Get best of the week

¿Cómo ha estado funcionando Cisco en modo de acceso remoto y un perímetro ausente durante 20 años?

Durante unos 20 años, Cisco ha estado viviendo sin el perímetro habitual, y sus empleados disfrutan de todos los beneficios del trabajo remoto. Recuerdo que cuando llegué a Cisco en 2004, tuve en mis manos una computadora portátil corporativa con el Cisco VPN Client instalado y obtuve el derecho de trabajar desde ... pero desde cualquier lugar. Durante este tiempo, trabajé desde casa y hotel, desde el tren y el taxi, desde el avión a una altitud de 10.000 metros y en el metro. De hecho, hemos implementado el principio de "trabajar donde estoy" y no "yo donde está el trabajo". ¿Cómo logramos hacer esto? ¿Cómo implementamos el concepto de una "empresa confiable", que nos ha estado ayudando durante muchos años a no notar eventos desagradables que nos hacen sentir sin hogar (por supuesto, hay una serie de procesos que requieren presencia física, por ejemplo, la producción de equipos)?

imagen

Comenzaré con el hecho de que la mayoría de los empleados de Cisco viven según el principio de "alimentar las patas del lobo", es decir, está en constante movimiento. Alguien acude a clientes, alguien a socios, alguien a contratistas y proveedores, alguien habla en varias conferencias. Por supuesto, hay quienes trabajan principalmente en la oficina, pero estos empleados tienen la oportunidad de trabajar fuera de la oficina. Este enfoque, adoptado hace muchos años, nos obligó a reconsiderar la arquitectura tradicional de TI, lo que implica la presencia de un perímetro que rodea a la empresa y sus valiosos activos de TI, y uno o dos puntos de cruce controlados de esta frontera. Hoy, en los datos de Cisco, puede navegar entre cualquier usuario, cualquier dispositivo, cualquier aplicación ubicada en cualquier lugar. Por supuesto, estamos hablando de movimiento controlado.Pero en cualquier caso, ya no estamos limitados por el concepto de "perímetro", abandonándolo incluso cuando el término "desperimetrización" (no lo pronunciará la primera vez, ¿verdad?) Todavía no estaba en uso, y el concepto de Zero Trust ni siquiera nació .

imagen

Luego, nuestro servicio de TI, junto con el servicio de ciberseguridad, pensó en cómo asegurarse de que, por un lado, los empleados de la empresa pudieran trabajar, no estaré limitado por el requisito de que la mayoría de las veces está dentro del perímetro corporativo y, por otro lado, los datos y las aplicaciones de la empresa estaban protegidos de manera confiable contra una amplia gama de amenazas. Probamos muchas opciones diferentes, pero todas tenían ciertas fallas, ya que el eslabón más débil en ellas era la computadora portátil de un empleado que trabajaba remotamente y que no estaba a la sombra de las herramientas de seguridad corporativas y podía convertirse en un punto de entrada a nuestra red para los atacantes. Y los intentos de obligar a los usuarios a trabajar siempre en una VPN para "envolver" todo el tráfico en el perímetro, donde verificarlo, no tuvo efecto, ya que cuando se mueve activamente alrededor del mundo y se muda a un modelo de trabajo basado en la nube,"Conducir" todo el tráfico incluso a través de las puertas de enlace VPN instaladas en diferentes regiones fue muy inconveniente, ya que introdujo demoras en el trabajo de los usuarios y sus aplicaciones. Como resultado, llegamos al concepto de "dispositivo confiable", que luego se transformó en lo que llamamos una "empresa confiable". Según este concepto, vivimos ahora.

La idea de una empresa confiable es bastante simple y se basa en 4 pilares:

  • Identidad de confianza (lo siento, la identidad de confianza en inglés no es fácil de traducir brevemente al ruso), lo que implica que antes de cualquier intento de acceso, identificamos y autenticamos a cualquier usuario y dispositivo (y aplicaciones posteriores) que quieran acceder a los recursos corporativos alojados en la empresa o en proveedores externos de la nube.
  • Infraestructura confiable, que incluye componentes como un dispositivo confiable, un servidor confiable y una red confiable. Este pilar nos permite estar seguros de que todo lo que se conecta (incluidas las cosas de Internet) y todo lo que se conecta a él no se vio comprometido por intrusos.
  • , , , . ( ) Amazon AWS , .
  • , , , , , , .

La primera tabla, identidad de confianza, la construimos nosotros, confiando en tres tecnologías clave:

  • Microsoft Active Directory, un directorio empresarial que es el punto de entrada para identificar y autenticar usuarios que ejecutan Windows, macOS, Linux e incluso plataformas móviles.
  • 802.1x, , , . , , , « » (, ..), .. Cisco ISE, , Cisco, , , Cisco, .

imagen
  • (MFA), , «-» , , , . 81% . , Cisco Duo, , — YubiKey, -, TouchID .. , SAML, , Cisco ( , 700 ). , Duo , , MFA ( , , Facebook, Dropbox, Google ).


imagen

Una infraestructura confiable significa que todos sus componentes, estaciones de trabajo, servidores, dispositivos móviles e incluso el equipo de red en sí, cumplen con los requisitos de las políticas de seguridad: tienen el último software instalado, el software está parcheado y configurado correctamente, la autenticación está habilitada, etc.

Si, por razones obvias, no entramos en detalles, entonces tenemos el llamado estándar de dispositivo de usuario confiable que se aplica a cualquier computadora portátil, teléfono inteligente o tableta que se conecte a nuestra infraestructura. Independientemente de si este dispositivo es corporativo o emitido. En caso de falla o imposibilidad de cumplir con este estándar, el dispositivo simplemente no se conecta a la red corporativa, independientemente de si el usuario se conecta desde el exterior o intenta hacerlo en la oficina, enchufándose a un enchufe Ethernet libre. Cisco ISE (la herramienta principal), Cisco ASA (con acceso remoto), Cisco Firepower (debido al inventario en el tráfico de red) y Cisco Duo (para plataformas móviles) pueden monitorear el cumplimiento de nuestros requisitos.

imagen

Para servidores, físicos o virtuales, contenedores, en nuestros centros de datos o en las nubes, se aplica su propio estándar. Alrededor del 80% de los requisitos en él coinciden con lo que se incluye en el estándar para dispositivos de usuario, pero hay, por supuesto, diferencias. Por ejemplo, para servidores, máquinas virtuales y contenedores que realizan tareas muy específicas, cuya lista es limitada, utilizamos un entorno de software cerrado que impide el lanzamiento de aplicaciones y servicios extraños. Otro requisito obligatorio es la gestión de vulnerabilidades obligatorias de la aplicación y el software del sistema, cuyo orden difiere de lo que se hace en estaciones de trabajo y dispositivos móviles.

imagen

Está claro que los requisitos para los mismos servidores Windows o Linux son diferentes entre sí, al igual que los requisitos para la seguridad de la información de las máquinas virtuales ubicadas en Amazon AWS o Microsoft Azure, pero las diferencias están más relacionadas con las características de configuración que los requisitos mismos. Al mismo tiempo, tomamos como base la Guía de endurecimiento preparada de CIS y los complementamos con una serie de matices inherentes. Por lo tanto, anticipándome a la pregunta "¿Dónde puedo obtener sus estándares para dispositivos confiables?", Simplemente puedo redirigirlo al sitio web de CIS , donde encontrará manuales relevantes no solo sobre sistemas operativos, sino también sobre diversas aplicaciones; a menos que en el software doméstico no existan tales estándares.

