byod – контроль доступа мобильных устройств...Единая...
TRANSCRIPT
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены.
BYOD – контроль доступа мобильных устройств
Виктор Платов системный инженер-консультант по направлению Mobility
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 2
Политика управления доступом: проблемы и архитектура
UA с использованием Cisco ISE – вводная демонстрация (BYOD)
Доступ для групп безопасности и TrustSec
Устройства доступа Cisco и идентификация
Принцип работы ISE – демонстрация администрирования ISE
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 3
BYOD («принеси свое собственное устройство») Повышение производительности, низкая стоимость, дополнительная защита
Единообразная общесетевая политика управления Управление разграничением доступа
Управление безопасным доступом – подключение устройств Прозрачность устройств (профилирование), оценка состояния, управление с учетом контекста, аутентификация, авторизация, учет (AAA)
Проблема: Определение типов устройств, подключенных к сети Цифровая метка устройства (идентифицирующая "предмет"), анализ состояния,
Проблема: Обеспечение согласованных топологически независимых политик при обмене данными E2E Cisco TrustSec и управление политиками
ТЕХНОЛОГИЯ КОММУНАЛЬНЫЕ УСЛУГИ
ЭНЕРГЕТИКА ЗДРАВООХРАНЕНИЕ ВЫСШЕЕ
ОБРАЗОВАНИЕ СРЕДНЕЕ ОБРАЗОВАНИЕ
Проблема: Поддержка BYOD без увеличения затрат на сопровождение ИТ Автоматическая регистрация устройств, загрузка приложений, оценка состояния устройств на портале без участия пользователя
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 4
Управление политиками
Identity Services Engine (ISE) Инфраструктура Prime Infrastructure
Контекст политик Собственность
компании
Личные устройства
Устройства, не принадлежащие пользователям
Идентификационные данные пользователя
Информация о политиках ,
Оценка состояния ПО NAC/AnyConnect Agent
Профилирование из инфраструктуры Cisco
Каталог пользователей
Соблюдение политик
Инфраструктура Cisco: коммутаторы, контроллеры беспроводной сети, межсетевые экраны, маршрутизаторы
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 5
Решение для управления политиками
Управление унифицированным доступом к сети
Решение BYOD «под ключ»
Первое общесистемное решение Глубокая сетевая интеграция
Общесистемное управление политиками с одного экрана
Удостоенный различных наград продукт Премия Cisco Pioneer Award 2012
Более 400 обученных и проверенных партнеров ATP
Более 1000 продаж за 1 год
Gartner 2013 NAC MQ
Спос
обно
сть
к ре
ализ
ации
Претенденты Лидеры
Нишевые игроки Провидцы
Полнота видения
По состоянию на июнь 2012
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 6
Сервисы аутентификации
Сервисы авторизации
Управление жизненным циклом
гостя
Сервисы профилирования и
BYOD
Сервисы оценки состояния
TrustSec SGA
Мне нужно разрешать подключение к сети только определенных пользователей и
устройств
Мне нужно, чтобы пользователи и устройства пользовались соответствующими сетевыми
сервисами
Мне нужно разрешить гостям доступ в сеть и управлять режимом их работы
Мне нужно разрешать и блокировать использование
iPad в моей сети (BYOD)
Мне нужно, чтобы в моей сети были неинфицированные устройства
Мне необходим масштабируемый способ реализации политики доступа в сети
Единая сеть
Единая политика
Единое управление
Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. 7
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 8
ISE Управление доступом к
устройствам
MDM Управление безопасностью
мобильных устройств
• Профилирование устройств
• Реализация BYOD
• Управление доступом к устройствам
• Совместимость устройств
• Управление мобильными приложениями
• Обеспечение безопасности хранящихся данных
Новый способ
В целях обеспечения безопасности MDM не "видит" незарегистрированные устройства, но
при этом сеть распознает их!
Практические решения на сегодняшний день
MDM: Диспетчер мобильных устройств
ISE и MDM Обеспечение совместимости мобильных
устройств
• Принудительная адаптация к MDM персональных устройств, используемых для работы
• Регистрируемый, но ограниченный доступ персональных устройств, не находящихся под управлением MDM
• Изоляция несовместимых устройств на основе политики MDM
В ближайшем будущем Будущие практические
решения (~ 2 квартал 2013)
Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. 9
• Регистрация устройств MDM посредством ISE
o Незарегистрированные клиенты перенаправляются на страницу регистрации MDM
• Ограниченный доступ o Клиентам, не соответствующим
требованиям, предоставляется ограниченный доступ с учетом состояния оценки MDM
• Агент MDM o Соответствие требованиям o Оценка установленных приложений
устройств c • Работа устройства из ISE
• Очистка данных на клиенте в случае кражи устройства
Интерфейс управления ISE
Интерфейс управления MDM
Проверка регистрации устройства
Информация о состоянии устройства Устройство,
пытающееся получить доступ к сети
Платформа MDM
Установка приложений на устройство (AnyConnect и Jabber)
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 10
• Пользователь подключается по защищенному идентификатору SSID
• PEAP: Имя пользователя/ Пароль
• Перенаправляется на портал регистрации
• Пользователь регистрирует устройство
Загружает сертификат Загружает настройки запрашиваемого устройства
• Пользователь повторно подключается при помощи EAP-TLS
Защищенный BYOD
Персональные ресурсы
Точка доступа
ISE
Контроллер беспроводной локальной сети
AD/LDAP
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 11
• Пользователь подключается к открытому идентификатору SSID
• Перенаправляется на портал WebAuth
• Пользователь вводит учетные данные сотрудника или гостя
• Гость подписывает правила пользования сетью (AUP) и получает гостевой доступ
• Сотрудник регистрирует устройство
Загружает сертификат Загружает настройки запрашиваемого устройства
• Сотрудник повторно подключается при помощи EAP-TLS
Защищенный BYOD Открытый BYOD
Персональные ресурсы
Точка доступа
ISE
Контроллер беспроводной локальной сети
AD/LDAP
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 12
Access-Accept
Известное устройство
Нет
MyDevices Регистрация устройства в ISE
Да
нет
ISE Portal Регистрация устройства в MDM
Да
Зарегистрировано в MDM
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 13
Архитектура UA для единой политики с использованием BYOD
Контроллер беспроводной
локальной сети (WLAN) Cisco
Устройства в проводной сети
Коммутаторы Cisco
Catalyst®
Проводная сеть Беспроводная сеть
Cisco® ISE
Удаленный доступ
Межсетевой экран Cisco ASA
Cisco Prime™ NCS
NCS Prime для создания отчетов
Стороннее приложение MDM
Диспетчер MDM
Интеграция MDM для проверки соответствия и прозрачности приложений
RADIUS
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 14
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 15
Пример формирования отчета ISE с MDM
Причина неисправности
Телефон не отвечает; Администратор устройств деактивирован; Пароль не установлен
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 16
Тип оконечного устройства
Число сессий
Число клиентов
Длительность сессии (часы)
Трафик (Мбайт)
% сессий
% клиентов
% от длительности сессии
% от трафика
Неизвестное устройство
Устройство HP
Устройство Cisco
Клиенты по типам оконечных устройств
Устройство HP = 2
Устройство Cisco = 2
Неизвестное устройство = 27
Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. 17
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 18
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 19
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 20
Любое устройство Зарегистрированное устройство
Корпора-тивное
устройство
Роль пользователя и устройства
Общий веб-сервер
Новостной портал
сотрудника
Портал администратора
Приложение "Карта
рабочего времени
сотрудника"
