Architektura SecureX. Ivo Němeček, CCIE #4108 Manager, Systems Engineering. 25.4.2012, Cisco Expo Praha. Cisco Public

Architektura SecureX Ivo Němeček, CCIE #4108 Manager, Systems Engineering 25.4.2012, Cisco Expo Praha 1

IT se mění a má to dopad na bezpečnost SecureX architektura Bezpečný přístup a mobilita Bezpečná síť a hranice sítě Zabezpečené datové centrum 2

INTERNÍ PŘÍSTUP ODKUDKOLIV ODKUDKOLIV Z ČEHOKOLIV COKOLIV ODKUDKOLIV Z ČEHOKOLIV VIRTUÁLNÍ FIRMA Musíme přijít do práce, abychom měli přístup k datům K datům máme přístup odkudkoliv z IT zařízení K datům máme přístup odkudkoliv z jakýchkoliv zařízení Služby vládnou nad datyů služby jsou nezávislé na zařízení Firmy jsou virtuální, nezávilslé na místě a službách Zařízení jsou konzumním zbožím Služby jsou konzumním zbožím 3

2012: faxy 2014: bloudění 2017: pevný ethernet pro koncové uživatele 2018: laptop (nahradí ho tenký klient) 2020: copyright 2021: oznamovací tón telefonních hovorů - - - - - - - 2027: telefonní čísla +420 2 2143 5111 2030: klíče 2033: mince 2045: zaměstnání ( oblak lidí mturk.com) 2049: papírové noviny 2050: kancelářské budovy Zdroj: http://rossdawsonblog.com/weblog/archives/2007/10/extinction_time. a Cisco Innovation workshop, December 2010 4

všechna možná zařízení, ať jsou kdekoliv Široké spektrum aplikací data směřující do cloudu virtualizovaná datová centra A to vše proti stále komplexnějším hrozbám 6

Koncová zařízení Řízení přístupu Nexus 1K a sítě připojené do cloudu Cisco SIO Pravidla pracující s kontextem Řízení přístupu Cisco Ochrana Infrastructure podle kontextu Integrovaná Překryvná Síť Cloud Vhled Kontext Řízení Aplikační programová rozhraní Správa Služby Partneři 7

Security Intelligence Operations (SIO) Globální telemetrie pro hrozby ScanSafe: ochrana před malwarem Cisco SensorBase Bezpečnostní operační středisko Propracované algoritmy PSIRT Applied Mitigation IP Reputation Zpětná vazba v reálném čase Cisco AnyConnect Endpoints Cisco ASA Context-Aware Firewall Edge Cisco ExpoExpo Cisco Cisco IronPort Web Security Appliances Cisco IronPort Email Security Appliances Cloud 2011 Cisco and/or its affiliates. All rights reserved. 2011 Cisco and/or its affiliates. All rights reserved. Cisco IDS/IPS Appliances/ Modules Data Center Cisco ScanSafe Cloud-based Security Cisco Identity Services Engine Branch 8

Dynamické prostředí podnikových sítí Vzdálený přístup Útoky, malware Virtualizace Bezpečný přístup a jednotná pravidla Bezpečná mobilita Síť a hranice sítě Bezpečná datová centra a cloud Rozlišení zařízení, uživatelů a rolí Rozšíření firemní sítě Ochrana přenášených dat Ochrana mozku firmy ISE VPN ASA ISE MACSec ScanSafe ISE Router VPN VPN ASA MACSec Síť AnyConnect VPN AnyConnect WSA ASA IPS ESA Nexus 1000V VSG Cisco SecureX V kontextu je síla 9

Bezpečný přístup Kancelář Kavárna ÚLOHA Přístup podle zařízení, totožnosti a role Přístup pro hosty Prosazení pravidel od koncového zařízení až po datové centrum Zajištění důvěrnosti v celé síti 10

KDE CO KDY??? KDO JAK Virtuální stroje v DC VPN MACSec Datové centrum CISCO ŘEŠENÍ Konzistentni pravidla pracující s identitou - od libovolných zařízení po datová centra Distribuce pravidel a informací do sítě Bezpečností značky (Security Group Tagging ) pro pružné prosazení kontextových pravidel 11

