La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Muriel Bôle– Partner SE

Présentations similaires


Présentation au sujet: "Muriel Bôle– Partner SE"— Transcription de la présentation:

1 Muriel Bôle– mbole@cisco.com Partner SE
Nouveautés Sécurité: Cloud Security, Sécurisation des nomades, nouveaux ASA Muriel Bôle– Partner SE

2 Architecture de sécurité Cisco pour le réseau sans frontières
Borderless Data Center 3 Polique sécurité (Access Control, Acceptable Use, Malware, Data Security) Politique Sécurité Périmètre Site Distant Applications et Données Site Central Platform as a Service Infrastructure as a Service Software as a Service X as a Service Borderless Internet 2 Borderless End Zones 1 Aéroport Télétravail Utilisateur mobile Café Attaquants Clients Partenaires

3 Agenda Sécurisation Web en mode SaaS: Cisco Scansafe
Sécurisation des nomades: “mobile user security” Nouveaux ASA 5585

4 Sécurisation web en mode SaaS

5 Malwares : un Constat Alarmant
300% d’augmentation du Volume annuel en (eq. 5 dernières années) Communauté des Hackers devenue une industrie du cybercrime organisée et puissante Mutation en Temps Réels des menaces +de 50% des PC ont + de 15 jours de retard sur les signatures AV 73% des menaces sont bloqués par les AntiVirus – 27%: inconnues (0-day) non bloquées 80% des menaces sont sur le Web 50% du Web est non catégorisé 74% des malwares sont sur des sites institutionnels Puissance PC/Appliances insuffisante

6 Security product of the year 2008
Cisco ScanSafe Récompenses SCANSAFE Editeur de Sécurité Web en mode SaaS Pionnier avec 6 ans d’expérience Position dominante = 34,5% IDC Innovation et Récompenses 100% de disponibilité depuis 6 ans CLIENTS Plusieurs Millions d’utilisateurs Clients dans + de 100 pays 4 Milliards de requêtes Web par jour 200 millions de menaces bloquées mensuellement Security product of the year 2008 Clients Partenaires

7 ScanSafe : Les Services

8 DATACENTERS Extensibilité et Fiabilité
Milliards de requêtes Web/jour Traitement hautement parallèle <50 ms de latence 10Gb connectivité Fournisseurs réseau redondants Fiabilité 14 centres de données Certifications de 1er rang Millions d’utilisateurs déployés 100% de disponibilité

9 Filtrage Web : Filtrage proactif du contenu
Fonctions traditionnelles de Filtrage Blocage par catégories, types de fichier et types de contenu; listes blanches et noires Fonctions avancées Différentiation des flux HTTPS et FTP via HTTP Niveaux d’administration granulaires Fonction anonymat des rapports Module DLP Classification Dynamique Classification en temps-réel des nouveaux sites 99% de détection dans les catégories Adultes, Jeux, Violence... etc. SearchAhead Notification proactive – logos a droite des résultats de recherche Acceptable Uncategorized Prohibited Malicious 9

10 Malware: Protection Outbreak Intelligence
Web Virus / Spyware scanning using two if the top 5 signature based Avs Proprietary heuristics engine (Outbreak Intelligence)

11 Modes de déploiement Utilisation d’un proxy pour les utilisateurs
Sans granularité utilisateur - politique commune: “Proxy=Scansafe” pour le(les) navigateur(s) (fichier PAC) Avec granularité utilisateur: “Proxy= connecteur scansafe onsite” en lien avec AD qui envoie infos user au service Scansafe (dans l’entête http) “Proxy=proxy d’entreprise” qui relaie vers le connecteur (ISA, ICAP) “Proxy = scansafe”; PIM.EXE sur le poste pour récupérer les données utilisateur et les transférer (entête http) Anywhere + pour les nomades

12 SaaS: Protection des Nomades - Anywhere+
Client Scansafe de protection des Nomades Redirection du trafic web vers les centres de données Sélection automatique du centre ScanSafe le plus proche lors de voyages Encryption du trafic pour garantir la sécurité des données envoyées Déploiement centralisé de masse et en mode silencieux Protégé pour éviter le contournement “Les Nomades utilisent leur VPN seulement 17% de leur temps de surf sur Internet – Comment sont-ils contrôlés et protégés les 83% du temps restant?

13 ScanCenter – Plateforme d’administration et de rapports
Visibilité incomparable sur l’utilisation des ressources Plus de rapports personnalisables 75 attributs corrélables 11 catégories de rapport (user, bw, appli, malware, temps passé, catégories, …) Analyse détaillée en cascade Basé sur un entrepôt de données pour de hautes performances Rapports globaux, de tendance et à précision chirurgicale Rapports programmés pouvant être envoyés à des utilisateurs définis Rapports granulaires permettant de trouver les remèdes aux problèmes

14 Cisco ScanSafe : Les Garanties
Portail Web d’administration Règles de Sécurité Monitoring Temps Réel Rapports Multi Sites Corrélation des logs Infrastructure Base de Données Support 24x7x365 Pas de maintenance Mise à jour continue et automatisé Pas de correctif à installer SLAs uniques Performance (2) Sécurité (2) 1. Disponibilité 99,999% garanti de temps de disponibilité de notre service pour scanner le trafic 2. Latence Temps de chargement supplémentaire attribuable au service Evalué par des entreprises tierces 3. Faux Positifs Pages bloquées mais qui n’auraient pas dû l’ être Taux de faux positif < % 4. Faux Négatifs Pages qui auraient dû être bloquées mais qui ne l’ont pas été Taux de faux négatif < %

15 Ordering Canal de Distribution Cisco Ironport
Offre Scansafe dans la price-list ironport Devis commercial inclut: Forfait d’installation Licenses utilisateurs (min 25 users) Licenses disponibles Malware Web filtering Malware + Web filtering Secure Mobility (anywhere+) Licences par utilisateur et par mois Prix dégressif selon nombre de users et durée de souscription: 1, 2 ou 3 ans

16 Bénéfices de la Sécurité Web ScanSafe en mode SaaS
Réduction des Coûts Economies de temps et d’argent ; 30-40% de réductions annuelles en TCO Redirigez ves ressources vers les projets centraux au coeur de l’entreprise Simplicité de déploiement Tranquilité d’Esprit Protection en couches contre les Malware du Web, garanties par SLA’s Dépenses fixes, pas de coûts non budgétés Utilisateurs Nomades protégés sans rapatriement du trafic Flexibilité Modèle par souscription, sans investissement nécessaire Extensibilité – ajout d’utilisateurs sans achat de matériel supplémentaire Nouvelles fonctions/améliorations sans besoin d’installer une nouvelle version

17 Sécurisation web des nomades

18 Les utilisateurs mobiles aujourd’hui
83% des PC nomades surfent directement sur Internet sans passer par leur VPN d’entreprise Applications Social Networking L’utilisateur n’est pas protégé lorsqu’il accède directement à internet sans monter son VPN News Enterprise SaaS Coffee Shop At Home At Work Airport Broad Range of Devices Access Points

19 Solution VPN ASA Toute une gamme d’options de connectivité
SSL VPN Tunneling Clientless VPN Access DTLS (voice/video) Tunneling IPsec VPN Tunneling Mobile Access Cisco ASA 19 19

20 Cisco Anyconnect VPN client
Multiples OS supportés Mac OS X 10.5, 10.6.x ou + (32/64 bits) Win XP, VISTA, Windows 7 (32/64 bits) Linux : RedHat linux 5 desktop unbuntu 9.x autres distributions linux sur demande mode autonome (sans navigateur Web) Start Before Login (SBL) pour Windows API pour le pilotage a partir d’une application externe Installation à partir d’un navigateur java, ActiveX ou via un MSI Mise à jour auto sans nécessité des droits d’administrateur Accès aux ressources internes IPv6 (dans un tunnel IPv4) Support de DTLS (optimisation pour les flux sensibles à la latence) auto- détection à la connexion (le protocole utilise UDP)

21 Evolution : Cisco AnyConnect Solution de connection VPN de nouvelle génération
Choix multiples Choix d’équipements et OS Securité Sécurité complète de La solution Data Loss Prevention Acceptable Use Threat Prevention Access Control Experience Connectivité permanente, Expérience utilisateur unique Acces authorisé Intranet Corporate File Sharing

22 Anyconnect pour les utilisateurs mobiles
Applications Social Networking Corporate Datacenter with ASA News INTERNET Anyconnect 2.5: Mode always on Détection de la meilleure passerelle VPN Enterprise SaaS Coffee Shop At Home Airport At Work Broad Range of Devices Access Points AnyConnect Client

23 Trusted Network Detection (TND) Détection du réseau de confiance
Connexions et déconnexions automatiques en fonction des conditions suivantes : Réseau de l’entreprise Réseau externe à l’entreprise Détermination de la location en fonction du nom de domaine et de l’adresse IP du DNS D’autres méthodes dans le futur Authentification par certificat pour une authentification transparente Windows XP, Vista, 7 & Mac OS X Réseau de confiance (entreprise) Réseau externe à l’entreprise

24 Solution SSL-VPN Cisco Sélection optimale du point d’accès
Tokio Paris Los Angeles Time = 33ms Time = 35ms Time = 26ms Time = 25ms Time = 28ms Time = 23ms Time = 27ms Time = 24ms Time = 25ms Marseille Connexion automatique au meilleur point d’accès Requête HTTPS calcul du meilleur délai aller retour

25 Solution SSL-VPN Cisco Sélection optimale du point d’accès
Tokio Paris Los Angeles Time = 26ms Time = 23ms Time = 25ms Marseille Connexion automatique au meilleur point d’accès Requête HTTPS calcul du meilleur délai aller retour

26 Solution SSL-VPN Cisco Sélection optimale du point d’accès
Paramètres importants: Suspension Time Threshold (défaut: 4 heures) Performance Improvement Threshold (défaut: 20%) Tokio Paris Los Angeles Time = 23ms Marseille Connexion automatique au meilleur point d’accès Requête HTTPS calcul du meilleur délai aller retour

27 Corporate Datacenter avec ASA et WSA
ASA + WSA + Anyconnect 2.5 ASA / WSA offrent une connectivité sécurisé permanente Applications News Social Networking Corporate Datacenter avec ASA et WSA INTERNET Enterprise SaaS Coffee Shop At Home Airport At Work Broad Range of Devices Access Points AnyConnect Client

28 AnyConnect iPhone Iphone 3G, 3GS, 4 avec iOS 4.1
Tunnels SSL (DTLS et TLS) Roaming entre le 3G et le WiFi Méthodes Multiples d’authentifications Imports des profiles de connexions via l’ASA Enrollement des Certificats Interface Iphone Native Intégration forte avec l’IOS Apple iPhone Logs intégrés au client Support iPAD après mise à jour de l’iOS en v4.2

29 Anyconnect 3.0 (Q4/2010) Client VPN SSL et IPSec iKEv2
HostScan intégré Contrôle OS, Process, AV, FW ….. Sécurité mode SAAS Intégration du client scansafe anywhere + Client 802.1x Wifi / Filaire TLS, PEAP, GTC, etc… MACSec (chiffrement LAN) Diagnostic intégré (DART)

30 Anyconnect 3.0 Intégration des services SaaS et Entreprise
News AnyConnect 3.0 (incluant le client anywhere+) ASA Cisco Web Security Appliance Social Networking Enterprise SaaS Corporate AD

31 Cisco ASA 5585

32 Positionnement de la gamme ASA 5500: Du 5505 au 5585
Plateformes multi-services (FW, IPS et VPN) 5585 / SSP Gbps 350k conn/s 5585 / SSP Gbps, 200k conn/s 5585 / SSP Gbps 125k conn/s, 5585 / SSP Gbps 50k conn/s Performances ASA Mbps 25k conn/s, ASA Mbps 12k conn/s ASA Gbps 150k conn/s ASA Mbps 9k conn/s, ASA Gbps 90k conn/s , ASA Mbps 4k conn/s ASA Gbps, 38k conn/s Plateformes Firewall et VPN Branch Office Internet Edge Teleworker Campus Data Center

33 Gamme Cisco ASA 5585-X Branch Office Campus Data Center
ASA 5585-S60P60 ASA 5585-S40P40 Performance, Scalability, Adaptivity Scalable Data Center Solutions ASA 5585-S20P20 ASA 5585-S10P10 Securing Internet-Edge and Campus Networks Branch Office Campus Data Center Enhancing the Customer Experience

