BYOD – контроль доступа мобильных устройств...Единая...

© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены.

BYOD – контроль доступа мобильных устройств

Виктор Платов системный инженер-консультант по направлению Mobility

© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 2

Политика управления доступом: проблемы и архитектура

UA с использованием Cisco ISE – вводная демонстрация (BYOD)

Доступ для групп безопасности и TrustSec

Устройства доступа Cisco и идентификация

Принцип работы ISE – демонстрация администрирования ISE


BYOD («принеси свое собственное устройство») Повышение производительности, низкая стоимость, дополнительная защита

Единообразная общесетевая политика управления Управление разграничением доступа

Управление безопасным доступом – подключение устройств Прозрачность устройств (профилирование), оценка состояния, управление с учетом контекста, аутентификация, авторизация, учет (AAA)

Проблема: Определение типов устройств, подключенных к сети Цифровая метка устройства (идентифицирующая "предмет"), анализ состояния,

Проблема: Обеспечение согласованных топологически независимых политик при обмене данными E2E Cisco TrustSec и управление политиками

ТЕХНОЛОГИЯ КОММУНАЛЬНЫЕ УСЛУГИ

ЭНЕРГЕТИКА ЗДРАВООХРАНЕНИЕ ВЫСШЕЕ

ОБРАЗОВАНИЕ СРЕДНЕЕ ОБРАЗОВАНИЕ

Проблема: Поддержка BYOD без увеличения затрат на сопровождение ИТ Автоматическая регистрация устройств, загрузка приложений, оценка состояния устройств на портале без участия пользователя


Управление политиками

Identity Services Engine (ISE) Инфраструктура Prime Infrastructure

Контекст политик Собственность

компании

Личные устройства

Устройства, не принадлежащие пользователям

Идентификационные данные пользователя

Информация о политиках ,

Оценка состояния ПО NAC/AnyConnect Agent

Профилирование из инфраструктуры Cisco

Каталог пользователей

Соблюдение политик

Инфраструктура Cisco: коммутаторы, контроллеры беспроводной сети, межсетевые экраны, маршрутизаторы


Решение для управления политиками

Управление унифицированным доступом к сети

Решение BYOD «под ключ»

Первое общесистемное решение Глубокая сетевая интеграция

Общесистемное управление политиками с одного экрана

Удостоенный различных наград продукт Премия Cisco Pioneer Award 2012

Более 400 обученных и проверенных партнеров ATP

Более 1000 продаж за 1 год

Gartner 2013 NAC MQ

Спос

обно

сть

к ре

ализ

ации

Претенденты Лидеры

Нишевые игроки Провидцы

Полнота видения

По состоянию на июнь 2012


Сервисы аутентификации

Сервисы авторизации

Управление жизненным циклом

гостя

Сервисы профилирования и

BYOD

Сервисы оценки состояния

TrustSec SGA

Мне нужно разрешать подключение к сети только определенных пользователей и

устройств

Мне нужно, чтобы пользователи и устройства пользовались соответствующими сетевыми

сервисами

Мне нужно разрешить гостям доступ в сеть и управлять режимом их работы

Мне нужно разрешать и блокировать использование

iPad в моей сети (BYOD)

Мне нужно, чтобы в моей сети были неинфицированные устройства

Мне необходим масштабируемый способ реализации политики доступа в сети

Единая сеть

Единая политика

Единое управление


ISE Управление доступом к

устройствам

MDM Управление безопасностью

мобильных устройств

• Профилирование устройств

• Реализация BYOD

• Управление доступом к устройствам

• Совместимость устройств

• Управление мобильными приложениями

• Обеспечение безопасности хранящихся данных

Новый способ

В целях обеспечения безопасности MDM не "видит" незарегистрированные устройства, но

при этом сеть распознает их!

Практические решения на сегодняшний день

MDM: Диспетчер мобильных устройств

ISE и MDM Обеспечение совместимости мобильных

устройств

• Принудительная адаптация к MDM персональных устройств, используемых для работы

• Регистрируемый, но ограниченный доступ персональных устройств, не находящихся под управлением MDM

• Изоляция несовместимых устройств на основе политики MDM

В ближайшем будущем Будущие практические

решения (~ 2 квартал 2013)


• Регистрация устройств MDM посредством ISE

o Незарегистрированные клиенты перенаправляются на страницу регистрации MDM

• Ограниченный доступ o Клиентам, не соответствующим

требованиям, предоставляется ограниченный доступ с учетом состояния оценки MDM

• Агент MDM o Соответствие требованиям o Оценка установленных приложений

устройств c • Работа устройства из ISE

• Очистка данных на клиенте в случае кражи устройства

Интерфейс управления ISE

Интерфейс управления MDM

Проверка регистрации устройства

Информация о состоянии устройства Устройство,

пытающееся получить доступ к сети

Платформа MDM

Установка приложений на устройство (AnyConnect и Jabber)


• Пользователь подключается по защищенному идентификатору SSID

• PEAP: Имя пользователя/ Пароль

• Перенаправляется на портал регистрации

• Пользователь регистрирует устройство

Загружает сертификат Загружает настройки запрашиваемого устройства

• Пользователь повторно подключается при помощи EAP-TLS

Защищенный BYOD

Персональные ресурсы

Точка доступа

ISE

Контроллер беспроводной локальной сети

AD/LDAP


• Пользователь подключается к открытому идентификатору SSID

• Перенаправляется на портал WebAuth

• Пользователь вводит учетные данные сотрудника или гостя

• Гость подписывает правила пользования сетью (AUP) и получает гостевой доступ

• Сотрудник регистрирует устройство

Загружает сертификат Загружает настройки запрашиваемого устройства

• Сотрудник повторно подключается при помощи EAP-TLS

Защищенный BYOD Открытый BYOD

Персональные ресурсы


ISE

Контроллер беспроводной локальной сети

AD/LDAP


Access-Accept

Известное устройство

Нет

MyDevices Регистрация устройства в ISE

Да

нет

ISE Portal Регистрация устройства в MDM

Да

Зарегистрировано в MDM

http://findicons.com/files/icons/808/on_stage/128/symbol_check.png�


Архитектура UA для единой политики с использованием BYOD

Контроллер беспроводной

локальной сети (WLAN) Cisco

Устройства в проводной сети

Коммутаторы Cisco

Catalyst®

Проводная сеть Беспроводная сеть

Cisco® ISE

Удаленный доступ

Межсетевой экран Cisco ASA

Cisco Prime™ NCS

NCS Prime для создания отчетов

Стороннее приложение MDM

Диспетчер MDM

Интеграция MDM для проверки соответствия и прозрачности приложений

RADIUS


Пример формирования отчета ISE с MDM

Причина неисправности

Телефон не отвечает; Администратор устройств деактивирован; Пароль не установлен


Тип оконечного устройства

Число сессий

Число клиентов

Длительность сессии (часы)

Трафик (Мбайт)

% сессий

% клиентов

% от длительности сессии

% от трафика

Неизвестное устройство

Устройство HP

Устройство Cisco

Клиенты по типам оконечных устройств

Устройство HP = 2

Устройство Cisco = 2

Неизвестное устройство = 27


Любое устройство Зарегистрированное устройство

Корпора-тивное

устройство

Роль пользователя и устройства

Общий веб-сервер

Новостной портал

сотрудника

Портал администратора

Приложение "Карта

рабочего времени

сотрудника"

Сервер кредитных

карт

Незарегистрированное устройство

Сотрудник

Руководство

Сканеры кредитных карт


Любое устройство Зарегистрированное устройство

Корпора-тивное


Роль пользователя и устройства

Определение политики Общий веб-сервер

Новостной портал


Портал менеджера

Приложение "Карта рабочего

времени сотрудника"

Сервер кредитных

карт

Незарегистрированное устройство

Открытый SSID

Сотрудник

Корпоративный SSID Сертификат члена группы "Сотрудники" соответствует оконечному устройству

Руководство

Корпоративный SSID Член группы "Сотрудники и менеджеры" Сертификат соответствует оконечному устройству

Сканеры кредитных карт

Credit_Card SSID Член группы "Credit_Scanners" Профилируется как "iphone"


Зарегистрированный сотрудником

SSID: Корпоративный

беспроводной доступ

Группа AD: "Руководство"


Требуется сертификат

Профилируется как iPhone

Группа AD:

"Сканеры кредитных карт"

SSID:

cc-secure-wifi


Архитектура ACL Трудность технического

сопровождения сотен и тысяч правил

Архитектура VLAN Проблемы

масштабирования Высокая зависимость от

топологии

802.1X


Роль пользователя и устройства Маркер доступа

Незарегистрированное устройство (Unregist_Dev_SGT)

Сотрудник (Employee_SGT)

Руководство (Management_SGT)

Сканеры кредитных карт (CC_Scanner_SGT)

Политика SGA TAG

Credit_Card SSID Член группы "Credit_Scanners" Профилируется как "iphone"

Открытый SSID

Корпоративный SSID Член группы "Сотрудники" Сертификат соответствует оконечному устройству

Корпоративный SSID Член группы "Сотрудники и менеджеры" Сертификат соответствует оконечному устройству

Cisco ISE

Сотрудник

Менеджер

Финансы

кто что где когда как


Метка


Метка менеджера

Метка сканера кредитных карт


Метка менеджера Метка сканера кредитных карт


Управление доступом на основе групп безопасности

• ISE сопоставляет маркеры (SGT) с идентификационными данными пользователя

• Политика авторизации ISE передает SGT для доступа к NAD (коммутатор/WLC)

• Политика авторизации ISE передает ACL (SGACL) для выхода из NAD (ASA или Nexus)

Менеджер Зарегистрированное


SGT = 100

Менеджер SGT = 100

SGACL

SRC\DST Карта учета времени Кредитная карта

Менеджер (100) Доступ Нет доступа

Cisco ISE

Карта учета времени (SGT=4)

Сканер кредитных карт

(SGT=10)


