Jednotné řízení přístupu do sítě v prostředí BYOD Pavel Křižanovský Customer Solutions Architect Cisco Systems Česká Republika pkrizano@cisco.com 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2013 Cisco and/or its affiliates. All rights reserved. 1
Agenda Úvod Důsledky BYOD pro IT Cisco řešení pro BYOD Závěr 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
Agenda Úvod Důsledky BYOD pro IT Cisco řešení pro BYOD Závěr 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
IT prostředí se mění INTERNÍ PŘÍSTUP ODKUDKOLIV ODKUDKOLIV Z ČEHOKOLIV COKOLIV ODKUDKOLIV Z ČEHOKOLIV VIRTUÁLNÍ ORGANIZACE Nezávislost na zařízení Musíme přijít do práce, abychom měli přístup k datům K datům máme přístup odkudkoliv z IT zařízení K datům máme přístup odkudkoliv z jakýchkoliv zařízení Služby vládnou nad daty služby jsou nezávislé na zařízení Organizace jsou virtuální, nezávilslé na místě a službách Zařízení jsou konzumním zbožím Služby jsou konzumním zbožím čas 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
Přines si Své Vlastní Zařízení 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
Vývoj požadavků na pracovní prostředí NÁRůST POČTU ZAŘÍZEN ZENÍ NÁRůST POČTU ZAŘÍZENÍ NOVÁ GENERACE VIRTUALIZACE PRACOVNÍKů 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
Vývoj požadavků na pracovní prostředí NOVÁ GENERACE PRACOVNÍKů Práce již neoznačuje místo, kde se pracuje Lidé jsou ochotni si nechat snížit plat, budou-li mít možnost pracovat z domova 70% procent koncových uživatelů přiznává, že občas porušuje firemní IT politiku za účelem zjednodušení svých aktivit NÁRůST POČTU ZAŘÍZENÍ NOVÁ GENERACE VIRTUALIZACE PRACOVNÍKů 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
Vývoj požadavků na pracovní prostředí 60% serverů bude do konce 2013 virtualizováno VIRTUALIZACE 20% profesionálních PC bude do konce roku 2013 provozováno jako virtuální desktop. Rozvoj datacenter, aplikace se stávají objekty migrujícími skrze síť NÁRůST POČTU ZAŘÍZENÍ NOVÁ GENERACE VIRTUALIZACE PRACOVNÍKů 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
Agenda Úvod Důsledky BYOD pro IT Cisco řešení pro BYOD Závěr 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
Nové nároky na IT Jak eliminuji risk vyplývající z připojenp ipojení soukromého uživatelsku ivatelského zařízen zení? Jak zajistím konzistentní uživatelské prostřed edí na všech v zařízen zeních? Jak implementuji bezpečnostn nostní politiku v závislosti na identitě uživatele a zařízen zení? Pro co a jak budu zajišťovat podporu? Nárůst počtu zařízení 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
Nové nároky na IT Nebráním m svým zaměstnanc stnancům m ve zdravé soutěž ěživosti? Udržím m nejtalentovanější zaměstnance stnance? Jak zajistím m splnění firemních předpisů? Zajišťuji dostatečné podmínky pro kontraktory, partnery a hosty? Nová generace pracovníků 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
Nové nároky na IT Jak se dozvím, kdo přistupuje p k mnou spravovaným virtuáln lním m desktopům? Jak škálovatelným způsobem zajistím m svým uživatelu ivatelům m přístup p k datům m v cloudu? Mohu zajistit plnění politik nezávisle na fyzickém m umíst stění? Virtualizace 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
Oblasti řešení komunikační bezpečnosti BYOD souvisí se vším Dynamické prostředí sítí organizací Vzdálený přístup Útoky, malware Virtualizace Bezpečný přístup a jednotná pravidla Bezpečná mobilita Síť a hranice sítě Bezpečná datová centra a cloud Rozlišení zařízení, uživatelů a rolí Rozšíření sítě organizace Ochrana přenášených dat Ochrana mozku firmy 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
Typické způsoby nasazení BYOD Restriktivní Základní Rozšířené Plné Prostředí vyžadující přísnou kontrolu Základní služby a jednoduchý přístup Různorodé aplikace, bezpečná aktivace služeb Široká podpora aplikací, nové služby, plná kontrola Pouze firemní zařízení Výroba Citlivé obchodování Klasifikované sítě státní správy Tradiční podniky Více typů zařízení, pouze internet Vzdělávácí instituce Veřejné instituce Jednoduchý přístup pro hosty Více typů zařízení a přístupových metod, VDI Zdravotnictví Podniky se zájmem o BYOD Podpora kontraktorů Více typů zařízení MDM Inovativní firmy Retail on Demand Podpora mobilního prodeje (Video, Collaboration, etc.) 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
Agenda Úvod Důsledky BYOD pro IT Cisco řešení pro BYOD Závěr 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
Dynamické prostředí sítí organizací Vzdálený přístup Útoky, malware Virtualizace Bezpečný přístup a jednotná pravidla Bezpečná mobilita Síť a hranice sítě Bezpečná datová centra a cloud Rozlišení zařízení, uživatelů a rolí Rozšíření firemní sítě Ochrana přenášených dat Ochrana mozku firmy ISE VPN ASA ISE MACSec ScanSafe ISE Router VPN VPN ASA MACSec Síť AnyConnect VPN AnyConnect WSA ASA IPS ESA Nexus 1000V VSG 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2013 Cisco and/or its affiliates. All rights reserved. 16
Bezpečný přístup Kancelář Kavárna ÚLOHA Přístup podle zařízení, totožnosti a role Přístup pro hosty Prosazení pravidel od koncového zařízení až po datové centrum Zajištění důvěrnosti v celé síti 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2013 Cisco and/or its affiliates. All rights reserved. 17
