1 / 33

i-teco.ru

Решения по информационной безопасности от компании Cisco Systems и их практическое внедрение. Муха Андрей Руководитель группы по работе с финансовыми учреждениями Департамент сетей и телекоммуникаций ЗАО "Ай-Теко". www.i-teco.ru. Содержание:. Компания « АЙТЕКО »

clayland-matteo
Download Presentation

i-teco.ru

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Решения по информационной безопасности от компании Cisco Systems и их практическое внедрение Муха Андрей Руководитель группы по работе с финансовыми учреждениями Департамент сетей и телекоммуникацийЗАО "Ай-Теко" www.i-teco.ru

  2. Содержание: • Компания «АЙТЕКО» • Архитектура Cisco SecureX • Пример реализованного проекта защищенной катастрофоустойчивой сети • Технология защищенного доступа ISE • Проект развития сети с использованием ISE 2

  3. Профиль компании «Ай-Теко» • Ведущий системный интегратор и крупнейший поставщик информационных технологий • Богатый опыт в ИТ-консалтинге и внедрении процессов управления ИТ, изложенных в библиотеке ITIL • Лидирующий партнер НР и Microsoft в России • Разработчик собственного ПО и аналитических систем • Крупнейший в России коммерческий дата-центр TIER 3 Ключевые партнеры Принципы работы компании Локальнаяэкспертиза Мировой опыт Передовые технологии «Ай-Теко» в России и СНГ: • 8 собственных региональных подразделений в России — Санкт-Петербург, Уфа, Ростов-на-Дону, Ярославль, Пермь, Иркутск, Красноярск, Казань. • 3 представительства в странах СНГ — Украина,Казахстан, Узбекистан. • 128 партнеров во всех субъектах Российской Федерации. 3 3 3

  4. «Ай-Теко» на рынке ИТ • Топ-5ведущих консультационных ИТ-компаний России («Коммерсантъ-ДЕНЬГИ», РА «Эксперт», 2010) • Топ-5лучших российских поставщиков ИТ-услуг в банковском секторе (CNews, 2010) • Топ-10крупнейших отечественных системных интеграторов (РА «Эксперт», 2010) • Tоп-10ведущих ИТ-компаний России (IDC, 2010) • Tоп-10крупнейших российских компаний в области ИКТ (РА «Эксперт», 2010) • Tоп-10крупнейших поставщиков ИТ в госсекторе (CNews, 2010) • Tоп-200частных компаний России (Forbes, 2010) • Топ-400крупнейших компаний России (РА «Эксперт», 2010) • Дата-центр «ТрастИнфо»: • Один из крупнейших коммерческих ЦОД РФ (CNews, 2011) • Топ-5 крупнейших коммерческих ЦОД Московского региона (ИК «Современные телекоммуникации», 2011) • Президент «Ай-Теко» Шамиль Шакиров и председатель совета директоров Алексей Ремизов входят в число Tоп-10 лучших управляющихИТ-компаний России (CRN/RE) • Директор по стратегическому управлению компании Владимир Львов входит в Топ-5лучших директоров по корпоративному управлению в сфере ИТ («Коммерсантъ») 4

  5. ИТ-инфраструктура: сети и телекоммуникации • Построение распределенных телекоммуникационных сетей (WAN) • Metro Ethernet сети • Системы безопасности • Сетевая инфраструктура для ERPи CRM-систем • Системы видеоконференций • Системы беспроводной связи • Построение Call Centers и Contact Centers • Локальные сети передачи данных(LAN) • Корпоративная телефония • Мультисервисные опорные сети • Узлы доступа • Системы мониторинга и управлениясетей • Оптимизация трафика • Сети следующего поколения (NGN) • Бесперебойное питание Используемые информационные технологии 5

  6. ИТ-инфраструктура: решения в области виртуализации • Решения • Серверная виртуализация на платформах RISC и X86 • Виртуализация сетей и систем хранения данных • Виртуальные рабочие места • Системы катастрофоустойчивости Полный проектный цикл • Всесторонний аудит ИТ-инфрастуктуры • Проектирование и проведение пилотных проектов • Экономическое обоснование внедрения виртуальной среды • Внедрение среды виртуализации и ее интеграция • Миграция сервисов в виртуальную среду • Принятые методологии и инструменты • Best practices от производителей • Специализированный инструментарий: • VMware Guided Consolidation/ Capacity Planner • HP Virtual Server Environment/ Dynamic VSE • IMB Dynamic Infrastructure • Ресурсы • Выделенный отдел, отвечающий за решения виртуализации • Собственная лаборатория для тестирования • Штат сертифицированных специалистов • Тесное взаимодействие с департаментами для построения комплексных решений Используемые информационные технологии Некоторыезаказчики 6

