Upload
cisco-russia
View
1.200
Download
4
Embed Size (px)
DESCRIPTION
Citation preview
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
Обзор продуктов в области информационной безопасности Михаил Кадер
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
• Межсетевые экраны
• Системы обнаружения и предоствращения вторжений
• Система управления информационной безопасностью предприятия
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Межсетевые экраны
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Multi-Service
(Firewall/VPN и IPS)
Pe
rfo
rman
ce a
nd
Sca
lab
ility
Data Center Campus Branch Office SOHO Internet Edge
ASA 5585 SSP-60 (40 Gbps, 350K cps)
ASA 5585 SSP-40 (20 Gbps, 200K cps)
ASA 5585 SSP-20 (10 Gbps, 125K cps)
ASA 5585 SSP-10 (4 Gbps, 50K cps)
ASA 5540 (650 Mbps,25K cps)
ASA 5520 (450 Mbps,12K cps)
ASA 5510 (300 Mbps,9K cps)
ASA 5505 (150 Mbps, 4K cps)
ASA 5550 (1.2 Gbps, 36K cps)
ASA 5580-20 (10 Gbps, 90K cps)
ASA 5580-40 (20 Gbps, 150K cps)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
Показатель Значение
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
ASA 5512-X Пропускная
способность
межсетевого экрана 1
Гбит/с
ASA 5515-X Пропускная
способность
межсетевого экрана 1,2
Гбит/с
ASA 5525-X Пропускная
способность
межсетевого экрана 2
Гбит/с
ASA 5545-X Пропускная
способность
межсетевого экрана 3
Гбит/с
ASA 5555-X Пропускная
способность
межсетевого экрана 4
Гбит/с
1. Пропускная способность на
уровне нескольких Гбит/с Для удовлетворения растущих
требований к пропускной способности
2. Встроенные средства ускорения
сервисов
(дополнительное оборудование не
требуется) Для поддержки меняющихся
потребностей бизнеса
3. Платформа с поддержкой
сервисов нового поколения Для защиты инвестиций
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Cisco® ASA 5585 Cisco ASA 8.4 Cisco ASA 9.0
Надежная платформа
Производительность Кластеризация
64-разрядное
ПО
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
согласованный коэффициент масштабирования
• Общая пропускная способность = Кол-во x Пропускная способность одного узла x Коэффициент масштабируемости
Пример. Кластер из 4 узлов с Cisco® ASA 5585-S60 с EMIX обеспечивает 64 миллиона подключений и пропускную способность 64 Гбит/с.
• Коэффициент линейного масштабирование независимо от количества
Пример. Если кластер из 4 узлов поддерживает 32 миллиона подключений, кластер из 8 узлов будет поддерживать 64 миллиона подключений для трафика того же профиля.
• Общая кол-во подключений = Кол-во x Кол-во подключений одного узла x Коэффициент масштабируемости
Пример. Кластер из 4 узлов с Cisco ASA 5585-S60 может поддерживать 32 миллиона подключений.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
высокая доступность
• Все устройства в кластере являются активными и передают трафик.
• Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу.
• В случае сбоя узла проведение сеанса переходит на резервные устройства.
• Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
• Единая консоль конфигурации и автоматическая синхронизация конфигурации в кластере.
Управление кластером из 8 устройств осуществляет всего один экземпляр Cisco ASDM.
• Обработка удаленных команд выполняется на любом узле.
• Статистические данные использования ресурсов в рамках кластера
Использование ресурсов ЦП и памяти для любого узла.
Использование канала управления кластером.
• Поддержка Cisco® Security Manager
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
мастер конфигурации
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
системная панель мониторинга
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
использование ресурсов
Использование
ресурсов ЦП и
памяти для любого
узла в кластере
Количество
подключений в
секунду для всего
кластера и для
каждого узла
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
вкладка «Пропускная способность»
Общая пропускная
способность и
пропускная
способность
каждого узла
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
сведения о распределении нагрузки и использовании канала управления кластером
Использование
канала
управления
кластером
Распределение
нагрузки между
членами кластера
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
захват пакетов
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Лучшая в своем классе безопасность сети
Лучшая в своем классе web-защита на основе
облака
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Script
Flash
Java
.exe
Несколько
сканеров
AV
Web-страница
«Чисты
й»
контент
Известные вредоносные программы заблокированы
Глубокий
анализ
контента
Виртуализован-
ная
эмуляция
скриптов
Структурное
изучение
контента
Да
Новые вредоносные программы
заблокированы
Web-контент
Контроль исходящего
трафика
Script-
сканирова
ние
Сканирование
репутации
PDF-
сканирова
ние
Flash-
сканирова
ние
Java-
сканирова
ние
Exe-
сканирова
ние
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
прозрачность и контроль web-приложений ЧТО
Классификация и контроль
web-трафика
Более 1000 приложений
Подробная классификация и
контроль поведений
микроприложений и
приложений
Более 75 000 микроприложений Контроль
пропускной
способности
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
• Web-защита на основе облака с учетом контекста • Поддержка перенаправления контекста в решение Cisco ScanSafe Cloud Web Security • Несколько антивирусных механизмов и сканеров web-содержимого • Cisco ScanSafe Cloud Web Security и Cisco AVC поддерживают более 1000 web-
приложений и 75 000 микроприложений
?