34 Slot-1 Slot-0 Chassis ASA 5585-X Chassis 2U 19”
Alimentations redondantes et Hot Swappable 6 ventilateurs hot swappable Chassis 2U 19” 2 modules pleine largeur 2 modules ½ largeur Multi Gigabit Fabric Slot-1 ASA SSP FW/VPN dans le Slot 0 En option IPS SSP dans le Slot 1 Slot-0 © 2009, Cisco Systems, Inc. All rights reserved. Presentation_ID.scr

35 Cisco ASA 5585 – Face avant chassis 2-slot pour modules firewall/VPN et IPS Format: 2RU Rack Mount Profondeur: 25” Chassis Depth Alimentations Redondantes eUSB pour stockage Software / Config Deux baies pour disques durs (pour utilisation future) 2 Ports Ethernet de management et 2 ports USB ports (utilisation future) 2 ou 4 ports 10GE SFP+, 6 ou 8 ports GE ports Status LEDs 35

36 Les modules FW/VPN SSP du 5585
ASA SSP-10 ASA SSP-20 ASA SSP-40 ASA SSP-60 Processor 1 x 2.0 GHz Intel E5508 (2 Core/2 Threads) 1 x 2.13 GHz Intel L5518 (4 Cores/8 Threads) 2 x 2.13 GHz Intel L5518 (8 Cores/16 Threads) 2 x 2.46 GHz Intel E5645 (12 Cores/24 Threads) Maximum Memory 6 GB 12 GB 24 GB Maximum Storage 2 GB eUSB Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 2 x SFP+ 4 x SFP+ 6 x 1GbE Cu 4 x SFP+ Security 1 x Cavium Nitrox 1620 1.5Gbps AES 256 2 x Cavium Nitrox 1620 3 Gbps AES 256 3 x Cavium Nitrox 1620 4.5 Gbps AES 256 4 x Cavium Nitrox 1620 6 Gbps AES 256

37 Modules IPS 5585-X IPS SSP-10 IPS SSP-20 IPS SSP-40 IPS SSP-60
Processor 1 x 2.0 GHz Intel E5508 (2 Core/2 Threads) 1 x 2.13 GHz Intel L5518 (4 Cores/8 Threads) 2 x 2.13 GHz Intel L5518 (8 Cores/16 Threads) 2 x 2.46 GHz Intel E5645 (12 Cores/24 Threads) Maximum Memory 6 GB DDR3-800 12 GB DDR3-1066 24 GB 48 GB Maximum Storage 2 GB eUSB Ports 2 x SFP+ 8 x 1GbE Cu 2 x 1GbE Cu Mgmt 2 x SFP+ 4 x SFP+ 6 x 1GbE Cu 4 x SFP+ Mezzanine Card 1 x LSI Regex Accelerator -2G 1 x LSI Regex Accelerator-2G 1 x LSI Regex Accelarator-10G 2 x LSI Regex Accelerator-10G

38 Options d’interface (SFP/SFP+)
Platform SFP/SFP+ (1 or 10 GbE) GbE (copper) Total Data Ports ASA5585-S10 ASA5585-S20 2 8 10 ASA5585-S40 ASA5585-S60 4 6 ASA5585-S10P10 ASA5585-S20P20 16 20 ASA5585-S40P40 ASA5585-S60P60 12 Each module also provides console, aux and two 1Gbe (cu) management ports 1GE SX 10GE Short Reach Optics 10GE Long Reach Optics GLC-SX-MM (up to 500m multimode fiber) SFP-10G-SR (up to 300m multimode fiber) SFP-10G-LR * (up to 10km single-mode fiber) SFP-10G-LRM * (220m multimode, 300m single-mode) new * En cours de validation © 2009, Cisco Systems, Inc. All rights reserved. Presentation_ID.scr

