Upload
alexey-lukatsky
View
8.589
Download
2
Embed Size (px)
DESCRIPTION
Citation preview
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
Использование персональных устройств в бизнесе (BYOD) Почему свой мобильник ближе к телу?
Алексей ЛукацкийБизнес-консультант по безопасности
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
BYODB Y O D
Явление использования персональных IT-устройств в рабочих целях
•
•
•
•
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Наличие удаленного доступа к корпоративной почте и сервисам увеличивает рабочее время сотрудника на полчаса
56% сотрудников в мире периодически работают вне офисаForrester
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Основным драйвером развития IT становятся пользовательские мобильные устройства
В 2012 году на мировой рынок будет поставлено 371 млн компьютеров, 106 млн планшетных ПК и 660 млн смартфонов.
IDC, март 2012
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
МобильникаМобильника
97%97%
ИнтернетИнтернет
84%84%
АвтомобиляАвтомобиля
64%64%
ПартнераПартнера
43%43%
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Работай Так Как Тебе Удобно !
BYOD “узаконивает”существующее явление приноса персональных ноутбуков , планшетов и телефонов на работу
Использование персональных мобильных устройств в бизнес-целях получило название BYOD
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Software AdviceMarch, 2012
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
Я хочу подключить iPad к сети
Увеличение эффективности, доступности и лояльности
Безопасность?
Уменьшение IT-затрат
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
1. Вредоносное ПО (Web: основной вектор)
2. Платный контент и трафик
3. Утечка данных, кража или потеря устройств
4. Нарушение правил контроля доступа и политик безопасности
5. Нарушение правил использования устройства на работе и вне офиса
Мобильные устройства пользователей: главный источник рисков
Source: 2011 ISACA IT Risk/Reward Barometer, US Edition (www.isaca.org/risk-reward-barometer)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Доступ из любого места и в любое время
Независимость от устройств
Личные данные / приложения
Гибкие конфигурации
Контролируемый сетевой доступ �
Предсказуемые конфигурации �Безопасность данных �
Блокировка пользователей �
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11\47
1. На какие категории сотрудников распространяется ?
2. Какая процедура подключения новых устройств (орг. и техн.)?
3. Какая политика доступа с мобильных устройств изнутри корпоративной сети ?
4. Какова политика доступа с мобильных устройств к корпоративным ресурсам извне корпоративной сети?
5. Какова политика доступа с мобильного устройства к ресурсам Интернет?
6. Какие сервисы предоставляются (почта, UC, VDI o)?
7. Какие требования к защите мобильного устройства ?
8. Процедуры в случае потери/кражи устройства или увольнения сотрудника
9. Какие затраты оплачиваются (мобильный интернет, звонки o)?
10. Оценка затрат на внедрение или запрещение ☺ BYOD
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12\47
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
ОГРАНИЧЕННЫЙ ПЕРЕДОВОЙРАСШИРЕННЫЙБАЗОВЫЙ
ПроизводстваГосучреждения (секретность!)Традиционные корпорации
ОбразованиеОбщественные организации
и общественные местаПростой гостевой доступ
ЗдравоохранениеКорпорации, стремящиеся
внедрить BYODПоддержка временных
сотрудников
Инновационные корпорации
Розничные продажи Мобильные сотрудники
(видео, среды совместной работы, .)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Mobile Device ManagementУправление рабочим местом
Защитный клиент,защита периметра
NAC, IAM, Compliance, Guest, Policy Management
Функции коммутаторов, беспроводных точек доступа и маршрутизаторов
Безопасная мобильность
Инфраструктура управления политиками
Сетевая инфраструктураПроводной и беспроводныйдоступ, унифицированное управление
Унифицированные политики для безопасного доступа
Безопасный мобильный и удаленный доступ
Управление мобильными и персональными устройствами
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Сценарий Ограниченный Базовый Расширенный Передовой
Блокировать доступДоступ по ролям изнутри сети
Гранулир. доступ внутри и снаружи
Полноценноемобильное рабочее место
• Знать “кто” и “что”включено в сеть
• Давать доступ только корпоративным устройствам
• Предоставлять персональным и гостевым устройствам доступ в Интернет и ограниченному числу внутренних ресурсов
• Гранулированныйдоступ изнутри сети
• Гранулированный удаленный доступ к ресурсам через Интернет
• Использование VDI
• Обеспечениеродных приложений для мобильных устройств
• Управление мобильными устройствами (MDM)
Коммутаторы, маршрутизаторы, точки беспроводного доступаСетевая
инфраструктура
Управление
Идентификация и политики
Удаленный доступ и
безопасность
Приложения
LAN Management
MDM
IAM, NAC, Guest, Policy
МСЭ/Web SecurityЗащитный клиентОблачная безопасность
Корпоративные приложения и VDI
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Политика допускает использование только корпоративных устройств
Контроль доступа
• Внедряем систему контроля доступа для запрета и/или выявления не-корпоративных устройств
• Нужно идентифицировать происхождение и тип подключаемого устройства
Policy Management
• Идентификация того КТО и ЧТО включается в сеть
• Классификация типов подключаемых устройств
• Ограничение не-корпоративных устройств
Функции инфраструктуры
• Режим мониторинга (Monitor Mode) упрощают выявление не-корпоративных устройств
• Функция коммутаторов Sensor и Classifier позволяет определить тип подключаемого устройства
Функции BYOD
DESKTOP/NOTEBOOKSTABLETSSMARTPHONES GAME/PRINTER THIN/VIRTUAL
CLIENTS
Wired Политики УправлениеWireless
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
USER
CONFIG
DEVICE
Пример для проводной сети
0. Фильтрация по MAC-адресам1. Внедрение машинной аутентификации с помощью 802.1x2. Классификация (профилирование) типов устройств на Policy Engine и коммутаторе
3. Оценка состояния устройства и проверка наличия корпоративного ПО (NAC)
Внедрение машинных сертификатов Классификация
USER
CONFIG
DEVICE
OUI DHCP HTTP
Персональное устройство
Коммутатор
DNS NETFLOW SNMP
CorporateResources
Internet
Policy Engine
Directory PKI CA
OUI DHCP
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Планшетники
2,454 iPads70% рост
15,403BlackBerry0% рост
1,164Android76% рост
11,762 iPhones20% рост
3,289 Другие устройства
-18% ростСмартфоны (КПК)
Консьюмеризация Распространение устройств
Непрерывное соединение
Мобильность
Можно ли ограничить в платформе?
Любое устройство, Везде, Всегда, Защищенно....
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Предоставление базового сервиса доступа в Интернет и ограниченному перечню внутренних ресурсов
Управление доступом на основе политик
• Идентификация и аутентификация персональных устройств сотрудников
• Управление доступом в зависимости от типа устройства/роли пользователя
Гостевые устройства
• Полный цикл управления гостевым доступом в сеть
• Предоставление Интернет-доступа и доступа квнутренним гостевым ресурсам
Упрощенное подключение новых устройств
• Регистрация и настройка персональных устройств без вмешательства IT-персонала
Функции BYOD
DESKTOP/NOTEBOOKSTABLETSSMARTPHONES GAME/PRINTER THIN/VIRTUAL
CLIENTS
Wired Политики УправлениеWireless
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Policy Engine для расширенного управления политиками
ИДЕНТИФИ-КАЦИЯ
КЛАССИФИКАЦИЯ
VLAN 10
VLAN 20
Wireless LAN Controller
DHCP
RADIUS
SNMP
NETFLOW
HTTP
DNS
Unified Access Management
Single SSID
HQ
2:38pm
Полный или частичный доступ
Персональный ресурс
Ресурс компании
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
Сервис для гостевого доступа
Гостевая политика
Беспроводный или проводной
доступ
Доступ только в Интернет
привилегиямиспонсоров, правами гостевых учетных
записей
Гостевых учетных записей через
Гостевой Портал