Cisco® ASA
Утвержденные
сайты
Ограниченный
доступ
Центр. офис
Кадровая
служба
CIC
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
SGT f Пользователь,
группа,
состояние, код
устройства, IP-
адрес,
сертификат……
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Cisco ISE
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
расширение политики Cisco ASA
Правила Cisco TrustSec® можно использовать в сочетании с правилами на основе
пяти кортежей в устройстве Cisco® ASA. Для настройки политик можно
использовать SGT (0008) или имя группы безопасности (sgt_marketing).
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Сервер
маркетинга
Каталоги AD
и LDAP
Cisco ASA
SXP
SGT
(003)
Пользователь
= kpahare
SXP
Корпоративные
серверы SGT = 003
Cisco® ISE AAA
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
• Решение Cisco TrustSec® поддерживается только частью коммутаторов; оно позволяет выполнять поэтапные развертывания.
• SGT может быть функцией одного или нескольких атрибутов. Допускает использование сложных правил политик.
• Политики доступа Cisco® ASA могут быть сочетанием SGT и правил на основе пяти сетевых признаков.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
Пользователь = Guest аутентифицируется с гостевого_iPad и ему назначается
SGT = 100/Guest (гость).
На устройстве Cisco ASA: { если SGT = 100; разрешить доступ
только_в_Интернет}
Пользователь = kpahare аутентифицируется с iPad (или некорпоративного_актива)
и ему назначается SGT = 009/BYOD.
На устройстве Cisco ASA: {если SGT=009; разрешить доступ
только_по_протоколу_rdp к финансовым_приложениям }
Пользователь = kpahare аутентифицируется с корпоративного актива и ему
назначается SGT = 007/Quarantine (карантин). Антивирусное ПО было отключено.
После включения антивирусного ПО пользователю kpahare назначается
008/Compliant (соответствует).
На устройстве Cisco® ASA: { если SGT = 008; разрешитьполный_доступ к
финансовым_приложениям }
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30 * Предполагает группы объектов для IP-
адресов.
Источник Назначение Действие
IP Группа или
пользователь AD
Группа
обеспечения
безопасности
IP
Группа
обеспечения
безопасности
Порт Действие
Любой [email protected] 10.1.1.1
Любой Любой Гость с iPad Гостевые
сервисы http Разрешить
Любой Любой
Пользователь
центра
обработки
вызовов на
виртуальном
рабочем месте
(HVD)
CRM http Разрешить
Любой Любой
Пользователь
кадровой
службы на
виртуальном
рабочем месте
(HVD)
База данных
кадровой
службы
https Разрешить
Любой Любой Любой Любой Любой Любой Запретить
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
• Адресация интерфейсов
• Списки доступа IPv6
• Статическая маршрутизация по протоколу IPv6
• Обнаружение соседей по протоколу IPv6
• Межсетевой экран в контекстах безопасности по протоколу IPv6
• Прослушиватель MLDv2 в однопользовательском режиме по протоколу IPv6
• Модули проверки приложений с поддержкой IPv6 включают сквозное пропускание по протоколам FTP, HTTP, ICMP, SIP, SMTP и IPsec
• IPv6 в режиме прозрачного межсетевого экрана (уровень 2)
• Поддержка IPv6 в Cisco® Adaptive Security Device Manager (ASDM).
• Туннелирование VPN между площадками по протоколу IPv6, IKEv1 и IKEv2
• Аварийное переключение по протоколу IPv6
• Заголовок расширения IPv6
• Поддержка Cisco ASDM по протоколу IPv6
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
несколько контекстов
OSPFv2 EIGRP
Кол-во экземпляров,
поддерживаемых
для каждого контекста
2 (процессы) 1 (экземпляр)
Поддержка контекста Пользователь и администратор
Поддержка перекрытия Да (область) Да (активный-резервный)
Поддержка общего
интерфейса Да
Один и тот же интерфейс
CLI в мульти- и
одноконтекстном
режимах
Да
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
VPN-подключения между площадками в мультиконтекстном режиме
Этап 1 (этот выпуск).
