В Cisco Systems предложили оригинальный метод обеспечения безопасности корпоративных сетей. Архитектура TrustSec позволяет на основе заранее установленных политик определять должностные обязанности пользователей и «роли» устройств и таким образом регламентировать порядок доступа к тем или иным сетевым ресурсам. При работе с приложениями практика ролевой идентификации существует на протяжении многих лет, но только сейчас, как утверждают в Cisco, подобный подход предложено использовать в масштабе всей корпоративной сети.

Отличие TrustSec от архитектуры Self-Defending Networks, созданной Cisco шесть лет тому назад, заключается в том, что Self-Defending Networks ориентирована на устранение угроз с помощью средств обнаружения вторжений и межсетевых экранов, а TrustSec предназначена для обеспечения целостности данных в процессе их передачи между узлами сети, а также сохранения их конфиденциальности на базе ролевого доступа.

С помощью механизмов TrustSec можно, например, организовать такой режим работы, когда пользователи различных отделов предприятия, скажем, продаж и финансов, которые идентифицируются коммутаторами Cisco, получают в течение заданного политиками безопасности времени доступ к определенным ресурсам, включая телефонные звонки посредством Skype. По истечении этого периода коммутаторы завершают сеанс Skype для обоих подразделений.

Как утверждают в Ciso, архитектура TrustSec разрабатывается уже на протяжении четырех лет. Ее можно интегрировать в коммутаторы Cisco Catalyst 6500, в которых используются модули Supervisor Engine 32 с технологией Programmable Intelligent Services Accelerator (PISA), но она не требует обязательной поддержки PISA.

Модули PISA анализируют трафик приложений с учетом (stateful) и без учета (stateless) состояний для выполнения функций безопасности, проверки соответствия корпоративным политикам и для управления использованием сетевых ресурсов.

Однако, чтобы внедрить архитектуру TrustSec, потребуется обновить оборудование и программное обеспечение коммутаторов Cisco, а также модифицировать сервер политик аутентификации, авторизации и учета (Аuthentication, Аuthorization and Аccounting, AAA) для поддержки механизма, который отвечает за хранение ролевых политик доступа и их применение в коммутаторах сети.

Такие обновления позволяют шифровать информацию без ограничения быстродействия передачи данных, а также обеспечивают поддержку концепции дескрипторов групп безопасности (Security Group Tags, SGT) TrustSec на основе стандарта IEEE 802.1AE, списков контроля доступа групп безопасности (Security Group Access Control Lists, SGACL) и протокола Security Association Protocol (SAP).

В течение ближайших полутора лет разработчики Cisco планируют реализовать функциональность TrustSec в своих коммутирующих платформах, начиная с коммутаторов Catalyst 6500, соответствующий набор функций в которых должен появиться уже в первом квартале 2008 года.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF