Get best of the week

Bagaimana cara Cisco beroperasi dalam mode akses jarak jauh dan garis batas yang tidak ada selama 20 tahun?

Selama sekitar 20 tahun, Cisco telah hidup tanpa batasan biasa, dan karyawannya menikmati semua manfaat dari pekerjaan jarak jauh. Saya ingat ketika saya datang ke Cisco pada tahun 2004, saya mendapatkan laptop perusahaan dengan Cisco VPN Client yang diinstal dan mendapat hak untuk bekerja dari ... tetapi dari mana saja. Selama waktu ini, saya bekerja dari rumah dan hotel, dari kereta dan taksi, dari pesawat di ketinggian 10.000 meter dan di kereta bawah tanah. Sebenarnya, kami telah menerapkan prinsip "bekerja di tempat saya", dan bukan "saya di tempat bekerja". Bagaimana kami bisa melakukan ini? Bagaimana kita menerapkan konsep "perusahaan tepercaya", yang selama bertahun-tahun telah membantu kita untuk tidak melihat peristiwa tidak menyenangkan yang membuat banyak dari kita merasa kehilangan tempat tinggal (tentu saja, ada sejumlah proses yang memerlukan kehadiran fisik, misalnya, produksi peralatan)?

gambar

Saya akan mulai dengan fakta bahwa mayoritas karyawan Cisco hidup dengan prinsip "memberi makan kaki serigala", yaitu, ia terus bergerak. Seseorang pergi ke pelanggan, seseorang ke mitra, seseorang ke kontraktor dan pemasok, seseorang berbicara di berbagai konferensi. Tentu saja, ada yang bekerja terutama di kantor, tetapi karyawan ini memiliki kesempatan untuk bekerja di luar kantor. Pendekatan ini, yang diadopsi bertahun-tahun yang lalu, memaksa kami untuk mempertimbangkan kembali arsitektur TI tradisional, yang menyiratkan adanya perimeter yang mengelilingi perusahaan dan aset TI yang berharga, dan satu atau dua titik persimpangan terkontrol dari perbatasan ini. Hari ini, dalam data Cisco, Anda dapat menavigasi antara pengguna, perangkat apa pun, aplikasi apa pun yang berlokasi di mana saja. Tentu saja, kita berbicara tentang gerakan yang dikendalikan.Tetapi bagaimanapun juga, kita tidak lagi dibatasi oleh konsep "perimeter", meninggalkannya bahkan ketika istilah "deperimetrization" (Anda tidak akan mengucapkannya pertama kali, kan?) Belum digunakan, dan konsep Zero Trust bahkan belum dilahirkan. .

gambar

Kemudian layanan TI kami, bersama dengan layanan keamanan siber, memikirkan cara memastikan bahwa, di satu sisi, karyawan perusahaan dapat bekerja, saya tidak akan terkendala oleh persyaratan bahwa sebagian besar waktu berada di dalam perimeter perusahaan, dan, di sisi lain, data dan aplikasi perusahaan dilindungi dari berbagai ancaman. Kami mencoba banyak opsi berbeda, tetapi mereka semua memiliki kekurangan tertentu, karena tautan terlemah di dalamnya adalah laptop seorang karyawan yang bekerja dari jarak jauh yang tidak berada dalam bayang-bayang alat keamanan perusahaan dan dapat menjadi titik masuk ke jaringan kami untuk penyerang. Dan upaya untuk memaksa pengguna untuk selalu bekerja dalam VPN untuk "membungkus" semua lalu lintas pada perimeter, tempat untuk memeriksanya, tidak memberikan efek, karena ketika secara aktif bergerak di seluruh dunia dan pindah ke model kerja berbasis cloud,"Mengemudi" semua lalu lintas bahkan melalui gateway VPN yang dipasang di berbagai wilayah sangat tidak nyaman, karena hal itu menyebabkan keterlambatan dalam pekerjaan pengguna dan aplikasi mereka. Akibatnya, kami sampai pada konsep "perangkat tepercaya", yang kemudian berubah menjadi apa yang kami sebut "perusahaan tepercaya". Menurut konsep ini, kita hidup sekarang.

Ide perusahaan tepercaya cukup sederhana dan didasarkan pada 4 pilar:

  • Identitas tepercaya (maaf, Trust Identity berbahasa Inggris tidak mudah diterjemahkan secara singkat ke dalam bahasa Rusia), menyiratkan bahwa sebelum upaya akses apa pun, kami mengidentifikasi dan mengautentikasi setiap pengguna dan perangkat (dan aplikasi yang lebih baru) yang ingin mengakses sumber daya perusahaan yang dihosting dalam perusahaan. atau di penyedia cloud eksternal.
  • Infrastruktur tepercaya, termasuk komponen seperti perangkat tepercaya, server tepercaya, dan jaringan tepercaya. Pilar ini memungkinkan kita untuk memastikan bahwa segala sesuatu yang terhubung (termasuk hal-hal Internet) dan segala sesuatu yang terhubung dengannya tidak dikompromikan oleh pengganggu.
  • , , , . ( ) Amazon AWS , .
  • , , , , , , .

Tabel pertama, identitas tepercaya, dibangun oleh kami, mengandalkan tiga teknologi utama:

  • Microsoft Active Directory, direktori perusahaan yang merupakan titik masuk untuk mengidentifikasi dan mengautentikasi pengguna yang menjalankan platform Windows, macOS, Linux, dan bahkan mobile.
  • 802.1x, , , . , , , « » (, ..), .. Cisco ISE, , Cisco, , , Cisco, .

gambar
  • (MFA), , «-» , , , . 81% . , Cisco Duo, , — YubiKey, -, TouchID .. , SAML, , Cisco ( , 700 ). , Duo , , MFA ( , , Facebook, Dropbox, Google ).


gambar

Infrastruktur tepercaya berarti bahwa semua komponen, workstation, server, perangkat seluler, dan bahkan peralatan jaringan itu sendiri, memenuhi persyaratan kebijakan keamanan - mereka memiliki perangkat lunak terbaru yang diinstal, perangkat lunak ditambal dan dikonfigurasi dengan benar, otentikasi diaktifkan, dll.

Jika, karena alasan yang jelas, kami tidak masuk ke detail yang mendalam, maka kami memiliki standar perangkat pengguna tepercaya yang berlaku untuk laptop, ponsel cerdas, atau tablet apa pun yang terhubung ke infrastruktur kami. Terlepas dari apakah perangkat ini milik perusahaan atau dikeluarkan. Dalam hal kegagalan atau ketidakmungkinan untuk mematuhi standar ini, perangkat tidak terhubung ke jaringan perusahaan, terlepas dari apakah pengguna terhubung dari luar atau mencoba melakukan ini di kantor, menghubungkan ke soket Ethernet gratis. Kepatuhan terhadap persyaratan kami dapat dipantau oleh Cisco ISE (alat utama), Cisco ASA (dengan akses jarak jauh), Cisco Firepower (karena inventaris pada lalu lintas jaringan) dan Cisco Duo (untuk platform seluler).

gambar

Untuk server, fisik atau virtual, wadah, di pusat data kami atau di cloud, standarnya sendiri diterapkan. Sekitar 80% dari persyaratan di dalamnya bertepatan dengan apa yang termasuk dalam standar untuk perangkat pengguna, tetapi tentu saja ada perbedaan. Misalnya, untuk server, mesin virtual, dan wadah yang melakukan tugas yang sangat spesifik, yang daftarnya terbatas, kami menggunakan lingkungan perangkat lunak tertutup yang mencegah peluncuran aplikasi dan layanan asing. Persyaratan wajib lainnya adalah manajemen kerentanan wajib untuk aplikasi dan perangkat lunak sistem, yang urutannya berbeda dari apa yang dilakukan pada workstation dan perangkat seluler.

gambar

Jelas bahwa persyaratan untuk server Windows atau Linux yang sama berbeda satu sama lain, seperti persyaratan untuk keamanan informasi mesin virtual yang terletak di Amazon AWS atau Microsoft Azure, tetapi perbedaannya lebih terkait dengan fitur konfigurasi daripada persyaratan itu sendiri. Pada saat yang sama, kami mengambil sebagai dasar Pedoman Hardeining yang siap pakai dari CIS dan menambah mereka dengan sejumlah nuansa yang melekat. Oleh karena itu, mengantisipasi pertanyaan "Di mana saya bisa mendapatkan standar untuk perangkat tepercaya?", Saya cukup mengarahkan Anda ke situs web CIS , di mana Anda akan menemukan manual yang relevan tidak hanya pada sistem operasi, tetapi juga pada berbagai aplikasi; kecuali dalam perangkat lunak dalam negeri tidak ada standar seperti itu.

Terakhir, kami juga memiliki standar sendiri untuk peralatan jaringan - sakelar, router (termasuk yang virtual), titik akses nirkabel, dan firewall. Jelas, sebagian besar dari daftar produksi kami ini, tetapi dalam kasus perusahaan yang diakuisisi oleh kami, ada beberapa pengecualian (bagaimana kami mengontrol aset yang diserap dapat dibaca di Habré ). Standar perangkat jaringan tepercaya ini didasarkan pada rekomendasi kami sendiri untuk melindungi peralatan berbasis iOS, NX-OS, IOS XR, dll. Mereka dapat ditemukan tidak hanya di situs web CIS, tetapi juga di situs web kami (Anda akan menemukan tautan kepada mereka di akhir materi ini).

gambar

Pilar ketiga dari perusahaan tepercaya adalah akses tepercaya, yang implementasinya sangat bergantung pada metode akses mana dan di mana kami menyediakannya. Perangkat di jaringan internal dapat mencoba mengakses perangkat juga di jaringan internal. Pengguna dari perangkat di jaringan eksternal dapat mencoba terhubung ke cloud tanpa menggunakan VPN. Aplikasi dapat mencoba mengakses data yang terletak di lokasi geografis tertentu dan yang tidak dapat meninggalkannya (misalnya, data pribadi Rusia). Dan ada banyak contoh seperti itu.

gambar

Oleh karena itu, dasar dari akses tepercaya adalah segmentasi, yang membatasi upaya tidak sah dan, bahkan jika penyerang atau kode jahat tetap membahayakan salah satu segmen, sisanya akan tetap aman. Pada saat yang sama, berbicara tentang segmentasi, maksud saya tidak hanya dan tidak begitu banyak segmentasi jaringan (berdasarkan alamat IP atau MAC). Ini bisa berupa segmentasi aplikasi atau wadah, bisa segmentasi data, bisa segmentasi pengguna.

gambar

Semua opsi ini diterapkan di infrastruktur kami menggunakan teknologi SD-Access ., yang menyatukan akses kabel dan nirkabel, termasuk dari sudut pandang keamanan. Dalam hal menggabungkan kantor yang berbeda, kami menggunakan SD-WAN, dan di pusat data dan cloud versi hybrid digunakan, tergantung pada akses apa dan apa yang ingin kami kontrol.

gambar

Poin penting yang sering dilupakan ketika mengimplementasikan segmentasi dan kontrol akses. Kami menerapkan bukan statistik, tetapi aturan akses dinamis, yang tidak hanya bergantung pada siapa yang menghubungkan dan di mana, tetapi juga pada konteks akses ini - bagaimana koneksi dibuat, bagaimana pengguna, node atau aplikasi berperilaku, apa yang dipertukarkan dalam kerangka akses yang diberikan, Apakah ada kerentanan dalam mengkomunikasikan subyek dan objek, dll? Inilah yang memungkinkan kita untuk menjauh dari aturan kebijakan IS yang terpisah, karena itu banyak insiden sering terjadi. Sistem perlindungan sama sekali tidak tahu bagaimana mengendalikan apa yang terjadi di antara pemeriksaan. Di negara kita, pada kenyataannya, verifikasi akses berkelanjutan diterapkan, dari setiap upaya, akses, perangkat, pengguna atau aplikasi.Sebagai solusi utama untuk verifikasi berkelanjutan seperti itu, Cisco ISE yang disebutkan sebelumnya (untuk jaringan internal perusahaan), Cisco Tetration (untuk pusat data dan cloud) dan Cisco APIC (untuk pusat data) digunakan, yang terintegrasi di antara mereka sendiri dan dapat bertukar kebijakan keamanan ujung-ke-ujung.