KDE CO KDY??? KDO JAK Virtuální stroje v DC VPN MACSec Datové centrum CISCO ŘEŠENÍ Konzistentni pravidla pracující s identitou - od libovolných zařízení po datová centra Distribuce pravidel a informací do sítě Bezpečností značky (Security Group Tagging ) pro pružné prosazení kontextových pravidel 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2013 Cisco and/or its affiliates. All rights reserved. 18
Součásti řešení TrustSec Správa pravidel Distribuce pravidel Identity Services Engine (ISE) Identity Access Policy System Prosazování pravidel v sítis Catalyst a Nexus přepínače, bezdrátová a směrovaná infrastruktura Cisco ASA, ISR, ASR 1000 Prosazování pravidel v koncových zařízen zeních NAC Agent Web Agent Trvalý i dočasný klient pro prohlídku a léčbu 802.1x Supplicant AnyConnect OS-Embedded Supplicant Identity-Based Access Is a Feature of the Network Spanning Wired, Wireless, and VPN 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2013 Cisco and/or its affiliates. All rights reserved. 19
Pružné definované ověřovací metody (802.1X, MAB, Web Auth v různém pořadí) tiskárna MAB Pružná definice pravidel pro ověřování, řízení přístupu podle rolí Kompletní Guest Service včetně správy a web ověřování NAC Guest Server NAC Profiler 802.1X RADIUS zaměstnanec Web Auth Catalyst Switch ISE host Různé mětody autorizace (VLAN, Downloadable ACL, URL Redirect, SGA) Directory Server Profiling System pro zjišťování stavu stanic pro široké spektrum koncových zařízení 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2013 Cisco and/or its affiliates. All rights reserved. 21
Šifrování, SGT, SGA, SXP Uživatel na bezdrátu 802.1X Filtrování na vstupu WLC Cisco ISE RADIUS Guest služby Posture Profiler SXP Uživatel na pevném připojení 802.1X MACsec Security Group Tag Campus síť Cat 6K Security Group Tag Security Group Tag Nexus 7K, 5K and 2K Filtrování na vstupu Datové Centrum Filtrování na výstupu 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2013 Cisco and/or its affiliates. All rights reserved. 22
Simplify IT Operations Best of Breed Best in Class One Network (Predictability) One Policy & One Management CleanAir ClientLink Radio Resource Management VideoStream TrustSec - Secure Group Access Application Visibility & Control Stateful Switchover AnyConnect Chip level proactive and automatic interference mitigation Chip level proactive and automatic electronic beamforming Automatic advanced RF shaping and management Wired multicast efficiency over a Wireless network Simplified user and resource based segmentation independent of topology Identify, analyze, and optimize application traffic Sub second WLAN & LAN convergence Always-On context-aware VPN connectivity ISE (Control) Prime (Visibility) Who? What? When? Where? How? 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 2013 Cisco and/or its affiliates. All rights reserved. 23
WIRELESS WIRED Features: 802.11n CleanAir VideoStream Radio Resource Management (RRM) Wireless Intrusion Prevention System (WiPS) 802.11ac Ready Benefits Built on Doppler Cisco s Innovative Flexparser ASIC technology Eliminates operational complexity Single Operating System for wired and wireless Features: Stacking Stackpower Trustsec/Identity AVC/Medianet Flexible Netflow Granular QoS Smart Operations EnergyWise Note: All features may not be available on new platforms at introduction but are expected to be added within 12-18 months 2011 2013 Cisco Cisco and/or and/or its affiliates. its affiliates. All rights All rights reserved. reserved. Cisco Public 24
www.cisco.com/go/byod www.cisco.com/go/byoddesign25 * Note: ScanSafe validated in a future phase 2011 2013 Cisco Cisco and/or and/or its affiliates. its affiliates. All rights All rights reserved. reserved. Cisco Public
Agenda Úvod Důsledky BYOD pro IT Cisco řešení pro BYOD Závěr 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
Problematika BYOD existuje a je třeba ji řešit BYOD přináší potřebu zásadních změn v IT pro každou organizaci Cisco disponuje robustní architekturou a end-to-end škálou produktů pokrývající všechny nové nároky vyplývající z BYOD trendu K dispozici jsou volně dostupné dokumenty Cisco Validated Designs (CVD) popisující komplexní ověřené funkční řešení BYOD 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
Děkujeme www.cisco.com/go/byod www.cisco.com/go/byoddesign 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
Agenda Úvod Důsledky BYOD pro IT Způsoby nasazení BYOD Cisco řešení pro BYOD Závěr 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
Omezující Základní Rozšířené Pokročilé Prostředí vyžadující přísnou kontrolu Základní služby a jednoduchý přístup Různorodé aplikace, bezpečná aktivace služeb Široká podpora aplikací, nové služby, plná kontrola Pouze firemní zařízení Výroba Citlivé obchodování Klasifikované sítě státní správy Tradiční podniky Více typů zařízení, pouze internet Vzdělávácí instituce Veřejné instituce Jednoduchý přístup pro hosty Více typů zařízení a přístupových metod, VDI Zdravotnictví Podniky se zájmem o BYOD Podpora kontraktorů Více typů zařízení MDM Inovativní firmy Retail on Demand Podpora mobilního prodeje (Video, Collaboration, etc.) 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
Pokročilé Collaboration aplikace WebEx, Jabber Správa pracovního prostředí MDM Rozšířené Bezpečná mobilita AnyConnect, ASA, ScanSafe, WSA Omezující a základní Správa pravidel v infrastruktuře Síťová infrastruktura ISE Správa pevných i bezdrátových sítí Prime 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 32