Chmurowe rozwiązania bezpieczeństwa od Cisco dla firm
10 grudnia 2021
Oferta rozwiązań chmurowych Cisco dla firm
Cisco dla bezpieczeństwa IT
W dzisiejszym wpisie omówimy w skrócie ofertę Cisco od strony produktowej w zakresie bezpieczeństwa IT dla firm. Skupimy się na rozwiązaniach chmurowych, które są nie tylko efektywne i skalowalne, ale również łatwo dostępne i szybkie we wdrożeniu. Rozwiązania chmurowe są preferowane przez firmy również ze względu na utrudnioną w ostatnich miesiącach dostępność sprzętową na rynku.
Bezpieczeństwo sieci komputerowej to temat coraz częściej poruszany przez osoby odpowiedzialne za infrastrukturę informatyczną. Użytkownicy stykają się z zagrożeniami IT zarówno w trakcie pracy w infrastrukturze firmy jak i prywatnie. Zagrożenia związane z usługą poczty elektronicznej (np. phishing), wycieki danych lub ataki ransomware pojawiają się niestety coraz częściej, co prowadzi do konsekwencji organizacyjnych lub kosztów dla firm.
Portfolio Cisco Secure
Portfolio Cisco Secure jest na ten moment na tyle bogate, że realizuje większość potencjalnych potrzeb definiowanych przez firmy. Oferowane są rozwiązania takie jak: firewalle, monitorowanie sieci, kontrola dostępu, ochrona danych, ochrona komputerów i urządzeń końcowych. Część oferty to rozwiązania chmurowe, działające z chmury lub zarządzane z panelu administratora w chmurze.
Cztery filary portfolio Cisco
Generalnie możemy podzielić portfolio Cisco na cztery filary. Do pierwszej grupy rozwiązań dotyczących bezpieczeństwa sieci zaliczamy rozwiązania on-prem, które mogą również funkcjonować w chmurze publicznej lub prywatnej: Secure Firewall (dawniej FirePOWER), NGFW & ASA, Secure Workload, Secure Network Analytics.
Do drugiej grupy rozwiązań zaliczamy polityki dostępu: ISE (Identity Services Engine) służący do kontroli dostępu oraz segmentacji sieci, Zero Trust. Kolejnym filarem oferty Cisco jest Cloud, Web & Email. W tych obszarach oferowane są głównie rozwiązania cloudowe, np. Cloud, Secure Web, Secure Email, Duo. Czwartą grupą rozwiązań są produkty Advanced Threat: AMP, Umbrella, Cloudlock.
Wszystkie rozwiązania Cisco integrują się ze sobą i wymieniają informacje na bieżąco. Informacje o zagrożeniach wykrywanych przez firewall w firmie mogą być wysłane dzięki Talos do innego punktu bezpieczeństwa dostarczanego przez Cisco. Dzięki temu bezpieczeństwo jest pełniejsze.
Cisco Secure Endpoint
Ciągła analiza aktywności
Tradycyjne rozwiązania antywirusowe działają punktowo, co przekłada się na świadomość zagrożeń odpowiadającą jedynie sygnaturom zagrożeń według ostatniej aktualizacji. Zatem może pojawić się spadek poziomu bezpieczeństwa w zakresie różnicy między wszystkim tym, co jest do ostatniej aktualizacji znane, a tym, co pojawiło się po ostatniej aktualizacji.
W przypadku Secure Endpoint uzyskujemy kontrolę i ciągłą analizę aktywności. Każdy proces, który jest uruchomiony na systemie operacyjnym, jest sprawdzany pod względem sposobu zachowania. Wszelkie odbiegające od normy uruchomienia innych procesów oraz anomalie w zachowaniu używanych procesów są wykrywane, a następnie blokowane lub dodawane do kwarantanny, w celu analizy zachowania.
Integracja z innymi rozwiązaniami Cisco
Cisco Secure Endpoint zapobiega, wykrywa i reaguje na zagrożenia, które pojawiają się na komputerach firmowych (niezależnie od tego, czy zagrożenia napływają z Internetu, czy też są związane z używaniem nośników pamięci podłączanych pod USB lub innych).
Rozwiązanie oferowane przez Cisco nie działa jedynie na komputerach firmowych jako antywirus lub antymalware. Secure Endpoint jest zintegrowane z innymi rozwiązaniami bezpieczeństwa Cisco, między innymi: NGFW, ESA, WSA, Umbrella, Meraki MX.
Cisco Duo
MFA dla bezpieczeństwa IT
Duo to rozwiązanie do uwierzytelniania wieloskładnikowego w celu ochrony kont użytkowników. MFA (multi factor authentication) zwiększa skokowo poziom bezpieczeństwa w organizacji. Uznaje się, że jednym z czynników mogących wpływać negatywnie na poziom bezpieczeństwa informatycznego jest użytkownik i jego hasła. Krótkie i proste hasła nie sprzyjają bezpieczeństwu IT i narażają organizację na skutki ataków nakierowanych na przejęcie tożsamości użytkownika.
W Internecie dostępne są zbiory haseł lub poświadczeń wykorzystywanych w różnych serwisach lub usługach, zarówno przez użytkowników prywatnych, firmowych, jak również rządowych. Analiza takich informacji potwierdza, że nadal wielu pracowników w organizacjach stosuje proste, powtarzalne hasła, które są potencjalnym słabym punktem ochrony.
