Сценарии использования облачных вычислений Windows Azure . Мультитенантность
Сценарии использования
-
Upload
cisco-russia -
Category
Technology
-
view
268 -
download
2
Transcript of Сценарии использования
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены.
Сценарии использования
Руслан Иванов
системный инженер-консультант [email protected]
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 2
BYOD («принеси свое собственное устройство») Повышение производительности, низкая стоимость, дополнительная
защита
Единообразная общесетевая политика управления Управление разграничением доступа
Управление безопасным доступом – подключение устройств
Прозрачность устройств (профилирование), оценка состояния, управление
с учетом контекста, аутентификация, авторизация, учет (AAA)
Проблема: Определение типов устройств, подключенных к сети
Цифровая метка устройства (идентифицирующая "предмет"), анализ состояния,
Проблема: Обеспечение согласованных топологически
независимых политик при обмене данными E2E
Cisco TrustSec и управление политиками
ТЕХНОЛОГИЯ КОММУНАЛЬНЫЕ
УСЛУГИ ЭНЕРГЕТИКА ЗДРАВООХРАНЕНИЕ
ВЫСШЕЕ
ОБРАЗОВАНИЕ СРЕДНЕЕ
ОБРАЗОВАНИЕ
Проблема: Поддержка BYOD без увеличения затрат на сопровождение ИТ
Автоматическая регистрация устройств, загрузка приложений, оценка состояния
устройств на портале без участия пользователя
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 3
Сервисы аутентификации
Сервисы авторизации
Управление жизненным циклом
гостя
Сервисы профилирования и
BYOD
Сервисы оценки состояния
TrustSec SGA
Мне нужно разрешать подключение к сети
только определенных пользователей и
устройств
Мне нужно, чтобы пользователи и устройства
пользовались соответствующими сетевыми
сервисами
Мне нужно разрешить гостям доступ в сеть
и управлять режимом их работы
Мне нужно разрешать и блокировать
использование
iPad в моей сети (BYOD)
Мне нужно, чтобы в моей сети
были неинфицированные устройства
Мне необходим масштабируемый способ
реализации политики доступа в сети
Единая
сеть
Единая
политика
Единое
управление
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 4
ISE Управление доступом к
устройствам
MDM Управление безопасностью
мобильных устройств
• Профилирование устройств
• Реализация BYOD
• Управление доступом к
устройствам
• Совместимость устройств
• Управление мобильными
приложениями
• Обеспечение
безопасности хранящихся
данных
Новый способ
В целях обеспечения безопасности MDM не "видит" незарегистрированные устройства, но
при этом сеть распознает их!
Практические решения на сегодняшний день
MDM: Диспетчер мобильных устройств
ISE и MDM Обеспечение совместимости мобильных
устройств
• Принудительная адаптация к MDM
персональных устройств,
используемых для работы
• Регистрируемый, но ограниченный
доступ персональных устройств, не
находящихся под управлением MDM
• Изоляция несовместимых устройств
на основе политики MDM
В ближайшем будущем Будущие практические
решения (~ 2 квартал 2013)
Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. 5
• Регистрация устройств MDM посредством ISE
o Незарегистрированные клиенты перенаправляются на страницу регистрации MDM
• Ограниченный доступ
o Клиентам, не соответствующим требованиям, предоставляется ограниченный доступ с учетом состояния оценки MDM
• Агент MDM
o Соответствие требованиям
o Оценка установленных приложений
устройств c
• Работа устройства из ISE
• Очистка данных на клиенте в случае кражи устройства
Интерфейс
управления
ISE
Интерфейс
управления MDM
Проверка
регистрации
устройства
Информация
о состоянии
устройства Устройство,
пытающееся
получить доступ
к сети
Платформа
MDM
Установка приложений на
устройство (AnyConnect и
Jabber)
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 6
• Пользователь подключается по защищенному идентификатору SSID
• PEAP: Имя пользователя/ Пароль
• Перенаправляется на портал регистрации
• Пользователь регистрирует устройство
Загружает сертификат
