Как стать автором
Обновить

Комментарии 19

Дело-то правильное. ASA наконец-то перестает быть абсолютно немощной и убогой на L7 железякой. Интересно, насколько стабильно этот функционал будет работать…

А еще поговаривают, что одной только активации лицензий недостаточно, надо еще иметь SSD диски в файрволах…
Последний год мы рекомендуем партнерам размещать заказы на ASA сразу с SSD. Но если его нет, то да, нужен диск.
В корпоративном блоге Cisco? Да! :-)
НЛО прилетело и опубликовало эту надпись здесь
А что с SSL? Речь про SSL Offload на борту? Да, он в роадмапе, но тут надо понимать, что SSL offload на борту просаживает производительность всего устройства. Поэтому у нас для этого есть отдельные SSL Appliance (http://www.cisco.com/assets/global/RU/pdfs/brochures/Sourcefire-SSL-Appliance-Datasheet.pdf).

Что касается сравнения, то, это, как всегда, субъективный вопрос :-) Есть ли у Palo Alto функция ретроспективной безопасности? А репутация файлов? А анализ траектории? А что с корреляцией событий? А что с закрытием всего функционала, который есть в FirePOWER for ASA и интеграцией в инфраструктуру защиты? Например, у нас на FireSIGHT заводится и информация по управлению уязвимостями, и песочница, и управления агентами на оконечных устройствах, и антивирус, и SIEM. У Palo Alto для этого требуются отдельные консоли. У нас одна.
Последние видео по evasion methods и отчёт NSS Labs 2014 NGFW вызывают у меня оч много вопросов может ли palo alto вообще называться файрволом
Ну Palo Alto чистым МСЭ никогда и не было — они изначально шли в сегмент NGFW, «забыв» про сетевую составляющую. Сейчас это сказывается.
При всех моих любви и уважению к данному вендору:

Раньше для обнаружения таких мультивекторных угроз требовались внешние системы корреляции и управления событиями (SIEM), обходящиеся компаниям слишком дорого (и с точки зрения цены, и с точки зрения усилий по внедрению). В Cisco IPS, а затем и в Cisco ASA with FirePOWER эта возможность является встроенной, что позволяет обнаруживать и предотвращать атаки до достижения ими цели, а не после анализа на SIEM.

А сейчас они (SIEM-ы) таки не требуются? :)
Движок Meta работает в пределах одного сенсора. А если у меня их (сенсоров) много? Вот прям на каждый сегмент, как и пророчат все Security Design-ы и WhirePaper-ы.
Сенсоры не умеют передавать друг другу даже информацию о TCP-сессиях, которые через них прошли (что кстати сильно затрудняет их использование при построении redundancy схем). Или с выявленными алертами ситуация как-то резко поменялась?

ЗЫ: Алексей, а кого Cisco должна купить, чтобы в АSА появилась PBR? :)
Сейчас вы данные с разных сенсоров передаете на FireSIGHT, которые и коррелирует их. Я про это и написал в самой заметке. В этом коренное отличие Meta Event Generator'а в Cisco IPS от подсистемы анализа и корреляции событий безопасности в FireSIGHT
Просто это не очень понятно из текста этой статьи (видимо сначала нужно внимательно читать эту).
Если я правильно понял, сейчас FireSIGHT это отдельный продукт с около-SIEM-ной функциональностью.
А гибрид ASDM+FireSIGHT тоже будет отдельным? Или это будет скорее CSM+FireSIGHT?
Да, FireSIGHT — это облегченный SIEM. Интеграция FireSIGHT с ASDM/CSM у нас в приоритете.
Спасибо!
Рановато только видать Cisco трэк CCNP по безопасности обновила )
Так мы регулярно треки обновляем. Думаю, в обозримом будущем и по Sourcefire включим темы.
Экзамены по FirePOWER и AMP уже появились в VUE в разделе Cisco
НЛО прилетело и опубликовало эту надпись здесь
Нет такой. 6 моделей ASA, 5 вариантов подписки, активирующей защитный функционал. Разные варианты по системам управления. Итого: очень много разных комбинаций. Лучше уточнить у партнера, который вам поставляет Cisco или написать на security-request at cisco dot com
А IPS из этой штуки может защищать серверы?
Если через нее пропускать трафик на сервера, то может.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий