Vers un nouveau modle de scurisation
Le Self-Defending Network
Christophe Perrin, CISSP Market Manager Security
[email protected] 2008Prsentation Scurit 2006 Cisco Systems,
Inc. All rights reserved. Cisco Public
1
La vision historique de la scuritRseaux partenaires
Si
Rseau Sans-Fil (wifi)
Serveurs centraux
Mthodes diverses Mthodes diverses
Connexion des nomadesSites Distants (WAN)Si Si
DMZ
Rseau Campus
La situation :
Internet Public
Majorit des solutions dploys la priphrie Solutions htrognes :
complexit du pilotagePrsentation Scurit 2006 Cisco Systems, Inc.
All rights reserved. Cisco Public
Business Partners
Et malgr les dploiements, encore des incidents de scurit !2
Pourquoi ? Un environnement ouvert, des dfis complexesDe
nouvelles menacesErosion du primtre SPAM / Malware / Recherche de
profit Perte et fuite dinformation
Collaboration et CommunicationMobilit Interne et externe Accueil
des visiteurs, des partenaires Outils de collaboration : TlPrsence/
Vido / IM / Web 2.0
Limpact businessStratgie de gestion des risques IT Conformit aux
normes et rglementations La scurit comme moteur de linnovation
Contrle des cots
Linformation protger est distribue et mobile, la scurit doit
sadapterPrsentation Scurit 2006 Cisco Systems, Inc. All rights
reserved. Cisco Public
3
Le besoin de solutions de scurit
Conformit
Fuite dinformation
Une approche systme est ncessaire pour rationnaliser la gestion
des risques IT
Gestion des menacesPrsentation Scurit 2006 Cisco Systems, Inc.
All rights reserved. Cisco Public
Identit, scurisation interne4
La stratgie Self-Defending Networks
Assurer la continuit de l'activit de l'entreprise impose
dapprhender la scurit au travers d'une approche globale,
d'architecture, et pas simplement de produits. Cisco a dvelopp
larchitecture "Self-Defending Networks", qui combine des solutions
Best-Of-Breed et des fonctions de scurit intgres dans
l'infrastructure dans une approche systme, pour identifier, rpondre
et s'adapter automatiquement aux menaces.
Prsentation Scurit
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
5
Solutions de Scurit CiscoPilotage de la
solutionConfigurationIncidentsRputationIdentit
Scurit des applications Scurit du Contenu Scurit Rseau Scurit du
Endpoint
Intgre des fonctions de protection du poste, du rseau, du
contenu, et des applications pour bloquer les menaces Protge des
dernires menaces, en utilisant des informations rcoltes globalement
lchelle dinternet. Fournit une protection end-to-end, avec une
approche de dfense en profondeur
Cisco Self-Defending Network:Intgrer une scurit Best-of-Breed
dans une approche systme
Prsentation Scurit
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
6
Du Best-of-Breed lapproche systmeMenaces mergentes Menaces
Rpandues
Leadership Produit
Best of Breed
Approche Systme suivant le Best of Breed
Self-Defending Network
Produits Stand Alone
Approche en Silos
Niveau dintgration
By 2010, only one new security threat out of 10 will require the
deployment of a tactical point solution, compared with eight out of
10 in 2005. Gartner 7Prsentation Scurit 2006 Cisco Systems, Inc.
All rights reserved. Cisco Public
La gamme de SolutionsScurit du Contenu Cisco ASAScurisation du
contenu, antispam, anti-virus, filtrage durl
Scurit des applications Cisco ACE XML GatewayInspection SOA et
XML
IronPort Srie CAnti-Spam, Anti-virus, contrle du contenu mail,
chiffrement.
IronPort Srie SAnti-malware, filtrage d'URL, gestion des
politiques d'accs Internet
SenderBaseBase globale des menaces, notes de rputation
CSMAdministration et gestion des politiques de scurit
Cisco Web Application FirewallServices de scurit pour
applications Web
IPSDtection et blocaque des menaces
Cisco Security MARSReporting centralis, dtection et rponse aux
incidents
Cisco Security AgentProtection des serveurs et des PC, en
particulier nomades
Cisco ASAFirewall avec analyse applicative, VPN IPSec et SSL
VPNSite Site et accs distant
NACContrle de lidentit et de la conformit avant laccs au
rseau
Scurit RseauPrsentation Scurit 2006 Cisco Systems, Inc. All
rights reserved. Cisco Public
Scurit du Endpoint8
Une approche systme pour se protger du malware: Visibilit et
Contrle
Firewall et VPNContrle daccs du trafic Chiffrement
Prvention DintrusionDtection Rponse cible
Scurit du ContenuSPAM Email Filtrage Web
Scurit du EndpointHost IPS Solution antivirus
Gestion et monitoring centralisPrsentation Scurit 2006 Cisco
Systems, Inc. All rights reserved. Cisco Public
9
Une solution intgre pour bloquer le malware: IPS, CSA, MARS, and
CSMProtectedSite DistantSite Distant
Un malware tente de rentrer LIPS dtecte lvnement avec la
participation de CSA MARS reoit linformation et corrle lincident
Les IPS sont automatiquement mis jour Une protection consistante et
complte
Site Central
Data Center
Site DistantSite Distant
CS MARSPrsentation Scurit 2006 Cisco Systems, Inc. All rights
reserved. Cisco Public
Policy Distribution10
Data Loss Prevention (DLP)Au del des mesures traditionnellesDLP:
Mesures de scurit permettant de protger les donnes sensibles de
lentreprise, quelles soient en cours dutilisation, en cours de
transport, ou stockes Perte de donne au travers des ports autoriss
(web/mail) Perte/Vol de ressourcesPC Portables Autres quipements
nomades Ressources dans le datacenter
Prsentation Scurit
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
11
Cisco Data Loss Prevention SolutionNAC, CSA, IronPort, et
TrustSecIronPortEmpche la perte de donnes au primtre Politique de
vrification des emails Log des transactions Chiffrement des
messages
NAC ApplianceVrifie que CSA est bien prsent, et que la posture
est saine
TrustSecVritable politique daccs bas sur les rles
InternetInternet
Cisco SMEChiffrement dans le datacenter
Hi Joan, Could you send those files over?
ASA IronPort
NAC Appliance
TrustSec
Internet
Cisco Security Agent
Internet
Sure Bob, Ill find a way to get those files to you!
Scan les fichiers pour trouver les donnes sensibles Empche la
copie vers les media externes Emphce lenvoi au travers de certaines
applications Empche le bypass des solutions de scurit
primtriquesPrsentation Scurit 2006 Cisco Systems, Inc. All rights
reserved. Cisco Public
printer
12
Le besoin de lier identit et rseauExplosion des mthodes daccs et
des profils sur les rseaux (invits, partenaires, employs) Besoin de
construction de bulles de scurit, isoles, avec fonctions de
filtrage avanc (firewall, IPS) entre les bulles. Objectif : Un
service mobile Gestion simple des politiques, par groupe
dutilisateurs et de ressources Accs bas sur lidentit et la
conformit Dploiement simple de services et ressources,
indpendemment de la gographie et de la mthode daccs
Prsentation Scurit
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
13
Identity + NAC + TrustSecPre and Post Admission Network
ServicesfuturServices de Profilingprofiling des devices Monitoring
comportemental Reporting des devices prsents
Role-Based Access ControlIndpendant de la topologie Evolutif,
via tagging
Infrastructure IdentitAuthentification utilisateur et quipement
Contrle daccs rseau Mobilit de lquipement 802.1X/CiscoSecure
ACS
Services Invits
Intgrit et Confidentialit
Identit* Cisco Secure Services Client
+
Portail Guest et Sponsor Bas sur rles Provisioning et
reporting
NAC
+
Protection hop-by-hop Prserve les services L4L7
TrustSec
SSC*
Service de conformitConformit des quipements manags et non
manags Remdiation
Contrle dadmission des quip. rseauAuthentification des
quipements rseau (commutateurs, routeurs..) Infrastructure de
confiance
Prsentation Scurit
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
14
ConclusionSelf-Defending Network: des produits best of breed,
dans une approche systme Solutions de scurit pour protger,
optimiser votre mtier Rduction du risque; rduction de la complexit
; rduction de TCO Lintgration unique de la scurit rseau et de la
scurit du contenu cisco.fr/go/securite
Prsentation Scurit
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
15
Prsentation Scurit
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
16
