🍼 📒 🙅 Comment Cisco fonctionne-t-il en mode d'accès à distance et dans un périmètre absent depuis 20 ans? 👧 👩🏼 👳🏿

Depuis environ 20 ans, Cisco vit sans le périmètre habituel et ses employés bénéficient de tous les avantages du travail à distance. Je me souviens que lorsque je suis arrivé chez Cisco en 2004, j'avais un ordinateur portable d'entreprise avec le client VPN Cisco installé et j'avais le droit de travailler depuis ... mais de n'importe où. Pendant ce temps, je travaillais depuis la maison et l'hôtel, depuis le train et le taxi, depuis l'avion à 10 000 mètres d'altitude et dans le métro. En fait, nous avons mis en œuvre le principe du «travail là où je suis» et non pas «moi où le travail est». Comment avons-nous réussi à faire cela? Comment avons-nous mis en œuvre le concept d'une «entreprise de confiance» qui, depuis de nombreuses années, nous aide à ne pas remarquer les événements désagréables qui font que beaucoup d'entre nous se sentent sans abri (bien sûr, un certain nombre de processus nécessitent une présence physique, par exemple, la production d'équipements)?

Je commencerai par le fait que la majorité des employés de Cisco vivent selon le principe de «nourrir les jambes du loup», c'est-à-dire qu'il est constamment en mouvement. Quelqu'un va aux clients, quelqu'un aux partenaires, quelqu'un aux entrepreneurs et fournisseurs, quelqu'un parle à diverses conférences. Bien sûr, il y a ceux qui travaillent principalement au bureau, mais ces employés ont la possibilité de travailler en dehors du bureau. Cette approche, adoptée il y a plusieurs années, nous a obligés à reconsidérer l'architecture informatique traditionnelle, ce qui implique la présence d'un périmètre qui encercle l'entreprise et ses précieux actifs informatiques, et un ou deux points de passage contrôlés de cette frontière. Aujourd'hui, dans les données Cisco, vous pouvez naviguer entre tous les utilisateurs, tous les appareils, toutes les applications situées n'importe où. Bien sûr, nous parlons de mouvement contrôlé.Mais en tout cas, nous ne sommes plus contraints par le concept de «périmètre», l'abandonnant même lorsque le terme «déperimétrisation» (vous ne le prononcerez pas la première fois, non?) N'était pas encore utilisé, et le concept de Zero Trust n'était même pas né .

Ensuite, notre service informatique, en collaboration avec le service de cybersécurité, a réfléchi à la manière de s'assurer que, d'une part, les employés de l'entreprise puissent travailler, je ne serai pas contraint par l'exigence que la plupart du temps se trouve à l'intérieur du périmètre de l'entreprise, et, d'autre part, les données et applications de l'entreprise étaient protégés de manière fiable contre un large éventail de menaces. Nous avons essayé de nombreuses options différentes, mais elles présentaient toutes certains défauts, car le maillon le plus faible était l'ordinateur portable d'un employé travaillant à distance qui n'était pas dans l'ombre des outils de sécurité de l'entreprise et pouvait devenir un point d'entrée dans notre réseau pour les attaquants. Et les tentatives de forcer les utilisateurs à toujours travailler dans un VPN afin de "boucler" tout le trafic sur le périmètre, où le vérifier, n'ont pas eu d'effet, car lorsqu'ils se déplacent activement dans le monde et passent à un modèle de travail basé sur le cloud,«Conduire» tout le trafic, même via des passerelles VPN installées dans différentes régions, était très gênant, car cela entraînait des retards dans le travail des utilisateurs et de leurs applications. En conséquence, nous sommes arrivés au concept de «périphérique de confiance», qui s'est ensuite transformé en ce que nous avons appelé une «entreprise de confiance». Selon ce concept, nous vivons maintenant.

L'idée d'une entreprise de confiance est assez simple et repose sur 4 piliers:

Identité de confiance (désolé, l'identité de confiance de langue anglaise n'est pas facile à traduire brièvement en russe), ce qui implique qu'avant toute tentative d'accès, nous identifions et authentifions tout utilisateur et appareil (et les applications ultérieures) qui souhaitent accéder aux ressources d'entreprise hébergées au sein de l'entreprise ou dans des fournisseurs de cloud externes.
Infrastructure approuvée, y compris des composants tels qu'un appareil approuvé, un serveur approuvé et un réseau approuvé. Ce pilier nous permet de nous assurer que tout ce qui se connecte (y compris Internet) et tout ce qui s'y connecte n'a pas été compromis par des intrus.
, , , . ( ) Amazon AWS , .
, , , , , , .

