思科下一代智慧安全解決方案 - sysage.com.t · Threat-Focused 統一平臺 Platform-Based ... Source: “Defining Next-Generation Network Intrusion Prevention,” Gartner,

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential ISG/Cisco China

思科下一代智慧安全解決方案

林揚城(Brook Lin) Cisco Security CSE

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2

議程

p Cisco打造端到端的智慧安全 p 核心技術與方向 p 新的安全模型

p Cisco下一代安全平臺為用⼾戶提供安全保障 p 下一代安全技術介紹 p 園區網安全設計 p 數據中心安全設計


新一代的業務，面臨新的安全挑戰

業務模型在發生改變我們需要保護最新的業

務和平臺

動態的零日威脅我們的信息時刻存在風險

複雜/碎片型的安全解決方案無法實現統一的整合


與網絡設備集成, 情景感知自動化

提供安全防護的準確依據

高級威脅防禦雲安全智能

減少惡意威脅造成的損失

靈活開放平臺, 可擴展，全面控制與管理提供統一動態的安全防護

Secure IT——打造端到端的智慧安全

網路終端移動虛擬化雲

提高可見性 Visibility-Driven

關注威脅 Threat-Focused

統一平臺 Platform-Based


如果你不瞭解你的網路，就無法做出准確的防護

Network Servers

Operating Systems

VoIP phones

Files Netflow Routers and

Switches Time

Virtual Machines

Client Applications

Users

Web Applications

Application Protocols

Network Behavior

Malware

Command and Control

Servers

Vulnerabilities

Mobile Devices

Services Processes

終端資訊通訊資訊伺服器資訊

ISE情景感知技術 Context-Aware

下⼀一代防⽕火牆技術 NGFW

下⼀一代⼊入侵防禦技術 NGIPS

提高可見性

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6 6 來源：《2012 年Verizo 資料洩露調查報告》

秒分鐘小時天周月年

圖 40，事故時間表與惡意攻擊百分比

初始攻擊至防禦癱瘓

防禦癱瘓至資料外泄

防禦癱瘓至發現問題

發現問題至修復漏洞和恢復運行

關注威脅


思科關注威脅發生的整個過程

攻擊前發現執行加固

攻擊後定位緩解修復

檢測阻擋防禦

攻擊中

網路異常行為分析

惡意軟體防護AMP

准入系統

下一代防火牆功能

防火牆

VPN

下一代入侵防禦

Web安全平臺

Email 安全平臺

vm

vm

vm

雲安全智能

情景感知技術全面瞭解網路

定制細細微安全性原則

大部分攻擊被定義的安全性原則阻擋

一部分騙過策略的攻擊被雲智慧和攻擊防禦系

統阻斷少數攻擊成功後，系統快速進行

攻擊定位與修復

資訊資產

攻擊企圖


攻擊真的成功了，怎麼

辦？

關注威脅


安全開放平臺

pxGrid Context Sharing

CSM

PNSC

OpenAppID

n  開放介面 n  易於客制 n  與協力廠商整

合 n  資訊共用連動

統一平臺


議程

p Cisco打造端到端的智慧安全 p 核心技術與方向 p 新的安全模型

p Cisco下一代安全平臺為用⼾戶提供安全保障 p 下一代安全技術介紹 p 園區網安全設計 p 數據中心安全設計

Gartner 定義的下一代安全服務

下一代IPS(NGIPS) •  Standard first-gen IPS •  Application awareness and

full-stack visibility •  Context awareness •  Content awareness •  Agile engine

下一代防火牆(NGFW) •  Standard first-gen firewall •  Application awareness and full-stack

visibility •  Integrated network IPS

Source: “Defining Next-Generation Network Intrusion Prevention,” Gartner, October 7, 2011. “Defining the Next-Generation Firewall,” Gartner, October 12, 2009

“Next-‐genera+on network IPS will be incorporated within a next-‐genera+on firewall, but most next-‐genera+on firewall products currently include first-‐genera+on IPS capabili+es.“


