Presentation is loading. Please wait.

Presentation is loading. Please wait.

Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Published byBenedetta Elia Modified over 5 years ago

Similar presentations

Presentation on theme: "Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture"— Presentation transcript:

1 Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture
Niko Dukić

2 Partneri Medijski pokrovitelji

3 Business case: OB Zabok Zaključak (nameće se sam!)
Sadržaj predavanja Sigurnosni slojevi Mrežna sigurnost Sigurnost svjesna identiteta Nadzor i upravljanje Business case: OB Zabok Zaključak (nameće se sam!)

4 Sigurnosni slojevi Mrežna sigurnost Sigurnost svjesna identiteta
osnovni mehanizmi zaštite IT infrastrukture Sigurnost na rubovima IT sustava Sigurnost poslovnog sustava i internih IT servisa Sigurnost svjesna identiteta komplementarna sa mrežnom razinom. Mehanizam kontrole više nije IP adresa već identitet korisnika Sigurnost klijentskih računala Nadzor i upravljanje sustavom zaštite

5 Mrežna sigurnost (1/3) Osnovni mehanizmi zaštite
Firewall sustavi IPS / IDS sustavi VLAN odvajanje Preporučene razine zaštite Između produkcijske mreže i Interneta Sustav kontrolira sav promet između korisničke mreže i Interneta Odvajanje javnih servisa u posebne DMZ mreže Zabrana direktnog pristupa prema resursima iz lokalne mreže, Najčešće mjesto implementacije firewall-a i IPS sustava

6 Mrežna sigurnost (2/3) Između poslovnog sustava i korisnika
VLAN access liste na centralnim routerima najosjetljivije sustave odvojiti posebnim firewall sustavom Potrebna velika propusnost sustava Preporučaju se fail-safe kartice i bridge mode ili redundancija Odvajanje korisnika i poslovnog sustava / IT servisa u odvojene VLAN-ove

7 Mrežna sigurnost (3/3) VLAN dolazi sa svojim sigurnosnim propustima, ali više su oni posljedica loše konfiguracije VLAN ranjivosti dolaze do izražaja povećanjem korištenja virtualizacijskih tehnologija Prema istraživanjima 70 % organizacija će spojiti LAN sa cijelim ili dijelom DMZ-a radi boljeg iskorištavanja mrežne infrastrukture unutar virtualne okoline

8 Sigurnost svjesna identiteta (1/4)
Prebacivanje kontrole pristupa sa mrežne razine na korisničku

9 Sigurnost svjesna identiteta (2/4)
Pristup sustavu prema statistici: Zaposlenici: 50 % Gosti: 10 % Partneri: 20 % Privilegirani korisnici: 20 % Korisnika prate prava bez obzira na način pristupa: LAN, wireless, VPN

10 Sigurnost svjesna identiteta (3/4)
Zaključak sigurnost sustava najviše mogu ugroziti zaposlenici i privilegirani korisnici koji prema mrežnoj sigurnosti imaju ista prava i ona ovise o IP adresama; promjenom radne stanice mogu imati veća prava

11 Sigurnost svjesna identiteta (4/4)
Identitet za pristup koristi radnu stanicu Uglavnom se koriste tradicionalni mehanizmi zaštite bez povezanosti sa identitetom: Antivirus / antispyware Patch deployment Napredniji mehanizmi zaštite / identity aware: 802.1x NAC

12 802.1x (1/3) Autentifikacijski protokol za wired i wireless mreže
Svrha: Kontrola pristupa na razini porta (on / off status) praćenje pristupa mrežnim resursima Sigurnost javnih mreža (fakulteti, škole, bolnice) Moguće proširenje sa naprednim ekstenzijama

13 802.1x (2/3) Problemi kod dizajna:
Jednostavna implementacija sa on / off funkcionalnošću. Napredne funkcionalnosti je potrebno dobro testirati Kako kontrolirati uređaje koji ne podržavaju ili nisu konfigurirani za 802.1x (IP Telefoni, mrežni printeri, vanjski korisnici) Odabir klijentskog softvera i RADIUS servera Pristup mreži prije autorizacije korisnika (remote upravljanje, GPO, DHCP request timeout)