La première table, l'identité de confiance, est construite par nos soins, en s'appuyant sur trois technologies clés:

Microsoft Active Directory, un annuaire d'entreprise qui est le point d'entrée pour identifier et authentifier les utilisateurs exécutant Windows, macOS, Linux et même des plates-formes mobiles.
802.1x, , , . , , , « » (, ..), .. Cisco ISE, , Cisco, , , Cisco, .

(MFA), , «-» , , , . 81% . , Cisco Duo, , — YubiKey, -, TouchID .. , SAML, , Cisco ( , 700 ). , Duo , , MFA ( , , Facebook, Dropbox, Google ).

Une infrastructure de confiance signifie que tous ses composants, postes de travail, serveurs, appareils mobiles et même l'équipement réseau lui-même sont conformes aux exigences des politiques de sécurité - ils ont le dernier logiciel installé, le logiciel est patché et configuré correctement, l'authentification est activée, etc.

Si, pour des raisons évidentes, nous n'entrons pas dans les détails, nous avons alors la norme dite de l'appareil utilisateur de confiance qui s'applique à tout ordinateur portable, smartphone ou tablette qui se connecte à notre infrastructure. Peu importe si cet appareil est d'entreprise ou émis. En cas de défaillance ou d'impossibilité de se conformer à cette norme, l'appareil ne se connecte tout simplement pas au réseau d'entreprise, que l'utilisateur se connecte de l'extérieur ou essaie de le faire au bureau, en se connectant à une prise Ethernet gratuite. La conformité à nos exigences peut être contrôlée par Cisco ISE (l'outil principal), Cisco ASA (avec accès à distance), Cisco Firepower (en raison de l'inventaire sur le trafic réseau) et Cisco Duo (pour les plates-formes mobiles).

Pour les serveurs, physiques ou virtuels, conteneurs, dans nos centres de données ou dans les clouds, son propre standard est appliqué. Environ 80% des exigences y coïncident avec ce qui est inclus dans la norme pour les appareils utilisateur, mais il y a bien sûr des différences. Par exemple, pour les serveurs, les machines virtuelles et les conteneurs qui effectuent des tâches très spécifiques, dont la liste est limitée, nous utilisons un environnement logiciel fermé qui empêche le lancement d'applications et de services étrangers. Une autre exigence obligatoire est la gestion obligatoire des vulnérabilités des applications et des logiciels système, dont l'ordre diffère de ce qui se fait sur les postes de travail et les appareils mobiles.

Il est clair que les exigences pour les mêmes serveurs Windows ou Linux sont différentes les unes des autres, tout comme les exigences pour la sécurité des informations des machines virtuelles situées dans Amazon AWS ou Microsoft Azure, mais les différences sont plus susceptibles de se rapporter aux fonctionnalités de configuration qu'aux exigences elles-mêmes. Dans le même temps, nous avons pris comme base le guide Hardeining prêt à l'emploi de CIS et l'avons complété par un certain nombre de nuances inhérentes. Par conséquent, en anticipant la question «Où puis-je obtenir vos normes pour les appareils de confiance?», Je peux simplement vous rediriger vers le site Web de CIS , où vous trouverez des manuels pertinents non seulement sur les systèmes d'exploitation, mais aussi sur diverses applications; à moins que dans les logiciels nationaux il n'y ait pas de telles normes.

Enfin, nous avons également notre propre norme pour les équipements réseau - commutateurs, routeurs (y compris virtuels), points d'accès sans fil et pare-feu. Évidemment, la grande majorité de cette liste de notre production, mais dans le cas des sociétés acquises par nous, il y a quelques exceptions (la façon dont nous contrôlons les actifs absorbés peut être lue sur Habré ). Cette norme d'un périphérique réseau de confiance est basée sur nos propres recommandations pour la protection des équipements basés sur IOS, NX-OS, IOS XR, etc. Ils peuvent être trouvés non seulement sur le site Web du CIS, mais également sur notre site Web (vous trouverez des liens vers eux à la fin de ce document).

