مقدمه ای بر TrustSec

نویسنده: مهنا حسینی
7 ماه پیش

مقدمه ای بر TrustSec

در شبکه های Enterprise Campus رایج است گروه کاربران مختلف به VLAN مناسب خود Map شوند تا بین گروه ها شرایط ایزوله کامل فراهم شود. هر VLAN نیازمند یک Subnet ID جداگانه و ارتباط با یک اینترفیس شبکه Routed در بالا دست خود است تا بتواند با دنیای بیرون از VLAN ارتباط برقرار کند. شبکه برای نگهداری این ایزوله سازی ممکن است نیاز به استفاده از ACL های استاتیک یا عملکرد VRF باشد که می تواند پیاده سازی را پیچیده کند.

TrustSec نسل جدیدی از تکنولوژی تعیین سطح کنترل دسترسی در شبکه می باشد که فراهم نمودن دسترسی امن به سرویس ها و اپلیکیشن های شبکه و مدیریت آن را ساده می کند. در مقایسه با مکانیزم های کنترل دسترسی که بر پایه توپولوژی شبکه هستند، TrustSec سیاست ها را با استفاده از گروه بندی های منطقی تعیین می کند. از بین رفتن وابستگی به IP Address و VLAN در اتصال به شبکه، باعث ساده شدن نگهداری سیاست های امنیتی، کاهش هزینه های عملیاتی و اجازه اعمال سیاست های دسترسی رایج به شبکه های Wired ،Wireless و VPN به صورت مداوم می شود و هم چنین نگرانی های مربوط به فضای TCAM و ACE Explosion را از بین می برد. TrustSec به عنوان Security Group Access (SGA) نیز شناخته می شود.

طبقه بندی و اعمال سیاست در TrustSec در سوئیچ، روتر، Wireless LAN و فایروال تعبیه شده است. TrustSec به جای کنترل دسترسی کاربر بر اساس IP Address‌،‌ طبقه بندی ترافیک را بر مبنای هویت Contextual یک Endpoint انجام می دهد و کنترل دسترسی را برای محیط های شبکه پویا و دیتا سنتر انعطاف پذیرتر می کند.

TrustSec به ترافیک کاربر یا دستگاه در هنگام ورود به شبکه، یک Tag بر اساس اطلاعات کاربر، دستگاه و ویژگی های موقعیتی Endpoint اختصاص می دهد که به آن Security Group Tag (SGT) گفته می شود. دسترسی به بخش های مختلف شبکه از جمله دیتا سنتر می تواند به کاربر هایی داده شود که Tag مربوطه را در ابتدای ورود به شبکه دریافت کرده اند.

TrustSec

اعمال سیاست امنیتی ترافیک Tag شده، بهتر است بر روی نزدیک ترین دستگاهی که از SGT پشتیبانی می کند، در جهت لینک خروجی صورت بگیرد. این اعمال سیاست در نزدیک ترین نقطه خروجی به مقصد اتفاق نمی افتد. بنابراین Load غیر ضروری بر روی شبکه Upstream برای ترافیک هایی که Drop خواهند شد، ایجاد نمی کند. در ادامه تعامل بین گروه کاربران می تواند پذیرفته نشود و یا ارتباط کنترل شده روی پورت و پروتکل خاص اجازه داده شود. این رویکرد برای مدیریت سیاست های امنیتی، ساده تر و انعطاف پذیرتر است.

TrustSec

SGT باید نماینده نقش های درون سازمان باشد. برای نمونه SGT می تواند به یک کاربر مهمان اختصاص یابد. بنابراین ترافیک مهمان در سراسر زیر ساخت می تواند از ترافیک غیر مهمان ایزوله شود.

در این بخش لیستی از گروه های امنیتی رایج عنوان می شود:

  • زیر ساخت شبکه (Network Infrastructure): SGT به همه سوئیچ ها، روترها، WLC ها و فایروال های درون سازمان اختصاص می یابد. در نتیجه این اطمینان وجود دارد که هیچ پروتکل مدیریتی تحت تأثیر اجرای SGT قرار نمی گیرد.
  • سرویس های شبکه (Network Services): SGT به سرورهایی تخصیص می یابد که سرویس های رایج را فراهم می کند که بیشتر افراد بتوانند به شبکه دسترسی پیدا کنند. (از جمله DNS ،DHCP ،NTP و ...). همان طوری که قبلا نیز اشاره شد، این گروه تضمین می کند که پروتکل های مهم تحت تأثیر اجرای SGT در Upstream قرار نگیرند.
  • مدیران (Executive): سازمان های زیادی ممکن است مدیرانشان را در SGT طبقه بندی کنند. به سادگی با این گروه می توان اطمینان حاصل کرد که دسترسی مدیران به هیچ چیز محدود نخواهد شد.
  • تیم فروش (Sales): این گروه بندی برای نیروی فروش لازم است. چون آن ها کاربرانی هستند که ممکن است نیاز به دسترسی مخصوص به اطلاعات مدیریتی اکانت مشتری داشته باشند.
  • گروه مالی (Finance): این گروه برای حسابداران است. این کاربران ممکن است نیاز به دسترسی به اطلاعات لیست حقوقی، دارایی، مدیریت و سود داشته باشند. اطلاعاتی که دیگران به آن نیاز ندارند.
  • منابع انسانی (HR): برای گروه کارمندانی است که به داده شخصی و مالی شما دسترسی دارند.

از SGT برای کنترل دسترسی در مقیاس بزرگ استفاده می شود. علاوه بر این به هر کاربر یا دستگاه ممکن است تنها یک SGT اختصاص یابد. بنابراین نیاز به ایجاد Role های زیادی نمی باشد.

Security Group Tag

Security Group Tag یک مقدار 16 بیتی است که ISE به Session کاربر یا Endpoint پس از Login تخصیص می دهد. زیرساخت شبکه، SGT را به عنوان یک ویژگی برای تخصیص به Session و ایجاد یک Tag لایه دو به همه ترافیک های آن Session می بیند. SGT هم چنین می تواند به صورت دستی تخصیص یابد یا از VLAN مبدا Map شود. SGT می تواند Context کاربر و دستگاه را نمایش دهد. در ادامه به بررسی یک مثال می پردازیم.

در این مثال یک سازمان خرده فروش، از مشتری هایش Credit Card قبول می کند و آن ها را در Domain و گروه مشخص PCI قرار می دهد. دسترسی به سروری که میزبان اطلاعات Credit Card است، باید محافظت شود تا فقط به گروه مورد نظر اجازه دسترسی داده شود.

در این مورد یک Rule در ISE تعریف شده است تا ماشین و کاربر (EAP-Chaining) را احراز هویت کند و اگر کاربر عضو گروه PCI در اکتیو دایرکتوری بود و در Posture وضعیت ماشین Compliant باشد، آن را تایید کند. اگر کاربر و ماشین همه این شرایط را داشته باشد، یک SGT به اسم PCI به آن تخصیص می یابد. به سرورهای PCI هیچ گونه دسترسی در صورت نداشتن PCI SGT داده نمی شود. بنابراین SGT ها می توانند بر مبنای احراز هویت کامل Context یا بر اساس یک شرایط ساده مانند کاربر مهمان اعمال شوند.

نکته قابل توجه این است که Endpoint از Tag آگاهی ندارد و این مسئله در زیرساخت شبکه شناخته شده است.

در شکل زیر تخصیص SGT به یک Session احراز هویت بر روی سوئیچ نشان داده شده است.

TrustSec

350
0
0
نظرات