Integracja z aplikacjami stosowanymi w firmie
Cisco Duo działa w taki sposób, że jest powiązane z aplikacjami działającymi firmowej serwerowni lub w chmurze. Aplikacje, z którymi jest w stanie działać Duo, mogą być stworzone przez firmę (integracja z aplikacjami napisanymi przez firmę) lub należeć do zbioru popularnych aplikacji wykorzystywanych w biznesie.
Integracja z aplikacjami jest możliwa poprzez API. Działanie jest dosyć proste z punktu widzenia użytkownika. Wystarczy zalogować się do aplikacji chmurowej. Połączenie realizowane jest poprzez API lub poprzez SAML (niewielkie urządzenie instalowane w infrastrukturze serwerowej) w przypadku aplikacji zainstalowanych on-premise. Informacja o logowaniu jest wysyłana do Duo, które natychmiast wysyła powiadomienie push na smartfon użytkownika. Dzięki potwierdzeniu powiadomienia jesteśmy w stanie zatwierdzić logowanie do aplikacji. Informacja o odrzuconych logowaniach może zostać poddana analizie przez administratora IT.
Cisco Umbrella
Ochrona warstwy DNS i nie tylko
Umbrella w wymiarze podstawowej funkcjonalności świadczy ochronę warstwy DNS. Komputery firmowe są chronione w taki sposób, że zagrożenia są blokowane zanim dotrą do sieci firmowej i do końcówek w niej działających.
Serwery DNS działają w taki sposób, że otrzymane zapytanie w formie np. nazwy strony www jest tłumaczone na adres IP serwera, na której znajduje się strona internetowa, z którą użytkownik chce się połączyć. Cisco Umbrella jest w stanie sprawdzić, czy dana strona, z którą chce się połączyć użytkownik jest bezpieczna dla infrastruktury IT w firmie lub zgodna z polityką dostępu.
Umbrella jest zatem doskonałą pierwszą linią ochrony, blokując zagrożenia zanim dotrą do urządzeń użytkowników. Uruchomienie rozwiązania jest bardzo szybkie. Podstawową funkcjonalność ochrony DNS administrator może uzyskać dla firmy w kilka minut. Cenna jest również łatwość wprowadzania polityk bezpieczeństwa lub dostępu. Polityki można tworzyć na podstawie zagrożeń (np. ochrona przed phishing, malware, połączeniami C2 – command & controll) lub w oparciu o kategorie stron, do których dostęp ma być ograniczony.
Logowanie aktywności użytkowników
Widoczność aktywności użytkowników w postaci logowania aktywności jest kolejną wartością dodaną rozwiązania Umbrella dla firm. Administrator może zobaczyć zablokowane zagrożenia, podejrzany ruch, w kontekście danego użytkownika.
Trzeba zaakcentować, że Umbrella radzi sobie bardzo dobrze w zakresie ochrony przed phishingiem, nawet w przypadku zaawansowanych ataków i skrupulatnie spreparowanych stron hackerów.
Zaawansowane funkcjonalności Umbrella
W ostatnim czasie Umbrella rozwija się, otrzymując wiele funkcjonalności, co wpisuje się w model SASE. Oprócz podstawowej ochrony DNS, oferowane są również inne możliwości: firewall chmurowy, secure web gateway, data loss prevention, cloud malware detection, remote browser isolation. Wszystkie funkcjonalności łączą się w SecureX (zintegrowana platforma bezpieczeństwa od Cisco).
Umbrella jest w stanie chronić nie tylko komputery firmowe, ale całą sieć. Umbrella jest uruchamiana na naszej sieci w firmie wykorzystując publiczny adres IP. Przy tym urządzenia nie muszą znajdować się w sieci korporacyjnej, by ochronę mieć (wystarczy prosta instalacja roaming agent na komputerach).
Cisco Umbrella oferowana jest w dwóch pakietach: DNS Security (Essentials lub Advantage) oraz SIG (Essentials lub Advantage). Każdy z pakietów otrzymuje również licencje AnyConnect w celu ułatwienia wdrożenia na komputerach w firmie.
Cloud Mailbox Defence
Cloud Mailbox Defence to rozwiązanie Cisco do ochrony poczty w ramach Microsoft 365 (Office 365). Pozwala na blokowanie zagrożeń malware, phishing, spam, spoofing. Blokowane są również zagrożenia z wewnątrz oraz ataki ukierunkowane na przejęcie konta użytkownika lub domeny.
Dzięki integracji z M365 jesteśmy w stanie prześledzić, jak dany mail krążył po organizacji, skąd przyszedł. Integracja z kontem Office 365 jest prosta dzięki wykorzystaniu API. Administracja rozwiązaniem jest bezproblemowa, administrator dostaje do wglądu przejrzyste logi.
Cloud Mailbox Defence jest cennym dodatkiem do infrastruktury IT, wnoszącym dodatkową ochronę dla skrzynek email w firmie. Rozwiązanie jest od początku zaprojektowane dla zapewniania wsparcia dla usług chmurowych, opierając się na trzech głównych założeniach: widoczność, łatwość wdrożenia, integracja.