1 / 47

Nouveautés Sécurité: Cloud Security, Sécurisation des nomades, nouveaux ASA

Nouveautés Sécurité: Cloud Security, Sécurisation des nomades, nouveaux ASA. Muriel Bôle – mbole@cisco.com Partner SE. X as a Service. Software as a Service. Infrastructure as a Service. Platform as a Service. Architecture de sécurité Cisco pour le réseau sans frontières.

devin-rodriquez
Download Presentation

Nouveautés Sécurité: Cloud Security, Sécurisation des nomades, nouveaux ASA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Nouveautés Sécurité:Cloud Security, Sécurisation des nomades, nouveaux ASA Muriel Bôle–mbole@cisco.comPartner SE

  2. X as a Service Software as a Service Infrastructure as a Service Platform as a Service Architecture de sécurité Cisco pour le réseau sans frontières Polique sécurité (Access Control, Acceptable Use, Malware, Data Security) Politique Sécurité Périmètre 3 BorderlessData Center Applications et Données Site Central 2 BorderlessInternet Site Distant Aéroport Télétravail Utilisateur mobile 1 Attaquants BorderlessEnd Zones Café Clients Partenaires

  3. Agenda Sécurisation Web en mode SaaS: Cisco Scansafe Sécurisation des nomades: “mobile user security” Nouveaux ASA 5585

  4. Sécurisation web en mode SaaS

  5. Malwares : un Constat Alarmant • 300% d’augmentation du Volume annuel en 2008 (eq. 5 dernièresannées) • Communauté des Hackers devenue une industrie du cybercrime organisée et puissante • Mutation en Temps Réels des menaces • +de 50% des PC ont + de 15 jours de retard sur les signatures AV • 73% des menaces sont bloqués par les AntiVirus– 27%: inconnues (0-day) non bloquées • 80% des menaces sont sur le Web • 50% du Web est non catégorisé • 74% des malwares sont sur des sites institutionnels • Puissance PC/Appliances insuffisante

  6. Cisco ScanSafe Récompenses • SCANSAFE • Editeur de Sécurité Web en mode SaaS • Pionnier avec 6 ans d’expérience • Position dominante = 34,5% IDC • Innovation et Récompenses • 100% de disponibilité depuis 6 ans • CLIENTS • Plusieurs Millions d’utilisateurs • Clients dans + de 100 pays • 4 Milliards de requêtes Web par jour • 200 millions de menaces bloquées mensuellement Security product of the year 2008 Clients Partenaires

  7. ScanSafe : Les Services

  8. DATACENTERSExtensibilité et Fiabilité • Extensibilité • Milliards de requêtes Web/jour • Traitementhautementparallèle • <50 ms de latence • 10Gb connectivité • Fournisseursréseauredondants • Fiabilité • 14 centres de données • Certifications de 1er rang • Millions d’utilisateursdéployés • 100% de disponibilité

  9. Filtrage Web : Filtrage proactif du contenu Acceptable Uncategorized Prohibited Malicious • Fonctionstraditionnelles de Filtrage • Blocage par catégories, types de fichier et types de contenu; listes blanches et noires • Fonctions avancées • Différentiation des flux HTTPS et FTP via HTTP • Niveaux d’administration granulaires • Fonction anonymat des rapports • Module DLP • Classification Dynamique • Classification en temps-réel des nouveaux sites • 99% de détectiondans les catégoriesAdultes, Jeux, Violence... etc. • SearchAhead • Notification proactive – logos a droite des résultats de recherche

  10. Malware: Protection Outbreak Intelligence • Web Virus / Spyware scanning using two if the top 5 signature based Avs • Proprietary heuristics engine (Outbreak Intelligence)

  11. Modes de déploiement Utilisation d’un proxy pour les utilisateurs • Sans granularitéutilisateur - politique commune: • “Proxy=Scansafe” pour le(les) navigateur(s) (fichier PAC) • Avec granularitéutilisateur: • “Proxy= connecteurscansafe onsite” en lien avec AD qui envoieinfos user au service Scansafe (dansl’entête http) • “Proxy=proxy d’entreprise” qui relaievers le connecteur (ISA, ICAP) • “Proxy = scansafe”; PIM.EXE sur le poste pour récupérer les donnéesutilisateur et les transférer (entête http) • Anywhere + pour les nomades

  12. SaaS: Protection des Nomades - Anywhere+ • Client Scansafe de protection des Nomades • Redirection du trafic web vers les centres de données • Sélection automatique du centre ScanSafe le plus proche lors de voyages • Encryption du trafic pour garantir la sécurité des données envoyées • Déploiement centralisé de masse et en mode silencieux • Protégé pour éviter le contournement “Les Nomades utilisent leur VPN seulement 17% de leur temps de surf sur Internet – Comment sont-ils contrôlés et protégés les 83% du temps restant?

  13. ScanCenter – Plateforme d’administration et de rapports • Visibilité incomparable surl’utilisationdes ressources • Plus de 5 000 rapports personnalisables • 75 attributscorrélables • 11 catégories de rapport (user, bw, appli, malware, temps passé, catégories, …) • Analysedétaillée en cascade • Basésur un entrepôt de données pour de hautes performances • Rapports globaux, de tendance et à précisionchirurgicale • Rapports programméspouvantêtreenvoyésà des utilisateursdéfinis • Rapports granulairespermettant de trouver les remèdes aux problèmes

  14. Cisco ScanSafe : Les Garanties Portail Web d’administration Règles de Sécurité Monitoring Temps Réel Rapports Multi Sites Corrélation des logs Infrastructure Base de Données Support 24x7x365 Pas de maintenance Mise à jour continue et automatisé Pas de correctif à installer • SLAs uniques • Performance (2) • Sécurité (2)

  15. Ordering • Canal de Distribution Cisco Ironport • Offre Scansafe dans la price-list ironport • Devis commercial inclut: • Forfait d’installation • Licenses utilisateurs (min 25 users) • Licenses disponibles • Malware • Web filtering • Malware + Web filtering • Secure Mobility (anywhere+) • Licences par utilisateur et par mois • Prix dégressif selon nombre de users et durée de souscription: 1, 2 ou 3 ans

  16. Bénéfices de la Sécurité Web ScanSafe en mode SaaS Réductiondes Coûts • Economies de temps et d’argent; 30-40% de réductionsannuelles en TCO • Redirigezvesressourcesvers les projetscentraux au coeur de l’entreprise • Simplicité de déploiement • Tranquilitéd’Esprit • Protection en couches contre les Malware du Web, garanties par SLA’s • Dépenses fixes, pas de coûts non budgétés • UtilisateursNomades protégés sans rapatriement du trafic • Flexibilité • Modèle par souscription, sans investissementnécessaire • Extensibilité – ajoutd’utilisateurssans achat de matérielsupplémentaire • Nouvellesfonctions/améliorations sans besoin d’installer une nouvelle version

  17. Sécurisation web des nomades

  18. Les utilisateurs mobiles aujourd’hui Email 83% des PC nomades surfent directement sur Internet sans passer par leur VPN d’entreprise Applications L’utilisateur n’est pas protégé lorsqu’il accède directement à internet sans monter son VPN News Enterprise SaaS Coffee Shop Social Networking At Home At Work Airport Broad Range of Devices Access Points

  19. Solution VPN ASATouteunegammed’options de connectivité SSLVPN Tunneling DTLS (voice/video) Tunneling Clientless VPN Access IPsecVPN Tunneling Mobile Access Cisco ASA

  20. Cisco Anyconnect VPN client • Multiples OS supportés • Mac OS X 10.5, 10.6.x ou + (32/64 bits) • Win XP, VISTA, Windows 7 (32/64 bits) • Linux : • RedHat linux 5 desktop • unbuntu 9.x • autres distributions linux sur demande • mode autonome (sans navigateur Web) • Start Before Login (SBL) pour Windows • API pour le pilotage a partir d’une application externe • Installation à partir d’un navigateur java, ActiveX ou via un MSI • Mise à jour auto sans nécessité des droits d’administrateur • Accès aux ressources internes IPv6 (dans un tunnel IPv4) • Support de DTLS (optimisation pour les flux sensibles à la latence) auto-détection à la connexion (le protocole utilise UDP)

  21. Evolution : Cisco AnyConnectSolution de connection VPN de nouvelle génération Choix multiples Choix d’équipements et OS Securité Sécurité complète de La solution Acceptable Use Data Loss Prevention Threat Prevention Access Control     Experience Connectivité permanente, Expérience utilisateur unique Acces authorisé Intranet Corporate File Sharing

  22. Anyconnect pour les utilisateurs mobiles INTERNET Email Applications Corporate Datacenter with ASA News • Anyconnect 2.5: • Mode always on • Détection de la meilleure passerelle VPN Enterprise SaaS Coffee Shop Social Networking At Home Airport At Work Broad Range of Devices Access Points AnyConnect Client

