阿凡达

第一部分Cisco信任分析博客序列塞缪尔布朗解决与设计集团安全策略有关的部分挑战,并介绍Cisco安全网络分析-信任安全分析报告新集并深入探讨设计分割化政策的挑战, 以及信任安全分析报表和可见度帮助更容易实现。

我想分治,但我不想被解雇

上表说明问题空间并实为CISO大型保健组织对我的描述CISO查看网络设计,理解设备类型、应用和用户,并意识到他需要在整个环境西东执行基于集团分割政策然而,他也意识到,为了继续工作,他将冒打乱企业和运营的风险,而在保健世界中,这些企业和运营可能很好、相当糟糕并充斥着最少说词的后果。CISO所需要的工具可以让他满怀信心地向前推进设计的政策、分配组和强制执行的政策不会干扰操作-这就是安全网分析所到之处:安全网分析数据库覆盖全东西通信和跨网络北南通信,安全网分析为网络所发生事情提供可见度并便利数据驱动设计分割策略

多年前安全网络分析器(当时称隐形监视器)与思科身份服务引擎整合处理各种使用案例,其中之一是获取安全集团标签并装饰流程记录标签几年后,我与客户合作,像我们上CISO通过利用安全网络分析提供可见度来构建有效分割政策组织一旦对集团和标签有处理权后,网络上需要执行的下一个和最基本问题需要解决如下:

  • 如何判断我集团间应有哪些政策
  • 我怎么知道我的策略正确 并不会干扰操作

安全网络分析中SGT装饰流数据解答这些问题是可能的,但新版7.3.1引入的信任安全解析报告则通过网络全局可视化快速易解

如何判断我集团间应有哪些政策

难解难解问题,它分两部分-技术部分和非技术部分-非技术类关联并必须平衡可接受的风险、守法和逻辑以试图实现最小特权,例如,“我应允许承包商与我的装瓶线路通信吗?”第二技术类部分是关于允许或禁止这些集团之间的哪种通信-例如,“我装瓶线路操作需要哪些端口、协议、应用程序和其他权限?

思考一下,你可以把这些自然语言问题转换成流查询 并请求安全网络分析trustSec解析报告下文显示帮助在查询前向您显示答案

图1trustSec分析报表已配置为每24小时运行显示利益安全组

图1右顶部显示报表配置显示我组织内18个安全集团中的7个

报表中彩色单元格表示两个安全组间的交通量,灰色单元格表示没有交通量第一步决定拟议策略是否会干扰操作-如果有流量,这意味着某物或某人通信和可能很重要-而如果没有流量,可能表示你可以开始考虑在这些组间实现最小特权记住时间可成为此决策中的一个主要考量, 有时运行多版本报告是值得的, 覆盖不同时间段, 如过去7天、过去30天或更长时间段视操作性质而定

下一步测试拟议策略,这就是颜色表示-有流量和存取控制列表应用

  • 灰度-无流量
  • 绿色-有交通许可IPACL存在
  • 红-有流量拒绝IP系统ACL存在
  • 蓝-有交通和ACL许可IP拒绝IP存在状态
图2安全集团活动面向单元雇员(源码)和编译BotlingLine

点击单元格生成poout显示高层次细节然后从这里分解到顶级报表和/或实际流记录并使用这些原始数据为每个单元格开发策略举图2为例,我们扩展单元格雇员源到Production_Bottling_Line估计值i工作假设 从商业角度讲 用户雇员安全组不应有网络访问Production_Bottling_Line并提出了细胞的拒绝IP规则(即红色染色),但现在看到这两个组间的确有交通量。

点击Flow搜索预建流查询,验证并运行后返回下结果

图3流搜索结果查找违规交通后返回

图3显示用户(“Darrin”)与服务器(10.160.160.100)间流量细节我们来这里是因为流水逆流 我原想安全集团间最小特权策略雇员安全集团Production_Bottling_Line.现在我们有决策-政策错误或事实上违反政策以本案为例,鉴于这是两组间唯一流体并略为熟悉Darrin, 我将判定这是违反策略并假设我的政策正确性进程可重复使用,供其他单元和其他拟议策略使用,并随着用户认为合适而提高精度

在上述例子中,我快速遍历数据帮助解决这些基本问题, 利用可见度和数据测试政策假设, 并期望快速实现组织分治策略

不幸或幸运地视你对生活的看法而定,我们还没有完全完成:即使我们已经判定我们集团间的政策正确,我们仍需要验证它是否仍然正确明天,它正像我们期望的那样强制实施,它是否得到遵守或网络上是否有邪恶角色

继续调用信任政策分析-第三部分处理政策验证

无安全网分析通过访问学习更多www.cisco.com/go/secure-network-analytics或试解法今天自由可见度评估.



作者类

阿凡达

马修罗伯逊

首席工程师

安全商务集团