Finalmente, también tenemos nuestro propio estándar para equipos de red: conmutadores, enrutadores (incluidos los virtuales), puntos de acceso inalámbrico y firewalls. Obviamente, la gran mayoría de esta lista de nuestra producción, pero en el caso de las empresas adquiridas por nosotros, hay algunas excepciones (cómo podemos controlar los activos absorbidos se puede leer en Habré ). Este estándar de un dispositivo de red confiable se basa en nuestras propias recomendaciones para proteger equipos basados ​​en IOS, NX-OS, IOS XR, etc. Se pueden encontrar no solo en el sitio web de CIS, sino también en nuestro sitio web (encontrará enlaces a ellos al final de este material).

imagen

El tercer pilar de una empresa confiable es el acceso confiable, cuya implementación depende en gran medida de qué método de acceso y dónde lo proporcionamos. Un dispositivo en la red interna puede intentar acceder al dispositivo también en la red interna. Un usuario de un dispositivo en una red externa puede intentar conectarse a la nube sin usar una VPN. Una aplicación puede intentar acceder a datos ubicados en una determinada ubicación geográfica y que no pueden abandonarlos (por ejemplo, datos personales de rusos). Y puede haber muchos ejemplos de este tipo.

imagen

Por lo tanto, la base del acceso confiable es la segmentación, que restringe cualquier intento no autorizado e, incluso si un atacante o un código malicioso compromete uno de los segmentos, el resto permanecerá seguro. Al mismo tiempo, hablando de segmentación, me refiero no solo a la segmentación de la red (por las direcciones IP o MAC). Puede ser una segmentación de aplicaciones o contenedores, puede ser una segmentación de datos, puede ser una segmentación de usuarios.

imagen

Todas estas opciones se implementan en nuestra infraestructura utilizando la tecnología SD-Access ., que unifica el acceso por cable e inalámbrico, incluso desde un punto de vista de seguridad. En el caso de combinar diferentes oficinas, usamos SD-WAN, y en centros de datos y nubes se usa una versión híbrida, dependiendo de qué acceso y qué queremos controlar.

imagen

Un punto importante que a menudo se olvida al implementar la segmentación y el control de acceso. Aplicamos reglas de acceso no estadísticas, sino dinámicas, que dependen no solo de quién se conecta y dónde, sino también del contexto de este acceso: cómo se realiza la conexión, cómo se comporta el usuario, nodo o aplicación, qué intercambian en el marco del acceso otorgado, ¿Hay alguna vulnerabilidad en la comunicación de sujetos y objetos, etc.? Esto es lo que nos permite alejarnos de las reglas discretas de la política de IS, por lo que a menudo ocurren muchos incidentes. El sistema de protección simplemente no sabe cómo controlar lo que sucede entre controles. En nuestro país, de hecho, se implementa la verificación continua de acceso, de cada intento, acceso, dispositivo, usuario o aplicación.Como las principales soluciones para dicha verificación continua, se utilizan el Cisco ISE mencionado anteriormente (para la red interna de la empresa), Cisco Tetration (para centros de datos y nubes) y Cisco APIC (para centros de datos), que están integrados entre sí y pueden intercambiar políticas de seguridad de extremo a extremo.

imagen

Pero no es suficiente establecer reglas de acceso, es necesario controlar su cumplimiento, para lo cual aplicamos nuestras propias soluciones: Cisco Tetration (para centros de datos y nubes) mencionados anteriormente, así como Cisco Stealthwatchh Enterprise (para la red interna) y Cisco Stealthwatch Cloud (para nubes). Sobre cómo monitoreamos nuestra infraestructura, ya escribí en Habré.

imagen

¿Qué hay de las nubes? Si Cisco utiliza los servicios de 700 proveedores en la nube, ¿cómo garantizar un trabajo seguro con ellos? Especialmente en un entorno donde un empleado puede conectarse a la nube, evitando el perímetro corporativo, e incluso desde su dispositivo personal. De hecho, no hay nada complicado en la realización de esta tarea, si inicialmente piensa correctamente sobre la arquitectura y los requisitos apropiados para ello. Para este propósito, hace bastante tiempo, desarrollamos un marco apropiado llamado CASPR (Evaluación de la nube y remediación del proveedor de servicios). Establece más de 100 requisitos de seguridad diferentes, divididos en bloques que se presentan a cualquier proveedor de la nube que quiera trabajar con nosotros. Por supuesto, los requisitos de CASPR no son los mismos para todas las nubes, sino que dependen de qué información, qué nivel de privacidad,Queremos procesar allí. Tenemos requisitos de naturaleza legal, por ejemplo, en términos de GDPR o FZ-152, y técnicos, por ejemplo, la capacidad de enviarnos registros de eventos de seguridad en modo automático (ya escribí sobre esto en Habré).

imagen

Dependiendo del tipo de entorno de nube (IaaS, PaaS o SaaS), "adjuntamos" nuestras propias herramientas a los mecanismos de protección proporcionados por el proveedor (por ejemplo, Cisco Tetration, Cisco ASAv, Cisco ISE, etc.) y monitoreamos su uso utilizando los ya mencionados Cisco Duo, Cisco Tetration. Cisco Stealthwatch Cloud, así como con Cisco CloudLock, una solución de clase CASB (Cloud Access Security Broker). Sobre los momentos clave relacionados con el monitoreo de la seguridad de las nubes, ya escribí (y la segunda parte ) sobre Habré.

La cuarta tabla del concepto de "empresa confiable" de Cisco es "aplicaciones confiables", para las cuales también tenemos nuestro propio estándar, o más bien un conjunto de estándares que difieren mucho dependiendo de si la aplicación la compramos o la desarrollamos, si está alojada en la nube o en nuestro infraestructura, procesa datos personales o no, etc. No planeé pintar este pilar en detalle en esta nota, pero los bloques clave de requisitos se muestran en la siguiente ilustración.

imagen

Está claro que llegamos a este concepto no de inmediato y de inmediato. Fue un proceso iterativo que reflejó las tareas que los servicios de TI e IS establecieron para el negocio, los incidentes que encontramos con los comentarios que recibimos de los empleados. Creo que no me equivocaré si digo que, como todos nosotros, comenzamos con políticas de seguridad basadas en las direcciones IP / MAC y la ubicación del usuario (el acceso remoto se implementó en esta etapa). Luego los expandimos agregando información contextual de Cisco ISE, así como vinculando departamentos individuales y proyectos de la compañía con los objetivos comerciales. A medida que los límites de nuestra infraestructura se abrieron para los huéspedes, surgieron contratistas, contratistas, socios, nuevas tareas y sus soluciones en términos de control de acceso. La salida activa a las nubes condujo aque necesitábamos desarrollar e implementar un concepto unificado de detección de amenazas en la red interna, en las nubes y en los dispositivos de los usuarios. Aquí, por cierto, resultó que compramos Lancope y Umbrella, lo que nos permitió comenzar a monitorear de manera más efectiva la infraestructura interna y los usuarios externos. Finalmente, la compra de Duo nos permitió comenzar sin problemas la transición al último nivel del modelo de madurez condicional, lo que nos proporciona una verificación continua en diferentes niveles.La compra de Duo nos permitió comenzar sin problemas la transición al último nivel del modelo de madurez condicional, lo que nos proporciona una verificación continua en diferentes niveles.La compra de Duo nos permitió comenzar sin problemas la transición al último nivel del modelo de madurez condicional, lo que nos proporciona una verificación continua en diferentes niveles.

