СОИБ. Проектирование. Защищённый доступ к сети
Недавно компания Cisco обновила архитектуру безопасности Cisco
SecureX и решение по управлению защищенным доступом к сети Cisco TrustSec 2.0. Решение Cisco TrustSeс 2.0 является развитием технологии,
ранее известной как Cisco NAC.
Ключевым компонентом решения является
новый продукт Cisco
Identity Services
Engine (Cisco ISE). А в
реализации единых политик доступа к сети участвует всё активное сетевое
оборудование Cisco: коммутаторы¸ маршрутизаторы, межсетевые
экраны, средства построения VPN, точки
доступа и контроллеры беспроводной сети.
Данное решение хочу рассмотреть в сегодняшней
статье.
Cisco TrustSec 2.0 поможет,
если в вашей политике доступа к корпоративной сети или информационным ресурсам есть
определенные правила, а технически реализовать и проконтролировать их полностью
нечем. Говорите, что у вас нет политик управления и разграничения доступа к корпоративной
сети и информационным ресурсам? Тогда вам не нужно решение TrustSec.
Но рассмотрим для примера экспресс
анализ рисков связанных с корпоративной сетью.
№
|
Наименование угрозы
|
Вероятность
|
Потенциальный ущерб от угрозы
|
Риск
ИБ
|
1
|
Выполнение вредоносного кода на
единичном АРМ находящегося вне корпоративной сети, с использованием вируса, приводящее к выполнения несанкционированных
действий
|
Высокая
|
Низкий
|
Средний
(приемлемый)
|
2
|
Массовое заражение АРМ вредоносным
ПО, с использованием вируса распространяемого по сети, приводящее к получению доступа к информации или выполнения
несанкционированных действий
|
Средняя
|
Высокий
|
Высокий (неприемлемый)
|
3
|
Сетевые атаки на ОС из внешней и
корпоративной сети, использующие уязвимости ОС, c целью
получения доступа к информации или выполнения несанкционированных действий
|
Средний
|
Высокий
|
Высокий (неприемлемый)
|
4
|
Доступ пользователей, партнеров или
гостей к локальным сетевым ресурсам, использующие
неограниченность доступа, c целью
несанкционированного получения и
распространения конфиденциальной информации
|
Средняя
|
Высокий
|
Высокий (неприемлемый)
|
5
|
Доступ администраторов к сетевому оборудованию, использующие неограниченность
доступа, c целью
несанкционированного использования и изменения конфигурации
|
Средняя
|
Высокий
|
Высокий (неприемлемый)
|
6
|
Подключение устройств к
корпоративной сети, использующие неограниченность
доступа, с целью несанкционированного использования ресурсов сети
|
Высокая
|
Средний
|
Высокий (неприемлемый)
|
7
|
Сетевые атаки на сервисы и
приложения из корпоративных сетей, использующие уязвимости сервиса и
приложения, c целью
получения доступа к информации или выполнения несанкционированных действий
|
Средняя
|
Высокий
|
Высокий (неприемлемый)
|
8
|
Перехват информации в данном
сегменте сети, использующий не ограниченность сети, c получения
доступа к информации
|
Высокая
|
Высокий
|
Высокий (неприемлемый)
|
Рассмотрим контрмеры, которые можно
использовать для нейтрализации угроз по неприемлемым рискам:
·
Запретить удаленный доступ, гостевой доступ, взаимодействие
с партнёрами мы не можем – ведь это требует бизнес.
·
Антивируса, межсетевого экрана, системы
обнаружения вторжений и встроенных возможностей приложений недостаточной для нейтрализации
всех неприемлемых угроз, а также требует чрезмерных трудозатрат на независимую
настройку каждого средства защиты.
·
Антивирус не поможет нам остановить массовое
заражение АРМ, если он пропустил данный вирус.
·
Межсетевой экран и система обнаружения вторжений
ничего не знает про уязвимости ОС и ролях конкретных пользователей.
·
Встроенные средства приложений не помогут при
перехвате и подмене информации в сегменте сети.
·
Необходимой контрмерой для данных угроз является
Cisco ISE, который дополняет
функции приведенных средств защиты и объединяет их с использованием единых
политик доступа к сети.
Вы спросите какие политики можно
реализовать с применением данного решения?
Примеры:
·
Новому сотруднику предоставлять базовый доступ к
сервисам сети: AD, электронная почта, общий файловый
сервер.
·
Сотрудникам бухгалтерии предоставлять доступ к
группе серверов бухгалтерии, а главному бухгалтеру ещё и к дополнительной
группе серверов бухгалтерии.
·
Администратора сети при подключении в любой
точке сети помещать в выделенный сегмент управления и мониторинга.
·
Разрешать вносить изменения в конфигурацию сетевого
оборудования и сетевых средств защиты только из локальной сети.
·
Гостям разрешено подключаться только к
беспроводным точкам в приемном зале, а партнерам компании на всей территории. И
тем и другим разрешить доступ только в рабочее время. Гостям разрешить доступ только в интернет, а
партнерам ещё к корпоративному справочнику и электронной почте.
·
Сотрудникам в командировке предоставлять удалённый
доступ к той-же группе серверов что и
при их локальном доступе, за исключением суперсекретного.
·
Всем сотрудникам разрешать доступ к корпоративной
сети в соответствии с их ролями, только при
наличии всех обновлений ОС, антивируса и запущенным агентом DLP.
·
Удаленный доступ к ИСПДн разрешать только при наличие
установленного СКЗИ поддерживающего ГОСТ.
·
При доступе к корпоративной сети с мобильных
устройств предоставлять доступ только к ограниченному количеству сервисов (в
виду отсутствия на мобильных устройствах средств защиты).
·
Принтеры помещать в выделенный сегмент
принтеров.
·
Видеокамеры помещать в выделенный сегмент
видеокамер.
·
Телефоны помещать в выделенный сегмент
телефонии.
·
Новые принесенные пользователем устройства
помещать в карантин и блокировать доступ к КИС до одобрения администратора.
·
Все нарушающие политики устройства помещать в
карантин и блокировать доступ к КИС до устранения нарушений или одобрения
администратора.
И на последок сравнение ISE, NAC, ACS.
В следующих заметках более подробно
опишу архитектуру и принципы работы.
Комментарии