Архитектура защищенного мобильного доступа

Архитектура*защищенного*мобильного*
доступа
Владимир*Илибман
Эксперт*по*продуктам*безопасности*Cisco
01.10.15 ©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.

• Сценарии(использования(
мобильных(устройств(
• Фазы(развития((мобильного(
доступа(на(примере(Cisco
• Архитектура(Cisco(для(
мобильного(доступа
• Продукты(и(решения(для(
безопасного(мобильного(
доступа
• Сервисы(и(приложения

Изменение*ландшафта*IT
Более*15*миллиардов устройств*в*2015* с*3*устройствами*на*сотрудника
У*75% опрошенных* мобильные* устройства*поражались* вредоносным* кодом*
хотя*бы*1*раз*за*последние* 12*месяцев
63% загружали* на*мобильные* устройства*чувствительную информацию
2003 2007 2012 2014+
Поколение*1
Удаленный*и*
гостевой*доступ
Корпоративная*
мобильность
Мобильные*
приложения* в*
бизнесе
Управляемые*IT
устройства
Простой*доступ Корпоративные*и*
персональные*устройства
PostkPC*эра

Пирамида*потребностей*по*Маслоу

Гаджет*и*BYOD* k это только*верхушка*айсберга
BYOD(требует(анализа(процессов внутри(компании
BYOD
Я*хочу*читать*почту*со*
своего*Androidkпланшета
Конечный(
пользователь
Рост*
производительности*
труда
CEO
Уменьшение*
затрат
Есть(ли(решение(
удаленного(
доступа
Справится( ли(
WiFi ?
Как(поддерживать(
разнородные(
устройства( ?
IT
Как(обеспечить(
compliance( с(
регуляторными(
требованиями
Что(делать(при(краже(
устройства( или(
увольнении(
сотрудника( ?
Новые(риски(
безопасности(
(утечка(информации,(
вирусы…)( ?
Security

Появление*еще*одной*модели*– CYOD
ChoosekYourkOwnkDevice*

Пример*Cisco IT.*Стратегия AnyDevice
Other16,450 36,104 13,901 1663,979
82,794 34,5458,225
71,325
Personally*
Owned*
Mobile*
Devices*
(BYOD)
125,564
Corporate*
Laptops*
(CYOD)
725

Эволюция*развития*BYOD/CYOD*в*Cisco
2009
Mobile*BYOD*
Mandate*
Mobile*Mail*and*
WikFi*on*iPhone,*
BlackBerry,*
Android,*etc.
MacBook*Pro
2010h2011
Tablet*Support
AnyConnect*on*
Trusted*Devices
WebEx*and*Jabber
2012
Cisco*eStore*Launched
MacBook*Air
Mobile*Apps
ISE*1.1*Rollout
2013+
BYOD*for*nonk
Cisco*laptops
eStore*for*
mobile
Expanded*
Mobile*App*
Portfolio
Cloud*Services
ISE*1.2*and*1.3
2003h2008
CorporatekPaid*
Devices
Good*Mobile*
Windows*XP
Any*Device*Roadmap

Архитектура защищенного мобильного доступа

1. Несанкционированное*подключение*
устройств
2. Утечка*данных,*кража*или*потеря
3. Вредоносное*ПО (источник*–Веб)
4. Отсутствие*на*устройстве*корпорат.
механизмов*безопасности
5. Нарушение*правил*использования*
устройства*на*работе*и*вне*офиса
УГРОЗЫ
Риски безопасности*для*мобильных*устройств*
Персональное(устройство(– “форточка” для(атаки(на(сеть(в(целом((
Source:*2011*ISACA*IT*Risk/Reward*Barometer,*US*Edition*(www.isaca.org/riskkrewardkbarometer)

Решение*Cisco*для*безопасного*подключения*
мобильных*устройств
Mobile* Device*ManagementУправление рабочим*местом
AnyConnect,*ASA,*
ScanSafe,*WSA,*AMP
ISE
Функции*коммутаторов,*WiFi
и*маршрутизаторов
Управление—Cisco* Prime
Безопасная* мобильность
Инфраструктура* управления*
политиками
Сетевая* инфраструктура
Проводный и(
беспроводный доступ
Политики(для(
безопасного( доступа
Безопасность(
мобильного(и(
удаленного(доступа
Управление(
персональными(
устройствами
Сервисы(и(приложения

Техническая*архитектура*безопасного*
мобильного*доступа
Mobile
Device
Management
Cisco*Identity*Services*
Engine*(ISE)
Wireless*
Devices
AnyConnect*VPN*(All*Mobile)
Web*Security*
Appliance
Wired*
Network*
Devices
Adaptive*
Security*
Appliance
Cisco*Core*Network

Продукты*и*решения*безопасного*мобильного*
доступа

Политика* безопасного*доступа*в*организации
Устройства
Приложения
Соединение
УправлениеБезопасность
Internal
Apps
Web
Apps
2G/3G WiFi VPN
ОС
Голос
Видео Сообщения
Конференции
Форм
Фактор
Защищенное(
соединение
Контроль(
приложений
Защита(Web
Защита(
Шифрование(
данных
устройством
Слежение(за((
устройством
Внедрение(
приложений
Производите
льность(&(
Диагностика
затратами( на(
связь

Cisco*Identity*Services*Engine*(ISE)
Корпоративная*система*управления*политиками
Кто Что Где Когда Как
Сотрудник,*гость*,*клиент.* Корпоративное*или*личное*устройство
Wired Wireless VPN
Бизнес*политики
Атрибуты*политики*безопасности
Идентификация*
пользователей*и*
устройств

Определение*политики*мобильного*доступа*на*ISE
Тип(
МестоположениеПользователь
Оценка Время Метод(доступа

ISE*получает*интеграцию(с(MSE 8.0(
или CMX.((Это*обеспечивает*:
• Возможность*использовать*
атрибуты*местоположения*в*
политике
• Определять*зоны(безопасности
• Периодически*проверять*
местоположение*в*случае*
изменений
• Проводить*переавторизацию в*
случае*изменения*локации
Интеграция*информации*о*местоположении
!
NEW
ISE(2.0

Что*предлагает*ISE*для*управления*персональными*
устройствами
Поддержка*
множества*типов*
устройств:
̶ iOS (post*4.x)
̶ MAC*OSX
̶ Android*(2.2*and**
later)
̶ Windows*(XP,*Vista,*
Win7,*Win8,*Win10)
Безопасность*
на*основе*
сертификата
Поддержка*
всех*сетевых*
подключений
Занесение*
устройств*в*
“черный” список и*
удаленная*очистка
Саморегистрация

Портал**“Мои*устройства”

Распространение(
корпоративного( ПО
Инвентаризация
Управление
(Backup,(Remote(
Wipe,(etc.)
AUP
Классификация/
Профилирование
Регистрация
Безопасный( сетевой(доступ
(Wireless,( Wired,(VPN)
Управление( сетевым(
доступом(на(основе(
контекста
Настройка(
профилей(
безопасности(
User(<h>(Device(
Ownership
Mobile(+(PC
Соответствие( политике(
(Jailbreak,( Pin(Lock,(etc.)
Шифрование(
данных
СЕТЕВАЯ(БЕЗОПАСНОСТЬ( (ISE)
УПРАВЛЕНИЕ( УСТРОЙСТВОМ(
(MDM)
Позиционирование*ISE*и*MDM
Пользователи и*IT*совместно*
управляют*устройством*и*доступом
Пользователь* управляет*устройством
IT*управляет*доступом*в*сеть
Управление затратами

Интеграция*ISE*и*MDM
ISEMDM*
Manager
Регистрация устройств*при*включении*в*сеть*–
незарегистрированные*клиенты*направляются*на*страницу*
регистрации*MDM
Ограничение(доступа(k неkсоответствующие*клиенты*будут*
иметь*ограниченный*доступ*в*сеть,*исходя*из*информации*
полученной*от*систем*MDM
Инициация(действий через*интерфейс*ISE*– например*
устройство*украденоk>*очистить*данные*на*устройстве
Сбор(дополнительной(информации про*устройство*
дополняет*функции*классификации*и*профилирования*ISE
Экопартнеры Cisco
http://www.cisco.com/c/dam/en/us/products/collateral/security/identityhserviceshengine/at_a_glance_c45h726284.pdf

Облачное*MDM*решение*
• Централизованное* управления
• Настройка* сетевых*параметров
• Определение* местоположения
• Удаленное* внедрение* приложений
• Внедрение* политики* ограничений* для*приложений* и*
данных
• Интеграция* *с*AD/ISE

Cisco*System*Manager*Enterprise
•*Apple*iPad,*iPod*Touch,*iPhone,*and*Apple*TV*(iOS 5*or*higher)
•*Android*(2.2*or*higher),*including*Amazon’s*Kindle*Fire
•*Mac*OS*X*(10.5,*10.6,*10.7,*10.8,*10.9,*10.10)
•*Windows*Pro*7,*8,*8.1,*Vista,*XP*(Service*Pack*3*or*higher),*Server*2008,*R2,*2012
•*Windows*Phone*8.1

Пример*политики*в*Cisco
Local*and*
Remote* Wipe
Encryption*and
Management
4*Digit*PIN10*Minute*
Timeout
Trusted*DevicesSecured*Devices

Реализация*политики*безопасности*в*Cisco
Network(Edge 4(Digit(
PIN 10(Minute((
Timeout
Remote
Wipe
Management
Encryption
Безопасные(
Core(Network
Доверенные(

Управление*и*защита*webkдоступа
Нейтрализация*основного*канала*угроз*мобильных*устройств
Тонкое*управление*работой*с*приложениями
Мобильный*
сотрудник
Политика(контроля(
доступа Нарушение(политики
• Мгновенные*сообщения
• Facebook:**с*
ограничениями
• Видео:*не*более*512*
кбит/с
• Передача*файлов*по*IM
•P2P
•Защита*от*вирусов*и*вредоносного* кода*
•Блокировка* «взрослого»* контента*
• Ограничение* пропускной* способности

Защита*Интернетkдоступа*мобильного*
устройства*в*пределах*офиса
Новости Электронная
почта
Социальные*сети Корпоративная
SaaSkсистема
Фильтрация*
контента
Corporate*AD
Маршрутизатор
/коммутатор
Защита
Интернетkдоступа*
в*сети*предприятия
Cloud* Web* Security
Cisco(WSA
ASA(c(FirePOWER

Объединяем*ISE*с*WSA
Доступ*через*WSA*с*авторизацией*через*ISE
Cisco® ISE* получает*информацию*
контекст*и*идентификацию*мобильного*
WSA*применяет*гранулированную*
политику*доступа**в*зависимости*от*
прав*и*состояния*устройства
Consistent(Secure(
Access(Policy
Who:*Doctor
What:*Laptop
Where:*Office
Who:*Doctor
What:*iPad
Where:*Office
Who:*Guest
What:*iPad
Where:*Office
Cisco® Identity(
Service(Engine
WSA
Confidential(
Patient(Records
Internal(
Employee(Intranet
Internet

Cisco*Web*Security*Virtual*Appliance
Преимущества:
• Выбор*формkфактора
• Гибкость*развертывания
• Ценовая*модель*– подписка
Варианты*использования
• Бюджетный*вариант*для*ЦО
• Региональный*офис
• В*случае*повышенной*нагрузки
Cisco*UCS
+
+
WSAV

Защита(мобильного(
AnyConnect
VPN
А*как*защищать*Интернетkдоступ*на*мобильных*
устройствах*вне*офиса?
Интернетhтрафик Cisco( Cloud(Web(Security
Cisco(ASAвнутренний( трафик
Интернет

Решение*Cisco*AnyConnect*Secure*Mobility*Solution
Широкая*поддержка*платформ
• Apple*IOS,**Android,*Blackberry,*Windows*
Phone,*Windows*7/8/10,*MAC,*Linux,*
• Работа*через*клиента*и*через*браузер
Постоянное*подключение
• постоянно*активное*подключение,*
• выбор*оптимального*шлюза,*
• автоматическое*восстановление*подключения
Унифицированная* безопасность*и*модульность
• Идентификация*пользователей*и*устройств
• Проверка*соответствия
• Интегрированная*вебkбезопасность
• Интеграция*с*защитой*от*вредоносного*кода
• Поддержка*VDI
Корпоративный
офис
Безопасный,*
Постоянный
Доступ
ASA
Wired WikFi
мобильная
или WikFi
Мобильный* сотрудник
Домашний
офис
Филиал

Поддерживаемые*платформы
Устройства(пользователей(и(инфраструктура
Инфраструктура
Клиенты
Microsoft(
Windows
Mac(OS(X Linux
Настольное( устройство
Мобильные( средства( связи
Apple iOS
iPhone и*iPad
• HTC
• Motorola
• Samsung
• Версия* 4.0*и*
более*
поздние
• HTC
• Lenovo
• Motorola
• Samsung
• Версия* 4.0*и*
более*
поздние
Бесклиентские
подключения
BlackBerry
+
Android
Смартфоны*****Планшетные*
компьютеры*****
Управление
ASDM CSMCLI
Защищенные(
соединения
Cisco(ISR*
Cisco®
ASA
Cisco(
ASR*
Коммутаторы(IEEE(
802.1x
Интернетh
безопасность
Cisco(WSA
Cisco(ISE
Идентификация(
и(политика+
Cisco(
NAC
Cisco(AnyConnect
для(webhзащиты
на(основе(облака
Windows(
Phone
IPSec,(SSL(VPN
802.1X
MACSec

Cisco Network Access Manager – управление*
проводным*и*беспроводным*подключением
• Управление*корпоративными*подключениями
• Проводное*(802.3)*и*беспроводное*(802.11)*подключение*
с*помощью*одной*структуры*аутентификации
• Аутентификация*пользователей*и*устройств*уровня*2:
–802.1X,*802.1XkREV* (установка*проводного*ключа)
–802.1AE* (MACsec:*проводное*шифрование)
–Поддержка*нескольких*типов*EAP
–802.11i*(сеть*с*повышенной*безопасностью)
• Поддержка*конфигураций*сети*для*администратора*
(офис)* и*пользователя*(дом)

Постоянное*подключение*(Always*On)
Автоматическое* переподключение между*
сетями**WikFi,*3G*и*разрывах* связи
Повторная* аутентификация* не*требуется
Таймер* максимальной* *
продолжительности* сеанса
Off*Premises

Выбор*оптимального*шлюза
Подключение*к*наиболее*оптимальному*головному*
устройству
Время( =(25(мс
Время( =(110( мс
МоскваАстана
Алматы
Пороговое(значение(времени(
приостановки((часы)(
Пороговое(значение(повышения(
производительности((%)
Параметры(профиля:
Семипалатинск

Что*нового*в Cisco*AnyConnect*4.0?
Подключает*только*разрешенные*приложения*через*VPN
Избранное* туннелирование через*VPN
VPN
Обеспечивает*безопасный*удаленный*
доступ*для*выбранных*приложений*
для*определенного* пользователя,*
устройства*и*роли (perkapp*VPN)
Уменьшает* риски*неразрешенных*
приложений,*связанные*с*
компрометацией* данных
Поддерживает*большое*количество*
типов**устройств*и*удаленных*
пользователей*(сотрудники,*партнеры,*
контрактники),*
WWW

Что нового*в*Cisco*AnyConnect*4.0?
Оценка*состояния*и*безопасный* VPN*доступ*с*унифицированным* агентом*и Cisco*ISE
Поддерживает* оценку*состояния*
для*разных*способов*доступа
Упрощает*управление*с*единым*
агентом
Предотвращает* подключение*
несоответствующих*устройств*
(проверка* патчей,*ключей*
реестра,*антивирусов….)

Пример*сценария
• Идентификация*пользователя:
• Логин/пароль*
• Пользовательский* сертификат* (802.1X)
• “Идентичность” устройства:
• номер BIOS,*MACkадрес,* UDID*для моб,*
• Тип*устройства
• Машинный* сертификат* (802.1X)
• Наличие* корпоративного* ПО,*ключей*реестра* и*
секретных* “меток”….
• Политика*доступа*с*множеством*проверок Пользо
ватель
Устройство+ =
Политика(
доступа
Корпоративное*
устройство*?
00:11:22:AA:B
B:CC
ID
Корпоративный*
пользователь
Привет,*я*Маша,*
мой*пароль
*******
ID

Что*нового*в*AnyConnect 4.1
AMP*активатор*расширяет*защиту*от*malware
Обеспечивает* быстрый*и*удобный*путь*
включения* функционала* Advanced*
Malware* Protection*(AMP)*
Обеспечивает* защиту*конечного*
устройства*до*туннелирования трафика* в*
сеть
Минимизирует* потенциальное* влияние*
путем*обеспечения* проактивной защиты*и*
быстрого*устранения* заражения
Больше*
защиты
Windows/MAC Mobile
Мобильное*устройство
NEW

