Cisco Unified Access Roadshow Uma Política...Serviços de Autorização Gestão de Ciclo de Vida de...
Transcript of Cisco Unified Access Roadshow Uma Política...Serviços de Autorização Gestão de Ciclo de Vida de...
© 2012 Cisco e/ou afiliadas. Todos os direitos reservados.
Cisco Unified Access Roadshow
Uma Política
Filipe Lopes
Systems Engineer
Borderless Networks Team
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 2
Política de Controlo de Acesso: Desafios e Arquitectura
UA com Cisco ISE – Exemplo de Onboarding (BYOD)
Acesso de Grupo de Segurança e TrustSec
Dispositivos Cisco de Acesso e Identidade
Funcionamento do ISE – Exemplo da Administração do ISE
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 3
BYOD Maior produtividade, menores custos, segurança adicional
Controlo de políticas consistente em toda a rede Controlo de acesso diferenciado
Controlo de Acesso Seguro – Ligar Elementos Visibilidade dos dispositivos (tipo e caracterização), postura de segurança,
controlo contextual, AAA
Desafio: Identificar o que existe na rede
Identificar e analisar os dispositivos (Profiling) e reconhecer novos dispositivos desde 1º dia
Desafio: Assegurar uma política E2E consistente que não esteja
dependente de uma topologia
Cisco TrustSec e gestão de políticas
TECNOLOGIA SERVIÇOS ENERGIA SAÚDE ENSINO
SUPERIOR ENSINO
SECUNDÁRIO
Desafio: Suportar BYOD sem aumentar os custos operacionais do IT Portal Zero-touch, automatiza o registo de dispositivos, contenção de aplicações e postura de
segurança dos dispositivos
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 4
Gestão de
Políticas ISE (Identity Services Engine) Prime Infrastructure
Contexto das
Políticas Activos
Empresariais
Dispositivos
Pessoais Dispositivos Não
Destinados a Utilizadores
Identidade dos
Utilizadores
Informação
sobre Políticas
,
Postura de segurança pelo
NAC/AnyConnect Agent
Profiling pela Infra-
estrutura Cisco
Directório de
Utilizadores
Aplicação
das Políticas Infra-estrutura Cisco: Sw itches, Controladores Sem Fios, Firew alls, Routers
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 5
Solução de Gestão
de Políticas
Controlo de Acesso de
Rede Unificada
Solução BYOD Chave
na Mão
1.ª solução aplicável a todo o sistema
Integração profunda na rede
Controlo de política em todo o sistema
a partir de um ecrã
Produto premiado
Cisco Pioneer Award 2012
Mais de 400 parceiros ATP
com formação e qualificação
Mais de 1000 casos de sucesso — 1.º ano
Gartner 2013 NAC MQ
© 2012 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 6
Serviços de Autenticação
Serviços de Autorização
Gestão de Ciclo de Vida de Convidados
Serviços de Perfis e BYOD
Serviços de postura de segurança
SGA TrustSec
Quero permitir o acesso à minha rede
apenas aos utilizadores e dispositivos “certos”
Quero que os utilizadores e os
dispositivos recebam serviços de rede adequados
Quero permitir a entrada de convidados
na rede e controlar o comportamento dos mesmos
Preciso de permitir/recusar iPads na
minha rede (BYOD)
Quero assegurar que os dispositivos que
acedem à minha rede estão limpos
Preciso de uma forma escalável de
aplicar uma política de acesso em toda a rede
Uma Rede
Uma Política
Uma Gestão
Cisco Confidencial © 2012 Cisco e/ou afiliadas. Todos os direitos reservados. 7
© 2011 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 8
• Colaboradores
Porque devo utilizar recursos menos avançados do que aqueles que tenho em casa?
Não me importo de pagar pelos meus dispositivos!
