© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential ISG/Cisco China 思科下一代 智慧安全解決方案 林揚城(Brook Lin) Cisco Security CSE
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential ISG/Cisco China
思科下一代 智慧安全解決方案
林揚城(Brook Lin) Cisco Security CSE
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
議程
p Cisco打造端到端的智慧安全 p 核心技術與方向 p 新的安全模型
p Cisco下一代安全平臺為用⼾戶提供安全保障 p 下一代安全技術介紹 p 園區網安全設計 p 數據中心安全設計
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
新一代的業務,面臨新的安全挑戰
業務模型在發生改變 我們需要保護最新的業
務和平臺
動態的零日威脅 我們的信息時刻存在風險
複雜/碎片型的安全解決方案 無法實現統一的整合
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
與網絡設備集成, 情景感知 自動化
提供安全防護的準確依據
高級威脅防禦 雲安全智能
減少惡意威脅造成的損失
靈活開放平臺, 可擴展,全面控制與管理 提供統一動態的安全防護
Secure IT——打造端到端的智慧安全
網路 終端 移動 虛擬化 雲
提高可見性 Visibility-Driven
關注威脅 Threat-Focused
統一平臺 Platform-Based
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
如果你不瞭解你的網路,就無法做出准確的防護
Network Servers
Operating Systems
VoIP phones
Files Netflow Routers and
Switches Time
Virtual Machines
Client Applications
Users
Web Applications
Application Protocols
Network Behavior
Malware
Command and Control
Servers
Vulnerabilities
Mobile Devices
Services Processes
終端資訊 通訊資訊 伺服器資訊
ISE情景感知技術 Context-Aware
下⼀一代防⽕火牆技術 NGFW
下⼀一代⼊入侵防禦技術 NGIPS
提高可見性
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6 6 來源:《2012 年Verizo 資料洩露調查報告》
秒 分鐘 小時 天 周 月 年
圖 40,事故時間表與惡意攻擊百分比
初始攻擊至防禦癱瘓
防禦癱瘓至資料外泄
防禦癱瘓至發現問題
發現問題至修復漏洞和恢復運行
關注威脅
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
思科關注威脅發生的整個過程
攻擊前 發現 執行 加固
攻擊後 定位 緩解 修復
檢測 阻擋 防禦
攻擊中
網路異常行為分析
惡意軟體防護AMP
准入系統
下一代防火牆功能
防火牆
VPN
下一代入侵防禦
Web安全平臺
Email 安全平臺
vm
vm
vm
雲安全智能
情景感知技術 全面瞭解網路
定制細細微安全性原則
大部分攻擊被定義的安全性原則阻擋
一部分騙過策略的攻擊 被雲智慧和攻擊防禦系
統阻斷 少數攻擊成功後, 系統快速進行
攻擊定位與修復
資訊資產
攻擊企圖
網路 終端 移動 虛擬化 雲
攻擊真的成功了,怎麼
辦?