AnyConnect*– больше*чем*просто*VPN
SSL(/(DTLS(
VPN
IPsec VPN
HostScan
/ISE(Agent
Cloud(Web(
Security
L2(
Supplicant(
(Win(Only)
Switches*and
Wireless*
controllers
ASA WSAISE/ACS Cloud*Web*
Security**+*AMP
Центральные(устройства
ASR/
CSR
ISR
Базовый(VPN Расширенный VPN Другие(сервисы
Модуль(
сетевой(
видимости
AMP(((
Enabler
Планируется, к,
выходу,в,2015,
году

Новое*лицензирование*в Cisco*AnyConnect 4.x
Упрощение*и*большая*гибкость
01.10.15
Новые*лицензии* переносимы* между*
любыми*аппаратными* платформами,*
что*упрощает* модернизацию* и*замену*
аппаратных* платформ
Новая*двухуровневая* модель*
лицензирования* позволяет* клиентам*
расти*с*учетом*актуальных*
потребностей* в*мобильности
Программа* миграции:
• Essentials*to*Plus
• Premium* to*Apex
Лицензия* по*пользователям
(с*любым*колkвом*устройств)
Лицензия* Plus Лицензия* Apex
! VPN
! Мобильный*VPN*
по*приложениям*
(новое)
! Вебk
безопасность
! Менеджер*
сетевого*
подключения*
(NAM)
! Функции*Plus
! Соответствие*
устройств*
(новое)
! Безклиентский
доступ
! Криптография*
Suite*B

Модули*AnyConnect
Клиент*Cisco*AnyConnect® Secure*Mobility*может*состоять*из*
следующих*модулей:
Windows OS*X Linux Apple*iOS Android
VPN Да Да Да Да Да
NAM Да x x x x
WebSec Да Да x x x
Оценка*
состояния
Да x x x x
Телеметрия Да x x x x
DART Да Да x x x

Терминация VPNkподключений*на**Cisco*ASA*5500kX
Производиткльность
Data(CenterCampusBranch(Office( Internet(Edge
ASA*5585kX*SSPk20
(10*Gbps,*125K*cps)
ASA*5585kX*SSPk60
(40*Gbps,*350K*cps)
ASA*5585kX*SSPk40
(20*Gbps,*200K*cps)
ASA*5585kX*SSPk10
(4*Gbps,*50K*cps)ASA*5555kX*
(4*Gbps,50K*cps)
ASA*5545kX*
(3 Gbps,30K*cps)
ASA*5525kX*
(2*Gbps,20K*cps)
NEW
SOHO
ASA*5506*
(150*Mbps,*5K*cps)
<50
750
2500
5000
10000
ASA*5508kX*
(250 Mbps,*10K*
cps)
50k100
250
ASA*5516kX*
(500 Mbbps
10K*cps)
NEW
NEW

Сервисы*и*приложения*для*персональных*
устройств

Реализация*передовых*возможностей
Пример*Cisco*IT в*Cisco*IT
Basics
Mobile
Mail
eStore*Apps
Collaboration
Tools
Connectivity Content(and(
Collateral
Learning
News(&(
Events
Sales BetaEmployee
Services

Архитектура*Cisco*для BYOD/*моб.*устройств
Мобильные
Инфраструктура*доступа:*
Проводный,*WiFi,*Мобильный
Шлюзы*
безопасности
Инфраструктура*защиты*и
управлениям* политиками
www.cisco.com/go/byod

Часть*новой*архитектуры*CiscoSAFE

Выводы
1. Мобильные*устройства*влияют*на*бизнесkпроцессы,*
стратегию*IT и*оценку*рисков*безопасности
2. На*сегодня*мобильный*доступ*есть*фактически*в*каждой*
организации*– отличается*лишь*степень*проникновения*
3. Cisco*предлагает* законченную*интегрированную*
архитектуру*для*защищенного*мобильного*доступа
ISEASAAnyConnect Cisco*PrimeSec*Group
Access
Cloud* Web*
Security
ESA/WSA Wireless Wired
Решение*Cisco для* безопасного*мобильного*доступа

Ждем(ваших(сообщений(с(хештегом
#CiscoConnectKZ
©*2015*Cisco*and/or*its*affiliates.*All*rights*reserved.
Спасибо
Пожалуйста,*заполните*анкеты.*
Ваше*мнение*очень*важно*для*нас.
Владимир*Илибман
+380443913600
voilibma@cisco.com

Архитектура защищенного мобильного доступа

More Related Content

Архитектура защищенного мобильного доступа