بررسی اجمالی مرکز مدیریت سیسکو فایر پاور
مرکز مدیریت سیسکو FirePOWER بهره وری راهکارهای امنیتی مورد استفاده در شبکه را، از طریق مدیریت آسان، متمرکز و یکپارچه، ارتقا داده است. مرکز مدیریت سیسکو FirePOWER (که پیشتر با نام FireSIGHT Management Center شناخته میشد) یک مرکز مدیریت عصبی به منظور انتخاب و کنترل محصولات امنیتی سیسکو موجود در سیستم عاملهای مختلف است، این مرکز مدیریت کامل و یکپارچههای بر فایروالها، کنترل برنامهها، پیشگیری از نفوذ، فیلترینگ URL و AMP، را ارائه میدهد. مرکز مدیریت، نقطه مرکزی مدیریت رخدادها و سیاستگذاریهای راهکارهای امنیتی ذیل است:
- NGFW
- سرویس ASA with FirePOWER
- NGIPS
- سیسکو FirePOWER دفاع در برابر تهدیدات برای ISR
- AMP
مرکز مدیریت سیسکو FirePOWER اطلاعات کاملی در ارتباط با کاربران، نرمافزارها، ابزارها، تهدیدات و نقاط ضعف موجود در شبکه فراهم میکند؛ از این اطلاعات به منظور تحلیل آسیبپذیرهای شبکه استفاده میکند؛ سپس به ارائه توصیههای مناسب در ارتباط با سیاستهای امنیتی مورد نیاز برای شبکه و رخدادهای امنیتی که نیاز به بررسی و تحلیل دارند، میپردازد. مرکز مدیریت یک واسط گرافیکی ساده برای اعمال سیاستگذاریها به منظور کنترل دسترسی و محافظت در برابر حملات ارائه میدهد، که با AMP و تکنولوژی sandboxing ادغام شده و ابزاری مناسب جهت شناسایی و ردیابی بدافزارها در سراسر شبکه را فراهم کرده است. مرکز مدیریت تمامی این قابلیتها را در یک ابزار به صورت یکپارچه ارائه میدهد که به راحتی امکان مدیریت فایروال فایر پاور سیسکو جهت کنترل نرم افزارها به منظور بررسی و بازسازی شبکه در هنگام وجود بدافزارها، را فراهم میکند.
مدیریت متمرکز سیاستگذاری، کنترل رخدادها و ابزارها
مدیریت در کلاس تجاری
مرکز مدیریت سیسکو Firepower اطلاعات بیدرنگی در ارتباط با تغییرات منابع و عملیات شبکه ارائه میدهد، که پایه کاملی برای تصمیمگیریها است، فراهم میکند (شکل شماره 1). مرکز مدیریت علاوه بر ارائه اطلاعات گسترده در ارتباط با شبکه، جزئیات دقیقی از موارد ذیل گردآوری کرده است:
– Trends and high-level statistics
این اطلاعات مدیران شبکه را در تعیین وضعیت امنیتی در یک لحظه و همچنین نحوه تغییرات آن، یاری میکند.
– جزئیات رویدادها، سازگاری و اعمال قوانین
درک کاملی نسبت به وقایعی که در حین یک رویداد امنیتی اتفاق میافتد، فراهم میکنند؛ که موجب ارتقا حفاظت امنیتی، پشتیبانی از تلاشهایی به منظور رفع آسیبپذیریهای و حمایت از اقدامات قانونی میشود.
– Workflow data
به راحتی انتقال این دادهها به راهکارهای دیگر به منظور ارتقا مدیریت بحران امکانپذير است.
– قابلیتها و مزایای آنها
جدول شماره 2 نحوه اعمال یک سیاستگذاری به چندین راهکار امنیتی را نشان میدهد.
| قابلیت | مزایا |
| مدیریت یکپارچه توابع امنیتی چندگانه در طول چندین راهکار امنیتی | تسهیل مدیریت متمرکز بخشهای امنیتی سیسکو شامل: |
· NGFW
· سرویس سیسکو ASA with FirePOWER
· NGIPS
· سیسکوFirePOWER دفاع در برابر تهدیدات برای ISR
· AMPمدیریت یکپارچه سیاستگذاری بر عملکرد چندگانه امنیتیپیکربندی دسترسی فایروال، کنترل برنامه، پیشگیری از تهدیدات، فیلترینگ URL و تنظیمات حفاظت پیشرفته در مقابل بدافزارها از طریق تنظیم یک سیاست مدیرتی ساده، کاهش خطاها و ارتقا سازگاری امکان اعمال یک سیاست واحد به چندین راهکار امنیتی را فراهم کرده میکند.مدیریت یکپارچه سیاستگذاریهای کنترل دسترسی از طریق سرویس تشخیص هویت سیسکوکنترل دسترسی مبتنی بر برچسب امنیتی ISE نوع دستگاه، محل IP و مهار سریع تهدید صورت میگیرد، که در بهبود سازگاری، ارتقا زیرساخت امنیتی و تسهیل فرآیندهای ارائه سرویس نقش بسزایی دارد.سیستم هوشمند دفاع در مقابل تهدیداتراهکارهای گروه امنیتی تالوس در ارتباط با تهدیدات و سیستم بهنگام شناسایی نقاط ضعف شبکه و راهکارهای هوشمند مبتنی بر IP و URL (شامل قابلیت Cisco Umbrella به منظور شناسایی تهدیدات حتی خارج از محیط شبکه) به همراه اطلاعات به دست آمده از تهدیدات third-party و بسترهای هوشمند تهدیدات STIX /TAXII ادغام شده است.پایش و کنترل نرمافزارهاعلاوه بر کاهش تهدیدات شبکه، قابلیت کنترل دقیق بیش از 4000 نرمافزار تجاری متنباز و یا مطابق استاندارد Open App ID، به منظور شناسایی و کنترل برنامههای سفارشی را دارد.مدیریت مشترک و ارثبری سیاستگذاری هاقابلیت ایجاد 50 دامین مدیریتی با دادهها، گزارشدهی و network mapping مجزا که از طریق کنترل دسترسی به اجرا در میآید.
مدیریت مستحکم و موثر از طریق اجرای ساختار سلسله مراتبی سیاستها، که هر سطح سیاستگذاریهای سطوح بالاتر را به ارث میبرد.گزارشها و داشبورد مدیريتیپایش شبکه از طریق داشبوردهای مدیریتی قابل تنظیم و گزارشات و فرمها و الگوهای مختلف
ارائه هشدارها و گزارشهای جامع
نمایش اطلاعات رخدادها به شکل جداول، گرافها و نمودارهای مختلف به منظور تحلیل سادهتر آنها
مانیتورینگ رفتار و کارایی شبکه برای شناسایی نقاط ضعف و حفظ سلامت آنSecure bootSecure boot راهکاری مناسب به منظور ارزیابی یکپارچگی نرمافزار سیسکو موجود در سختافزار FMC در هنگام بوت سیستم است. چنانچه signature وجود نداشته باشد و یا نرمافزار معتبر نباشد، بارگذاری نخواهد شد (فقط در FMC 1000، FMC 2500 و FMC 4500).
نحوه اعمال سیاستگذاری به چندین راهکار امنیتی
Exceptional Visibility and Insight
مرکز مدیریت سیسکو Firepower به صورت خودکار همه اطلاعات مرتبط با محیط شبکه را جمع آوری، تلفیق و نمایش میدهد. جدول شماره 1 گستره contextual awareness مرکز مدیریت که تکنولوژیهای قدیمی قادر به ارائه آن نبودند، را نشان میدهد. این دیدگاه بحرانی به شبکه در بخش سیاستگذاریهای امنیتی شبکه استفاده شده و سطحی از امنیت که سایر راهکارها قادر به ارائه آن نبودند را ایجاد میکند.
| دسته بندی | مرکز مدیریت سیسکوFirepower | IPS | NGFW |
| تهدیدها | * | * | * |
| کاربران | * | * | * |
| نرمافزارهای تحت وب | * | __ | * |
| پروتکلهای نرمافزارها | * | __ | * |
| انتقال فایلها | * | __ | * |
| بدافزارها | * | __ | __ |
| سرورهای C&C [1] | * | __ | __ |
| نرمافزارهای کلاینت | * | __ | __ |
| سرورهای شبکه | * | __ | __ |
| سیستم عامل ها | * | __ | __ |
| روترها و سوییچها | * | __ | __ |
| ابزارهای سیار | * | __ | __ |
| پرینترها | * | __ | __ |
| تلفنهای VoIP | * | __ | __ |
| ماشینهای مجازی | * | __ | __ |
| اطلاعات نقاط ضعف شبکه | * | __ | __ |
| اطلاعات نقاط ضعف شبکه | * | __ | __ |
مدیریت قبل، بعد و در حین حمله
مرکز مدیریت سیسکو Firepower مدیریت یکپارچهای در کلیه مراحل وقوع یک حمله ارائه میدهد:
قبل از حمله
- با توجه به دید کاملی که نسبت به رخدادهای داخل شبکه فراهم کرده است به راحتی میتوان نیازهای حفاظتی شبکه را شناسایی کرد.
- ایجاد قانونگذاریهای فایروال و کنترل عملکرد بیش از 4000 نرمافزار تجاری و غیرتجاری مورد استفاده در محیط شبکه
در حین حمله
- میتوان سطوح پیشگیری از نفوذ، قوانین اعتبارسنجی URL و حفاظت پیشرفته در مقابل بدافزارها تعریف کرد.
- اعمال سیاستگذاریهایی همچون: ” در صورت ورود ترافیک از کشور مورد نظر از طریق نرمافزار خاصی و در صورت وجود فایل پیوست، چه سطحی از شناسایی نفوذ اعمال و تجزیه وتحلیل بدافزار صورت گرفته و در صورت لزوم فایل به Sandbox ارسال شود”.
پس از وقوع حمله
- ارائه گزارش گرافیکی از تمامی ابزارهایی که آلوده شدهاند.
- توانایی ایجاد قوانین موردنیاز برای جلوگیری از پیشرفت حمله
- تجزیه و تحلیل دقیق بدافزار به منظور بازسازی و ایمنسازی مجدد شبکه
امنیت خودکار به منظور ایجاد قابلیت دفاع پویا
مرکز مدیریت سیسکو Firepower به صورت پیوسته تغییرات شبکه را رصد میکند، و به روشهای ذیل موجب تسهیل فرآیندها و ارتقا امنیت میشود:
- به صورت اتوماتیک ارتباط میان رخدادهای جدی امنیتی و نقاط ضعف شبکه را بررسی میکند، تا در صورت وجود احتمال حمله موفق هشدارهای لازم را ارائه دهد. به این ترتیب تیمهای امنیتی میتوانند بر روی موضوعاتی که اهمیت بیشتری دارند، تمرکز کنند.
- به تجزیه و تحلیل آسیب پذیریهای شبکه پرداخته و به صورت خودکار سیاستهای امنیتی مناسب برای رفع آنها را اعمال میکند. به این ترتیب امکان تطبیق راهکارهای حفاظت شبکه با شرایط در حال تغییر آن وجود دارد.
- برقراری ارتباط میان رویدادهای خاص شبکه، endpoint، نفوذ و منابع اطلاعاتی شبکه، امکان ارائه هشدارهای لازم در صورت بروز هر گونه نشانه از حمله در یکی از میزبانها، به وجود میآورد.
- سیاستگذاری امنیت بر فایلها نیز اعمال میشود، به صورت خودکار فایلها به منظور شناسایی بدافزارهای شناخته شده تحلیل میشوند و در صورت وجود هر گونه فایل مشکوک، آن را به Sandbox برای شناسایی نوع نرمافزار مخرب آن ارسال میکند.
یکپارچه سازی آسان از طریق استفاده از Open APIs
مرکز مدیریت سیکو Firepower از طریق چهار واسط نرمافزار قدرتمند و کاربردی، با تکنولوژیهای third-party میتواند ادغام شود. APIs نقاط دسترسی برای موارد زیر فراهم میکنند:
- انتقال اطلاعات از مرکز مدیریت به سایر بسترها، مانند SIEM
- ارتقا اطلاعات موجود در پایگاه داده سیسکو Firepower از طریق دادههای third-party، چنین اطلاعاتی شامل اطلاعات مدیریت نقاط ضعف شبکه و یا اطلاعات
- سیستمهای اجرایی از پویشگران فعال شبکه است.
- آغاز روندهای کاری و بازسازیهایی که توسط قانونگذاریهای کاربر تعریف شده است. به عنوان مثال شما ملزم به ادغام روند کار با NAC به منظور قرنطینه یک endpoint آلوده و یا ایجاد یک رویه قانونی جدید هستید.
- پشتیبانی از تحلیل و گزارشهای third-party از طریق فعال کردن امکان جستجوی آنها در دیتابیس مرکز مدیریت
- APIs همچنین برای ادغام با تعدادی از محصولات امنیتی و workflow سیسکو استفاده میشود. که شامل sandboxing از طریق AMP Threat Grid ، سرویس شناسایی سیسکو به منظور تعیین وضعیت دیتا و تقسیم بندی شبکه و Cisco Umbrella
Threat Intelligence Director
Threat Intelligence Director عملیات هوشمند دفاع در مقابل تهدیدات را از طریق تجهیزات امنیتی سیسکو ذیل انجام میدهد:
- Cisco Firepower NGFW
- Cisco Firepower NGIPS
شکل شماره 3: Threat Intelligence Director Integrates Third-Party Security Intelligence
Threat Intelligence Director
گزینههای استقرار
مرکز مدیریت سیسکو Firepower را میتوان به شکل فیزیکی، مجازی و مبتنی بر ابر توسعه داد (جدول شماره 2). باید با توجه به محدودیتهای محیط کاری، گزینه مناسب جهت استقرار را انتخاب کرد. ابزار فیزیکی قابلیت مدیریت تعداد بیشتری از سنسورها و همچنین قابلیت ذخیرهسازی رخدادهای بیشتر نسبت به همتایان مجازی خود را دارند. ابزارهای مجازی به راحتی از طریق VMهای موجود در زیرساخت را استفاده میکنند، همچنین به سادگی میتوان از رایانش ابری به منظور میزبانی از مرکز مدیریت بهرهبرد. این سرویسها در مدیریت امنیتی بدون نیاز به سرمایهگذاری در توان پردازشی و storage دیتابیسها، مدیران امنیتی شبکهها را یاری میکنند و انعطافپذیری لازم در مقابل تغییرات سریع را ایجاد میکنند. در هنگام استفاده از Threat Intelligence Director on NGFWv به منظور عملکرد مطلوب، نصب 15GB حافظه در سختافزار میزبان توصیه میشود.
| Minimum Version Level | Deployment Platform |
| Version 5.x | VMware ESX and ESXi hypervisors |
| Version 6.1 | KVM hypervisor |
| Version 6.0 | Amazon Web Services cloud platform |
مشخصات پلتفرم بستر
مرکز مدیریت سیسکو Firepower مدلهای مختلفی دارد که با توجه به تعداد حسگرهایی که مانیتور میشود (هر دو مورد فیزیکی و مجازی)، تعداد میزبانهای موجود در محیط و نرخ رخدادهای امنیتی پیشبینی شده (جدول شماره 3) ، مدل مناسب برای یک کسب و کار انتخاب میشود.
تمامی مدلها قابلیتهای مشابهی شامل موارد ذیل را فراهم میکنند:
- مدیریت متمرکز ابزار، رویدادها، لایسنس و سیاستگذاریها
- مدیریت مبتنی بر نقش (وظایف تفکیک شده بر اساس نقش مدیر شبکه و یا گروه)
- داشبورد مدیریتی قابل برنامهریزی به همراه قالبهای مختلف گزارشها
- گزارش جامع و ارائه هشدارهای لازم در ارتباط با اطلاعات عمومی و ویژه
- ارائه اطلاعات رخدادها به صورت جداول، گرافها و نمودارهای لینک شده
- مانیتورینگ رفتار و عملکرد شبکه
- گزینهای محکم و قابل اطمینان برای اطمینان از عدم وجود SPOF[1]
- قابلیتهای بازیابی برای پاسخ آنی به تهدیدات
- APIs قابل تغییر به منظور ادغام با راهکارهای third-party و رویهکاری مشتری همچون فایروالها، زیر ساخت شبکه، گزارشات مدیريتی، SIEM، برچسب زدن خطاها و مدیریت Patch
جدول شماره 3: مدل های مختلف مرکز مدیریت FirePOWER
| FMCv | FMC 4500 | FMC 4000 | FMC 2500 | FMC 2000 | FMC 1000 | FMC 750 | Performance and Functionality |
| 25* |
10
27505003002505010Maximum number of sensors managed 10 million300 million300 million60 million60 million30 million20 millionMaximum IPS events100/100/1000 RJ-45Management interface -128 GB128 GB64 GB64 GB32 GB8 GB (currently shipping)Memory-2 x10-core Xeon2 x10-core Xeon2 x 8-core Xeon6-core Xeon8-core Xeon4-core XeonCPU250 GB3.2 TB3.2 TB1.8 TB1.8 TB900 GB100 GBEvent storage space50,000/50,000600,000/600,000600,000/600,000150,000/150,000150,000/150,00050,000/50,0002,000/2,000Maximum network map size (hosts/users)Varies*20,000 fps20,000 fps12,000 fps12,000 fps5,000 fps2,000 fpsMaximum flow rate (flows per second)-2 x 1 Gbps RJ45 onboard
2 x 10 Gbps SFP+ (order SFPs via Cisco Commerce Workplace)2 x 1 Gbps RJ45 onboard
2 x 10 Gbps SFP+ (order SFPs via Cisco Commerce Workplace)2 x 1 Gbps RJ45 onboard
2 x 10 Gbps SFP+ (order SFPs via Cisco Commerce Workplace)2 x 1 Gbps RJ45 onboard
2 x 10 Gbps SFP+ (order SFPs via Cisco Commerce Workplace)2 x 1 Gbps2 x 1 GbpsNetwork interfaces -Yes-Yes-Yes-Secure bootRedundancy Features NoYesYesYesYesYesNoSupports high availability-YesYesYesYesYesNoDual power supplies-SSD RAID 6SSD RAID 6HDD RAID 1HDD RAID 5HDD RAID 1NoRAID supportPhysical and Environmental-1RU1RU1RU1RU1RU1RUForm factor-29.8 x 16.9 x 1.7 (75.7 x 43 x 4.3 cm)28.5 x 16.9 x 1.7 (72.3 x 43 x 4.3 cm)29.8 x 16.9 x 1.7 (75.7 x 43 x 4.3 cm)28.5 x 16.9 x 1.7 (72.3 x 43 x 4.3 cm)29.8 x 16.9 x 1.7 (75.7 x 43 x 4.3 cm)27.19 x 16.9 x 1.7 (69 x 43 x 4.3 cm)Dimensions depth x width x height (inches)-39 lb. (17.7 kg)35.6 lb. (16.2 kg)39 lb. (17.7 kg)35.6 lb. (16.2 kg)39 lb. (17.7 kg)33 lb. (15 kg)Shipping weight-770W650W770W650W770W350WWatts (max)-100-240 VAC (nominal)
90-264 VAC (min/max)
9.5 amp max at 100 VAC
4.5 amps max at 208 VAC90 to 264 VAC self-ranging
100-120 VAC nominal
200-240 VAC nominal
7.6 amp peak at 100VAC
3.65 amp peak at 208VAC100-240 VAC (nominal)
90-264 VAC (min/max)
9.5 amp max at 100 VAC
4.5 amp max at 208 VAC90 to 264 VAC self-ranging
100-120 VAC nominal
200-240 VAC nominal
7.6 amp peak at 100VAC
3.65 amp peak at 208VAC100-240 VAC (nominal)
90-264 VAC (min/max)
9.5 amp max at 100 VAC
4.5 amp max at 208 VAC9.5 amp max at 110V, 50/60 Hz
4.75 amp max at 220V, 50/60 HzPower supply-Front to backFront to backFront to backFront to backFront to backFront to backAirflow-5°C to 35°C5°C to 40°C5°C to 35°C5°C to 40°C5°C to 35°C10°C to 35°COperating temperature
عملکرد مرکز مدیریت مجازی سیسکو Firepower، وابستگی بالایی به محیط مجازی انتخاب شده شامل: CPU، memory، storage و … دارد.
ویژگیهای مشترک:
- LOM یکپارچه
- مدیریت مرکزی نسل جدید راهکارهای امنیتی: NGIPS، NGPIS به همراه کنترل نرم افزارها، NGFW
نکته: در هنگام بحث در خصوص سرویس Cisco ASA with FirePOWER، مرکز مدیریت سیسکو FirePOWER فقط بخش FirePOWER طرح را مدیریت میکند.
جدول شماره 4 نسخههایی از محصولات سیسکو FirePOWER که مرکز مدیریت قابلیت کنترل آن، به همراه بستر سخت افزاری مرتبط را نشان میدهد.
جدول شماره 4: نسخه های Firepower پشتیبانی شده و سیستم عاملهای آن ها
| Hardware Platform | Software Revision Level | Management Platform |
| ASA 5500-X (except ASA 5585-X) |
Cisco 2100 Series (min FMC 6.2.1)
Cisco Firepower 4100 Series
Cisco Firepower 9300Cisco Firepower Threat Defense 6.x (NGFW)Cisco Firepower Management CenterASA 5500-X FirePOWER Services 6.xCisco Firepower 7000
Cisco Firepower 8000Cisco Firepower NGIPS 6.x4000 Series ISR
ISR G2FirePOWER Threat Defense for ISR 6.x (Cisco Firepower Services) ASA 5500-XFirePOWER Services 5.4.xCisco Firepower 7000
Cisco Firepower 8000Cisco Firepower NGIPS 5.4.x
سازگاری Hypervisor
ابزار مجازی مرکز مدیریت سیسکو Firepower از Hypervisor جدول شماره 5 پشتیبانی میکند.
جدول شماره 5: Hypervisor قابل اجرا در ابزارهای مجازی
| Virtual Cisco Firepower Management Center Version | Version and Details |
Hypervisor
5.4, 6.05.1, 5.5:, 6.0
● ESXi Server
● vCenter Server (optional)
● vSphere Web Client, vSphere Client, or OVF Tool for Windows or LinuxVMware vSphere6.1Ubuntu 14.04 LTS
Red Hat Enterprise Linux (RHEL) Version 7.1KVM6.0.1, 6.1AWS Instance Types: c3.xlarge and c3.2xlargeAmazon Web Services
شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco FirePower را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید.
مقالات مرتبط
