Как Cisco защищает современные центры обработки данных и виртуализированные среды

04 апреля 2013 мы провели специализированное мероприятие для наших заказчиков – участников клуба CiscoExpo Learning Club, посвященное вопросам защиты современных центров обработки данных (ЦОД). В рамках данного семинара мы подробно остановились на стратегии Cisco в области защиты ЦОДов, конкретных технических решениях и рекомендациях по построению и дизайну защищенного ЦОДа. Мы рассмотрели как высокопроизводительные решения для межсетевого экранирования и предотвращения вторжений Cisco ASA 5585-X и Cisco IPS 4500, так и специализированные межсетевые экраны для виртуализированных сред Cisco Virtual Security Gateway и Cisco ASA 1000V Cloud Firewall. Мы рассмотрели примеры использования Cisco ISE для контроля доступа к ресурсам ЦОД, включая и виртуальные машины, а также непростой вопрос с сегментацией внутри ЦОД (в т.ч. и с помощью Cisco Fabric Interconnect). И конечно мы не могли обойти вниманием вопросы взаимодействия виртуальных рабочих мест (VDI) с ЦОДов в контексте информационной безопасности. Все материалы с этого семинара, а также запись Webex вы можете найти на сайте CiscoExpo Learning Club.

Также хотим сообщить вам, что в конце марта мы подготовили и опубликовали целый набор русскоязычных документов по защите центров обработки данных:

  • Три необходимых компонента для обеспечения безопасности при осуществлении преобразования ЦОД (на SlideShare и на сайте Cisco)
  • Обеспечение безопасности корпоративной сети в среде Web 2.0 и при использовании социальных сетей (на SlideShare и на сайте Cisco)
  • Безопасная сегментация в унифицированной архитектуре центров обработки данных Cisco (на SlideShare и на сайте Cisco)
  • Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку (на SlideShare и на сайте Cisco)
  • Обеспечение безопасности для виртуальных серверов и приложений (на SlideShare и на сайте Cisco)
  • Решения Cisco Secure Data Center для защиты виртуальных и частных облачных сред. Ответы на часто задаваемые вопросы (на SlideShare и на сайте Cisco)
  • Решения Cisco для защищенного центра обработки данных. Краткий обзор (на сайте Cisco)

Если после изучения указанных материалов у вас останутся какие-либо вопросы по теме защиты центров обработки данных, виртуализированных сред, облачных вычислений, то вы можете задать все свои вопросы по адресу: security-request@cisco.com.

Айс, айс, Сиско!

О том, как упорядочить заос в сети, я уже писал. Теперь можно углубиться в детали и рассказать о флагманском продукте, который и реализует эту концепцию — системе Cisco Identity Service Engine (ISE). Это платформа следующего поколения для управления процессами идентификации и контроля доступа, которая позволяет организациям обеспечить соблюдение нормативных требований, повысить уровень защищенности корпоративной или ведомственной ИТ-инфраструктуры и упростить управление работой различных сетевых сервисов.

Решение Cisco Identity Services Engine, которая объединяет в себе функциональность Cisco ACS и Cisco NAC, объединяет сервисы аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единой платформы. Администраторы получают возможность централизованно создавать согласованные политик контроля доступа и управления ими, а также получают всестороннюю информацию обо всех пользователях и устройствах, подключающихся к сети. Решение Cisco Identity Services Engine автоматически выявляет и классифицирует оконечные устройства (не только ПК и сервера, но и, например, принтеры, планшетники, смартфоны и т.д.), обеспечивает нужный уровень доступа, проводя аутентификацию как пользователей (путем интеграции с Active Directory), так и устройств (с помощью 802.1x), а также обеспечивает соответствие оконечных устройств нормативным требованиям путем оценки их состояния защищенности перед предоставлением доступа к корпоративной или ведомственной ИТ-инфраструктуре. Разграничивает доступ Cisco Identity Services Engine с помощью меток групп безопасности (SGT), списков контроля доступа (ACL) и механизма VLAN.

Более подробную информацию о данном решении можно найти в подготовленном информационном бюллетене и презентации.

BYOD. Облачная демонстрационная лаборатория Cisco

Сегодня я хотел бы продолжить тему BYOD (Bring Your Own Device) и рассказать о новой лаборатории Cisco Systems, предназначенной для удаленных демонстраций BYOD.

В Cisco недавно была разработана и развернута мощная облачная лабораторная площадка, одной из возможностей которой является удаленная демонстрация BYOD. В ходе демонстраций можно показать как собственные впечатления, возможности и ограничения пользователя, так и все то, что при этом происходит в сетевой инфраструктуре.

Доступны три различных сценария:

1. Медицинский сценарий.
2. Образовательный сценарий.
3. Корпоративный сценарий.

И каждый из сценариев предоставляет несколько ролей, например в «Образовательном» — это «Профессор», «Студент» и «ИТ-специалист».

Отличительная особенность данной лаборатории — это возможность демонстрировать BYOD «вживую» прямо в офисе заказчика и с участием заказчика!

Больше информации о том, что такое BYOD с живой демонстрацией возможностей лаборатории:

BYOD — от концепции к практике

Сегодня мы обсуждаем набирающую популярность тему: BYOD (Bring Your Own Device).

На данный момент концепция BYOD относительно мало известна в России и ближайших государствах, но это очень популярная и быстрорастущая тенденция в США, Европейских странах и т.д.

Так что же такое BYOD?

Можно сказать, что это набор правил и технологий, который позволяет:

  • обеспечить доступ в интернет и к сетям передачи данных с любых мобильных устройств, включая те, которые не имеют проводных сетевых интерфейсов (смартфоны, планшеты и т.п.),
  • обеспечить контроль и применение необходимых правил к пользователю, который хочет получить доступ, с какого устройства, из какого места и к каким ресурсам сети,
  • обеспечить применение более сложных правил для, например, предотвращения использования устройств в нерабочих целях в рабочее время (например через контроль веб-трафика).

А так ли нам нужны все эти сложности? Не проще все запретить?

Давайте посмотрим результаты некоторых исследований на эту тему: недавний глобальный опрос Cisco показал, что 40% студентов колледжей и около 45% работников готовы работать на условиях с меньшей оплатой, если им будет предоставлена свобода выбора персональных устройств, чем на условиях с более высокой оплатой, но с меньшей гибкостью. В то же время ИТ департаменты гораздо менее убеждены, что такая гибкость является хорошей идеей, и по другим исследованиям — около 70% ИТ-менеджеров считают, что слишком рискованно разрешать использование персональных устройств для доступа к корпоративной сети. Больше информации здесь.

По исследованию крупной компании WiFi-агрегатора iPass, которая опросила около 1100 мобильных работников по всему миру, респонденты, использовавшие мобильные устройства для работы и для персональных целей, работали на 240 часов в год больше, чем те кто не использовал. Это, фактически, вариант увеличения продуктивности. А также это создает условия, при которых у пользователя (сотрудника компании) остается все меньше возможностей сказать “нет”. Основываясь на данных причинах Gartner предсказывает, что к 2014 году 90% компаний будут поддерживать корпоративные приложения на устройствах, которые находятся в собственности работников. Больше информации здесь

По результатам исследования Dell Kace — практически в 90% компаний-респондентов сотрудники используют их собственные мобильные устройства в корпоративных сетях. При этом около 62% ИТ-менеджеров ощущают нехватку необходимых инструментов для управления такими устройствами и обеспечения безопасности сетей. Немного более подробно о результатах данного исследования:

  • 88% респондентов хотели бы иметь иметь реализованную политику в части использования мобильных устройств,
  • 82% опасаются использования персональных устройств для рабочих целей,
  • 64% не уверены, что знают все персональные устройства, которые используются на сети для рабочих целей,
  • 60% говорят о растущих требованиях по поддержке Max OS X с момента старта продаж Apple iPhone и iPad,
  • 59% сообщили о том, что персональные устройства создали необходимость поддержки множества операционных систем в компаниях,
  • 32% допускают, что сотрудники используют неавторизованные персональные устройства и приложения для доступа к их сетям.

Итак, можно констатировать следующие простые факты:

  1. Использование персональных мобильных устройств это хорошо для бизнеса, т.к. увеличивает лояльность сотрудников и повышает продуктивность их работы.
  2. Использование подобных неконтролируемых устройств — это большая проблема с точки зрения безопасности корпоративной сети, так как эти устройства могут легко стать платформой для атаки на сеть.
  3. Для использования персональных устройств необходимо создавать среду, в которой можно будет использовать данные устройства безопасно.

Подход Cisco для реализации BYOD

Необходимо иметь качественную Wi-Fi инфраструктуру, которая способна эффективно обслуживать маломощные мобильные устройства. Централизованная архитектура WLAN решения Cisco – CUWN/Cisco Unified Wireless Network – это лучшая платформа для разработки подходящего решения беспроводной сети доступа корпоративного класса.

Необходимо иметь системы, которые могут выполнять такие важные функции, как:
— аутентификация пользователей с поддержкой 802.1х и Web-аутентификации,
— профайлинг устройств для дифференциации по типам используемых устройств,
— применение специальных правил по управлению поведением мобильных устройств, таких как:

  • применение политик перевода устройств в подходящие виртуальных сети VLAN-ы,
  • применение подходящих списков доступа ACL,
  • понимание точки входа пользователя в сеть (в офисе или удаленно), для ограничения возможностей доступа владельцев устройств в зависимости от ситуации.

— применение правил, позволяющих проверять статус безопасности мобильных устройств с разными операционными системами для выявления соответствия принятой политике, например:

  • наличие необходимых обновлений безопасности и, например, сервис-паков,
  • наличие антивируса и свежесть обновления анивирусной базы данных,
  • наличие межсетевого экрана и обновление его базы, если применимо.

