Cisco Unified Access Roadshow Uma Política...Serviços de Autorização Gestão de Ciclo de Vida de...

© 2012 Cisco e/ou afiliadas. Todos os direitos reservados.

Cisco Unified Access Roadshow

Uma Política

Filipe Lopes

Systems Engineer

Borderless Networks Team

© 2010 Cisco e/ou afiliadas. Todos os direitos reservados. Cisco Confidencial 2

Política de Controlo de Acesso: Desafios e Arquitectura

UA com Cisco ISE – Exemplo de Onboarding (BYOD)

Acesso de Grupo de Segurança e TrustSec

Dispositivos Cisco de Acesso e Identidade

Funcionamento do ISE – Exemplo da Administração do ISE


BYOD Maior produtividade, menores custos, segurança adicional

Controlo de políticas consistente em toda a rede Controlo de acesso diferenciado

Controlo de Acesso Seguro – Ligar Elementos Visibilidade dos dispositivos (tipo e caracterização), postura de segurança,

controlo contextual, AAA

Desafio: Identificar o que existe na rede

Identificar e analisar os dispositivos (Profiling) e reconhecer novos dispositivos desde 1º dia

Desafio: Assegurar uma política E2E consistente que não esteja

dependente de uma topologia

Cisco TrustSec e gestão de políticas

TECNOLOGIA SERVIÇOS ENERGIA SAÚDE ENSINO

SUPERIOR ENSINO

SECUNDÁRIO

Desafio: Suportar BYOD sem aumentar os custos operacionais do IT Portal Zero-touch, automatiza o registo de dispositivos, contenção de aplicações e postura de

segurança dos dispositivos


Gestão de

Políticas ISE (Identity Services Engine) Prime Infrastructure

Contexto das

Políticas Activos

Empresariais

Dispositivos

Pessoais Dispositivos Não

Destinados a Utilizadores

Identidade dos

Utilizadores

Informação

sobre Políticas

,

Postura de segurança pelo

NAC/AnyConnect Agent

Profiling pela Infra-

estrutura Cisco

Directório de

Utilizadores

Aplicação

das Políticas Infra-estrutura Cisco: Sw itches, Controladores Sem Fios, Firew alls, Routers


Solução de Gestão

de Políticas

Controlo de Acesso de

Rede Unificada

Solução BYOD Chave

na Mão

1.ª solução aplicável a todo o sistema

Integração profunda na rede

Controlo de política em todo o sistema

a partir de um ecrã

Produto premiado

Cisco Pioneer Award 2012

Mais de 400 parceiros ATP

com formação e qualificação

Mais de 1000 casos de sucesso — 1.º ano

Gartner 2013 NAC MQ


Serviços de Autenticação

Serviços de Autorização

Gestão de Ciclo de Vida de Convidados

Serviços de Perfis e BYOD

Serviços de postura de segurança

SGA TrustSec

Quero permitir o acesso à minha rede

apenas aos utilizadores e dispositivos “certos”

Quero que os utilizadores e os

dispositivos recebam serviços de rede adequados

Quero permitir a entrada de convidados

na rede e controlar o comportamento dos mesmos

Preciso de permitir/recusar iPads na

minha rede (BYOD)

Quero assegurar que os dispositivos que

acedem à minha rede estão limpos

Preciso de uma forma escalável de

aplicar uma política de acesso em toda a rede

Uma Rede

Uma Política

Uma Gestão


• Colaboradores

Porque devo utilizar recursos menos avançados do que aqueles que tenho em casa?

Não me importo de pagar pelos meus dispositivos!

Se puder utilizar o mesmo dispositivo para uso pessoal e profissional, serei mais produtivo

Posso trabalhar de qualquer lugar

• IT

Evolução rápida: Dificuldade de aprovar uma lista standard de dispositivos

Necessidade de identificar os dispositivos usados

Self-Service e on-boarding transparentes

Aplicação das políticas

Visibilidade: um colaborador pode ter vários dispositivos ligados simultâneamente

Revogar acessos

Protecção dos dados corporativos

DLP

Empresa Pessoal


• Registo de dispositivos MDM através de ISE

o Clientes não registados reencaminhados para a página de registo de MDM

• Acesso limitado

o Será concedido acesso limitado a clientes que não estejam em conformidade com base na política

• Terminal Agente MDM

o Conformidade

o Aplicações de dispositivos

• Acção de dispositivo a partir de ISE

• Dispositivo roubado -> apagar dados no cliente e impedir acesso à rede corporativa