Загружает настройки запрашиваемого устройства
• Пользователь повторно подключается при помощи EAP-TLS
Защищенный BYOD
Персональные
ресурсы
Создат
ь
Точка доступа
ISE
Контроллер беспроводной локальной сети
AD/LDAP
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 7
• Пользователь подключается к открытому идентификатору SSID
• Перенаправляется на портал WebAuth
• Пользователь вводит учетные данные сотрудника или гостя
• Гость подписывает правила пользования сетью (AUP) и получает гостевой доступ
• Сотрудник регистрирует устройство
Загружает сертификат
Загружает настройки запрашиваемого устройства
• Сотрудник повторно подключается при помощи EAP-TLS
Создат
ь
Защищенный BYOD
Открытый BYOD
Персональные
ресурсы
Точка доступа
ISE
Контроллер беспроводной локальной сети
AD/LDAP
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 8
Access-Accept
Известное
устройство Нет
MyDevices
Регистрация устройства в ISE
Да
нет
ISE Portal
Регистрация устройства в MDM Да
Зарегистрировано
в MDM
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 9
Пример формирования отчета ISE с MDM
Причина неисправности
Телефон не отвечает; Администратор устройств деактивирован; Пароль не установлен
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 10
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 11
Тип оконечного
устройства
Число
сессий
Число
клиентов
Длительность
сессии
(часы)
Трафик
(Мбайт)
%
сессий
%
клиентов
% от
длительности
сессии
% от
трафика
Неизвестное
устройство
Устройство HP
Устройство Cisco
Клиенты по типам оконечных устройств
Устройство HP = 2
Устройство Cisco = 2
Неизвестное устройство = 27
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 12
SXP
Nexus® 7K, 5K and 2K
Data Center
Cisco®
Catalyst® Switch
Cisco
ISE
Wireless
user
Campus
Network Wired
user Cat 6K
Egress Enforcement
MACsec
Profiler Posture
Guest Services RADIUS
Ingress Enforcement
Ingress Enforcement
Cisco®
Wireless
Controller
Site-to-Site
VPN user WAN
ISR G2 with integrated switch
ASR1K
SXP
AnyConnect
Named ACLs
dVLAN
dACLs / Named ACLs dVLAN
SGACLs
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 13
Любое устройство
Зарегистрированное устройство Корпора-тивное
устройство
Роль пользователя
и устройства Общий веб-
сервер
Новостной
портал
сотрудника
Портал
администратора
Приложение
"Карта
рабочего
времени
сотрудника"
Сервер
кредитных
карт
Незарегистрированное
устройство
Сотрудник
Руководство
Сканеры кредитных
карт
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 14
Любое устройство
Зарегистрированное устройство Корпора-тивное
устройство
Роль
пользователя
и устройства
Определение политики Общий веб-
сервер
Новостной
портал
сотрудника
Портал
менеджера
Приложение
"Карта рабочего
времени
сотрудника"
Сервер
кредитных
карт
Незарегистрир
ованное
устройство
Открытый SSID
Сотрудник
Корпоративный SSID
Сертификат члена группы
"Сотрудники" соответствует
оконечному устройству
Руководство
Корпоративный SSID
Член группы "Сотрудники и
менеджеры"
Сертификат соответствует
оконечному устройству
Сканеры
кредитных карт
Credit_Card SSID
Член группы "Credit_Scanners"
Профилируется как "iphone"
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 15
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 16
Зарегистрированный
сотрудником
SSID:
Корпоративный
беспроводной доступ
Группа AD:
"Руководство"
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 17
Требуется
сертификат
Профилируется
как iPhone
Группа AD:
"Сканеры кредитных карт"
SSID:
cc-secure-wifi
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 18
Архитектура ACL
Трудность технического
сопровождения
сотен и тысяч правил
Архитектура VLAN
Проблемы
масштабирования
Высокая зависимость от
топологии
802.1X
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 19
Роль пользователя и
устройства
Маркер доступа
Незарегистрированное
устройство
(Unregist_Dev_SGT)
Сотрудник
(Employee_SGT)
Руководство
(Management_SGT)
Сканеры кредитных карт
(CC_Scanner_SGT)