  23. Trusted Network Detection (TND)Détection du réseau de confiance • Connexions et déconnexions automatiques en fonction des conditions suivantes : • Réseau de l’entreprise • Réseau externe à l’entreprise • Détermination de la location en fonction du nom de domaine et de l’adresse IP du DNS • D’autres méthodes dans le futur • Authentification par certificat pour une authentification transparente • Windows XP, Vista, 7 & Mac OS X Réseau de confiance (entreprise) Réseau externe à l’entreprise

  24. Solution SSL-VPN CiscoSélection optimale du point d’accès Tokio Paris Los Angeles Time = 33ms Time = 35ms Time = 26ms Time = 25ms Time = 28ms Time = 23ms Time = 27ms Time = 24ms Time = 25ms Marseille Connexion automatique au meilleur point d’accès Requête HTTPS calcul du meilleur délai aller retour

  25. Solution SSL-VPN CiscoSélection optimale du point d’accès Tokio Paris Los Angeles Time = 26ms Time = 23ms Time = 25ms Marseille Connexion automatique au meilleur point d’accès Requête HTTPS calcul du meilleur délai aller retour

  26. Solution SSL-VPN CiscoSélection optimale du point d’accès Paramètres importants: • Suspension Time Threshold(défaut: 4 heures) • Performance ImprovementThreshold(défaut: 20%) Tokio Paris Los Angeles Time = 23ms Marseille Connexion automatique au meilleur point d’accès Requête HTTPS calcul du meilleur délai aller retour

  27. ASA + WSA + Anyconnect 2.5ASA / WSA offrentuneconnectivitésécurisépermanente INTERNET Email Applications Corporate Datacenter avec ASA et WSA News Enterprise SaaS Coffee Shop Social Networking At Home Airport At Work Broad Range of Devices Access Points AnyConnect Client

  28. AnyConnect iPhone Iphone3G, 3GS, 4 avec iOS 4.1 Tunnels SSL (DTLS et TLS) Roaming entre le 3G et le WiFi Méthodes Multiples d’authentifications Imports des profiles de connexions via l’ASA Enrollement des Certificats Interface Iphone Native Intégration forte avec l’IOS Apple iPhone Logs intégrés au client Support iPAD après mise à jour de l’iOS en v4.2

  29. Anyconnect 3.0 (Q4/2010) • Client VPN • SSL et IPSec iKEv2 • HostScan intégré • Contrôle OS, Process, AV, FW ….. • Sécurité mode SAAS • Intégration du client scansafe anywhere + Client 802.1x • Wifi / Filaire • TLS, PEAP, GTC, etc… • MACSec (chiffrement LAN) Diagnostic intégré (DART)

  30. Anyconnect 3.0Intégration des services SaaS et Entreprise News Email AnyConnect 3.0 (incluant le client anywhere+) ASA Cisco Web Security Appliance Social Networking Enterprise SaaS Corporate AD

  31. Cisco ASA 5585

  32. Positionnement de la gammeASA 5500: Du 5505 au 5585 Plateformes multi-services (FW, IPS et VPN) 5585 / SSP-6015-30 Gbps350k conn/s 5585 / SSP-4010-20 Gbps,200k conn/s 5585 / SSP-20 5-10 Gbps125k conn/s, 5585 / SSP-10 2-4 Gbps50k conn/s Performances ASA 5540 650 Mbps25k conn/s, ASA 5520 450 Mbps12k conn/s ASA 5580-40 10-20 Gbps150k conn/s ASA 5510 300 Mbps9k conn/s, ASA 5580-20 5-10 Gbps 90kconn/s, ASA 5505 150 Mbps 4k conn/s ASA 5550 1.2 Gbps,38k conn/s Plateformes Firewall et VPN InternetEdge Branch Office Teleworker Campus Data Center

  33. Gamme Cisco ASA 5585-X ASA 5585-S60P60 ASA 5585-S40P40 Performance, Scalability, Adaptivity Scalable Data Center Solutions ASA 5585-S20P20 ASA 5585-S10P10 Securing Internet-Edge and Campus Networks Data Center Branch Office Campus Enhancing the Customer Experience

  34. Chassis ASA 5585-X • Alimentations redondantes et Hot Swappable • 6 ventilateurs hot swappable • Chassis 2U 19” • 2 modules pleine largeur • 2 modules ½ largeur Multi Gigabit Fabric Slot-1 • ASA SSP FW/VPN dans le Slot 0 • En option IPS SSP dans le Slot 1 Slot-0

  35. Cisco ASA 5585 – Face avant 2 Ports Ethernet de management et 2 ports USB ports (utilisation future) chassis 2-slot pour modules firewall/VPN et IPS Format: 2RU Rack Mount Profondeur:25” Chassis Depth eUSB pourstockageSoftware / Config Deuxbaies pour disquesdurs(pour utilisation future) Alimentations Redondantes 2 ou 4 ports 10GE SFP+, 6 ou 8 ports GE ports Status LEDs

