تکنولوژی TrustSec Cisco
تکنولوژی TrustSec متعلق به شرکت Cisco علاوه بر تسهیل فرآیند آمادهسازی و مدیریت دسترسی ایمن به شبکه، مدیران امنیتی را در تسریع عملیات امنیتی و اجرای هماهنگ Policy ها در سراسر شبکه یاری میکند. برخلاف مکانیسمهای کنترل دسترسی که بر اساس توپولوژی شبکه عمل میکنند؛ روند کنترل TrustSec Cisco با استفاده از گروه بندی Policy ها تعریف میشود. در نتیجه قابلیت بخش بندی منابع و دسترسی ایمن حتی در صورت جابجایی منابع در شبکههای مجازی و سیار، به طور هماهنگ و پیوسته حفظ خواهد شد.
عملکردهای TrustSec Cisco به منظور محافظت از دارایی ها و برنامه های کاربردی در سازمانها و شبکههای دیتاسنتر در فرآیند سوئیچینگ، مسیریابی، LAN، بیسیم و محصولات فایروال گنجانده میشود.
قابلیت بخش بندی مبتنی بر Policy
در روشهای قدیمی، بخش بندی یا Segmentation و محافظت از داراییها با استفاده از VLAN و ACL صورت میگیرد. اما در تکنولوژی TrustSec Cisco از Policy های امنیتی استفاده میشود که به زبان ساده ماتریسی نوشته شده و از IP و VLAN مجزا هستند. در این تکنولوژی، کاربران و اطلاعات آنها دارای نقشهای یکسان بوده و در یک گروه امنیتی قرار میگیرند.
Policy های TrustSec Cisco به صورت مرکزی ایجاد و به طور خودکار در شبکههای بیسیم، باسیم و VPN توزیع میشوند. در نتیجه کاربران و اطلاعات سازمانی، حتی در هنگام جابجایی در شبکههای مجازی و سیار نیز قادر به دریافت دسترسی ها و محافظت پیوسته و هماهنگ خواهند بود. بدین ترتیب زمان صرف شده برای امور مهندسی شبکه و اعتبارسنجی کاهش مییابد.
مزایای استفاده از TrustSec Cisco
TrustSec Cisco میتواند امور مهندسی تکراری و زمانبر امنیتی را در شبکه از قبیل تعریف قوانین فایروال، VLAN و ACL سادهسازی کند. در نتیجه علاوه بر کمک به بهینهسازی زمان در IT ، موجب بهبود وضعیت امنیتی سازمان میشود.
ساده سازی روند مدیریت دسترسی
ایجاد سیاستها و مدیریت آن در یک ماتریس ساده با استفاده از یک زبان ساده میتواند روند مدیریت برای بخش بندی و کنترل دسترسی در سراسر سازمان را تسهیل کند. به علاوه این فناوری میتواند دسترسی به اطلاعات مهم و حیاتی را از طریق تعیین نقشهای اصلی آنها به راحتی کنترل کرده و گروههای کاربری مانند پیمانکاران، حسابداران و مدیران فروش یا نقش های سروری مانند پایگاههای داده HR یا سیستمهای CRM را تعریف نماید.
تسریع عملیات های امنیتی
TrustSec Cisco علاوه بر ساده کردن فرآیندهای مدیریت و مهندسی در سازمانهای IT، به صرفه جویی در زمان کمک میکند و آنها را در همگام شدن با تغییرات کسب و کار یاری خواهد کرد. سرورهای جدید قادر هستند ظرف مدت چند دقیقه Onboard شوند. ضمن اینکه جابجایی، تغییرات و افزودن مواردی که نیازمند پشتیبانی IT است؛ به سرعت انجام شده و قابلیت خودکارسازی قوانین فایروال و مدیریت ACL نیز وجود دارد.
Policy های هماهنگ در هر مکان
TrustSec Cisco این قابلیت را داراد که Policy ها را در هر جایی از شبکه به صورت هماهنگ اجرا کرده و محافظت از اطلاعات و امکان دسترسی بدون مانع کاربران به منابع را تضمین کند. مدیرانی که مسئولیت تعریف Policy را بر عهده دارند، میتوانند آن را در توپولوژی های باسیم، وایرلس و VPN استفاده کنند. در حالی که گسترش روشهای قدیمی بخش بندی در شبکههای سازمانی به سختی صورت میگیرد؛ طراحی TrustSec Cisco به نحوی است که برای عملیات مختلف در هر اندازهای مناسب بوده و ممکن است کاربران سیار، دفاتر شعب، محیط های Campus و دانشگاهی (چند ساختمان در یک محدوده که دارای ارتباطات شبکهای هستند) و دیتاسنترها را دربرگیرد.
