V dňoch 4 – 8.6.2023 sa v americkom Las Vegas uskutočnila tradičná konferencia Cisco Live, na ktorej bolo prezentovaných množstvo zaujímavých noviniek z dielne spoločnosti Cisco, lídra v oblasti podnikových sietí a bezpečnosti. V dnešnom článku sa zameriame na tie najzaujímavejšie z nich:

• nové riešenie Security Service edge (SSE), ktoré prináša výnimočné hybridné pracovné skúsenosti a výrazne zjednodušuje prístup – z akéhokoľvek miesta, na akomkoľvek zariadení a ku akejkoľvek aplikácii
• náhľad na možnosti použitia možností generatívnej AI v oblasti cloudovej bezpečnosti
• inovácie v oblasti firewallov, multicloud prístupu a aplikačnej bezpečnosti, ktoré náš posúvajú bližšie k vízii bezpečného cloudu v súlade s víziou spoločnosti Cisco

Bezpečné pripojenie ku všetkým aplikáciám a zdrojom, kdekoľvek

Dnešné IT prostredie sa dramaticky zmenilo. Adopcia cloudu sa zrýchľuje. Vzdialení a hybridní používatelia sa pomali ale iste stávajú majoritou. Väčšina organizácií sa spolieha na komplexnú sieť bodových produktov, ktoré neboli navrhnuté na podporu dnešného vysoko distribuovaného prostredia. Používatelia sú konfrontovaní s nekonzistentnými prístupovými skúsenosťami a opakujúcim sa overovaním počas dňa, čo narúša produktivitu. Vďaka Cisco Secure Access, novému riešeniu Cisco SSE, sa rozhodnutia o tom, ako sa používatelia pripájajú k aplikáciám dejú na pozadí tak, aby sa rýchlejšie dostali k požadovanému obsahu. Výsledkom sú používatelia, ktorí fungujú bezpečnejšie a s menšími problémami.

Medzi hlavné výhody Cisco Secure Access patria:

Common Access Experience – ponúka zjednodušený spôsob prístupu ku všetkým aplikáciám a zdrojom (nie len niektorým, ale naozaj ku všetkým) inteligentným a bezpečným nasmerovaním prevádzky do súkromných a verejných cieľov bez nutnosti zásahu koncového používateľa.

Jedna spoločná cloudová konzola – zjednodušuje operácie zabezpečenia konvergovaním viacerých funkcií do jedného ľahko použiteľného riešenia, ktoré chráni všetku komunikáciu. Namiesto spravovania širokej škály nástrojov môžu správcovia a analytici na jednom mieste vidieť všetku komunikáciu, konfigurovať bezpečnostné politiky a analyzovať bezpečnostné riziká. To sa v konečnom dôsledku premieta do zvýšenia efektívnosti, zníženia nákladov a flexibilnejšieho IT prostredia.

Rýchlejšia detekcia a odozva –  vďaka technológii Cisco Thalos na detekciu a blokovanie hrozieb ponúka analýzy, urýchlujúce prešetrovanie neštandarných udalostí.

Cisco Secure Access využíva hybridný prístup Points of Presence (POP) s dátovými centrami Cisco a poskytovateľmi verejného cloudu s cieľom rýchlo rozšíriť globálny dosah pre našich zákazníkov. Ako súčasť Cisco Security Cloud využíva možnosti zo zvyšku bezpečnostného a sieťového portfólia Cisco vrátane zabudovanej viditeľnosti siete od Cisco ThousandEyes a možno ho jednoducho integrovať s riešeniami od dodávateľov tretích strán. Cisco Secure Access bude v obmedzenej dostupnosti od júla 2023 a bude všeobecne dostupný v októbri 2023.

Generatívna AI na zlepšenie reakcie na hrozby a zjednodušenie správy bezpečnostných politík

Spoločnosť Cisco ďalej napĺňa svoju strategickú víziu a predvádza prvé generatívne schopnosti AI v oblasti cloudovej bezpečnosti. V súčasnosti používa väčšina organizácií celú paletu bezpečnostných produktov, čo núti tímy nastavovať a udržiavať mimoriadne zložité bezpečnostné politiky, ako aj sledovať a odstraňovať hrozby v rámci mnohých riešení.

Znížte zložitosť bezpečnostných politík – platforma Cisco Security Cloud bude využívať generatívneho asistenta bezpečnostných politík, poháňaného umelou inteligenciou, ktorý umožňí správcom bezpečnosti a IT podrobné popísať bezpečnostné politiky a vyhodnotiť, ako ich najlepšie implementovať v rôznych aspektoch ich bezpečnostnej infraštruktúry. Pri prvej implementácii budú zákazníci schopní vďaka nástroju Cisco AI Assistant zhodnotiť a vytvoriť efektívnejšie firewallové pravidlá, pričom nástroj využije existujúce sady pravidiel zákazníkov v Cisco Secure Firewall Management Center na dosiahnutie bezkonkurenčnej efektivity bez obetovania podrobnej kontroly.  Technológia bude k dispozícii neskôr v tomto roku.

Rýchla detekcia a náprava hrozieb – nástroj Cisco SOC Assistant bude podporovať bezpečnostné operačné centrum (SOC), aby bolo možné rýchlejšie odhaliť hrozby a reagovať na ne. Keď dôjde k incidentu, asistent uvedie udalosti rámci e-mailov, webu, koncových bodov a siete do kontextu tak, aby analytikovi SOC presne povedal, čo sa stalo a aký to má dopad. Analytici potom môžu  v spolupráci s SOC asistentom určiť najlepší prístup k náprave, využívajúc rozsiahlu vedomostnú základňu potenciálnych opatrení a zohľadniť pri tom aj vstupy od analytikov. Cisco prvýkrát zdieľalo tento koncept na konferencii RSA 2023. Funkcia sumarizácie udalostí bude k dispozícii do konca roku 2023 a so zostávajúcimi funkciami v prvej polovici roku 2024.

Posilnená sieťová bezpečnosť pre hybridnú prácu

Svet je hybridný a používatelia vyžadujú bezproblémové pripojenie v kancelárii aj na cestách. Keďže požiadavky na firewall ako základ bezpečnostného konceptu sa neustále rozširujú, nová rada Cisco Secure Firewall 4200 zvyšuje latku výkonu a flexibility vďaka akcelerácii kryptografických operácií, klastrovaniu a modularite. V novej verzii 7.4 operačného systému prináša platforma Secure Firewall 4200 nasledovné nové vlastnosti:

• blokovanie šifrovaných hrozieb na báze AI a ML bez dešifrovania
• evolúcia Zero Trust Network Access (ZTNA) s kompletnou kontrolou hrozieb a politikou pre každú jednotlivú aplikáciu
• zjednodušené smerovanie pobočiek, ktoré prináša bezpečnosť, kontrolu a prehľad o prevádzke zo vzdialených pobočiek do aplikácií v hybridných dátových centrách.

Zariadenia zo série Cisco Secure Firewall 4200 budú všeobecne dostupné v septembri 2023 s podporou verzie 7.4 operačného systému. Operačný systém 7.4 bude všeobecne dostupný pre zvyšok rodiny zariadení Secure Firewall v decembri 2023.

Spoločnosť Cisco taktiež po nedávnej akvizícii spoločnosti Valtix oznámila dostupnosť platformy Cisco Multicloud Defense . Multicloud Defense rozširuje tradičnú koncepciu firewallu do multicloudového sveta orientovaného na služby. Bezpečnostné tímy teraz môžu spravovať zabezpečenie naprieč platformami AWS, GCP, Azure a OCI pomocou jedinej politiky v reálnom čase z jednotnej SaaS platformy. Okrem toho môžu tímy rapídne zvýšiť bezpečnosť pre akékoľvek cloudové prostredie, čo vedie k zvýšeniu bezpečnosti a efektívnosti. Platforma Cisco Multicloud Defense je k dispozícii už dnes.

Zabezpečenie cloudových aplikácií

Nové možnosti nástroja Panoptica, bezpečnostného riešenia pre natívne cloudové aplikácie od spoločnosti Cisco prinášajú integrovaný prístup k zabezpečeniu natívnych cloudových aplikácií “od kódu po cloud”. Okrem ochrany cloudovej pracovnej záťaže (CWPP), ktorú Panoptica v súčasnosti poskytuje, bude od jesene 2023 k dispozícii aj funkcionalita Cloud Security Posture Management (CSPM), ktorej úlohou bude zabezpečiť nepretržitý súlad s bezpečnosťou politikou pre cloud a extenzívny monitoring, čo zákazníkom poskytne prehľad o celom portfóliu cloudových aplikácií a systémov, vrátane Kubernetes klastrov. Okrem toho nový mechanizmus, sledujúci trasy útokov, ktorý využíva technológiu založenú na grafoch na poskytovanie pokročilej analýzy trasy útoku, pomôže bezpečnostným tímom rýchlo identifikovať a odstrániť potenciálne riziká v rámci cloudových infraštruktúr. Okrem toho integrácia spoločnosti Panoptica s portfóliom Full Stack Observability spoločnosti Cisco poskytuje prehľad v reálnom čase, aby bolo možné prioritizovať obchodné riziká. Tieto integrované funkcie pomôžu bezpečnostným aj vývojárskym tímom získať prehľad, kontrolu a použiteľné informácie potrebné na ochranu dynamických cloudových aplikácií a infraštruktúry.

Tým je dnešný prehľad najdôležitejších noviniek z konferenie Cisco Live 2023 na konci. Veríme, že vás aspoň niektoré z nich zaujali. Nás najviac zaujala platforma Cisco Secure Access a preto sme sa jej rozhodli venovať samostatnú sériu článkov, v ktorej si tento produkt podrobnejšie predstavíme. A začíname hned v nasledujúcom vydaní ASBIS newslettera.

Autor: Roman Benko, senior konzultant

Zdroje: Cisco

Cisco predstavuje svoje najvýkonnejšie a energeticky najefektívnejšie riešenie pre výpočtový výkon a príchodom štvrtej generácie Intel Xeon Scalable procesorov znova posúva latku s riešením Cisco UCS X.

V skutočnosti existujú dva prvky toho, čo Cisco UCS X-Series poskytujú. Prvý, Cisco zákazníkom poskytuje väčšiu flexibilitu a vyšší výkon pre moderné pracovné zaťaženia. Druhý, Cisco poskytuje akceleráciu aplikácií bez kompromisov podporou Nvidia a Intel Flex GPU v technológii UCS X-Series Fabric, čo umožňuje zákazníkom podporovať širšiu škálu rýchlo sa vyvíjajúcich a čoraz náročnejších úloh.

Cisco a jeho zákazníci využívajú výhody modulárnej architektúry UCS X-Series pripravenej na budúcnosť tým, že pokračujú v disagregácii technológií a eliminácii historických vynútených upgradov/forlift dokupov pri adopcii nových technológií. Schopnosť podporovať výpočtové uzly rôznych generácií, variácie GPU či už vo výpočtových uzloch alebo v špecializovaných PCIe uzloch a to všetko v jednom šasi je dôkazom toho, že flexibilita modulárneho dizajnu UCS X-Series ponúka obrovskú ochranu investícií.

UCS X-Series dokáže efektívne podporovať moderné pracovné zaťaženie na architektúre blade serverov, ktorá bola historicky praktická len na rack serveroch.

Táto kombinácia hustoty, výkonu, modularity a zjednodušenej správy prináša množstvo prevádzkových a udržateľných výhod vrátane:

• Schopnosť „urobiť viac s menej“ znížením počtu systémov s konsolidačným pomerom až 4:1
• Schopnosť redukovať počet komponentov, zariadení a kabeláže prostredníctvom architektúry UCS X-Series Fabric, ktorá môže poskytnúť až o 64 percent lepší výkon a o 31 percent nižšiu spotrebu
• Schopnosť dosiahnuť udržateľnosť prostredníctvom politík a riadenia vo veľkom rozsahu prostredníctvom Cisco Intersight

Pre viac informácií kontaktujte: [email protected]

Prípadová štúdia pre futbalový štadión v Trenčíne, kedy Cisco zapojilo fanúšik takpovediac do hry. AS Trenčín v súčasnosti hrá v najvyššej Fortuna Lige. V pláne je viacero štádií obnovy, zatiaľ sa vynovená severná a južná tribúna a VIP a skyboxove sekcie. No zatiaľ môžeme povedať jediné a to, že to malo úspech u fanúšikov !

Dnes je doba, kedy od športového podujatia nevyžadujeme už len samotný športový zážitok, ale očakávame niečo viac. Okrem rýchleho internetu, ktorý je dneska braný za také minimum, by sme chceli platiť cez online terminály, objednať si cez mobilnú aplikáciu jedlo v stánku priamo z tribúny ideálne z nášho miesta, aby sme nemuseli čakať v rade, ako verný a pravidelne vracajúci sa fanúšikovia dostávať lepšie ponuky či už na suveníry alebo na občerstvenie, pozvánky na špeciálne akcie len pre priaznivcov a pod…

Zo strany prevádzkovateľa je zas zaujímavý pohľad nato, čo vedie návštevníkov míňať financie práve v danom stánku za občerstvenie, koľko tam zaplatia, ktoré suveníry sú najžiadanejšie, prečo niektorý fanúšikovia opúšťajú svoje miesta, príp. či sa tam aj vrátia, alebo aj ako ušetriť prevádzkové náklady napr. použitím elektronických vstupeniek. Taktiež pri zavedení takto modernej siete, môže prevádzkovateľ rátať aj s novým tipmi návštevníkov, ktorý by zápasy daného klubu inak nesledovali.

Sieťová infraštruktúra okrem obsluhy návštevníkov navyše musí zvládať aj premietanie obsahu na veľkoplošných obrazovkách, spoľahlivo utiahnuť kamerový systém vrátane bezdrôtových čítačiek, či výsledkové tabule, online prenosy, či televízne vysielanie.

Cesta k modernému štadiónu

Pri návrhu riešenia pre štadión treba brať do úvahy, že sa vyžaduje sieť s vysokou hustotou používateľov a teda od začiatku tomu prispôsobiť plánovanie, aby následne nevznikali rôzne presuny prístupových bodov, či nepokryté „šedé zóny“.  Samozrejme aj bezdrôtová sieť má svoje špecifiká, ktoré sa musia brať do úvahy pri pokrývaní sektorov (tribún) a vybrať tam správne typy antén. Dneska chce každý držať trend s dobou a preto je vhodné pre WiFi vybrať už nový Wi-Fi 6 štandard. Wi-Fi 6 poskytuje nielen vyššiu prenosovú rýchlosť, ale vďaka širokopásmovej modulácii s frekvenčným delením kanálov OFDMA a súbežnej komunikácii oboma smermi s viacerými používateľmi (MU-MIMO) zvyšuje kapacitu siete – umožňuje pripojenie až štyrikrát viac koncových zariadení než doterajšie bezdrôtové štandardy.

Pri návrhu siete teda boli použité:

• Prístupové body (AP) Catalyst 9120
• Kontrolér rady 9800 v zapojení HA

Úplne nový prístupový bod Catalyst 9120, založený na špeciálne vyvinutých obvodoch RF ASIC určených pre analýzu bezdrôtového spektra, bol ocenený ako najlepšia Wi-Fi sieťová technológia podnikovej triedy. V spojení s kontrolérmi radu 9800 môžeme sledovať a analyzovať bezdrôtové spektrum bez obmedzenia používateľskej prevádzky, eliminovať dopady rádiového rušenia a chrániť tak výkon prístupových bodov.

Taktiež je nutné niekam tieto nové AP zapojiť a veľmi dobre nám poslúži nato rada Catalyst 9000, ktorá je orientovaná na prepínače. Pri výbere do Vašich inštalácií určite neurobíte chybu s radou 9300 alebo radou 9200, ktoré v závislosti od varianty ponúkajú Full PoE+/UPoE+ na všetkých portoch, nechýba ani možnosť fyzického stohovania cez dedikovaný stohovací modul, či podpora SD-Access sieti riadených z jedného centrálneho bodu controllerom – DNA centrum.

No a na záver len toľko, že zákazník plánuje pokračovať v rozvoji Cisco infraštruktúry a taktiež rozvíjať dodatočné služby ako mediálne prenosy či už televízne alebo rozhlasové a vybudovať dátové centrum. Taktiež majú ambíciu stať sa prvým bezhotovostným štadiónom na Slovensku. Veľkou výhodou riešenia Cisco je, že dokáže poskytnúť tzv. Full Stack v portfóliu a teda môžete mať všetko od WiFi cez Servre až po Firewally. No a samostatnou kapitolou sú potom SD siete, teda siete riadené centrálnym controllerom, ktoré v podnikovom nasadení reprezentuje DNA centrum. Ak ho spojíte s nástrojom na riadenie prístupu ISE, tak vašu sieť len tak niečo nerozhodí. Tak nám zostáva len zaželať si športu zdar !

Celý príbeh zákazníka dostupný tu: https://upshotstories.com/stories/ultimatny-sportovy-zazitok-ked-cisco-prepoji-stadion-a-fanusikov

Prípadová štúdia, ktorá dokazuje, že Cloudové riešenie spoločnosti Meraki je ľahko škálovateľné, nie zložité na správu a je ho možne nasadiť v akomkoľvek prostredí. Riešenie sa nasadzovalo v medzinárodnej škole (ISC) vo Velden am Wörther See, Rakúsko. Pri návrhu boli použité zariadenia rady MR (Wireless LAN), MS (Switching) a MX (Security and SD-WAN). Cele riešenie má jednotnú správu cez Meraki Dashboard.

Meraki si dalo za cieľ :

• Vytvoriť školskú sieť, kde ak nastanú technické problémy sú ľahko identifikovateľne cez jednu platformu
• Poskytnúť stabilné pripojenie pre viac ako 800 pripojených zariadení s ohľadom podpory BYOD – ktokoľvek si môže priniesť vlastné elektronické zariadenie
• Úspora nákladov pre IT oddelenie, kvôli nasadeniu Meraki designu a funkcie „Network wide visibility“

Kľúčové štatistiky:

• 450 jedinečných užívateľov a viac ako 800 koncových zariadení
• 30 prístupových bodov (MR Access points)
• 3 prepínače (MS Switche)
• 2 MX SD-WAN zariadenia

Školu denne v priemere navštevuje cez 380 študentov, zahŕňajú bohaté rozloženie národností až 41 a hovorí sa v nej viacej ako 34 jazykmi. Škola sa nachádza v blízkosti jazera Wörthersee (Korutánsko) a pozostáva z 2-och budov v ktorých sa nachádza 21 tried, 2 telocvične, laboratórium, knižnica, centrum voľných aktivít a umelecká (hudobná) miestnosť. Škola sa zaviazala byť líder v oblasti digitálnych inovácií a dosiahnuť to má v spolupráci s Meraki a ich produktami a skvalitniť tak digitálne vzdelávanie.