Политика SGA TAG
Credit_Card SSID
Член группы "Credit_Scanners"
Профилируется как "iphone"
Открытый SSID
Корпоративный SSID
Член группы "Сотрудники"
Сертификат соответствует оконечному
устройству
Корпоративный SSID
Член группы "Сотрудники и менеджеры"
Сертификат соответствует оконечному
устройству
Cisco ISE
Сотрудник
Менеджер
Финансы
кто что где когда как
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 20
Метка
сотрудника
Метка менеджера
Метка сканера
кредитных карт
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 21
Метка менеджера Метка сканера
кредитных карт
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 22
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 23
Управление доступом на основе групп безопасности
• ISE сопоставляет маркеры (SGT) с идентификационными данными пользователя
• Политика авторизации ISE передает SGT для доступа к NAD (коммутатор/WLC)
• Политика авторизации ISE передает ACL (SGACL) для выхода из NAD (ASA или
Nexus)
Менеджер
Зарегистрированное
устройство
SGT = 100
Менеджер
SGT = 100
SGACL
SRC\DST Карта учета
времени Кредитная карта
Менеджер (100) Доступ Нет доступа
Cisco ISE
Карта учета времени
(SGT=4)
Сканер
кредитных карт
(SGT=10)
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 24
Инновации
Cisco
Протокол доступа для групп безопасности
• Для передачи через ядро, не поддерживающее SGT
Менеджер
Зарегистрированное
устройство
Менеджер
SGT = 100
SGACL
SRC\DST Карта учета времени Кредитная карта
Менеджер (100) Доступ Нет доступа
Cisco ISE
Карта учета времени
(SGT=4)
Сканер
кредитных карт
(SGT=10) 10.1.100.3
SXP
IP-адрес SGT
10.1.100.3 100
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 25
Catalyst 3K Catalyst 4K
Catalyst 6K
Nexus 7K
Cat 3K (SXP)
Cat 4K (SXP)
Cat 6K Sup720 (SXP)
N7K (SXP/SGT)
N7K
(SGACL)
WLC 7.2 Nexus 1Kv
Catalyst 2K-S Nexus 55xx
ASR1K (SXP/SGT)
ISR G2 (SXP)
WLC 7.2 (SXP)
Cat 2K-S (SXP)
N1Kv (SXP) ASA (SXP)
N55xx (SGT) Cat 3K-X (SXP/SGT)
Cat6K
(SGACL)
Cat3K-X
(SGACL) ASA (SGFW)
- CY12 2H
ASR1K/ISRG2
(SGFW)
/N55xx
Cat 6K Sup2T (SXP/SGT)
Инновации
Cisco
Назначение SGT
пользователям и
устройствам
Передача SGT по
сети
(Inline/SXP)
Применение
политики на основе
SGT
(SGACL/SGFW)
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 26
a
Инновации
Cisco
Функции аутентификации
Коммутатор Cisco Catalyst
Сетевое
устройство
IP-телефоны Авторизованные
пользователи
Гости Планшеты
802.1X MAB Веб-
аутентификация
Отличительные особенности
идентификации
Режим монитора
• Беспрепятственный доступ
• Без влияния на производительность
• Прозрачность
Гибкая последовательность аутентификации
• Предоставление единой конфигурации для большинства примеров использования
• Гибкие политики и механизмы отката
Полнофункциональный и
надежный стандарт 802.1X
Поддержка IP-телефонии для сред виртуальных настольных систем
• Режим одиночного узла
• Режим нескольких узлов
• Режим многократной аутентификации
• Мультидоменная аутентификация
Аутентификация важных данных и голосовых данных
• Непрерывность бизнеса в случае сбоя
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 27
Инновации
Cisco
CDP
LLDP
DHCP
MAC
Поддерживаемые платформы:
IOS 15.0(1)SE1 для Cat 3K
IOS 15.1(1)SG для Cat 4K
WLC 7.2 MR1 - DHCP только данные
ISE 1.1.1
Политика для
принтера
[поместить в VLAN X]
Политика для
личного iPad
[ограниченный доступ]
CDP
LLDP
DHCP
MAC
Принтер Личный iPad ISE
CDP
LLDP
DHCP
MAC
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей
Точка
доступа
Сценарий развертывания с использованием сенсоров устройств Cisco
СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE
КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства
АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства
Эффективная
классификация устройств с
использованием
инфраструктуры
Решение
ПОЛИТИКА
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 28
Тип проверки Предоставляемая информация
RADIUS (Calling-Station-ID) MAC-адрес (OUI)
Пример: 0A:1B:2C = vendor X
DHCP (host-name)
(dhcp-class-identifier)
Имя узла (по умолчанию может включать тип устройства)
Пример: jsmith-iPad
Класс или тип устройства
Примеры: BlackBerry, беспроводной IP-телефон Cisco
DNS
(обратный просмотр IP)
Доменное имя (по умолчанию имя узла может включать тип устройства)
Пример: jsmith-ipad.company.com
HTTP
(User-Agent)
Сведения об определенном типе мобильного устройства
Примеры: iPad, iPhone, iPod, Android, Win7
Сканирование NMAP
(SNMPPortsAndOS-scan )
Срабатывание оконечного устройства сканирование ОС
Пример: OS= Apple iOS
Сообщение или запрос SNMP-trap
(MAC Notification/CDP/LLDP collection)
MAC-адрес или данные об интерфейсе, данные сессии и системный запрос
Примеры: 0A:1B:2C/ARP table
Netflow (перехват потоков)
Перехват потоков для определения подходящего оконечного устройства
пятикратный трафик
Примеры: SRC/DST IP/Port/Protocol
Система учета RADIUS предоставляют информацию о связи MAC:IP для поддержки других проверок, основывающихся на IP-адресе (DNS,
NetFlow, NMAP и HTTP)
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 29
• Catalyst 6K Supervisor 2T
Layer 3 SGT
VLAN to SGT mapping
Subnet to SGT Mapping
MACsec
MACsec over EoMPLS
Native Security Group Tagging
Advanced Identity features
• Catalyst 4K Supervisor 7E
Advanced Identity Features
MACSEC (switch-to-switch and switch-client)
Device Sensor
• Catalyst 3K-X
Advanced Identity features
Native Security Group Tagging
Device Sensor
MACSEC (switch-to-switch and switch-client)
• Cisco WLC 7.2 (WLC 7500/5500/2500)
SXP support
RADIUS CoA on Open SSIDs
BYOD support
Device Sensor (DHCP)
FlexConnect enhancements
Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. 30
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 31
Пользователь Специальный Местоположение Тип устройства Время Оценка
состояния Метод доступа
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 32
BYOD
Управление
доступом
Целостное
решение
• Самостоятельное подключение пользователей
• Партнерство с поставщиками MDM
• Контекст: кто/ что/ как/ где
• Прозрачность: профилирование
• SGA: Независимость от топологии, язык бизнеса
• Реализация: Функции маршрутизатора, коммутатора и контроллера
• Оконечное устройство: Оценка состояния, VPN
• Хранение информации: AD, LDAP, DHCP, MDM
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 33
Поддержка
мобильных и не
мобильных
устройств
Интуитивно
понятное
управление для
конечных
пользователей
• Самостоятельная регистрация
для автоматической адаптации
• Сертификация и выделение
ресурсов запрашиваемому
клиенту
• Обнаружение устройств
• Поддержка Windows,
MAC OS X, iOS, Android
• Портал устройств пользователя –
регистрация, "черный" список, управление
• Портал для приглашения гостей
Снижение
нагрузки на
ИТ-персонал
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 34
Реализация различных политик для корпоративных и личных устройств
ИДЕНТИФИКАЦИЯ ПРОФИЛИРОВАНИЕ
VLAN 10
VLAN 20
Контроллер
беспроводной
локальной
сети
DHCP
RADIUS
SNMP
NETFLOW
HTTP
DNS
ISE
Унифицированн
ое управление
доступом
Один SSID
Аутентификация
пользователей
IEEE 802.1x EAP
Центр.
офис
2:38pm
Профилирование для
идентификации
устройств
Предоставляется
полный или
частичный доступ
Индиви-
дуальное
устройство
Оборудование
компании
Оценка состояния
устройств
Решения в
рамках
политики
4
5
6
Реализация
политик в сети
Корпоратив-
ные
ресурсы
Только
Интернет
1
2
3
Пример BYOD Идентификация
и политика
Унифицированная
инфраструктура
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 35
• Информация о ISE: http://www.cisco.com/go/ise
• Cisco TrustSec (SGA и сертифицированные решения): www.cisco.com/go/trustsec
• Указания по применению и руководства с практическими советами: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html
• Зона проектирования – базовый вариант проекта BYOD: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns743/ns1050/own_device.html#~overview