Get best of the week

Como a Cisco opera em modo de acesso remoto e em um perímetro ausente há 20 anos?

Há cerca de 20 anos, a Cisco vive sem o perímetro usual e seus funcionários desfrutam de todos os benefícios do trabalho remoto. Lembro que, quando cheguei à Cisco em 2004, adquiri um laptop corporativo com o Cisco VPN Client instalado e consegui trabalhar de ... mas de qualquer lugar. Durante esse período, trabalhei em casa e no hotel, no trem e no táxi, no avião a uma altitude de 10.000 metros e no metrô. De fato, implementamos o princípio de "trabalho onde estou" e não "eu onde trabalho". Como conseguimos fazer isso? Como implementamos o conceito de “empresa confiável”, que nos ajuda há muitos anos a não perceber eventos desagradáveis ​​que fazem com que muitos de nós nos sintamos desabrigados (é claro, existem vários processos que exigem presença física, por exemplo, a produção de equipamentos)?

imagem

Começarei com o fato de que a maioria dos funcionários da Cisco vive de acordo com o princípio de "alimentar as pernas do lobo", ou seja, está constantemente em movimento. Alguém vai para clientes, alguém para parceiros, alguém para empreiteiros e fornecedores, alguém fala em várias conferências. Obviamente, existem quem trabalha principalmente no escritório, mas esses funcionários têm a oportunidade de trabalhar fora do escritório. Essa abordagem, adotada há muitos anos, nos forçou a reconsiderar a arquitetura tradicional de TI, o que implica a presença de um perímetro que circunda a empresa e seus valiosos ativos de TI e um ou dois pontos de passagem controlados dessa fronteira. Hoje, nos dados da Cisco, você pode navegar entre usuários, dispositivos e aplicativos localizados em qualquer lugar. Claro, estamos falando de movimento controlado.Mas, de qualquer forma, não estamos mais constrangidos pelo conceito de "perímetro", abandonando-o mesmo quando o termo "desperimetrização" (você não o pronuncia pela primeira vez, certo?) Ainda não estava em uso, e o conceito de Zero Trust nem nasceu. .

imagem

Então, nosso serviço de TI, juntamente com o serviço de segurança cibernética, pensou em como garantir que, por um lado, os funcionários da empresa pudessem trabalhar, não ficarei restrito ao requisito de que a maior parte do tempo esteja dentro do perímetro corporativo e, por outro lado, aos dados e aplicativos da empresa. foram protegidos com segurança contra uma ampla gama de ameaças. Tentamos muitas opções diferentes, mas todas tinham certas falhas, já que o elo mais fraco era o laptop de um funcionário que trabalha remotamente, que não estava à sombra das ferramentas de segurança corporativa e poderia se tornar um ponto de entrada em nossa rede para atacantes. E as tentativas de forçar os usuários a sempre trabalhar em uma VPN para "encapsular" todo o tráfego no perímetro, onde verificá-lo, não surtiram efeito, pois quando se deslocam ativamente pelo mundo e se deslocam para um modelo de trabalho baseado em nuvem,“Conduzir” todo o tráfego, mesmo através de gateways VPN instalados em diferentes regiões, foi muito inconveniente, pois introduziu atrasos no trabalho dos usuários e de seus aplicativos. Como resultado, chegamos ao conceito de "dispositivo confiável", que mais tarde se transformou no que chamamos de "empresa confiável". De acordo com esse conceito, vivemos agora.

A ideia de uma empresa confiável é bastante simples e baseia-se em quatro pilares:

  • Identidade confiável (desculpe, não é fácil traduzir brevemente para o russo a Identidade fidedigna), o que implica que, antes de qualquer tentativa de acesso, identificamos e autenticamos qualquer usuário e dispositivo (e aplicativos posteriores) que desejam acessar recursos corporativos hospedados na empresa ou em provedores externos de nuvem.
  • Infraestrutura confiável, incluindo componentes como um dispositivo confiável, um servidor confiável e uma rede confiável. Esse pilar nos permite ter certeza de que tudo o que se conecta (incluindo coisas da Internet) e tudo que se conecta a ela não foi comprometido pelos invasores.
  • , , , . ( ) Amazon AWS , .
  • , , , , , , .

A primeira tabela, identidade confiável, é construída por nós, confiando em três tecnologias principais:

  • Microsoft Active Directory, um diretório corporativo que é o ponto de entrada para identificar e autenticar usuários executando Windows, macOS, Linux e até plataformas móveis.
  • 802.1x, , , . , , , « » (, ..), .. Cisco ISE, , Cisco, , , Cisco, .

imagem
  • (MFA), , «-» , , , . 81% . , Cisco Duo, , — YubiKey, -, TouchID .. , SAML, , Cisco ( , 700 ). , Duo , , MFA ( , , Facebook, Dropbox, Google ).


imagem

Infraestrutura confiável significa que todos os seus componentes, estações de trabalho, servidores, dispositivos móveis e até o próprio equipamento de rede atendem aos requisitos das políticas de segurança - eles têm o software mais recente instalado, o software é corrigido e configurado corretamente, a autenticação é ativada etc.

Se, por razões óbvias, não entrarmos em detalhes, teremos o chamado padrão de dispositivo de usuário confiável que se aplica a qualquer laptop, smartphone ou tablet que se conecte à nossa infraestrutura. Independentemente de este dispositivo ser corporativo ou emitido. Em caso de falha ou impossibilidade de cumprir com esse padrão, o dispositivo simplesmente não se conecta à rede corporativa, independentemente de o usuário se conectar de fora ou tentar fazer isso no escritório, conectando-o a um soquete Ethernet livre. A conformidade com nossos requisitos pode ser monitorada pelo Cisco ISE (a principal ferramenta), Cisco ASA (com acesso remoto), Cisco Firepower (devido ao inventário do tráfego de rede) e Cisco Duo (para plataformas móveis).

imagem

Para servidores, físicos ou virtuais, contêineres, em nossos data centers ou nas nuvens, é aplicado seu próprio padrão. Cerca de 80% dos requisitos coincidem com o que está incluído no padrão para dispositivos do usuário, mas existem, é claro, diferenças. Por exemplo, para servidores, máquinas virtuais e contêineres que executam tarefas muito específicas, cuja lista é limitada, usamos um ambiente de software fechado que impede o lançamento de aplicativos e serviços estranhos. Outro requisito obrigatório é o gerenciamento obrigatório de vulnerabilidades de aplicativos e software de sistema, cuja ordem difere do que é feito em estações de trabalho e dispositivos móveis.

imagem

É claro que os requisitos para os mesmos servidores Windows ou Linux são diferentes entre si, assim como os requisitos para a segurança das informações de máquinas virtuais localizadas no Amazon AWS ou Microsoft Azure, mas é mais provável que as diferenças estejam relacionadas aos recursos de configuração do que aos próprios requisitos. Ao mesmo tempo, tomamos como base o Guia de Hardeining do CIS e os complementamos com várias nuances inerentes. Portanto, antecipando a pergunta “Onde posso obter seus padrões para dispositivos confiáveis?”, Posso simplesmente redirecioná-lo para o site da CIS , onde você encontrará manuais relevantes não apenas nos sistemas operacionais, mas também em vários aplicativos; a menos que no software doméstico não exista esses padrões.

Por fim, também temos nosso próprio padrão para equipamentos de rede - comutadores, roteadores (inclusive virtuais), pontos de acesso sem fio e firewalls. Obviamente, a grande maioria desta lista de nossa produção, mas no caso de empresas adquiridas por nós, existem algumas exceções (como podemos controlar os ativos absorvidos pode ser lido em Habré ). Esse padrão de um dispositivo de rede confiável é baseado em nossas próprias recomendações para proteger equipamentos baseados em IOS, NX-OS, IOS XR, etc. Eles podem ser encontrados não apenas no site da CIS, mas também em nosso site (você encontrará links para eles no final deste material).

imagem

O terceiro pilar de uma empresa confiável é o acesso confiável, cuja implementação depende muito de qual método de acesso e de onde fornecemos. Um dispositivo na rede interna pode tentar acessar o dispositivo também na rede interna. Um usuário de um dispositivo em uma rede externa pode tentar se conectar à nuvem sem usar uma VPN. Um aplicativo pode tentar acessar dados localizados em uma determinada localização geográfica e que não podem ser abandonados (por exemplo, dados pessoais de russos). E pode haver muitos exemplos.

imagem

Portanto, a base do acesso confiável é a segmentação, que restringe qualquer tentativa não autorizada e, mesmo que um invasor ou código malicioso comprometa um dos segmentos, o restante permanecerá seguro. Ao mesmo tempo, falando em segmentação, quero dizer não apenas e não muita segmentação de rede (por endereços IP ou MAC). Pode ser uma segmentação de aplicativos ou contêineres, pode ser uma segmentação de dados, pode ser uma segmentação de usuários.

imagem

Todas essas opções são implementadas em nossa infraestrutura usando a tecnologia SD-Access ., que unifica o acesso com e sem fio, inclusive do ponto de vista da segurança. No caso de combinar escritórios diferentes, usamos SD-WAN e, em data centers e nuvens, uma versão híbrida é usada, dependendo de qual acesso e do que queremos controlar.

imagem

Um ponto importante que é frequentemente esquecido ao implementar a segmentação e controle de acesso. Aplicamos regras de acesso não estatísticas, mas dinâmicas, que dependem não apenas de quem está se conectando e onde, mas também do contexto desse acesso - como a conexão é feita, como o usuário, nó ou aplicativo se comporta, o que eles trocam na estrutura do acesso concedido, Existem vulnerabilidades na comunicação de objetos e objetos, etc.? É isso que nos permite evitar regras discretas de política de SI, por causa das quais muitos incidentes costumam ocorrer. O sistema de proteção simplesmente não sabe como controlar o que acontece entre as verificações. De fato, em nosso país, a verificação contínua do acesso é implementada, de todas as tentativas, acessos, dispositivos, usuários ou aplicativos.Como principais soluções para essa verificação contínua, são utilizados o Cisco ISE mencionado anteriormente (para a rede interna da empresa), o Cisco Tetration (para data centers e nuvens) e o Cisco APIC (para data centers), que são integrados entre si e podem trocar políticas de segurança de ponta a ponta.

imagem

Mas não basta estabelecer regras de acesso, é necessário controlar sua observância, para a qual aplicamos nossas próprias soluções - o Cisco Tetration (para data centers e nuvens) mencionado acima, bem como o Cisco Stealthwatchh Enterprise (para a rede interna) e o Cisco Stealthwatch Cloud (para nuvens). Sobre como monitoramos nossa infraestrutura, eu já escrevi no Habré.

imagem

E as nuvens? Se a Cisco usa os serviços de 700 provedores de nuvem, como garantir um trabalho seguro com eles? Especialmente em um ambiente em que um funcionário pode se conectar à nuvem, ignorando o perímetro corporativo e até mesmo a partir de seu dispositivo pessoal. De fato, não há nada complicado na realização dessa tarefa, se você inicialmente pensar corretamente na arquitetura e nos requisitos apropriados. Para esse fim, há muito tempo, desenvolvemos uma estrutura apropriada chamada CASPR (Cloud Assessment and Service Provider Remediation). Estabelece mais de 100 requisitos de segurança diferentes, divididos em blocos que são apresentados a qualquer provedor de nuvem que queira trabalhar conosco. Obviamente, os requisitos do CASPR não são os mesmos para todas as nuvens, mas dependem de quais informações, qual nível de privacidade,nós queremos processar lá. Temos requisitos de natureza legal, por exemplo, em termos de GDPR ou FZ-152, e técnicos, por exemplo, a capacidade de nos enviar logs de eventos de segurança no modo automático (eu já escrevi sobre isso em Habré).

imagem

Dependendo do tipo de ambiente de nuvem (IaaS, PaaS ou SaaS), "anexamos" nossas próprias ferramentas aos mecanismos de proteção fornecidos pelo provedor (por exemplo, Cisco Tetration, Cisco ASAv, Cisco ISE etc.) e monitoramos seu uso usando o já mencionado Cisco Duo, Cisco Tetration. Cisco Stealthwatch Cloud, bem como com o Cisco CloudLock, uma solução de classe CASB (Cloud Access Security Broker). Sobre os principais momentos relacionados ao monitoramento da segurança das nuvens, eu já escrevi (e a segunda parte ) em Habré.

A quarta tabela do conceito de "empresa confiável" da Cisco são "aplicativos confiáveis", para os quais também temos nosso próprio padrão, ou melhor, um conjunto de padrões que diferem bastante, dependendo de o aplicativo ser adquirido ou desenvolvido por nós, hospedado na nuvem ou em nosso infraestrutura, processa dados pessoais ou não, etc. Não planejei pintar esse pilar em detalhes nesta nota, mas os principais blocos de requisitos são mostrados na ilustração abaixo.

imagem

É claro que chegamos a esse conceito não imediatamente e nem imediatamente. Foi um processo iterativo que refletia as tarefas que os serviços de TI e de TI definiam para os negócios, os incidentes que encontramos com o feedback que recebemos dos funcionários. Penso que não me enganarei se disser que, como todos nós, começamos com políticas de segurança baseadas em endereços IP / MAC e localização do usuário (o acesso remoto foi implementado nesta fase). Em seguida, os expandimos adicionando informações contextuais do Cisco ISE, além de vincular departamentos e projetos individuais da empresa aos objetivos de negócios. À medida que os limites de nossa infraestrutura se abriam para convidados, contratados, contratados, parceiros, novas tarefas e suas soluções em termos de controle de acesso surgiram. A partida ativa para as nuvens levou aque precisávamos desenvolver e implementar um conceito unificado de detecção de ameaças na rede interna, nas nuvens e nos dispositivos dos usuários. Aliás, a propósito, compramos Lancope e Umbrella, o que nos permitiu começar a monitorar com mais eficiência a infraestrutura interna e os usuários externos. Por fim, a compra da Duo nos permitiu iniciar sem problemas a transição para o último nível do modelo de maturidade condicional, o que nos fornece uma verificação contínua em diferentes níveis.a compra da Duo nos permitiu iniciar sem problemas a transição para o último nível do modelo de maturidade condicional, o que nos fornece uma verificação contínua em diferentes níveis.a compra da Duo nos permitiu iniciar sem problemas a transição para o último nível do modelo de maturidade condicional, o que nos fornece uma verificação contínua em diferentes níveis.

imagem

É claro que se você quiser repetir nosso caminho, o elefante deve ser comido em partes. Nem todos os nossos clientes são parecidos conosco em escala e tarefas. Mas muitas de nossas etapas e idéias serão aplicáveis ​​a qualquer empresa. Portanto, podemos gradualmente começar a perceber a idéia de uma "empresa confiável" descrita acima. O conceito de pequenos passos pode ajudá-lo a fazer isso. Comece identificando usuários e dispositivos que se conectam a você, interna e externamente. Em seguida, adicione o controle de acesso com base no estado dos dispositivos e seu contexto. Não mencionei a princípio que a Cisco não possui esse perímetro, e a proteção é construída em torno de cada dispositivo, tornando-o essencialmente independente de nossa infraestrutura. Fornecer controle de dispositivos conectados, inclusive na estrutura de acesso remoto,Você pode alternar facilmente para a segmentação da rede interna e do data center. Esta não é uma tarefa fácil, mas bastante relaxante. A chave para sua implementação é a automação do gerenciamento de políticas de acesso. A quarentena tornou-se, e para alguns, um impulso para retornar ao tópico BYOD, a possibilidade de os funcionários usarem dispositivos pessoais para acessar recursos corporativos ou departamentais. Mas, tendo resolvido as duas primeiras tarefas, você pode traduzi-las facilmente para laptops, smartphones e tablets pessoais de seus funcionários. Tendo resolvido problemas com o acesso à rede, você precisará começar a subir mais - até o nível do aplicativo, realizando segmentação, delimitação e controle de acesso para eles, integrando-os às políticas de acesso à rede. O acorde final pode ser uma política de controle de acesso a dados. Neste ponto, você já saberá de quem e de onde está se conectando,Quais aplicativos e dados precisam de acesso. Você só precisa aplicar esse conhecimento à sua infraestrutura e automatizar o trabalho com dados. Aqui, a propósito, você já pode pensar em DLP. Em seguida, você poderá participar desses 20% dos projetos de implementação de DLP que o Gartner considera bem-sucedidos. Todo o resto é um fracasso, porque as empresas nem sequer conhecem os limites de sua infraestrutura e os pontos de entrada para ela, para que você possa falar sobre o controle deles, sem mencionar o controle de dados.para que você possa falar sobre o controle deles, sem mencionar o controle de dados.para que você possa falar sobre o controle deles, sem mencionar o controle de dados.

imagem

E, depois de ter percebido tudo isso, você perceberá que o belo conceito de Zero Trust (zero trust), que muitos fabricantes e analistas falam hoje, no seu caso se transformou em um sistema realmente funcional. Pelo menos para nós, era exatamente isso. Como escrevi no começo, começamos a implementar o conceito de empresa confiável na Cisco no início dos anos 2000, quando ninguém ouvira um termo como "Zero Trust" (foi proposto pela Forrester apenas em 2010). Mas agora, contando com nossa própria experiência, fomos capazes de implementar essa idéia em nosso portfólio (usamos para nossa própria segurança), chamando tudo de uma bela frase de marketing "Cisco Trusted Access".

imagem

Concluindo, gostaria de observar que a implementação do acesso remoto nos faz olhar de maneira diferente para a forma como o sistema de segurança deve ser construído. Alguém diz que o acesso remoto leva à perda de perímetro. Não não é. Apenas o perímetro está desfocado e suas bordas passam por cada dispositivo, a partir do qual você acessa seus dados e aplicativos localizados dentro da infraestrutura e fora dela. E isso, por sua vez, permite implementar uma arquitetura que responda de maneira muito flexível e eficiente a todas as mudanças que os negócios exigem da segurança da TI e da informação. A Cisco enfrentou isso há muito tempo, quando ainda não havia nenhum problema com o coronavírus e tivemos a oportunidade de implementar gradualmente, sem pressa, o conceito de empresa confiável. Mas isso não significa que nossa experiência não seja aplicável nas realidades atuais. Pelo contrário. Você pode confiar nele,Encha menos cones e cometa menos erros.

Parafraseando o famoso filme soviético “17 Momentos da Primavera”: “Ninguém, às vezes até a si mesmo, pode ser confiável em nosso tempo. Cisco - você pode! " Nossa abordagem e a ausência de incidentes graves e graves em nossa infraestrutura (e temos várias dezenas de milhares de funcionários e tantos parceiros externos quanto usuários de contrapartes têm acesso remoto dentro) provaram que ela não apenas tem direito à vida, mas também nos permite resolver suas tarefas comerciais da maneira mais conveniente para ele, para os negócios, além de confiáveis ​​para a TI e seguras para a segurança das informações.

Informação adicional:



PS. Se você estiver interessado em saber como o acesso remoto é tecnicamente organizado na própria Cisco, em 23 de abril, realizaremos um webinar sobre esse tópico. Mais precisamente, já estamos concluindo uma série de webinars de acesso remoto que acontecem toda quinta-feira. No dia 2 do dia, o webinar foi dedicado ao modelo de ameaça de acesso remoto ( gravação e apresentação de vídeo ). No dia 9, falaremos sobre como proteger o local de trabalho de um trabalhador remoto , e no dia 16, como construir um perímetro com acesso remoto .

More articles:


All Articles