Сеть как инструмент исполнения политик

Уменьшите площадь поверхности для атак

Используйте сеть Cisco в качестве инструмента исполнения политик для противостояния атакам. (1 мин 30 с)

Используйте сеть для применения политик безопасности

С помощью сети можно применять политики безопасности, управлять доступом к интернет-ресурсам и отражать атаки.

Узнайте о встроенных возможностях сети как инструмента исполнения политик:

Программно-определяемое сегментирование

Архитектура Cisco TrustSec совместно с платформой Cisco Identity Services Engine (ISE) позволяет сегментировать сеть и осуществлять управление доступом на основе ролей, не зависящее от топологии и способа доступа. Благодаря технологии Cisco TrustSec заказчик может управлять доступом к сегментам и ресурсам сети с учетом контекста, пользователя, устройства и местоположения, в полном соответствии с принятой политикой безопасности.

Например, можно так настроить групповую политику, что доступ к финансовым ресурсам будет предоставлен только трафику с определенным тегом группы безопасности (SGT), идущим от авторизованного пользователя из финансового отдела. Благодаря тегам SGT пользователь с учетными данными группы технического обслуживания не будет допущен к финансовым данным, независимо от топологии сети или способа доступа к ней (проводного или беспроводного).

Механизм централизованного управления политиками

Платформа Cisco ISE действует как механизм централизованного управления политиками, который в режиме реального времени принимает решения относительно управления доступом и передает их коммутаторам и маршрутизаторам Cisco, а также беспроводным устройствам и устройствам защиты. Это расширяет возможности масштабирования и способствует согласованности применения политик. Более того, при обнаружении новых угроз (например, с помощью системы Lancope StealthWatch) платформа Cisco ISE может отправить в сеть скорректированные решения о применении политик для отражения атак или блокирования взломанных устройств. Эта функция динамического применения политик:

  • позволяет предоставлять нужным пользователям и устройствам соответствующие уровни доступа;
  • ограничивает отрицательные последствия утечки данных с помощью программно-определяемого сегментирования и реагирования на угрозы в режиме реального времени.

Она также облегчает соблюдение нормативов и требований законодательства благодаря централизованному управлению политиками и использованию средств сегментирования сети. Например, можно централизованно применить политики и отделить от остальной среды участки сети, обрабатывающие финансовые данные или медицинскую информацию. Это позволит уменьшить область, стоимость и сложность проверок соответствия сети Стандарту безопасности данных индустрии платежных карт (PCI DSS) и Закону 1996 года по обеспечению доступности и подотчетности в медицинском страховании (HIPAA).

Дополнительные ресурсы