Cisco TrustSec

Cisco TrustSec
Informationen auf einen Blick
Das Fundament für Secure Borderless Networks
Adressiert Kundenherausforderungen
Vorteile
Physische Grenzen verschwinden. Dadurch entstehen jedoch neue Herausforderungen
für unsere Kunden, wie zum Beispiel die Unterstützung mobiler Arbeitskräfte sowie die
Verwaltung von Outsourcing-Lösungen und einer Vielzahl neuer Geräte und Anwendungen
durch die Firmen-IT (Konsumerisierung). Hinzu kommt, dass die Bedrohungslage
einen besseren Schutz der Unternehmensinfrastruktur und wertvoller Daten erfordert.
Außerdem sind zahlreiche Unternehmen in vielen Branchen strengen Vorschriften und
gesetzlichen Auflagen unterworfen. Als fundamentale Komponente zur Sicherung von
Borderless Networks hilft Cisco® TrustSec den Kunden, sicher zusammenzuarbeiten, ihr
Sicherheitsniveau zu verbessern und Compliance-Anforderungen zu erfüllen.
Ermöglicht eine sichere Zusammenarbeit: Cisco TrustSec weist Benutzern und Geräten
dynamisch Zugang und Rechte zu und unterstützt so dynamische Mitarbeitermodelle.
Die konsistenten, effizienten und rollenbasierten Netzwerkfunktionen, die von TrustSec
bereitgestellt werden, schaffen eine sichere Unternehmensumgebung und ein transparentes
Benutzererlebnis.
Schlüsselfunktionen
Cisco TrustSec bietet einen lückenlosen Schutz für Netzwerke und den Zugang zu kritischen
Unternehmensressourcen durch mehr Transparenz und Kontrolle sämtlicher Benutzer
sowie die Erkennung und Überwachung aller IP-fähigen Geräte. Möglich wird dies durch
richtlinienbasierte Zugriffskontrolle, identitätsbasierte Netzfunktionen sowie Schutz von
Vertraulichkeit und Integrität der Daten im Netzwerk.
Richtlinienbasierte Zugriffskontrolle: Cisco TrustSec kontrolliert den Netzwerkzugriff
anhand konsistenter Richtlinien für Benutzer (Mitarbeiter, Partner, Gäste), Endgeräte (Laptops,
IP-Telefone, Drucker) und Netzwerkgeräte (Switches, Router usw.). Dabei wird entschieden,
in welcher Form Benutzer und Geräte Zugriff erhalten, welchen Sicherheitsrichtlinien Geräte
entsprechen müssen (z. B. Überprüfen von Systemeinstellungen, das Vorhandensein von
Antivirusprogrammen/Firewall) und welche Netzwerkressourcen Benutzern zugänglich sind.
Identitätsbasierte Netzfunktionen: Cisco TrustSec nutzt Identitätsinformationen von
Benutzern und Geräten in Kombination mit zusätzlichen Kriterien (z. B. Zeit, Ort, Rolle des
Benutzers im Unternehmen), um die präzise Durchsetzung der Sicherheitsrichtlinien zu
gewährleisten. Cisco TrustSec stellt darüber hinaus weitere rollenbasierte Netzwerkdienste
zur Verfügung, einschließlich der Unterstützung für Cisco Medianet und QoS für
unternehmenskritische Anwendungen, die von Benutzern mit besonderen Rollen genutzt
werden.
Datenintegrität und Vertraulichkeit: Cisco TrustSec sichert den Datenpfad in SwitchingUmgebungen mittels IEEE 802.1AE-Verschlüsselung. Die Datenvertraulichkeit und -integrität
wird dabei zwischen den Geräten auf Switchportebene realisiert (Hop-by-Hop). Kritische
Sicherheitsanwendungen (z. B. Firewalls, Intrusion Prevention, Inhaltsprüfung) erhalten über
die Cisco-Switching-Infrastruktur Einsicht in die Datenströme.
Sicherheit stärken: Ob in LANs, WLANs oder VPNs – Cisco TrustSec sichert den Zugang zu
Netzwerken und Ressourcen durch die Überprüfung der Endgeräte auf deren Berechtigung
und Sicherheitsstatus. Cisco TrustSec setzt Sicherheitsrichtlinien im gesamten Netzwerk
durch. Darüber hinaus schützt TrustSec Vertraulichkeit und Integrität der Netzwerkdaten
mittels Switchport-basierter Verschlüsselung.
Compliance: Cisco TrustSec erleichtert die Einhaltung von Vorschriften und Auflagen.