39 Positionnement et performances ASA 5585 – v8.2(4)
ASA 5585 /SSP10 ASA 5585 /SSP20 ASA 5585 /SSP40 ASA 5585 /SSP60 Positionnement Accès internet/ Campus Accès internet/ Campus Campus / Data Center Data Center 4 Gbps 2 Gbps 1 Gbps 5000 10 Gbps 5 Gbps 3 Gbps 1.5 Gbps 1 Gbps 5000 20 Gbps 10 Gbps 5 Gbps 2.5 Gbps 2 Gbps 10,000 30 Gbps 15 Gbps 10 Gbps 5 Gbps 2 Gbps 10,000 Performances Max Firewall (Jumbo) Max Firewall (Real-world HTTP) Max IPS (Media Rich) Max IPS (Transactional) Max IPSec VPN Max IPSec/SSL VPN Peers 650,000 80,000 2,000,000 8 GE GE 16 GE GE 250 A/A and A/S 800, ,000 3,000,000 8 GE GE 16 GE GE 250 A/A and A/S 2,000, ,000 5,000,000 6 GE GE 12 GE GE 250 A/A and A/S Capacités Nbs Max de Connections (FW) Nbs Max Conns/Second Packets/Second (64 byte) Base I/O Max I/O VLANs Supportés Haute dispo Supportée 2,000, ,000 8,00,000 6 GE GE 12 GE GE 250 A/A and A/S

40 ASA 5585 Ordering BASE BUNDLE (Firewall+VPN) BASE BUNDLE + IPS
ASA5585-S10 ASA5585-S10P10 ASA5585-S10X-K9: Security Plus (10GE use) ASA5585-S20 ASA5585-S20P20 ASA5585-S20X-K9: Security Plus (10GE use) ASA5585-S40 ASA5585-S40P40 ASA5585-S60 ASA5585-S60P60 Commandable: Septembre 2010 Commandable: début 2011 Firewall/VPN Module Spare IPS Module Spare ASA-SSP-10-K8= ASA-SSP-IPS10-K9= ASA-SSP-20-K8= ASA-SSP-IPS20-K9= ASA-SSP-40-K8= ASA-SSP-IPS40-K9= ASA-SSP-60-K8= ASA-SSP-IPS60-K9= © 2009, Cisco Systems, Inc. All rights reserved. Presentation_ID.scr

41 Topologie Data Center ASA5585 Internet Data Center Core
Data Center POD Nexus 7000/ Catalyst 6500 Nexus 7000/ Catalyst 6500 Nexus 5020 Nexus 5020 Nexus 5010 Nexus 5010 Nexus 5010 Nexus 5010 Nexus 2148T Nexus 2148T ASA5585 ACE4710 WAAS 10Gig Server Rack Services Block 1Gig Server Rack © 2009, Cisco Systems, Inc. All rights reserved. Presentation_ID.scr

42 Cisco ASA 5500 Series: Appliance multi-fonctions
VPN Ipsec ou SSL Remote access Services SSL avec client ou avec portail . Contrôle de posture des postes VPN site à site avec routage , QoS et failover VPN IPSec et SSL Protection en temps réel contre les attaques des applications et OS Détection et filtrage de l'activité réseau des vers et Virus Détection et filtrage des Spyware, adware et malware Corrélation et contre-mesures intégrées aux sondes IPS Firewall stateful à analyse applicative Services avancés d’inspection applicative et protocolaire NAT/PAT applicatifs Support avancé des protocoles voix et vidéo Fonction TLS Proxy, Phone Proxy, Présence proxy … Firewall Mode routé ou transparent Virtualisation QoS Services multicast Routage, redondance, load-balancing Services réseaux avancés

43 27 Septembre 2010 ASA 5585 (recording)
Webinars Sécurité Jeudis de 11h à 12h Toutes les 2 /3 semaines Cible: AV, Consultants Sécurité partenaires 27 Septembre ASA 5585 (recording) 28 Octobre Offre Sécurité SaaS et web (recording) 18 Novembre Anyconnect 3.0 (recording) 2 Décembre Update ironport (recording) 16 Décembre ACS 5.2 20 Janvier Solutions IPS

44 Evénements “My Cisco Event calendar”
Planning d’événements Cisco pour les partenaires Européens / Français Sur site / Webinars

45 Webinars Sécurité: Portail
https://ciscosales.webex.com/ciscosales-fr/portal/393322 Présentations des Webinars: ASA 5585, Scansafe Enregistrements Documents divers, Boilerplate Contact:

46 En résumé Protection web en mode hosté avec la solution Scansafe à partir de 25 utilisateurs, pour petits/moyens sites ou Entreprises avec sites multiples et distribués Client unifié pour la sécurité d’accès réseau : Anyconnect 3.0 Nouveaux ASA 5585: FW/VPN/IPS hauts débits

47


Télécharger ppt "Muriel Bôle– Partner SE"

Présentations similaires


Annonces Google