Инновации Cisco

Протокол доступа для групп безопасности

• Для передачи через ядро, не поддерживающее SGT

Менеджер Зарегистрированное


Менеджер SGT = 100

SGACL

SRC\DST Карта учета времени Кредитная карта

Менеджер (100) Доступ Нет доступа

Cisco ISE

Карта учета времени (SGT=4)

Сканер кредитных карт

(SGT=10) 10.1.100.3

SXP

IP-адрес SGT

10.1.100.3 100


Catalyst 3K Catalyst 4K Catalyst 6K

Nexus 7K

Cat 3K (SXP) Cat 4K (SXP)

Cat 6K Sup720 (SXP) N7K (SXP/SGT)

N7K (SGACL)

WLC 7.2 Nexus 1Kv

Catalyst 2K-S Nexus 55xx

ASR1K (SXP/SGT) ISR G2 (SXP) WLC 7.2 (SXP)

Cat 2K-S (SXP)

N1Kv (SXP) ASA (SXP) N55xx (SGT) Cat 3K-X (SXP/SGT)

Cat6K (SGACL)

Cat3K-X (SGACL)

ASA (SGFW) - CY12 2H

ASR1K/ISRG2 (SGFW)

/N55xx

Cat 6K Sup2T (SXP/SGT)


Назначение SGT пользователям и

устройствам

Передача SGT по сети

(Inline/SXP)

Применение политики на основе

SGT (SGACL/SGFW)


a


Функции аутентификации

Коммутатор Cisco Catalyst

Сетевое устройство

IP-телефоны Авторизованные пользователи

Гости Планшеты

802.1X MAB Веб-аутентификация

Отличительные особенности идентификации

Режим монитора • Беспрепятственный доступ • Без влияния на производительность • Прозрачность Гибкая последовательность аутентификации • Предоставление единой конфигурации для

большинства примеров использования • Гибкие политики и механизмы отката

Полнофункциональный и надежный стандарт 802.1X

Поддержка IP-телефонии для сред виртуальных настольных систем • Режим одиночного узла • Режим нескольких узлов • Режим многократной аутентификации • Мультидоменная аутентификация Аутентификация важных данных и голосовых данных • Непрерывность бизнеса в случае сбоя



CDP LLDP DHCP MAC

Поддерживаемые платформы: IOS 15.0(1)SE1 для Cat 3K IOS 15.1(1)SG для Cat 4K WLC 7.2 MR1 – только DHCP ISE 1.1.1

Политика для принтера

[поместить в VLAN X]

Политика для личного iPad

[ограниченный доступ]

CDP LLDP DHCP MAC

Принтер Личный iPad ISE

CDP LLDP DHCP MAC

ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей


Сценарий развертывания с использованием сенсоров устройств Cisco СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE

КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства

АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства

Эффективная классификация устройств с

использованием инфраструктуры

Решение

ПОЛИТИКА


Тип проверки Предоставляемая информация

RADIUS (Calling-Station-ID) MAC-адрес (OUI) Пример: 0A:1B:2C = vendor X

DHCP (host-name) (dhcp-class-identifier)

Имя узла (по умолчанию может включать тип устройства) Пример: jsmith-iPad Класс или тип устройства Примеры: BlackBerry, беспроводной IP-телефон Cisco

DNS (обратный просмотр IP)

Доменное имя (по умолчанию имя узла может включать тип устройства) Пример: jsmith-ipad.company.com

HTTP (User-Agent)

Сведения об определенном типе мобильного устройства Примеры: iPad, iPhone, iPod, Android, Win7

Сканирование NMAP (SNMPPortsAndOS-scan )

Срабатывание оконечного устройства сканирование ОС Пример: OS= Apple iOS

Сообщение или запрос SNMP-trap (MAC Notification/CDP/LLDP collection)

MAC-адрес или данные об интерфейсе, данные сессии и системный запрос Примеры: 0A:1B:2C/ARP table

Netflow (перехват потоков) Перехват потоков для определения подходящего оконечного устройства пятикратный трафик Примеры: SRC/DST IP/Port/Protocol

Система учета RADIUS предоставляют информацию о связи MAC:IP для поддержки других проверок, основывающихся на IP-адресе (DNS, NetFlow, NMAP и HTTP)


Пользователь Специальный Местоположение Тип устройства Время Оценка состояния Метод доступа


BYOD

Управление доступом

Целостное решение

• Самостоятельное подключение пользователей

• Партнерство с поставщиками MDM

• Контекст: кто/ что/ как/ где

• Прозрачность: профилирование

• SGA: Независимость от топологии, язык бизнеса

• Реализация: Функции маршрутизатора, коммутатора и контроллера

• Оконечное устройство: Оценка состояния, VPN

• Хранение информации: AD, LDAP, DHCP, MDM


• Информация о ISE: http://www.cisco.com/go/ise

• Cisco TrustSec (SGA и сертифицированные решения): www.cisco.com/go/trustsec

• Указания по применению и руководства с практическими советами: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html

• Зона проектирования – базовый вариант проекта BYOD: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns743/ns1050/own_device.html#~overview

BYOD – контроль доступа мобильных устройств...Единая...

Documents

Transcript of BYOD – контроль доступа мобильных устройств...Единая...