Управление сетевыми политиками с помощью решения Cisco Identity Services Engine (ISE)
ПРОБЛЕМЫ ОБСЛУЖИВАНИЯ СОВРЕМЕННОЙ СЕТИ
Обслуживание современной сети – трудоемкий процесс, который предполагает немало рутинной работы. Тем не мене, это краеугольный камень функционирования сети в целом, и выполнения корпоративных политик безопасности, в частности.
Современные сети эволюционируют в ногу с современными технологиями, из-за чего возникает все больше новых задач, помимо уже устоявшихся шаблонов и регламентов. Мобильность, безопасность, управление гостевым доступом, соответствие требованиям стандартов – вот далеко не полный перечень задач, дополняющих привычную модель обслуживания. Решить их по старинке, «вручную», сложно, а зачастую и невозможно.
Неуправляемая сеть – источник проблем
Перечислим наиболее типичные проблемы, возникающие в следствие недостаточного уровня управляемости сети:
- Сотрудники не могут выполнять свои прямые обязанности из-за проблем с сетью.
- ИТ-сотрудники тратят значительную часть рабочего времени на локализацию проблем (в том числе на поиск доказательств своей непричастности к этим проблемам)
- Сетевые ресурсы бывают недоступны.
- Возникновение вирусных эпидемий из-за доступа в сеть «носителей».
- Бесконтрольное использование приложений, нарушающих корпоративную политику безопасности (торрент, Skype и др.).
- Нестабильная работа сети вследствие слишком мягких политик доступа (пример: сеть перегружена из-за того, что два сотрудника пересылают друг другу объемные видеофайлы).
- ИТ-сотрудники тратят свое рабочее время на:
1. подключение новых пользователей и устройств;
2. изменение списков контроля доступа (ACL) на каждом порту;
3. подключение гостей;
4. управление территориально распределенной сетью;
5. удовлетворение требований информационной безопасности (ИБ);
6. формирование и обобщение отчетности.
- Значительная трата времени специалистов по информационной безопасности (ИБ) на:
1. разработку регламентов и политик подключения, контроль их реализации ИТ-сотрудниками, ознакомление персонала с правилами, своевременную модернизацию политик;
2. попытки «прояснить ситуацию» в условиях отсутствия инструментов мониторинга, учёта и отчётности;
попытки добиться достаточного уровня безопасности подключаемых устройств;
3. решение тривиальных задач обеспечения безопасности точечными, разрозненными мерами;
4. приведение в соответствие требованиям регуляторов (отраслевых и корпоративных стандартов);
5. взаимодействие с ИТ-отделом.
Экономическая эффективность внедрения специализированого программно-аппаратного решения
Зачастую не вполне очевидно, какие убытки несет компания вследствие снижения эффективности работы сотрудников. Чтобы оценить это, достаточно сделать даже беглый анализ следующих показателей:
- Во сколько обойдется компании невыполнение сотрудниками своих обязанностей из-за проблем с сетью?
- Сколько времени в среднем тратят на анализ этих проблем сотрудники ИТ-отдела?
- Сколько времени в среднем тратят сотрудники ИБ на решение вопросов обеспечения безопасности сетевых подключений? Сколько времени и усилий они расходуют на взаимодействие с ИТ-отделом?
Даже неполный список ключевых показателей эффективности (KPI) способен однозначно показать, во что обходится «пассивное управление». Очевидно, что при таком подходе часть потерь не может быть оценена, поскольку отсутствуют даже базовые механизмы идентификации событий, которые приводят к этим потерям. Поэтому в составе показателей ожидаемых ежегодных потерь (ALE) значительную роль будет играть высокий коэффициент риска, применение которого необходимо для описания не идентифицированных потерь.
Безусловно, небольшую часть перечисленных проблем можно решить и в «ручном режиме». Но трудозатраты в этом случае значительно превысят инвестиции на приобретение специализированного средства. При этом многие проблемы останутся нерешенными, а время отклика такого «решения» будет желать лучшего.
Чтобы избежать вышеперечисленных проблем, а также обеспечить эффективное управление сетевыми подключениями и достаточный уровень безопасности подключаемых устройств, необходим централизованный, многофункциональный и эффективный инструмент.
Компания Cisco предлагает уникальное решение, способное удовлетворить потребности организаций любого размера за счет использования передовых технологических решений и подходов. Это — флагманский продукт по управлению безопасностью сетевых подключений Cisco Identity Services Engine (ISE). О нем, а также комплексе организационно-технических решений, построенных с использованием ISE, пойдет речь далее.
С ЧЕГО НАЧАТЬ?
Внедрение процессно-ориентированного подхода к управлению сетевыми подключениями подразумевает этапность. Каждый следующий этап строится на основе предыдущего. При этом реализация любого из этапов позволяет добиться определенного уровня улучшения управляемости и автоматизации, что сказывается на эффективности производственной цепочки подразделений, эксплуатирующих сеть.
Ключевые этапы построения процесса:
1. Подготовительная фаза. Первичная оценка актуальности внедрения.
2. Анализ текущего состояния.
3. Формирование базовых политик в привязке к функциональным особенностям предполагаемого.
4. Решения.
5. Документальное сопровождение.
Формирование и тюнинг политик в производственной эксплуатации.
Разработка мер развития: сбор статистики и отчетности, анализ, планирование изменений, модернизация.
Технологически продукт Cisco ISE разработано таким образом, что позволяет учесть этапность внедрения и способен в полной мере обеспечить как построение процесса, так и дальнейшее его производственное использование и модернизацию.
Таким образом, внедряя это решение, мы стимулируем формирование полноценного процесса управления. В то же время, внедрение этого процесса проходит быстрее и с меньшими операционными затратами.
Этапы 1–5 в реальной жизни во многом пересекаются с лучшими практиками эксплуатации сети. Такой процессно-ориентированный подход позволяет получить ощутимые результаты еще до окончательного формирования процесса. Дальнейшее внедрение процесса создает эффективный инструмент, сформированный в соответствии с потребностями конкретной организации и учитывающий важные наработки производственной эксплуатации решения. Это не просто дань моде или ответ на требования регуляторов, но практическая реализация лучших наработок в данном направлении, продиктованная реальными требованиями ИТ-персонала к системам такого класса.
Обобщенно основные этапы обслуживания сети имеют следующую структуру:
1. Мониторинг текущего состояния
- Инвентаризация подключаемых к сети устройств;
- Идентификация попыток подключения в единой системе отчетности;
- Персонализация подключения.
2. Оценка характеристик подключения
- Оценка функциональной роли подключаемого (пользователь, группа, устройство);
- Определение типа устройства, с которого происходит подключение (профилирование);
- Оценка соответствия требованиям корпоративной политики безопасности;
- Оценка контекста доступа (времени и т. д.).
3. Применение политики доступа
- Доступ полностью запрещен;
- Доступ ограничен;
- Доступ разрешен для приведения в соответствие;
- Доступ разрешен в соответствии с ролью и контекстом.
4. Постоянный контроль соответствия
ОСОБЕННОСТИ РЕШЕНИЯ CISCO ISE
Мониторинг текущего состояния
Уже базовые настройки решения Cisco ISE позволяют получить качественно новый уровень наблюдаемости сети. Удобные панели отображения (dashboard) с возможностью многоярусной детализации (drill-down) позволяют получать как обобщенное отображение, так и подробности по каждому событию.
Каждое подключение фиксируется, при этом отображаются данные об устройстве подключения (вплоть до конкретного порта на конкретном устройстве) и контексте подключения (времени и месте). Особенно важно, что данные аутентификации при подключении также отображаются, что позволяет избавиться от «безликих» инцидентов информационной безопасности. Это позволяет получить информацию о том, «кто» связан с несанкционированным или неудачным подключением. Такой уровень наблюдаемости – это качественно новый прорыв в управлении политиками подключения к сети.
Оценка характеристик подключения
Персонализация подключения играет важную роль для определения необходимого уровня доступа. Политики доступа привязываются к конкретному пользователю, группе или устройству. Пользователи проходят процесс аутентификации, в то время как устройства распознаются по другим признакам (MAC-адрес, поведение в сети и еще несколько показателей, которые может оценить ISE). Это позволяет создать целостную политику доступа, полностью описывающую все возможные подключения и не оставляющую белых пятен. Таким образом, выстраивается всеобъемлющая ролевая модель доступа (RBAC).
После аутентификации происходит оценка вторичных параметров подключения в соответствии с требованиями к каждой конкретной роли.
В первую очередь, это оценка соответствия (posture) – комплекс проверок антивирусной защиты, установленного ПО и версий примененных обновлений, оценка множества прочих параметров (ключей регистра, наличия определенных файлов, запущенных процессов). Если выявлено несоответствие, система автоматически перенаправляет пользователя на страницу самообслуживания, где он может получить последние обновления и привести свое устройство (ПК, планшет, ноутбук, смартфон) в соответствие с требованиями корпоративной политики безопасности.
При подключении также учитывается контекст доступа: локализация, время, способ подключения и ряд других параметров. Такой подход позволяет проконтролировать и при необходимости исключить использование достоверных аутентификационных данных в нехарактерной для роли обстановке (например, подключение менеджера по кадрам к сети в серверной комнате филиала, в котором он бывает только в командировках). Таким образом, ролевая модель органично дополняется и усиливается контекстной моделью доступа (CBAC). Это особенно важно в современных реалиях, когда сеть и возможности подключения к ней динамически меняются.
Компания Cisco предоставляет эффективный инструмент управления сетью, в полной мере отвечающий новым тенденциям: мобильность и персональные устройства пользователей (BYOD– принеси свое устройство). Ведь не секрет, что с распространением мобильных гаджетов реализация политик доступа заметно усложнилась. Попытки запретить такие подключения, как правило, малоэффективны и приводят к серьезным злоупотреблениям со стороны как сотрудников, так и персонала, обслуживающего сеть. Многолетняя практика показала, что значительно эффективней контролировать, нежели запрещать. Следовательно, решается еще одна важная задача – организация полноценного жизненного цикла управления гостевым доступом.
На основе всех перечисленных оценок и проверок применяется конкретная (специфическая для роли и контекста доступа) политика. Таким образом, пользователь или устройство получают минимально необходимый уровень доступа, что проактивно устраняет целый ряд потенциальных проблем.
Применение политики доступа
Конкретная политика доступа реализуется на устройстве (коммутаторе или Wi-Fi-контроллере) с применением комплекса технологий и методов для достижения необходимого уровня гранулярности. Основные применяемые методы: сегментация (VLAN) и списки доступа (классические динамические ACL, Secure Group ACL). Кроме прочего, политика может определять необходимость шифрования трафика от порта ПК до коммутатора (MACSec), что позволяет добиться качественно нового уровня конфиденциальности.
Возможные профили доступа:
- Доступ полностью запрещен для небезопасных подключений, а также попыток получить несанкционированный доступ в сеть.
- Доступ ограничен. Хорошим примером могут быть гостевые подключения, предоставляющие доступ только в Интернет, но не к корпоративным ресурсам.
- Доступ разрешен для приведения в соответствие. Если проверки показали, что есть несоответствия состояния рабочего места (например, выключен антивирус или не обновлена антивирусная база), система автоматически перенаправит пользователя на портал самообслуживания. Такое решение может значительно разгрузить службу поддержки пользователей, высвободить время сотрудников ИТ и ИБ на выполнение более важных задач.
- Доступ разрешен в соответствии с ролью и контекстом.
Обратите внимание, что такой подход позволяет исключить профиль «доступ разрешен без ограничений», что значительно снижает общий уровень потенциальных проблем и рисков.
Кроме того, встроенная в Cisco ISE возможность выполнения политик в режиме Monitor only помогает тестировать политики без влияния на производственные процессы.
Стоит также отметить, что коммутационное оборудование Cisco имеет ряд функций, позволяющих сделать процесс внедрения еще более простым и безболезненным.
Постоянный контроль соответствия
В нынешних реалиях недостаточно однократно применить политику доступа. Это связано не только с требованиями мобильности и необходимостью регулярных перемещений пользователя, но и с особенностями современных требований регуляторов (как внутренних, так и внешних).
Приведем несколько примеров:
- В эксплуатируемом ПО обнаружена критическая уязвимость. Идет новая вирусная эпидемия, и необходимо быть уверенными, что все пользователи при входе в сеть имеют актуальные обновления антивирусных баз.
- За рабочее место сел совершенно другой сотрудник, который должен иметь меньше прав доступа.
Это показывает необходимость постоянного контроля текущего состояния для следующих нужд:
- учет состояния для последующего анализа и модернизации политики доступа;
- обеспечение надлежащего уровня информационной безопасности;
- оперативный поиск и устранение неисправностей в сети;
- формирование отчетности для руководства и аудиторов.
Решение Cisco ISE позволяет не только отслеживать и обобщать информацию о состоянии подключений, но и принимать регулярные реактивные меры, такие как сброс авторизации (Change of Authorization).
ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ РЕШЕНИЯ
Совместная работа и интеграция
Благодаря использованию открытых стандартов Cisco ISE может взаимодействовать с широким спектром стороннего оборудования и сетевых служб. Поддерживаются все устройства, в полной мере реализующие протокол 802.1х, данные аутентификации могут быть получены из Microsoft Active Directory, в качестве протокола управления используется открытый протокол RADIUS. Проприетарные технологии дополняют стек открытых стандартов качественно новыми возможностями, многие из которых уже сейчас находятся на рассмотрении для стандартизации. Так, например, протокол Source-Group
Tag Exchange Protocol (SXP) на стадии рассмотрения для принятия в качестве IETF стандарта.
Соответствие стандартам
Cisco ISE – эффективный инструмент построения политик, приведения в соответствие стандартам (как общим, так и отраслевым) и подтверждения соответствия для внешних и внутренних аудиторов:
- общепринятый ІSO 27001 (разделы 8, 10, 11, 13, 15);
- отраслевой стандарт PCI DSS (разделы 5, 6, 7, 8, 10, 12) и основанный на ISO 27001 СОУ Н НБУ 65;
- законы Украины по защите информации (Закон «О защите информации в ИТС», «Правила обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах», утвержденные постановлением КМУ № 373 от 29.03.2006).
В данный момент на Cisco ISE получен экспертный вывод Госспецсвязи Украины относительно возможности использовать решение Cisco ISE в качестве средства технической защиты информации (экспертное заключение № 454, действительное с 13.08.2013 по 13.08.2016). Это делает возможным применение Сisco ISE для защиты государственной информации и защиты персональных данных.
Стоит помнить, что стандарты формируются на лучших практиках, и даже если нет необходимости соответствовать им в полной мере, всегда будет полезно учесть передовые наработки и требования.
ЧТО ПОЛУЧАЕМ В ИТОГЕ?
Выгоды очевидны:
- комплексное решение всего спектра вопросов, связанных с подключением к сети;
- качественно новый уровень контроля за счет использования передовых технологических решений;
- повышение эффективности труда сотрудников;
- минимизация рисков информационной безопасности;
- соответствие требованиям как внутренних, так и внешних регуляторов.
Cisco ISE предоставляет возможность персонализировать доступ в сеть и построить ролевую модель доступа с учетом информации о контексте (время, место и другие условия).
Ролевая корпоративная политика подключения к сети
В результате внедрения решения Cisco ISE организация получит эффективный многофункциональный инструмент, способный решить весь спектр задач контроля доступа в сеть:
- Инвентаризация и наблюдаемость сетевых подключений
- Учет всех участников подключения в сеть
- Контроль доступа в сеть в точке подключения
- Автоматизация процесса управления доступом в сеть:
1. автоматическое применение политик
2. обеспечение конфиденциальности подключения
3. управление гостевыми подключениями
4. профилирование
5. оценка соответствия
6. учет контекста
7. решение вопроса BYOD
Все это позволит в конечном итоге построить процесс управления сетевыми подключениями, который в полной мере охватит вопросы автоматизации и обеспечения безопасности.
Дополнительную информацию можно найти, посмотрев ролик.
Если у Вас есть вопросы, звоните прямо сейчас на горячую линию Cisco в Украине: 0 800 503 337. Наши операторы ожидают Ваших звонков.
Также Вы можете отправить он-лайн вопрос специалисту Cisco.
Приобрести продукцию Cisco или узнать информацию о ценах можно у наших Партнеров. Они помогут подобрать и реализовать лучшее решение для Вашего бизнеса. Найти Партнера можно по ссылке.
Автор: Андрей Оврашко, системный инженер Cisco