Es wird erfasst, wer auf das Netz zugreift, wer welche Funktionen im Netz verwendet und
welche Ressourcen dabei benutzt werden dürfen. Die erfassten Daten stehen den für die
Compliance zuständigen Personen für Kontrollen, Auditierung und Berichterstattung zur
Verfügung.
Produktportfolio
Die Komponenten von Cisco TrustSec lassen sich drei Bereichen zuordnen: Infrastruktur,
Richtlinien und Endgeräte.
Infrastrukturkomponenten: Cisco Catalyst® Switches der Serien 2900/3560/3700/4500/6500
sowie Cisco Nexus™ 7000 Switches interagieren mit den Benutzern zur Authentifizierung
und Autorisierung. Netzwerkzugang wird durch Sicherheitsrichtlinien, die Benutzeridentität
und andere Attribute diktiert. Bei der Authentifizierung kann flexibel mit den Verfahren 802.1X,
Web Auth oder MAC Auth Bypass gearbeitet werden – in einer einzigen Konfiguration, die
sämtliche Switchports umfasst. Darüber hinaus können Cisco Switches Datenpakete mit
Benutzerinformationen kennzeichnen, sodass weitere Kontrollinstanzen im gesamten Netzwerk
installiert werden können. Hinzu kommt, dass Cisco Nexus-Switches bereits heute MACSec
unterstützen (Verschlüsselung nach IEEE 802.1AE). Damit sind die Vertraulichkeit und Integrität
der Daten während der Übertragung gewährleistet.
Richtlinienkomponenten: Das Cisco Secure Access Control System (ACS) ist ein ebenso
unkomplizierter wie leistungsfähiger Richtlinienserver für die zentrale Identitäts- und
Zugriffssteuerung. Cisco Secure ACS bietet ein regelbasiertes Richtlinienmodell und
eine neue, intuitive Verwaltungsschnittstelle, die auf optimale Kontrolle und Transparenz
ausgelegt wurde. Die neueste Version wartet zudem mit weitreichenden Überwachungsund Diagnosefunktionen auf, die IT-Administratoren dabei unterstützen, potenzielle Probleme
schnell zu identifizieren.
© 2010 Cisco Systems, Inc. Alle Rechte vorbehalten. Cisco, das Cisco Logo und Cisco Systems sind Marken bzw. eingetragene Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und bestimmten anderen Ländern. Alle anderen Handelsmarken,
die in diesem Dokument oder auf der Website erwähnt werden, sind Eigentum der jeweiligen Besitzer. Die Verwendung des Begriffs „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (0910R)
Cisco TrustSec
Informationen auf einen Blick
Das Fundament für Secure Borderless Networks
Der Cisco Network Admission Control (NAC) Manager ist das Richtlinien- und
Verwaltungscenter, das als Appliance Richtlinien für einen rollenbasierten Benutzerzugang
und für die Endgerätesicherheit verwaltet.
Der Cisco NAC Server prüft und setzt Sicherheitsrichtlinien in einer Appliance-basierten
Einsatzumgebung um.
Der Cisco NAC Profiler hilft dabei, eine richtlinienbasierte Zugriffskontrolle umzusetzen, und
zwar durch die Erkennung und Profilierung sämtlicher Endgeräte, Platzierung anhand von
Richtlinien und Überwachung aller Geräte über das Verbindungsende hinaus.
Der Cisco NAC Guest Server verwaltet den Gastzugriff, einschließlich Bereitstellung,
Meldung, Verwaltung und Dokumentation aller Gastkonten und Netzaktivitäten.
Endgerätekomponenten: Der Cisco Secure Services Client (SSC) ermöglicht die
Bereitstellung eines einzigen, übergreifenden Authentifizierungssystems für den LAN- und
WLAN-Zugriff. Benutzer und Geräte werden nach 802.1X authentifiziert. Zudem verwaltet
der Client Benutzer- und Geräteidentitäten sowie die Netzzugangsprotokolle für den
sicheren Netzwerkzugriff. Der Cisco NAC Agent ist ein einfacher, optionaler Agent, der auf
den Endgeräten ausgeführt wird. Er führt eine tiefgreifende Sicherheitsanalyse des Gerätes
durch Untersuchung der Registry-Einstellungen, Dienste und Dateien durch. Ergänzend
zu den bereits genannten Endgeräte-Clients, die Standardgeräte unterstützen, verfügen
Cisco IP-Telefone über erweiterte integrierte Funktionen zur nahtlosen Unterstützung der
Cisco TrustSec-Lösung.