بخش بندی شبکههای CAN
در شبکههای Campus یا به عبارتی شبکههایی که شامل ساختمانهایی مجاور یکدیگر هستند؛ فرآیند بخش بندی گروههای مختلف کاربران در VLAN موضوعی متداول محسوب میشود. هر VLAN نیاز به یک فضای آدرس دارد و باید در یک Interface مسیریابی شده Upstream طراحی شود. این امر ممکن است مستلزم استفاده از ACL استاتیک یا عملکردهای ارسال و مسیریابی مجازی VRF برای حفظ جداسازی باشد. تعاملات کنترل شده بین گروههای کاربری باید در پیکربندی سوئیچ یا روتر تعریف شوند که امکان دارد این روند را پیچیدهتر کند. به علاوه اینکه کنترل ارتباط در یک VLAN یا بخش بندی آن، کاری دشوار است.
راهکار TrustSec Cisco برای شبکه های CAN
TrustSec Cisco از تگهای مربوط به گروههای امنیتی یا STG برای تعریف دسترسیها در شبکه استفاده میکند. تعامل سیستمهای مختلف از طریق Policy های مبتنی بر گروههای امنیتی تعیین شده و نیاز به انجام تنظیمات پیچیده بر روی VLAN را از بین برده و طراحی نحوه دسترسی به شبکه را به صورت ساده حفظ میکند. ضمن اینکه از ازدیاد تعداد VLAN ها نیز جلوگیری خواهد شد. به علاوه میتوان ارتباطات بین گروههای کاربری مختلف را رد کرده و ارتباطات کنترل شده در پورتها و پروتکل های خاص را مجاز کرد. ACL های مربوط به گروههای امنیتی در این فناوری میتواند ترافیکهای ناخواسته بین کاربران با نقشهای مشابه را مسدود کرده و در نتیجه از فعالیتهای مخرب و حتی Exploit کردن بدافزار به صورت Remote جلوگیری کند.
خودکارسازی Rule های فایروال
کنترل دسترسی بر اساس IP اغلب به ایجاد جداول بزرگی از قواعد فایروال منتهی میشود که درک و مدیریت آن را دشوار میکند. در دیتاسنترهای مجازیسازی شده به احتمال زیاد تعدادی فرآیند از سرورهای منطقی برای محافظت وجود دارد که ممکن است به طور مکرر تغییر در آنها اتفاق بیافتد.
راهکار TrustSec Cisco جهت مدیریت Rule های فایروال
با TrustSec Cisco میتوان قوانین فایروال را به جای IP سرورها، با استفاده از Role هر سرور نوشت. بنابراین Policy ها، ساده شده و مدیریت آنها نیز تسهیل میشود. در دیتاسنترهای مجازی، عملکردهای TrustSec Ciscoدر پلتفرم های سوئیچینگ مجازی V 1000 Nexus Cisco این امکان را فراهم میکند که تخصیص نقش سرورها در یک پروفایل آمادهسازی مشخص شده و به صورت خودکار با فایروالهای سیسکو به اشتراک گذاشته شود. با افزایش بار کاری در یک پروفایل مشخص یا با جابجایی بار کاری، اطلاعات عضویت در گروهها بر روی فایروالها به طور آنی به روز رسانی میشود. در صورت اضافه شدن یک سرور با نقش مشخص نیازی به اضافه کردن آن به جدول دسترسی فایروال نخواهد بود.
قواعد مبتنی بر TrustSec Cisco در Manager Security Cisco
Policy های دسترسی BYOD به طور معمول با استفاده از فهرستهای کنترل دسترسی IP محور به کار میروند تا قادر به کنترل نحوه دسترسی کاربران مجاز به منابع باشند. مدیریت ACL بر اساس IP میتواند به دلیل نیاز به نگهداری مداوم به یک مسئولیت اجرایی تبدیل شود.
راهکار TrustSec Cisco در امنیت BYOD
پروفایل بندی گسترده ISE، اعتبارسنجی موقعیت و قابلیتهای یکپارچه سازی در مدیریت تجهیزات سیار را میتوان به عنوان بخشی از فرآیند دسته بندی BYOD در طراحی Cisco TrustSec استفاده کرد. پس از آن، سوئیچها و فایروالهای TrustSec Cisco میتوانند دسته بندی BYOD را در نظر گرفته و موارد مبتنی بر Policy را در آن اجرا کنند. این رویکرد نه تنها به ارائه کنترل دسترسی با عملکرد بالا میپردازد بلکه Policy های دسترسی را به شیوههای بسیار ساده همراه با تلاشهای مدیریتی کمتر تعریف خواهد کرد.