14 802.1x (3/3) Zaključak: Ograničeni protokol, ali low cost rješenje koje znatno povećava sigurnost Gartner podaci za 2008: Radi složenosti implementacije samo 13 % organizacija ima implementirano 802.1x rješenje Do 2011 broj će porasti na 50 % U slučaju olakšanja implementacije taj bi broj mogao porasti na 70 %

15 NAC (1/2) Nadogradnja 802.1x rješenja
Pristup se ostvaruje na temelju identiteta i provjere stanja radne stanice bez obzira na lokaciju Gartner podaci za 2008: 37 % korisnika ima ili je u planu implementacija 70 % sljedeće godine Najčešća upotreba: Guest isolation: 79 % Endpoint baselining: 15 % Identity aware network: 5 % Monitoring and containment: 1 %

16 NAC (2/2) omogućuje jednostavnu implementaciju drugih sigurnosnih mehanizama Provjera stanja / automatsko ažuriranje Izolacija za goste Dinamičko dodjeljivanje VLAN-a i ACL Integracija sa firewall sustavima radi kreiranja user based access lista ili captive portala

17 Nadzor i upravljanje Ključna odluka kod nadzora sustavom zaštite IT infrastrukture Single vendor vs. Multi vendor (best of breed) policy Single vendor policy Jednostavan nadzor i upravljanje Manji TCO Jeftinije održavanje Najbolji primjer: Check Point Multi vendor policy Tehnički kvalitetnije rješenje, ali puno teže za implementirati i održavati Puno skuplje održavanje Puno teži nadzor i upravljanje Trenutni trend je single vendor policy

18 Business case: OB Zabok (1/4)
Poslovna potreba: zaštita podataka o pacijentima Zaštita poslovnog sustava Problemi veliki broj IP uređaja (serveri, radne stanice, IP telefoni, medicinska oprema) Veliki broj nekontroliranih posjetitelja Veliki broj otvorenih prostora sa priključcima na lokalnu mrežu

19 Business case: OB Zabok (2/4)
Zašto CS: jednim projektom postavljena osnova za: Ispunjenje obveza prema EU regulativi i politici bolnice vezano uz čuvanje informacija, zaštitu osobnih podataka, tajnost informacija postavljeni tehnički preduvjeti za uvođenje vlastitog ISMS-a: mrežna sigurnost, pristupne kontrole, firewall, kontrola identiteta, vanjski korisnici, zaštita klijenata… dizajn, implementacija i održavanje kroz jednu tvrtku (koja ima certifikat ISO27001:2005)

20 Business case: OB Zabok (3/4)
Rješenje obuhvaća: Cisco firewall, L2 / L3 preklopnike Cisco ACS (RADIUS) server 802.1x autorizacija koristeći Windows XP klijent i Active Directory Check Point Integrity klijent

21 Business case: OB Zabok (4/4)
Implementacijom sustava omogućeno je Zaštita pristupa sa Interneta Zaštita poslovne mreže na razini VLAN-a 802.1x autorizacija za svu mrežnu opremu na koju se spajaju radne stanice Osobni firewall dodatno kontrolira pristup mrežnim resursima prema grupi u AD-u Kontrola aplikacija koje se mogu pokrenuti Provjera stanja antivirusnog softvera Provjera instalacije dodatnih Microsoft zakrpa

22 Pogled u sadašnjost / budućnost
Integrity je naslijedio Endpoint security suite uz dodane funkcionalnosti: antivirusna / antispyware provjera, ista pristupna prava kroz LAN i VPN sustav enkripcija cijelog diska na radnim stanicama granularna kontrolu USB uređaja i pokretnih medija U H izlazi novo Check Point NAC rješenje Upravljanje pristupa gostima na višem nivou Captive portal Clientless compliance check za goste Dissolvable / light client solution za partnere

23 Zaključci!!! Sistematski pristup sigurnosti otpočetka – drugog pristupa nema! Korištenje best practices/u skladu sa core businessom, uz korištenje partnera za IT sigurnost Primjena “sigurnosti u slojevima”, centralni nadzor i administracija Uspostaviti ISMS kao okvir unutar kojega će se sigurnost razvijati i održavati na kontrolirani način Sigurnost projektno ne “završava”, traži pažnju i fokus!

24 Nakon zaključka

25 Hvala.

Download ppt "Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture"

Similar presentations

Visa MasterCard incoming / outgoing Aplikacija VMC

Visa MasterCard incoming / outgoing Aplikacija VMC
Information Security in Real Business

Information Security in Real Business
Dalibor Ratković TeleGroup 03.11.2010. god. Sigurnost IT resursa nove generacije.

Dalibor Ratković TeleGroup god. Sigurnost IT resursa nove generacije.
1 Holcim (Hrvatska) d.o.o. 01.06.2011. Holcimova Mahovina.

1 Holcim (Hrvatska) d.o.o Holcimova Mahovina.
Rješenje za izradu obiteljskog stabla

Rješenje za izradu obiteljskog stabla
System Center 2012 Virtual Machine Manager Pogled, pregled i iskoristivost Romeo Mlinar MCSA, MCSE, MCDST, MCDBA, MCTS, MCITP Ekobit d.o.o.

System Center 2012 Virtual Machine Manager Pogled, pregled i iskoristivost Romeo Mlinar MCSA, MCSE, MCDST, MCDBA, MCTS, MCITP Ekobit d.o.o.
System Center 2016 preview - novosti i novi featurei

System Center 2016 preview - novosti i novi featurei
VLAN Zoran Španović MCSE / CCNA Služba za opšte i zajedničke poslove Pokrajinskih organa APV.

VLAN Zoran Španović MCSE / CCNA Služba za opšte i zajedničke poslove Pokrajinskih organa APV.
Prof: doc.dr. Samir Lemeš student: Samir Hrnjić. System restore je komponenta Microsoftovih operativnih sistema Windows Serveri ne podržavaju opciju System.

Prof: doc.dr. Samir Lemeš student: Samir Hrnjić. System restore je komponenta Microsoftovih operativnih sistema Windows Serveri ne podržavaju opciju System.
Obrazac JOPPD - uvod www.regos.hr www.porezna-uprava.hr MINISTARSTVO RADA I MIROVINSKOGA SUSTAVA.

Obrazac JOPPD - uvod MINISTARSTVO RADA I MIROVINSKOGA SUSTAVA.
Marko Ugrin Integra Group Budućnost mrežne infrastrukture na MS način.

Marko Ugrin Integra Group Budućnost mrežne infrastrukture na MS način.
System Center vNext Tomislav Lepušić, Integra Group.

System Center vNext Tomislav Lepušić, Integra Group.
8/1/2018 10:47 AM © Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN.

8/1/ :47 AM © Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN.
Google Analytics Analitika turističkih web stranica

Google Analytics Analitika turističkih web stranica
Microsoft za novinare ponedeljak, 17. septembar 2018 Nikola Mirčić

Microsoft za novinare ponedeljak, 17. septembar 2018 Nikola Mirčić
Nikolina Đapić | Luka Ibrišimović | Jurica Šeparović

Nikolina Đapić | Luka Ibrišimović | Jurica Šeparović
Spajanje digitalnog prijamnika na televizor

Spajanje digitalnog prijamnika na televizor
Topologije mreža Mrežni protokol je set pravila uspostavljenih kako bi korisnici mogli da razmenjuju informacije. Topologija mreže je athitektura usvojena.

Topologije mreža Mrežni protokol je set pravila uspostavljenih kako bi korisnici mogli da razmenjuju informacije. Topologija mreže je athitektura usvojena.
Broadband over powerlines

Broadband over powerlines
SIGURNOST RAČUNALNIH MREŽA

SIGURNOST RAČUNALNIH MREŽA

Similar presentations

Ads by Google