• VPN-подключения между площадками по протоколам IKEv1 и IKEv2: IPv4 и IPv6
• Поддерживаются все режимы аварийного переключения:
«активный/активный» и «активный/резервный»
• Конфигурация аналогична конфигурации в режиме одного контекста
• Ограничения и распределения ресурсов в системном контексте: распределение и распределение при резком увеличении спроса на лицензии
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
смешанный мультиконтекстный режим
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
Кластеризация
IPv6
Cisco® Cloud Web Security
Улучшения мультиконтекстных возможностей
Смешанный режим
Cisco TrustSec®
Шифрование нового поколения
Бесклиентские VPN-подключения
Улучшения производительности и масштабируемости
VPN-подключения в Cisco ASA-SM
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
Понимание контекста
Классический МСЭ ASA
Устройство Интегрированное решение Виртуализация
Широкий спектр платформ
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
Cisco ASA CX
Понимание контекста
Классический МСЭ ASA
Устройство Интегрированное решение Виртуализация
Широкий спектр платформ
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
• Межсетевой экран нового поколения
• Context-Aware Firewall
• Активная/Пассивная аутентификация
• Application Visibility and Control/DPI с анализом контента
• Репутационная фильтрация КОГДА ЧТО ГДЕ/ОТКУДА КАК КТО
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
• Покрытие широкого спектра сценариев идентификации
* Future
КТО
TRUSTSEC*
Network Identity
Group information
Any tagged traffic User Authentication • Auth-Aware Apps
• Mac, Windows, Linux
• AD/LDAP user credential
AD/LDAP Identity • Non-auth-aware apps
• Any platform
• AD/LDAP credential
IP Surrogate
AD Agent
NTLM
Kerberos
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
ЧТО
75,000+ MicroApps
MicroApp Engine
Глубокий анализ трафика
приложений
Поведение
приложений
Контроль действий
пользователя внутри
приложений
Покрытие… … классификация всего
трафика
1,000+ приложений
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
• Ameba
• Yahoo! Mobage
• 2Channel
• Pinterest: блокировка выгрузки
файлов, блокировка
размещения текстов,
блокировка отметки
«Нравится»
• Yandex
Июль
• Winamp Remote
• Gree
• Google Drive: выгрузка, загрузка, общий
доступ, редактирование
• Scribd: выгрузка, загрузка, размещение
• SkyDrive: выгрузка, загрузка,
редактирование
• SmugMug: выгрузка, загрузка, отметка
как «Нравится», общий доступ
• Microsoft Windows Azure
• Salesforce CRM
• Microsoft CRM Dynamics Online
• iscsi-target
• LogMeIn
• Mikogo
• Незашифрованный трафик
Oracle e-Business Suite
• Службы Google
Август
Сентябрь
• eBay
• FileDropper
• Mixi
• AOL Mail: загрузка вложений, выгрузка
вложений, отправка эл. почты
• Photobucket: выгрузка файлов,
загрузка файлов, общий доступ
• Dailymotion: выгрузка файлов,
размещение, использование контента сайта
• Answers.com: размещение
• DocStoc: выгрузка файлов, загрузка
файлов
• Microsoft Lync
• Gbridge
• Tor
• ShowMyPC
• Facetime
• Yahoo-Accounts
• Camo-proxy
• Glide
• Nico Nico Douga
• Twiddla
• Suresome
• Techinline
• Vimeo: выгрузка, загрузка, размещение
текстов
Октябрь
Приложения, выпущенные с момента первых поставок ASA CX клиентам
• ASProxy
• CoralCDN
• Proxono
• Surrogafier
• Symantec Live Update
• Windows Updates
• Zelune
Ноябрь
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
ЧТО
Маркетинг Юристы Финансы
языков
стран
mn URLs
покрытие
60
200
20
98%
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
ГДЕ/ОТКУДА
ОФИС
ОТЕЛЬ
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
• Информация с 100,000,000 оконечных устройств
Устройство Состояние
AV
Registry Files
Версия ОС
Identity Services Engine
КАК
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
КОГДА ЧТО ГДЕ/ОТКУДА КАК КТО
Знание угроз
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52
www.facebook.com GO
Cisco SIO
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
ASA
• Ядро или ЦОД
• Multi-tenant
• Active/Active Failover
ASA CX
• Кампус или граница
• Контроль приложений
• Next-gen Firewall
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
WSA
• Прокси-сервер
• Кеширование
• Сканирование Anti-Malware
• DLP
• Полная Web-безопасность
ASA CX
• Next-gen Firewall
• Inline
• Все порты/протоколы
• Базовая Web-безопасность
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 55
ASA SSP
CX SSP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
Заказчику нужен
только ASA CX?
Пусть заказывает
один модуль в
шасси 5585-X!
Заказчику нужен
ASA и ASA CX?
Пусть заказывает
два модуля в шасси
5585-X!
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
• Система управления для ASA CX
• Встроенный в ASA CX для управления одним МСЭ
• Отдельное устройство для поддержки нескольких ASA CX
• RBAC
• Конфигурация, события и репортинг
• Виртуальная машина или устройство UCS
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58
Cisco ASA CX
Понимание контекста
Классический МСЭ ASA
Понимание угроз
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60
Пр
ои
зв
од
ите
ль
но
сть
, м
ас
шта
би
руем
ос
ть
, а
да
пти
вн
ос
ть
Комплекс
зданий
Интернет-
периметр Филиал
Cisco IPS 4360
Cisco® IPS 4345
Центр обработки
данных
Cisco IPS 4510
Cisco IPS 4520
Новинка
Новинка
Новинка
Новинка
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61
Пр
ои
зв
од
ите
ль
но
сть
, м
ас
шта
би
руем
ос
ть
, а
да
пти
вн
ос
ть
Комплекс
зданий
Интернет-
периметр Филиал SOHO Центр обработки
данных
Cisco ASA 5585-X-S60P60
Cisco ASA 5585-S40P40
Cisco ASA 5585-S20P20
Cisco ASA 5585-S10P10
Cisco® ASA 5512- X IPS
Cisco ASA 5515-X IPS
Cisco ASA 5525-X IPS
Cisco ASA 5545-X IPS
Cisco ASA 5555-X IPS
Новинка
Новинка
Новинка
Новинка
Новинка
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62
Новый межсетевой экран с поддержкой сервисов и функцией IPS
• Платформа межсетевого экрана нового поколения с поддержкой сервисов
• Устройства ASA среднего уровня с функцией ПО IPS с учетом контекста
• Cisco® ASA 5525-X , ASA 5545-X и ASA 5555-X имеют аппаратное ускорение для IPS.