Сервер кредитных
карт
Незарегистрированное устройство
Сотрудник
Руководство
Сканеры кредитных карт
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 21
Любое устройство Зарегистрированное устройство
Корпора-тивное
устройство
Роль пользователя и устройства
Определение политики Общий веб-сервер
Новостной портал
сотрудника
Портал менеджера
Приложение "Карта рабочего
времени сотрудника"
Сервер кредитных
карт
Незарегистрированное устройство
Открытый SSID
Сотрудник
Корпоративный SSID Сертификат члена группы "Сотрудники" соответствует оконечному устройству
Руководство
Корпоративный SSID Член группы "Сотрудники и менеджеры" Сертификат соответствует оконечному устройству
Сканеры кредитных карт
Credit_Card SSID Член группы "Credit_Scanners" Профилируется как "iphone"
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 22
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 23
Зарегистрированный сотрудником
SSID: Корпоративный
беспроводной доступ
Группа AD: "Руководство"
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 24
Требуется сертификат
Профилируется как iPhone
Группа AD:
"Сканеры кредитных карт"
SSID:
cc-secure-wifi
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 25
Архитектура ACL Трудность технического
сопровождения сотен и тысяч правил
Архитектура VLAN Проблемы
масштабирования Высокая зависимость от
топологии
802.1X
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 26
Роль пользователя и устройства Маркер доступа
Незарегистрированное устройство (Unregist_Dev_SGT)
Сотрудник (Employee_SGT)
Руководство (Management_SGT)
Сканеры кредитных карт (CC_Scanner_SGT)
Политика SGA TAG
Credit_Card SSID Член группы "Credit_Scanners" Профилируется как "iphone"
Открытый SSID
Корпоративный SSID Член группы "Сотрудники" Сертификат соответствует оконечному устройству
Корпоративный SSID Член группы "Сотрудники и менеджеры" Сертификат соответствует оконечному устройству
Cisco ISE
Сотрудник
Менеджер
Финансы
кто что где когда как
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 27
Метка
сотрудника
Метка менеджера
Метка сканера кредитных карт
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 28
Метка менеджера Метка сканера кредитных карт
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 29
Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. 30
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 31
Управление доступом на основе групп безопасности
• ISE сопоставляет маркеры (SGT) с идентификационными данными пользователя
• Политика авторизации ISE передает SGT для доступа к NAD (коммутатор/WLC)
• Политика авторизации ISE передает ACL (SGACL) для выхода из NAD (ASA или Nexus)
Менеджер Зарегистрированное
устройство
SGT = 100
Менеджер SGT = 100
SGACL
SRC\DST Карта учета времени Кредитная карта
Менеджер (100) Доступ Нет доступа
Cisco ISE
Карта учета времени (SGT=4)
Сканер кредитных карт
(SGT=10)
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 32
Инновации Cisco
Протокол доступа для групп безопасности
• Для передачи через ядро, не поддерживающее SGT
Менеджер Зарегистрированное
устройство
Менеджер SGT = 100
SGACL
SRC\DST Карта учета времени Кредитная карта
Менеджер (100) Доступ Нет доступа
Cisco ISE
Карта учета времени (SGT=4)
Сканер кредитных карт
(SGT=10) 10.1.100.3
SXP
IP-адрес SGT
10.1.100.3 100
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 33
Catalyst 3K Catalyst 4K Catalyst 6K
Nexus 7K
Cat 3K (SXP) Cat 4K (SXP)
Cat 6K Sup720 (SXP) N7K (SXP/SGT)
N7K (SGACL)
WLC 7.2 Nexus 1Kv
Catalyst 2K-S Nexus 55xx
ASR1K (SXP/SGT) ISR G2 (SXP) WLC 7.2 (SXP)
Cat 2K-S (SXP)
N1Kv (SXP) ASA (SXP) N55xx (SGT) Cat 3K-X (SXP/SGT)
Cat6K (SGACL)
Cat3K-X (SGACL)
ASA (SGFW) - CY12 2H
ASR1K/ISRG2 (SGFW)
/N55xx
Cat 6K Sup2T (SXP/SGT)
Инновации Cisco
Назначение SGT пользователям и
устройствам
Передача SGT по сети
(Inline/SXP)
Применение политики на основе
SGT (SGACL/SGFW)
Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. 34
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 35
a
Инновации Cisco
Функции аутентификации
Коммутатор Cisco Catalyst
Сетевое устройство
IP-телефоны Авторизованные пользователи
Гости Планшеты
802.1X MAB Веб-аутентификация
Отличительные особенности идентификации
Режим монитора • Беспрепятственный доступ • Без влияния на производительность • Прозрачность Гибкая последовательность аутентификации • Предоставление единой конфигурации для
большинства примеров использования • Гибкие политики и механизмы отката
Полнофункциональный и надежный стандарт 802.1X
Поддержка IP-телефонии для сред виртуальных настольных систем • Режим одиночного узла • Режим нескольких узлов • Режим многократной аутентификации • Мультидоменная аутентификация Аутентификация важных данных и голосовых данных • Непрерывность бизнеса в случае сбоя
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 36
Инновации Cisco
CDP LLDP DHCP MAC
Поддерживаемые платформы: IOS 15.0(1)SE1 для Cat 3K IOS 15.1(1)SG для Cat 4K WLC 7.2 MR1 – только DHCP ISE 1.1.1
Политика для принтера
[поместить в VLAN X]
Политика для личного iPad
[ограниченный доступ]
CDP LLDP DHCP MAC
Принтер Личный iPad ISE
CDP LLDP DHCP MAC
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей
Точка доступа
Сценарий развертывания с использованием сенсоров устройств Cisco СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE
КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства
АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства
Эффективная классификация устройств с
использованием инфраструктуры
Решение
ПОЛИТИКА
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 37
Тип проверки Предоставляемая информация
RADIUS (Calling-Station-ID) MAC-адрес (OUI) Пример: 0A:1B:2C = vendor X
DHCP (host-name) (dhcp-class-identifier)
Имя узла (по умолчанию может включать тип устройства) Пример: jsmith-iPad Класс или тип устройства Примеры: BlackBerry, беспроводной IP-телефон Cisco
DNS (обратный просмотр IP)
Доменное имя (по умолчанию имя узла может включать тип устройства) Пример: jsmith-ipad.company.com
HTTP (User-Agent)
Сведения об определенном типе мобильного устройства Примеры: iPad, iPhone, iPod, Android, Win7
Сканирование NMAP (SNMPPortsAndOS-scan )
Срабатывание оконечного устройства сканирование ОС Пример: OS= Apple iOS
Сообщение или запрос SNMP-trap (MAC Notification/CDP/LLDP collection)
MAC-адрес или данные об интерфейсе, данные сессии и системный запрос Примеры: 0A:1B:2C/ARP table
Netflow (перехват потоков) Перехват потоков для определения подходящего оконечного устройства пятикратный трафик Примеры: SRC/DST IP/Port/Protocol
Система учета RADIUS предоставляют информацию о связи MAC:IP для поддержки других проверок, основывающихся на IP-адресе (DNS, NetFlow, NMAP и HTTP)
Конфиденциальная информация Cisco © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. 39
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 40
Пользователь Специальный Местоположение Тип устройства Время Оценка состояния Метод доступа
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 41
BYOD
Управление доступом
Целостное решение
• Самостоятельное подключение пользователей
• Партнерство с поставщиками MDM
• Контекст: кто/ что/ как/ где
• Прозрачность: профилирование
• SGA: Независимость от топологии, язык бизнеса
• Реализация: Функции маршрутизатора, коммутатора и контроллера
• Оконечное устройство: Оценка состояния, VPN
• Хранение информации: AD, LDAP, DHCP, MDM
© Компания Cisco и (или) ее дочерние компании, 2010 г. Все права защищены. Конфиденциальная информация Cisco 42
• Информация о ISE: http://www.cisco.com/go/ise
• Cisco TrustSec (SGA и сертифицированные решения): www.cisco.com/go/trustsec
• Указания по применению и руководства с практическими советами: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html
• Зона проектирования – базовый вариант проекта BYOD: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns743/ns1050/own_device.html#~overview