راهکارهای Cisco

 

 

راهکارهای Cisco SD-WAN

 

Centralized Policy

در SD-WAN می‌توان سیاست‌های امنیتی ، توپولوژی و همچنین موارد کنترلی را به‌صورت متمرکز صورت داد و این راهکار سبب می‌شود که مدیران شبکه بتوانند به‌راحتی و با افزایش تعداد شعبات یک سازمان آن‌ها را مدیریت کنند.

 

Application-Aware Routing

این ویژگی مدیران شبکه را قادر به شناسایی نرم افزار‌های مهم سازمان کرده و می‌توانند ترافیک آن‌ها را بر اساس SLA موردنیاز مشخص کنند. و درصورت بروز اختلال در مسیر جاری ترافیک بر اساس SLA ترافیک را به بهترین مسیر منتقل کرده تا عملکرد سازمان دچار اختلال نگردد.

 

SD-WAN Security

شرکت سیسکو با ترکیب مجموعه‌ای از ویژگی‌های امنیتی که شامل Application-Aware Enterprise Firewall، IDS/IPS ،URL Filtering ،Advanced Malware Protection (AMP) ، Advanced Malware Protection (AMP) و همچنین راهکارهای امنیتی در محیط‌های ابری که به نام سرویس دسترسی امن در لبه شبکه (SASE) که یک روش مبتنی بر Cloud برای تأمین امنیت شبکه شناخته می‌شود، توانسته یکی از قوی‌ترین راهکارهای امنیتی جهت محافظت در شبکه SD-WAN را فراهم کند.

 

Cloud OnRamp

امروزه با توجه به استفاده بیشتر سازمان‌ها از نرم‌افزارها و زیرساخت‌های ابری (SaaS, IaaS) نیاز ارتباط با کیفیت با این گونه نرم‌افزارها برای سازمان‌ها دارای اهمیت شده است. شرکت سیسکو با ارائه راهکار Cloud On-Ramp گردش کار ساده و در عین حال بسیار مؤثری را در vManage فراهم می‌کند اینگونه نیازها رو مرتفع کرده است.

vAnalytics

با استفاده از موتور پیشرفته vAnalytics قابلیت مشاهده end-to-end در برنامه‌ها و زیرساخت‌ها در کل شبکه را فراهم نموده و می‌توان برنامه‌ریزی جهت افزایش پهنای باند و گسترش شعبه در کل شبکه SD-WAN را انجام داد.

 

راهکارهای ISE

 

Dot1x

به منظور Authentication و احراز هویت کاربران شبکه داخلی اعم از Wired و Wireless و VPN صورت می‌گیرد و بر اساس احراز هویتی که انجام می‌دهد می‌توانیم دسترسی‌های متفاوتی را ارائه دهیم. در واقع به منظور ایجاد یک بستر امن از دید تیم IT که مانع ورود افرادی که Trust شبکه و سازمان نیستند می‌شود . در این قابلیت که به نام Dot1x نامیده می‌شود و با ادغام شدن با سرویس اصلی سازمان که Active Directory می‌باشد می‌توانیم کاربرانی که در Domain Control ثبت شده‌اند را مجاز کنیم و بر اساس گروه‌های مختلف کاری دسترسی‌های مشخصی به هر گروه اعمال کنیم.

 

Profiling

در این راهکار و با استفاده از این Feature ، قابلیت توانایی شناسایی دستگاهایی که کاربران در سازمان با آن‌ها احراز هویت انجام داده‌اند را می‌توانیم ارائه دهیم و به منظور Device Context Aware از این راه کار استفاده کنیم و حتی با استفاده از Profiling که در دیتابیس ISE برای اکثر Vendorها وجود دارد پالیسی‌هایی را بوجود بیاوریم که جدا از کاربرانی باشد که در مرحله Dot1x برای آن‌ها مجوز قرار دادیم و دسترسی‌های منظمی را به‌وجود آوریم.

 

 Posture Assessment

به منظور رعایت امنیت بیشتر در سازمان و همچنین ارزیابی کاربران به منظور نصب نرم‌افزار خاصی که در پالیسی سازمان است تعریف شده است و کاربران می‌بایست بر سیستم خودشان از آن بهره گیرند مورد استفاده قرار می‌گیرد. به عوان مثال اگر سازمان مقرر کرده که بر روی سیستم کاربران سازمان می‌بایست از Agent آنتی ویروس خاصی استفاده گردد و کاربرانی که آن را بر روی سیستم خود دارند می‌توانند به طور کامل به شبکه دسترسی داشته باشند و حتی برای اینکه سخت گیرانه‌تر رفتار کنیم می‌بایست نرم‌افزار فوق به آخرین آپدیت برسد که در غیر این صورت کاربر فقط به سرور خاصی دسترسی می‌تواند داشته باشد و پس از نصب و حتی Update نرم افزار و Agent فوق می‌تواند دسترسی کامل داشته باشد .

 

DVLAN Assignment

به‌دلیل اینکه در سازمان‌ها و شبکه‌های امروزی Rooming کاربران بسیار زیاد می‌باشد و احتمال جابه‌جایی در سازمان وجود دارد و به همبن دلیل دسترسی‌های کاربران که از قبل برای آن‌ها تعریف شده بود دچار مشکل می‌شود و Admin یک سازمان می‌بایست به منظور انجام سطح دسترسی تمام تنظمیات را در شبکه مقصد ( اعم ازVLAN و ACL) را دوباره تعریف نماید و خود این موضوع برای کاربران بسیار زیادی اگر اتفاق بیافتد باعث پیچیدگی در پیکربندی دستگاه‌ها می‌گردد به همین منظور پلتفرم ISE این مشکل را با استفاده از قابلیتDVLAN Assignment رفع کرده که در آن احتیاج به دخالت Admin شبکه به صورت Manual وجوود ندارد.

 

Sponsor and Guest

از این راهکار برای سازمان زمانی استفاده می‌شود که بخواهیم در بستر Wired و Wireless برای مهمانان که احتیاج به دسترسی خاصی به عنوان مثال اینترنت داشته باشن استفاده می‌کنیم. به عنوان مثال هنگامی که یک کاربر مهمان بخواهد اینترنت داشته باشد به یک SSID از قبل تعریف شده متصل می‌گردد و صفحه به صورت خودکار به سمت سرور ISE هدایت می‌گردد و پس از وارد نمودن اطلاعات، درخواست به سمت Sponsor هدایت می‌شود و پس از بررسی تصمیم گرفته می‌شود که Sponsor درخواست را Approve و یا Reject کند و پس از موافقت با درخواست، کاربر می‌تواند به اینترنت و در بازه‌های زمانی خاص که توسط Sponsor تعیین می‌گردد، متصل گردد .

 

Device Admin

به منظور سهولت در مدیریت، کنترل و دسترسی به سوییچ‌ها و روترها و همچنین فایروال‌های سازمان (سیسکو) می‌توانیم از این راهکار استفاده کنیم و هنگامی که به عنوان مثال یک شخص بخواهد دسترسی خاصی بر روی سوییچ‌ها و یا هر Device که تحت مدیریت ISE را داشته باشد، کافیست آن را در گروهی که از قبل به منظور دسترسی ایجاد کرده‌ایم اضافه کنیم . همچنین به منظور ایجاد دسترسی خاص برای پیکربندی دستگاه نیز به صورت Command Authorization دستورات را محدود کنیم و اجازه دسترسی در Privilege خاص را به آن فرد دهیم .

 

Trust SEC

از قابلیت‌های جذاب سرور ISE که یکی از Componentهای اصلی Cisco SD Access نیز می‌باشد مفهوم Trust Sec است که در این قابلیت سرور ISE به هر کاربری که Authenticate می‌شود یک TAG اختصاص می‌دهد که بر اساس TAG اختصاص داده شده به کاربر دسترسی خاصی از طریق SGACL داده می‌شود . مزیت این قابلیت در واقع به این گونه است که وابستگی به پارامترهای IP و MAC وجود ندارد و کاربران بر اساس TAG‌های اختصاص داده شده به آن‌ها در شبکه دیده می‌شوند و کنترل می‌شوند و حتی می‌توانیم از این قابلیت هنگامی که پلتفرم ISE را با Firepower ادغام کردیم، استفاده کنیم .

 

راهکارهای Cisco Firepower

 

ACP (Application)

در این راهکار با استفاده از ماژول Firepower می‌توانیم ترافیک‌ها را در لایه 3 و 4 و لایه 7 مدل OSI بررسی کرده و در لایه Application با استفاده از Predefined Application‌ها و Category‌هایی که در Firepower وجود دارد و این Category ها بر اساس نیازهای سازمان دسته بندی شده‌است پالیسی‌های دقیق‌تر را تنظیم کرد.

 

ACP (URL)

به منظور بررسی و Inspection در لایه 7 در پالیسی‌ها می‌توانیم از راهکار URL Filtering استفاده کنیم که دسته‌بندی‌ها و Category‌های مختلفی در Firepower تعریف شده است که قابلیت اضافه کردن URL برای استفاده در Access Control Policy را به ما می‌دهد و به منظور به‌روزرسانی در این Category، ماژول دستگاه در بازه‌های زمانی به سایت Talos متصل می‌شود .

 

ACP (Zone Base Firewall)

در فایروال‌های نسل جدید که بر اساس Zone مطرح می‌شوند و اجازه ورود و خروج ترافیک را بر اساس Zone در اختیار ما قرار می‌دهند، می‌توانیم Interfaceهای مختلفی را در Zone‌های یکسان قرار دهیم. یکی از بزرگ‌ترین مزایای Zone Base Firewallها ایجاد پالیسی‌های یکسان و راحت‌تر به منظور کم‌شدن پیچیدگی در پیکربندی فایروال می‌باشد که همین امر نیز به دسته‌بندی منظم اینترفیس‌ها کمک می‌کند.

 

ACP ( Geo Location )

برای دسته‌بندی پالیسی‌ها به منظور بهینه‌سازی بهتر و کم‌شدن پالیسی‌ها بر اساس ترافیک‌های ورودی از نقاط مختلف دنیا می‌تواند صورت گیرد که همین امر با استفاده از به‌روزرسانی دستگاه در این Feature انجام می‌شود و ترافیک‌های بر اساس Country‌های گوناگون قابل بررسی و تصمیم‌گیری هستند. بنابراین یکی از قابلیت‌های شاخص Firepower NGFW در Policy Per Geo Location می‌باشد.

 

SSL Decryption

به منظور بررسی ترافیک‌های Encrypt شده توسط پروتکل SSL\TLS و اعمال تنظیمات IPS و Malware Detection می‌توانیم از این راهکار در Firepower استفاده کنیم.

 

Malware Policy

از راهکارهای بسیار جذاب در Firepower قابلیت بررسی فایل‌های ارسالی در داخل و خارج از سازمان می‌باشد که فایل‌ها را بر اساس Type‌های مختلف آنالیز کرده و Disposition نهایی فایل را به ما نشان می‌دهد که می‌تواند Malware ,Clean و یا Unknown باشد در این قابلیت فایروال آپدیت‌های خود رو به صورت اتوماتیک از دیتابیس Talos دریافت کرده و در دیتابیس خود ذخیره می‌کند و فایل‌ها را برای بررسی با کمترین زمان، در دیتابیس خود تطبیق می‌دهد. این راهکار می‌تواند در زمان Download و یا Upload یک فایل باشد .

 

IPS Policy

یکی از جذاب‌ترین بخش‌های Firepower که به منظور شناسایی Threatو حملات به سمت سازمان می‌باشد استفاده از تکنولوژی Snort IPS است که در این تکنولوژی تمامی اطلاعات موجود در شبکه که شامل دیتاهای ( Operation Systems ، Mobile Devices ، Files و کاربران (Users)) می‌باشد را جمع‌آوری کرده و یک رابطه بین ترافیک‌ها ایجاد می‌کند تا بر اساس Traffic Learning و Behavior Analysis مانع از به‌وجود آمدن False Positive گردد که همین امر باعث Update نمودن Signature‌ها می‌شود که برخی از آن‌ها توسط Firepower از Disable به Enable و برخی را از حالت Enable Rule به حالت Generate Event تغییر می‌دهد و همچنین Signature های IPS را با استفاده از دیتابیس Talos به‌روزرسانی می‌کند. در واقع یکی از توانمندی‌های Zero day Attack در Firepower استفاده از شاخص IPS می‌باشد .

 

Security Intelligence

به منظور شناسایی تهدیدات در جهان و جلوگیری از ترافیک‌هایی که به عنوان Malicious Traffic در دنیا شناخته‌شده هستند شرکت سیسکو از قابلیت Security Intelligence در Firepower استفاده می‌کند که از بزرگ‌ترین راهکار این قابلیت شناسایی Bad Traffic که بر اساس Type‌های متفاوت (IP,DNS,URL) است را انجام می‌دهد و در Database خود ذخیره می‌کند تا زمانی که ترافیک‌های مخرب به سمت سازمان ارسال می‌شود، شناسایی و از ورود آنها به داخل سازمان جلوگیری کند بزرگترین مزیت این قابلیت زمانی کاملاً محسوس می‌شود که ترافیک‌های مخرب قبل از اینکه فایروال بخواهد پردازشی بابت آنها انجام دهد در بد ورود آنها را Drop می‌کند. Firepower دیتابیس خود را به منظور به‌روز رسانی این قابلیت که Feed‌های IP,DNS,URL می‌باشد را از Talos دریافت می‌کند.