Как настроить безопасный VPN доступ удаленных сотрудников с помощью Сisco AnyConnect?

Удаленные пользователи и множество локаций, многочисленные личные устройства — как ИТ-командам держать все это разнообразие под контролем и защитить компанию от кибер угроз? Предыдущий 2020 год отличился многочисленными атаками через удаленный доступ. Ведь злоумышленники уже давно пользуются недостатками в защите личных устройств сотрудников и используют их как входную точку для атак на корпоративные сети.

Если перед вами также стоит задача обеспечить мобильным работникам простой и безопасный доступ к корпоративным ресурсам без риска для вашей компании: с любой локации и с любого устройства, эта статья именно для вас.

Узнайте больше о возможностях и преимуществах решения Cisco AnyConnect для безопасного VPN доступа удаленных работников.

 

Cisco AnyConnect — это VPN клиент, позволяющий установить защищенное подключение удаленных работников к корпоративной сети. Его основные функции — удаленный доступ, контроль состояния конечного устройства, функции веб-безопасности и защита в роуминге. Рассмотрим их подробнее.

1. Удаленный доступ

Cisco AnyConnect поддерживает все современные платформы:

  • Windows
  • LINUX
  • Apple macOS / iOS
  • ChromeOS / Android

Благодаря единому решению, ИТ-специалисты или специалисты по Информационной безопасности будут видеть полную картину своей расширенной сети. Клиент имеет функции автоматического определения доверенной сети, с одной стороны уменьшает нагрузку на шлюз, если работник находится в офисе, а с другой — обеспечивает автоматическое поднятие туннеля, когда работник находится удаленно.

 

 

Cisco AnyConnect содержит функционал распределения трафика. Для удобства есть 2 способа:

а. Отделение и шифрование корпоративного трафика;

б. Разграничение корпоративных и частных приложений, с шифрованием первых.

 

2. Котроль состояния конечных устройств

 

Cisco AnyConnect имеет значительное количество вариантов защиты конечных пользователей и корпоративной сети. Благодаря интеграции с Cisco Identity Service Engine есть возможность полностью автоматизировать процесс подготовки устройства к работе в корпоративной сети с заранее подготовленными правилам, например, включенный антивирус, установленные последние патчи безопасности системы и тому подобное.

 

 

Cisco AnyConnect проверяет конечное устройство на соответствие требованиям политики безопасности компании:

 

 

3. Функции веб-безопасности и защиты в роуминге

 

Модуль NVM Cisco AnyConnect® помогает увидеть поведение пользователей и конечных точек.

Этот модуль собирает стандартные потоки данных от конечных точек (например, ноутбуков), такие как пользователь, программа, устройство, местонахождение и для кого предназначена информация.

Благодаря анализу этих данных ИТ-специалисты смогут лучше защищать организацию от потенциальных угроз.

 

 

Для усиления защиты удаленных сотрудников, в случае подключенного VPN, Cisco имеет решение — благодаря интеграции с комплексом Umbrella весь трафик от удаленного пользователя будет проходить проверку при подключении к недоверенной сети:

 

 

 

 

Возможности Cisco AnyConnect для работы:

 

  1. Не снижает качество видео и голосовых конференций. Поддерживает протокол DTLS, который специально ориентирован на поддержку мультимедиа-трафика.
  2. Дает возможность работать в скрытом режиме, динамично выбирать оптимальный шлюз удаленного доступа, поддерживает IPv6, имеет встроенный персональный межсетевой экран, отдаленно мониторится, обеспечивает контроль доступа, поддерживает RDP.
  3. Возможность доступа к корпоративной сети с любого устройства, в любое время и в любом месте.
  4. Детальный анализ поведения пользователей и конечных устройств с помощью полномасштабного мониторинга корпоративных сетевых ресурсов компании. Благодаря встроенному модулю мониторинга сети Network Visibility Module (NVM) может обеспечить эффективную защиту сети и улучшить ее работу.
  5. Платформа Cisco ISE помогает защитить сеть от устройств, не отвечающих требованиям безопасности.
  6. С помощью многофакторной аутентификации Cisco Duo (MFA) есть возможность настраивать безопасный удаленный доступ с проверкой идентификационных данных.

 

Как устанавливать Cisco AnyConnect?

 

 

С помощью Cisco AnyConnect можно обеспечить комфортную работу сотрудников, которые подключаются к корпоративной сети с помощью различных устройств, как изнутри сети организации, так и за ее пределами. Такая возможность позволяет меньше привлекать ИТ-специалиста для монотонной работы и высвободить его время для критически важных задач.

  1. Если вы выдаете рабочий ноутбук или ПК работнику, который собирается работать удаленно, то вы можете просто установить клиент Cisco AnyConnect вместе с другим ПО для удаленной работы.
  2. Для пользователей, находящихся далеко от корпоративных ИТ-специалистов и которые не могут предоставить свой ноутбук для установки необходимого ПО — при обращении к VPN-шлюзу, клиент сам загружается на компьютер пользователя. Это позволяет быстро развернуть VPN-сеть даже на личных устройствах удаленных работников.
  3. Мобильные пользователи могут просто скачать Cisco AnyConnect с Apple AppStore или Google Play.

 

Развертывание и лицензирование

 

Cisco AnyConnect можно быстро развернуть и имплементировать без нарушений работы вашей сети.

 

 

Минимальный заказ лицензий — от 25.

 

1. Выберите релевантный вариант использования

 

С помощью пакетов лицензирования Apex и Plus вы сможете подобрать все необходимые функции: базовый вариант VPN, анализ конфигурации, защита роуминга, мониторинг сети.

 

2. Выберите срок лицензирования

Доступны на 1, 3 года или 5 лет, так и бессрочные лицензии.

 

3. Определите, сколько пользователей будет работать с решением

Secure VPN поддерживает масштабирование в соответствии с потребностями, будь то 25, 1000 или 100 000 пользователей.

Лицензии должны терминироваться на VPN Headend!

Устройства VPN Headend:

• Межсетевые экраны Cisco ASA 5500, Cisco ASA 5500-X

• Многофункциональные защитные устройства Cisco Firepower

• Виртуальные Cisco ASAv и Cisco ASAv в AWS и Azure

• Маршрутизаторы Cisco ISR 800/1000/4000 и ASR 1000 с сетевой ОС Cisco IOS или Cisco IOS XE

• Виртуальные маршрутизаторы Cisco CSR 1000v.

 

4. Воспользуйтесь услугами AM-BITS

Если у вас возникли вопросы по развертыванию Cisco AnyConnect и как настроить VPN доступ, можете обратиться за помощью к компании АМ-БИТС, GOLD Cisco Partner.

Cisco FirePower

Включая в себя Next Generation Firewall, Next Generation IPS, URL-фильтрации, Advanced Malware Protection и VPN, FirePower позволяет раскрывать угрозы усиливать политики безопасности, обнаруживать, блокировать, защищать сеть от атак, устранять пробелы в безопасности и предотвращать будущие атаки, предоставляя комплексную защиту до, во время, и после атаки.

 

 

  1. Автоматической подстройки сигнатурного набора

Порой для качественного отслеживания инцидентов и адекватной реакции на них человеческих ресурсов бывает недостаточно. Собирая следующую информацию у FirePower появляется возможность автоматически подстраивать наборы сигнатур для отдельных элементов сети:

  • Актуальный список хостов/систем;
  • перечень операционных систем с версиями и патчами на конечных устройствах;
  • версиями и наличием клиентского ПО;
  • список пользователей, находящихся за хостами;
  • перечень возможных уязвимостей;
  • наличие обмена данными между хостами в пассивном режиме.
  1. Next-Generation Firewall (NGFW)

Межсетевой экран нового поколения, использует сигнатуры определения типов приложений и теперь способен производить фильтрацию вплоть до 7-го уровня, позволяя контролировать не только приложения, но и их функции.

При формировании политики фильтрации и политики обнаружения вторжений мы можем указать множество условий:

  • Зоны, и/или сети и/или VLAN между которыми будет производиться фильтрация;
  • интересующие нас пользователи AD, трафик которых хотим фильтровать;
  • приложения, доступ к которым хотим ограничить/разрешить;
  • порты tcp/udp, обращения с/на которые будем фильтровать;
  • URL, разбитые по категориям и репутации.

Каждая запись ACL может быть усилена политиками предотвращения вторжений, политиками файловой фильтрации и защиты от Malware и/или политиками логирования.

 

  1. Функция защиты Advanced Malware Protection

Эта технология включает защиту от Malware на уровне сети. Файлы, проходящие через устройство FirePower, подвергаются анализу с использованием облачных решений. Процедура выглядит следующим образом: инспектируемого файла снимается хэш SHA-256 и производится запрос в базу данных для выяснения диспозиции этого файла (является ли этот файл чистым). Если диспозицию файла выяснить не удается. То файл посылается в песочницу, для анализа его поведения. Дополнением к этому присутствует ретроспективный анализ, при котором запоминаются все пути распространения файлов и их атрибуты. В случае, если файл оказался-таки зловредом, система с легкостью его может отследить и заблокировать на уровне сети и показать все дополнительные компоненты, Malware программы и обращения к процессам, которые дали возможность заразить и дали начало распространения угрозы.

 

  1. Функция Compliance Whitelist

Функция позволяет указать перечень хостов, с определенными операционными системами, наборами патчей, клиентскими приложениями, мы разрешаем видеть в сети. Если хост не соответствует критериям, система уведомит администратора и использует методы корреляции.

  1. Функция профилей трафика

Функция отслеживания параметров соединений, устанавливаемых хостами сети. Основываясь на статистических данных, система собирает параметры соединения и создает базовый профиль соединений для каждого хоста.

  1. Функция корреляции событий

Функция по отслеживанию, эскалации и реагированию на события предоставляет возможность по событию выставлять наборы условий с логическими их связками для генерации реактивного воздействия.

Система мониторинга и отчетности

Функция предоставляет статистическую информацию как по системе в целом, так и по каждой активности любого трафика. Например:

  • активность пользователей, приложений (учитывая уровень рисков), операционных систем;
  • оценка событий безопасности по уровню воздействия и уровню приоритета;
  • статистика обнаружения активности зловредов и передачи зараженных файлов;
  • местоположение хостов, реализующих враждебную активность и/или наиболее интенсивный информационный обмен;
  • статистику наиболее часто посещаемых категорий сайтов, в том числе по репутации и самых посещаемых URL.

Каждое событие или инцидент детально изучается вплоть до содержимого пакета. Система так же содержит информацию о сработавшей сигнатуре и текста этой сигнатуры.  По необходимости можно сформировать отчет как по заранее подготовленным, так и по персональным шаблонам. Шаблон может включать графики таблицы, а также содержимое пакетов.

 

 

  1. Система предотвращения вторжений (IPS) нового поколения

Система IPS следующего поколения устанавливает новый стандарт защиты от угроз благодаря интеграции функций учета контекста в реальном времени, интеллектуальной автоматизации и обеспечению непревзойденной производительности систем предотвращения вторжений. Возможности IPS:

  • Учет контекста в реальном времени: возможность просмотра и сопоставления больших объемов данных событий, связанных с элементами ИТ – среды — приложениями, пользователями, устройствами, операционными системами, уязвимостями, службами, процессами, поведением сети, файлами и угрозами.
  • Усовершенствованная защита от угроз: защита от современных угроз благодаря передовой технологии предотвращения угроз, эффективность которой подтверждена независимым тестированием и опытом использования тысячами заказчиков по всему миру.
  • Интеллектуальная автоматизация: значительное сокращение совокупной стоимости владения и обеспечения соответствия меняющимся потребностям бизнеса благодаря автоматизации оценки влияния событий, настройки политик IPS, управления политиками, анализа поведения сети и идентификации пользователей.
  1. URL-фильтрация

Опция фильтрации URL-адресов, с помощью которой организации могут применить фильтрацию веб-адресов на основе категорий и репутации, чтобы внедрить политики допустимого использования и сократить риск вторжения или заражения.

  1. Система управления Defense Center

Полноценное управление всеми функциями FirePower осуществляется посредством Defense Center. Локально производится, только первоначальная конфигурация FirePower которая позволяет подключить устройство в сеть и настроить связь с центром управления.

 

 

Cisco Web Security Appliance (Cisco WSA)

Cisco Web Security Appliance (Cisco WSA) обеспечивает исключительную веб-безопасность для организаций любого размера в одном устройстве.

Кроме того, устройство улучшает веб-безопасность для мобильных пользователей, смартфонов и устройств с помощью Cisco AnyConnect Secure Mobility Client. Богатый набор инструментов управления и отчетности позволяют организациям успешно справляться с растущими проблемами защиты и контроля интернет-трафика независимо от того, работают ли сотрудники в офисе, в корпоративной локальной сети или за пределами офиса на ноутбуке, смартфоне или планшете.

Обеспечивая Web безопасность, WSA опирается на следующие программные компоненты (Acceptable Use Policy, Malware Defense и Data Security), которые отвечают за работоспособность значительного набора функций.

 

 

Talos это интеллектуальная платформа для анализа аномалий и выявления угроз нулевого дня обеспечивает защиту продуктов Cisco. Предоставляя, для WSA, информацию о глобальной активности угроз и аномалий трафика каждые три-пять минут, Talos обеспечивает передовую защиту корпоративной сети 24 часа в сутки 7 дней в неделю.

 

Cisco Talos

 

 

URL filtering

Фильтрация URL необходима для контроля доступа пользователей в Интернет. Данная функция может быть настроена в соответствии политикой безопасности компании и направлена на разрешение/блокировку доступа к категориям или определенным Web-сайтам как для группы, так и для одного пользователя.
Web Reputation

Cisco Web Reputation – это функция безопасности, которая основывается на информации полученной от Talos, разрешает или запрещает посещение web ресурсов основываясь на рейтинге URL-адресов. Фильтры Web Reputation используют статистически значимые данные, как длительность регистрации домена, размещение веб-сайта или использование веб-сервера с динамическими IP-адресами, используются для оценки надежности доменов в Интернете и оценки репутации URL-адресов.

Традиционная антивирусная защита от Sophos, Webroot и McAfee real-time malware scanning
Malware сканирование обеспечивает быстрое сканирование веб-контента, на наличие вредоносных программ, элементов фишинга, фарминга, руткитов и т. д. и устранение самого широкого спектра известных и возникающих сетевых угроз.

 

Application Visibility and Control (AVC) позволяет создавать политики для управления деятельностью приложений в сети. Используя AVC, могут быть обнаружены и контролироваться как приложения в целом так и их компоненты, информация о которых динамически загружается с помощью регулярного обновления сигнатур от Cisco Talos. Механизм AVC поддерживает такие типы приложений, как совместные (collaborative), социальные сети, приложения совместного использования файлов и обмена мгновенными сообщениями и многие другие. Используя механизм AVC, есть возможность заблокировать, ограничить пропускную способность или разрешить для использования приложения определенного типа или конкретного приложения.

 

 

 

Third-party DLP integration via ICAP

Защита от утечек информации с помощью данной технологии позволяет внедрить контроль содержимого Web-трафика, на наличие признаков разглашения конфиденциальной информации, коммерческой тайны и прочих видов внутренних защищаемых данных. Возможность создания широкого спектра отчетов по любой интересующей пользователя информации.

 

Reporting

 

Active Directory Integration

Настраиваемые политики фильтрации могут быть применены к пользователям или группам пользователей с использованием службы каталогов на основе протокола LDAP, в том числе Microsoft Active Directory.

CISCO EMAIL SECURITY APPLIANCE (ESA)

Cisco Email Security Appliance (ESA) – это программно–аппаратный комплекс, который позволяет обеспечить полноценный контроль электронной почты и защиту корпоративных пользователей от атак распространяемых при помощи электронных сообщений.

 

Стандартная схема подключения Cisco ESA в локальной сети выглядит следующим образом:

 

ESA выступает в роли шлюза безопасности электронной почты который предоставляет следующие функции:

  • Проверка репутации отправителя – позволяет проверить в режиме реального времени репутацию отправителя при помощи SBRS (Sender Base Reputation Score). Письма потенциально вредоносных отправителей могут быть заблокированы или подвергнуты дополнительной проверке. При помощи этой функции отсеивается более 80% нежелательных писем. Проверяется только заголовок сообщения, что позволяет снизить нагрузку на канал доступа в Интернет.
  • Антиспам – производит контекстный анализ сообщения, который оценивает содержимое, порядок построения, наличие и проверку веб-ссылок в сообщении (при помощи SBRS). По результатам проверки, письма спама отбрасываются либо доставляются пользователю с соответствующей пометкой.
  • Outbreak фильтры – позволяют защитить от атак нулевого дня, благодаря тому, что у Cisco Talos есть возможность анализа более 25% мирового интернет трафика. Этот анализ позволяет проверять аномалии почтового трафика (например, массовая рассылка сообщений с подозрительным содержанием или вложениями) и автоматически создавать и рассылать на шлюзы ESA правила, перенаправляющие аномальные сообщения в карантин.
  • Классическая антивирус защита – производит сигнатурное сканирование содержимого сообщений. Базы антивирусных сигнатур предоставляются партнерами Sophos и McAfee.
  • Защита от вредоносных программ (AMP) – проводит постоянный статический или динамический анализ файлов, проходящих и прошедших через ESA. Позволяет отслеживать траекторию распространения вредоносных файлов в сети при интеграции с другими продуктами Cisco поддерживающими AMP (WSA, NG Firewall, AMP for Endpoints).
  • Предотвращение утечки данных (DLP) – выполняется проверка содержимого исходящей почты на наличие конфиденциальной пользовательской (паспортные данные, номер кредитной карты и т.д.) и/или корпоративной информации (внутренние документы).
  • Шифрование – позволяет осуществлять шифрованную передачу сообщений с помощью технологии SSL/TLS, между шлюзами безопасности электронной почты, что делает невозможным прочтение сообщения, даже если оно было перехвачено по пути к получателю.

 

Cisco Email Security Appliance представлен в виде аппаратного или виртуального решения. Лицензирование осуществляется по количеству пользователей, необходимому функционалу и продолжительностью подписки.

 

Типы лицензий:

  • Cisco Email Security Inbound (ESI) – обеспечивает защиту входящих сообщений при помощи функций антивируса, антиспама и Outbreak фильтров.
  • Cisco Email Security Outbound (ESO) – защита исходящей почты при помощи функционала предотвращения утечки данных и шифрования.
  • Cisco Email Security Premium (ESP) – объединяет в себе лицензии ESI и ESO.
  • Cisco Email Security AMP – предоставляет функционал AMP и является дополнением к лицензиям ESI, ESO или ESP.
Cisco Identity Service Engine (ISE)

Cisco Identity Service Engine (ISE) – представляет собой высокопроизводительное и гибкое решение для контроля доступа с учетом контекста, которое объединяет сервисы аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единой платформы.

 

ISE имеет следующий функционал:

  • Проведение аутентификации корпоративных пользователей и конечных устройств – предоставляет возможность определить каким корпоративным пользователям и/или устройствам разрешено получить доступ к сети.
  • Обеспечение авторизации корпоративных пользователей и конечных устройств – определяет к каким сетевым ресурсам разрешен доступ пользователю и/или устройству, которые успешно прошли аутентификацию.
  • Предоставление гостевого доступа – создание временного гостевого аккаунта для гостей, заказчиков, посетителей и определение доступных им корпоративных сетевых ресурсов.
  • Использование корпоративными пользователями личных устройств – позволяет пользователю регистрировать личные устройства, с которых будет разрешен ограниченный доступ к ресурсам компании.
  • Профилирование устройств – поддержка встроенных профилей устройств, а также их создание для более гибкой настройки политик доступа.
  • Оценка состояния подключаемых устройств – позволяет проверять устройства, подключенные к сети на соответствие требованиям (например, к установленной ОС, антивирусу, обновлениям антивируса, антишпионского ПО и т.д.) и в случае несоответствия, уведомлять пользователя об этом и предлагать необходимые действия для выполнения этих требований.
  • Предоставление ААА для сетевого оборудования – обеспечение единого места аутентификации, авторизации и учета доступа администраторов к сетевому оборудованию, без необходимости создания многих локальных учетных записей и правил доступа на этих устройствах.
  • Обмен данными между платформами (pxGrid) – используется для обмена контекстной информацией между платформами Cisco и партнеров, для повышения скорости реакции на угрозы.

 

Cisco ISE может быть представлен в виде аппаратного (на базе Secure Network Server) или виртуального решения. Лицензирование осуществляется по количеству устройств и функционалу.

 

Типы лицензий:

  • Base – постоянная лицензия которая разрешает функционал аутентификации и авторизации корпоративных пользователей и устройств, гостевого доступа и использования корпоративными пользователями личных устройств.
  • Plus – является подпиской и дополнением к лицензии Base, добавляет функционал профилирования устройств и обмена данными между платформами (pxGrid).
  • Appex – является подпиской и дополнением к лицензии Base, добавляет функционал оценки состояния подключаемых устройств.
  • Device Administration – постоянная лицензия включает возможность предоставления ААА для сетевого оборудования для активации необходимо Base лицензия минимум на 100 устройств.