Le troisième pilier d'une entreprise de confiance est l'accès de confiance, dont la mise en œuvre dépend fortement de la méthode d'accès et de l'endroit où nous la fournissons. Un périphérique sur le réseau interne peut essayer d'accéder également au périphérique sur le réseau interne. Un utilisateur d'un appareil sur un réseau externe peut essayer de se connecter au cloud sans utiliser de VPN. Une application peut essayer d'accéder à des données situées dans une certaine zone géographique et qui ne peuvent pas la quitter (par exemple, les données personnelles de Russes). Et il peut y avoir de nombreux exemples.

Par conséquent, la base de l'accès sécurisé est la segmentation, qui limite toute tentative non autorisée et, même si un attaquant ou un code malveillant compromet néanmoins l'un des segments, le reste restera en sécurité. En même temps, en parlant de segmentation, je veux dire non seulement et pas tant la segmentation du réseau (par adresses IP ou MAC). Il peut s'agir d'une segmentation d'applications ou de conteneurs, il peut s'agir d'une segmentation de données, il peut s'agir d'une segmentation d'utilisateurs.

Toutes ces options sont implémentées dans notre infrastructure à l'aide de la technologie SD-Access ., qui unifie l'accès filaire et sans fil, y compris du point de vue de la sécurité. Dans le cas de la combinaison de différents bureaux, nous utilisons SD-WAN, et dans les centres de données et les clouds, une version hybride est utilisée, en fonction de l'accès et de ce que nous voulons contrôler.

Un point important qui est souvent oublié lors de la mise en œuvre de la segmentation et du contrôle d'accès. Nous appliquons des règles d'accès non statistiques, mais dynamiques, qui dépendent non seulement de qui se connecte et où, mais aussi du contexte de cet accès - comment se fait la connexion, comment se comporte l'utilisateur, le nœud ou l'application, ce qu'ils échangent dans le cadre de l'accès accordé, Existe-t-il des vulnérabilités dans la communication des sujets et des objets, etc.? C'est ce qui nous permet de sortir des règles de politique SI discrètes, à cause desquelles de nombreux incidents se produisent souvent. Le système de protection ne sait tout simplement pas comment contrôler ce qui se passe entre les contrôles. Dans notre pays, en effet, une vérification continue de l'accès est mise en œuvre, de chaque tentative, accès, appareil, utilisateur ou application.En tant que principales solutions pour une telle vérification continue, Cisco ISE (pour le réseau interne de l'entreprise), Cisco Tetration (pour les centres de données et les nuages) et Cisco APIC (pour les centres de données) mentionnés ci-dessus sont utilisés, qui sont intégrés entre eux et peuvent échanger des politiques de sécurité de bout en bout.

Mais il ne suffit pas d'établir des règles d'accès, il est nécessaire de contrôler leur respect, pour lequel nous appliquons nos propres solutions - Cisco Tetration (pour les centres de données et les nuages) mentionné ci-dessus, ainsi que Cisco Stealthwatchh Enterprise (pour le réseau interne) et Cisco Stealthwatch Cloud (pour les nuages). Sur la façon dont nous surveillons notre infrastructure, j'ai déjà écrit sur Habré.

Et les nuages? Si Cisco utilise les services de 700 fournisseurs de cloud, comment garantir un travail en toute sécurité avec eux? Surtout dans un environnement où un employé peut se connecter au cloud, en contournant le périmètre de l'entreprise, et même depuis son appareil personnel. En fait, il n'y a rien de compliqué à réaliser cette tâche, si vous réfléchissez initialement correctement à l'architecture et aux exigences appropriées. À cette fin, il y a assez longtemps, nous avons développé un cadre approprié appelé CASPR (Cloud Assessment and Service Provider Remediation). Il établit plus de 100 exigences de sécurité différentes, divisées en blocs qui sont présentés à tout fournisseur de cloud qui souhaite travailler avec nous. Bien sûr, les exigences CASPR ne sont pas les mêmes pour tous les clouds, mais dépendent de quelles informations, de quel niveau de confidentialité,nous voulons y traiter. Nous avons des exigences à la fois légales, par exemple en termes de GDPR ou FZ-152, et techniques, par exemple, de pouvoir nous envoyer des journaux d'événements de sécurité en mode automatique (j'ai déjà écrit à ce sujet sur Habré).

Selon le type d'environnement cloud (IaaS, PaaS ou SaaS), nous «attachons» nos propres outils aux mécanismes de protection fournis par le fournisseur (par exemple, Cisco Tetration, Cisco ASAv, Cisco ISE, etc.) et contrôlons son utilisation à l'aide des éléments déjà mentionnés. Cisco Duo, Cisco Tetration. Cisco Stealthwatch Cloud, ainsi qu'avec Cisco CloudLock, une solution de classe CASB (Cloud Access Security Broker). Concernant les moments clés liés à la surveillance de la sécurité des nuages, j'ai déjà écrit (et la deuxième partie ) sur Habré.