Se puder utilizar o mesmo dispositivo para uso pessoal e profissional, serei mais produtivo
Posso trabalhar de qualquer lugar
• IT
Evolução rápida: Dificuldade de aprovar uma lista standard de dispositivos
Necessidade de identificar os dispositivos usados
Self-Service e on-boarding transparentes
Aplicação das políticas
Visibilidade: um colaborador pode ter vários dispositivos ligados simultâneamente
Revogar acessos
Protecção dos dados corporativos
DLP
Empresa Pessoal
Cisco Confidencial © 2010 Cisco e/ou afiliadas. Todos os direitos reservados. 9
• Registo de dispositivos MDM através de ISE
o Clientes não registados reencaminhados para a página de registo de MDM
• Acesso limitado
o Será concedido acesso limitado a clientes que não estejam em conformidade com base na política
• Terminal Agente MDM
o Conformidade
o Aplicações de dispositivos
• Acção de dispositivo a partir de ISE
• Dispositivo roubado -> apagar dados no cliente e impedir acesso à rede corporativa
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 10
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 11
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 12
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 13
• O utilizador estabelece ligação a SSID seguro
• PEAP: Nome de utilizador/Palavra-passe
• Reencaminhado para o portal de aprovisionamento
• O utilizador regista o dispositivo
Transfere o certificado
Transfere a configuração de requerente
• O utilizador estabelece nova ligação utilizando EAP-TLS
BYOD - Seguro
Activo pessoal
Novo
Ponto de acesso
ISE
Controlador
LAN sem fios
AD/LDAP
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 14
• O utilizador estabelece ligação a SSID aberto
• Reencaminhado para o portal WebAuth
• O utilizador introduz as credenciais de funcionário ou convidado
• O convidado assina a AUP e obtém acesso de Convidado
• O funcionário regista o dispositivo
Transfere o certificado
Transfere a configuração de requerente
• O funcionário estabelece nova ligação utilizando EAP-TLS
Novo
BYOD - Seguro
BYOD - Aberto
Activo pessoal
Ponto de acesso
ISE
Controlador LAN sem fios
AD/LDAP
Cisco Confidencial © 2012 Cisco e/ou afiliadas. Todos os direitos reservados. 15
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 16
jane jane
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 17
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 18
Qualquer Dispositivo
Dispositivo Registado Dispositivo Empresarial
Função de Utilizador e
Dispositivo
Servidor Web
Geral
Portal de
Notícias de Funcionários
Portal de
Gestores
Aplicação de
Cartão de Ponto de
Funcionários
Servidor de
Cartões de Crédito
Dispositivo Não
Registado
Funcionário
Gestão
Leitores de Cartões do
Crédito
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 19
Qualquer Dispositivo
Dispositivo Registado Dispositivo Empresarial
Função de Utilizador e
Dispositivo
Definição de Política
Servidor Web Geral
Portal de Notícias de
Funcionários
Portal de Gestores
Aplicação de Cartão de
Ponto de Funcionários
Servidor de Cartões de
Crédito
Dispositiv o Não
Registado SSID Público
Funcionário
SSID Empresarial
Membro do grupo
“Funcionário”; Certif icado
corresponde ao terminal
Gestão
SSID Empresarial
Membro do grupo
Funcionário e Gestor;
Certif icado corresponde ao
terminal
Leitores de
Cartões do
Crédito
SSID Credit_Card; Membro
do grupo “Credit_Scanners”;
Perf il “iphone”
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 20
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 21
Funcionário Registado Acesso SSID:
Wi-Fi empresarial
Grupo AD: “Gestão”
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 22
Certificado
Necessário Perfil de iPhone
Grupo AD:
“Leitores de Cartões de Crédito”
Acesso SSID:
cc-secure-wifi
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 23
Arquitectura ACL
Manutenção Difícil
Centenas – Milhares de ACEs
Arquitectura VLAN
Preocupações de
Dimensionamento
Extremamente dependente da
topologia
802.1x
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 24
Etiqueta de Admissão de Função de Utilizador e Dispositivo
Dispositivo Não
Registado (Unregist_Dev_SGT)
Funcionário
(Employee_SGT)
Gestão
(Management_SGT)
Leitores de Cartões
de Crédito (CC_Scanner_SGT)
SGA TAG-Policy
SSID Credit_Card; Membro do grupo
“Credit_Scanners”; Perfil “iphone”
SSID Público
Membro Empresarial SSID do grupo
“Funcionário”, Certificado corresponde ao terminal
Membro Empresarial SSID do grupo
Funcionário e Gestor , Certificado corresponde ao terminal
Cisco ISE
Funcionário
Gestor
Finanças
quem o quê onde quando como
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 25
ETIQUETA de
Funcionário
ETIQUETA de Gestor
ETIQUETA de Leitor
de Cartões de Crédito
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 26
ETIQUETA de Gestor ETIQUETA de Leitor de
Cartões de Crédito
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 27
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 29
Controlo de Acesso Baseado em Grupo de Segurança
• O ISE faz a correspondência de etiquetas (SGT) com a identidade de utilizador
• A política de Autorização do ISE faz com que a SGT entre no NAD (Switch/WLC)
• A política de Autorização ISE faz com que a ACL (SGACL) saia do NAD (ASA ou Nexus)
Gestor Dispositivo Registado
SGT = 100
Gestor SGT = 100
SGACL
SRC\DST Cartão de Ponto Cartão de Crédito
Gestor (100) Sem Acesso Acesso
Cisco ISE
Cartão de Ponto
(SGT=4)
Leitor de Cartão de
Crédito (SGT=10)
Cisco Confidencial © 2012 Cisco e/ou afiliadas. Todos os direitos reservados. 32
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 34
Inovação Cisco
Funcionalidades de Autenticação
Switch Cisco Catalyst
Dispositivo
de Rede Telefones IP Util izadores
Autorizados
Convidados Tablets
802.1x MAB WebAuth
Diferenciadores de Identidade
Modo de Monitorização
• Acesso sem obstáculos
• Sem impacto na produtividade
• Obtenção de visibilidade
Sequência de Autenticação Flexível
• Possibilita configuração única na maior parte das situações de utilização
• Mecanismo de recuperação de falhas e políticas flexíveis
Rede 802.1X Sofisticada e Robusta
Suporte de Telefonia IP para Ambientes de Trabalho Virtuais
• Modo de anfitrião único
• Modo de vários anfitriões
• Modo de várias autenticações
• Autenticação de vários domínios
Autenticação Crítica Dados/Voz
• Continuidade do negócio em caso de falha
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 35
Cisco
Inovação
CDP LLDP
DHCP MAC
Plataformas Suportadas
IOS 15.0(1)SE1 para Cat 3K
IOS 15.1(1)SG para Cat 4K
WLC 7.2 MR1 - apenas dados de
DHCP
ISE 1.1.1
Política de Impressora
[colocar em VLAN X]
Política de iPad Política Pessoal de
iPad Pessoal
[acesso limitado]
CDP LLDP DHCP MAC
Impressora iPad Pessoal ISE
CDP LLDP DHCP MAC
PERFIS DE DISPOSITIVOS
Para redes com fios e sem fios
Acesso Ponto
Cenário de Implementação com Sensores de Dispositivos Cisco RECOLHA O switch recolhe dados relacionados com o dispositivo e envia o relatório para o ISE
CLASSIFICAÇÃO O ISE classifica o dispositivo, recolhe informações de fluxo e disponibiliza o relatório de utilização do dispositivo
AUTORIZAÇÃO O ISE executa a política com base no utilizador e no dispositivo
Classificação eficiente
de dispositivos aproveitando a infra-
estrutura
A Solução
POLÍTICA
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 36
Tipo de Sonda Informação Disponibilizada
RADIUS (Calling-Station-ID) MACAddress (OUI)
Exemplo: 0A:1B:2C = vendedor X
DHCP (host-name)
(dhcp-class-identifier)
Nome de anfitrião (a predefinição pode incluir o tipo de dispositivo)
Exemplo: jsmith-iPad
Classe/tipo do dispositivo
Exemplos: BlackBerry, telefone IP sem fios da Cisco
DNS
(procura inversa de IP)
FQDN (o nome de anfitrião predefinido pode incluir o tipo de dispositivo)
Exemplo: jsmith-ipad.company.com
HTTP
(Util izador-Agente)
Detalhes relativos ao tipo específico de dispositivo móvel
Exemplos: iPad, iPhone, iPod, Android, Win7
NMAP Scan
(SNMPPortsAndOS-scan )
Accionar leitura de terminal para SO
Exemplo: SO = iOS da Apple
Trap SNMP/Consulta
(Notificação de MAC/CDP/recolha de LLDP)
Endereço MAC/Dados de Interface, Dados de Sessão e Consulta de Sistema
Exemplos: 0A:1B:2C/tabela ARP
Netflow (Captura de fluxos) Captura de fluxos para correspondência com tráfego quíntuplo do terminal
Exemplos: SRC/IP DST/Porta/Protocolo
RADIUS Accounting: disponibiliza MAC:IP binding para suportar outras sondas que dependem de endereço IP (DNS, NetFlow, NMAP e HTTP)
Cisco Confidencial © 2012 Cisco e/ou afiliadas. Todos os direitos reservados. 38
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 39
Utilizador Personalizado Localização Tipo de dispositiv o
Hora Postura de segurança
Método de acesso
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 40
BYOD
Controlo de
Acesso
Solução
Holística
• Onboarding automático do Utilizador
• Parcerias com empresas de MDM e integração com as mesmas
• Contexto: Quem/O quê/Como/Quando/Onde
• Visibilidade: Perfis
• SGA: Independente de topologia, linguagem de negócio
• Aplicação: funcionalidades do Router/Switch/Controlador
• Terminal: Desempenho, VPN
• Armazenamento de informação: AD, LDAP, DHCP, MDM
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 41
• Informação sobre ISE: http://www.cisco.com/go/ise
• Cisco TrustSec (SGA e soluções certificadas): www.cisco.com/go/trustsec
• Notas de Aplicação e Guias de Utilização: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html
• Design Zone — Concepção BYOD de Referência: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns743/ns1050/own_device.html#~overview
Obrigado
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 43
Aplicação de Políticas Diferentes para Dispositivos Empresariais e Pessoais
IDENTIDADE PERFIS
VLAN 10
VLAN 20
Controlador LAN sem fios
DHCP
RADIUS
SNMP
NETFLOW
HTTP
DNS
ISE
Gestão de Acesso Unificado
SSID único
Autenticação de
Utilizadores EAP
802.1x
HQ
2:38pm
Perfil para
identificar
dispositiv o
Acesso total ou parcial concedido
Activo pessoal
Activo da empresa
Caracterização, tipo
do dispositiv o
Decisão
de
Política
4
5
6
Aplicar a
política na rede
Recursos
Empresariais
Apenas
Internet
1
2
3
Identidade e
Política
Infra-estrutura Unificada
© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 44
Suporte para
dispositivos móveis e não
móveis
Gestão
intuitiva para utilizadores
finais
• Auto-registo para
onboarding automático
• Disponibilização de
Certificados e Supplicant
• Detecção de dispositivos
• Suporte para Windows, MAC OS X, iOS, Android
• Portal My Devices —
registo, lista negra, gestão; Portal de patrocínio de
convidados
Menos
preocupações para a equipa
de IT