imagen

Está claro que si quieres repetir nuestro camino, entonces el elefante debe ser comido en partes. No todos nuestros clientes son iguales con nosotros en escala y tareas. Pero muchos de nuestros pasos e ideas serán aplicables a cualquier empresa. Por lo tanto, gradualmente podemos comenzar a darnos cuenta de la idea de una "empresa confiable" descrita anteriormente. El concepto de pequeños pasos puede ayudarlo a hacer esto. Comience por identificar a los usuarios y dispositivos que se conectan con usted, tanto interna como externamente. Luego agregue control de acceso basado en el estado de los dispositivos y su contexto. Al principio no mencioné que Cisco no tiene ese perímetro, y la protección se construye alrededor de cada dispositivo, lo que lo hace esencialmente independiente de nuestra infraestructura. Proporcionar control de dispositivos conectados, incluso en el marco de acceso remoto,Puede cambiar sin problemas a la segmentación de la red interna y el centro de datos. Esta no es una tarea fácil, pero bastante difícil. La clave para su implementación es la automatización de la gestión de políticas de acceso. La cuarentena se ha convertido, y para algunos lo será, en un impulso para volver al tema de BYOD, la posibilidad de que los empleados usen dispositivos personales para acceder a recursos corporativos o departamentales. Pero una vez resueltas las dos primeras tareas, puedes traducirlas fácilmente a computadoras portátiles personales, teléfonos inteligentes y tabletas de tus empleados. Una vez resueltos los problemas con el acceso a la red, deberá comenzar a elevarse más: al nivel de la aplicación, dándose cuenta de la segmentación, delimitación y control de acceso para ellos, integrándolos con las políticas de acceso a la red. El acorde final puede ser una política de control de acceso a datos. En este punto, ya sabrá desde quién y desde dónde se está conectando,Qué aplicaciones y qué datos necesitan acceso. Solo tiene que aplicar este conocimiento a su infraestructura y automatizar el trabajo con datos. Aquí, por cierto, ya puedes pensar en DLP. Luego, puede ingresar al 20% de los proyectos de implementación de DLP que Gartner considera exitosos. Todo lo demás es un fracaso, porque las empresas a menudo ni siquiera conocen los límites de su infraestructura y los puntos de entrada a la misma, por lo que puede hablar sobre su control, sin mencionar el control de datos.para que pueda hablar sobre su control, sin mencionar el control de datos.para que pueda hablar sobre su control, sin mencionar el control de datos.

imagen

Y al darse cuenta de todo esto, se dará cuenta de que el hermoso concepto Zero Trust (confianza cero), del que muchos fabricantes y analistas hablan hoy, en su caso, se ha convertido en un sistema realmente funcional. Al menos para nosotros fue solo eso. Como escribí al principio, comenzamos a implementar el concepto de una empresa confiable en Cisco a principios de la década de 2000, cuando nadie había escuchado un término como "Confianza cero" (Forrester lo propuso solo en 2010). Pero ahora, confiando en nuestra propia experiencia, pudimos implementar esta idea en nuestra cartera (la usamos para nuestra propia seguridad), llamándola una hermosa frase de marketing "Cisco Trusted Access".

imagen

En conclusión, me gustaría señalar que la implementación del acceso remoto nos hace ver de manera diferente cómo se debe construir el sistema de seguridad. Alguien dice que el acceso remoto conduce a la pérdida del perímetro. No, no es. Es solo que el perímetro está borroso y sus bordes pasan a través de cada dispositivo, desde el cual accede a sus datos y aplicaciones ubicadas dentro de la infraestructura y fuera de ella. Y esto, a su vez, le permite implementar una arquitectura que responde de manera muy flexible y eficiente a todos los cambios que la empresa requiere de TI y seguridad de la información. Cisco se enfrentó a esto hace mucho tiempo cuando todavía no había problemas con el coronavirus y tuvimos la oportunidad de implementar gradualmente, sin prisa, el concepto de una empresa confiable. Pero esto no significa que nuestra experiencia no sea aplicable en las realidades actuales. De lo contrario. Puedes confiar en élLlena menos conos y comete menos errores.

Parafraseando la famosa película soviética "17 momentos de la primavera": "Nadie, a veces incluso uno mismo, se puede confiar en nuestro tiempo. Cisco: ¡puedes! Nuestro enfoque y la ausencia de incidentes graves y graves en nuestra infraestructura (y tenemos varias decenas de miles de empleados y tantos socios externos y usuarios de contratistas con acceso remoto en el interior) demostraron que no solo tiene derecho a la vida, sino que también nos permite resolver sus tareas comerciales de la manera más conveniente para él, el negocio, así como confiable para TI y seguro para la seguridad de la información.

Información Adicional:



PD. Si está interesado en cómo el acceso remoto está técnicamente organizado en el propio Cisco, el 23 de abril realizaremos un seminario web sobre este tema. Más precisamente, ya estamos completando una serie de seminarios web de acceso remoto que tienen lugar todos los jueves. El 2 del día, el seminario web se dedicó al modelo de amenaza de acceso remoto ( grabación de video y presentación ). El día 9, hablaremos sobre cómo proteger el lugar de trabajo de un trabajador remoto , y el día 16, cómo construir un perímetro con acceso remoto .

More articles:


All Articles