Уведомление гостей об учетных записях -Print, Email, or SMS
отчетность по существующим
записям
Гости
Веб-аутентификаци
я
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Доступ к сервисам и приложениям на работе и вне офиса
Применение политик
• Идентификация и аутентификация персональных устройств сотрудников
• Управление доступом в зависимости от типа устройства/роли пользователя
Безопасный мобильный доступ
• Технологии безопасного удаленного доступа к Интернет-ресурсам и корпоративным ресурсам
• Безопасность веб-доступа
Приложения для совместной работы и VDI• Предоставление приложений для совместной работы и доступа к корпоративным сервисам
Функции BYOD
DESKTOP/NOTEBOOKSTABLETSSMARTPHONES GAME/PRINTER THIN/VIRTUAL CLIENTS
Wired
Политики Управление
WirelessRouter
Защитныйклиент Облако Web Sec МСЭ
WebEx Jabber Quad EnterpriseApplications
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Новости Электроннаяпочта
Социальные сети КорпоративнаяSaaS-система
Фильтрация контента
Corporate AD
МСЭ/IPSЗащита
Интернет-доступа в сети предприятия
Облачная безопасность
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
Инсталляция корпоративных приложений, браузер или VDI
Родные приложения для BYOD• Данные на устройстве • Высокая производительность•“Родной” интерфейс
Браузер•Данные на устройстве•Портирование на разные платформы•Интерфейс браузера
Виртульные сервисы•Нет локальных данных•Самая высокая безопасность•Ощущения зависят от скорости канала связи
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
Mobile Device Management• Интегрированное управление политиками с управлением мобильными устройствами (Mobile Device Management) предоставляет гранулированный контроль устройств, многоуровневую безопасность и применение сетевых политик доступа при внедрении BYOD
Полноценное рабочее место. Политика обеспечивает гранулированный доступ и управление для персональных устройств.
Функции BYOD
DESKTOP/NOTEBOOKSTABLETSSMARTPHONES GAME/PRINTER THIN/VIRTUALCLIENTS
Wired
Политики Управление
WirelessRouter
Защитныйклиент Облако Web Sec МСЭ
Jabber Quad EnterpriseApplicationsWebEx
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
� Инвентаризация
� Инициализация устройства
� Безопасность данных на устройстве
� Безопасность приложен.
� Управление затратами
� Полная или частичная очистка удаленного устройства Политики Защитный клиент МСЭОблако Web Sec
� Аутентификация пользователей и устройств
� Оценка состояния
� Применение политики доступа
� Безопасный удаленный доступ
� Защита от угроз
� Политика использования Web
� Защита от утечек информации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
WLAN AP
Access Switch
МСЭ)
Policy Engine
CertificateAuthority
(CA)
Mobile Device
Manager (MDM)
WirelessRouter
IntegratedServicesRouter
AggregationServicesRouter
Campus
SwitchingCore
Branch Office
Home Office
ActiveDirectory
(AD)
AnyConnect
WLAN Controller
NetworkManagement
RSASecure ID
Internet
Mobile Network
Public Wi-Fi
WAN
BYODустройства
Проводный, Беспроводный,Мобильный доступы
Шлюзы безопасности Инфраструктура защиты иуправлениям политиками
Инфраструктура доступа
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
• Банк РоссииЯвных требований нет
Возможно выполнение всех требований СТО БР ИББС
• ФСТЭК и ФСБЯвных требований нет - все зависит от модели угроз
Недоверие со стороны регулятора
Отсутствие контролируемой зоны
Нехватка сертифицированных решений
• Безопасность мобильного устройства обеспечить можно!
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
1. Явление BYOD влияет на все сферы IT и предполагает наличия в организации концепции/стратегии мобильного рабочего места и соответствующих процессов
2. На сегодня BYOD есть фактически в каждой организации – отличается лишь степень проникновения персональных устройств
3. В зависимости от степени “зрелости” использования персональных устройств организация может выбирать разные сценарии решения BYOD
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
Спасибо за внимание!