關注威脅
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
安全開放平臺
pxGrid Context Sharing
CSM
PNSC
OpenAppID
n 開放介面 n 易於客制 n 與協力廠商整
合 n 資訊共用連動
統一平臺
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
議程
p Cisco打造端到端的智慧安全 p 核心技術與方向 p 新的安全模型
p Cisco下一代安全平臺為用⼾戶提供安全保障 p 下一代安全技術介紹 p 園區網安全設計 p 數據中心安全設計
Gartner 定義的 下一代安全服務
下一代IPS(NGIPS) • Standard first-gen IPS • Application awareness and
full-stack visibility • Context awareness • Content awareness • Agile engine
下一代防火牆(NGFW) • Standard first-gen firewall • Application awareness and full-stack
visibility • Integrated network IPS
Source: “Defining Next-Generation Network Intrusion Prevention,” Gartner, October 7, 2011. “Defining the Next-Generation Firewall,” Gartner, October 12, 2009
“Next-‐genera+on network IPS will be incorporated within a next-‐genera+on firewall, but most next-‐genera+on firewall products currently include first-‐genera+on IPS capabili+es.“
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
思科安全技術與平臺匯總
攻擊前 攻擊後 攻擊中
網路異常行為分析
惡意軟體防護AMP 網路/閘道/終端
准入與認證系統 ISE/ACS
下一代防火牆NGFW
防火牆 ASA/ASASM/ASAv/ISG
VPN
SSLVPN&IPSec
下一代入侵防禦 FirePower/Virtual
Web安全平臺 WSA/WSAv
Email 安全平臺 ESA/ESAv
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
業界最為完整和領先的安全技術 NAC
Source: Gartner (December 2011)
Cisco is the leader or challenger for al l security technologies
遠程接入
Source: Gartner (December 2011)
郵件安全
Source: Gartner (August 2011)
WEB安全
Source: Gartner (May 2011)
企業防火牆
Source: Gartner (October 2011)
網路准入 威脅防禦 n 業界最為完整
的方案組合
n 最為領先的安全技術
n 多種方案的深層整合
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
核⼼心區
廣域網路外連區 辦公⼤大樓-1
接⼊入區 廣域網路
彙聚區
DC區
辦公⼤大樓-2
ASA ASA
ASR/ISR
Cat6K/Nexus7/9K
SiSi SiSi
CA Switch
攻擊發生之前,全面分析網路,定制細細微性控制策略,減少攻擊發生可能: ü ASA防火牆/下一代防火牆 ü ISE存取控制
SiSi SiSi SiSi SiSi SiSi SiSi
CA Switch CA Switch CA Switch
C6880 C6880
下一代園區網安全方案部署示例
攻擊發生期間,進行深層資料分析,對威脅進行檢測和阻擋: ü Sourcefire下一代入侵防禦 ü ESA/WSA 應用閘道
攻擊發生之後,快速定位攻擊範圍,並進行修復 ü Sourcefire高級惡意軟體防護 ü 閘道級別/網路級別/終端級別
Internet
ISE存取控制 郵件安全閘道 互聯網安全閘道
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
安全case1:攻擊發生前,智能安全性原則
核⼼心區
廣域網路外連區 辦公⼤大樓-1
接⼊入區 廣域網路
彙聚區 辦公⼤大樓-2
ASA ASA
ASR/ISR
Cat6K/Nexus7/9K
SiSi SiSi
CA Switch
SiSi SiSi SiSi SiSi SiSi SiSi
CA Switch CA Switch CA Switch
C6880 C6880
Internet
ISE存取控制
使用者使用自帶的移動終端連接公司網路 ü 用⼾戶和設備信息到ISE進行驗證 ü ISE根據使用者身份/設備類型/連
接位置/等資訊對該終端進行授權,如只有互聯網存取權限。
ü 許可權策略下放到使用者的接入設備當中
用⼾戶使用公司筆記型電腦連接公司網路 ü 使用者和設備信息到ISE進行驗證 ü ISE根據使用者身份/設備類型/連