Ako študenti, tak aj učitelia sa denno-denne spoliehajú pri výučbe na internetovú konektivitu. Škola sa s riešením, čo mala doposiaľ trápila s vypadávajúcou Wi-Fi, ťažkým a zdĺhavým odstraňovaním problémov a teda aj so sťažnosťami študentov na zlú kvalitu pripojenia. Bolo teda navrhnúť riešenie, ktoré adresuje problémy s pripojením a odľahčí IT oddelenie a umožní flexibilitu vrátane BYOD politík, kedy je treba zvýšená bezpečnosť v podobe ďalšej vrstvy managementu, prístupu a viditeľnosti zariadení v sieti. Jedna z požiadaviek bola, aby sa na sieťové zariadenia ľahko inštalovali softwarové updaty – čo kvôli Meraki dashboardu nie je žiaden problém a pri návrhu sa taktiež zohľadnila aj bezpečnosť.

Keďže riešenie Meraki je od začiatku stavané na cloudovej správe, tak sa zjednodušil prehľad o sieti, znížil sa čas potrebný na riešenie problémov v sieti a zlepšila sa aj bežná správa v sieti od konfigurácie až po upgrady softwaru na zariadeniach. Veľkým benefitom je aj že každá vrstva zariadení napr. prepínače alebo prístupové body majú sólo stránku, kde je možne vidieť centralizovane štatistiky.

Ako už bolo spomenuté vyššie, sieť teda pozostáva z 30 prístupových bodov MR, 3 prepínačov MS a  routerov/firewallov MX. MX zariadenia nielenže poskytujú pripojenie (konektivitu), ale slúžia aj ako firewallov pre filtrovanie bezpečnostných hrozieb IPS filtering a blokovanie deťom neprístupných webových stránok. Umožňujú škole kontrolovať ako je smerovaná prevádzka, nastaviť prioritizáciu sieťovej prevádzky cez jednotlivé uplinky a robiť to všetko automaticky, na základe rozhodnutia zariadenia, podľa kvality danej linky = pripojenia.

Záver:

Po úspešnom nasadení riešenia Meraki, riaditeľ James Brightman vyhlásil že „Technológia je nástroj, ktorý má pomôcť študentom pri vzdelávaní a keď s ňou nie sú problémy, tak aj samotný personál školy sa môže sústrediť na ich skutočnú prácu a to poskytnúť deťom vzdelávanie 21. storočia“

Dneska si funkčnosť školskej siete pochvaľujú ako študenti, tak aj učitelia, sieť bez problémov zvláda aj komunikačné nástroje ako Webex, rôzne školské aplikácie a pod. Taktiež sa zjednodušil život aj IT administrátorom, kvôli konceptu Meraki, ktorý je čisto Cloudový a môže byť spravovaný na diaľku odkiaľkoľvek cez Meraki Dashboard. Znížili sa náklady na prevádzku a taktiež sa znížil aj počet servisných ticketov a teda personál školy sa môže venovať ich misii a to byť líder v oblasti digitálnych inovácií pre školstvo.

Ich celý príbeh si môžete prečítať tu: https://meraki.cisco.com/wp-content/uploads/sites/18/2023/02/ISC-Velden-Case-Study-230201-english.pdf

Overenie bez hesla je teraz realitou. Autentifikácia Cisco Duo bez hesla je teraz všeobecne dostupná vo všetkých vydaniach Duo.

„Cisco Duo zjednodušuje cestu bez hesla organizáciám, ktoré chcú implementovať autentifikáciu odolnú voči phishingu a prijať stratégiu zabezpečenia nulovej dôveryhodnosti.“

—Jack Poller, hlavný analytik, ESG

Počas nášho verejného náhľadu sme získali obrovskú účasť a spätnú väzbu a teraz sme nadšení, že môžeme túto schopnosť priniesť našim zákazníkom a potenciálnym zákazníkom.

„V priebehu posledných rokov sme zvýšili zložitosť našich hesiel a vyžadovali sme 2FA všade, kde to bolo možné. S týmto prístupom mali zamestnanci viac zablokovaných hesiel, únavu hesiel a zabúdanie dlhších hesiel v dôsledku striedania hesiel. S Duo Passwordless sme nadšení, že môžeme našim zamestnancom predstaviť túto funkciu, aby sme udržali naše zložité heslá na mieste a využili rôzne biometrické možnosti, či už ide o používanie ich mobilného zariadenia, Windows Hello alebo poskytnutého bezpečnostného kľúča FIDO.

Funkcia Duo Push pre autentifikáciu bez hesla je jednoduchá a ľahká a celkovo prináša príjemnejší zážitok. Pomocou prehľadu zariadení a pravidiel aplikácie Duo dokážeme využiť a overiť bezpečnosť mobilných zariadení predtým, ako bude povolené ich používanie. Aby toho nebolo málo, Duo je pripojené k nášmu SIEM a náš tím InfoSec si môže prezerať podrobné protokoly a upozornenia na nastavenie, aby bolo všetko v bezpečí.“

—Viceprezident pre zákazníkov IT, bankovníctva a finančných služieb

Ako pri každej novej technológii, dostať sa do stavu úplne bez hesla bude pre mnohé organizácie cesta. Vidíme, že zákazníci zvyčajne začínajú svoju cestu bez hesla pomocou webových aplikácií, ktoré podporujú moderné overovanie. Na tento účel je autentifikácia Duo bez hesla povolená cez Duo Single Sign-On (SSO) pre federatívne aplikácie. Zákazníci sa môžu rozhodnúť integrovať svojho existujúceho poskytovateľa identity SAML, ako je Microsoft (ADFS, Azure), Okta alebo Ping Identity; alebo použite Duo SSO (dostupné vo všetkých vydaniach Duo).

„Správa hesiel je pre mnohé podniky náročným návrhom, najmä vo svetle BYOD a neustále rastúcej sofistikovanosti phishingových schém. Cieľom spoločnosti Cisco je zjednodušiť tento proces pomocou autentifikácie Duo bez hesla, ktorá ponúka integráciu s obľúbenými riešeniami jednotného prihlásenia.

—Will Townsend, viceprezident a hlavný analytik, Networking & Security, Moor Insights & Strategy

Duo ponúka flexibilný výber možností autentifikácie bez hesla, aby vyhovoval potrebám podnikov a ich prípadom použitia. Toto zahŕňa:

1. Overenie kompatibilné s FIDO2, odolné voči phishingu

• Autentizátory platformy – TouchID, FaceID, Windows Hello, biometria Androidu
• Roamingové autentifikátory – bezpečnostné kľúče (napr. Yubico, Feitian)

2. Silná autentifikácia pomocou aplikácie Duo Mobile autentifikátor

Bez ohľadu na to, ktorú možnosť autentifikácie si vyberiete, ide o bezpečnú a vo svojej podstate viacfaktorovú autentifikáciu. Eliminujeme potrebu slabého znalostného faktora (niečo, čo poznáte – heslá), ktoré sú zdieľané počas autentifikácie a môžu byť ľahko kompromitované. Namiesto toho sa spoliehame na silnejšie faktory, ktorými sú faktor inherencie (niečo, čím ste – biometria) a faktor vlastníctva (niečo, čo máte – registrované zariadenie). Používateľ dokončí toto overenie jediným gestom bez toho, aby si musel pamätať zložitý reťazec znakov. To výrazne zlepšuje používateľskú skúsenosť a znižuje riziko ukradnutých poverení a útokov typu man-in-the-middle (MiTM).

Autentifikácia bez hesla s ochranou proti phishingu pomocou FIDO2

Overenie FIDO2 sa považuje za overenie odolné voči phishingu, pretože:

1. Odstráni heslá alebo zdieľané tajomstvá z pracovného postupu prihlásenia. Útočníci nemôžu zachytiť heslá ani použiť ukradnuté prihlasovacie údaje dostupné na temnom webe.
2. Vytvára silnú väzbu medzi reláciou prehliadača a používaným zariadením. Prihlásenie je povolené iba zo zariadenia, ktoré sa autentifikuje do aplikácie.
3. Zabezpečuje, že k výmene poverení (verejného/súkromného kľúča) môže dôjsť iba medzi zariadením a registrovaným poskytovateľom služieb. To zabraňuje prihláseniu na falošné alebo phishingové webové stránky.

Používanie Duo s autentifikátormi FIDO2 umožňuje organizáciám presadzovať MFA odolné voči phishingu vo svojom prostredí. Je tiež v súlade s pokynmi Úradu pre riadenie a rozpočet (OMB) vydaným začiatkom tohto roka v memorande s názvom „Posúvanie vlády USA smerom k zásadám kybernetickej bezpečnosti s nulovou dôverou“. Oznámenie konkrétne vyžaduje, aby agentúry používali metódu overenia odolnú voči phishingu.

Chápeme, že príprava IT infraštruktúry na podporu FIDO2 môže byť nákladná a pre organizácie je to zvyčajne dlhodobý projekt. Okrem toho nasadenie a správa bezpečnostných kľúčov tretích strán vytvára réžiu IT, ktorú niektoré organizácie nie sú schopné vykonať okamžite.

Alternatívne je použitie Duo Push na autentifikáciu bez hesla pre mnohé organizácie jednoduchým a nákladovo efektívnym spôsobom, ako začať cestu bez hesla, bez kompromisov v oblasti bezpečnosti.

Do pracovného postupu prihlásenia sme začlenili zabezpečenie, aby sme spojili reláciu prehliadača a používané zariadenie. Organizácie tak získajú rovnaké výhody eliminácie používania ukradnutých poverení a zmiernenia phishingových útokov. Ak sa chcete dozvedieť viac o autentifikácii bez hesla pomocou Duo Push, pozrite si náš príspevok: Teraz k dispozícii! Autentifikácia bez hesla je vzdialená jediným klepnutím.

Okrem toho, že mnohé organizácie nebudú používať heslo, chcú vo svojom IT prostredí implementovať prístup s nulovou dôveryhodnosťou. Toto prostredie je zvyčajne zmesou moderných a starších aplikácií, čo znamená, že bez hesla nemožno univerzálne prijať. Aspoň nie dovtedy, kým všetky aplikácie nebudú podporovať modernú autentifikáciu.

Okrem toho musia organizácie podporovať širokú škálu prípadov použitia, aby umožnili prístup zo spravovaných aj nespravovaných zariadení (osobných alebo dodávateľov tretej strany). A tímy pre bezpečnosť IT potrebujú prehľad o týchto zariadeniach a schopnosť presadzovať súlad, aby spĺňali bezpečnostné zásady organizácie, ako je zabezpečenie aktuálnosti operačného systému (OS) a verzií webového prehliadača. Dôležitosť overenia polohy zariadenia v čase autentifikácie je zdôraznená v pokynoch poskytnutých v memorande o nulovej dôvere OMB – „autorizačné systémy by mali fungovať tak, aby popri informáciách o identite overeného používateľa začlenili aspoň jeden signál na úrovni zariadenia“.

Duo môže pomôcť organizáciám osvojiť si bezpečnostný model s nulovou dôverou tým, že vynúti silnú autentifikáciu používateľov vo všetkých oblastiach, a to buď prostredníctvom overenia bez hesla tam, kde je to vhodné, alebo pomocou hesla + MFA tam, kde je to potrebné, a zároveň poskytuje konzistentnú používateľskú skúsenosť. Okrem toho, s funkciami, ako je dôveryhodnosť zariadení a granulárne adaptívne politiky, a s našou víziou pre nepretržitý dôveryhodný prístup, organizácie získajú dôveryhodného bezpečnostného partnera, na ktorého sa môžu spoľahnúť pri implementácii prístupu s nulovou dôveryhodnosťou vo svojom prostredí.

Pre viac informácií kontaktujte: [email protected]

Na úvod Vám položím otázku – koľko percent dátovej komunikácie smeruje cez Internet do cloud-ových služieb a koľko ostáva u Vás v privátnom dátovom centre? Určite Vás neprekvapím tvrdením, že podstatná väčšina dát je vytvorená a ukladaná v cloudových aplikáciách typu SaaS (Software As A Service). Tomuto dlhoročnému trendu sa prispôsobuje stále väčší počet organizácií a tak stoja pred výzvami ako bezpečne pripojiť mobilných pracovníkov, pobočky aj centrálne lokality bez ujmy na výkone a používateľskom komforte. IT aj bezpečnostné oddelenia musia preto prísť so spoločnou stratégiou ako tomuto trendu úspešne čeliť a chrániť svojich používateľov bez ohľadu na to odkiaľ a s akými zariadeniami pracujú a aké aplikácie používajú pri napĺňaní svojich pracovných úloh.

Je nutným predpokladom mať silné bezpečnostné mechanizmy pre chránený prístup k aplikáciam z akéhokoľvek miesta, či ide o SaaS, privátny cloud alebo Internet.

Centralizácia bezpečnostných funkcií dáva zmysel ak je firemné dátové centrum pre používateľov primárnym cieľom na prístup k aplikáciám. Súčasný trend túto paradigmu bezpečnostného perimetra mení a funkcie ako firewall, IPS, webové proxy, či VPN brány sú tiež poskytované z cloud-u. Táto decentralizácia má aj jednu veľkú výhodu, ktorou je optimalizácia nákladov spojených s požiadavkami na škálovanie a výkon jednotlivých bezpečnostných funkcií.

Pôvodnú definíciu pojmu SASE zaviedla spoločnosť Gartner už v roku 2019. Z nej vyplýva, že SASE kombinuje sieťové funkcie SD-WAN a bezpečnostné funkcie ako SWG (Secure Web Gateway), CASB (Cloud Access Security Broker), NGFW (Next Generation Firewall) a ZTNA (Zero Trust Network Access). Poskytovaľ SASE musí ponúknuť riešenie natívne prevádzkované z cloud-u a pre použivateľa je to teda prevádzkované ako služba. Koncept SASE takto konsoliduje množstvo sieťových aj bezpečnostných funkcií, ktoré sú v tradičnom centralizovanom modely dodávané ako separátne produkty.

Požiadavky na SASE riešenie.

Produktové portfólio pre SASE je u nás v Cisco zastúpené SD-WAN technológiou na báze Cisco Catalyst 8000 smerovačov alebo Cisco Meraki rady MX. Cisco SD-WAN umožňuje zostaviť WAN prepojenia nad ľubovoľnou v dnešnej dobe používanou transportnou technológiou. Pomocou inteligentných algoritmov zvolí najefektívnejšiu trasu pre komunikáciu používateľov s aplikáciami. Monitorovanie parametrov kvality jednotlivých trás ako aj integrácia s poskytovateľmi SaaS aplikácií (napr. Microsoft Informed Network Routing) zaručí optimálne využitie dostupnej prenosovej kapacity spolu s prioritizáciou biznis kritických aplikácií.

Komponenty Cisco SASE riešenia.

Bezpečnostné funkcie poskytované z cloud-u sú zastúpené službou Cisco Umbrella. Ponúka spoľahlivú ochranu komunikácie nielen pre mobilných pracovníkov, ale aj pre pracovníkov z pobočiek a centrály. Cisco Umbrella chráni firemnú komunikáciu na viacerých vrstvách, počnúc ochranou DNS (Domain Name System), cez filtrovanie dátových tokov cez firewall spolu s funkciami IPS (Intrustion Prevention System) až po hĺbkovú inšpekciu webovej prevádzky spolu s dešifrovaním ako aj s možnosťou izolovania aktivity webového prehliadača aby nedošlo k infikovaniu koncového zariadenia. Umožňuje analyzovať firemnú komunikáciu na prítomnosť citlivých informácií pomocou CASB a využíva znalostnú databázu ako aj výsledky výskumu nášho bezpečnostného tímu Cisco TALOS. Keďže sú všetky tieto funkcie dostupné z jednej platformy, Cisco Umbrella výrazne znižuje čas aj náklady potrebné na nasadenie, konfiguráciu aj prevádzku takto uceleného riešenia. Spolu s Cisco Umbrella má zákazník k dispozícii bezplatne aj platformu Cisco SecureX pre vizualizáciu bezpečnostných udalostí, riešenie bezpečnostných incidentov a orchestráciu.

V neposlednom rade netreba zabudnúť aj na Cisco DUO. Cisco DUO dopĺňa naše produktové portfólio SASE tak, aby sme splnili všetky náležitosti vyplývajúce z požiadaviek našich zákazníkov na ZTNA.

Dve hlavné témy pre SASE sú konsolidácia a zjednodušenie. Ak sa vyberiete touto cestou, má veľký zmysel uvažovať o implementácii SASE riešenia od jedného dodávateľa. Pri výbere SD-WAN je vhodné ísť cestou otestovania, aby ste si vedeli zvážiť dopad na vašu existujúcu infraštruktúru. Z pohľadu bezpečnosti hľadajte riešenie, ktoré dokáže flexibilne nahradiť alebo zlepšiť vaše existujúce možnosti. Riešenie ktoré zvládne širokú škálu bezpečnostných úloh v jednej konzole a pomôže tak zjednodušiť nasadenie aj prevádzku – nevytvárajte nanovo výzvy, ktoré vyplynuli z prevádzky veľkého množstva silo produktov.

Keďže SASE je služba ponúkaná z cloud-u, jeden z najdôležitejších parametrov pri výbere je množstvo peeringových bodov a s tým spájaná latencia. Práve s tým je spojený komfort práce používateľov. Cisco Umbrella má peering s viac ako 1000 organizáciami po celom svete a dátové centrá fyzicky lokalizované tak, aby sme dosiahli zlepšenie výkonu SaaS aplikácií o viac ako 30% v porovnaní s bežným pripojením do Internetu (DIA – Direct Internet Access). Ochrana informácií v našich dátových centrách je v súlade s požiadavkami GDPR a tiež spĺňajú štandardy ISO 27001 a SOC2.

V spoločnosti Cisco máte dodávateľa so silným portfóliom sieťových aj bezpečnostných technológií. S Cisco Umbrella môžete začať postupne, najprv zabezpečením na úrovni DNS a potom nasadzovaním ďalších bezpečnostných funkcií. Cisco SD-WAN aj Cisco Umbrella sa navzájom integrujú pomocou vstavaných API rozhraní, čo výrazne zjednodušuje prechod na SASE koncept a umožňuje pružne reagovať na nové výzvy, ktorým neustále čelia bezpečnostné aj IT tímy. Ako odhalilo nezávislé testovanie spoločnosťou AV-Test, bezpečnostné funkcie, ktoré ponúka Cisco Umbrella, patria už druhý rok po sebe k najefektívnejším na svete.

Pre viac informácií kontaktujte: [email protected]