• O utilizador estabelece ligação a SSID seguro

• PEAP: Nome de utilizador/Palavra-passe

• Reencaminhado para o portal de aprovisionamento

• O utilizador regista o dispositivo

Transfere o certificado

Transfere a configuração de requerente

• O utilizador estabelece nova ligação utilizando EAP-TLS

BYOD - Seguro

Activo pessoal

Novo

Ponto de acesso

ISE

Controlador

LAN sem fios

AD/LDAP


• O utilizador estabelece ligação a SSID aberto

• Reencaminhado para o portal WebAuth

• O utilizador introduz as credenciais de funcionário ou convidado

• O convidado assina a AUP e obtém acesso de Convidado

• O funcionário regista o dispositivo

Transfere o certificado

Transfere a configuração de requerente

• O funcionário estabelece nova ligação utilizando EAP-TLS

Novo

BYOD - Seguro

BYOD - Aberto

Activo pessoal

Ponto de acesso

ISE

Controlador LAN sem fios

AD/LDAP


jane jane


Qualquer Dispositivo

Dispositivo Registado Dispositivo Empresarial

Função de Utilizador e

Dispositivo

Servidor Web

Geral

Portal de

Notícias de Funcionários

Portal de

Gestores

Aplicação de

Cartão de Ponto de

Funcionários

Servidor de

Cartões de Crédito

Dispositivo Não

Registado

Funcionário

Gestão

Leitores de Cartões do

Crédito


Qualquer Dispositivo

Dispositivo Registado Dispositivo Empresarial

Função de Utilizador e

Dispositivo

Definição de Política

Servidor Web Geral

Portal de Notícias de

Funcionários

Portal de Gestores

Aplicação de Cartão de

Ponto de Funcionários

Servidor de Cartões de

Crédito

Dispositiv o Não

Registado SSID Público

Funcionário

SSID Empresarial

Membro do grupo

“Funcionário”; Certif icado

corresponde ao terminal

Gestão

SSID Empresarial

Membro do grupo

Funcionário e Gestor;

Certif icado corresponde ao

terminal

Leitores de

Cartões do

Crédito

SSID Credit_Card; Membro

do grupo “Credit_Scanners”;

Perf il “iphone”


Funcionário Registado Acesso SSID:

Wi-Fi empresarial

Grupo AD: “Gestão”


Certificado

Necessário Perfil de iPhone

Grupo AD:

“Leitores de Cartões de Crédito”

Acesso SSID:

cc-secure-wifi


Arquitectura ACL

Manutenção Difícil

Centenas – Milhares de ACEs

Arquitectura VLAN

Preocupações de

Dimensionamento

Extremamente dependente da

topologia

802.1x


Etiqueta de Admissão de Função de Utilizador e Dispositivo

Dispositivo Não

Registado (Unregist_Dev_SGT)

Funcionário

(Employee_SGT)

Gestão

(Management_SGT)

Leitores de Cartões

de Crédito (CC_Scanner_SGT)

SGA TAG-Policy

SSID Credit_Card; Membro do grupo

“Credit_Scanners”; Perfil “iphone”

SSID Público

Membro Empresarial SSID do grupo

“Funcionário”, Certificado corresponde ao terminal

Membro Empresarial SSID do grupo

Funcionário e Gestor , Certificado corresponde ao terminal

Cisco ISE

Funcionário

Gestor

Finanças

quem o quê onde quando como


ETIQUETA de

Funcionário

ETIQUETA de Gestor

ETIQUETA de Leitor

de Cartões de Crédito


ETIQUETA de Gestor ETIQUETA de Leitor de

Cartões de Crédito


Controlo de Acesso Baseado em Grupo de Segurança

• O ISE faz a correspondência de etiquetas (SGT) com a identidade de utilizador

• A política de Autorização do ISE faz com que a SGT entre no NAD (Switch/WLC)

• A política de Autorização ISE faz com que a ACL (SGACL) saia do NAD (ASA ou Nexus)

Gestor Dispositivo Registado

SGT = 100

Gestor SGT = 100

SGACL

SRC\DST Cartão de Ponto Cartão de Crédito

Gestor (100) Sem Acesso Acesso

Cisco ISE

Cartão de Ponto

(SGT=4)

Leitor de Cartão de

Crédito (SGT=10)


Inovação Cisco

Funcionalidades de Autenticação

Switch Cisco Catalyst

Dispositivo

de Rede Telefones IP Util izadores

Autorizados

Convidados Tablets

802.1x MAB WebAuth

Diferenciadores de Identidade

Modo de Monitorização

• Acesso sem obstáculos

• Sem impacto na produtividade

• Obtenção de visibilidade

Sequência de Autenticação Flexível

• Possibilita configuração única na maior parte das situações de utilização

• Mecanismo de recuperação de falhas e políticas flexíveis

Rede 802.1X Sofisticada e Robusta

Suporte de Telefonia IP para Ambientes de Trabalho Virtuais

• Modo de anfitrião único

• Modo de vários anfitriões

• Modo de várias autenticações

• Autenticação de vários domínios

Autenticação Crítica Dados/Voz

• Continuidade do negócio em caso de falha


Cisco

Inovação

CDP LLDP

DHCP MAC

Plataformas Suportadas

IOS 15.0(1)SE1 para Cat 3K

IOS 15.1(1)SG para Cat 4K

WLC 7.2 MR1 - apenas dados de

DHCP

ISE 1.1.1

Política de Impressora

[colocar em VLAN X]

Política de iPad Política Pessoal de

iPad Pessoal

[acesso limitado]

CDP LLDP DHCP MAC

Impressora iPad Pessoal ISE

CDP LLDP DHCP MAC

PERFIS DE DISPOSITIVOS

Para redes com fios e sem fios

Acesso Ponto

Cenário de Implementação com Sensores de Dispositivos Cisco RECOLHA O switch recolhe dados relacionados com o dispositivo e envia o relatório para o ISE

CLASSIFICAÇÃO O ISE classifica o dispositivo, recolhe informações de fluxo e disponibiliza o relatório de utilização do dispositivo

AUTORIZAÇÃO O ISE executa a política com base no utilizador e no dispositivo

Classificação eficiente

de dispositivos aproveitando a infra-

estrutura

A Solução

POLÍTICA


Tipo de Sonda Informação Disponibilizada

RADIUS (Calling-Station-ID) MACAddress (OUI)

Exemplo: 0A:1B:2C = vendedor X

DHCP (host-name)

(dhcp-class-identifier)

Nome de anfitrião (a predefinição pode incluir o tipo de dispositivo)

Exemplo: jsmith-iPad

Classe/tipo do dispositivo

Exemplos: BlackBerry, telefone IP sem fios da Cisco

DNS

(procura inversa de IP)

FQDN (o nome de anfitrião predefinido pode incluir o tipo de dispositivo)

Exemplo: jsmith-ipad.company.com

HTTP

(Util izador-Agente)

Detalhes relativos ao tipo específico de dispositivo móvel

Exemplos: iPad, iPhone, iPod, Android, Win7

NMAP Scan

(SNMPPortsAndOS-scan )

Accionar leitura de terminal para SO

Exemplo: SO = iOS da Apple

Trap SNMP/Consulta

(Notificação de MAC/CDP/recolha de LLDP)

Endereço MAC/Dados de Interface, Dados de Sessão e Consulta de Sistema

Exemplos: 0A:1B:2C/tabela ARP

Netflow (Captura de fluxos) Captura de fluxos para correspondência com tráfego quíntuplo do terminal

Exemplos: SRC/IP DST/Porta/Protocolo

RADIUS Accounting: disponibiliza MAC:IP binding para suportar outras sondas que dependem de endereço IP (DNS, NetFlow, NMAP e HTTP)


Utilizador Personalizado Localização Tipo de dispositiv o

Hora Postura de segurança

Método de acesso


BYOD

Controlo de

Acesso

Solução

Holística

• Onboarding automático do Utilizador

• Parcerias com empresas de MDM e integração com as mesmas

• Contexto: Quem/O quê/Como/Quando/Onde

• Visibilidade: Perfis

• SGA: Independente de topologia, linguagem de negócio

• Aplicação: funcionalidades do Router/Switch/Controlador

• Terminal: Desempenho, VPN

• Armazenamento de informação: AD, LDAP, DHCP, MDM


• Informação sobre ISE: http://www.cisco.com/go/ise

• Cisco TrustSec (SGA e soluções certificadas): www.cisco.com/go/trustsec

• Notas de Aplicação e Guias de Utilização: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.html

• Design Zone — Concepção BYOD de Referência: http://www.cisco.com/en/US/solutions/ns340/ns414/ns742/ns743/ns1050/own_device.html#~overview

Obrigado


Aplicação de Políticas Diferentes para Dispositivos Empresariais e Pessoais

IDENTIDADE PERFIS

VLAN 10

VLAN 20

Controlador LAN sem fios

DHCP

RADIUS

SNMP

NETFLOW

HTTP

DNS

ISE

Gestão de Acesso Unificado

SSID único

Autenticação de

Utilizadores EAP

802.1x

HQ

2:38pm

Perfil para

identificar

dispositiv o

Acesso total ou parcial concedido

Activo pessoal

Activo da empresa

Caracterização, tipo

do dispositiv o

Decisão

de

Política

4

5

6

Aplicar a

política na rede

Recursos

Empresariais

Apenas

Internet

1

2

3

Identidade e

Política

Infra-estrutura Unificada


Suporte para

dispositivos móveis e não

móveis

Gestão

intuitiva para utilizadores

finais

• Auto-registo para

onboarding automático

• Disponibilização de

Certificados e Supplicant

• Detecção de dispositivos

• Suporte para Windows, MAC OS X, iOS, Android

• Portal My Devices —

registo, lista negra, gestão; Portal de patrocínio de

convidados

Menos

preocupações para a equipa

de IT

Cisco Unified Access Roadshow Uma Política...Serviços de Autorização Gestão de Ciclo de Vida de...

Documents

Transcript of Cisco Unified Access Roadshow Uma Política...Serviços de Autorização Gestão de Ciclo de Vida de...