meraki и firepower: лучше - cisco€¦ · вместе лучше! Владимир...

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Meraki и Firepower: вместе лучше!

Владимир Илибман, [email protected]

1. Сколько времени ууходит на настройку политики на брандмауэре ?

2. Сколько времени у Вас уходит на настройку VPN Full Mesh ?

3. Сколько времени требуетнастройка антивирусной защиты

4. В филиале плохо работает облачныйсервис. В чем причина ?

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Что показано на картинке ?

Законченное ИТ решение с облачным управлением

WiFi, коммутация, безопасность, SD-WAN, IP-телефония, управление мобильными устройствами и даже камеры безопасности

Интегрированные аппаратное и программное обеспечение и облачные сервисы

Лидер в облачном управлении ИТ

В числе самых быстрорастущих решений Cisco

Более 140 000 уникальных клиентов

Более 2 миллионов сетевых устройств Meraki онлайн

Meraki - упрощаем IT с управлением через облако

4PSOSEC-1055

Управление Out-of-band из облакаOut of band– Пользовательский трафик не проходит через облако– Сеть функционирует без связи с облаком

Надежное- Шифрованное соединение с датацентром- Каждый пользователь общается с двумя датацентрами

(active / passive) - Все датацентры географически распределены- 99.99% доступность по SLA

США (Dallas, San Diego)Япония (Tokyo) Европа (Dublin, London, Germany)Латинская Америка (Sao Paulo)

User traffic

Management data (1 kb/s)

Законченное облачное решение

Единая панель управления

Systems ManagerEMM

MCIP Telephony

MR Wireless

MSКоммутация

MX Безопасность и Глобальная сеть

MVКамеры наблюдения

Полный перечень продукции Meraki

6PSOSEC-1055

Контроль приложенийОграничение полосы трафикаФильтрация содержимого URL-

адресаКонтроль качества

обслуживания

БезопасностьБрандмауэр нового поколения VPNПредотвращение вторжений (IPS)Защита от вредоносных программ

Межсетевой экран с гео-IP

СетиРезервирование через

3G/4GМаршрутизация филиалаБалансировка WAN и отказоустойчивостьВысокая доступность

Интеллектуальный выбор пути

Meraki MX - комплексное решение для сети и управления угрозами

7PSOSEC-1055

Безопасность корпоративного уровня, которую легко внедрить• Надежный набор технологий Cisco Security• Интуитивно понятная конфигурация на основе GUI• Бесшовные обновления из облака

Лучшая в отрасли видимость• Идентификация пользователей, приложений,

устройств и угроз• Отслеживание одного сайта или всего

развертывания• Унифицированный мониторинг и отчетность с

другими технологиями Cisco Meraki

Исключительная масштабируемость• Zero-touch инициализация с помощью VPN с облачным

брокером• Простое централизованное управление с помощью

встроенных средств удаленной диагностики• Шаблоны конфигурации с несколькими местоположениями

Почему клиенты выбирают Cisco Meraki MX

8PSOSEC-1055

Средний филиал

Малый филиал

Линейка Meraki Security & SD-WAN

*Доступно с беспроводными моделями(MX64W, MX65W, MX67W, MX68W, MX68CW)

Большой филиал, кампус Виртуальный MX

Телеработа

Z3 Z3C~5 пользователей 802.11ac Wave 2 Wireless & PoEFW throughput: 100 MbpsCAT 3 LTE (Z3C)

MX64/65 MX67/68 MX67C/68CW~50 пользователей802.11ac Wireless* & PoEFW throughput: 250 Mbps

~50 пользователей802.11ac Wave 2* & PoEFW throughput: 450 Mbps

~50 пользователей802.11ac Wave 2* & PoEFW throughput: 450 MbpsCAT 6 LTE

MX84 MX100~200 пользователейFW throughput: 500 Mbps

~500 пользователейFW throughput: 750 Mbps

MX250 MX450~2,000 пользователейFW throughput: 4 Gbps

10,000 пользователейFW throughput: 6 Gbps

vMX100 для AWS & Azure

FW throughput: 750 MbpsVPN & SD-WAN features

Обновленный WiFi 802.11AC

(Wave 2)

ВстроенныйLTE Advanced

Увеличенная производительность

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Globa lSa les T ra in ing

MX Security Линейка для малых филиаловУвеличенная производительность и встроенный LTE Advanced

Firewall Throughput 250 Mbps 250 Mbps 450 Mbps 450 Mbps 450 Mbps 450 Mbps

VPN Throughput 100 Mbps 100 Mbps 200 Mbps 200 Mbps 200 Mbps 200 Mbps

Gigabit WAN Ports 2 (1 shared) 2 2 (1 shared) 2 2 (1 shared) 2

Gigabit LAN Ports 4 10 4 10 4 10

PoE+ Ports - 2 - 2 - 2

Wi-Fi (on W models) 802.11ac 802.11ac 802.11ac Wave 2 802.11ac Wave 2 - 802.11ac Wave 2

Embedded Cellular - - - - CAT 6 LTE CAT 6 LTE

MX64/64W MX67CMX67/67W MX68/68W MX68CWMX65/65W

Простаябезопасность корпоративного уровня с Meraki MX

Брандмауэр следующего поколения

Брандмауэр, поддерживающий приложения

Предотвращение вторжений (IPS) На основе Cisco Snort

URL Content Filtering

Более 80 категорий и более 4 миллиардов категоризированных URL. Фильтрация YouTube и Google SafeSearch

Geo-based security Разрешить или заблокировать трафик по странам

Malware Protection Cisco AMP и Threat Grid

Automatic updatesОбновления программного обеспечения и безопасности из облака

PCI compliancePCI 3.2 облачная сертифицированная система управления

Функции безопасности

13PSOSEC-1055

Экосистема MX Security

14FLPSEC-2701

Интеграция c Meraki

Безопасностьинтегрированная

в Meraki

Cisco ISE

AMP

API

1,5 миллиона образцов вредоносных программ в день

600 миллиардов почтовых сообщений в день

16 миллиардов веб-запросов / день

Honeypots

Сообщества с открытым исходным кодом

Внутренниеобнаружение уязвимостей

Телеметрии

Сканирование по всей сети Интернет

Более 250 исследователей угроз

Миллионы агентов телеметрии

4 глобальных ЦОД

Более 100 партнеров по разведке угроз

Более 1100 ловушек угрозы

При поддержке аналитики угроз Cisco Talos

15PSOSEC-1055

Advanced Malware Protection для Meraki MX

Расширенная защита от угроз Контекстная видимость Быстрое обнаружение Простота управления

Автоматическая защита от постоянно растущего списка

известных вредоносных файлов, а также поддержка

песочницы ThreatGrid

Центр обеспечения безопасности позволяет

легко обеспечить наличие последней информации об

атаках в сети

Автоматическое оповещение, когда уже загруженный файл был

определен как вредоносный после загрузки

Включите лучшую в своем классе защиту от

вредоносных программ всего за два клика

▪ 220 млн - известные вредоносные файлы

▪ 407 млн - известные чистые файлы

▪ 1.5 млн - новые образцы вредоносных программ в день

▪ 1.6 млн - устройств, использующих AMP глобально

▪ 3.1 млрд – поисковых запросов в день

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public

File Analysis

File Reputation�� ?

HostWebEmail

Network Attached Controls

NGIPSNGFW ISR

Meraki MX

ESA / CES WSA / Umbrella Endpoint

StealthwatchISE

Threat Intelligence

AMP CloudFile Reputation

Threat GridFile Analysis

Threat Intelligence

PSOSEC-1055

Архитектура Advanced Malware Protection

17

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public#CLUS

Взаимодействие Meraki и Cisco AMP

18FLPSEC-2701

AMP TG Connector

AMP Threat Grid

Файловая песочница

AMP Облако

AMP Connector

Поиск расположения

Internet

Усовершенствованная защита от вредоносных программ с помощью ретроспективы и интеграции ThreatGrid


AMP и ThreatGRID

19FLPSEC-2701

Security appliance ->Threat protection


• Агрегированное представление событий безопасности

• Быстрая детализация результатов анализа файлов

• Идентификация клиентов и сетей, которые потенциально заражены

AMP-cобытия центра безопасности Meraki

20PSOSEC-1055


IDS/IPS

21FLPSEC-2701

Security appliance ->Threat protection

• Три набора правил IPS для обнаружения или предотвращения• Видимость событий IDS/IPS в едином Meraki Dashboard через

центр обеспечения безопасности


Правила брандмауэра

Правила уровня 3

22FLPSEC-2701

Правила уровня 7

По доменному имени FQDN

С учетом контекста

Security appliance -> Firewall

?


Фильтрация содержимого URL

23FLPSEC-2701

Security appliance -> Content filtering

Управление• Частотой обновления

списка веб-сайтов• Режимами

отказоустойчивости• Размер выборки


Security Center

24FLPSEC-2701

Security appliance -> Security Center

• Детали срабатывания правил фильтрации

• Анализ событий и помощь в расследованиях

• Вид• Executive (Топ

категорий)• Детальный

Organization -> Security Centerили


Обнаружение аномалий

25FLPSEC-2701

Изменение профиля трафика с течением времени

Organization -> Summary report

Подробности интеграции

Экспорт из MX может быть использован Stealthwatch или Stealthwatch Cloud

Основные ограничения:

Нет Flexible NetFlow

Нет NAT flow stitching

PSOSEC-1055

Текущие интеграции-Stealthwatch

26

Подробности интеграции

• Аутентификация RADIUS с использованием ISE для проводных соединений на всех моделях MX64/MX65/Z3

• Аутентификация RADIUS с помощью ISE для беспроводных подключений на MX64W/MX65W

• ISE может интегрироваться с Meraki Systems Manager Enterprise (MDM)

Основные ограничения

• Нет поддержки TrustSec на MX

• Ограничения профилирования и оценки состояния через Meraki MX

PSOSEC-1055

Текущие интеграции-ISE

27

Что делает Cisco Meraki MDM (Systems ManagerУправляет устройствамиСмартфоны, планшеты, ноутбуки, десктопы

- Apple iPad, iPod Touch, iPhone, Apple TV

- Android 4.0+ (Android for Work 5.0+)

- MacOS ��

- Windows 10, 8.1, 8, 7,

- Windows Phone 10

- Windows Server 2016, 2012, 2008 R2

- Chrome OS

Простое, единое лицензирование для всех платформ и операционных систем

Управляет приложениями

Управляет безопасностью


Threat IntelligenceAnalytics and Insights Cloud and Web Security

Network InfrastructurePosture and Policy Malware

Intrusion Prevention

Endpoint Management

Security Architecture

Meraki MXFirewall

Remote Access

Cisco ISEand TrustSec

= Active development or beta= Limited integration or interoperability = Deeper integration

33PSOSEC-1055

Cisco AnyConnect Meraki Systems Manager Enterprise

Расширение возможностей с помощью API

34

Выполнение аудита брандмауэра является

болезненной задачей для ИТ.

Сотрудник Cisco Meraki Михаил Папацоглу создал

решение, помогающее автоматизировать аудиты PCI

брандмауэра и производить массовые изменения

проще, чем когда-либо.

Amazon Alexa может использовать Meraki

Dashboard API для контроля и ответа на вопросы.

Сотрудник Cisco Meraki в Шийуе Чэн создал скрипт

для Alexa, чтобы узнавать статус сети,

контролировать использование трафика, и

блокировать фанатский футбольные сайты J.

https://create.meraki.io/

И не толькобезопасность…Поговорим об ИТ-функциональности

Двойные uplink порты 2 порта uplink на всех моделях MX для балансировки нагрузки и резервирования

LTE failover Поддержка USB модема во всех моделях с автоматическим переключением при сбое

Site-to-site VPNОблачный оркестрованный VPN (Meraki Auto VPN) с возможностями балансировки нагрузки и самовосстановления

Интеллектуальное управление маршрутизацией

Маршрутизация на основе политик и динамический выбор пути c учетом производительности

Маршрутизация филиалов

Автоматическое распределение маршрутов через Auto VPNАнонс маршрутов через OSPFПоявилась поддержка BGP

Высокая доступность Активное / пассивное аппаратное резервирование

Формирование трафика

Ограничение пропускной способности приложения и приоритизация

Надежное и экономичное соединение с Meraki SD-WAN

36PSOSEC-1055

Просто Создавайте VPN-туннели между местоположениями с помощью простого интерфейса или примените шаблоны конфигурации для включения и настройки VPN во многих местах одновременно

Автоматически Конфигурация VPN, созданная и развертываемая автоматически из облака, настраивает топологию сети и концентратора

Отказоустойчиво Автоматически корректируется к изменениям для обеспечения безопасного подключения во время сбоев Интернер-канала, оборудования или обновления IP-адреса

Автоматизированный VPN "сеть-сеть" (Auto VPN)

37PSOSEC-1055

Auto VPN

SD-WANBranch

Datacenter 2

Datacenter 1

Расширение Auto VPN и Meraki SD-WAN в AWS/Azure

38PSOSEC-1055

•500 Мбит/с пропускная способность VPN

•Доступно в Azure/Amazon Marketplace•Полные возможности SD-WAN•Одинаковая лицензия

Dual active VPNБалансировка нагрузки VPN-трафика по гибридной WAN

Маршрутизация на основе политикВыберите предпочтительный путь для трафика на основе протокола, порта, источника и назначения IP, или даже приложения

Динамический выбор путиВыберите лучший VPN туннель для трафика автоматически с учетомпроизводительности

Интегрированное решение, которое объеденяет передовые SD-WAN с ведущими в отрасли технологиями безопасности

Интеллектуальное управление маршрутизацией с учетом приложений

39PSOSEC-1055


Meraki Insight -мониторинг приложенийУправление производительностью сети и облачных сервисов

Сократите время устранения неполадок от 5 часов до 5 минут и 5 щелчков мыши

o Решение проблемы:

o “ПОМОГИТЕ, МОЙ GMAIL МЕДЛЕННО

РАБОТАЕТ!”

o Устранение неполадок

производительности веб-приложений

без развертывания дополнительного

оборудования

o


Брандмауэр следующего поколения

Site-to-site и клиентский VPN

Интеллектуальное управление маршрутизацией

Объединение каналов и отказоустойчивость

Формирование полосы пропускания и QoS

Маршрутизация филиалов

Веб-кэширование

Active/Passive high availability

Enterprise License

Advanced Security License

* требуется дополнительная подписка Threat Grid

Все корпоративные функции, плюс

URL-фильтрация (с безопасным поиском Google)

Advanced Malware Protection

Snort IDS/IPS

Threat Grid integration*

Geo-based firewall rules

Сценарии для лицензирования

41PSOSEC-1055


Cisco Meraki MX Cisco Firepower & ASA

Задача по уменьшению CAPEX

Фокус на упрощение управляемости

Требуется комбинация WAN с дешевым Интернет-каналами (SD-WAN)

Существующие клиенты Firepower, TrustSec, AMP for Endpoints customer

Требуется расследование сложных угроз

Внедрение на внутреннем периметре корпораций

Датацентр

Развертывание в филиалах или в распределенном предприятии

Периметр Интернет

Сценарии использования

42PSOSEC-1055

Internet connection

VPN tunnel

Магазины

HQ

Магазины

Минимагазины

Схема решения Cisco+ Meraki для компании ”X”

Интернет

MX67

MX67

Cisco ISRZ3

MX450 WAN

FirePOWER 2120

Internet DMZ

FirePOWER 4110

Data Center

Финальный слайд

Next Generation Firewall на примере FirePOWERПодход Меraki MX

+

meraki и firepower: лучше - cisco€¦ · вместе лучше! Владимир...

Documents