Комментарии 19
Маркетинг?
Дело-то правильное. ASA наконец-то перестает быть абсолютно немощной и убогой на L7 железякой. Интересно, насколько стабильно этот функционал будет работать…
А еще поговаривают, что одной только активации лицензий недостаточно, надо еще иметь SSD диски в файрволах…
А еще поговаривают, что одной только активации лицензий недостаточно, надо еще иметь SSD диски в файрволах…
В корпоративном блоге Cisco? Да! :-)
А что с SSL? Речь про SSL Offload на борту? Да, он в роадмапе, но тут надо понимать, что SSL offload на борту просаживает производительность всего устройства. Поэтому у нас для этого есть отдельные SSL Appliance (http://www.cisco.com/assets/global/RU/pdfs/brochures/Sourcefire-SSL-Appliance-Datasheet.pdf).
Что касается сравнения, то, это, как всегда, субъективный вопрос :-) Есть ли у Palo Alto функция ретроспективной безопасности? А репутация файлов? А анализ траектории? А что с корреляцией событий? А что с закрытием всего функционала, который есть в FirePOWER for ASA и интеграцией в инфраструктуру защиты? Например, у нас на FireSIGHT заводится и информация по управлению уязвимостями, и песочница, и управления агентами на оконечных устройствах, и антивирус, и SIEM. У Palo Alto для этого требуются отдельные консоли. У нас одна.
Что касается сравнения, то, это, как всегда, субъективный вопрос :-) Есть ли у Palo Alto функция ретроспективной безопасности? А репутация файлов? А анализ траектории? А что с корреляцией событий? А что с закрытием всего функционала, который есть в FirePOWER for ASA и интеграцией в инфраструктуру защиты? Например, у нас на FireSIGHT заводится и информация по управлению уязвимостями, и песочница, и управления агентами на оконечных устройствах, и антивирус, и SIEM. У Palo Alto для этого требуются отдельные консоли. У нас одна.
При всех моих любви и уважению к данному вендору:
Раньше для обнаружения таких мультивекторных угроз требовались внешние системы корреляции и управления событиями (SIEM), обходящиеся компаниям слишком дорого (и с точки зрения цены, и с точки зрения усилий по внедрению). В Cisco IPS, а затем и в Cisco ASA with FirePOWER эта возможность является встроенной, что позволяет обнаруживать и предотвращать атаки до достижения ими цели, а не после анализа на SIEM.
А сейчас они (SIEM-ы) таки не требуются? :)
Движок Meta работает в пределах одного сенсора. А если у меня их (сенсоров) много? Вот прям на каждый сегмент, как и пророчат все Security Design-ы и WhirePaper-ы.
Сенсоры не умеют передавать друг другу даже информацию о TCP-сессиях, которые через них прошли (что кстати сильно затрудняет их использование при построении redundancy схем). Или с выявленными алертами ситуация как-то резко поменялась?
ЗЫ: Алексей, а кого Cisco должна купить, чтобы в АSА появилась PBR? :)
Раньше для обнаружения таких мультивекторных угроз требовались внешние системы корреляции и управления событиями (SIEM), обходящиеся компаниям слишком дорого (и с точки зрения цены, и с точки зрения усилий по внедрению). В Cisco IPS, а затем и в Cisco ASA with FirePOWER эта возможность является встроенной, что позволяет обнаруживать и предотвращать атаки до достижения ими цели, а не после анализа на SIEM.
А сейчас они (SIEM-ы) таки не требуются? :)
Движок Meta работает в пределах одного сенсора. А если у меня их (сенсоров) много? Вот прям на каждый сегмент, как и пророчат все Security Design-ы и WhirePaper-ы.
Сенсоры не умеют передавать друг другу даже информацию о TCP-сессиях, которые через них прошли (что кстати сильно затрудняет их использование при построении redundancy схем). Или с выявленными алертами ситуация как-то резко поменялась?
ЗЫ: Алексей, а кого Cisco должна купить, чтобы в АSА появилась PBR? :)
Сейчас вы данные с разных сенсоров передаете на FireSIGHT, которые и коррелирует их. Я про это и написал в самой заметке. В этом коренное отличие Meta Event Generator'а в Cisco IPS от подсистемы анализа и корреляции событий безопасности в FireSIGHT
Просто это не очень понятно из текста этой статьи (видимо сначала нужно внимательно читать эту).
Если я правильно понял, сейчас FireSIGHT это отдельный продукт с около-SIEM-ной функциональностью.
А гибрид ASDM+FireSIGHT тоже будет отдельным? Или это будет скорее CSM+FireSIGHT?
Если я правильно понял, сейчас FireSIGHT это отдельный продукт с около-SIEM-ной функциональностью.
А гибрид ASDM+FireSIGHT тоже будет отдельным? Или это будет скорее CSM+FireSIGHT?
А IPS из этой штуки может защищать серверы?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новое решение Cisco по безопасности следующего поколения (NGFW + NGIPS + AMP)