نوشته‌ها

تکنولوژی TrustSec Cisco

تکنولوژی TrustSec Cisco

تکنولوژی TrustSec Cisco

تکنولوژی TrustSec متعلق به شرکت Cisco علاوه بر تسهیل فرآیند آماده‌سازی و مدیریت دسترسی ایمن به شبکه، مدیران امنیتی را در تسریع عملیات امنیتی و اجرای هماهنگ Policy ها در سراسر شبکه یاری می‌کند. برخلاف مکانیسم‌های کنترل دسترسی که بر اساس توپولوژی شبکه عمل می‌کنند؛ روند کنترل TrustSec Cisco با استفاده از گروه بندی Policy ها تعریف می‌شود. در نتیجه قابلیت بخش بندی منابع و دسترسی ایمن حتی در صورت جابجایی منابع در شبکه‌های مجازی و سیار، به طور هماهنگ و پیوسته حفظ خواهد شد.

تکنولوژی TrustSec Cisco

عملکردهای TrustSec Cisco به منظور محافظت از دارایی ها و برنامه های کاربردی در سازمان‌ها و شبکه‌های دیتاسنتر در فرآیند سوئیچینگ، مسیریابی، LAN، بی‌سیم و محصولات فایروال گنجانده می‌شود.

قابلیت بخش بندی مبتنی بر Policy

در روش‌های قدیمی، بخش بندی یا Segmentation و محافظت از دارایی‌ها با استفاده از VLAN و ACL صورت می‌گیرد. اما در تکنولوژی TrustSec Cisco از Policy های امنیتی استفاده می‌شود که به زبان ساده ماتریسی نوشته شده و از IP و VLAN مجزا هستند. در این تکنولوژی، کاربران و اطلاعات آن‌ها دارای نقش‌های یکسان بوده و در یک گروه امنیتی قرار می‌گیرند.

Policy های TrustSec Cisco به صورت مرکزی ایجاد و به طور خودکار در شبکه‌های بی‌سیم، باسیم و VPN توزیع می‌شوند. در نتیجه کاربران و اطلاعات سازمانی، حتی در هنگام جابجایی در شبکه‌های مجازی و سیار نیز قادر به دریافت دسترسی ها و محافظت پیوسته و هماهنگ خواهند بود. بدین ترتیب زمان صرف شده برای امور مهندسی شبکه و اعتبارسنجی کاهش می‌یابد.

نگاهی جزیی به TrustSec

مزایای استفاده از TrustSec Cisco

TrustSec Cisco می‌تواند امور مهندسی تکراری و زمانبر امنیتی را در شبکه از قبیل تعریف قوانین فایروال، VLAN و ACL ساده‌سازی کند. در نتیجه علاوه بر کمک به بهینه‌سازی زمان در IT ، موجب بهبود وضعیت امنیتی سازمان می‌شود.

ساده سازی روند مدیریت دسترسی

ایجاد سیاست‌ها و مدیریت آن در یک ماتریس ساده با استفاده از یک زبان ساده می‌تواند روند مدیریت برای بخش بندی و کنترل دسترسی در سراسر سازمان را تسهیل کند. به علاوه این فناوری می‌تواند دسترسی به اطلاعات مهم و حیاتی را از طریق تعیین نقش‌های اصلی آن‌ها به راحتی کنترل کرده و گروه‌های کاربری مانند پیمانکاران، حسابداران و مدیران فروش یا نقش های سروری مانند پایگاه‌های داده HR یا سیستم‌های CRM را تعریف نماید.

تسریع عملیات های امنیتی

TrustSec Cisco علاوه بر ساده کردن فرآیندهای مدیریت و مهندسی در سازمان‌های IT، به صرفه جویی در زمان کمک می‌کند و آن‌ها را در همگام شدن با تغییرات کسب و کار یاری خواهد کرد. سرورهای جدید قادر هستند ظرف مدت چند دقیقه Onboard شوند. ضمن اینکه جابجایی، تغییرات و افزودن مواردی که نیازمند پشتیبانی IT است؛ به سرعت انجام شده و قابلیت خودکارسازی قوانین فایروال و مدیریت ACL نیز وجود دارد.

Policy های هماهنگ در هر مکان

TrustSec Cisco این قابلیت را داراد که Policy ها را در هر جایی از شبکه به صورت هماهنگ اجرا کرده و محافظت از اطلاعات و امکان دسترسی بدون مانع کاربران به منابع را تضمین کند. مدیرانی که مسئولیت تعریف Policy را بر عهده دارند، می‌توانند آن را در توپولوژی های باسیم، وایرلس و VPN استفاده کنند. در حالی که گسترش روش‌های قدیمی بخش بندی در شبکه‌های سازمانی به سختی صورت می‌گیرد؛ طراحی TrustSec Cisco به نحوی است که برای عملیات مختلف در هر اندازه‌ای مناسب بوده و ممکن است کاربران سیار، دفاتر شعب، محیط های Campus و دانشگاهی (چند ساختمان در یک محدوده که دارای ارتباطات شبکه‌ای هستند) و دیتاسنترها را دربرگیرد.

