Vers un nouveau modèle de sécurisation

Transcription

1 Vers un nouveau modèle de sécurisation Le «Self-Defending Network» Christophe Perrin, CISSP Market Manager Security Juin

2 La vision historique de la sécurité Réseaux partenaires Réseau Sans-Fil (wifi) Si Serveurs centraux Méthodes diverses Méthodes diverses Connexion des nomades Sites Distants (WAN) Si Si Réseau Campus DMZ La situation : Internet Public Majorité des solutions déployés à la périphérie Solutions hétérogènes : complexité du pilotage Business Partners Et malgré les déploiements, encore des incidents de sécurité! 2

3 Pourquoi? Un environnement ouvert, des défis complexes De nouvelles menaces Erosion du périmètre SPAM / Malware / Recherche de profit Perte et fuite d information Collaboration et Communication Mobilité Interne et externe Accueil des visiteurs, des partenaires Outils de collaboration : TéléPrésence/ Vidéo / IM / Web 2.0 L impact business Stratégie de gestion des risques IT Conformité aux normes et réglementations La sécurité comme moteur de l innovation Contrôle des coûts L information à protéger est distribuée et mobile, la sécurité doit s adapter 3

4 Le besoin de solutions de sécurité Conformité Fuite d information Une approche système est nécessaire pour rationnaliser la gestion des risques IT Gestion des menaces Identité, sécurisation interne 4

5 La stratégie «Self-Defending Networks» Assurer la continuité de l'activité de l'entreprise impose d appréhender la sécurité au travers d'une approche globale, d'architecture, et pas simplement de produits. Cisco a développé l architecture "Self-Defending Networks", qui combine des solutions Best-Of-Breed et des fonctions de sécurité intégrées dans l'infrastructure dans une approche système, pour identifier, répondre et s'adapter automatiquement aux menaces. 5

6 Solutions de Sécurité Cisco Pilotage de la solution Configuration Incidents Réputation Identité Sécurité des applications Sécurité du Contenu Sécurité Réseau Sécurité du Endpoint Cisco Self-Defending Network: Intégrer une sécurité Best-of-Breed dans une approche système Intègre des fonctions de protection du poste, du réseau, du contenu, et des applications pour bloquer les menaces Protège des dernières menaces, en utilisant des informations récoltées globalement à l échelle d internet. Fournit une protection end-to-end, avec une approche de défense en profondeur 6

7 Du Best-of-Breed à l approche système Menaces émergentes Menaces Répandues Leadership Produit Best of Breed Produits Stand Alone Approche en Silos Approche Système suivant le Best of Breed Self-Defending Network Niveau d intégration By 2010, only one new security threat out of 10 will require the deployment of Présentationa tactical Sécurité 2006 Cisco point Systems, Inc. solution, All rights reserved. compared Cisco Public with eight out of 10 in Gartner 7

8 La gamme de Solutions Sécurité du Contenu Sécurité des applications Cisco ASA Sécurisation du contenu, antispam, anti-virus, filtrage d url IronPort Série C Anti-Spam, Anti-virus, contrôle du contenu mail, chiffrement. Cisco ACE XML Gateway Inspection SOA et XML IronPort Série S Anti-malware, filtrage d'url, gestion des politiques d'accès à Internet SenderBase Base globale des menaces, notes de réputation CSM Administration et gestion des politiques de sécurité Cisco Web Application Firewall Services de sécurité pour applications Web IPS Détection et blocaque des menaces Cisco ASA Firewall avec analyse applicative, VPN IPSec et SSL VPN Site à Site et accès distant Cisco Security MARS Reporting centralisé, détection et réponse aux incidents NAC Contrôle de l identité et de la conformité avant l accès au réseau Cisco Security Agent Protection des serveurs et des PC, en particulier nomades Sécurité Réseau Sécurité du Endpoint 8

9 Une approche système pour se protéger du malware: Visibilité et Contrôle Firewall et VPN Prévention D intrusion Sécurité du Contenu Sécurité du Endpoint Contrôle d accès du trafic Chiffrement Détection Réponse ciblée SPAM Filtrage Web Host IPS Solution antivirus Gestion et monitoring centralisé 9

10 Une solution intégrée pour bloquer le malware: IPS, CSA, MARS, and CSM Protected Site Distant Un malware tente de rentrer Site Distant L IPS détecte l événement avec la participation de CSA CS MARS Site Central Site Distant Data Center Site Distant Policy Distribution MARS reçoit l information et corrèle l incident Les IPS sont automatiquement mis à jour Une protection consistante et complète 10

11 Data Loss Prevention (DLP) Au delà des mesures traditionnelles DLP: Mesures de sécurité permettant de protéger les données sensibles de l entreprise, qu elles soient en cours d utilisation, en cours de transport, ou stockées Perte de donnée au travers des ports autorisés (web/mail) Perte/Vol de ressources PC Portables Autres équipements nomades Ressources dans le datacenter 11

12 Cisco Data Loss Prevention Solution NAC, CSA, IronPort, et TrustSec IronPort Empêche la perte de données au périmètre Politique de vérification des s Log des transactions Chiffrement des messages Internet Internet NAC Appliance Vérifie que CSA est bien présent, et que la posture est saine TrustSec Véritable politique d accès basé sur les rôles Cisco SME Chiffrement dans le datacenter Hi Joan, Could you send those files over? IronPort ASA Cisco Security Agent Scan les fichiers pour trouver les données sensibles Empêche la copie vers les media externes Empêhce l envoi au travers de certaines applications Empêche le bypass des solutions de sécurité périmétriques Internet Internet NAC Appliance TrustSec printer Sure Bob, I ll find a way to get those files to you! 12

13 Le besoin de lier identité et réseau Explosion des méthodes d accès et des profils sur les réseaux (invités, partenaires, employés ) Besoin de construction de bulles de sécurité, isolées, avec fonctions de filtrage avancé (firewall, IPS) entre les bulles. Objectif : Un service mobile Gestion simple des politiques, par groupe d utilisateurs et de ressources Accès basé sur l identité et la conformité Déploiement simple de services et ressources, indépendemment de la géographie et de la méthode d accès 13

14 Identity + NAC + TrustSec Pre and Post Admission Network Services Services de Profiling futur Role-Based Access Control Infrastructure Identité Authentification utilisateur et équipement Contrôle d accès réseau Identité Mobilité de l équipement 802.1X/CiscoSecure ACS profiling des devices Monitoring comportemental Reporting des devices présents Services Invités + NAC + TrustSec Portail Guest et Sponsor Basé sur rôles Provisioning et reporting Indépendant de la topologie Evolutif, via tagging Intégrité et Confidentialité Protection hop-by-hop Préserve les services L4 L7 * Cisco Secure Services Client SSC* Service de conformité Conformité des équipements managés et non managés Remédiation Contrôle d admission des équip. réseau Authentification des équipements réseau (commutateurs, routeurs..) Infrastructure de confiance 14

15 Conclusion Self-Defending Network: des produits best of breed, dans une approche système Solutions de sécurité pour protéger, optimiser votre métier Réduction du risque; réduction de la complexité ; réduction de TCO L intégration unique de la sécurité réseau et de la sécurité du contenu cisco.fr/go/securite 15

16 16