Le quatrième tableau du concept «entreprise de confiance» de Cisco est «applications de confiance», pour lesquelles nous avons également notre propre norme, ou plutôt un ensemble de normes qui diffèrent considérablement selon que l'application est achetée ou développée par nous, qu'elle soit hébergée dans le cloud ou dans notre infrastructure, il traite des données personnelles ou non, etc. Je n'avais pas prévu de peindre ce pilier en détail dans cette note, mais les principaux blocs d'exigences sont indiqués dans l'illustration ci-dessous.

Il est clair que nous sommes arrivés à ce concept pas immédiatement et pas tout de suite. Il s'agissait d'un processus itératif qui reflétait les tâches que les services informatiques et informatiques avaient définies pour l'entreprise, les incidents que nous avons rencontrés avec les commentaires que nous avons reçus des employés. Je pense que je ne me tromperai pas si je dis que, comme nous tous, nous avons commencé avec des politiques de sécurité basées sur les adresses IP / MAC et l'emplacement des utilisateurs (l'accès à distance a été mis en œuvre à ce stade). Nous les avons ensuite étendus en ajoutant des informations contextuelles de Cisco ISE, ainsi qu'en liant les différents services et projets de l'entreprise aux objectifs commerciaux. Alors que les limites de notre infrastructure s'ouvraient aux clients, aux entrepreneurs, aux entrepreneurs, aux partenaires, de nouvelles tâches et leurs solutions en termes de contrôle d'accès ont vu le jour. Un départ actif vers les nuages a conduit àdont nous avions besoin pour développer et mettre en œuvre un concept unifié de détection des menaces dans le réseau interne, dans les nuages et sur les appareils des utilisateurs. Ici, en passant, il s'est avéré que nous avons acheté Lancope et Umbrella, ce qui nous a permis de commencer à surveiller plus efficacement l'infrastructure interne et les utilisateurs externes. Enfin, l'achat de Duo nous a permis d'entamer en douceur la transition vers le dernier niveau du modèle de maturité conditionnelle, qui nous fournit une vérification continue à différents niveaux.L'achat de Duo nous a permis d'entamer en douceur la transition vers le dernier niveau du modèle de maturité conditionnelle, qui nous fournit une vérification continue à différents niveaux.L'achat de Duo nous a permis de commencer en douceur la transition vers le dernier niveau du modèle de maturité conditionnelle, qui nous permet une vérification continue à différents niveaux.

Il est clair que si vous voulez répéter notre chemin, alors l'éléphant doit être mangé par parties. Tous nos clients ne nous ressemblent pas en termes d'échelle et de tâches. Mais bon nombre de nos étapes et idées seront applicables à toute entreprise. Par conséquent, nous pouvons progressivement commencer à réaliser l'idée d'une «entreprise de confiance» décrite ci-dessus. Le concept de petites étapes peut vous y aider. Commencez par identifier les utilisateurs et les appareils qui se connectent à vous, à la fois en interne et en externe. Ajoutez ensuite le contrôle d'accès en fonction de l'état des appareils et de son contexte. Je n'ai pas mentionné au début que Cisco n'a pas un tel périmètre, et la protection est construite autour de chaque appareil, ce qui le rend essentiellement indépendant de notre infrastructure. Assurer le contrôle des appareils connectés, y compris dans le cadre de l'accès à distance,Vous pouvez passer en douceur à la segmentation du réseau interne et du centre de données. Ce n'est pas une tâche facile, mais assez relevante. La clé de sa mise en œuvre est l'automatisation de la gestion des politiques d'accès. La mise en quarantaine est devenue, et pour certains, une impulsion pour revenir au sujet BYOD, la possibilité pour les employés d'utiliser des appareils personnels pour accéder aux ressources de l'entreprise ou du département. Mais après avoir résolu les deux premières tâches, vous pouvez facilement les traduire sur les ordinateurs portables, smartphones et tablettes personnels de vos employés. Après avoir résolu les problèmes d'accès au réseau, vous devrez commencer à monter plus haut - au niveau de l'application, en réalisant la segmentation, la délimitation et le contrôle d'accès pour eux, en les intégrant aux politiques d'accès au réseau. L'accord final peut être une politique de contrôle d'accès aux données. À ce stade, vous saurez déjà de qui et d'où vous vous connectez,Quelles applications et quelles données ont besoin d'accéder. Il vous suffit d'appliquer ces connaissances à votre infrastructure et d'automatiser le travail avec les données. Ici, au fait, vous pouvez déjà penser au DLP. Ensuite, vous pouvez entrer dans ces 20% des projets d'implémentation DLP que Gartner considère comme réussis. Tout le reste est un échec, car les entreprises ne connaissent souvent même pas les limites de leur infrastructure et les points d'entrée, de sorte que vous pouvez parler de leur contrôle, sans parler du contrôle des données.afin que vous puissiez parler de leur contrôle, sans parler du contrôle des données.afin que vous puissiez parler de leur contrôle, sans parler du contrôle des données.

Et après avoir réalisé tout cela, vous vous rendrez compte que le beau concept Zero Trust (zéro confiance), dont de nombreux fabricants et analystes parlent aujourd'hui, dans votre cas s'est transformé en un système vraiment fonctionnel. Au moins pour nous, c'était juste ça. Comme je l'ai écrit au tout début, nous avons commencé à mettre en œuvre le concept d'entreprise de confiance chez Cisco au début des années 2000, lorsque personne n'avait entendu un terme tel que «Zero Trust» (il n'a été proposé par Forrester qu'en 2010). Mais maintenant, en nous appuyant sur notre propre expérience, nous avons pu mettre en œuvre cette idée dans notre portefeuille (nous l'utilisons pour notre propre sécurité), appelant tout cela une belle phrase marketing «Cisco Trusted Access».

En conclusion, je voudrais noter que la mise en œuvre de l'accès à distance nous fait regarder différemment la manière dont le système de sécurité doit être construit. Quelqu'un dit que l'accès à distance entraîne une perte de périmètre. Non, ça ne l'est pas. C'est juste que le périmètre s'estompe et que ses frontières traversent chaque appareil, à partir duquel vous accédez à vos données et applications situées à l'intérieur et à l'extérieur de l'infrastructure. Et cela, à son tour, vous permet de mettre en œuvre une architecture qui répond de manière très flexible et efficace à tous les changements que les entreprises exigent de la sécurité informatique et de l'information. Cisco a fait face à cela il y a longtemps quand il n'y avait pas encore de problème avec le coronavirus et nous avons eu l'occasion de mettre en œuvre progressivement, sans hâte, le concept d'entreprise de confiance. Mais cela ne signifie pas que notre expérience n'est pas applicable dans les réalités actuelles. Au contraire. Vous pouvez compter sur lui,Remplissez moins de cônes et faites moins d'erreurs.

Pour paraphraser le célèbre film soviétique «17 moments de printemps»: «Personne, parfois même soi-même, ne peut faire confiance à notre époque. Cisco - vous le pouvez! " Notre approche, et l'absence d'incidents majeurs et graves dans notre infrastructure (et nous avons plusieurs dizaines de milliers d'employés et autant de partenaires externes et d'utilisateurs sous-traitants à l'intérieur), ont prouvé qu'elle a non seulement le droit à la vie, mais nous permet également de résoudre ses tâches commerciales de la manière la plus pratique pour lui, l'entreprise, ainsi que fiable pour l'informatique et sûr pour la sécurité de l'information.

Information additionnelle:

Comment Cisco surveille-t-il la sécurité des informations des entreprises absorbées et leur donne-t-il accès à leurs ressources?
Surveillance de la sécurité du cloud (parties 1 et 2 )
Comment Cisco surveille-t-il la sécurité de son réseau interne?
Cisco?
Cisco Security Ninja 20 ?
Cisco Cisco IOS, NX OS, IOS XR, Cisco UCS, Cisco TelePresence

PS. Si vous êtes intéressé par la façon dont l'accès à distance est techniquement organisé dans Cisco lui-même, le 23 avril, nous organiserons un webinaire sur ce sujet. Plus précisément, nous complétons déjà une série de webinaires d'accès à distance qui ont lieu tous les jeudis. Le 2 de la journée, le webinaire était consacré au modèle de menace d'accès à distance ( enregistrement vidéo et présentation ). Le 9, nous parlerons de la façon de protéger le lieu de travail d'un télétravailleur et le 16, de la construction d'un périmètre avec accès à distance .

Comment Cisco fonctionne-t-il en mode d'accès à distance et dans un périmètre absent depuis 20 ans?

Information additionnelle:

More articles: