vers un nouveau modèle de sécurisationapplications web cisco ace xml gateway inspection soa et xml...

© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicPrésentation Sécurité 1

Vers un nouveau modèle de sécurisation

Le « Self-Defending Network »

Christophe Perrin, CISSPMarket Manager [email protected]

Juin 2008


Serveurs centraux

Sites Distants (WAN)

Réseau Sans-Fil (wifi)

DMZ

Réseau Campus

Internet Public

BusinessPartners

Réseaux partenaires

La vision historique de la sécurité

Connexion des nomades

• Majorité des solutions déployés à la périphérie

• Solutions hétérogènes : complexité du pilotage

• Et malgré les déploiements, encore des incidents de sécurité !

SiSi

Méthodes diverses

La situation :

Méthodes diverses

SiSi SiSi


Pourquoi ? Un environnement ouvert, des défis complexes

Erosion du périmètreSPAM / Malware / Recherche de profit Perte et fuite d’information

De nouvelles menaces

Mobilité Interne et externeAccueil des visiteurs, des partenairesOutils de collaboration : TéléPrésence/ Vidéo / IM / Web 2.0

Collaboration et Communication

L’information à protéger est distribuée et mobile, la sécurité doit s’adapter

Stratégie de gestion des risques ITConformité aux normes et réglementationsLa sécurité comme moteur de l’innovationContrôle des coûts

L’impact business


Le besoin de solutions de sécurité

Fuite d’informationConformité

Gestion des menaces

Une approche système est nécessaire pour rationnaliser la gestion des risques IT

Identité, sécurisationinterne


La stratégie « Self-Defending Networks »

Assurer la continuité de l'activité de l'entreprise impose d’appréhender la sécurité au travers d'une approche

globale, d'architecture, et pas simplement de produits.

Cisco a développé l’architecture "Self-Defending Networks", qui combine des solutions Best-Of-Breed et des fonctions de sécurité intégrées dans l'infrastructuredans une approche système, pour identifier, répondre et

s'adapter automatiquement aux menaces.


Solutions de Sécurité Cisco

Sécurité Réseau

Sécurité du Endpoint

Sécurité du Contenu

Sécurité des applications

Pilotage de la solutionConfiguration—Incidents—Réputation—Identité

Cisco Self-Defending Network:Intégrer une sécurité “Best-of-Breed”

dans une approche système

Intègre des fonctions de protection du poste, du réseau, du contenu, et des applications pour bloquer les menaces

Protège des dernières menaces, en utilisant des informations récoltées globalement àl’échelle d’internet.

Fournit une protection end-to-end, avec une approche de défense en profondeur


Du Best-of-Breed à l’approche système

Niveau d’intégration

Lead

ersh

ip P

rodu

it

ProduitsStand Alone

Approche en

Silos

Menacesémergentes

MenacesRépandues

Best of Breed

Self-Defending Network

Approche Système suivant le

Best of Breed

”By 2010, only one new security threat out of 10 will require the deployment of a tactical point solution, compared with eight out of 10 in 2005.” Gartner


La gamme de Solutions

Cisco Security Agent

Protection des serveurs et des PC, en particulier nomades

NACContrôle de l’identité et de la conformité avant l’accès au

réseau


IPSDétection et blocaque des

menaces

VPNSite à Site et accès distant

Cisco ASAFirewall avec analyse

applicative, VPN IPSec et SSL

Sécurité Réseau

IronPort Série SAnti-malware, filtrage d'URL, gestion

des politiques d'accès à Internet

IronPort Série CAnti-Spam, Anti-virus, contrôle du

contenu mail, chiffrement.

Cisco® ASASécurisation du contenu, anti-spam, anti-virus, filtrage d’url

Sécurité du Contenu

Cisco Web Application Firewall

Services de sécurité pour applications Web

Cisco ACE XML Gateway

Inspection SOA et XML

Sécurité des applications

Cisco Security MARS

Reporting centralisé, détection et réponse aux incidents

SenderBaseBase globale des menaces,

notes de réputation

CSMAdministration et gestion des

politiques de sécurité


Une approche système pour se protéger du malware: Visibilité et Contrôle

PréventionD’intrusionPréventionD’intrusion

Détection

Réponseciblée

Sécurité duContenu

Sécurité duContenu

SPAM Email

Filtrage Web



Host IPS

Solution anti-virus

Firewallet VPN

Firewallet VPN

Contrôled’accès du trafic

Chiffrement

Gestion et monitoring centralisé


Une solution intégrée pour bloquer le malware: IPS, CSA, MARS, and CSM

Protected

Data CenterSiteCentral

Site Distant

Site Distant

SiteDistant

Site Distant

Un malware tente de rentrer

L’IPS détecte l’événement avec la participation de CSA

MARS reçoit l’information et corrèle l’incident

Les IPS sont automatiquement mis à jour

Une protection consistante et complète

CS MARS Policy Distribution


Data Loss Prevention (DLP)Au delà des mesures traditionnelles

DLP: Mesures de sécuritépermettant de protéger les données sensibles de l’entreprise, qu’elles soient en coursd’utilisation, en cours de transport, ou stockéesPerte de donnée au travers des ports autorisés (web/mail)Perte/Vol de ressources

PC PortablesAutres équipements nomadesRessources dans le datacenter


InternetInternet

InternetInternet

Cisco Data Loss Prevention SolutionNAC, CSA, IronPort, et TrustSec

IronPort

NAC ApplianceASA

printer

IronPort Empêche la perte de données au périmètrePolitique de vérification des emailsLog des transactionsChiffrement des messages

NAC ApplianceVérifie que CSA est bien présent, et que la posture est saine

TrustSec

TrustSecVéritable politique d’accès basésur les rôles

Cisco Security AgentScan les fichiers pour trouver les données sensiblesEmpêche la copie vers les media externesEmpêhce l’envoi au travers de certaines applicationsEmpêche le bypass des solutions de sécurité périmétriques

Hi Joan, Could you send those files over?

Sure Bob, I’ll find a way to get those files to you!

Cisco SMEChiffrement dans le datacenter


Le besoin de lier identité et réseau

Explosion des méthodes d’accès et des profils sur les réseaux (invités, partenaires, employés…)

Besoin de construction de bulles de sécurité, isolées, avec fonctions de filtrage avancé (firewall, IPS) entre les bulles.

Objectif : Un service “mobile”Gestion simple des politiques, par groupe d’utilisateurs et de ressourcesAccès basé sur l’identité et la conformitéDéploiement simple de services et ressources, indépendemment de la géographie et de la méthode d’accès


Identity + NAC + TrustSecPre and Post Admission Network Services

futur

+ + TrustSecNACServices Invités

Portail Guest et SponsorBasé sur rôlesProvisioning et reporting

Intégrité et Confidentialité

Protection hop-by-hopPréserve les services L4–L7

Services de Profiling

profiling des devicesMonitoring comportementalReporting des devices présents

“Role-Based Access Control”

Indépendant de la topologieEvolutif, via tagging

Service de conformité

Conformité des équipements managés et non managésRemédiation

Contrôle d’admissiondes équip. réseau

Authentification des équipements réseau(commutateurs, routeurs..)Infrastructure de confiance

Identité

Infrastructure Identité

Authentification utilisateuret équipementContrôle d’accès réseauMobilité de l’équipement802.1X/CiscoSecure ACS

SSC

* Cisco Secure Services Client

*


Conclusion

Self-Defending Network: des produits best of breed, dans une approche système

Solutions de sécurité pour protéger, optimiser votremétier

Réduction du risque; réductionde la complexité ; réduction de TCO

L’intégration unique de la sécurité réseau et de la sécurité du contenu

cisco.fr/go/securite

vers un nouveau modèle de sécurisationapplications web cisco ace xml gateway inspection soa et xml...

Documents