретных* “меток”….

• Политика*доступа*с*множеством*проверок Пользователь Устройство+ = Политика(

доступа

Корпоративное*устройство*?

00:11:22:AA:BB:CC

ID

Корпоративный*пользователь

Привет,*я*Маша,*мой*пароль*******

ID

Что*нового*в*AnyConnect 4.1AMP*активатор*расширяет*защиту*от*malware

Обеспечивает* быстрый*и*удобный*путь*включения* функционала* Advanced*Malware* Protection* (AMP)*

Обеспечивает* защиту* конечного*устройства*до*туннелирования трафика* в*сеть

Минимизирует* потенциальное* влияние*путем*обеспечения* проактивной защиты*и*быстрого* устранения* заражения

Больше*защиты

Windows/MAC MobileМобильное*устройство

NEW

AnyConnect*– больше*чем*просто*VPN

SSL(/(DTLS(VPNIPsec VPN HostScan

/ISE(AgentCloud(Web(Security

L2(Supplicant((Win(Only)

Switches*andWireless*controllers

ASA WSAISE/ACS Cloud*Web*Security**+*AMP

Центральные(устройства

ASR/CSR

ISR

Базовый(VPN РасширенныйVPN Другие(сервисы

Модуль(сетевой(видимости

AMP(((Enabler

Планируется, к,выходу,в,2015,

году

Новое*лицензирование*в Cisco*AnyConnect 4.xУпрощение*и*большая*гибкость

01.10.15

Новые*лицензии* переносимы* между*любыми*аппаратными* платформами,*что*упрощает* модернизацию* и*замену*аппаратных* платформ

Новая*двухуровневая* модель*лицензирования* позволяет* клиентам*расти*с*учетом*актуальных*потребностей* в*мобильности

Программа* миграции:• Essentials* to*Plus• Premium* to*Apex

Лицензия* по*пользователям(с*любым*колkвом*устройств)

Лицензия* Plus Лицензия* Apex

! VPN! Мобильный*VPN*по*приложениям*(новое)

! Вебkбезопасность

! Менеджер*сетевого*подключения*(NAM)

! Функции*Plus

! Соответствие*устройств*(новое)

! Безклиентскийдоступ

! Криптография*Suite*B

Модули*AnyConnect

Клиент*Cisco*AnyConnect® Secure*Mobility*может*состоять*из*следующих*модулей:

Windows OS*X Linux Apple* iOS Android

VPN Да Да Да Да Да

NAM Да x x x x

WebSec Да Да x x x

Оценка*состояния Да x x x x

Телеметрия Да x x x x

DART Да Да x x x

Терминация VPNkподключений*на**Cisco*ASA*5500kX

Производиткльность

Data(CenterCampusBranch(Office( Internet(Edge

ASA*5585kX*SSPk20(10*Gbps,*125K*cps)

ASA*5585kX*SSPk60(40*Gbps,*350K*cps)

ASA*5585kX*SSPk40(20*Gbps,*200K*cps)

ASA*5585kX*SSPk10(4*Gbps,*50K*cps)ASA*5555kX*

(4*Gbps,50K*cps)

ASA*5545kX*(3 Gbps,30K*cps)ASA*5525kX*

(2*Gbps,20K*cps)

NEW

SOHO

ASA*5506*(150*Mbps,*5K*cps)

<50

7502500

500010000

ASA*5508kX*(250 Mbps,*10K*

cps)

50k100

250ASA*5516kX*(500 Mbbps10K*cps)

NEW

NEW

Сервисы*и*приложения*для*персональных*устройств

01.10.15 ©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.

Реализация*передовых*возможностейПример*Cisco*IT в*Cisco*ITBasics

MobileMail

eStore*AppsCollaboration

ToolsConnectivity Content(and(

CollateralLearning

News(&(Events

Sales BetaEmployeeServices

Архитектура*Cisco*для BYOD/*моб.*устройствМобильныеустройства

Инфраструктура*доступа:*Проводный,*WiFi,*Мобильный

Шлюзы*безопасности

Инфраструктура*защиты*иуправлениям* политиками

www.cisco.com/go/byod

Часть*новой*архитектуры*CiscoSAFE

Выводы1. Мобильные*устройства*влияют*на*бизнесkпроцессы,*

стратегию*IT и*оценку*рисков*безопасности

2. На*сегодня*мобильный*доступ*есть*фактически*в*каждой*организации*– отличается*лишь*степень*проникновения*

3. Cisco*предлагает* законченную*интегрированную*архитектуру*для*защищенного*мобильного*доступа

ISEASAAnyConnect Cisco*PrimeSec*GroupAccess

Cloud*Web*Security ESA/WSA Wireless Wired

Решение*Cisco для* безопасного*мобильного*доступа

Ждем(ваших(сообщений(с(хештегом#CiscoConnectKZ

©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.

СпасибоПожалуйста,*заполните*анкеты.*Ваше*мнение*очень*важно*для*нас.Владимир*Илибман[email protected]