Součásti řešení TrustSec Správa pravidel Distribuce pravidel Identity Services Engine (ISE) Identity Access Policy System Prosazování pravidel v síti Cat 2900/3560/3700/4500/6500, Nexus 5000/7000 přepínače, bezdrátová a směrovaná infrastruktura Cisco ASA, ISR, ASR 1000 Prosazování pravidel v koncových zařízeních NAC Agent Web Agent Trvalý i dočasný klient pro prohlídku a léčbu 802.1x Supplicant AnyConnect OS-Embedded Supplicant Identity-Based Access Is a Feature of the Network Spanning Wired, Wireless, and VPN 12

Dr. Sova Známá WiFi KONTEXTOVÁ KONTEXTOVÁ PRAVIDLA PRAVIDLA PŘIPOJUJI PŘÍSTUP: PLNÝ Ověřuji uživatele N A Přiřazuji profil podle ProhlížímLékařské zařízení záznamy Typu zařízení Uživatele ready yet? Místa Not Aplikace yet but i will let you Zavádím Is Mr. Allen s Mobilní konfiguraci lab work TelePresence Podnikové Email aplikace know the moment it Automatická arrives Instant pravidla Messenger ZABEZPEČENÍ: AnyConnect ASA ISE 2010 Cisco and/or its affiliates. All rights reserved. 13

Veřejné WiFi Veřejné Veřejné WiFi WiFi PRAVIDLA PRO ROAMING PŘÍSTUP: OMEZEN N A Lékařské záznamy Mobilní TelePresence Email Instant Messenger ZABEZPEČENÍ: AnyConnect ASA ISE VPN ScanSafe 2010 Cisco and/or its affiliates. All rights reserved. 14

Dr. Sova Známá WiFi Přístup pro hosty Is Mr. Allen s lab work ready yet? Not yet but i will let you know the moment it arrives ZABEZPEČENÍ: AnyConnect ASA ISE VPN ScanSafe 2010 Cisco and/or its affiliates. All rights reserved. 2010 Cisco and/or its affiliates. All rights reserved. 15

Pružné definované ověřovací metody (802.1X, MAB, Web Auth v různém pořadí) tiskárna MAB Pružná definice pravidel pro ověřování, řízení přístupu podle rolí NAC Guest Server NAC Profiler Kompletní Guest Service včetně správy a web ověřování 802.1X RADIUS zaměstnanec Web Auth Catalyst Switch ISE host Různé mětody autorizace (VLAN, Downloadable ACL, URL Redirect, SGA) Directory Server Postupné nasazování 802.1X (Monitor Mode, Low Impact Mode, High Security Mode) Profiling System pro zjišťování stavu stanic pro široké spektrum koncových zařízení 16

Šifrování, SGA, SXP Uživatel na bezdrátu Filtrování na vstupu WLC Cisco ISE RADIUS Guest sluţby Posture Profiler SXP Uživatel na pevném připojení 802.1X MACsec Campus síť Cat 6K Nexus 7K, 5K and 2K Filtrování na vstupu Datové Centrum Filtrování na výstupu 17

425 miliónů ÚLOHA Vysoce mobilní uživatelé potřebují přístup do sítě a ke cloud službám Široké spektrum mobilních zařízení uživatelů ztěžuje definici pravidel Ztráta zařízení zvyšuje riziko ztráty dat a porušování norem 19

Libovolný uživatel s libovolným zařízením Cisco AnyConnect Access přepínače ISR ASA WSA TrustSec Interní, cloud & sociální aplikace CISCO ŘEŠENÍ Bezpečné připojení Šifrování MACsec na celé trase Hybridní bezpečnost webu Široká podpora zařízení: Windows XP/7,MAC OSX, Linux, Apple ios (iphone & ipad), Nokia Symbian, Webos, Windows Mobile, Android* Bohaté funkce nepřetržitá ochrana hybridní (cloud nebo místní) řešení 20

AnyConnect klient Přítulné rozhraní Funkce pro WLAN i LAN Integrovaná správa připojení Bohaté funkce Neustálé připojení Spolupráce s WSA a ScanSafe Integrovaná inspekce stanic Podpora pro ScanSafe cloud security Mnoho podporovaných zařízení a OS 21

Hybridní ochrana web komunikace s AnyConnect klientem AnyConnect Novinky Email Sdílení informací mezi ASA a WSA ASA Cisco Web Security Appliance Sociální sítě Podnikové SaaS Firemní AD 22

Hybridní ochrana webu komunikace s ISR směrovači Pobočka ISR Bezpečný přístup do internetu Internet Cisco IOS Firewall Cisco IOS Firewall Cisco IOS IPS ASR Local LAN POS Guest Users Ústředí Zóna pevného připojení Zóna bez drátů 25

Správa Kontextová pravidla Zabezpečení FW IPS Web VPN Email IPS Premise Cloud Virtual Síťová infrastruktura Inspekce Připojení Řízení Vhled do aplikací Služby IOS pro VPN a cloud Snadná správa 30

VHLED DO APLIKACÍ ROZPOZNÁNÍ HROZEB VPN & PŘÍSTUP STAVOVÝ FW & IPS ŠKATULE MODULY VIRTUÁLNÍ 31

Výkon a rozšiřitelnost ASA firewally střední třídy ASA 5585 X SSP-40 (20 Gbps) ASA 5585-X SSP-20 (10 Gbps) ASA 5585-X SSP-60 (40 Gbps) New ASA 5525-X (2* Gbps, 500K Conn.) New ASA 5515-X (1.2* Gbps, 250K Conn.) New ASA 5555-X (4* Gbps, 1M Conn.) New ASA 5545-X (3* Gbps, 750K Conn.) ASA 5585-X SSP-10 (4 Gbps) New ASA 5512-X (1* Gbps, 100K Conn.) ASA 5505 (150 Mbps, 130K Conn.) ASA 5520 (450 Mbps, 400K Conn.) ASA 5510 (300 Mbps, 280K Conn.) ASA 5540 (650 Mbps, 650K Conn.) ASA 5550 (1.2 Gbps) SOHO Pobočky Internet přístup Kampus Datová centra * Výkon bude upřesněn 32

Nová ASA CX Kontextový firewall Aktivní a pasivní ověřování Vhled do aplikací a jejich řízení Identifikace zařízení Reputační filtrování Místa připojení 33

Kontextový Policy Engine Připojitelná kontextová úloţiště nscan pole TLS & SSL HTTP MS- RPC FTP Scanner N Virtuální paketové prstence Datová vrstva pracující s kontextem 34

ASA 5585-X MultiScale Počet paralelních spojení 10 millionů Počet spojení za sekundu 350,000 CPS Funkce FW, IPS, vzdálený přístup Modularita, pruţnost nasazení Propustnost Aţ 40 Gbps FW 10 Gbps IPS 35

ASA 5585-X MultiScale Cluster Vlastník SYN 1: Aktualizace stavue Director SYN Server Client ASA Cluster Zasílatel Director je zvolen per spojení pomocí hashing algoritmu Director slouţí jako záloha pro případ selhání vlastníka Optimalizace můţe vypustit kroky 2 a 3 pokud je to potřeba 2010 Cisco and/or its affiliates. All rights reserved. 36

ASA 5585-X MultiScale Cluster Owner SYN SYN Vnitřní síť 1: Aktualizace stavue Vnější síť Server Director Client ASA Cluster Odesílatel SYN/ACK Director je zvolen per spojení pomocí hashing algoritmu Director slouţí jako záloha pro případ selhání vlastníka Optimalizace můţe vypustit kroky 2 a 3 pokud je to potřeba 2010 Cisco and/or its affiliates. All rights reserved. 37

ASA 5585-X MultiScale Cluster Vlastník SYN SYN Vnitřní síť 1: Aktualizace stavue Vnější síť Server Director Client 3:Pozice vlastníka 2: Dotaz na vlastnííka SYN/ACK ASA Cluster Odesílatel Director je zvolen per spojení pomocí hashing algoritmu Director slouţí jako záloha pro případ selhání vlastníka Optimalizace můţe vypustit kroky 2 a 3 pokud je to potřeba 2010 Cisco and/or its affiliates. All rights reserved. 38

ASA 5585-X MultiScale Cluster Vlastník SYN SYN Client Vnitřní síť SYN/ACK ASA Cluster 1: Aktualizace 1: State update stavue Director 3:Pozice vlastníka 2: Dotaz na vlastnííka Po kroku 4, všechny další pakety jsou posílány přímo vlastníkovi Vnější síť SYN/ACK Server Odesílatel Director je zvolen per spojení pomocí hashing algoritmu Director slouţí jako záloha pro případ selhání vlastníka Optimalizace můţe vypustit kroky 2 a 3 pokud je to potřeba 2010 Cisco and/or its affiliates. All rights reserved. 39

MultiScale výkon 320G 112G 40G 20G 80G 32G 160G 64G 40

Cisco IPS Innovations in Threat Management Cisco SIO IPS Attackers REPUTATION FILTER GLOBAL CORRELATION INSPECTION Attacks TRAFFIC CLEANSING SIGNATURE TECHNOLOGY Data Center Campus Perimeter 41

Aktualizace signatur Aktualizace sw Globální korelace Industriální protokoly Cisco Security Intelligence Operations Normalizační modul Modulární inspekční kód Lokální korelační modul Řídící pravidla podle rizika Reputační filtr Výběr virtuálního sensoru Forenzní analýza Blokování a výstrahy IN OUT 42

Cisco IPS produktové řady ASA5585-P40S40 ASA5585-P60S60 ASA5585-P10S1 ASA5585-P20S20 ASA 5500-X Series ASA 5512-X IPS ASA 5515-X IPS ASA 5525-X IPS ASA 5545-X IPS ASA 5555-X IPS ASA 5500 Series ASA5510-AIP10 ASA5510-AIP20 ASA5520-AIP10 ASA5520-AIP20 ASA5520-AIP40 ASA5540-AIP20 ASA5540-AIP40 IPS 4360 IPS 4300 and 4200 Series IPS 4240 IPS 4255 IPS 4260 IPS 4345 IPS 4270 IDSM2 Catalyst 6500 IDSM2 bundle Catalyst 6500 ISR IOS IPS IPS NME Malé Střední Velké Velikost organizace 43

Zařízení Cloud Hybridní BEZPEČNOST Ochrana proti malwaru Ochrana před ztrátou dat ŘÍZENÍ Ochrana webu a řízení aplikací řízení SaaS přístupu Centralizovaná správa a výkazy Bezpečná mobilita 44

Zařízení Cloud Hybridní Spravovaná Ochrana před hrozbami Ochrana před viry a spamem Cílení ochrana před hrozbami Bezpečnost dat Ochrana před ztrátou dat Šifrování Viditelnost do dat a řízení Podpora více zařízení 45

Vícevrstvá ochrana na vstupu Vstup Reputation Filtering Anti-Spam Anti-Virus Virus Outbreak Filters Asyncos MTA Platform Encryption Remediation DLP Content Filter Výstup 46

Vícevrstvá ochrana na výstupu Vstup Reputation Filtering Anti-Spam Anti-Virus Virus Outbreak Filters Asyncos MTA Platform Encryption Remediation DLP Content Filter Výstup 47

OBTÍŢE Snížená viditelnost dat Nezabezpečená bílá místa Menší zkušenost s novými technologiemi Koordinace kompetencí Rozšiřování kapacit bezpečnostních řešení 50

1. vmotion přesouvá VM mezi fyzickými porty pravidla v síti musí následovat vmotion (přes racky, řady, DCs) Port Group 2. Potřebujeme vidět lokálně přepínaná data a aplikovat na ně pravidla Správce bezpečnosti Správce serverů 3. Musíme zajistit oddělení rolí pro zachování nepřerušeného provozu Správce sítě 51

Virtual Security Gateway PRIVÁTNÍ CLOUD ASA1000V Datové centrum FW, IPS (ASA) Nexus 1000V Switch Partner Connection Připojení partnerů ZABEZPEČENÍ: Nexus 1000V VSG ASA VPN 2010 Cisco and/or its affiliates. All rights reserved. 52

Orchestrace / cloud portály Virtual Network Management Center Rozšiřuje existující pracovní postupy do virtuálního prostředí VSG ASA 1000V VM 1 VM 2 VM 3 Rozšiřuje síťové služby do virtuálního prostředí Rozšiřuje síťovou infrastrukturu do virtuálního prostředí Nexus 1000V vpath Výpočetní prostředí (e.g. UCS) Virtualizované Pružné Řízené pravidly Multi-tenant 53

VSG VMkernal veth veth veth veth Mgmt Storage vpath Produkce Nexus 1000V ASA 1000V Production Network VMNIC 1 VMNIC 2 VMNIC 3 VMNIC 4 Management Network Production Network vcenter VNMC Storage 54

Business pravidla Kdo Kdy Jak Kde Kdy Porozumění hrozbám SensorBase Operační středisko Dyn. aktualizace Prosazení v síti V síťové infrastruktuře Překryvné, výkonné Připojené do cloudu 56

Děkuji