Identiteetin merkitys seuraavan sukupolven tietoturva-arkkitehtuurissa Janne Tägtström Security Systems Engineer
Agenda Organisaatioiden IT-haasteet (tietoturva)valmiudet vastata haasteisiin Käytännön esimerkkejä Matkalla huomioitavia asioita Cisco SecureX & Cisco Trustsec Yhteenveto
Tänne olemme matkalla Uusi sukupolvi Kustannustehokkuus Kollaboraatio Ajasta & paikasta riippumattomuus Pilvipalvelut & ulkoistus Omat työkalut Mobiilius Ulkoistus & Yhteistyö Raportointi & vaatimukset Olemmeko valmiina? 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
No olemmeko valmiina? No emme oikeastaan... Kollaboraatio Kustannus tehokkus Uusi sukupolvi Missä se identiteetti luuraa? Päivitykset Palomuuri WLAN kumppanit IPS Reititin Raportointi APT Tunnelointi Osaaminen Nopeus Mobiilitlaitteet Palvelut VPN Tämä ei riitä (enää) uuden sukupolven tietoturva-arkkitehtuuriksi 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Käytännön esimerkki Autentikointi WLAN - Preshared Key (PSK) - 802.1x 10.10.10.10 20.20.20.20 30.30.30.30 VPN - Käyttäjätunnus & salasana - One Time Password (OTP) LAN - Ei autentikointia 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
Käytännön esimerkki Palomuuri Ei luotettu verkko Luotettu verkko 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Käytännön esimerkki Palomuuri Ei luotettu verkko Käyttäjä A 10.10.10.10 Luotettu verkko Palvelu A 30.10.10.10 Käyttäjä B 20.20.20.20 Palvelu B 40.10.10.10 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Käytännön esimerkki Palomuuri Ei luotettu verkko Melkein luotettu verkko Käyttäjä A 10.10.10.10 Luotettu verkko Palvelu A 30.10.10.10 Käyttäjä B 20.20.20.20 Palvelu B 40.10.10.10 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
Käytännön esimerkki Palomuuri Ei luotettu verkko Melkein luotettu verkko Käyttäjä A 10.10.10.10 WLAN 21.21.21.22 Luotettu verkko Palvelu A 30.10.10.10 Käyttäjä B 20.20.20.20 WLAN 21.21.21.20 Salli liikenne luotetusta verkosta -> Ei luotettuun verkkoon Salli liikenne luotetusta verkosta -> Ei luotettuun verkkoon Palvelu B 40.10.10.10 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Käytännön esimerkki Palomuuri Ei luotettu verkko Melkein luotettu verkko Käyttäjä A 10.10.10.10 WLAN 21.21.21.22 VPN 18.18.18.18 Luotettu verkko Palvelu A 30.10.10.10 Käyttäjä B 20.20.20.20 WLAN 21.21.21.20 VPN 18.18.17.65 Salli liikenne luotetusta verkosta -> Ei luotettuun verkkoon Salli liikenne luotetusta verkosta -> Ei luotettuun verkkoon Salli liikenne luotetusta verkosta -> Ei luotettuun verkkoon Palvelu B 40.10.10.10 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Käytännön esimerkki Palomuuri Kumppaniverkot kotitoimistot Mobiilius, päätelaitteet, ja monta muuta... Ei luotettu verkko Melkein luotettu verkko Pilvipalvelut Käyttäjä A 10.10.10.10 WLAN 21.21.21.22 VPN 18.18.18.18 Luotettu verkko Palvelu A 30.10.10.10 Käyttäjä B 20.20.20.20 WLAN 21.21.21.20 VPN 18.18.17.65 Salli liikenne luotetusta verkosta -> Ei Salli luotettuun 20.20.20.20 verkkoon -> 30.10.10.10 Salli liikenne luotetusta Salli 10.10.10.10 verkosta -> Ei ->40.10.10.10.10 luotettuun verkkoon Kiellä liikenne ei luotetusta verkosta -> Kiellä Luotettuun liikenne verkkoon ei luotetusta verkosta -> Luotettuun verkkoon Palvelu B 40.10.10.10 Salli liikenne luotetusta verkosta -> Ei Salli luotettuun liikenne verkkoon luotetusta verkosta -> Ei luotettuun verkkoon 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Käytännön esimerkki Mitä laitteita on verkossani? 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Käytännön esimerkki Identiteetti yksittäisessä laitteessa Kollaboraatio Kustannus tehokkus Uusi sukupolvi Missä se identiteetti luuraa? Palomuuri Reititin IPS WLAN LDAP Nessus AV VPN AD DHCP NAC Ei tarjoa riittävää näkyvyyttä koko verkon tasolle 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Matkalla huomioitavia asioita Aplikaatio Aika Laite Käyttö Cisco SecureX Identiteetti Liikkuvuus HBO Palvelut Lokaatio Käyttöoikeus Laitevaihdokset 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Cisco SecureX Arkkitehtuuri Uhkatietoisuus Cisco SIO Päätelaitteet AnyConnect Pääsynhallinta TrustSec Cisco infrastruktuuri Hallinta Integroitu Näkyvyys Konteksti Tietoinen Politiikka Erillinen Verkko Konteksti Pilvi Hallinta Pääsynhallinta TrustSec Tietoturvalliset Nexus 1K virtuaali- ja tietoturvallisesti ja pivlipalvelut liitetyt pilvipalvelut API-rajapinnat Hallinta Palvelut Kumppanit 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Cisco TrustSec 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Yhteenveto Tietoturva on murroksessa Identiteetti (sovellus, käyttäjä, laite jne) on seuraavan sukupolven tietoturva-arkkitehtuurin perusta Identiteetti ei ole yksittäinen tuote, vaan arkkitehtuuri Cisco voi auttaa teidänkin organisaatiota identiteetin käyttöön ottamisessa Ota yhteyttä meihin ja kerromme mielellämme lisää Kannattaa tutustua demoihin labra-alueella
Kiitos! Yhteystiedot: jtagtstr@cisco.com 0400 188 633