ЗАЧЕМ НУЖНА СЕГМЕНТАЦИЯ СЕТИ?

Одной из популярных мер, направленных на снижение ущерба от проникновения злоумышленника в корпоративную ИТ-инфраструктуру, служит сегментация сети. Она помогает ограничить возможности нанесения вреда и тем самым значительно снизить риски ИБ.

Предварительным этапом сегментации является разделение пользователей и ресурсов сети на изолированные (закрытые) группы. Обмен данными между этими группами жестко контролируется или вообще блокируется в зависимости от требований политики безопасности организации.

Принципы такого разделения определяются принятой в организации политикой безопасности. Пользователи и устройства могут быть разделены по категориям, например, следующим образом: сотрудники, временный персонал, гости, пользователи устройств, не соответствующих корпоративной политике (карантин), инженерные подсистемы зданий и т. д. В свою очередь, сотрудники могут делиться на несколько групп — скажем, рядовые работники, руководство, топ-менеджмент, бухгалтерия и т. п.

Политикой безопасности организации может предусматриваться, что сотрудники разных категорий имеют доступ только к тем корпоративным ресурсам, которые необходимы им для выполнения работы. Например, доступ к группе серверов системы ERP с конфиденциальной бизнес-информацией будет предоставляться только руководству, а к базам HR — сотрудникам отдела кадров и, возможно, руководству. В то же время персоналу низшего звена или временным сотрудникам разрешат обращаться лишь к ограниченному набору корпоративных приложений, например к корпоративной системе CRM и электронной почте.

Сегментация сети крайне желательна при реализации целого набора бизнес-процессов. К ним относятся процессы, для выполнения которых доступ в корпоративную сеть предоставляется пользователям, не являющимся сотрудниками организации. Типовым примером является предоставление доступа в сеть (или в Интернет) так называемым гостевым пользователям. Помимо этого, к сети часто может потребоваться подключить сотрудников компании-партнера, аудиторов, а также устройства, принадлежащие другим организациям (банкоматы, цифровые вывески, платежные терминалы). Еще одним сценарием, при котором рекомендуется использование сегментации, является разграничение доступа между сотрудниками аффилированных структур, использующих одну и ту же сеть. Подобных сценариев может быть много.

ТРАДИЦИОННЫЕ МЕТОДЫ СЕГМЕНТАЦИИ СЕТИ

При сегментации сети необходимо решить три ключевые задачи:

  1. определить принадлежность пользователя к нужной группе при его подключении к сети;
  2. изолировать трафик пользователя одной группы от трафика других групп;
  3. обеспечить доступ пользователя к тем ресурсам, к которым ему разрешено подключаться и, как правило, заблокировать ко всем остальным.

Первая задача обычно решается с помощью аутентификации и авторизации посредством протокола 802.1x на сервере RADIUS (часто с использованием данных из корпоративной службы каталогов, например Active Directory). Возможно применение и других методов — статического распределения пользователей и ресурсов по группам на основании порта подключения, VLAN, IP-подсети, MAC-адреса и т. д. — в зависимости от возможностей имеющегося сервера AAA и оборудования.

Вторая задача традиционно решается путем создания отдельных виртуальных топологий для каждой группы пользователей. Как правило, это делается с помощью тех или иных средств виртуализации сети. В небольших сетях это виртуальные сети VLAN и транки 802.1Q. Кроме того, часто прибегают к технологиям третьего уровня, например Multi-VRF CE (VRF-Lite). Для масштабных сетей характерно применение MPLS VPN.

При решении третьей задачи обычно осуществляется пакетная фильтрация на основе IP-адресов. Контроль доступа может быть реализован как «грубыми» средствами (например, списки контроля доступа (ACL) на элементах сетевой инфраструктуры), так и «тонкой» фильтрацией в системах защиты нового поколения (NGFW, NGIPS). Но фундаментальный принцип остается тем же: базовым критерием для принятия решения о допуске/недопуске служит IP-адрес. Фильтрация проводится на одном или нескольких узлах, предназначенных для обмена трафиком между группами пользователей.

Иногда пакетную фильтрацию используют без создания виртуальных топологий, то есть пакетные фильтры служат для решения одновременно и второй, и третьей задачи.

ОГРАНИЧЕНИЯ ТРАДИЦИОННЫХ МЕТОДОВ СЕГМЕНТАЦИИ

При традиционных подходах для решения двух последних задач очень многое придется выполнять вручную, особенно в процессе эксплуатации сети. Это обстоятельство становится тем ощутимее, чем динамичнее сегментированная среда. Например, могут изменяться:

  • правила контроля доступа — в связи с обновлением как требований службы безопасности, так и состава ресурсов и пользователей;
  • состав групп пользователей — в результате реорганизации внутри компании, расширений или сокращений ресурсов сети и т. д.;
  • местонахождение групп пользователей, в связи с чем может потребоваться распространение сегментации на новые части сети.

Поддержка сегментации становится тем сложнее, чем с большим количеством закрытых групп пользователей приходится иметь дело.

Ситуация усугубляется тем, что правила контроля доступа опираются на IP-адреса. С такими правилами трудно работать и легко ошибиться. Кроме того, применение IP-адресов как базового критерия для контроля доступа значительно ограничивает возможности внесения изменений в схему адресации, а в некоторых случаях делает их практически неосуществимыми. Кроме того, IP-адрес не может идентифицировать пользователя/устройство/состояние и его легко подменить.

Зачастую количество списков контроля доступа становится слишком большим, а сами они содержат так много строк (Access Control Entries, ACE), что администраторы затрудняются вспомнить, для чего конкретно нужна та или иная строка, и опасаются менять или удалять ее. Со временем обслуживание списков только усложняется.

Трудоемкость работы со списками контроля доступа иногда приводит к тому, что некоторые организации вообще не используют сегментацию или отказываются от нее в процессе роста сети. Те же, кто используют сегментацию, вынуждены тратить много времени и сил на координацию между департаментами ИТ, ИБ и бизнеса, на обмен заявками и т. д.

В итоге персонал служб ИТ и ИБ вынужден значительную часть своего рабочего времени заниматься рутинными, но ответственными и требующими большой концентрации внимания операциями. Это приводит к тому, что:

  • растут риски ИБ из-за возможных ошибок и «дыр», возникающих в результате правок списков контроля доступа вручную;
  • увеличивается вероятность сбоев бизнес-процессов из-за некорректного внесения изменений в конфигурации оборудования;
  • много времени уходит на поддержание сегментации в актуальном состоянии;
  • больше сил тратится на запуск новых приложений или достижение бизнес-результатов, в той или иной степени связанных с сегментацией сети.

Заниматься важными, но несрочными делами некогда, поэтому зачастую они и не делаются. Не хватает времени для решения стратегических, творческих задач, например, связанных с развитием сети, планированием, оптимизацией поддержки бизнес-процессов, для улучшения работы сети и даже для поддержания документации в актуальном состоянии, что опять повышает риски ИБ и сбоев бизнес-процессов!

ЧТО ТАКОЕ TRUSTSEC И В ЧЕМ ОТЛИЧИЕ ОТ ТРАДИЦИОННОГО ПОДХОДА К СЕГМЕНТАЦИИ?

TrustSec — это технология сегментации, разработанная компанией Cisco и позволяющая преодолеть рассмотренные выше трудности посредством автоматизации.

