Netzwerk als Kontrollinstanz

Weniger Angriffsfläche bieten

Nutzen Sie Ihr Cisco Netzwerk als Kontrollinstanz, mit deren Hilfe Sie die Anzahl der Angriffe reduzieren. (01:30 Min.)

Weniger Angriffsfläche bieten

Nutzen Sie Ihr Netzwerk als Kontrolleinstanz für die Anwendung Ihrer Sicherheitsrichtlinien

Anwenden von Sicherheitsrichtlinien, Kontrollieren des Zugriffs auf Onlineressourcen, Blockieren von Angriffen – das alles kann Ihr Netzwerk leisten.

Ihr Netzwerk verfügt über integrierte Funktionen, mit denen es als Kontrollinstanz fungieren kann:

Per Software definierte Segmentierung

Verwenden Sie Cisco TrustSec mit der Cisco Identity Services Engine (ISE), um Ihr Netzwerk zu segmentieren und eine rollenbasierte und von der Topologie und Zugriffsart unabhängige Zugriffskontrolle zu erzwingen. Mit der Cisco TrustSec-Technologie können Sie den Zugriff auf Netzwerksegmente und -ressourcen anhand des Kontexts sowie je nach Benutzer, Gerät und Standort gemäß Ihrer Sicherheitsrichtlinie kontrollieren.

Beispielsweise können Sie per Gruppenrichtlinie festlegen, dass nur Datenverkehr mit Security Group Tag (SGT) von einem autorisierten Benutzer aus der Finanzabteilung Zugriff auf Finanzdaten erhält. Bei Verwendung von SGTs wird verhindert, dass Benutzer mit Anmeldeinformationen von beauftragten Wartungsunternehmen Zugriff auf Finanzdaten erlangen. Dabei spielt es keine Rolle, welche Netzwerktopologie genutzt wird oder ob das Subunternehmen kabelgebunden oder drahtlos auf das Netzwerk zugreift.

Zentrale Policy-Engine

Die Cisco ISE dient als zentrale Policy-Engine, über die Zugriffskontrollentscheidungen für Cisco Switches, Router, Wireless-Geräte und Sicherheitsgeräte in Echtzeit getroffen werden. Dies trägt zu einer Verbesserung der Skalierbarkeit und zur Einheitlichkeit von Richtlinien bei. Wenn neue Bedrohungen ermittelt werden (z. B. durch Lancope StealthWatch), können mit der Cisco ISE außerdem aktualisierte Richtlinienentscheidungen für das Netzwerk gesendet werden, um Angriffe oder kompromittierte Geräte zu blockieren. Diese dynamische Richtlinienfunktion ermöglicht Folgendes:

  • Gewähren der richtigen Zugriffsebenen für die richtigen Benutzer und Geräte
  • Begrenzen der Auswirkungen von Datenverletzungen durch eine per Software definierte Segmentierung und die Reaktion auf Bedrohungen in Echtzeit

Durch die zentrale Policy und die Segmentierung des Netzwerks wird darüber hinaus die Einhaltung gesetzlicher Bestimmungen erleichtert. So können Sie beispielsweise eine zentrale Policy anwenden und die Teile des Netzwerks, in denen Finanz- oder Gesundheitsdaten verarbeitet werden, vom Rest der Umgebung abtrennen. Auf diese Weise lassen sich der Umfang, die Kosten und die Komplexität der Prüfungen auf Netzwerk-Compliance im Rahmen des Payment Card Industry Data Security Standard (PCI DSS) und Health Insurance Portability and Accountability Act von 1996 (HIPAA) reduzieren.

Weitere Ressourcen