Baixe a apresentaçãoFaça mais perguntasAssista à gravação
Este evento aconteceu no dia 13 de Maio de 2020.
Aqui se pode ver todas as perguntas feitas durante o evento.
- Introdução
- Perguntas
- P:Qual seria a solução ideal (levando em consideração a relação custo / benefício), o que você recomendaria para um usuário comum, de uma pequena empresa?
- P:Para uma instituição educacional, qual seria a solução mais recomendada para proteger os professores que ministram as aulas virtuais e os usuários que se conectam remotamente?
- P:Qual seria a melhor prática de integração do FTD com DUO, através do DUO access Gateway, através de LDAPS direto do FTD ou através do ISE fazendo a conexão com o DUO?
- P:Solução VPN da Cisco funciona com equipamentos de outros vendors? Ou todos os equipamentos da arquitetura devem ser Cisco?
- P:O Firepower com FTD sendo o RAVPN server consegue fazer push para um celular no lugar do DUO?
- P:Tenho atualmente implementado na empresa uma VPN ipsec no Cisco ASA com autenticação no ISE,atualmente os utilizadores conectam a VPN via VPN client Cisco já descontinuado,pretendemos mudar para Anyconnect. Quais seriam os requesitos?
- P:Este pool de soluções de segurança, não deixará o acesso a VPN lenta?
- P:Saberiam me informar se o DUO é compatível com outros fabricantes?
- P:Referente ao ISE utilizando postura so funciona com antivirus amp ou outro fabricante?
- P:Existe alguma opção de conexão SAML para o FTD?
- P:Quanto ao licenciamento do AnyConnect, ele é calculo pela quantidade de utilizadores que acessam a VPN?
- P:Para uma empresa com mais de um link de internet que nao tenha BGP, a Cisco possui alguma solução de Global Site Load Balance para DNS ?
- P:Qual é a melhor forma de garantir automaticamente que um determinado FDQN seja automaticamente atualizado nos servidores DNS em caso de queda de um dos links externos?
- P:Qual a diferença do Cisco Umbrella para o serviço do OPEN DNS (https://www.opendns.com/home-internet-security/). Consigo usar em minhas máquinas pessoais? Quais features teria? Preciso instalar algum client?
- P:Alguma solução MDM para dispositivo corporativo?
- P:É posivel fazer 3 fatores de autenticação utilizando certificado de máquina, certificado de usuário e credendiais no AnyConnect e firepower como RAVPN?
- P:Por favor, poderiam falar um pouco dos cuidados mais atuais a respeito de firewall para funcionalidade corporativo e firewall para o data center? Em um ambinte ondemos isso segmentado em caixas distintas e F5 BIG IP como ADC e proteção DDOS, GSLB, ...
- P:Consigo integrar Umbrella com um 3rd party?
- Informação Relacionada
Introdução
Em tempos de pandemia o acesso VPN vem se mostrando um grande aliado para que profissionais continuem desenvolvendo as suas atividades corporativas de maneira segura.
Considerado como a “porta de entrada” para os serviços corporativos, o acesso VPN também pode ser visto como um primeiro nível de exposição de segurança que poderá ser utilizado por hackers, principalmente para a captura de informações sigilosas. Ultimamente este tipo de acesso vem crescendo de forma exponencial, contudo, a sua implementação vem sendo vista de forma mais cuidadosa, principalmente depois dos grandes eventos de propagação de ameaças que colocaram o mundo em alerta.
Durante essa sessão, explicou sobre práticas recomendadas para implementação de segurança, para ajudar a força de trabalho remota.
Especialista convidado
Especialista em soluções complexas de Datacenter, Backbones Internet/MPLS e Segurança para o segmento de operadoras de telecomunicações, grandes bancos e aeroportos.
Atuou como líder técnico da equipe de segurança dos jogos olímpicos Rio 2016 e como consultor de segurança nos jogos Pan americanos em Toronto 2015.
Possui certificações técnicas da área de redes, dentre elas: PENTA CCIE (Routing & Switching, Service Provider, Security, Voice, Data Center), CCNA, CCDA, CCNP, DCNIS, CCDP, MCP, MCP+INTERNET e MCSE.
Perguntas
P:Qual seria a solução ideal (levando em consideração a relação custo / benefício), o que você recomendaria para um usuário comum, de uma pequena empresa?
R:Uma solução de Romote Access. O próprio Firewell da empresa como concentrador de VPN para depois tentar utilizar outras features e também a Umbrella que dá uma camada de segurança bem interessante.
P:Para uma instituição educacional, qual seria a solução mais recomendada para proteger os professores que ministram as aulas virtuais e os usuários que se conectam remotamente?
R:Eu indico ferramentas de colaboração que possuem criptografia intrínseca, por exemplo, o Webex. A Cisco está em uma grande parceria com a IBM para fomentar o uso do Webex em universidade. Acesso remoto é um outro ponto que pode ser muito interessante, isso evita com que os funcionários tenham que ir até à faculdade para desempenhar algumas tarefas.