Здесь также важно, чтобы система была способна не просто отказывать в обслуживании устройству, не прошедшему контроль на входе, но переводить устройство, например, в карантинный VLAN, откуда можно скачать необходимые апдейты, патчи и т.п. для выхода на приемлемый уровень безопасности и для получения более широкого доступа к сетевым ресурсам.
Все эти функции выполняет Cisco ISE/Identity Services Engine самостоятельно как централизованный элемент. В определенных случаях ISE применяется совместно с платформой MDM/Mobile Device Management.

Очень желательно иметь систему анализа веб-трафика и применения подходящих правил к веб-трафику пользователей. В Cisco есть демо-решение удаленной демонстрации того, как работает BYOD — там показано применение таких интересных правил как, например, сотрудник компании, имеющий полный доступ в интернет, также имеет и следующие ограничения:

  • нельзя заходить на сайты игровой категории (gambling),
  • нельзя заходить на сайты, которые были опознаны системой, как сайты-источники вредоносного ПО,
  • можно пользоваться Facebook, но нельзя выкладывать фотографии в аккаунт в этой социальной сети,
  • в Google постоянно стоит строгое ограничение на фильтры поиска (Strict), и пользователь, при любой попытке это изменить, снова получает систему со строгим ограничением. Уровень Strict ведет к тому, что пользователь не сможет найти, например, веб-ресурсы порнографического содержания.

При этом «гость» в той же корпоративной сети, получая доступ в Интернет по отдельному VLAN-у, уже может заходить на игровые ресурсы и т.п., так нас, по данной политике, не очень заботит то, чем занимается «гость» в изолированном сегменте сети.
Все это и многое другое реализуется на базе Cisco IronPort и полностью применимо для построения гибкого и многофункционального решения BYOD.

И крайне важно, чтобы элементы были интегрированы друг с другом при развертывании подобного решения. Все элементы решения Cisco полностью интегрированы и, например, Cisco ISE является полноценным элементом решения Cisco WLAN с полной интеграцией в систему управления Cisco Prime Infrastructure.

Как упорядочить хаос в сети или зачем нужен Cisco TrustSec?

Представьте себе следующие распространенных ситуации, с которыми часто сталкиваются ИТ/ИБ-специалисты:

  1. Вы возвращаетесь из командировки и подключаете свой ноутбук к корпоративной сети. За время вашего отсутствия антивирусные базы на вашем компьютере уже устарели и бороздя просторы Интернета из гостиницы, вы подхватили незамеченную заразу. После успешного прохождения аутентификации в корпоративной сети, вирус покидает уютное, но локальное «гнездо» и распространяется по всей корпоративной сети в рамках тех полномочий, которые есть у вашей учетной записи!
  2. Вы приглашаете на встречу партнера или клиента (а может это приехал аудитор), который с радостью принимает ваше предложение. В переговорной ваш коллега просит у вас организовать ему доступ в Интернет и у вас наступает ступор. Девушка на reception не знает, как это сделать. Сотрудник службы ИБ, к которому вы обратились, говорит: «Не положено». А сотрудника ИТ, который помог бы решить эту проблему нет на месте. Его же коллеги уверяют вас, что предоставить временный доступ к Интернет очень долго и сложно.
  3. Руководитель вашего Новосибирского филиала по пути в отпуск, заезжает к вам в офис и просит «быстренько» организовать подключение его личного iPad к корпоративной электронной почте и другим ресурсам, к которым он хочет получать доступ, нежась в шезлонге у бассейна отеля. Вы не знаете как подступиться к этой задаче, т.к. на это весьма популярное мобильное устройство нельзя поставить ни антивирус, ни другие обязательные по корпоративной ИТ-политике программные средства. При этом давать неограниченной доступ с удаленного iPad вы тоже не хотите… А вдруг с него и пойдет распространение вредоносных программ по сети или его украдут со всей конфиденциальной информацией и реквизитами доступа в корпоративную сеть?..
  4. Вы вдруг начинаете получать сообщения от пользователей о том, что в Интернете появились копии конфиденциальных документов вашей компании. Расследование показало, что никаких утечек через e-mail, USB, P2P и другие распространенные каналы не было. Но данные продолжают утекать. Более глубокий анализ сетевого трафика показал, что источником проблем стал принтер, на который было несанкционировано загружено вредоносное ПО и организующее удаленный доступ к копиям всех печатаемых документов. Кто бы мог подумать, что такое возможно и что принтер станет и мишенью и площадкой для действий хакеров! Но как быть? Как защитить принтер? Ведь антивирус на него не поставишь и пользователь за ним не работает…

Ответ на все эти вопросы есть и он один — это технология Cisco TrustSec и ее флагменский продукт Cisco Identity Service Engine (ISE), которые помогают эффективно разрешить все указанные выше ситуации; а также многие другие. На прошедшей в США конференции RSA Conference мы анонсировали новую версию Cisco TrustSec и Cisco ISE, которые и хотели бы вам представить.