gambar

Tapi itu tidak cukup untuk membuat aturan akses, perlu untuk mengontrol ketaatan mereka, di mana kami menerapkan solusi kami sendiri - Cisco Tetration (untuk pusat data dan cloud) yang disebutkan di atas, serta Cisco Stealthwatchh Enterprise (untuk jaringan internal) dan Cisco Stealthwatch Cloud (untuk cloud). Tentang bagaimana kami memantau infrastruktur kami, saya sudah menulis di Habré.

gambar

Bagaimana dengan awan? Jika Cisco menggunakan layanan dari 700 penyedia cloud, lalu bagaimana memastikan kerja yang aman dengan mereka? Terutama di lingkungan di mana karyawan dapat terhubung ke cloud, melewati batas perusahaan, dan bahkan dari perangkat pribadinya. Bahkan, tidak ada yang rumit dalam mewujudkan tugas ini, jika Anda awalnya memikirkan dengan benar arsitektur yang sesuai dan persyaratan untuk itu. Untuk tujuan ini, beberapa waktu yang lalu, kami mengembangkan kerangka kerja yang sesuai yang disebut CASPR (Cloud Assessment dan Remediation Penyedia Layanan). Ini menetapkan lebih dari 100 persyaratan keamanan yang berbeda, dibagi menjadi beberapa blok yang disajikan kepada penyedia cloud mana pun yang ingin bekerja bersama kami. Tentu saja, persyaratan CASPR tidak sama untuk semua cloud, tetapi tergantung pada informasi apa, tingkat privasi apa,kami ingin memproses di sana. Kami memiliki persyaratan yang bersifat hukum, misalnya, dalam hal GDPR atau FZ-152, dan teknis, misalnya, ketersediaan kemampuan untuk mengirimi kami log peristiwa keamanan dalam mode otomatis (saya sudah menulis tentang ini di Habré).

gambar

Bergantung pada jenis lingkungan cloud (IaaS, PaaS atau SaaS), kami “melampirkan” alat kami sendiri ke mekanisme perlindungan yang disediakan oleh penyedia (misalnya, Cisco Tetration, Cisco ASAv, Cisco ISE, dll.) Dan memantau penggunaannya menggunakan yang telah disebutkan di atas. Cisco Duo, Cisco Tetration. Cisco Stealthwatch Cloud, serta dengan Cisco CloudLock, solusi kelas CASB (Cloud Access Security Broker). Tentang momen-momen penting yang terkait dengan pemantauan keamanan awan, saya sudah menulis (dan bagian kedua ) tentang Habré.

Tabel keempat dari konsep “perusahaan tepercaya” Cisco adalah “aplikasi tepercaya”, yang untuknya kami juga memiliki standar kami sendiri, atau lebih tepatnya seperangkat standar yang sangat berbeda tergantung pada apakah aplikasi tersebut dibeli atau dikembangkan oleh kami, apakah itu di-host di cloud atau di kami infrastruktur, memproses data pribadi atau tidak, dll. Saya tidak berencana untuk melukis pilar ini secara rinci dalam catatan ini, tetapi blok persyaratan utama ditunjukkan dalam ilustrasi di bawah ini.

gambar

Jelas bahwa kami sampai pada konsep ini tidak segera dan tidak sekaligus. Itu adalah proses berulang yang mencerminkan tugas-tugas yang ditetapkan oleh layanan IT dan IS untuk bisnis, insiden yang kami temui dengan umpan balik yang kami terima dari karyawan. Saya pikir saya tidak akan salah jika saya mengatakan bahwa, seperti kita semua, kita mulai dengan kebijakan keamanan berdasarkan alamat IP / MAC dan lokasi pengguna (akses jarak jauh dilaksanakan pada tahap ini). Kemudian kami memperluas mereka dengan menambahkan informasi kontekstual dari Cisco ISE, serta menghubungkan setiap departemen dan proyek perusahaan dengan tujuan bisnis. Ketika batasan infrastruktur kami terbuka untuk tamu, kontraktor, kontraktor, mitra, tugas dan solusi baru muncul dalam hal kontrol akses. Kepergian aktif ke awan menyebabkanbahwa kami perlu mengembangkan dan menerapkan konsep terpadu tentang deteksi ancaman di jaringan internal, di awan dan di perangkat pengguna. Di sini, omong-omong, ternyata kami membeli Lancope dan Payung, yang memungkinkan kami untuk mulai lebih efektif memantau infrastruktur internal dan pengguna eksternal. Akhirnya, pembelian Duo memungkinkan kami memulai transisi dengan lancar ke level terakhir dari model jatuh tempo bersyarat, yang memberi kami verifikasi berkelanjutan di berbagai level.pembelian Duo memungkinkan kami memulai transisi dengan lancar ke level terakhir dari model jatuh tempo bersyarat, yang memberi kami verifikasi berkelanjutan di berbagai level.pembelian Duo memungkinkan kami memulai transisi dengan lancar ke level terakhir dari model jatuh tempo bersyarat, yang memberi kami verifikasi berkelanjutan di berbagai level.

gambar

Jelas bahwa jika Anda ingin mengulangi jalan kami, maka gajah harus dimakan sebagian. Tidak semua pelanggan kami sama dengan kami dalam skala dan tugas. Tetapi banyak langkah dan ide kami akan berlaku untuk perusahaan mana pun. Oleh karena itu, kita dapat secara bertahap mulai menyadari gagasan "perusahaan tepercaya" yang dijelaskan di atas. Konsep langkah-langkah kecil dapat membantu Anda melakukan ini. Mulailah dengan mengidentifikasi pengguna dan perangkat yang terhubung dengan Anda, baik secara internal maupun eksternal. Kemudian tambahkan kontrol akses berdasarkan keadaan perangkat dan konteksnya. Saya tidak menyebutkan pada awalnya bahwa Cisco tidak memiliki perimeter seperti itu, dan perlindungan dibangun di sekitar masing-masing perangkat, sehingga dasarnya independen dari infrastruktur kami. Menyediakan kontrol perangkat yang terhubung, termasuk dalam kerangka akses jarak jauh,Anda dapat dengan lancar beralih ke segmentasi jaringan internal dan pusat data. Ini bukan tugas yang mudah, tetapi cukup mengangkat. Kunci penerapannya adalah otomatisasi manajemen kebijakan akses. Karantina telah menjadi, dan bagi sebagian orang akan menjadi, dorongan untuk kembali ke topik BYOD, kemungkinan karyawan menggunakan perangkat pribadi untuk mengakses sumber daya perusahaan atau departemen. Tetapi setelah menyelesaikan dua tugas pertama, Anda dapat dengan mudah menerjemahkannya ke laptop pribadi, smartphone, dan tablet karyawan Anda. Setelah menyelesaikan masalah dengan akses jaringan, Anda harus mulai naik lebih tinggi - ke level aplikasi, menyadari segmentasi, pembatasan dan kontrol akses untuk mereka, mengintegrasikannya dengan kebijakan akses jaringan. Akord terakhir mungkin merupakan kebijakan kontrol akses data. Pada titik ini, Anda sudah tahu dari siapa dan di mana Anda terhubung,Aplikasi mana dan data mana yang perlu akses. Anda hanya perlu menerapkan pengetahuan ini ke infrastruktur Anda dan mengotomatiskan pekerjaan dengan data. Di sini, omong-omong, Anda sudah bisa memikirkan DLP. Kemudian Anda bisa masuk ke dalam 20% proyek implementasi DLP yang dianggap sukses oleh Gartner. Segala sesuatu yang lain adalah kegagalan, karena perusahaan seringkali bahkan tidak mengetahui batas infrastruktur mereka dan titik masuknya, sehingga Anda dapat berbicara tentang kontrol mereka, belum lagi kontrol data.sehingga Anda dapat berbicara tentang kontrol mereka, belum lagi kontrol data.sehingga Anda dapat berbicara tentang kontrol mereka, belum lagi kontrol data.

gambar

Dan setelah menyadari semua ini, Anda akan menyadari bahwa konsep Zero Trust yang indah (zero trust), yang dibicarakan banyak produsen dan analis hari ini, dalam kasus Anda telah berubah menjadi sistem yang benar-benar berfungsi. Setidaknya bagi kami itu hanya itu. Seperti yang saya tulis di awal, kami mulai menerapkan konsep perusahaan tepercaya di Cisco pada awal 2000-an, ketika tidak ada yang pernah mendengar istilah seperti "Zero Trust" (diusulkan oleh Forrester hanya pada 2010). Tetapi sekarang, dengan mengandalkan pengalaman kami sendiri, kami dapat menerapkan ide ini dalam portofolio kami (kami menggunakannya untuk keamanan kami sendiri), menyebutnya sebagai frase pemasaran yang indah "Akses Tepercaya Cisco".

gambar

Sebagai kesimpulan, saya ingin mencatat bahwa penerapan akses jarak jauh membuat kita melihat secara berbeda pada bagaimana sistem keamanan harus dibangun. Seseorang mengatakan bahwa akses jarak jauh menyebabkan hilangnya perimeter. Tidak, bukan itu. Hanya saja garis batasnya kabur dan batas-batasnya melewati setiap perangkat, tempat Anda mengakses data dan aplikasi yang terletak di dalam infrastruktur dan di luarnya. Dan ini, pada gilirannya, memungkinkan Anda untuk mengimplementasikan arsitektur yang merespons dengan sangat fleksibel dan efisien terhadap semua perubahan yang diperlukan bisnis dari TI dan keamanan informasi. Cisco menghadapi ini sejak lama ketika belum ada masalah dengan coronavirus dan kami memiliki kesempatan untuk secara bertahap, tanpa tergesa-gesa, mengimplementasikan konsep perusahaan tepercaya. Tetapi ini tidak berarti bahwa pengalaman kami tidak berlaku dalam kenyataan saat ini. Di sisi lain. Anda bisa mengandalkannya,Isi kerucut lebih sedikit dan buat lebih sedikit kesalahan.

Mengutip film terkenal Soviet "17 Moments of Spring": "Tidak seorang pun, kadang-kadang bahkan diri sendiri, dapat dipercaya di zaman kita. Cisco - Anda bisa! " Pendekatan kami, dan tidak adanya insiden besar dan serius dalam infrastruktur kami (dan kami memiliki puluhan ribu karyawan serta banyak mitra eksternal dan pengguna rekanan yang memiliki akses jarak jauh di dalam), membuktikan bahwa itu tidak hanya memiliki hak untuk hidup, tetapi juga memungkinkan kami untuk menyelesaikan tugas bisnisnya dengan cara yang paling nyaman baginya, bisnis, serta dapat diandalkan untuk TI dan aman untuk keamanan informasi.

Informasi tambahan:



PS. Jika Anda tertarik pada bagaimana akses jarak jauh diatur secara teknis di Cisco itu sendiri, maka pada 23 April kami akan melakukan webinar tentang topik ini. Lebih tepatnya, kami telah menyelesaikan serangkaian webinar akses jarak jauh yang berlangsung setiap hari Kamis. Pada tanggal 2 hari webinar didedikasikan untuk model ancaman akses jarak jauh ( perekaman video dan presentasi ). Pada tanggal 9, kita akan berbicara tentang cara melindungi tempat kerja pekerja jarak jauh , dan pada tanggal 16, bagaimana membangun perimeter dengan akses jarak jauh .

More articles:


All Articles