Collapo logo
Collapo logo
User a Device Security

User a Device Security - přístup je privilegiem, ne nárokem

Správný uživatel. Ve správný čas. Na správném zařízení. A jen tam, kam opravdu smí?

Dnešní uživatelé přistupují ke svým službám odkudkoliv – z kanceláře, z domu, z mobilu, přes VPN, přes webové aplikace, často z vlastního zařízení. Bez tradičního perimetru už nelze rozhodovat, kdo je „uvnitř“ a kdo „venku“. Proto musí být identita uživatele novým bezpečnostním perimetrem.

Cisco přináší sadu řešení, která staví na principech Zero Trust Access – tedy:

„Nevěř nikomu. Ověřuj vše. Neustále.“


Cisco Duo – vícefaktorové ověření, které neobtěžuje

Cisco Duo je dnes standardem v oblasti vícefaktorové autentizace (MFA) a řízení přístupu podle důvěryhodnosti uživatele i zařízení.

  • věření pomocí mobilní notifikace, biometriky, klíčů, FIDO2, TOTP…
  • možnost řízení přístupu podle zařízení – verze OS, stav antiviru, šifrování disku
  • kontextové politiky: odkud se uživatel přihlašuje, kdy a ke kterým aplikacím
  • jednotné rozhraní pro přístup k cloudovým i on-prem aplikacím

▶ Například: Uživatel se pokouší přihlásit z osobního počítače s neaktuálním systémem – Duo přístup automaticky zablokuje, nebo požádá o další ověření.


Cisco Secure Access – Zero Trust Network Access (ZTNA) v praxi

Klasické VPN připojení dnes přestává stačit. Uživatelé často potřebují jen omezený přístup ke konkrétní aplikaci – ne otevření celé sítě. Zde přichází ke slovu Cisco Secure Access (součást Cisco Security Cloud), které implementuje moderní ZTNA:

  • uživatel přistupuje k aplikaci, nikoliv k síti
  • každý požadavek je ověřen na základě identity, kontextu, lokality a zařízení
  • podpora VPN-less přístupu k on-prem aplikacím
  • vše řízeno přes cloud – jednoduché nasazení, škálování a správa

▶ Ideální pro hybridní pracovní modely, externisty a mobilní přístup – bez nutnosti nasazovat VPN klienty a otvírat firewall.


Kontextové řízení přístupu (Adaptive Access Policies)

Cisco umožňuje definovat politiky přístupu podle reálného rizika, nikoliv statických pravidel.

  • pokud se uživatel hlásí ze známého zařízení, z obvyklého místa – přístup je hladký
  • pokud přístup přichází z jiného zařízení, jiného místa, v neobvyklou hodinu – je vyžadována dodatečná autentizace
  • možnost propojení s posture daty z ISE nebo Secure Endpoint

➡ Výsledkem je přístupové rozhodnutí, které reflektuje kontext, nikoliv jen jméno a heslo.


Výhody User Security řešení Cisco
  • silné a flexibilní ověření identity uživatelů
  • redukce rizika zneužití účtů a přístupových údajů
  • jednotné politiky pro přístup ke cloudovým, on-prem i SaaS aplikacím
  • zjednodušené nasazení a provoz díky cloudové architektuře
  • základ pro Zero Trust strategii – bez slepých míst a výjimek

➡ Cisco User Security chrání přístup ke každé aplikaci, každému systému a z každého místa. Nezáleží na tom, kde uživatel je – záleží na tom, jak ho ověříte.



Device Security – důvěra musí být zasloužená, i u zařízení

Ne každé zařízení má právo přístupu. A i to, které ho mělo včera, ho dnes mít nemusí.

Zabezpečení přístupu do sítě a k aplikacím dnes nemůže být postavené pouze na uživatelském jméně a hesle. Stejně důležitý jako identita uživatele je i stav a důvěryhodnost zařízení, ze kterého přistupuje. Stačí jedno nezabezpečené nebo infikované zařízení – a útočník má otevřené dveře.

Cisco přináší komplexní nástroje, které hodnotí stav zařízení, určují jeho důvěryhodnost a umožňují přístup pouze tehdy, pokud zařízení splňuje bezpečnostní kritéria.


Cisco ISE a Posture Assessment – stav zařízení jako součást rozhodnutí

Cisco Identity Services Engine (ISE) neřeší jen to, kdo se připojuje, ale také z čeho.

Posture Assessment modul ověřuje bezpečnostní stav zařízení v reálném čase a rozhoduje o přístupu podle:

  • přítomnosti a stavu antivirové ochrany
  • verze operačního systému a aktualizací
  • zapnutého firewallu nebo šifrování disku
  • nainstalovaného certifikátu, správného doménového členství


Na základě těchto dat může ISE:

  • připojení povolit do plného rozsahu
  • omezit přístup na karanténní síť (např. jen na aktualizační servery)
  • nebo přístup úplně zablokovat

▶ Např. pracovní notebook s aktuálním systémem získá plný přístup, zatímco osobní zařízení s neznámým stavem je přesměrováno na captive portal s požadavkem na instalaci bezpečnostních opatření.


Profilování zařízení – když nevíte, co se připojuje

ISE umožňuje automaticky rozpoznat typ zařízení, i pokud se nijak neautentizuje. Pomocí technik jako DHCP fingerprinting, SNMP, NetFlow nebo NMAP lze:

  • klasifikovat zařízení (IP kamera, tiskárna, IoT čidlo, notebook),
  • určit jeho roli a přiřadit mu odpovídající SGT,
  • vynutit politiku na základě typu zařízení, nikoliv jen jeho IP.

➡ Tímto způsobem lze automaticky řídit přístup i pro neautentizovaná nebo neinteraktivní zařízení.


Cisco Secure Endpoint – ochrana samotného zařízení

I když je zařízení v síti, neznamená to, že je v bezpečí.

Cisco Secure Endpoint (dříve AMP for Endpoints) zajišťuje:

  • ochranu proti malware, ransomwaru, exploitům (lokálně i v cloudu)
  • behaviorální analýzu běžících procesů a souborů
  • detekci laterálního pohybu útočníka
  • automatickou reakci – karanténa, zablokování procesů, uzavření síťové komunikace

Integrace s Cisco XDR umožňuje, aby události z koncového zařízení spustily reakce i v síťové vrstvě – např. automatická izolace zařízení přes ISE nebo aktualizace firewallové politiky.

▶ Například: zařízení, na kterém je detekováno podezřelé chování, je okamžitě přesunuto do izolované VLAN a zablokováno pro komunikaci do kritických systémů.


Device Security jako součást Zero Trust přístupu

Cisco umožňuje budovat tzv. Continuous Trusted Access – přístup, který se neuděluje jednorázově, ale neustále se přehodnocuje podle toho:

  • kdo je uživatel
  • odkud přistupuje
  • v jakém stavu je jeho zařízení
  • jak se zařízení chová
  • co se děje v okolí

➡ A když se cokoliv změní, síť automaticky zareaguje. V reálném čase. Bez lidského zásahu.


Výhody Device Security řešení Cisco
  • přístup do sítě jen pro důvěryhodná zařízení
  • automatické rozpoznání a zařazení zařízení bez ruční konfigurace
  • pokročilá ochrana endpointů proti pokročilým hrozbám
  • možnost automatizovaných reakcí napříč celou infrastrukturou
  • plná integrace do strategie Zero Trust a Cisco XDR

➡ Bezpečnost koncových zařízení není jen o antiviru. Je to o důvěře, o chování, o kontextu. Cisco vám dává nástroje, jak tuto důvěru vybudovat, sledovat a v případě potřeby také odebrat.


Network Security - když síť sama chrání, co přenáší