思科安全技術與平臺匯總

攻擊前攻擊後攻擊中

網路異常行為分析

惡意軟體防護AMP 網路/閘道/終端

准入與認證系統 ISE/ACS

下一代防火牆NGFW

防火牆 ASA/ASASM/ASAv/ISG

VPN

SSLVPN&IPSec

下一代入侵防禦 FirePower/Virtual

Web安全平臺 WSA/WSAv

Email 安全平臺 ESA/ESAv


業界最為完整和領先的安全技術 NAC

Source: Gartner (December 2011)

Cisco is the leader or challenger for al l security technologies

遠程接入

Source: Gartner (December 2011)

郵件安全

Source: Gartner (August 2011)

WEB安全

Source: Gartner (May 2011)

企業防火牆

Source: Gartner (October 2011)

網路准入威脅防禦 n  業界最為完整

的方案組合

n  最為領先的安全技術

n  多種方案的深層整合


核⼼心區

廣域網路外連區辦公⼤大樓-1

接⼊入區廣域網路

彙聚區

DC區

辦公⼤大樓-2

ASA ASA

ASR/ISR

Cat6K/Nexus7/9K

SiSi SiSi

CA Switch

攻擊發生之前，全面分析網路，定制細細微性控制策略，減少攻擊發生可能： ü  ASA防火牆/下一代防火牆 ü  ISE存取控制

SiSi SiSi SiSi SiSi SiSi SiSi

CA Switch CA Switch CA Switch

C6880 C6880

下一代園區網安全方案部署示例

攻擊發生期間，進行深層資料分析，對威脅進行檢測和阻擋： ü  Sourcefire下一代入侵防禦 ü  ESA/WSA 應用閘道

攻擊發生之後，快速定位攻擊範圍，並進行修復 ü  Sourcefire高級惡意軟體防護 ü  閘道級別/網路級別/終端級別

Internet

ISE存取控制郵件安全閘道互聯網安全閘道


安全case1：攻擊發生前，智能安全性原則

核⼼心區



彙聚區辦公⼤大樓-2

ASA ASA

ASR/ISR

Cat6K/Nexus7/9K

SiSi SiSi

CA Switch



C6880 C6880

Internet

ISE存取控制

使用者使用自帶的移動終端連接公司網路 ü 用⼾戶和設備信息到ISE進行驗證 ü  ISE根據使用者身份/設備類型/連

接位置/等資訊對該終端進行授權，如只有互聯網存取權限。

ü 許可權策略下放到使用者的接入設備當中

用⼾戶使用公司筆記型電腦連接公司網路 ü 使用者和設備信息到ISE進行驗證 ü  ISE根據使用者身份/設備類型/連

接位置/等資訊對該終端進行授權，如具有完全許可權。

ü 許可權策略下放到使用者的接入設備當中


Defense Center

補救措施

檢測到威脅

策略更新

APIC

Campus

Data Center Campus

ISE pxGrid

資訊共用

安全case2：攻擊發生中統一智能的威脅檢測與回應

ü  網路中的威脅檢測引擎Sourcefire下一代威脅防禦體系，檢測到攻擊或者惡意流量的存在

ü  Sourcefire與ISE提供的情景感知資訊關聯分析後，通知APIC控制器

ü  APIC基於威脅的資訊，生成安全性原則

ü  APIC根據威脅發生的位置，將安全性原則下發到指定位置，如指定的網路交換機/無線控制器/防火牆等


安全case3：攻擊發生後，定位威脅，找出源頭

核⼼心區



彙聚區辦公⼤大樓-2

ASA ASA

ASR/ISR

Cat6K/Nexus7/9K

SiSi SiSi

CA Switch



C6880 C6880

Internet

ISE准⼊入控制

Defense Center

檔案傳輸軌跡

ü  用⼾戶A在互聯網上下載了一個軟體

ü  由於該軟體未證明為惡意軟體，允許下載，並且標明為unkown。

ü  檔可能繼續傳播，Denfense Center會記錄所有檔軌跡

ü  某一刻該文件被定位為惡意軟件

ü  根據檔軌跡，可以快速定位該檔的影響範圍和源頭

ü  利用網路和終端執行，對檔進行刪除和阻攔。


數據中心安全解決方案部署

業務/租⼾戶 3

業務/租⼾戶 t 2

業務/租⼾戶 1

虛擬防火牆

Endpoints

vm

vm

vm

vm

vm

vm

vm

vm

vm

虛擬

交換

機

vm

vm

vm

防火牆集群技術

攻擊發生前：防火牆做出安全防護虛擬防火牆防護虛機環境

攻擊發生中： NGIPS做成威脅檢測攔截 NGIPSv實現虛機環境下的威脅防禦

攻擊發生後：網路級別IPS/惡意軟體防護快速實現攻擊定位

© 2013 思科和/或其附属公司。版权所有。思科机密 18

數據中⼼心安全case1：跨數據中⼼心安全設備集群(Cluster)

ASA5585平臺支援最多16台防火牆組成集群，共同工作，可以實現跨數據中心的集群 p  增強整體性能：8台cluster

支持高達超過300G的 p  性能投資保護：所有的節點

都參與流量轉發，實現按需擴展

p  簡化管理，cluster中的多台防火牆統一管理，統一配置，統一策略

p  增加冗餘度，各台防火牆之間存在備份機制，無中斷升級

p  多資料中心狀態同步，允許非同步流量通過


資料中⼼心安全case2：虛擬化環境下如何做安全防護

租⼾戶1– VSG 和ASA1000v做防護租⼾戶2 – VSG 和 ASAv做防護透過vPATH實現安全控制 §  ASA1000v實現邊界安全 §  邊界一進一出兩個介面 §  VSG實現租⼾戶內部安全 §  適合小型租⼾戶

通過vSWITCH實現安全控制 §  ASAv實現邊界安全 §  邊界支持兩個接口 §  VSG實現租⼾戶內部安全 §  適合大型租⼾戶 §  Sourcefire實現虛擬化的威脅防禦

VM 1

VM 2

VM 3

VM 4 VM 1

VM 2

VM 3

VM 4

VM 5

VM 6

VM 7

VM 8

VM 5

VM 6

VM 7

VM 8

Nexus 1000V Port-Profiles

vPATH enabled Services VSG VSG

ASA1000V uses vPATH

ASAv DGW VM VLAN 30 VLAN 10


防禦

檢測修復


我們需要在安全建設和投資中尋找平衡點，我們可以按照下面的步驟實施安全部署： ü 安全防護作為第一步防火牆/存取控制 ü 安全檢測可以提升防護的

等級入侵防禦 WEB/Email安全 ü 回應與修復可以完善安全

生命週期流量分析惡意軟體防護

對於不同的平臺，也可以逐步實施，強化風險控制


思科安全解決方案，全面保障用⼾戶信息化進程

安全使用新技術：

虛擬化技術 BYOD技術

遠端協作技術

行業合規：等級保護行業合規

SOX

應對最新威脅：微軟XP停止服

務最新APT攻擊

零日威脅

Source: NIST/OCR conference May 2013

資料中心/雲安全

Virtualization & Cloud

Application Visibility & Control

應用可見/可控

Secure Unified Access

BYOD安全

邊界威脅防禦

Threat Defense


Thank You p 思科提供基於全面可見性的精確防護

p 思科提供以威脅為中心的整體安全方案

p 思科致力於構建統一開放的安全平臺

思科下一代 智慧安全解決方案 - sysage.com.t · Threat-Focused 統一平臺 Platform-Based ... Source: “Defining Next-Generation Network Intrusion Prevention,” Gartner,

Documents

思科下一代智慧安全解決方案 - sysage.com.t · Threat-Focused 統一平臺 Platform-Based ... Source: “Defining Next-Generation Network Intrusion Prevention,” Gartner,