🧒🏼 🕞 🥈 思科如何在远程访问模式和缺席的环境中运行20年？ 🖤 👩🏾‍🏫 🤜

大约20年来，思科一直没有通常的生活，其员工享有远程工作的所有好处。我记得2004年加入Cisco时，我有一台装有笔记本电脑的Cisco VPN Client的公司笔记本电脑，并且有权从...到任何地方工作。在这段时间里，我从家里和旅馆，火车和出租车，海拔10,000米的飞机以及地铁上工作。实际上，我们实现了“我在哪里工作”而不是“我在哪里工作”的原则。我们如何做到这一点？我们如何实施“受信任的企业”的概念？多年来，该概念一直在帮助我们避免注意到使我们许多人无家可归的令人不快的事件（当然，有许多过程需要物理存在，例如设备生产）？

首先，我要说的是，思科的大多数员工都是按照“养狼脚”的原则生活的，也就是说，它一直在运转。有人去客户，有人去合作伙伴，有人去承包商和供应商，有人在各种会议上讲话。当然，有些人主要在办公室里工作，但是这些员工有机会在办公室外工作。多年以前采用的这种方法迫使我们重新考虑传统的IT体系结构，这意味着存在包围公司及其宝贵IT资产的外围区域，以及边界的一两个受控过境点。如今，在Cisco数据中，您可以在任何用户，任何设备，任何位置的任何应用程序之间导航。当然，我们在谈论受控运动。但是无论如何，我们不再受“周界”概念的束缚，即使“去perpermettrization”一词（您不会第一次说对，对吗？）仍然没有使用它，甚至零信任的概念也没有诞生。

然后，我们的IT服务与网络安全服务一起考虑如何一方面确保公司员工能够正常工作，但我不会因为大部分时间都在公司内部以及另一方面，公司的数据和应用程序而受到限制受到可靠保护，免受各种威胁。我们尝试了许多不同的选择，但是它们都有一定的缺陷，因为其中最薄弱的环节是远程工作的员工的笔记本电脑，该员工不在公司安全工具的保护范围之内，并且可能成为攻击者进入我们网络的入口。并试图迫使用户始终使用VPN来“包装”周边的所有流量（在哪里进行检查）并没有产生效果，因为当您在全球范围内积极迁移并转向基于云的工作模型时，即使通过安装在不同地区的VPN网关来“驱动”所有流量，也很不方便，因为这会延迟用户及其应用程序的工作。结果，我们想到了“受信任的设备”的概念，该概念后来转化为我们所谓的“受信任的企业”。根据这个概念，我们现在生活。

值得信赖的企业的想法很简单，它基于四个支柱：

可信身份（对不起，英语中的“信任身份”很难简单地翻译成俄语），这意味着在进行任何访问尝试之前，我们会识别并验证要访问公司托管的公司资源的任何用户和设备（及更高版本的应用程序）或在外部云提供商中。
可信基础架构，包括诸如可信设备，可信服务器和可信网络之类的组件。该支柱使我们可以确保所有连接的内容（包括Internet事物）和与其连接的所有内容都不会受到入侵者的破坏。
, , , . ( ) Amazon AWS , .
, , , , , , .

第一个表，受信任的身份，是我们根据三种关键技术构建的：

Microsoft Active Directory，这是一个企业目录，是识别和验证运行Windows，macOS，Linux甚至移动平台的用户的入口点。
802.1x, , , . , , , « » (, ..), .. Cisco ISE, , Cisco, , , Cisco, .

(MFA), , «-» , , , . 81% . , Cisco Duo, , — YubiKey, -, TouchID .. , SAML, , Cisco ( , 700 ). , Duo , , MFA ( , , Facebook, Dropbox, Google ).

受信任的基础架构意味着其所有组件，工作站，服务器，移动设备乃至网络设备本身都符合安全策略的要求-安装了最新软件，正确地修补和配置了软件，启用了身份验证等。

如果出于显而易见的原因，我们没有深入探讨细节，那么我们就有所谓的受信任用户设备标准，该标准适用于连接到我们基础架构的任何笔记本电脑，智能手机或平板电脑。无论此设备是公司设备还是已发行的设备。如果出现故障或无法遵守该标准的情况，则无论用户是从外部连接还是在办公室尝试将其插入免费的以太网插座，该设备都不会连接到公司网络。可以通过Cisco ISE（主要工具），Cisco ASA（具有远程访问权限），Cisco Firepower（由于网络流量清单）和Cisco Duo（用于移动平台）来监视是否符合我们的要求。

对于我们的数据中心或云中的服务器，无论是物理还是虚拟容器，都将使用其自己的标准。其中大约80％的要求与用户设备标准中包含的要求一致，但是当然存在差异。例如，对于执行非常特定任务的服务器，虚拟机和容器，这些任务的列表是有限的，我们使用封闭的软件环境来防止启动任何无关的应用程序和服务。另一个强制性要求是应用程序和系统软件的强制性漏洞管理，其顺序与在工作站和移动设备上执行的顺序不同。

显然，对相同Windows或Linux服务器的要求彼此不同，对位于Amazon AWS或Microsoft Azure中的虚拟机的信息安全性的要求也有所不同，但是差异与配置功能相关，而不是要求本身。同时，我们以独联体现成的《哈德宁指南》为基础，并在其中补充了许多固有的细微差别。因此，在预料到“我在哪里可以得到可信设备的标准？”这个问题时，我可以直接将您重定向到CIS网站，您不仅可以在操作系统上找到相关手册，还可以在各种应用程序上找到相关手册。除非在家用软件中没有此类标准。

最后，我们对网络设备也有自己的标准-交换机，路由器（包括虚拟设备），无线访问点和防火墙。显然，这是我们产品清单中的绝大部分，但对于我们收购的公司而言，有一些例外情况（我们可以通过哈布雷（Habré）阅读如何控制所吸收的资产）。此受信任的网络设备标准基于我们自己的建议，用于保护基于IOS，NX-OS，IOS XR等的设备。它们不仅可以在CIS网站上找到，而且可以在我们的网站上找到（您将在本材料的末尾找到指向它们的链接）。

可信企业的第三大支柱是可信访问，其实现在很大程度上取决于哪种访问方法以及我们在何处提供它。内部网络上的设备可能会尝试也在内部网络上访问该设备。来自外部网络上的设备的用户可能会尝试不使用VPN而连接到云。应用程序可能会尝试访问位于某个地理位置的数据，而该数据不能离开该数据（例如，俄罗斯人的个人数据）。并且可以有很多这样的例子。

因此，可信访问的基础是分段，分段可以限制任何未经授权的尝试，并且即使攻击者或恶意代码仍然破坏了其中一个分段，其余分段仍将保持安全。同时，谈到分段，我的意思不仅是而且不是太多的网络分段（通过IP或MAC地址）。它可以是应用程序或容器的细分，可以是数据的细分，也可以是用户的细分。

所有这些选项都使用SD-Access技术在我们的基础架构中实现。，从安全的角度来看，这将有线和无线访问统一起来。在合并不同办公室的情况下，我们使用SD-WAN，而在数据中心和云中则使用混合版本，具体取决于访问权限和控制对象。

在实现分段和访问控制时，通常会忘记一个重要点。我们采用的不是统计数据而是动态访问规则，该规则不仅取决于谁在何处进行连接以及在何处进行访问，还取决于此访问的上下文-如何建立连接，用户，节点或应用程序的行为方式，它们在授予的访问权限的框架内交换的内容，在交流主题和对象等方面是否存在任何漏洞？这就是使我们摆脱离散的IS策略规则的原因，因为它经常发生许多事件。保护系统根本不知道如何控制两次检查之间发生的情况。实际上，在我们国家，对每一次尝试，访问，设备，用户或应用程序的访问都进行连续验证。作为进行此类连续验证的主要解决方案，使用了前面提到的Cisco ISE（用于企业内部网络），Cisco Tetration（用于数据中心和云）和Cisco APIC（用于数据中心），它们相互集成在一起并且可以交换端到端安全策略。

但是建立访问规则还不够，需要控制它们的遵守，为此我们应用我们自己的解决方案-上面提到的Cisco Tetration（用于数据中心和云），Cisco Stealthwatchh Enterprise（用于内部网络）和Cisco Stealthwatch Cloud（用于云）。关于我们如何监控基础架构，我已经在Habré上写道。

那云呢？如果思科使用700家云提供商的服务，那么如何确保与他们的安全合作？尤其是在员工可以连接到云，绕过公司边界甚至从其个人设备连接到云的环境中。实际上，如果您最初正确地考虑了适当的体系结构和要求，那么实现此任务并不复杂。为此，很久以前，我们开发了一个称为CASPR（云评估和服务提供商补救）的适当框架。它建立了100多种不同的安全要求，分为多个块，这些块将呈现给想要与我们合作的任何云提供商。当然，CASPR对所有云的要求也不尽相同，但取决于什么信息，什么级别的隐私，我们要在那里处理。我们既有法律上的要求，例如GDPR或FZ-152，又有技术上的要求，例如能够以自动方式向我们发送安全事件日志（我已经在Habré上写过）。

根据云环境的类型（IaaS，PaaS或SaaS），我们将自己的工具“附加”到提供商提供的保护机制（例如Cisco Tetration，Cisco ASAv，Cisco ISE等），并使用已提到的方法监视其使用思科二重奏，思科Tetration。 Cisco Stealthwatch Cloud以及Cisco CloudLock（CASB（云访问安全代理）类解决方案）。关于与监视云安全有关的关键时刻，我已经在Habr上写过（第二部分）。

思科“受信任的企业”概念的第四张表是“受信任的应用程序”，对此我们也有自己的标准，或者说一组标准，这些标准根据由我们购买还是开发，由应用程序托管在云中还是由我们托管而差异很大基础设施，它是否处理个人数据，等等。我不打算在本注释中详细介绍该支柱，但是需求的关键部分如下图所示。

显然，我们不是立即就立即想到这个概念。这是一个反复的过程，反映了IT和IS服务为业务设置的任务，我们遇到的事件以及从员工那里获得的反馈。我想，如果我像我们所有人一样说，我们从基于IP / MAC地址和用户位置的安全策略入手（在此阶段实施了远程访问），那我就不会错了。然后，我们通过添加来自思科ISE的上下文信息以及将公司的各个部门和项目与业务目标联系起来，来扩展它们。随着我们基础设施的边界向来宾，承包商，承包商，合作伙伴开放，出现了新的任务及其在访问控制方面的解决方案。主动离开云层导致我们需要在内部网络，云和用户设备中开发和实施统一的威胁检测概念。事实证明，在这里，我们购买了Lancope和Umbrella，这使我们能够开始更有效地监视内部基础结构和外部用户。最后，购买Duo可以使我们顺利地开始过渡到条件成熟度模型的最后一个级别，这为我们提供了不同级别的连续验证。对Duo的购买使我们能够顺利开始过渡到条件成熟度模型的最后一个级别，这为我们提供了不同级别的连续验证。对Duo的购买使我们能够顺利开始过渡到条件成熟度模型的最后一个级别，这为我们提供了不同级别的连续验证。

显然，如果您想重复我们的道路，那么大象必须被部分吃掉。并非所有客户在规模和任务上都与我们相似。但是我们的许多步骤和想法将适用于任何公司。因此，我们可以逐渐开始实现上述``受信任的企业''的想法。小步骤的概念可以帮助您做到这一点。首先确定内部和外部连接到您的用户和设备。然后根据设备的状态及其上下文添加访问控制。首先我没有提到思科没有这样的边界，并且保护是围绕每台设备构建的，因此它基本上独立于我们的基础架构。提供对连接设备的控制，包括在远程访问框架内，您可以平稳地切换到内部网络和数据中心的分段。这不是一件容易的事，但很艰巨。实现它的关键是访问策略管理的自动化。隔离已经成为（对于某些情况而言）成为回到BYOD主题的动力，即员工使用个人设备访问公司或部门资源的可能性。但解决了前两个任务后，您可以轻松地将它们转换为员工的个人笔记本电脑，智能手机和平板电脑。解决了网络访问问题后，您将需要开始更高的地位-达到应用程序级别，为它们实现分段，定界和访问控制，并将其与网络访问策略集成。最后的和弦可能是数据访问控制的策略。至此，您将已经知道要连接的人和位置，需要访问哪些应用程序和数据。您只需要将这些知识应用于基础架构，并使用数据自动化工作即可。顺便说一下，在这里，您已经可以考虑DLP。然后，您可以进入Gartner认为成功的DLP实施项目的20％。其他所有事情都是失败的，因为公司通常甚至都不知道其基础结构的边界和入口点，因此您可以谈论其控制，更不用说数据控制了。这样您就可以谈论他们的控制，更不用说数据控制了。这样您就可以谈论他们的控制，更不用说数据控制了。

认识到所有这些之后，您将意识到，许多制造商和分析师今天谈论的美丽的零信任概念（零信任）已经变成了一个真正有效的系统。至少对我们来说就是这样。正如我在开始时所写的那样，我们在2000年代初就开始在思科中实施受信任的企业的概念，当时没人听说过“零信任”（Zero Trust）这个术语（仅Forrester在2010年提出）。但是现在，依靠我们自己的经验，我们能够在我们的产品组合中实施这一想法（我们将其用于自身的安全性），将其称为“思科可信访问”一个漂亮的营销短语。

最后，我想指出的是，远程访问的实现使我们对安全系统的构建方式有了不同的看法。有人说，远程访问会导致外围丢失。不它不是。只是外围变得模糊，边界穿过每台设备，从中可以访问基础架构内部和外部的数据和应用程序。而这又使您可以实现一种架构，该架构可以非常灵活，高效地响应业务对IT和信息安全提出的所有要求。思科很久以前就面临着这种情况，当时冠状病毒还没有问题，而我们有机会逐步而无需仓促地实施可信赖企业的概念。但这并不意味着我们的经验不适用于当前现实。反之。你可以依靠他填充较少的圆锥体并减少错误。

用著名的苏维埃电影“春天的十七个时刻”来解释：“在我们这个时代，没有人，有时甚至是一个人，都不能被信任。思科-您可以！” 我们的方法以及基础架构中不存在重大事件（我们拥有数万名员工，并且许多外部合作伙伴和交易对手用户可以在内部远程访问），这证明它不仅拥有生命权，而且还使我们能够解决对于他来说，他的业务任务对他来说是最便捷的方式，对企业来说，对IT也是可靠的，对于信息安全也是安全的。

附加信息：

思科如何监控被吸收公司的信息安全并提供对其资源的访问权限？
云安全监控（第1部分和第2部分）
思科如何监控其内部网络的安全性？
Cisco?
Cisco Security Ninja 20 ?
Cisco Cisco IOS, NX OS, IOS XR, Cisco UCS, Cisco TelePresence

PS。如果您对Cisco本身在技术上如何安排远程访问感兴趣，那么4月23日，我们将举办有关该主题的网络研讨会。更准确地说，我们已经完成了每个星期四举行的一系列远程访问网络研讨会。一天的第二天，网络研讨会专门讨论了远程访问威胁模型（视频记录和演示）。在9日，我们将讨论如何保护远程工作者的工作场所，在16 日，我们将讨论如何构建具有远程访问权限的外围设备。

思科如何在远程访问模式和缺席的环境中运行20年？

附加信息：

More articles: