1. Lippis Report 188:
Усовершенствованные инструменты управления
и контроля для платформы Cisco SecureX
обеспечивают защиту сети
на основе контекстного анализа
Николас Джон Липпис III
президент, Lippis Consulting
Март, 2012

2. Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX
обеспечивают защиту сети на основе контекстного анализа
SecureX — это платформа по обеспечению сетевой безопасности от Cisco, созданная в прошлом
году. Теперь в SecureX были произведены некоторые улучшения, которые помогают осущест-
влять более - В этом году компания еще усовершенствовала эту платформу, что позволило
осуществлять еще более быстрое и эффективное предотвращение сетевых атак благодаря
контекстно-зависимой информации о защищенности личных устройств, используемых на работе
сотрудниками (в соответствии с концепцией BYOD), а также приложений и сервисов на основе
облачных вычислений. Это достигается с помощью нового средства ASA-CX Context-Aware
Security, присвоения тегов группам безопасности в устройствах, на которых применяется
технология TrustSec, а также функциональности профилирования устройств в IOS
маршрутизаторов, коммутаторов и беспроводных точек доступа. Все эти технологии
поддерживают работу с устройствами обеспечения безопасности ASA и решением Identity
Services Engine (ISE) — платформой контроля доступа на основе политик с поддержкой
идентификации от Cisco.
Одно из главных отличительных качеств платформы Cisco SecureX — функциональные
возможности снижения вероятности угроз. В основном это достигается благдаря функцио-
нальности ASA CX, постоянно развивающейся технологии TrustSec и ISE, а также использованию
сервисов TrustSec в устройствах сетевой инфраструктуры. На сегодняшний день ни один другой
производитель в отрасли не способен обеспечить такой уровень полномасштабной защиты от
угроз.
Контекстный анализ сети с помощью ASA CX
Технологии ASA CX и TrustSec — аргументы в пользу достоинств платформы SecureX. ASA CX
осуществляет защиту на основе контекстного анализа. Почему же учет контекста так важен для
снижения вероятности угроз? Дело в том, что без знания контекста сотрудник службы безопас-
ности имеет недостаточно информации, чтобы судить, насколько опасна та или иная угроза.
Эта ситуация аналогична той, когда кто-то поздно вечером стучится в вашу дверь, вы открываете
ее, а свет у входа не горит. И вы не знаете кто это - ваш собственный ребенок, задержавшийся
допоздна и забывший ключи, или преступник, способный причинить зло. Захотелось бы вам
в такой ситуации впускать в дом кого-то неизвестного? Так и сотрудники службы безопасности,
не зная контекст, вынуждены отклонять доступ мобильным устройствам и приложениям лишь
по причине недостатка сведений об их надежности.
Современные средства защиты и управления сетью способны предоставить лишь информацию
о том, какое именно устройство пытается получить доступ: мобильное устройство, персональный
компьютер, IP-телефон и т. д. Но сведений о том, кто именно пользуется этим устройством,
получить не удается, и приходится ограничиваться данными об IP-адресе или идентификаторе
пользователя. Но информации о типе устройства для сотрудника службы безопасности может
быть недостаточно. По аналогии с ночным стуком в дверь, остается неизвестным, кто стоит на
пороге: член семьи или преступник.
Теперь познакомимся с технологией сетевой защиты на основе контекстного анализа. Cisco ASA
CX получает информацию от локальной сети, технологий SecureX, таких как AnyConnect (решение
Cisco для обеспечения безопасной мобильности) и ScanSafe (облачный сервис защиты от
интернет-угроз), а также информацию о глобальных угрозах, предоставляемую Аналитическим
центром Cisco по информационной безопасности (SIO). Вся эта информация позволяет
lippisreport.com 1

3. Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX
обеспечивают защиту сети на основе контекстного анализа
сотруднику службы безопасности получить комплексные сведения и принимать взвешенные
решения. Иными словами, ASA CX, объединяя все возможные данные, помогает подробно
изучить того, кто пытается получить доступ к корпоративной сети.
Сотрудник службы безопасности определяет тип устройства, способ подключения к сети (кабель-
ный, беспроводной, 3G, VPN), местоположение устройства (внутри или вне сети) и его пользо-
вателя. Например, сотрудник получает запрос от мобильного телефона с пометкой «Дмитрий».
С помощью ASA CX сотрудник получит полную информацию об устройстве, запрашивающем
доступ, и о нужных его пользователю приложениях. Таким образом, станут известны номер
мобильного телефона Дмитрия, описание устройства (например, iPhone 4 с операционной
системой iOS 5.01) и системы, к которым Дмитрий пытается получить доступ. В результате
служба безопасности принимает обоснованные решения, предоставляет защищенный доступ
к устройствам и приложениям и создает новые условия доступа. Теперь ИТ-директора могут
совершенно спокойно реализовывать концепцию использования сотрудниками их личных
устройств, повышая продуктивность бизнеса.
К тому же, после создания профиля устройства и аутентификации его пользователя Cisco
TrustSec может применять политику безопасности к данным, поступающим из этого устройства,
с помощью Cisco Identity Services Engine. То есть после того, как устройство впервые было
допущено в сеть, для него создаются правила, определяющие допустимые операции
и разрешенные местоположения, производя контроль доступа по всему периметру сети.
Такой детальный контроль позволяет службе безопасности спокойно предоставлять доступ новым
устройствам и приложениям, если они отвечают корпоративной политике.
Богатые возможности языка описания политик
С помощью Cisco Prime Security Manager, интерфейса управления ASA CX, сотрудники службы
безопасности могут создавать политики безопасности в полном соответствии с корпоративными
требованиями. Политики в ASA CX пишутся с помощью простого в использовании языка.
Например, можно задать следующие правила: «закрыть доступ к приложению» или «закрыть
доступ к микроприложению»; «разрешить писать в социальной сети», но «закрыть доступ к играм
в социальной сети» и т. д.
ASA CX составляет подробные отчеты, описывающие положение дел в сети и эффективность
применения политик.
ASA CX распознает тысячу приложений и около 75 000 микроприложений. Это означает, что
служба безопасности может определять политики очень подробно. Например, у социальной сети
Facebook сложился довольно неопределенный статус, и традиционно она не рассматривается как
приложение для бизнеса. Тем не менее существует множество законных способов использования
Facebook в бизнес-целях. Поэтому политика может содержать правила, разрешающие сотруд-
никам отдела маркетинга просматривать содержание, писать тексты и добавлять видеозаписи
в Facebook и при этом запрещающие доступ к играм. Таким образом отдел продаж сможет
просматривать содержание социальной сети и писать там тексты, в то время как отделу финансов
доступ к ней будет полностью закрыт.
Подобный уровень детального контроля отлично подойдет для простых приложений, но прило-
жениям, основанным на пиринговой технологии (P2P) и переключающимся между портами
lippisreport.com 2

4. Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX
обеспечивают защиту сети на основе контекстного анализа
и протоколами, как например Skype, требуется особое внимание. Поэтому вместо написания
множества разных правил по запрещению действий Skype, которые не принесут результата,
потому что программа будет постоянно использовать новые порты и протоколы, в ASA CX можно
написать всего одно правило, блокирующее доступ к Skype в целом.
Написание правил на простом английском языке, а не с помощью неясных команд для межсе-
тевого экрана, делает создание политик интуитивно понятным и позволяет им лучше взаимо-
действовать с корпоративными правилами. Этот функциональный язык описания политик дает
службе безопасности практически неограниченные возможности по управлению бизнес-
процессами с помощью правил, применяемых к отдельным пользователям, группам,
устройствам и т. д.
Наблюдение и контроль тесно взаимосвязаны друг с другом. Как гласит старый афоризм:
«Невозможно управлять тем, что нельзя измерить». ASA CX предоставляет возможности
комплексного наблюдения, объединяя информацию от SecureX и SIO. Именно на этом
наблюдении основан детальный контроль.
Технология TrustSec
Cisco TrustSec представляет собой архитектуру, в которой основополагающее значение имеют
процессы аутентификации, авторизации, применения политик и предоставления расширенных
сетевых услуг. Последняя версия TrustSec позволяет отслеживать пользователя устройства,
подключающегося к сети, тип этого устройства, время и способ подключения. К тому же
архитектура TrustSec теперь способна отделять информацию о физическом местоположении от
информации о типе соединения, что предоставляет больше возможностей безопасного доступа
к сети.
В качестве примера рассмотрим компанию, состоящую из 900 отделений и включающую тысячу
виртуальных локальных сетей. Мобильному руководителю, который перемещается в одно из этих
900 отделений, требуется постоянное соблюдение условий ИТ-среды его офиса, чтобы
продолжать работать.
Обычно для сохранения условий работы для руководителя требуется виртуальная локальная
сеть, которая бы учитывала тип его трафика в каждом из отделений. После этого межсетевые
экраны используют диапазоны подсетей IP всех 900 виртуальных локальных сетей для
авторизации трафика руководителя. Это потребует создания виртуальных локальных сетей для
каждой классификации групп пользователей в компании и прописывания соответствующих IP-
подсетей в межсетевых экранах. Но с помощью технологий TrustSec и SGT служба безопасности
может объединять пользователей в группы, не внося при этом в межсетевые экраны обновленную
информацию об IP-адресах и подсетях, так как правила для межсетевых экранов определяются
посредством абстрагирования SGT. Таким образом руководители могут свободно перемещаться
между отделениями компании, всегда сохраняя необходимые им условия доступа в сеть без
необходимости настраивать межсетевые экраны.
Присвоение тегов группам безопасности (SGT)
В Cisco разработали технологию SGT для обеспечения высокого уровня безопасной мобильности.
Во время согласования 802.1x паре «пользователь-устройство» назначается 16-битный тег
политики, который вносится в пакеты данных устройства и действует по всему периметру
lippisreport.com 3

5. Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX
обеспечивают защиту сети на основе контекстного анализа
корпоративной сети. SGT связаны с контекстно-зависимой политикой авторизации при доступе
в сеть этих пар «пользователь-устройство». Поэтому, когда пара «пользователь-устройство»
запрашивает доступ к определенным корпоративным или интернет-ресурсам, происходит
идентификация тега и связанных с ним прав доступа с определением даже таких динамических
элементов, как местоположение и способ подключения. В результате доступ к ресурсам
подтверждается или отклоняется, где бы пара «пользователь-устройство» ни находилась и какой
бы сетевой порт не использовала. Назначение SGT сходно с выдачей сотрудникам бейджей,
по которым определяется их допуск в здания и к различным ресурсам.
SGT прекрасно масштабируются с использованием 65 000 доступных категорий тегов, которые
динамически сочетаются в зависимости от контекстной информации. Кроме того, использование
групповых тегов гораздо эффективнее: одна категория тегов может обеспечить авторизацию
доступа для большого числа сотрудников в зависимости от их должности в организации. TrustSec
обеспечивает безопасность ИТ-инфраструктуры при мобильности, позволяя интегрировать эту
технологию в маршрутизаторы, коммутаторы и беспроводные точки доступа Cisco. TrustSec
позволяет пользователям получать доступ к сети независимо от способа подключения
и физического местоположения: к сети можно подключаться, находясь в кафе, на территории
компании, в удаленном офисе, дома и т. д. TrustSec совместно с Cisco ISE обеспечивают
отслеживание каждого пользователя и устройства в сети и позволяют контролировать их доступ
к ресурсам.
В качестве примера рассмотрим Марину. Она пользуется корпоративным портативным компью-
тером с проводным подключением, а также личным iPad с беспроводным подключением к сети.
Поскольку теги и связанные с ними политики определены и для портативного компьютера, и для
iPad, Марине без проблем предоставляется доступ к сети. Но, даже если Марина в обоих случаях
использует одинаковый пароль и идентификатор пользователя, Cisco TrustSec может
предоставлять для двух этих устройств совершенно разные уровни доступа, основанные на
политике. Например, при подключении через iPad Марина может пользоваться только
электронной почтой, тогда как при работе на портативном компьютере ей будут доступны
дополнительные внутренние ресурсы.
Помимо независимости от местоположения и типа подключения к сети, основанной на тегах, Cisco
ISR G2 и ASR, как и устройства беспроводного подключения от Cisco, также предусматривают
SGT, поддерживающие функции тегирования на основе политик и применения тегов на данных
платформах. Перейдя на новую стадию, SecureX теперь позволяет службе безопасности
централизованно определять политику и добиваться ее выполнения при проводном,
беспроводном и даже VPN-доступе независимо от местоположения пользователя.
Усовершенствования, которые компания Cisco внесла в платформу SecureX, включая ASA CX,
расширенное профилирование устройств TrustSec и интеграцию SGT в свои сетевые устройства,
повышают качество работы сотрудников с личными устройствами и облачными сервисами,
а также предоставляют возможности детального контроля и управления. Все это делает Cisco
единственной в отрасли компанией, предлагающей настолько богатые возможности защиты
с учетом контекстного анализа, которые обеспечивают наиболее безопасную реализацию
концепции BYOD и работу с облачными сервисами.
lippisreport.com 4

6. Усовершенствованные инструменты управления и контроля для платформы Cisco SecureX
обеспечивают защиту сети на основе контекстного анализа
О Нике Липписе
Николас Дж. Липпис III (Nicholas J. Lippis Ill) является всемирно известным
специалистом по усовершенствованным IP-сетям, коммуникациям и вопросам их
применения для достижения бизнес-целей. Он издает Lippis Report — информа-
ционный ресурс для специалистов, ответственных за принятие решений в сфере
сетевых технологий и ИТ, на который подписаны более 35 000 руководителей
ИТ-организаций. Подкасты Lippis Report загружались более 160 000 раз; по
сообщению сервиса i-Tunes, слушатели этих подкастов также загружали подкасты
журнала Wall Street Journal "Money Matters", подкасты журнала Business Week "Climbing the Ladder",
подкасты журналов The Economist и The Harvard Business Review "IdeaCast". Г-н Липпис работает
с фирмами-заказчиками, разрабатывая для них архитектуры частных и общих сетей для облачных
виртуализированных центров обработки данных, позволяющих получить максимум преимуществ для
бизнеса.
Его рекомендациям по вопросам сетевой архитектуры, проектирования, реализации, выбора
поставщиков и планирования бюджета следует множество компаний из списка Global 2000,
включая Barclays Bank, Eastman Kodak Company, Federal Deposit Insurance Corporation (FDIC),
Hughes Aerospace, Liberty Mutual, Schering-Plough, Camp Dresser McKee, административный отдел
штата Аляска, Microsoft, Kaiser Permanente, Sprint, Worldcom, Cigitel, Cisco Systems, Hewlett Packet,
IBM, Avaya и многие другие. Г-н Липпис работает исключительно с руководителями ИТ-подраз-
делений и с их непосредственными подчиненными. Г-н Липпис обладает уникальными знаниями
о рынке и общих тенденциях в области компьютерных сетей, полученными на основе опыта
работы как с разработчиками, так и с потребителями.
Г-н Липпис получил престижную награду выпускника Технологического колледжа Бостонского
университета за достижения в своей профессии. Журнал Network World включил его в число
40 самых авторитетных и влиятельных специалистов в сетевой отрасли. Специализированный
интернет-журнал TechTarget назвал его«гуру» в области проектирования сетей, а журнал Network
Computing Magazine — «звездным гуру» в сфере ИТ.
Г-н Липпис является основателем корпорации Strategic Networks Consulting — влиятельной
организации с превосходной репутацией, действующей в области предоставления консалтин-
говых услуг по компьютерным сетям, которая была приобретена компанией Softbank/Ziff-Davis
в 1996 г. Его часто приглашают выступить в качестве ведущего на различных мероприятиях
в отрасли, а его высказывания часто цитируются в коммерческих и отраслевых информационных
изданиях. Он является председателем консультативного совета при Технологическом колледже
Бостонского университета и других консультативных советов при многих начинающих фирмах. Он
прочел вступительную речь для выпускников Технологического колледжа Бостонского
университета в 2007 г. Г-н Липпис получил ученую степень бакалавра электротехнической
промышленности и магистра системного проектирования в Бостонском университете.
Его магистерская диссертация включает в себя материалы технических курсов и консультаций
по оптической связи и вычислительным системам, полученные в Массачусетском
технологическом институте.
lippisreport.com 5