  7. Информационная безопасность: услуги • Построение систем управления ИБ и подготовка к сертификации на соответствие ISO/IEC 270001:2005 • Внедрение процессов обеспечения непрерывности бизнеса • Обследование и аудит защищенности информационных ресурсов • Разработка политики и концепции ИБ • Подготовка к аттестации объектов информатизации по требованиям безопасности информации • Разработка и внедрение комплексных систем обеспечения ИБ • Разработка организационно-распорядительных документов • Построение систем защиты коммерческих данных • Мониторинг пользовательской активности в сети • Тестирование сетевого оборудования на неизвестные уязвимости Используемые информационные технологии 7

  8. Информационная безопасность: решения • Защита периметра • Криптографическая защита сетевых взаимодействий • Системы обнаружения и предотвращения вторжений • Антивирусная защита • Контроль web-трафика и электронной почты • Управление инцидентами • Многофакторная аутентификация • Шифрование данных • Identity Management • Пакет услуг информационной безопасности для операторов связи • Создание системы защиты персональных данных в ИСПДи • Обеспечение информационной безопасности виртуализированных серверных комплексов • Система мониторинга пользовательской активности в сети • Проактивное обеспечение стабильности, доступности и безопасности сетей, ПО, ключевых услуг • Аутсорсинг информационной безопасности • Обеспечение информационной безопасности в АСУ ТП, в т.ч. SCADA-систем • Аудит на соответствие требованиям Стандарта Банка России по информационной безопасности СТО БР ИББС-1.0-2008 8

  9. Отраслевые решения: проекты в банках и финансовом секторе • Сбербанк России • Построение и развитие программно-аппаратных комплексов в ЦА и тер. банках • Модернизация корпоративных ресурсов хранения данных • Внедрение географически распределенных систем высокой доступности • Внедрение систем управления ИТ-сервисами • Система контроля работоспособности сети банкоматов • Миграция подразделений территориальных банков в единую службу каталогов MicrosoftActiveDirectory и почтовую систему MicrosoftExchangeServer 2003 Банк ВТБ • Модернизация ИТ-инфраструктуры всех региональных офисов Райффайзенбанк • Разработка типового решения для резервного копирования в 48 офисах • Банк «Русский Стандарт» • Оптимизация сетевой инфраструктуры МДМ-Банк • Проектирование и построение дата-центра «под ключ» Российский банк развития • Разработка специализированного ПО ИНГ Банк (Евразия) • Внедрение подсистемы мониторинга бизнес-приложений • Внедрение электронного банковского архива Газинвестбанк • Оптимизация WAN-трафика и централизация работы системы Банк-Клиент ТрансКредитБанк • Автоматизация управления портфелем ИТ-проектов Заказчики 9

  10. Содержание: • Компания «АЙТЕКО» • Архитектура Cisco SecureX • Пример реализованного проекта защищенной катастрофоустойчивой сети • Технология защищенного доступа ISE • Проект развития сети с использованием ISE 10

  11. Предпосылки: • Сложности обеспечения ИБ: • Большое количество требующих контроля каналоввзаимодействия • с партнерами, контрагентами, поставщиками • Забывчивость в отношении аутсорсинговых и международныхпартнеров • Разработчики ПО, Обслуживающий персонали т.д. • Активное развитие вредоносных технологий • Целью является все • Концентрация на внутренней безопасности • «Забывчивость» в отношении внешних аспектов – операторы связи, партнеры, аутсорсеры и т.п. 11

  12. Предпосылки: • … и это еще не все… • Сложности обеспечения ИБ: • Конфликт ИБ и ИТ • Отсутствие контроля привилегированных пользователей • Отсутствие требований по ИБ к разработке собственного ПО • Кто отвечает за эксплуатацию средств защиты? • Концентрация на «классической» ИБ • Что насчет защиты нетрадиционных направлений (принтеры, СКУД, видеонаблюдение и т.п.)? • Как насчет контроля поведения (профилирования) клиентов? • Неготовность к неконтролируемым ситуациям • Фишинг, информационные войны… • (Недо/пере)оценка роли регуляторов • Деятельность регуляторов четко регулируются законами • Отсутствие контроля выпуска новых нормативных актов 12

  13. Архитектура Cisco SecureX: • Архитектура Cisco SecureX: 13

  14. Архитектура Cisco SecureX: • Компоненты Решений Cisco SecureX: • Secure Network • обеспечение и управление безопасностью на уровне сети • Secure Data Center • обеспечение и управление безопасностью для центра обработки данных и виртуализованной облачной инфраструктуры • Secure Access • обеспечение безопасного доступа к сети для проверенных пользователей и устройств • Secure Mobility • обеспечение безопасного прозрачного доступа к сети для мобильных устройств • Secure Email and Web • обеспечение безопасности на уровне приложений 14

  15. Архитектура Cisco SecureX: • Secure Network • Межсетевые экраны для ЛВС Cisco ASA 5500 Series Adaptive Security Appliance • Предотвращение вторжений Cisco Intrusion Prevention System • Встроенные средства безопасности Cisco Integrated Services Router Generation 2 • Система управления Cisco Security Manager • Secure Data Center • Межсетевые экраны для ЦОД Cisco ASA 5585-X Adaptive Security Appliance • Модули межсетевых экранов для ЦОД Cisco Catalyst 6500 ASA Services Module • Межсетевые экраны для виртуальных систем Cisco Virtual Security Gateway (VSG) • Secure Access • Аутентификация и авторизация пользователей Cisco Identity Services Engine • Аутентификация и авторизация пользователей Cisco Secure Access Control System • Secure Mobility • Удаленное подключение пользователей Cisco AnyConnect Secure Mobility Client • Предотвращение вторжений для беспроводных сетей Cisco Adaptive Wireless IPS • Secure Email and Web • Обнаружение угроз Cisco IronPort Email Security—Cloud, Hybrid, and On-Premises • Обнаружение угроз Cisco Web Security—Cloud and On Premises • Управление IronPortSecurity Management Appliance 15

  16. Содержание: • Компания «АЙТЕКО» • Архитектура Cisco SecureX • Пример реализованного проекта защищенной катастрофоустойчивой сети • Технология защищенного доступа ISE • Проект развития сети с использованием ISE 16

  17. Проект сети финансовой организации: Сеть крупной финансовой компании Сеть построена давно, имела следующие недостатки: • Недостаточная защищенность пользовательских подключений и сети в целом • Низкая пропускная способность каналов связи и перегруженность оборудования • Неоптимальное использования оптических каналов • Невозможность организации современных сервисов в ЦОД из-за низкой производительности инфраструктуры • Отсутствие отказоустойчивости • Отсутствие централизованного мониторинга транспортной сети • Отсутствие изолированности сегментов сети на разных площадках Модернизированная сеть должна отвечать следующим требованиям: • ЛВС и ЦОД, распределенные по нескольким площадкам • Несколько сегментов ЛВС с различным уровнем защищенности и различными правами • Высокая безопасность • Высокая пропускная способность между площадками • Высокая масштабируемость • Высокая надежность и отказоустойчивость 17

  18. Модернизированная сеть - схема: 18

  19. Модернизированная сеть описание: • Модернизированная сеть состоит из следующих компонентов: • Закрытый сегмент: распределенная ЛВС и территориально распределенный ЦОД. • Открытый сегмент: подключение к внешним каналам связи. • Опорная транспортная сеть. • Закрытый сегмент (Cisco Catalyst 6500 VSS, Catalyst 3750X, ASA 5585, ACE, ACS): • Взаимодействие пользователей и подсистем ЛВС и ЦОД. • Аутентификация/авторизация пользователей с помощью 802.1x. • Отказоустойчивый доступ пользователей к ресурсам распределенного ЦОД. • Открытый сегмент (Cisco 7600, Catalyst 3750X, криптошлюзы ГОСТ): • Агрегация внешних каналов связи. • Передача пользовательского зашифрованного трафика между закрытым сегментом и удаленными объектами – филиалами, банкоматами, терминалами, интернет-пользователями • Опорная транспортная сеть (Cisco ONS 15454 MSTP): • Единая среда передачи информации всех подсистем. • Разделение трафика с помощью спектрального уплотнения (DWDM), прозрачный транзит различных типов трафика (Ethernet и Fiber Channel). • Проактивный мониторинг параметров оптических трактов, защиту и переключение на резервные маршруты. 19

  20. Результаты модернизации: Основные: • Реализована инфраструктура, отвечающая современным требованиям по масштабируемости, функциональности, отказоустойчивости и катастрофоустойчивости • Построено отказоустойчивое ядро КСПД, создана иерархия взаимодействия площадок • Увеличена пропускная способность КСПД и модернизировано телекоммуникационное оборудование • Обеспечена высокая доступность серверов приложений, работа кластерных систем ЦОД • Обеспечена балансировки нагрузки на вычислительные комплексы ЦОД • Обеспеченна единая и прозрачная среда передачи информации всех подсистем с оптимальным использованием оптических линий связи • Осуществляется проактивный мониторинг параметров оптических трактов, защита и переключение на резервные маршруты Безопасность: • Обеспечена защита серверов ЦОД от различных видов сетевых атак, увеличена производительность подсистемы безопасности ЦОД • Обеспечено логическое разделение сегментов ЛВС и контроль трафика • Обеспечено шифрование трафика по ГОСТ при взаимодействии с удаленными объектами • Сетевые администраторы получили систему контроля доступа и управления оборудованием сети 20

  21. Содержание: • Компания «АЙТЕКО» • Решения Cisco SecureX • Пример реализованного проекта защищенной катастрофоустойчивой сети • Технология защищенного доступа ISE • Проект развития сети с использованием ISE 21

  22. ISE - Identity Services Engine: Политики с пониманием контекста 22

  23. ISE - Identity Services Engine: Политики с пониманием контекста 23

  24. ISE - Identity Services Engine: Identity Service Engine Аутентификация и контроль доступа ISE Access Control System Роли (Personas): Аутентификация, контроль доступа + слежение за состоянием Administration – управление ISE Monitoring – хранение log-файлов NAC Server NAC Manager Определение и инициализация устройств + проверка подлинности Policy Service– аутентификация, хранение и распределение политик NAC Profiler NAC Collector Отдельное устройство или часть NAC server’а Inline Posture– позволяет подключать к сети устройства без поддержки 802.1x Безопасный гостевой доступ NAC Guest Server 24

  25. Схема работы ISE: Протоколирование Просмотр log-файлов Протоколирование Monitoring Внешние данные Просмотр и создание политик Запрос атрибутов Запрос и передача контекстов Протоколирование PolicyService Сетевые устройства Устройства доступа Сетевые ресурсы Admin Запрос доступа Доступ к ресурсам 25

  26. Внедрение ISE небольшая сеть (< 2 000): Узлы Admin, Monitoring, Policy Service (A/S) Windows AD/LDAP (Внешнее хранилище идентификаторов и атрибутов) • Особенности: • Централизованное управление проводным доступом с 802.1X • Поддержка VPN в главном офисе с помощью Inline Posture узлов • Централизованное управление беспроводным доступом в главном офисе и в филиалах с 802.1X и беспроводным контроллером • Централизованное управление доступом для филиалов с 802.1X Узлы Inline Posture (HA) ASA VPN Главный офис Wi-Fi контроллер с 802.1x Узел Administration Коммутатор с 802.1x Узел Monitoring Точка доступа Wi-Fi Узел Policy Service Узле Inline Posture Филиал 1 Филиал 2 Коммутатор с 802.1x Внешнее хранилище идентификаторов и атрибутов Коммутатор с 802.1x Точкадоступа Wi-Fi Точкадоступа Wi-Fi 26

  27. Внедрение ISE огромная сеть (> 10 000): Policy Service кластер Monitor (P) Admin (P) Monitor (S) Admin (S) Distributed Policy Service Узлы Inline Posture (HA) ДЦ 2 Дата-центр 1 Windows AD/LDAP Windows AD/ LDAP Wi-Fi контроллер с 802.1x ASA VPN Коммутатор с 802.1x Точка доступа Wi-Fi Wi-Fi контроллер с 802.1x Коммутатор с 802.1x • Отказоустойчивые выделенные узлы Administration и Monitoring разделены между дата-центрами (P=Primary / S=Secondary) • Кластер узлов Policy Service для проводного и беспроводного доступа 802.1X в главном офисе • Распределенные узлы и кластеры Policy Service проводного и беспроводного доступа 802.1X в филиалах • Поддержка VPN в главном офисе с помощью Inline Posture узлов Policy Service Филиал 2 Policy Service Филиал 1 Коммутатор с 802.1x Точка доступа Wi-Fi Точка доступа Wi-Fi Коммутатор с 802.1x 27

  28. Схема работы ISE Аутентификация пользователя802.1x : Интернет Имя пользователя:user1 ISE Коммутатор доступа ACCESS10.1.10.x /24 ISE Open Mode: ACL-DEFAULT: permit DHCP 802.1X / EAP RADIUS ACL-PREPOSTURE • aaa authen dot1x default group RADIUS Сервис аутентификации: 802.1X NAS-IP: 10.1.10.5 RADIUS-Key: cisco123IETF:NAS-Port-Type == Ethernet IETF:Service-Type == Framed Calling-Station-ID = dead:beef:feed 1) Определение EAPoL-Start Access-Request • Проверка сертификата? 2)Запрос-Ответ (Challenge-Response) Protocol Negotiation (PEAP, EAP-FAST, EAP-TLS) Identity Challenge & Response Успешно! Группа: Internal Users Cisco/Cisco123 • Username & Password? 3) Аутентификация • Авторизация пройдена • Повторный запрос DHCP Политика авторизации: PREPOSTURE [27] = 86400 (24 hours) [29] = RADIUS-Request (1) [64,65,81] = VLAN, 802, “ACCESS” [26/9/1] = dACL=ACL-PREPOSTURE 4) Авторизация Access-Accept EAP Success 5) Аккаунтинг • Timestamp, MAC, NAS IP, Port IDUsername, Group, Session-ID, … Accounting-Start • Disconnect, Shutdown, • Restart, Sleep Accounting-Stop 28

  29. Схема работы ISE Гостевой доступ 802.1x: Интернет Имя пользователя:guest ISE Коммутатор доступа ACCESS10.1.10.x /24 ISE ACL-GUEST-REDIRECT Open Mode: ACL-DEFAULT: permit DHCP 802.1X / EAP/HTTP RADIUS • aaa authen dot1x default group RADIUS EAPoL-Start 1) Определение Отсутствует суппликант Сервис аутентификации: MAB NAS-IP: 10.1.10.5 User-Name : [1] 14 "000423b2c55b” User-Password : [2] 18 * Service-Type :[6] 6 Call Check [10] EAPOL TIMEOUT 2) Аутентификация MAB MAB Request Access-Request • Авторизация пройдена • Повторный запрос DHCP Access-Accept [GUEST ACCESS] 3) Авторизация Политика авторизации: GUEST [27] = 86400 (24 hours) [29] = RADIUS-Request (1) [64,65,81] = VLAN, 802, “GUEST” [26/9/1] = dACL=ACL-GUEST [26/9/1] = url-redirect-acl=ACL-WEBAUTH-REDIRECT EAP Success HTTP://www.google.com 4) HTTP BROWSER URL-Redirect 302 : HTTPS://FQDN:8443/guestportal/gateway?sessionId={SessionIdValue}&action=cwa 29

  30. Содержание: • Компания «АЙТЕКО» • Решения Cisco SecureX • Пример реализованного проекта защищенной катастрофоустойчивой сети • Технология защищенного доступа ISE • Проект развития сети с использованием ISE 30

  31. Развитие системы ИБ сети с использованием ISE: 31

  32. Результаты внедрения ISE: Общие: • Упрощено управление ресурсами и сервисами сети • Улучшена мобильность пользователей и устройств Безопасность: • Обеспечен безопасный доступ пользователей в сеть и к ее ресурсам в соответствии с политиками безопасности • Обеспечена проверка состояния проводных и мобильный устройств при подключении к сети • Обеспечена проверка состояния удаленных пользователей при подключении к сети • Обеспечена возможность приведения характеристик локальных и удаленных устройств к целевому состоянию 32

  33. Муха Андрей Руководитель группы по работе с финансовыми учреждениями Департамент сетей и телекоммуникаций ЗАО "Ай-Теко" тел.: +7(495)777-10-95, ext. 2360 факс: +7(495)777-10-96 http://www.i-teco.ru e-mail: muha@i-teco.ru www.i-teco.ru www.facebook.com/i-teco.ru www.twitter.com/i_teco

More Related