P:Qual seria a melhor prática de integração do FTD com DUO, através do DUO access Gateway, através de LDAPS direto do FTD ou através do ISE fazendo a conexão com o DUO?
R:O que a gente vem abordando sempre nos clientes, é deixar o ISE como ponto único de identidade. É como se fossemos deixar um IDM. Entao, tudo que for relacionado a identidade, você utiliza o ISE.
P:Solução VPN da Cisco funciona com equipamentos de outros vendors? Ou todos os equipamentos da arquitetura devem ser Cisco?
R: Funcionam de forma complementar. Tem como obrigatório o concentrador Cisco com Client Cisco, porém as camadas adicionais podem ser de outros vendors. O que você pode perder é a parte de integração, mas funcionalidades se manteriam.
P:O Firepower com FTD sendo o RAVPN server consegue fazer push para um celular no lugar do DUO?
R: Você não utilizaria o DUO no FTD. Quem faria esta integração é o próprio DUO access Getway. A única questão aqui é se você possui uma solução totalmente de terceiro desta parte do push, por exemplo, o firepower estaria trabalhando com alguma solução de terceiro e o firepower enxergaria isso como um Radius Server e então ele autenticaria no ISE.
P:Tenho atualmente implementado na empresa uma VPN ipsec no Cisco ASA com autenticação no ISE,atualmente os utilizadores conectam a VPN via VPN client Cisco já descontinuado,pretendemos mudar para Anyconnect. Quais seriam os requesitos?
R: Falando primeiro da parte burocrática, o AnyConnect possui licenciamento. Desde a versão 4, você também deverá trabalhar com licenciamento. Se for uma VPN de remote access, o que a gente sugere é fazer via SSL. Geralmente, é melhor uma vez que terá uma conexão mais leve. Voce terá que trabalhar com perfis, portanto você consegui fazer a migracao de um client antigo para um novo sem nenhum problema. Um último ponto, você provavelmente terá que atualizar a versão do ASA.
P:Este pool de soluções de segurança, não deixará o acesso a VPN lenta?
R:Nossa abordagem é de segurança em camada, elas não impactarão no tráfico em si. Somente se o cenário for muito específico. Um único comentário é como fará o projeto, a postura é algo muito importante a ser feito. Se você fizer uma postura muito longa, a experiência do usuário não será muito legal.
P:Saberiam me informar se o DUO é compatível com outros fabricantes?
R: Sim, ele é compatível com outros fabricantes. Qualquer dispositivo que utilize radius,você consegue integrar com o DUO.
P:Referente ao ISE utilizando postura so funciona com antivirus amp ou outro fabricante?
R: Você pode utilizar amp ou qualquer outro antimalware ou antivírus. A única questão é que você deve colocar isso na lista de exceções, mas a postura do ISE é bem flexível.
P:Existe alguma opção de conexão SAML para o FTD?
R: No momento ainda não está disponível, mas está em roadmap para a próxima versão, a 6.7 do FTD.
P:Quanto ao licenciamento do AnyConnect, ele é calculo pela quantidade de utilizadores que acessam a VPN?
R: Clique aqui para ver a resposta dessa pergunta no “Ask Me Anything” dessa mesma sessão
P:Para uma empresa com mais de um link de internet que nao tenha BGP, a Cisco possui alguma solução de Global Site Load Balance para DNS ?
R:Clique aqui para ver a resposta dessa pergunta no “Ask Me Anything” dessa mesma sessão
P:Qual é a melhor forma de garantir automaticamente que um determinado FDQN seja automaticamente atualizado nos servidores DNS em caso de queda de um dos links externos?
R:Clique aqui para ver a resposta dessa pergunta no “Ask Me Anything” dessa mesma sessão
P:Qual a diferença do Cisco Umbrella para o serviço do OPEN DNS (https://www.opendns.com/home-internet-security/). Consigo usar em minhas máquinas pessoais? Quais features teria? Preciso instalar algum client?
R:Clique aqui para ver a resposta dessa pergunta no “Ask Me Anything” dessa mesma sessão
P:Alguma solução MDM para dispositivo corporativo?
R:Clique aqui para ver a resposta dessa pergunta no “Ask Me Anything” dessa mesma sessão
P:É posivel fazer 3 fatores de autenticação utilizando certificado de máquina, certificado de usuário e credendiais no AnyConnect e firepower como RAVPN?
R:Clique aqui para ver a resposta dessa pergunta no “Ask Me Anything” dessa mesma sessão
P:Por favor, poderiam falar um pouco dos cuidados mais atuais a respeito de firewall para funcionalidade corporativo e firewall para o data center? Em um ambinte ondemos isso segmentado em caixas distintas e F5 BIG IP como ADC e proteção DDOS, GSLB, e nat?
R:Clique aqui para ver a resposta dessa pergunta no “Ask Me Anything” dessa mesma sessão
P:Consigo integrar Umbrella com um 3rd party?
R:Sim, existem APIs prontas, dê uma olhada em https://umbrella.cisco.com/why-umbrella/it-security-integrations