接位置/等資訊對該終端進行授權,如具有完全許可權。
ü 許可權策略下放到使用者的接入設備當中
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Defense Center
補救措施
檢測到威脅
策略更新
APIC
Campus
Data Center Campus
ISE pxGrid
資訊共用
安全case2:攻擊發生中統一智能的威脅檢測與回應
ü 網路中的威脅檢測引擎Sourcefire下一代威脅防禦體系,檢測到攻擊或者惡意流量的存在
ü Sourcefire與ISE提供的情景感知資訊關聯分析後,通知APIC控制器
ü APIC基於威脅的資訊,生成安全性原則
ü APIC根據威脅發生的位置,將安全性原則下發到指定位置,如指定的網路交換機/無線控制器/防火牆等
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
安全case3:攻擊發生後,定位威脅,找出源頭
核⼼心區
廣域網路外連區 辦公⼤大樓-1
接⼊入區 廣域網路
彙聚區 辦公⼤大樓-2
ASA ASA
ASR/ISR
Cat6K/Nexus7/9K
SiSi SiSi
CA Switch
SiSi SiSi SiSi SiSi SiSi SiSi
CA Switch CA Switch CA Switch
C6880 C6880
Internet
ISE准⼊入控制
Defense Center
檔案傳輸軌跡
ü 用⼾戶A在互聯網上下載了一個軟體
ü 由於該軟體未證明為惡意軟體,允許下載,並且標明為unkown。
ü 檔可能繼續傳播,Denfense Center會記錄所有檔軌跡
ü 某一刻該文件被定位為惡意軟件
ü 根據檔軌跡,可以快速定位該檔的影響範圍和源頭
ü 利用網路和終端執行,對檔進行刪除和阻攔。
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
數據中心安全解決方案部署
業務/租⼾戶 3
業務/租⼾戶 t 2
業務/租⼾戶 1
虛擬防火牆
Endpoints
vm
vm
vm
vm
vm
vm
vm
vm
vm
虛擬
交換
機
vm
vm
vm
防火牆集群技術
攻擊發生前: 防火牆做出安全防護 虛擬防火牆防護虛機環境
攻擊發生中: NGIPS做成威脅檢測攔截 NGIPSv實現虛機環境下的威脅防禦
攻擊發生後: 網路級別IPS/惡意軟體防護快速實現攻擊定位
© 2013 思科和/或其附属公司。 版权所有。 思科机密 18
數據中⼼心安全case1:跨數據中⼼心安全設備集群(Cluster)
ASA5585平臺支援最多16台防火牆組成集群,共同工作,可以實現跨數據中心的集群 p 增強整體性能:8台cluster
支持高達超過300G的 p 性能投資保護:所有的節點
都參與流量轉發,實現按需擴展
p 簡化管理,cluster中的多台防火牆統一管理,統一配置,統一策略
p 增加冗餘度,各台防火牆之間存在備份機制,無中斷升級
p 多資料中心狀態同步,允許非同步流量通過
© 2013 思科和/或其附属公司。 版权所有。 思科机密 19
資料中⼼心安全case2:虛擬化環境下如何做安全防護
租⼾戶1– VSG 和ASA1000v做防護 租⼾戶2 – VSG 和 ASAv做防護 透過vPATH實現安全控制 § ASA1000v實現邊界安全 § 邊界一進一出兩個介面 § VSG實現租⼾戶內部安全 § 適合小型租⼾戶
通過vSWITCH實現安全控制 § ASAv實現邊界安全 § 邊界支持兩個接口 § VSG實現租⼾戶內部安全 § 適合大型租⼾戶 § Sourcefire實現虛擬化的威脅防禦
VM 1
VM 2
VM 3
VM 4 VM 1
VM 2
VM 3
VM 4
VM 5
VM 6
VM 7
VM 8
VM 5
VM 6
VM 7
VM 8
Nexus 1000V Port-Profiles
vPATH enabled Services VSG VSG
ASA1000V uses vPATH
ASAv DGW VM VLAN 30 VLAN 10
© 2013 思科和/或其附属公司。 版权所有。 思科机密 20
防禦
檢測 修復
網路 終端 移動 虛擬化 雲
我們需要在安全建設和投資中尋找平衡點,我們可以按照下面的步驟實施安全部署: ü 安全防護作為第一步 防火牆/存取控制 ü 安全檢測可以提升防護的
等級 入侵防禦 WEB/Email安全 ü 回應與修復可以完善安全
生命週期 流量分析 惡意軟體防護
對於不同的平臺,也可以逐步實施,強化風險控制
© 2013 思科和/或其附属公司。 版权所有。 思科机密 21
思科安全解決方案,全面保障用⼾戶信息化進程
安全使用新技術:
虛擬化技術 BYOD技術
遠端協作技術
行業合規: 等級保護 行業合規
SOX
應對最新威脅: 微軟XP停止服
務 最新APT攻擊
零日威脅
Source: NIST/OCR conference May 2013
資料中心/雲安全
Virtualization & Cloud
Application Visibility & Control
應用可見/可控
Secure Unified Access
BYOD安全
邊界威脅防禦
Threat Defense
© 2013 思科和/或其附属公司。 版权所有。 思科机密 22
Thank You p 思科提供基於全面可見性的精確防護
p 思科提供以威脅為中心的整體安全方案
p 思科致力於構建統一開放的安全平臺