فناوری Cisco TrustSecهمواره جدا سازی شبکه در جهت حفاظت از دارایی های ارزشمند کسب و کار امری ضروری قلمداد گردیده است اما دیدگاه ها و تکنولوژی های جداسازی سنتی شبکه با پیچیدگی های بسیاری همراه هستند. متخصصان و کارشناسان شبکه همزمان با تقویت کارایی شبکه ها نیازمند گسترش آن ها و به طور همزمان حفاظت از داده های حیاتی کسب و کار در آن بستر هستید. این در حالیست که با افزایش تعداد کاربران و تنوع دسترسی ها، هزینه مدیریت دسترسی ها از طرق سنتی از قبیل VLAN ها و ACL ها به صورت صعودی افزایش می باید. بنابراین حفظ توازن چابکی و امنیت شبکه به طور همزمان نیازمند رویکرد جدیدی می باشد.

Cisco TrustSec نقاط انتهایی شبکه را به صورت پویا گروه بندی می نماید که به این گروه ها  SGT (Security Group Tag) گفته می شود. این گروه ها بر پایه نیازمندی ها و تصمیم گیری های کسب و کار و با استفاده از اطلاعات متنی به جای آدرس IP تعریف می گردند که این موضوع باعث گشته درک، پیاده سازی و پشتیبانی دسترسی ها برای راهبران سیستم بسیار آسان گردد. از طرف دیگر با توجه به عدم وابستگی به آدرس های IP تعداد این Rule ها به مراتب کمتر از Rule های مبتنی بر IP می باشد.

فناوری Cisco TrustSec

قابلیت Cisco TrustSec بر روی بیش از 40 محصول سیسکو و برخی از محصولات شرکت های دیگر قرار داده شده است. این تکنولوژی حملات را محاصره و محدود نموده، توسط قابلیت Micro-Segmentation به سرعت تحرکات جانبی تهدیدات را محدود می نماید و امکان پیاده سازی محیط های BYOD بزرگ را میسر می سازد.

رایانه های قابل حمل، تلفن های هوشمند، تبلت ها و سایر تجهیزاتی که در ارتباط با شبکه جهانی اینترنت مورد بهره برداری قرار می گیرند از یک سو و شبکه هایGSM، انواع شبکه های wireless و Wired از سوی دیگر باعث گردیده اند کلمه BYOD امروزه در سازمان های پیشرو بارها و بارها به گوش رسد. BYOD یا Bring your own device به کاربران و مشتریان سازمان اجازه می دهد از تجهیزات شخصی خود برای اتصال به شبکه های سازمانی برای انجام کارهای روزمره اعم از استفاده های شخصی و سازمانی بهره گیرند. از طرفی سازمان ها همواره به دنبال حفظ امنیت شبکه برای محافظت از داده های سازمانی و کاربران بوده اند. به همین منظور دسته بندی کاربران و محدود نمودن دسترسی آن ها باعث می گردد علاوه بر حفظ داده در مقابل دسترسی های غیر مجاز، از انتقال بد افزار ها در تمامی نقاط شبکه نیز جلوگیری به عمل آید. همانطور که پیشتر نیز ذکر گردید راه های متداول جداسازی و دسته بندی استفاده از VLAN و ACL می باشد که نیازمند منابع بسیاری اعم از زمان و منابع پردازشی مانند CPU و RAM نیز می باشند. این متد ها برای کنترل دسترسی بسیار مفید و کارآمد می باشند اما کنترل دسترسی در زمان ورود ترافیک به شبکه می تواند زمینه پیاده سازی راه کار های متنوع تر و بیشتری را فراهم نماید. ابداع شرکت سیسکو باعث مقیاس پذیر شدن و قدرتمند تر شدن مدیریت کنترل دسترسی در شبکه می شود.

فناوری Cisco TrustSec

TrustSec تکنولوژی است که سازمان ها را قادر می سازد که شبکه های Enterprise، Campus و مراکز داده خود را بدون استفاده از VLAN و تنها با استفاده از Policy تقسیم بندی نمایند. در اصل Trustsec برای جداسازی (Segmentation) شبکه بر اساس Policy های تعریف شده و بدون در نظر داشتن آدرس های IP می باشد و قابلیتی است که در سوئیچ ها، کنترلر های وایرلس، روتر ها و فایروال های شرکت سیسکو تعبیه شده است. این تکنولوژی کاربران را توسط Rule های مربوطه طبقه بندی (Categorized) می کند و هر کدام از طبقه ها را بر اساس برچسب هایی (Tags) که با در نظر گرفتن شناسه های متنی کاربران، تجهیزات، زمان و مکان آن ها اعمال شده است مشخص می نماید. برای مثال کاربری را در شبکه سازمانی در نظر بگیرید که دسترسی های مشخصی به منابع A،B  و C در LAN ساختمان X  سازمان دارد، حال می توان تعریف نمود همین کاربر در سایر نقاط سازمان نیز به گروه های دسته بندی شده A، B و C دسترسی داشته باشد. در این سناریو ترافیک کاربر مورد نظر در لحظه ورود به شبکه توسط Tag مربوطه مشخص می گردد و در سایر نقاط شبکه دسترسی های کاربر به منابع شبکه اعم از Enterprise Network، Campus و Datacenter توسط Policy های در نظر گرفته شده برای Tag مذکور معین می گردد. مدیریت این تکنولوژی از طریق نرم افزار Cisco ISE و به صورت مرکزی صورت می گیرد. Trustsec بدون وابستگی به توپولوژی شبکه و آدرس IP، کاربران را برای دسترسی به نقاط مختلف شبکه مجاز یا غیر مجاز می نماید بنابراین در هر کجای شبکه سازمان که باشید هویت مربوط به خود با دسترسی های مربوط به آن هویت را در اختیار دارید.

با در نظر گرفتن پیشرفت روز افزون تکنولوژی های مربوط به SDN و Cloud دیگر زمان آن رسیده که پیکربندی های بسیار زیاد مربوط به ACL ها را کنار گذاشته و توسط جداولی با زبان ساده دسترسی های شبکه ای کاربران را مشخص نمایید.

فناوری Cisco TrustSec

 

نویسنده: پوریا استکی

پوریا استکی

مدرس دوره های دیتاسنتر سیسکو

نظرات

جایینو (تایید نشده) در تاریخ 21 دی 1398 نوشته:

از سایت خوب تان ممنونم ! جالب بود !

شما نیز نظر خود را بنویسید:

متن ساده

  • تگ‌های HTML مجاز نیستند.
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • Web page addresses and email addresses turn into links automatically.