Professionelle Services für TrustSec
Cisco bietet in Zusammenarbeit mit Partnern maßgeschneiderte Dienste an. Richtlinienprüfung,
Analyse und Design-Expertise helfen Ihnen dabei, Ihre Netzwerke auf TrustSec vorzubereiten.
Cisco Services nutzen Best Practices, um Unternehmen dabei zu unterstützen, schnell und
kosteneffektiv eine umfassende Authentifizierungs- und Zugangskontroll-Lösung einzuführen
und gleichzeitig Wissenstransfer und einen effizienten Betrieb der Lösung zu garantieren.
Anwendungsfälle
Bereitstellungsoption 1: Implementierung auf 802.1X-Basis
Bereitstellungsoption 2: Implementierung auf Appliance-Basis
Als Richtlinienserver dient in diesem Fall der Cisco NAC Manager, der im Zusammenspiel mit
dem Cisco NAC Server über LAN-, WLAN- oder VPN-Verbindungen Benutzer identifiziert
und Geräte prüft. Über den Zugriff auf das Netzwerk und seine Ressourcen entscheiden die
Anmeldeinformationen der Benutzer, ihre Rollen im Unternehmen sowie die
Richtlinienkonformität der eingesetzten Endgeräte.
TrustSec-Innovationen
TrustSec wartet mit zahlreichen Cisco-Innovationen auf. Die 802.1X-Überwachungs- und LowImpact-Modi ermöglichen bereits vor der Authentifizierung einen kontrollierten, vollständig
konfigurierbaren Netzwerkzugriff – mit erheblichen Vorteilen für die Transparenz, Flexibilität
der Bereitstellung und den Betrieb. Die Einbindung des Cisco NAC Profiler, des Cisco NAC
Guest Server und der IP-Telefonie mit Cisco Switching in einer 802.1X-Umgebung trägt dabei
wesentlich zur Produktivität von Mitarbeitern und Firmen-IT bei. Zugriffskontrolllisten, die nicht
auf IP-Adressen, sondern auf Sicherheitsgruppen basieren, erleichtern die Verwaltung von
Sicherheitsrichtlinien. Durch die Zuordnung zu Gruppen erhalten Benutzer automatisch die
entsprechenden Zugriffsberechtigungen. TrustSec bietet neueste Sicherheitstechnologie
wie 802.1X-REV oder MACSec.
Warum Cisco?
Cisco TrustSec ist eine umfassende Lösung, die durch Flexibilität, Benutzerfreundlichkeit
und Effizienz bei der Bereitstellung überzeugt. Eng in die Infrastruktur integrierte
Sicherheitsmechanismen unterstützen verwaltete, nicht verwaltete und unbekannte
Ressourcen sowie Mitarbeiter, Zulieferer und Gäste.
Mit TrustSec geschützte Cisco-Netzwerke ermöglichen einen vollständigen Überblick und
eine umfassende Kontrolle. TrustSec verbessert auch die Ausfallsicherheit, Konsistenz und
Skalierbarkeit des Netzwerks.
Cisco bietet außerdem in Zusammenarbeit mit Partnern professionelle Services an, die auf
individuelle Kundenanforderungen in Bezug auf Compliance und Sicherheit zugeschnitten sind.
Weitere Informationen finden Sie unter http://www.cisco.com/go/trustsec (englisch).
In diesem Szenario dient Cisco Secure ACS als Richtlinienserver zur Authentifizierung der
LAN-Benutzer. Ein Switch als NAD (Network Access Device) steuert den Zugriff auf Netzwerk
und Ressourcen anhand der (vom Cisco SSC erfassten) Anmeldeinformationen der Benutzer
und ihrer Rollen im Unternehmen. Zusätzliche Schutzmaßnahmen wie beispielsweise Security
Group Tagging und Security Group ACLs ermöglichen noch differenziertere Kontrollen. Auch
der Cisco NAC Profiler und Cisco NAC Guest Server können im Rahmen einer 802.1X-Lösung
implementiert werden.
© 2010 Cisco Systems, Inc. Alle Rechte vorbehalten. Cisco, das Cisco Logo und Cisco Systems sind Marken bzw. eingetragene Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und bestimmten anderen Ländern. Alle anderen Handelsmarken,
die in diesem Dokument oder auf der Website erwähnt werden, sind Eigentum der jeweiligen Besitzer. Die Verwendung des Begriffs „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (0910R) C45-577269-00 01/10

Download Report