воскресенье, 27 мая 2012 г.

СОИБ. Проектирование. Защищённый доступ к сети


Недавно компания Cisco обновила архитектуру безопасности Cisco SecureX и решение по управлению защищенным доступом к сети Cisco TrustSec 2.0. Решение Cisco TrustSeс 2.0 является развитием технологии, ранее известной как Cisco NAC.

Ключевым компонентом решения является новый продукт Cisco  Identity Services Engine (Cisco ISE). А в реализации единых политик доступа к сети участвует всё активное сетевое оборудование Cisco:  коммутаторы¸ маршрутизаторы, межсетевые экраны, средства построения VPN, точки доступа и контроллеры беспроводной сети.
Данное решение хочу рассмотреть в сегодняшней статье.

Cisco TrustSec 2.0 поможет, если в вашей политике доступа к корпоративной сети или информационным ресурсам есть определенные правила, а технически реализовать и проконтролировать их полностью нечем. Говорите, что у вас нет политик управления и разграничения доступа к корпоративной сети и информационным ресурсам? Тогда вам не нужно решение TrustSec.

Но рассмотрим для примера экспресс анализ рисков связанных с корпоративной сетью.
Наименование угрозы
Вероятность
Потенциальный ущерб от угрозы
Риск ИБ
1
Выполнение вредоносного кода на единичном АРМ находящегося вне корпоративной сети, с использованием вируса,  приводящее к выполнения несанкционированных действий
Высокая
Низкий
Средний
(приемлемый)
2
Массовое заражение АРМ вредоносным ПО, с использованием вируса распространяемого по сети,  приводящее к получению  доступа к информации или выполнения несанкционированных действий
Средняя
Высокий
Высокий (неприемлемый)
3
Сетевые атаки на ОС из внешней и корпоративной сети, использующие уязвимости ОС,  c целью получения доступа к информации или выполнения несанкционированных действий
Средний
Высокий
Высокий (неприемлемый)
4
Доступ пользователей, партнеров или гостей  к локальным сетевым ресурсам, использующие неограниченность доступа,  c целью несанкционированного получения  и распространения конфиденциальной информации
Средняя
Высокий
Высокий (неприемлемый)
5
Доступ администраторов  к сетевому оборудованию, использующие неограниченность доступа,  c целью несанкционированного использования и изменения конфигурации
Средняя
Высокий
Высокий (неприемлемый)
6
Подключение устройств к корпоративной сети,  использующие неограниченность доступа, с целью несанкционированного использования ресурсов сети
Высокая
Средний
Высокий (неприемлемый)
7
Сетевые атаки на сервисы и приложения из корпоративных сетей, использующие уязвимости сервиса и приложения,  c целью получения доступа к информации или выполнения несанкционированных действий
Средняя
Высокий
Высокий (неприемлемый)
8
Перехват информации в данном сегменте сети, использующий не ограниченность сети, c получения доступа к информации
Высокая
Высокий
Высокий (неприемлемый)

Рассмотрим контрмеры, которые можно использовать для нейтрализации угроз по неприемлемым рискам:
·         Запретить удаленный доступ, гостевой доступ, взаимодействие с партнёрами мы не можем – ведь это требует бизнес.
·         Антивируса, межсетевого экрана, системы обнаружения вторжений и встроенных возможностей приложений недостаточной для нейтрализации всех неприемлемых угроз, а также требует чрезмерных трудозатрат на независимую настройку каждого средства защиты.
·         Антивирус не поможет нам остановить массовое заражение АРМ, если он пропустил данный вирус.  
·         Межсетевой экран и система обнаружения вторжений ничего не знает про уязвимости ОС и ролях конкретных пользователей.
·         Встроенные средства приложений не помогут при перехвате и подмене информации в сегменте сети.
·         Необходимой контрмерой для данных угроз является Cisco ISE, который дополняет функции приведенных средств защиты и объединяет их с использованием единых политик доступа к сети.

Вы спросите какие политики можно реализовать с применением данного решения?
Примеры:
·         Новому сотруднику предоставлять базовый доступ к сервисам сети:  AD, электронная почта, общий файловый сервер.
·         Сотрудникам бухгалтерии предоставлять доступ к группе серверов бухгалтерии, а главному бухгалтеру ещё и к дополнительной группе серверов бухгалтерии.
·         Администратора сети при подключении в любой точке сети помещать в выделенный сегмент управления и мониторинга.
·         Разрешать вносить изменения в конфигурацию сетевого оборудования и сетевых средств защиты только из локальной сети.
·         Гостям разрешено подключаться только к беспроводным точкам в приемном зале, а партнерам компании на всей территории. И тем и другим разрешить доступ только в рабочее время.  Гостям разрешить доступ только в интернет, а партнерам ещё к корпоративному справочнику и электронной почте.
·         Сотрудникам в командировке предоставлять удалённый доступ к  той-же группе серверов что и при их локальном доступе, за исключением суперсекретного.
·         Всем сотрудникам разрешать доступ к корпоративной сети в соответствии с их ролями, только  при наличии всех обновлений ОС, антивируса и запущенным агентом DLP.
·         Удаленный доступ к ИСПДн разрешать только при наличие установленного СКЗИ поддерживающего ГОСТ.
·         При доступе к корпоративной сети с мобильных устройств предоставлять доступ только к ограниченному количеству сервисов (в виду отсутствия на мобильных устройствах средств защиты).
·         Принтеры помещать в выделенный сегмент принтеров.
·         Видеокамеры помещать в выделенный сегмент видеокамер.
·         Телефоны помещать в выделенный сегмент телефонии.
·         Новые принесенные пользователем устройства помещать в карантин и блокировать доступ к КИС до одобрения администратора.
·         Все нарушающие политики устройства помещать в карантин и блокировать доступ к КИС до устранения нарушений или одобрения администратора.

И на последок сравнение ISE, NAC, ACS.

В следующих заметках более подробно опишу архитектуру и принципы работы.

Про Cisco TrustSec и Cisco ISE можно почитать тут.


Комментариев нет: