Обеспечение безопасности с учетом контекста с помощью Cisco ASA CX

Обзор продукта

Эволюция глобальных рабочих ресурсов и быстрое распространение приложений и устройств привели к усложнению сетей, требуя от администраторов межсетевых экранов выбора: разрешить доступ в любое время, из любого места и с любого устройства, что требуется для повышения продуктивности сотрудников, либо поддерживать определенный уровень безопасности для защиты бизнеса. Большинство межсетевых экранов неспособны обеспечить степень прозрачности, необходимую для принятия обоснованных решений в области безопасности, что вынуждает организации выбирать между гибкостью персонала и безопасностью сети.

Устройство обеспечения безопасности с учетом контекста Cisco ASA CX разрешает эту проблему, расширяя возможности платформы ASA за счет беспрецедентной прозрачности и функций контроля, что позволяет предприятиям, наконец, сказать «да» приложениям, устройствам и развивающимся глобальным рабочим ресурсам.

Беспрецедентная прозрачность сети

Устройство обеспечения безопасности с учетом контекста Cisco ASA CX дает администраторам службы безопасности беспрецедентный уровень прозрачности проходящего через сеть трафика, обеспечивая видимость подключающихся к сети пользователей, используемых устройств, а также приложений и web- сайтов, к которым осуществляется доступ.

Чтобы предложить в распоряжение администраторов службы безопасности обладающие практической ценностью интеллектуальные ресурсы, ASA Cx использует технологии обеспечения безопасности Cisco. Решение Cisco AnyConnect предоставляет детализированную информацию о типе и местоположении мобильного устройства до того, как оно сможет получить доступ к сети. Кроме того, ASA CX использует информацию о глобальных угрозах, поступающую от системы Cisco Security Intelligence Operation (SIO) и предназначенную для защиты от совершенно новых вредоносных программных средств.

Детализированный контроль над приложениями, пользователями и устройствами

Cisco ASA CX блокирует приложения, использующие динамическое переключение портов и протоколов (hopping), например Skype и другие приложения с одноранговым соединением (P2P), что обеспечивает более эффективную защиту в сочетании с меньшим количеством устанавливаемых политик. В решении используется выразительный язык, позволяющий устанавливать политики на основе широкого круга элементов контекста, включая приложение, пользователя, устройство и местоположение.

Помимо этого, устройство ASA CX задействует более эффективные средства контроля над использованием социальных сетей, чем в других межсетевых экранах нового поколения. Оно распознает более 1 000 приложений и 75 000 микроприложений, что позволяет организациям обеспечить доступ к конкретным компонентам приложения (например, Facebook для использования в деловых целях), одновременно запрещая другие компоненты (игры Facebook). Устанавливаемые политики могут предусматривать управление как индивидуальным, так и групповым доступом к этим компонентам приложений.

ASA CX позволяет видеть конкретный тип устройства, пытающегося получить доступ к сети, работающую на нем операционную систему и его местоположение. Обладая достоверной информацией о том, какие устройства пытаются получить доступ к сетевым ресурсам, администраторы имеют возможность уверенно разрешить доступ широкому кругу устройств, в то же время поддерживая высокий уровень защиты сети и ее управляемости.

Комплексная архитектура безопасности

ASA CX расширяет возможности платформы ASA, обеспечивая беспрецедентную прозрачность и функции контроля. Организации могут продолжать использовать имеющиеся правила и объекты межсетевых экранов, одновременно добавляя более насыщенные, учитывающие контекст правила, которые выполняются интеллектуально, на основе контекстной информации. ASA CX использует инфраструктуру Cisco SecureX Framework для получения доступа к локальным данным, собранным с помощью клиента Cisco AnyConnect Secure Mobility Client, и к глобальной информации об угрозах, поступающей от Cisco SIO. Апробированная платформа межсетевого экрана в сочетании с потенциалом собранной локальной и глобальной информации об угрозах образует комплексную динамичную архитектуру безопасности, способную удовлетворить растущие потребности организаций в защите и обеспечить возможности роста, расширения и внедрения передовых решений.

Функции и преимущества

В таблице 1 перечислены функциональные возможности и преимущества устройства обеспечения безопасности с учетом контекста Cisco ASA CX.

Таблица 1. Функции и преимущества


Выполнение с учетом приложений

Реализация политик доступа с учетом более чем 1 000 широко используемых приложений и 75 000 микроприложений. Детализированное управление доступом на основе «поведения» (например, загрузка файла или публикация на сайте социальной сети) для дополнительного контроля над действиями пользователя, связанными с приложениями. Контроль над приложениями, использующими динамическую смену портов и протоколов (hopping), которые способны обходить классические средства защиты.

Функции межсетевого экрана на основе идентификации

Дифференцированное управление доступом на основе пользователей и их ролей. Поддержка распространенных механизмов идентификации, в числе которых агент Active Directory, LDAP, Kerberos и NT LAN Manager.

Реализация политик на основе типа устройства

Идентификация типов устройств, получающих доступ к сети (например, iPad, iPhone, устройства с Android), и управление процессом разрешения или запрета доступа для определенных устройств.

Фильтрация по URL- адресам

Полнофункциональное решение корпоративного класса для фильтрации по URL-адресам, обеспечивающее детализированный контроль над доступом в Интернет.

Глобальный сбор информации

Использование глобальной цифровой информации, поступающей от развернутых систем обеспечения безопасности Cisco, для более полной защиты сети. Cisco SIO через web-каналы поставляет регулярно обновляемую информацию об угрозах для защиты (практически в режиме реального времени) от совершенно новых вредоносных программных средств.

Функциональные возможности динами­ческого (stateful)

Широкая поддержка функций динамического межсетевого экрана на уровнях 3 и 4, включающая управление доступом, преобразование сетевых адресов и проверку по технологии stateful inspection.

межсетевого экрана

 


Решение для интуитивного управления

Предварительно загруженное приложение Cisco Prime Security Manager, мощное решение для интуитивного управления, упрощающее управление межсетевыми экранами с учетом контекста.

Производительность продукта

В таблице 2 перечислены возможности и параметры производительности устройства обеспечения безопасности с учетом контекста Cisco ASA CX.

Таблица 2. Возможности и параметры производительности Cisco ASA CX


Пропускная способность

2 Гбит/с
(многопротокольный режим)

5 Гбит/с
(многопротокольный режим)

Макс. кол-во одновременных сеансов

500,000

1,000,000

Кол-во подключений в секунду

40,000

75,000

Кол-во поддерживаемых приложений

1000+

1000+

Кол-во поддерживаемых микроприложений

75,000+

75,000+

Кол-во категорий URL-адресов

78

78

Кол-во классифицированных URL-адресов

более 20 млн.

более 20 млн.

Кол-во языков для фильтрации по URL-адресам

60+

60+

Кол-во web-запросов, ежедневно анализируемых Cisco SIO

30 млрд.

30 млрд.

Технические характеристики продукта

В таблице 3 приведены результаты сравнения процессоров сервисов безопасности (SSP) Cisco ASA CX 10 и 20.

Таблица 3. Технические характеристики оборудования


Модель

ASA CX SSP-10

ASA CX SSP-20

Технические характеристики

Память

12 Гбайт

24 Гбайт

Дисковый накопитель

600 Гбайт

600 Гбайт

Возможность горячей замены диска

Да

Да

Уровень RAID и контроллер

RAID 1, программный

RAID 1, программный

Минимальный объем флэш-памяти

8 Гбайт

8 Гбайт

Рабочие диапазоны условий окружающей среды

Рабочая температура

от 10°C до 35°C

от 10°C до 35°C

Относительная влажность

от 10% до 90% (без конденсации)

от 10% до 90% (без конденсации)

Температура при хранении

от -40°C до 70°C

от -40°C до 70°C

Относительная влажность

от 5% до 95% (без конденсации)

от 5% до 95% (без конденсации)

Высота над уровнем моря

от 0 до 9 144 м

от 0 до 9 144 м

Энергопотребление и среднее время безотказной работы

Макс. пиковая мощность

| не более 400 Вт |

не более 400 Вт

В стационарном режиме

Среднее время безотказной работы (MTBF)

109 887 часов

87 829 часов

Физические характеристики

Размеры (ВxШxГ)

4,32 x 17,27 x 27,94 см

4,32 x 17,27 x 27,94 см

Масса

1,36 кг

1,36 кг

Функции управления

Интерфейс управления и мониторинга

2 порта Ethernet 10/100/1000

2 порта Ethernet 10/100/1000

Настройка, ведение журналов и мониторинг

Локальное приложение Cisco Prime Security Manager

Локальное приложение Cisco Prime Security Manager

Формирование отчетов

Локальное приложение Cisco Prime Security Manager

Локальное приложение Cisco Prime Security Manager

Централизованные функции настройки, ведения журналов,

Cisco Prime Security Manager для нескольких устройств

Cisco Prime Security Manager для нескольких устройств

мониторинга и отчетности

 


 


Соответствие нормативным требованиям и стандартам

Безопасность

UL 60950
CSA C22.2 № 60950 EN 60950 IEC 60950 AS/NZS60950

UL 60950
CSA C22.2 № 60950 EN 60950 IEC 60950 AS/NZS60950

Электромагнитная совместимость (ЭМС)

Соответствие стандартам ЕС FCC часть 15 класс А AS/NZS CISPR22 класс A VCCI класс A EN55022 класс A CISPR22 класс A EN61000-3-2

Соответствие стандартам ЕС FCC часть 15 класс А AS/NZS CISPR22 класс A VCCI класс A EN55022 класс A CISPR22 класс A EN61000-3-2

Модель

ASA CX SSP-10

ASA CX SSP-20

 

EN61000-3-3

EN61000-3-3

Поддержка платформы / совместимость

ASA CX SSP-10 и SSP-20 поддерживаются на платформах Cisco ASA 5585-X с программным обеспечением Cisco ASA, выпуск 8.4.4 и выше. Управление решением осуществляется посредством Cisco Prime Security Manager.

Дополнительная информация

Для получения дополнительной информации перейдите по следующим ссылкам.
Обеспечение безопасности с учетом контекста с помощью Cisco ASA CX
Многофункциональные устройства обеспечения безопасности Cisco ASA серии 5500
Cisco Prime Security Manager
Сервисы безопасности Cisco

см.также:

Программно-аппаратный межсетевой экран для Челябинского государственного университета



Возврат к списку