Как и в случае традиционных методов, отнесение пользователя к нужной группе (задача 1, классификация в терминологии TrustSec) осуществляется путем его аутентификации и авторизации по протоколу 802.1x с помощью сервера контроля доступа, в качестве которого выступает Cisco Identity Services Engine (ISE). Для этого сервер Cisco ISE может обращаться как к внутренней базе данных пользователей, так и к внешним каталогам, например AD. TrustSec не требует применения каких-либо определенных типов учетных данных — это может быть, например MSCHAPv2, Generic Token Card (GTC), одноразовый пароль RSA и т. д. Кроме того, возможны альтернативные методы: MAC Authentication Bypass, Web Authentication, Passive Identity (Easy Connect) на основе AD и т. п., а также статические методы на основе VLAN, IP-адресов, интерфейсов и т. п.

Но дальше подходы принципиально различаются. При подключении к сети, точнее при входе в пределы домена TrustSec, трафику каждой закрытой группы пользователей назначается 16-разрядная метка безопасности (Security Group Tag, SGT). Обычно это делается на коммутаторе доступа или другом устройстве на границе корпоративной сети. Благодаря богатству возможностей классификации и назначения меток, TrustSec позволяет создать единую, всеобъемлющую политику доступа (см. рис. 1).

Рис. 1. TrustSec позволяет создать единую, всеобъемлющую политику доступа для всех типов устройств и подключений
Рис. 1. TrustSec позволяет создать единую, всеобъемлющую политику доступа для всех типов устройств и подключений

 

Метка SGT назначается динамически сервером Cisco ISE или статически элементом сетевой инфраструктуры. В этом и заключается принципиальное отличие способа изоляции трафика (задача 2, Propagation, или распространение, в терминологии TrustSec). При традиционном подходе для этого необходимо создать виртуальную топологию для каждой группы. В случае TrustSec это не нужно, что значительно упрощает сеть: все закрытые группы пользователей могут работать на базе единой сетевой топологии.

Кроме того, TrustSec предлагает принципиально иное, более простое и эффективное, решение задачи контроля доступа (задача 3, Enforcement, или применение политик, в терминологии TrustSec). Традиционный подход предполагает применение списков контроля доступа, основанных на IP-адресах (ACL), а TrustSec работает со списками контроля доступа, созданными на основе меток SGT, — они называются Cisco TrustSec Security Group ACL (SGACL). Использование SGACL позволяет значительно упростить работу: вместо многочисленных и трудных в сопровождении ACL администраторы имеют дело с SGACL, которые зависят от меток групп, а не от адресов или виртуальных топологий.

Эта концепция реализована в матрице доступа TrustSec Policy сервера Cisco ISE. Вместо множества разрозненных списков контроля доступа администратор работает с централизованной матрицей (см. таблицу). Ряды матрицы представляют собой группы источников трафика (sources), колонки — группы адресатов (destinations). Политики доступа задаются в ячейках, где они пересекаются, в виде правил SGACL. Возможны как простейшие правила (permit/deny для любого трафика), так и более сложные — с детализацией разрешаемого и запрещаемого трафика аналогично тому, как это делается в ACL, только источники и адресаты определяются метками SGT, а не IP-адресами. Заполнять все ячейки матрицы необязательно, незаполненные клетки подразумевают политику по умолчанию: весь трафик либо запрещается, либо разрешается.

Матрица доступа Cisco TrustSec Policy Management Matrix
Матрица доступа Cisco TrustSec Policy Management Matrix

 

Концепция матрицы доступа и динамическое назначение меток позволяют реализовать политику доступа централизованно, удобно, согласованно. TrustSec распространяет эту политику по сети путем динамической передачи меток SGT и правил SGACL. Метки SGT могут распространяться по сети тремя способами: от узла к узлу в составе заголовков кадров или пакетов передаваемого трафика (метод inline), с помощью протокола SGT Exchange Protocol (SXP), работающего поверх TCP, или посредством технологии Cisco Platform Exchange Grid (pxGrid).

Первый способ обеспечивает очень высокую масштабируемость и удобство, потому что метки передаются вместе с трафиком, но устройство должно уметь работать с метками, вставленными в кадры или пакеты. Это возможно не всегда, особенно в случае меток в составе кадров Ethernet, поскольку требуется аппаратная реализация в микросхемах ASIC. Кроме того, TrustSec может поддерживаться не всеми устройствами сети, и тогда возникает необходимость в объединении «изолированных областей» TrustSec. Для таких случаев предусмотрен второй способ — передача меток по протоколу SXP. Третий способ — на базе pxGrid — обеспечивает интеграцию с другими решениями ИБ компании Cisco и ее партнеров.

На данный момент Cisco реализовала технологию TrustSec уже в десятках линеек своих продуктов, в том числе в коммутаторах для корпоративных и промышленных сетей и ЦОДов, в межсетевых экранах, маршрутизаторах, контроллерах WLAN и т. д. Кроме того, в 2014 году она опубликовала информационный драфт IETF с описанием протокола SXP, открыв тем самым функционал TrustSec другим вендорам.

Что касается распространения правил SGACL, то элементы сетевой инфраструктуры автоматически загружают их с сервера Cisco ISE. При внесении изменений в политики TrustSec администратор может немедленно распространить их по сети, воспользовавшись push-командой в интерфейсе Cisco ISE. Кроме того, политика TrustSec может быть обновлена локально на устройстве с помощью команды в CLI. К тому же устройства периодически запрашивают новые политики по мере их устаревания (expiry timeout).

 

Преимущества использования TrustSec для сегментации сети

Деньги. Финансовый эффект достигается за счет снижения рисков ИБ и сокращения простоев бизнес-процессов.

Человеко-часы. Снижение затрат рабочего времени персонала достигается благодаря уменьшению объемов рутинной работы. В результате появляется возможность сосредоточиться на решении стратегических, творческих задач, которые часто откладываются или вообще не выполняются.

Время. Ускорение запуска новых сервисов/приложений на несколько дней и недель по сравнению с прежними задержками способствует более быстрому получению ожидаемых бизнес-результатов.

 

ПРИМЕРЫ ПРИМЕНЕНИЯ ПОЛИТИКИ TRUSTSEC

Рассмотрим применение политики TrustSec на конкретном примере (см. рис. 2). Пользователь Алиса подключилась к сети, прошла аутентификацию и авторизацию на сервере Cisco ISE и была отнесена к группе 5 (Marketing). Коммутатор доступа назначает пакетам, поступающим в сеть от ее компьютера, метку SGT 5. Для простоты предположим, что все изображенные на рисунке коммутаторы входят в домен TrustSec, а политики TrustSec применяются на интерфейсах коммутатора Nexus_SGACL, к которым подключены коммутаторы Nexus1 и Nexus2. Политику доступа, изображенную в таблице на рис. 2, администратор настроил на Cisco ISE и распространил в домене TrustSec.

Рис. 2. Пример применения политики TrustSec
Рис. 2. Пример применения политики TrustSec

 

Предположим, компьютер Алисы отправил IP-пакет серверу группы HR. Пакет передается через сеть и приходит на коммутатор Nexus_SGACL, который применяет уже загруженную с сервера Cisco ISE политику. Матрица доступа предус-

матривает «Отказ» (Deny) для всего трафика группы Marketing (метка 5), направленного адресатам группы HR (метка 20). Поскольку сервер HR с адресом 10.1.100.52 принадлежит группе HR, коммутатор удаляет пакет Алисы, выполняя таким образом требование политики сегментации. Коммутаторы применяют SGACL аппаратно на скорости канала подключения, поэтому фильтрация на базе меток не влияет на производительность коммутации.

Cisco TrustSec охватывает не только сетевую инфраструктуру и сервер Cisco ISE. Интерфейс pxGrid обеспечивает интеграцию TrustSec с другими решениями Cisco (и ее партнеров) — например, Cisco Firepower, Web Security Appliance (WSA), Stealthwatch и т. д. Такая интеграция позволяет создать на базе меток SGT весьма тонкие и детализированные политики доступа к приложениям и микроприложениям, для чего имеется целый арсенал функций межсетевых экранов следующего поколения Cisco Firepower.

Другие примеры: предоставление на базе меток SGT разных привилегий доступа к Web-ресурсам с помощью Cisco WSA; разработка политик Stealthwatch для борьбы с направленными угрозами с учетом принадлежности пользователя к той или иной группе SGT; частный случай возможностей решения Cisco Rapid Threat Containment. В последнем примере при выявлении угрозы ИБ (например, инфицированного компьютера) на Cisco ISE передается запрос об ограничении доступа для данного компьютера с помощью инструментария TrustSec (динамическое помещение в карантинную группу).

Кроме того, TrustSec, будучи, по сути, технологией программно определяемой сегментации, интегрируется с архитектурой программно определяемого ЦОДа Cisco Application Centric Infrastructure (ACI). Интеграция устанавливает взаимное соответствие между закрытыми группами пользователей, сегментированных с помощью меток SGT, и приложениями с их компонентами, разделенными на группы Endpoint Groups (EPG) технологии ACI. В результате появляется возможность создать сквозные программно определяемые политики безопасности, охватывающие и сеть, и ЦОД. Обе технологии, TrustSec и ACI, направлены на оптимизацию и автоматизацию процессов в сфере обеспечения безопасности и в ЦОДе. В этом смысле они дополняют друг друга и, когда используются вместе, предоставляют дополнительные синергетические выгоды.

КАК TRUSTSEC МОЖЕТ ПОМОЧЬ БИЗНЕСУ?

Рассмотрим ряд типовых задач департаментов ИТ и ИБ и сравним ожидаемые результаты от реализации сегментации сети посредством традиционных методов (условно назовем такую сеть AS-IS) и на базе технологии TrustSec (сеть TO-BE).

Предположим, что в обоих сценариях пользователи помещаются в нужную группу (задача 1) по завершении аутентификации и авторизации 802.1x на сервере RADIUS с использованием службы каталогов AD. Таким образом, решение этой задачи в обоих сценариях принципиально не отличается. Но изоляция трафика пользователей (задача 2) реализуется в сети AS-IS путем создания виртуальных топологий или применения ACL, а в сети TO-BE — путем назначения кадрам меток SGT. Контроль доступа (задача 3) в сценарии сети AS-IS осуществляется с помощью ACL, а в сценарии сети TO-BE — с помощью SGACL, которые динамически распространяются по сети с сервера Cisco ISE.

Сценарий 1. Создание/изменение/удаление списков контроля доступа (ACL)

К задачам этого вида относятся операции, связанные с контролем доступа уже имеющихся пользователей к ресурсам сети. В исходной сети (AS-IS) это делается вручную путем внесения правок в списки ACL, настроенные на одном или на многих элементах сетевой инфраструктуры. Особенно много правок требуется при использовании ACL и для изоляции трафика (вместо виртуальных топологий), и для контроля доступа.

Чтобы справиться с большим количеством ACL в рамках традиционного подхода, можно попытаться централизовать их применение к трафику. Для этого необходимо реализовать, во-первых, виртуальные топологии для изоляции трафика закрытых групп пользователей (решение задачи 2), а во-вторых, обмен трафиком между этими топологиями с применением ACL (решение задачи 3) в минимально приемлемом количестве точек сети.

При помощи подобной централизации обмена трафиком можно сократить количество ACL, но проблема традиционного подхода полностью не устраняется. Кроме того, есть опасность возникновения дополнительных «бутылочных горлышек» в сети, а также неоптимальных маршрутов трафика между группами, которые могут появиться из-за необходимости прохождения через точку обмена, находящуюся не на кратчайшем пути.

В сети с TrustSec (TO-BE) решение этой задачи автоматизируется. Контроль доступа к ресурсам обеспечивается путем настройки матрицы TrustSec Policy Management Matrix, централизованной на сервере контроля доступа Cisco ISE. Политики доступа динамически распространяются по элементам сетевой инфраструктуры и реализуются в SGACL.

Кроме того, нет необходимости задавать определенные ACL на соответствующих интерфейсах, как было в сети AS-IS. Вместо этого на интерфейсах активируется применение политик TrustSec, но сами правила SGACL устройства получают динамически. Поэтому централизовать обмен трафиком между группами уже не нужно, и можно его сделать распределенным. В результате удается оптимизировать пути обмена трафиком между группами и уменьшить количество «бутылочных горлышек».

Сценарий 2. Создание/изменение/удаление ресурсов и закрытых групп пользователей

Задачи этого типа могут быть связаны с созданием или удалением закрытых групп пользователей, запуском или удалением ресурсов сети, изменением географического охвата групп пользователей. Такие задачи могут возникать в числе прочего в рамках концепции agile office.

Создание/удаление закрытых групп пользователей

В сети AS-IS закрытые группы пользователей реализуются путем создания виртуальных топологий с помощью таких средств, как VLAN, VRF, MPLS VPN, туннели и т. п. Альтернативным вариантом является применение ACL и для сегментации, и для контроля доступа. Добавление новых групп или удаление старых требует значительных затрат времени и ручного труда, а зачастую связано с ошибками в настройке и простоями бизнес-процессов из-за человеческого фактора.

В сети с TrustSec добавление или удаление закрытой группы пользователей реализуется путем создания или удаления метки группы (SGT) на сервере Cisco ISE и включения пользователей в нужные группы. При этом вносить изменения в конфигурацию сети, как правило, не требуется.

В результате затраты времени обслуживающего персонала заметно сокращаются. При этом создание новой закрытой группы пользователей или нового бизнес-процесса, опирающегося на сегментацию сети, происходит значительно быстрее. Наконец, исключаются ошибки, которые могут возникать при выполнении большого количества рутинных операций: проверить матрицу доступа гораздо проще, чем сотни записей ACE, распределенных между десятками списков ACL.

Изменение географического охвата групп пользователей

Подобные задачи возникают, например, когда в группу необходимо включить пользователей из другого здания, города, при переезде компании в другой офис или изменениях в составе отделов и т. п.

В сети AS-IS недостаточно единожды выполнить комплекс работ по сегментации, объединению разных VLAN и VRF в виртуальные топологии, по применению ACL (возможно, на многочисленных сетевых интерфейсах) и т. п. — при изменениях в политике сегментации все эти действия придется повторять. Поэтому если изначально реализовать сегментацию для всех групп во всей сети, то за это придется заплатить еще более высокой трудоемкостью ее эксплуатации.

Казалось бы, остроту проблемы можно снизить, если внедрить сегментацию лишь частично, прокладывая виртуальные топологии только в те части сети и для тех групп, которым это необходимо в данный момент. Но когда требования к географии групп поменяются, придется потратить немало времени и сил, чтобы внедрить сегментацию в нужной области сети, изменить конфигурацию, не ошибиться в настройках и избежать простоев бизнес-процессов.

TrustSec позволяет свести трудозатраты администраторов практически к нулю. Технология внедряется в сети один раз, причем даже на этом этапе требуется гораздо меньше усилий, чем при создании виртуальных топологий и/или множества ACL на элементах сетевой инфраструктуры. Перенастраивать оборудование при изменении политики не понадобится, поэтому соображения трудоемкости эксплуатации не мешают реализовать TrustSec во всей сети при ее создании или модернизации.

Но все же, если при изменении географии групп пользователей оказывается, что по каким-либо причинам внедрение TrustSec в нужной части сети изначально не выполнялось, это можно сделать быстрее, чем в сценарии AS-IS, путем применения набора команд, единого для всех групп пользователей и не зависящего от их количества. Если же TrustSec уже внедрен в нужной части сети, то перенастраивать оборудование не придется, так как политики TrustSec распространяются по сети динамически.

Сценарий 3. Предотвращение инцидентов ИБ

TrustSec позволяет реализовать сегментацию пользователей и контроль доступа с гораздо более высокой скоростью и гранулярностью, чем базовые средства сети AS-IS. Эффект от внедрения этой технологии тем больше, чем более динамичны изменения в конфигурации закрытых групп пользователей, потому что TrustSec автоматизирует их.

Кроме того, эффект от TrustSec тем заметнее, чем более гранулярна сегментация пользователей на группы. В случае традиционной сегментации (на базе виртуальных топологий) с увеличением числа групп пользователей возрастает разнообразие топологий и, как следствие, внесение изменений сети осложняется. В результате количество топологий (и групп пользователей) может оказаться неоптимальным с точки зрения безопасности, а значит, придется идти на компромисс между безопасностью и трудоемкостью.

TrustSec устраняет это ограничение, позволяя создать единую, всеобъемлющую политику доступа для всех типов устройств и подключений, разделяя пользователей именно на такое количество групп, какое необходимо для обеспечения высокого уровня безопасности. Серьезные дополнительные возможности открывает интеграция TrustSec с другими решениями ИБ благодаря технологии pxGrid. Кроме того, TrustSec обеспечивает повышенный уровень безопасности за счет строгой взаимной аутентификации элементов сетевой инфраструктуры и возможности шифрования трафика на канальном уровне.

Благодаря описанным преимуществам Cisco TrustSec, вероятность инцидентов ИБ и связанный с ними ущерб значительно снижаются.

Сценарий 4. Устранение последствий / расследование инцидентов ИБ

TrustSec приносит большую пользу и при устранении последствий инцидентов ИБ, а также при их расследовании.

Ограничение ущерба от инфекции и ее распространения

Так как TrustSec позволяет сегментировать пользователей, создавая закрытые группы с гораздо более высокой степенью детализации, чем традиционные методы, в случае возникновения инцидента ИБ (например, при проникновении в сеть злоумышленника или вируса) ожидаемый ущерб будет гораздо меньше, чем в сети AS-IS. Кроме того, TrustSec сэкономит время персонала, который будет заниматься устранением последствий инцидента.

Другое преимущество TrustSec состоит в том, что при инциденте он позволяет сохранить доступ пользователей в сеть, переведя их в отдельную изолированную группу. Это особенно важно, когда речь идет о VIP-пользователях. Например, при заражении компьютеров топ-менеджерам будет по-прежнему обеспечен доступ в сеть, причем с минимальными рисками для незараженных компьютеров.

Ускорение расследования инцидентов ИБ

Поскольку TrustSec позволяет реализовать более гранулярную, по сравнению с сетью AS-IS, сегментацию пользователей, расследование инцидентов потребует анализа состояния меньшего количества устройств. В результате можно значительно ускорить и облегчить расследование инцидентов.

ЗАКЛЮЧЕНИЕ

Современный бизнес становится все более динамичным. Сеть, а также применяемые в ней политики должны оперативно адаптироваться к новым требованиям, так как изменения в политике безопасности, на реализацию которых уходят дни или недели, больше не устраивают бизнес.

Критически важно и надлежащее функционирование бизнес-процессов, опирающихся на сеть и зависящих от сегментации. Любые изменения политики сегментации должны быть реализованы не только быстро, но и надежно.

Поскольку традиционные средства сегментации уже не отвечают ни текущим, ни прогнозируемым запросам бизнеса, на помощь приходит современная технология сегментации сети TrustSec. Предлагаемый ею инструментарий быстро, надежно и в автоматическом режиме реализует изменения среды сегментации и сводит к минимуму недостатки человеческого фактора.

Сергей Полищук, системный инженер Cisco Systems, CCIE #50014