• 1 интерфейс Gigabit Ethernet
• Доступны платы расширения ввода-вывода
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63
• Специализированная платформа IPS среднего уровня с учетом контекста
• Четырехкратное увеличение производительности Cisco® IPS серии 4200 за половину стоимости
• Обработка с аппаратным ускорением Regex
• Интерфейсы Gigabit Ethernet
• Платы аппаратного обхода будут доступны в октябре
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 64
• Специализированные высокоскоростные устройства IPS с учетом контекста
• Обработка с аппаратным ускорением Regex
• Развертывания на уровне ядра ЦОД или предприятия
• Интерфейсы Gigabit Ethernet, интерфейсы 10 Gigabit Ethernet и слот SFP
• Масштабируемость: доступен слот для будущего наращивания мощностей
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 65
Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520
Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)
Процессор 4 ядер
4 потока
4 ядер
8 потока
8 ядер
16 потока
12 ядер
24 потока
Память 8 GB 16 ГБ 24 ГБ 48 GB
Базовые порты данных 8 x 1 GE Cu 8 x 1 GE Cu
6 x 1 GE Cu
4 x 10 GE SFP
6 x 1 GE Cu
4 x 10 GE SFP
Ускоритель Regex Одинарный Одинарный Одинарный Двойной
Электропитание Постоянное значение
переменного тока
2 с возможностью
горячей замены
2 с возможностью
горячей замены
2 с возможностью
горячей замены
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 66
Производительность • Реальный средний показатель: 3 Гбит/с • Реальный диапазон показателей: 1.2-5 Гбит/с • Транзакционная передача по HTTP: 5 Гбит/с
Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (8
ядер, 16 потоков) • 24 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex • Открытый слот (в верхней части) для
использования в будущем
Места развертывания • Средние и крупные предприятия • ЦОД кампуса • Требуется 3 Гбит/с реальной пропускной
способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS
Порт AUX и
консоль
Интегрированный
ввод-вывод 6 GE Cu
Индикаторы
состояния
Порты
управления
Отсеки для
жесткого диска
(пустые)
Интегрированный
ввод-вывод 4 слота 10 GE
SFP 2 порта
USB
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 67
Производительность • Реальный средний показатель: 5 Гбит/с • Реальный диапазон показателей: 2.5-7.7 Гбит/с • Транзакционная передача по HTTP: 7,6 Гбит/с
Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (12
ядер, 24 потоков) • 48 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex (x2) • Открытый слот (в верхней части) для
использования в будущем
Места развертывания • Средние и крупные предприятия • Центр обработки данных • Требуется 5 Гбит/с реальной пропускной
способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS
Порт AUX и
консоль
Интегрированный
ввод-вывод
6 GE Cu
Индикаторы
состояния
Порты
управления
Отсеки для
жесткого
диска (пустые)
Интегрированный
ввод-вывод 4 слота 10 GE
SFP 2 порта
USB
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 68
Специализированная система
Cisco IPS 4500 • Прозрачна и незаметна в сети
• Ввод-вывод на основе IPS
• Нормализация под управлением IPS
• Свободный слот для использования в
будущем
Интегрированное устройство
Cisco ASA 5585-X IPS • Прозрачность как вариант.
• Ввод-вывод принадлежит межсетевому
экрану.
• Нормализацией управляет межсетевой экран.
• Для выбора политики IPS доступны
дополнительные возможности (5 элементов
потока, код пользователя и т. д.).
Основные отличия
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 69
• Определение максимальной пропускной способности с помощью сочетания различных протоколов и размеров пакетов.
• Для оценки используются средние показатели пяти тестов.
• Сочетание типов трафика зависит от типа и расположения сети.
• В тестах используются стандартные профили приложений пределов прочности (сочетания трафика).
• Тестирование предоставляет клиентам рекомендации.
• Клиенты могут легко воспроизвести тесты.
• Тесты не имеют отношения к компании Cisco.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
0
1
2
3
4
5
6
7
8
Реальный средний показатель Транзакционная передача по HTTP
4510 4520
Максимальная производительность (Гбит/с)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71
Значение Cisco IPS 4510 Cisco IPS
4520
Реальный средний показатель
(Гбит/с)
Cisco использует пять сторонних
тестов, которые показывают состав
смешанного трафика
развертываний.
3 5
Максимальная
производительность (Гбит/с)
Максимальные уровни пропускной
способности при полной проверке
трафика.
5 10
Количество подключений в
секунду
Беспроблемная обработка
всплесков подключений. 72,000 100,000
Максимальное количество
открытых подключений
Динамично функционирующим
центрам обработки данных
требуется большое количество
подключений.
3,800,000 8,400,000
Среднее время задержки
Задержка может привести к
проблемам транзакций и повлиять
на производительность.
< 150 мс < 150 мс
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72
Прозрачность контекста
IPS
Cisco® SIO
Политика с учетом
контекста
в режиме Inline,
корреляция в
устройстве
в режиме Inline,
оценка рисков для
бизнеса на основе
контекста
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73
Текущие средства контроля:
Порт IP
Протокол
Сети VLAN
Работа с копией трафика и режим inline
Требуются гибкие средства контроля для приведения политики в
соответствие с направлениями угроз, повышения производительности проверки и снижения количества ложноположительных результатов.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74
ИД обхода нормализации
трафика
Анализ
протокола
ИД атаки требуется полная прозрачность среди нескольких сигнатур, пользователей, протоколов и других компонентов
Мета- сигнатура X
Сигнатура A 10:17 Сигнатура B 10:19 Сигнатура C 10:19
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75
Уникальные параметры контекста формируют точную оценку бизнес-рисков
Риск д
ля
бизн
еса
Обнаружение и применение
рисков объекта атаки и
злоумышленника из Cisco® SIO и
локальные данные
Внутренняя репутация
Глобальная репутация
Контроль признаков
операционной системы
Конечное значение
Контексты атаки Контексты злоумышленника и
объекта атаки
Поток встроенной корреляции Механизм действий
Риск д
ля
бизн
еса
Обнаружение и применение рисков
эксплойтов из Cisco SIO
Серьезность
Точность
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76
Приоритеты бизнеса и безопасности
• Понимание бизнес-рисков
• Точность
• Быстродействие
• Эффективность
• Прозрачность
Инновации в управлении угрозами
Архитектура Cisco с учетом контекста
• Динамическая оценка бизнес-рисков
• Контекстные данные для точного определения риска и соответствующего действия
• Встроенная корреляция, выполняемая немедленно (не после свершения)
• Отправка уведомлений или эскалация (если необходимо)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 77
Все типы оборудования
• SCADA
• DCS
• PLC
• SIS
• EMS
• Все основные
производители
• Schneider
• Siemens
• Rockwell
• GE, ABB
• Yokogawa
• Motorola
• Emerson
• Invensys
• Honeywell
• SEL
• И это не конец…
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 78
• Cisco® Security Manager 4.3
• Cisco IPS Device Manager 7.1(4)*
• Cisco IPS Device Manager 7.1(5)
• Cisco IME 7.2.3
* При первых поставках клиенту Cisco IPS
4510 и IPS 4520 поставляются с 7.1(4).
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 79
• Поддержка расширенного декодирования HTTP.
• Профили угроз для характерной для развертывания настройки (ЦОД и периметр) с помощью мастера.
• Статистические данные о нагрузке для выполнения анализа.
• Поддержка новых платформ.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 80
• Базовая настройка сигнатур, адаптированная для различных расположений в сети
• Текущая поддержка только на платформах с аппаратным ускорением Regex
• Пошаговый мастер
• Шаблон, предназначенный для ЦОД
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 81
sco Security Manager 4.3
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 82
Краткий обзор CSM Комплексное управление
политиками для FW, VPN и IPS
на разнотипных устройствах
(ASA, IPS, FWSM, PIX, ISR/ASR)
Управление журналами —
события межсетевого журнала
(Syslogs) и IPS (SDEE)
Мониторинг состояния и
производительности для ASA и
IPS
Отчеты для межсетевых экранов
и устройств IPS
Управление образами для ASA и
IPS
API для доступа к политике
Поддержка сотен устройств в
одном развертывании
На основе Windows:
конструктивные параметры
устройства, также доступен в
виде установки ПО
Cisco Security Manager
Управление политиками
Управление журналами
Отчеты
Работоспо-собность сети
Управление образами
Интерфейс API
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 83
Оптимизированные
операции по обеспечению
безопасности
Реальные результаты
Общее управление
сетью
Представление политик
Представление
устройств
Представление
топологии
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 84
Перенос политик на несколько
устройств и переопределения
объектов обеспечивают
согласованное определение политик.
Согласованность
Интуитивный графический интерфейс с представлениями политик и объектов.
Простота
Наследование политик
обеспечивает реализацию
корпоративных политик.
Реализация
политик
ASA ASASM/
FWSM
ISR ASR
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 85
Поиск пользователей и групп
пользователей на основе
установки и сопоставления
Active Directory.
Интеграция AD
Политики моделирования на основе пользователей и групп пользователей
Пользователи и группы пользователей
Политики моделирования на
основе FQDN (например,
apps.cisco.com).
Полные
доменные имена
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 86
Средства повышения производительности межсетевых экранов
Улучшенная эксплуатационная эффективность
Сопоставление событий с
политиками упрощает процесс
изучения администратором. Изучение
Интегрированное средство
отслеживания пакетов для
глубокой диагностики и
устранения неполадок.
Устранение
неполадок
Число попаданий в список ACL,
запрос правил и отслеживание
сроков действия упрощают базовые
функции политики.
Управление правилами
Средство отслеживания
пакетов
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 87
Согласованные сигнатуры и реакции на события в датчике IPS. Согласованность
Технология глобального сопоставления на основе репутаций обеспечивает защиту сети в упреждающем режиме.
Упреждающая защита
Датчики
IPS ASA AIP IDSM IOS IPS
Навигация IPS от уведомлений к
сигнатурам обеспечивает быструю
настройку проблемных сигнатур.
Сокращение помех
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 88
Автоматические обновления сигнатур и лицензий
Отчеты об инвентаризационных данных и лицензиях IPS, а также автоматические обновления лицензий упрощают выполнение повседневных задач.
Прозрачность инвентаризационных данных
Автоматические обновления сигнатур и пакетов обеспечивают оперативную защиту IPS.
Оперативная защита
Сервер CSM
IPS
IPS
IPS
IPS
Cisco
Навигация IPS от уведомлений к
сигнатурам обеспечивает быструю
настройку проблемных сигнатур.
Простая диагностика и устранение неполадок
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 89
Различные технологии, мастер установки
Простота развертывания в среде
из тысяч устройств, включая
неуправляемые устройства
сторонних поставщиков.
Согласованность в крупномасштабных развертываниях
Возможности производственного
развертывания для поддержки
существующих VPN-
подключений.
Минимальное нарушение производительности
Простой в использовании мастер
установки сетей VPN
обеспечивает точность настроек
на разных устройствах.
Сложные развертывания
Мастер создания
сетей VPN
IPSec GRE DMVPN GETVPN Easy
VPN
IPSec
RA
SSL
VPN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 90
Упрощенный мониторинг, диагностика и устранение неполадок
Детализация привязки события к политике позволяет выполнять анализ основных причин и точную настройку правил.
Навигация от событий к политике
Представления событий ASA, IPS и VPN в режиме реального времени и в хронологической последовательности.
Отслеживание в режиме реального времени и в хронологической последовательности
Гибкие и комплексные критерии
событий исключают
возникновение помех.
Фильтры и настраиваемые представления
ASA IPS VPN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 91
Мониторинг состояния и производительности
Кроме мониторинга ресурсов устройств, можно также контролировать параметры трафика (нагрузка для выполнения анализа, пропущенные пакеты).
Мониторинг IPS
Возможность мониторинга ресурсов устройств ASA, параметров трафика (количество подключений и т. д.), аварийного переключения.
Мониторинг межсетевых экранов
Пользователь может контролировать
состояние туннеля, пользователей
RAVPN и т. д.
Мониторинг сетей VPN
ASA IPS VPN
Пользователь может управлять
уведомлениями на основе важных
данных об устройствах (ЦП, память,
срок действия лицензии, состояние
интерфейса и т. д.).
Управление уведомлениями
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 92
Пользователи могут создавать комплекты образов (образ ASA, образы AnyConnect и т. д.) для развертывания.
Комплекты образов
Подход на основе мастеров для проверки, развертывания обновлений для образов, отправки уведомлений об их выпуске (включая аварийное переключение).
Управление образами ASA
Интеграция с CCO, функцией подачи
заявок CSM, развертыванием работ,
утверждениями и т. д. для
обеспечения удобной работы
пользователей.
Простая интеграция
ASA IPS VPN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 93
Данные можно экспортировать в формат PDF/Excel. Отчеты можно запланировать для отправки по электронной почте.
Экспортируемые и планируемые отчеты
Отчеты, созданные на основе данных событий ASA, IPS и VPN.
Системные и настраиваемые отчеты
Данные можно наглядно
представить в форматах схем и
таблиц.
Схемы и таблицы
ASA IPS VPN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 94
• Механизм подачи заявок с интеграцией на основе URL-адресов
• Режим рабочих процессов с процессом утверждения
• Глобальный семантический поиск во всех политиках
• Встроенные функции RBAC (контроля доступа на основе ролей)
• Архивация конфигураций
• Автоматическое резервное копирование и восстановление
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 95
Cisco Security Manager 4.3
В CSM 4.3 представлены новые возможности, связанные с
мониторингом состояния и производительности, управления
образами, доступна на основе интерфейсов API, а также целый
ряд усовершенствований в других областях.
Новые возможности Cisco Security Manager 4.3
• Мониторинг состояния и производительности устройств ASA и IPS.
• Управление образами для устройств ASA.
• Доступ на основе API к данным конфигурации политики CSM.
• Представление концепции комплектов политик для назначения нескольких
политики нескольким устройствам.
• Интеграция подачи заявок для отслеживания изменений политик.
• Глобальный поиск устройств, политик и объектов политики во всей базе
данных конфигурации.
• Поиск сведений об использовании объектов.
• Автообнаружение конфликтов для удаления ненужных записей из таблицы
правил.
• Обновления Policy Object Manager для улучшенной навигации.
• Поддержка новых моделей — ASA 5512, 5515, 5525, 5535, 5545 и 5555.
• Поддержка нового оборудования Cisco IPS серии 4300.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 96
Старые страницы CS
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 97
• Связывание изменений с заявками
• Поиск на основе ИД или описания заявки
• Просмотр измененных заявок по развертыванию
• Настройка и запуск по URL-адресу внешней системы подачи заявок
• Сведения о последней измененной заявке, отображаемые в POM и правилах межсетевого экрана
• ИД заявки не является обязательным; допускаются повторяющиеся записи
• Возможность указания нескольких ИД заявок, разделенных запятыми
• Ticket Manager отображает журнал всех заявок
• В новой установке эта возможность включена по умолчанию
• После обновления существующие настройки рабочих процессов и другие параметры остаются без изменений
• Для отключения возможности нужно последовательно выбрать Admin Settings (Настройки администрирования) -> Ticket Manager
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 98
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 99
• Настраиваемые избранные типы объектов в дереве типов объектов
• Отображение 10 последних измененных объектов в дереве
• Просмотр сведений о ссылках на объекты с помощью одного щелчка
• Больший объем информации в таблице
Количество переопределений (если имеются) или переопределяемых объектов
Дата последнего изменения и последняя измененная заявка (или пользователь)
Полное описание
Объект, который был указан в ссылке или нет (при нажатии кнопки «Referenced» (Ссылка на))
• Перетаскивание и размещение объектов
Из POM в представление правил межсетевого экрана и из представления объектов в представление групп
• Копирование, печать, экспорт (CSV)
• Дерево типов объектов с возможностью поиска
• Поддержка быстрой фильтрации
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 100
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 101
• Семантическая фильтрация (IP / сеть) поддерживается в фильтрах таблиц объектов политик сети и узлов, а также в таблицах правил межсетевых экранов.
• Копирование в виде текста в буфер обмена из большинства компонентов пользовательского интерфейса, таких как дерево, список, таблица, текст.
• Поле быстрой фильтрации, используемое в таблицах «Инвентаризационные данные», «Activity/Ticket Manager», «Policy Objects Manager» и «Сигнатуры IPS».
• Возможность поиска во всех деревьях (иерархических структурах) в Configuration Manager.
• Добавлен параметр «Expand-All / Collapse-All» (Развернуть все / Свернуть все) для всех деревьев и таблиц.
• С экрана входа в клиент CSM удален параметр «Enable / Disable Https connection» (Включить /отключить соединение по протоколу HTTPS).
• Теперь в представлении политики отображаются прямые назначения устройств, наследование и назначения с помощью комплектов политик.
• Экспорт детализированной общей политики.
• Настраиваемая панель инструментов.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 102
• Автоматическая функция — ACD
• Функция, на основе которой выполняются практические действия — AACD
• Встроенные отчеты о конфликтах — при просмотре отчетов можно изменять правила. Таким образом решается проблема использования, связанная с имеющимся средством анализа правил.
• Функция используется только для автоматического обнаружения конфликтов. Она не предоставляет возможности их автоматического устранения.
• Она поддерживается только в интерфейсе с примененными правилами доступа.
• Отчеты о конфликтах формируются на основе источника, назначения, сервисов, пользователей, интерфейсов. Значения других полей (например, для указания диапазона времени и параметров ведения журнала) не учитываются.
• Конфликты внутри объектов не поддерживаются.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 103
Фильтрация трафика на основе идентификационных данных поддерживается с версии CSM 4.2.
Уже поддерживаются такие средства, как «Запрос политики», «Найти и заменить», «Срок действия правила».
CSM 4.3 расширит поддержку средств межсетевой защиты для учета критериев идентификации в правилах межсетевых экранов.
Сочетание правил — принятие во внимание не только сетей, интерфейсов и сервисов, но и пользователей.
Количество попаданий — отображение количества попаданий для записей правила доступа, содержащих пользователей.
Импорт правил — усовершенствованная возможность импорта групп пользователей и правил доступа с помощью групп объектов.
Оптимизация внутреннего списка ACL — улучшенная возможность оптимизации ACL на основе не только сетей, интерфейсов и сервисов, но и пользователей.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 104
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 105
• Предоставление возможностей мониторинга для устройств ASA,VPN и IPS
• Предоставление графиков тенденций важных показателей
• Предоставление сводной панели для отображения объединенных сведений о состоянии, уведомлениях и значениях показателей в рамках представления
• Предоставление механизма уведомлений для различных отслеживаемых параметров
• Предоставление набора предопределенного представления мониторинга.
• Предоставление пользователям возможности создания, редактирования, изменения настраиваемого представления мониторинга
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 106
• Мониторинг ASA распространяется на следующие типы показателей:
ресурсы устройства — ЦП, память, интерфейсы;
параметры трафика — количество подключений, скорость подключений, количество трансляций, скорость трансляций, отброс пакетов, включая отброс при обнаружении угрозы, пропускная способность.
Параметры аварийного переключения
Уведомления ASA
• Уведомления об аварийном переключении
• Уведомления о состоянии интерфейса
• Уведомления об использовании ресурсов ЦП
• Уведомления об использовании ресурсов памяти
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 107
• Мониторинг сетей VPN распространяется на следующие типы параметров:
• Мониторинг активного туннеля между площадками
• Мониторинг пользователей удаленного доступа (RA) — пользователи – web-клиента VPN, IPSec и SSL, клиента Anyconnect.
• Сводные данные о сетях VPN — сводное представление для туннеля между площадками, сеансов удаленного доступа, сведений о лицензиях и сертификатах.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 108
Мониторинг ASA распространяется на следующие типы параметров:
• ресурсы устройства — ЦП, память, интерфейсы;
• параметры трафика — нагрузка для выполнения анализа, пропущенные пакеты, режим обхода;
• приложения IPS — основное приложение, приложение для датчиков, приложение для совместной работы.
• Состояние устройств IPS и связанные параметры
• Уведомления
• Состояние приложения для совместной работы
• Состояние приложения для датчиков
• Режим обхода
• Состояние интерфейса
• Истечение срока действия лицензии
• Использование ресурсов памяти
• Пропущенные пакеты
• Нагрузка для выполнения анализа
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 109
Дерево
представлени
я мониторинга
Панель сводных
данных
Сведения о
выбранных
устройствах
Вкладка «Alerts»
(Оповещения)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 110
CSM Image Manager обеспечивает полное управление образами для устройств ASA.
Это средство используется на различных этапах процесса обновления образов для устройств ASA, предоставляя следующие возможности:
загрузка и поддержка репозитория различных типов и версий образов,
оценка образов,
анализ влияния обновления этих образов на устройства (в анализ входит влияние обновления на конфигурацию устройств),
подготовка и планирование обновления и
предоставление надежного способа обновления устройств с использованием встроенных механизмов резервирования и восстановления, что способствует сокращению времени простоев.
• Недостатки предыдущего решения, RME, для управления образами
RME больше не входит в комплект CSM.
Обновление образа с помощью RME рассматривалось как изменение OOB в CSM и требовало повторного обнаружения устройств, что приводило к потере назначенных и общих политик в CSM.
Механизм RME поддерживал только системное ПО. Отсутствует поддержка образов ASDM и других образов SSLVPN.
Отсутствует поддержка обновления аварийного переключения ASA, которое присутствует в большинстве развертываний ASA.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 111
Поддержка репозитория различных типов и версий образов ASA.
Проверка доступности новых образов на сайте Cisco.com.
Загрузка образов с сайта Cisco.com.
Проверка и анализ влияния обновлений образов на устройства.
Совместимость устройств с образами.
Объединение совместимых образов в комплект.
Планирование обновления образа одного или нескольких устройств. Контроль пошагового выполнения операции обновления.
Управление изменениями для операций по обновлению образов.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 112
Полное управление образами для ASA** — поддержка системы ASA, ASDM, CSD, Hostscan, Anyconnect и подключаемого модуля SSLVPN (RDP, Telnet, SSH и т. д.).
Поддержка обновления пары аварийного переключения «Активный/резервный».
Тесная интеграция с Configuration Manager — пользователь получает уведомления о влиянии обновления образа на конфигурацию устройства в CSM и сведения о действиях, которые необходимо выполнить до и после обновления, чтобы обеспечить беспрепятственное управление конфигурациям устройств в CSM.
Надежные обновления — проверки совместимости образов, проверки требований к ОЗУ, проверки объема флэш-памяти, уведомления о влиянии на конфигурации и т. д.
Управление файлами флэш-памяти ASA.
Комплект образов — объединение совместимых образов и их быстрое развертывание.
Элементарные проверки надежности на ранних этапах становления управления образами SSLVPN в Configuration Manager. Вывод сообщений о недостатке места.
Поддержка внешнего диска в ASA — диска 1.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 113
• Выпуски ACS, вышедшие после версии 4.x, больше нельзя использовать в качестве решения RBAC для CSM. NRBAC предоставляет те же функции RBAC, которые присутствовали в ACS для CSM. Эти функции встроены в CSM, поэтому их использовать гораздо проще.
• Одной из ведущих мотиваций перехода на RBAC является возможность разделения обязанностей (Separation Of Duties, SOD).
снижение риска случайного повреждения или мошенничества
ограничение доступа к объектам (устройствам и политикам)
• Что изменилось?
Common Services (CS) имели авторизацию на уровне задач и поставлялись только с пятью стандартными ролями. Они не обеспечивали детализацию RBAC на уровне устройств.
При использовании NRBAC вводится детализация на уровне устройств и поставляется восемь (7 + 1) стандартных ролей. 1 роль не требуется для CSM.
• Сохраняется поддержка ACS 4.x.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 114
Стандартные роли совпадают с ролями ACS 5 ролей являются общими для CS и CSM
1 роль является специальной для CS
2 роли являются специальными для CS
Специальные роли
CSM
Лицо, утверждающее системы
безопасности
Администратор систем
безопасности
Специальная роль CS
Суперадминистратор
Общие роли
Утверждающее лицо
Служба поддержки
Администратор сети
Оператор сети
Системный администратор
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 115
Задачи приложения назначаются ролям. Задача может относиться к одному конкретному приложению или использоваться для двух или более приложений.
Типы приложений
[AUTOUPDATE] — сервер
автообновления
[CSM] — Cisco Security Manager
[CS] — Common Services
ПРИМЕЧАНИЕ. Изменить
разрешения для стандартных
ролей нельзя.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 116
Группы устройств представляют собой контейнеры для устройств и используются в конфигурации авторизации на уровне устройств.
Устройство может входить в несколько групп устройств.
ПРИМЕЧАНИЕ. Устройство может
быть связано с несколькими
группами устройств [ 1:n ]. Для
конфигурации NRBAC не требуется
связывать с пользователем все
группы устройств. Достаточно только
одной группы устройств.
Вывод. В системе могут находиться
группы устройств, имеющие
связанные устройства, но никогда не
использовавшиеся для авторизации
NRBAC на уровне устройств.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 117
Полная авторизация
Авторизация на уровне задач
Авторизация на уровне устройств
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 118
NRBAC предоставляет возможность авторизации внешним серверам идентификации, используемым для аутентификации.
Удаленных пользователей AAA следует создать локально и назначить им роли.
К некоторым серверам аутентификации, которые поддерживаются CS, относятся ACS 5.x как сервер TACACS+, Microsoft AD, локальная аутентификация Windows.
• Создание настраиваемой роли
• Создание новой строки привилегии запрещено.
• Следует использовать с осторожностью.
• ACS 4.x по-прежнему поддерживается «как есть». Требуется повторная регистрация, поскольку в CSM добавлены дополнительные строки привилегий для новых возможностей.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 119
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco