Cisco ASA CX обеспечивает безопасность с учетом контекста

© Корпорация Cisco и/или ее дочерние компании, 2012. Все права защищены. В данном документе содержится общедоступная информация корпорации Cisco. Стр. 1 из 13

Официальный документ

Cisco ASA CX обеспечивает безопасность с учетом контекста

Революционная архитектура, эволюционный подход к развертыванию Cisco Security Technology Group

Февраль 2012 г.


Содержание Большие изменения в области безопасности .................................................................................................. 3 Обеспечение сетевой безопасности корпораций на основе контекстного анализа .................................. 3 Полноценное использование контекста благодаря революционной архитектуре ................................... 4

Новая концепция межсетевого экрана .............................................................................................................. 5 Детальное управление приложениями .............................................................................................................. 7 Комплексная идентификация пользователей ................................................................................................... 7 Беспрецедентный уровень контроля с учетом устройства и местонахождения ............................................ 8 Защита от вредоносного ПО неизвестного типа ............................................................................................... 9

Интуитивно понятное управление .................................................................................................................... 10 Удобное представление бизнес-политик ........................................................................................................ 10 Комплексная отчетность ................................................................................................................................... 10 Согласованное использование встроенного и автономного вариантов ....................................................... 10 Удобный интерфейс пользователя .................................................................................................................. 11 Проектирование на основе моделирования ................................................................................................... 11 REST API ............................................................................................................................................................ 12

Эволюционная модель развертывания .......................................................................................................... 12 Завершающий этап создания среды Cisco SecureX ...................................................................................... 13 Ссылки ................................................................................................................................................................... 13


Краткое изложение Популяризация мобильных приложений для работы с веб-контентом и проникновение потребительских ИТ-устройств в корпоративный сектор радикально меняют ситуацию в области корпоративной безопасности. Система безопасности современной корпорации должна не только определять приложения и пользователей, которые пытаются получить доступ к инфраструктуре, но и учитывать при предоставлении доступа используемое устройство, местоположение пользователя и время суток. Такая защита с учетом контекста требует переосмысления архитектуры межсетевых экранов. При этом межсетевой экран, использующий контекст, должен взаимодействовать с существующей инфраструктурой безопасности корпорации. Cisco® ASA CX не только предлагает корпорациям революционный уровень защиты, но и обеспечивает сохранность текущих инвестиций в систему безопасности.

Большие изменения в области безопасности В современном Интернете наблюдается ярко выраженный рост популярности мобильных приложений. Сегодня сотрудники все чаще работают с веб-сервисами, используя потребительские приложения на мобильных устройствах — как в личных, так и в профессиональных целях. Таким сотрудникам требуется возможность доступа к наиболее часто используемым приложениям в корпоративной сети. Более того, потребительские ИТ-устройства заняли прочное место в корпоративном секторе: сотрудники ожидают, что смогут пользоваться на работе своими личными телефонами, планшетными компьютерами и ноутбуками — без каких-либо неудобств или угроз взлома. Наконец, сотрудникам нужен непрерывный и надежный доступ к корпоративным приложениям, которые являются основой их повседневной деятельности.

В связи с такими требованиями архитекторы и операторы систем безопасности постоянно сталкиваются с необходимостью обеспечить сетевой доступ ко всему спектру приложений, веб-сайтов и устройств. При этом они должны защищать корпорацию от атак злоумышленников и поддерживать доступ к традиционным корпоративным приложениям. Сотрудникам службы безопасности сегодня совсем не просто обеспечить мониторинг приложений, пользователей и устройств, работающих в сети. Без достоверных сведений полноценная защита сети просто невозможна. Даже если сотрудники службы безопасности располагают информацией о находящихся в сети приложениях, у них не хватает средств обеспечить детальный контроль таких приложений и возможности избирательно предоставлять доступ к ним конкретным пользователям и устройствам.

Все трудности, с которыми сталкивается служба безопасности, отлично известны хакерам. Они уже нашли пути обхода стандартных политик безопасности, применяя приложения, способные переключаться между портами, мини-приложения, загружающие вредоносное ПО даже в том случае, если пользователь посещает только надежные веб-сайты, а также новейшие виды атак, которые используют несколько уязвимостей одновременно для кражи конфиденциальных корпоративных данных.

Обеспечение сетевой безопасности корпораций на основе контекстного анализа Реагируя на изменения в области безопасности, корпорации должны применять средства защиты на основе полного анализа контекста ситуации. Данные контекста включают в себя идентификатор пользователя (кто), приложение или веб-сайт, к которым пользователь пытается получить доступ (что), местоположение пользователя при этом (где), время попытки доступа (когда), а также свойства устройства, используемого для доступа (как).


В течение длительного времени межсетевой экран применялся для защиты периметра корпоративных сетей. Для противодействия современным угрозам межсетевой экран должен иметь функцию фильтрации контекста. Другими словами, он должен уметь извлекать идентификаторы пользователя и приложения, данные о месте попытки доступа и типе устройства доступа, а затем разрешать или отклонять доступ с учетом значений этих атрибутов в соответствии с настроенной политикой. Кроме того, межсетевой экран должен обнаруживать возникающие угрозы и обеспечивать защиту от них.

Межсетевой экран — оптимальное место определения контекста для трафика в сети. Здесь отслеживается весь трафик, пересекающий границу доверия между корпоративной сетью и глобальной сетью. Анализ в межсетевом экране соответствия этого трафика корпоративным политикам был бы логичным решением, если бы межсетевой экран обладал возможностями проверки полного контекста трафика. К сожалению, большая часть представленных сегодня на рынке межсетевых экранов не отличается достаточной гибкостью для добавления функций анализа контекста. Эти межсетевые экраны неспособны извлекать полный контекст из потока данных. Кроме того, им недостает возможностей избирательного применения политик — нельзя разрешить доступ к Facebook, но при этом запретить доступ к играм в Facebook, или предоставить сотрудникам финансовых служб доступ к закрытой корпоративной базе данных, сделав ее недоступной для других сотрудников.

Если даже в межсетевых экранах предусмотрены определенные возможности использования контекста, отражение нужной корпоративной политики в правилах работы экрана становится непреодолимой проблемой. Правила работы межсетевых экранов, написанные техническим языком с указанием IP-адресов, протоколов и номеров портов, представляют определенную сложность в выполнении. Добавление вручную новых правил для новых приложений, пользователей и мобильных устройств требует существенных затрат времени и сил. Даже в случае их успешного добавления получается расширенный набор правил, использование которого подвержено ошибкам и снижает надежность доступа к традиционным корпоративным приложениям.

Очевидно, что операторы службы безопасности должны иметь возможность использования понятного для бизнеса языка при создании политики для межсетевого экрана и контекстной фильтрации. Вместо создания правил с указанием IP-адресов, протоколов и номеров портов операторам системы безопасности нужна возможность просто «блокировать Skype» или «разрешить Yahoo! Messenger, но закрыть передачу файлов». Политика, выраженная таким понятным для бизнеса языком, проще в реализации и обслуживании, она позволяет существенно упростить систему управления безопасностью и снизить ее уязвимость.

Межсетевой экран с анализом контекста превосходит по возможностям межсетевые экраны следующего поколения, представленные сегодня на рынке. По большей части современные межсетевые экраны следующего поколения технически способны распознавать только часть контекста потока данных, они неэффективны при противодействии новым угрозам. У многих из этих продуктов отсутствует удобное пользователям решение для управления политиками безопасности. Хотя такие межсетевые экраны в некоторых средах способны расширить функциональность традиционных экранов, они не обеспечивают комплексную защиту, необходимую корпорациям.

Полноценное использование контекста благодаря революционной архитектуре Хотя использование контекста в межсетевых экранах обязательно для защиты компаний от угроз сегодняшнего дня, полный набор требуемых возможностей появился на рынке только сейчас. Cisco сумела разработать межсетевой экран, где контекст используется в полной мере. Это стало возможным благодаря неукоснительному соблюдению набора ключевых принципов.


Во-первых, межсетевой экран должен с самого начала разрабатываться с учетом необходимости анализа, распространения и использования полного контекста потока. Во-вторых, реализация межсетевого экрана должна быть комплексной — он должен обеспечивать выполнение всех требуемых для компании функциональных возможностей, а не только функции защиты от последних угроз. В-третьих, архитектура должна быть достаточно гибкой для добавления средств противодействия будущим угрозам, обеспечивая минимальное время отключения системы для технического обслуживания. В-четвертых, необходима возможность фильтрации как локального, так и глобального контекста, то есть использования информации, создаваемой в корпоративной сети и за ее пределами. В-пятых, межсетевой экран должен анализировать контекст, сохраняя при этом высокую производительность.

Межсетевой экран Cisco ASA CX создан на основе новой архитектуры, которая осуществляет контекстный анализ и принимает решения на основе контекста, не нарушая ни один из изложенных выше принципов.

Новая концепция межсетевого экрана В ASA CX реализована новая концепция межсетевого экрана, основанная на сочетании четырех архитектурных решений (рисунок 1). Первое— кольца пакетов виртуальных сетей, которые обеспечивают высокую скорость передачи пакетов через интерфейс оборудования в оперативную память и обратно. Второе — матрица nScan Array, которая выполняет параллельный анализ множества потоков для получения полного контекста каждого потока и принятия решения на основе политики, связанной с полученной контекстной информацией. Третье — механизм применения политик с учетом контекста, используемый в матрице nScan Array для принятия решений в отношении политик. Четвертое — набор подключаемых хранилищ контекста, состоящий из динамически обновляемых баз данных, к которым обращается nScan Array при принятии решения о применении политик. Сочетание этих архитектурных решений позволяет реализовать в ASA CX изложенные выше принципы.

Рисунок 1. Архитектура ASA CX

Кольца пакетов виртуальных сетей ASA CX реализованы с использованием общей памяти. Каждый поток отображается на кольцо пакетов виртуальной сети, поэтому при анализе потока в nScan Array последующие копии данных не требуются. Кольца пакетов виртуальных сетей обеспечивают поступление и отправку пакетов данных без многократного копирования. В свою очередь, устранение копирования повышает пропускную способность системы при работе с пакетами. При этом работа системы становится более предсказуемой, а также сокращается задержка для конечного пользователя, инициировавшего поток.


Матрица nScan Array представляет собой набор модулей, которые анализируют входящие потоки, обрабатывая пакеты в кольцах пакетов виртуальных сетей. Параллельная обработка потока несколькими модулями контроля позволяет извлечь полный контекст потока и принять решение о его разрешении или отклонении. Например, для входящего потока одновременно могут быть выполнены контроль HTTP и контроль в системе предотвращения вторжений. Поток проходит через межсетевой экран, только если оба модуля (контроль HTTP и контроль предотвращения вторжений) выдают соответствующие разрешения. Модули контроля матрицы nScan Array обновляются динамически, не требуя обновления всей системы или ее отключения. Это позволяет ASA CX обеспечивать защиту от новых вредоносных программ с минимальной задержкой после их выявления и при минимальном вмешательстве оператора.

Для принятия решений о применении политик и выполнения соответствующих действий в инспекционных модулях матрицы nScan Array используется механизм применения политик с учетом контекста. Этот механизм представляет собой высоко оптимизированную структуру данных, которая обеспечивает сопоставление атрибутов потока с соответствующей политикой и выполнение связанного действия. Кроме того, для принятия решений в модулях контроля также используется данные из подключаемых хранилищ контекста. Рассмотрим ситуацию, в которой оператор системы безопасности настроил политику, блокирующую доступ к корпоративной базе данных для всех пользователей за исключением конкретной группы. В этом случае при поступлении нового потока на проверку модуль контроля в первую очередь обращается к механизму применения политик для определения соответствующего действия. В результате модуль контроля получает указание извлечь идентификатор пользователя, связанный с данным потоком трафика. Он обращается в хранилище контекста, содержащее идентификаторы пользователей, получает связанный с потоком идентификатор и проверяет его на наличие в наборе пользователей, которым разрешен доступ к базе данных. Если извлеченный идентификатор пользователя совпадает с одним из идентификаторов, настроенных в механизме применения политик, поток проходит через экран. В противном случае доступ для потока блокируется.

В системе используется несколько хранилищ контекста, по одному на каждый тип объектов, требуемый для модулей контроля. Предусмотрены хранилища контекста для идентификаторов пользователей, устройств, URL-адресов и пр. Хранилища контекста в целом делятся на две категории: создаваемые локально (например, идентификаторы пользователя и устройства) и получаемые из внешних источников (базы данных доменов и URL-адресов). Независимо от своего типа хранилища обновляются динамически, что позволяет использовать при принятии решений в модулях контроля наиболее актуальную информацию.

Сразу после завершения обработки потока модуль контроля начинает проверку следующего потока в очереди. В зависимости от характера трафика и настроенных политик ASA CX может выявить необходимость включения дополнительных модулей контроля определенного типа (например, по HTTP) и возможность отключения модулей контроля другого типа (например, по FTP). Система динамически корректирует состав матрицы nScan Array, поддерживая оптимальный состав модулей контроля для беспрепятственного прохождения трафика.

Архитектура аппаратной части ASA CX, включающая несколько вычислительных ядер (в зависимости от аппаратной конфигурации), предоставляет обширные ресурсы для осуществления параллельного анализа в матрице nScan Array. В сочетании с динамической оптимизацией состава модулей контроля в соответствии с характером трафика и эффективной коммутацией трафика между сетевыми портами на основе колец пакетов виртуальных сетей эти ресурсы позволяют ASA CX обеспечить защиту с учетом контекста при высокой производительности. В то же время динамически обновляемые модули контроля и подключаемые хранилища контекста наделяют ASA CX достаточной гибкостью для противодействия новым угрозам по мере их возникновения при минимальном вмешательстве со стороны оператора системы безопасности.


Хотя при разработке ASA CX упор делался на гибкость и быстродействие, данная архитектура обеспечивает интегрированную поддержку набора функций защиты, которые уже стали привычными в межсетевых экранах Cisco. Этот продукт содержит модули контроля, которые противодействуют угрозам для конкретных приложений, а также такие возможности, как удаленный доступ и трансляция сетевых адресов.

Детальное управление приложениями В ASA CX реализован двухэтапный анализ трафика. На первом этапе модуль контроля классифицирует трафик на общем уровне. Во многих случаях достаточно общей классификации, и решение о применении политики может быть принято без дополнительного расходования вычислительных мощностей. Тем не менее, время от времени модуль общей классификации определяет, что для применения конкретной политики безопасности требуется дополнительный анализ трафика. В таких случаях трафик направляется в модуль расширенной классификации, где выполняется детализированная проверка. Двухуровневый механизм контроля обеспечивает необходимую для персонала безопасности гибкость без снижения производительности.

Рассмотрим ситуацию, когда персоналу безопасности нужно разрешить использование Yahoo! Messenger для совместной работы сотрудников, но при этом блокировать передачу файлов через Messenger, чтобы предотвратить утечку данных из компании. Для применения такой политики требуется модуль глубокого контроля, поскольку область проверки выходит за рамки портов и протоколов. В первую очередь модуль глубокого контроля ASA CX идентифицирует и разрешает поток трафика от Yahoo! Messenger при его поступлении. Учитывая, что передача файла может быть начата в любой точке сеанса, модуль продолжает отслеживать поток. Если позже в какой-то момент времени пользователь начнет передачу файла, модуль контроля обнаружит новый вложенный поток, пометит его и блокирует передачу.

Аналогичный уровень прозрачности и детального управления доступен в ASA CX более чем для тысячи приложений. Но без необходимости глубокий контроль не выполняется в отношении трафика, для которого достаточно общей классификации (например, FTP-трафик из разрешенной сети).

Наконец, следует отметить, что в ASA CX мониторинг потоков для приложений выполняется для всех IP-портов, а не только для портов в конкретном списке. В результате этот межсетевой экран способен эффективно обнаруживать и контролировать приложения, не являющиеся веб-приложениями, такие как Yahoo! Messenger и Skype, а также приложения, которые переключаются между портами.

Комплексная идентификация пользователей В целом, идентификация пользователей в межсетевых экранах осуществляется двумя способами. Первый способ — пассивная идентификация пользователей путем сканирования журналов агентов Active Directory (AD) и связывания IP-адресов с пользователями на короткий период времени. При таком подходе входящий и исходящий трафик по известному IP-адресу приписывается пользователю, связанному с данным IP-адресом. Второй способ — активная аутентификация пользователей с использованием протокола NT LAN Manager (NTLM) или Kerberos в межсетевом экране для обработки удостоверений пользователя.Второй способ — активная аутентификация пользователей с использованием протокола NT LAN Manager (NTLM) или Kerberos в межсетевом экране для обработки идентификаторов пользователя.

Преимущество пассивной аутентификации состоит в том, что она работает для всех используемых приложений, поскольку механизм аутентификации не взаимодействует напрямую с приложением. Тем не менее, при переназначении IP-адреса одного приложения другому приложению возникает брешь в системе аутентификации. В таких случаях пассивная аутентификация пользователей неспособна правильно привязать IP-адрес к идентификатору пользователя.


При активной аутентификации пользователя выполняется настоящая проверка подлинности на основе протокола, например NTLM или Kerberos, в рамках приложения, благодаря чему активная аутентификация точнее пассивной. К сожалению, поддержка протоколов NTLM или Kerberos реализована только в отдельных приложениях, например в веб-браузерах и Microsoft Outlook. В результате, активная аутентификация пользователей сама по себе не может обеспечить адекватный охват пользователей.

В некоторых межсетевых экранах реализован только один из этих механизмов идентификации пользователей. Напротив, в ASA CX используются как пассивный, так и активный механизмы определения идентификаторов пользователя, что позволяет получить максимально полную картину контекста потока трафика. В ASA CX также доступна возможность создавать профили неинтерактивных устройств, таких как принтеры, и исключать их из аутентификации, благодаря чему устраняются ложные тревожные сигналы от подобных устройств.

В сетях, где развернута система Cisco Identity Services Engine (ISE) и внедрена технология Cisco TrustSec®, ASA CX работает еще эффективнее. Оконечные устройства сети, на которых реализована технология TrustSec, помечают пользовательские потоки данных с использованием идентификатора пользователя. ISE направляет метки действий политики к ассоциированным сетевым устройствам, таким как коммутаторы и межсетевые экраны Cisco. ASA CX взаимодействует с ISE — устройство получает из ISE связи политик и меток и помещает их в свое хранилище локального контекста. Впоследствии, при поступлении в ASA CX входящего потока с меткой TrustSec, устройство выбирает соответствующую политику для этого потока. Такой высокодетальный уровень прозрачности пользовательских транзакций и модульного управления ими намного превосходит возможности всех других межсетевых экранов, представленных на рынке.

Беспрецедентный уровень контроля с учетом устройства и местонахождения Cisco AnyConnect™ является самым популярным сегодня решением для удаленного доступа через VPN — насчитывается свыше 100 миллионов рабочих мест, на которых развернуто это ПО. Решение AnyConnect выбирается большинством крупных корпораций, внедряющих поддержку VPN, оно доступно на широком спектре устройств, включая ПК, iPhone и iPad. Если на устройстве конечного пользователя установлено решение AnyConnect, а на другом конце VPN находится ASA CX, этот межсетевой экран получает доступ к сведениям о типе, версии ОС и владельце устройства (корпоративное или личное), типе установленных на устройстве средств защиты (например, антивирусное ПО), а также статусе этих средств (например, работает нормально, требуется обновление). Такая информация об устройстве существенно расширяет контекст, доступный для ASA CX. На основе данного контекста ASA CX может применять такие политики, как предоставление доступа к электронной почте с одновременным блокированием доступа к конфиденциальным корпоративным приложениям, если ноутбук личный, или разрешение доступа и к электронной почте, и к корпоративным приложениям, если ноутбук корпоративный.

В будущем AnyConnect будет работать, даже если устройство пользователя подключено к корпоративной сети напрямую, без применения VPN. В такой ситуации AnyConnect будет напрямую передавать параметры, такие как состояние установленного на устройстве ПО для безопасности, в ASA CX, чтобы эти параметры могли учитываться при принятии решений о применении политики.

Большая часть конкурирующих межсетевых экранов не обеспечивает надежную интеграцию с популярными решениями для оконечных устройств, подобными AnyConnect. В результате такие межсетевые экраны неспособны распознать используемое для доступа устройство и не могут получить полный контекст доступа. Таким образом, решения о предоставлении или блокировании доступа, принимаемые этими средствами, не являются оптимальными.


Более того, ASA CX может взаимодействовать с ISE для применения политик в зависимости от устройства с использованием меток TrustSec. Такие метки используются аналогично меткам идентификаторов пользователей, рассмотренным выше. Единственное отличие состоит в том, что метки связаны с устройствами, а не пользователями, поэтому вместо локального хранилища пользователей обновляется и используется локальное хранилище устройств. Рассмотрим ситуацию, когда в корпорации, где внедрена технология TrustSec, требуется реализовать политику блокирования для мобильных устройств гостевого доступа по сети к корпоративным данным. Всем потокам трафика, происходящим из устройства в гостевой сети, присваивается метка, которая указывает коммутаторам и межсетевым экранам Cisco, что это устройство обладает ограниченными разрешениями. Впоследствии, если ASA CX обнаруживает поток, обращенный к корпоративной базе данных и при этом имеющий метку «гостевое устройство», он заблокирует этот поток.

Наконец, в ASA CX возможно управление с учетом местоположения на основе сведений о местоположении, полученных от головной станции AnyConnect. Представьте, что службе безопасности нужно разрешить доступ к конфиденциальным сведениям во внутренней корпоративной сети сотрудникам, которые находятся в командировке. При этом, учитывая историю проникновений в сеть, служба безопасности хочет сделать эти данные доступными только для сотрудников на территории США. В ASA CX можно настроить применение подобной политики. При поступлении в ASA CX данных о новом VPN-соединении модуль контроля проверяет IP-адрес инициатора соединения. При помощи подключаемого хранилища контекста модуль определяет, что попытка соединения инициирована вне США. В итоге ASA CX отклоняет поток, блокируя доступ к внутренней сети в соответствии с настроенной политикой.

Защита от вредоносного ПО неизвестного типа Аналитический центр Cisco в сфере информационной безопасности (SIO) располагает самой большой в мире системой анализа угроз. Сеть SIO насчитывает свыше 700 000 датчиков, которые отслеживают более 5 миллиардов веб-запросов в день по всему миру, а также 35 % глобального трафика электронной почты. Кроме того, SIO получает телеметрию угроз от оконечных устройств AnyConnect. В SIO получаемая информация подвергается непрерывному анализу, в результате которого сети, домены и приложения распределяются по категориям с присвоением им репутационных баллов. Эти баллы централизованно рассчитываются и оперативно передаются в оборудование Cisco, поддерживающее их использование. ASA CX получает такие данные и помещает их в свое хранилище глобального контекста. Благодаря этому межсетевой экран способен распознавать возникающие угрозы и применять в отношении таких угроз соответствующие меры.

Рассмотрим ситуацию, когда раздел популярного новостного сайта содержит HTTP-запрос GET, который осуществляет перенаправление браузера на узел, содержащий вредоносное ПО. Неосведомленный посетитель этого веб-сайта может непреднамеренно выполнить этот запрос и загрузить вредоносное ПО на свой компьютер.

ASA CX может обеспечить интегрированную защиту от подобных проникновений в систему без какого-либо вмешательства со стороны пользователя или владельца новостного веб-сайта. Благодаря сведениям, получаемым из SIO, ASA CX «знает», что новостной сайт имеет высокую репутацию. Однако репутация данного веб-сайта не распространяется на узел, указанный во вредоносном запросе GET. Когда в ходе выполнения запроса GET узел предпримет попытку загрузить на компьютер пользователя вредоносное ПО, ASA CX распознает, что репутация анализируемого узла является низкой. В результате загрузка будет заблокирована, и компьютер пользователя останется защищенным.


Интуитивно понятное управление Новая концепция сетевого экрана, реализованная в ASA CX, дополняется новой системой управления Cisco Prime™ Security Manager (PRSM) на основе технологий Web 2.0, которая упрощает работу и обеспечивает удобство повседневного использования независимо от количества межсетевых экранов.

Удобное представление бизнес-политик PRSM обеспечивает удобное преобразование бизнес-политик в параметры конфигурации межсетевого экрана. Предположим, что специалистам по безопасности нужно настроить доступ к Yahoo! Messenger с блокированием передачи файлов через Messenger. В традиционном управляющем приложении для подобной настройки потребовалось бы координированное создание нескольких правил для IP-адресов, протоколов и номеров портов, и эти правила пришлось бы постоянно менять при каждой смене портов, используемых в Messenger.

В PRSM эта утомительная и ненадежная настройка заменяется процедурой, требующей всего несколько щелчков мышью. Оператору системы безопасности достаточно перейти в область приложений, найти Yahoo! Messenger по имени и установить флажок, запрещающий передачу данных. Оператору не требуется настраивать IP-адреса, протоколы или номера портов. Вместо этого, нужная конфигурация политики описывается привычным для бизнеса языком, например «разрешить Yahoo! Messenger, но запретить передачу данных». Преобразование условий бизнес-политики в низкоуровневые правила для IP-адресов, протоколов и портов полностью выполняется в PRSM.