فرآیند دسترسی به TrustSEC در دیتاسنتر

بخش بندی شبکه‌های CAN

در شبکه‌های Campus یا به عبارتی شبکه‌هایی که شامل ساختمان‌هایی مجاور یکدیگر هستند؛ فرآیند بخش بندی گروه‌های مختلف کاربران در VLAN موضوعی متداول محسوب می‌شود. هر VLAN نیاز به یک فضای آدرس دارد و باید در یک Interface مسیریابی شده Upstream طراحی شود. این امر ممکن است مستلزم استفاده از ACL استاتیک یا عملکردهای ارسال و مسیریابی مجازی VRF برای حفظ جداسازی باشد. تعاملات کنترل شده بین گروه‌های کاربری باید در پیکربندی سوئیچ یا روتر تعریف شوند که امکان دارد این روند را پیچیده‌تر کند. به علاوه اینکه کنترل ارتباط در یک VLAN یا بخش بندی آن، کاری دشوار است.

راهکار TrustSec Cisco برای شبکه های CAN

TrustSec Cisco از تگ‌های مربوط به گروه‌های امنیتی یا STG برای تعریف دسترسی‌ها در شبکه استفاده می‌کند. تعامل سیستم‌های مختلف از طریق Policy های مبتنی بر گروه‌های امنیتی تعیین شده و نیاز به انجام تنظیمات پیچیده بر روی VLAN را از بین برده و طراحی نحوه دسترسی به شبکه را به صورت ساده حفظ می‌کند. ضمن این‌که از ازدیاد تعداد VLAN ها نیز جلوگیری خواهد شد. به علاوه می‌توان ارتباطات بین گروه‌های کاربری مختلف را رد کرده و ارتباطات کنترل شده در پورت‌ها و پروتکل های خاص را مجاز کرد. ACL های مربوط به گروه‌های امنیتی در این فناوری می‌تواند ترافیک‌های ناخواسته بین کاربران با نقش‌های مشابه را مسدود کرده و در نتیجه از فعالیت‌های مخرب و حتی Exploit کردن بدافزار به صورت Remote جلوگیری کند.

خودکارسازی Rule های فایروال

کنترل دسترسی بر اساس IP اغلب به ایجاد جداول بزرگی از قواعد فایروال منتهی می‌شود که درک و مدیریت آن را دشوار می‌کند. در دیتاسنترهای مجازی‌سازی شده به احتمال زیاد تعدادی فرآیند از سرورهای منطقی برای محافظت وجود دارد که ممکن است به طور مکرر تغییر در آن‌ها اتفاق بیافتد.

راهکار TrustSec Cisco جهت مدیریت Rule های فایروال

با TrustSec Cisco می‌توان قوانین فایروال را به جای IP سرورها، با استفاده از Role هر سرور نوشت. بنابراین Policy ها، ساده شده و مدیریت آن‌ها نیز تسهیل می‌شود. در دیتاسنترهای مجازی، عملکردهای TrustSec Ciscoدر پلتفرم های سوئیچینگ مجازی V 1000 Nexus Cisco این امکان را فراهم می‌کند که تخصیص نقش سرورها در یک پروفایل آماده‌سازی مشخص شده و به صورت خودکار با فایروال‌های سیسکو به اشتراک گذاشته شود. با افزایش بار کاری در یک پروفایل مشخص یا با جابجایی بار کاری، اطلاعات عضویت در گروه‌ها بر روی فایروال‌ها به طور آنی به روز رسانی می‌شود. در صورت اضافه شدن یک سرور با نقش مشخص نیازی به اضافه کردن آن به جدول دسترسی فایروال نخواهد بود.

ابزارهای TrustSec در سیسکو

قواعد مبتنی بر TrustSec Cisco در Manager Security Cisco

Policy های دسترسی BYOD به طور معمول با استفاده از فهرست‌های کنترل دسترسی IP محور به کار می‌روند تا قادر به کنترل نحوه دسترسی کاربران مجاز به منابع باشند. مدیریت ACL بر اساس IP می‌تواند به دلیل نیاز به نگهداری مداوم به یک مسئولیت اجرایی تبدیل شود.

راهکار TrustSec Cisco در امنیت BYOD

پروفایل بندی گسترده ISE، اعتبارسنجی موقعیت و قابلیت‌های یکپارچه سازی در مدیریت تجهیزات سیار را می‌توان به عنوان بخشی از فرآیند دسته بندی BYOD در طراحی Cisco TrustSec استفاده کرد. پس از آن، سوئیچ‌ها و فایروال‌های TrustSec Cisco می‌توانند دسته بندی BYOD را در نظر گرفته و موارد مبتنی بر Policy را در آن اجرا کنند. این رویکرد نه تنها به ارائه کنترل دسترسی با عملکرد بالا می‌پردازد بلکه Policy های دسترسی را به شیوه‌های بسیار ساده همراه با تلاش‌های مدیریتی کمتر تعریف خواهد کرد.