  36. Les modules FW/VPN SSP du 5585

  37. Modules IPS 5585-X

  38. Options d’interface (SFP/SFP+) Each module also provides console, aux and two 1Gbe (cu) management ports new * En cours de validation

  39. Positionnement et performancesASA 5585 – v8.2(4) ASA 5585 /SSP10 ASA 5585 /SSP20 ASA 5585 /SSP40 ASA 5585 /SSP60 Accès internet/Campus Campus/ Data Center Accès internet/Campus Positionnement Data Center 20 Gbps 10 Gbps 5 Gbps 2.5 Gbps 2 Gbps 10,000 30 Gbps 15 Gbps 10 Gbps 5 Gbps 2 Gbps 10,000 10 Gbps 5 Gbps 3 Gbps 1.5 Gbps 1 Gbps 5000 4 Gbps 2 Gbps 2 Gbps 1 Gbps 1 Gbps 5000 Performances Max Firewall (Jumbo) Max Firewall (Real-world HTTP) Max IPS (Media Rich) Max IPS (Transactional) Max IPSec VPN Max IPSec/SSL VPN Peers 800,000130,000 3,000,000 8 GE + 2 10 GE 16 GE + 4 10 GE 250 A/A and A/S 2,000,000200,000 5,000,0006 GE + 4 10GE12 GE + 8 10GE 250A/A and A/S 650,00080,000 2,000,000 8 GE + 2 10 GE 16 GE + 4 10 GE 250 A/A and A/S 2,000,000300,000 8,00,000 6 GE + 4 10GE12 GE + 8 10GE 250 A/A and A/S Capacités Nbs Max de Connections (FW) Nbs Max Conns/Second Packets/Second (64 byte) Base I/O Max I/O VLANs Supportés Haute dispo Supportée

  40. ASA 5585Ordering Commandable: Septembre 2010 Commandable: début 2011

  41. Topologie Data Center Internet Data Center Core Data Center POD Nexus 7000/ Catalyst 6500 Nexus 7000/ Catalyst 6500 Nexus 5010 Nexus 5010 Nexus 5020 Nexus 5020 Nexus 5010 Nexus 5010 Nexus 2148T Nexus 2148T ASA5585 ACE4710 WAAS 10Gig Server Rack Services Block 1Gig Server Rack

  42. Cisco ASA 5500 Series: Appliance multi-fonctions • VPN Ipsec ou SSL Remote access • Services SSL avec client ou avec portail . • Contrôle de posture des postes • VPN site à site avec routage , QoS et failover Firewall • Protection en temps réel contre les attaques des applications et OS • Détection et filtrage de l'activité réseau des vers et Virus • Détection et filtrage des Spyware, adware et malware • Corrélation et contre-mesures intégrées aux sondes IPS • Firewall statefulà analyse applicative • Services avancés d’inspection applicative et protocolaire • NAT/PAT applicatifs • Support avancé des protocoles voix et vidéo • Fonction TLS Proxy, Phone Proxy, Présence proxy … VPN IPSec et SSL • Mode routé ou transparent • Virtualisation • QoS • Services multicast • Routage, redondance, load-balancing Services réseaux avancés

  43. Webinars Sécurité • Jeudis de 11h à 12h • Toutes les 2 /3 semaines • Cible: AV, Consultants Sécuritépartenaires • 27 Septembre 2010ASA 5585 (recording) • 28 Octobre 2010 OffreSécuritéSaaS email et web (recording) • 18 Novembre 2010 Anyconnect 3.0 (recording) • 2 Décembre 2010 Update ironport(recording) • 16 Décembre 2011 ACS 5.2 • 20 Janvier 2011 Solutions IPS

  44. Evénements“My Cisco Event calendar” • Planning d’événements Cisco pour les partenaires • Européens / Français • Sur site / Webinars http://www.myciscoeventcalendar.com/

  45. Webinars Sécurité: Portail https://ciscosales.webex.com/ciscosales-fr/portal/393322 • Présentations des Webinars: • ASA 5585, Scansafe • Enregistrements • Documents divers, Boilerplate • Contact: cperrin@cisco.com

  46. En résumé Protection web en mode hosté avec la solution Scansafe à partir de 25 utilisateurs, pour petits/moyens sites ou Entreprises avec sites multiples et distribués Client unifié pour la sécurité d’accès réseau : Anyconnect 3.0 Nouveaux ASA 5585: FW/VPN/IPS hauts débits

More Related