Комплексная отчетность Для обеспечения защиты с учетом контекста специалистам по безопасности должна быть предоставлена возможность создания отчетов и выполнения подробного анализа конкретных событий. PRSM включает полнофункциональный гибкий пакет отчетов для упрощения подобного анализа.

События создаются в ASA CX в стандартном формате и в зависимости от конфигурации. Эти события могут храниться на устройстве или передаваться в отдельное управляющее приложение для агрегирования и долгосрочного хранения. Эти события также непрерывно сводятся в отчеты, что позволяет операторам системы безопасности оперативно получать отчетность. Более того, события могут приводиться из стандартного формата PRSM в любой другой формат при помощи средства преобразования. Благодаря этому у операторов системы безопасности сохраняется возможность использовать предпочитаемые средства сторонних производителей для анализа событий и формирования отчетности. Наконец, отчеты поддерживают детализацию, которая позволяет операторам системы безопасности получать подробную информацию о событиях для отладки, устранения неполадок и иных подобных целей.

Согласованное использование встроенного и автономного вариантов Cisco PRSM поставляется в двух вариантах. Первый реализован в виде встраиваемого модуля на основе веб-технологий, который интегрирован с ASA CX. Второй представляет собой автономный модуль, который обычно используется в ситуациях, когда в сети работают несколько систем ASA CX. Встраиваемый модуль идентичен автономному за исключением возможности последнего управлять несколькими межсетевыми экранами. Таким образом, с точки зрения оператора системы безопасности опыт управления системой ASA CX не зависит от варианта управляющего приложения (встроенного или автономного), выбранного оператором.


Удобный интерфейс пользователя Cisco PRSM предлагает несколько решений, которые предоставляют операторам системы безопасности гибкий и в то же время эффективный интерфейс управления устройством.

Во-первых, на всех экранах пользовательского интерфейса доступна строка поиска. Оператор может с любого экрана задать в свободной форме условия поиска политики, объекта или события, а затем быстро перейти к нужному пункту. Кроме того, операторы могут ассоциировать пользовательские данные с любой политикой или объектом, чтобы впоследствии обеспечить их эффективный поиск. Во-вторых, на всех панелях пользовательского интерфейса доступны функции автоматической подстановки и автоматического заполнения, которые позволяют сократить время настройки ASA CX. В-третьих, язык описания политик отличается исключительной гибкостью, благодаря чему операторы могут создавать исчерпывающие политики даже для сложных ситуаций. Например, оператор может описать политику следующим образом: «предоставить доступ для всех пользователей технической группы, за исключением пользователей A и B». Управляющие приложения большинства конкурирующих межсетевых экранов не отличаются подобной выразительностью, что заставляет операторов создавать неестественно развернутые правила.

Интерфейс пользователя PRSM оптимизирован для выполнения повседневных задач оператора. Например, при поступлении комплексной заявки оператор может создать несколько изменений в пользовательском интерфейсе, просмотреть их и только потом сохранить изменения для их вступления в действие. Аналогичным образом оператор может отслеживать историю изменений политики и объектов, используемых в политике. Подобная детализация делает возможными совместную разработку политик или вывод из эксплуатации ненужных объектов.

Проектирование на основе моделирования В основу Cisco PRSM заложен принцип моделирования. Все настраиваемые объекты моделируются с использованием схемы, которая описывает объект целиком, включая типы конфигураций, которые могут быть применены для каждого из элементов объекта. Данные, связанные с этой схемой, хранятся в базе данных конфигураций (Config DB) в ASA CX. Совместно база данных Config DB и схема полностью определяют все экземпляры настраиваемых объектов в ASA CX.

На основе этой схемы создается шаблон пользовательского интерфейса для управляющего приложения, а также шаблон программы для подключения схемы к модулям проверки в матрице nScan Array. Такой подход к созданию программ на основе схемы не только обеспечивает согласованную реализацию настраиваемых объектов, но и сводит к минимуму программные ошибки в управляющем приложении.


REST API Модуль Cisco PRSM построен с использованием интерфейса REST API (Representational State Transfer Application Programming Interface). Этот API-интерфейс абстрагирует различные настраиваемые объекты в Config DB и позволяет управляющему приложению применять для таких объектов согласованный набор операций. REST API также позволяет персоналу безопасности создавать сценарии или разработать собственное управляющее приложение для ASA CX.

Эволюционная модель развертывания Хотя межсетевые экраны с поддержкой анализа контекста необходимы для обеспечения полной защиты от угроз безопасности, они никоим образом не отменяют потребность в межсетевых экранах уровней 3/4 (L3/L4) с сохранением состояния. Межсетевые экраны L3/L4 остаются полезными для широкого спектра задач, в том числе в центрах обработки данных, где традиционные правила на основе списка из пяти параметров по-прежнему эффективны. Полная замена существующих межсетевых экранов L3/L4 аналогами с поддержкой анализа контекста даже нежелательна, если учитывать инвестиции компании в соответствующее оборудование и выстраивание процессов.

Cisco предлагает возможность защитить инвестиции в оборудование при помощи модуля учета контекста (CX), который можно добавить в существующий межсетевой экран Cisco L3/L4, превратив его в ASA CX. После установки и настройки этого модуля через него будет проходить та часть трафика, для которой требуется полный анализ с учетом контекста. Для остальной части трафика достаточно проверки по IP-адресам, портам и протоколам, она может и дальше обрабатываться межсетевым экраном L3/L4. В результате компаниям, заинтересованным в добавлении функций анализа контекста в свою инфраструктуру системы безопасности, не потребуется заменять существующее оборудование новыми межсетевыми экранами. Кроме того, им не придется добавлять в сеть другие устройства — достаточно установить модуль CX в существующий межсетевой экран. Этот модуль обеспечит все дополнительные функции контроля и управления, требуемые персоналу безопасности для защиты компании.

Кроме того, ASA CX позволяет сохранить инвестиции компании в существующие процессы и правила межсетевых экранов. Поскольку существующие межсетевые экраны Cisco L3/L4 остаются в сети, правила, настроенные для этих межсетевых экранов, требуют постоянного внимания. Однако, благодаря реализованным в Cisco PRSM функциям чтения, преобразования и управления для параметров конфигурации существующих межсетевых экранов L3/L4, операторам не требуется работать с двумя независимыми приложениями для управления межсетевыми экранами.


Наконец, в компаниях, где не развернуты межсетевые экраны Cisco, ASA CX устраняет необходимость выбора между продуктами, в которых определенные функции анализа контекста добавлены в уже устаревшую архитектуру, и межсетевыми экранами следующего поколения, которые не обладают всеми возможностями, доступными в устройствах L3/L4 с сохранением состояния. Первые обычно обладают большим набором возможностей, которые сегодня широко используются в компаниях (например, удаленный доступ и трансляция сетевых адресов), но предлагают ограниченную поддержку использования контекста. Вторые отличаются более широким, даже если и неполным, набором функций для обработки контекста, однако им недостает важных возможностей, ставших уже привычными для персонала безопасности. Переход на ASA CX позволяет таким компаниям по-прежнему пользоваться традиционными возможностями межсетевых экранов и при этом получить дополнительные функции контроля и управления для приложений, пользователей и устройств в своей сети.

Таким образом, развертывание ASA CX может быть выполнено эволюционно, с максимально возможной степенью взаимодействия с существующими процессами и оборудованием. В то же время этот продукт позволяет компаниям получить все преимущества революционной архитектуры, которая добавляет в инфраструктуру сети полноценную защиту с учетом контекста.

Завершающий этап создания среды Cisco SecureX Платформа SecureX создавалась Cisco для защиты компаний в условиях стремительных изменений, таких как распространение мобильных приложений для работы с веб-контентом и проникновение потребительских ИТ-устройств в корпоративный сегмент. Платформа SecureX обеспечивает встроенную защиту инфраструктуры сети, используя интеллектуальное динамическое объединение локального контекста от оконечных устройств AnyConnect с метками TrustSec и глобальными сведениями о репутации от SIO, а также применение в межсетевом экране политик, учитывающих контекст. Появление ASA CX завершило формирование платформы SecureX, дополнив ее функциями учета контекста в межсетевом экране.

Для получения дополнительных сведений о ASA CX, включая сведения о доступности функций, см. http://www.cisco.com/go/asa.

Ссылки Будущее сетевой безопасности: архитектура Cisco SecureX, 2011, Cisco Systems

Cisco TrustSec: безопасный доступ с учетом контекста для сетей без границ, 2011, Cisco Systems

Отпечатано в США C11-700240-00 02/12

http://www.cisco.com/go/asa