Cisco TrustSec ve SD-LAN Konsepti

Yazılım tabanlı eğilimler neredeyse IT nin tüm alanlarında konuşulmakta/geliştirilmekte veya hali hazırda uygulanmaktadır. Software Defined Storage, Software Defined Security, Software Defined Network ..vb

Geleneksel networkler, SDN (Software Defined Network) kavramı ile birlikte yazılım tabanlı networkler haline dönüşmektedir. Burada fazlaca SDN e girmeyeceğim, yani SDN den basit şekilde bahsedip asıl olan TrustSec mimarisine değineceğim. TrustSec mimarisi, geliştirilmesi devam eden ve yakında duymaya başlayacağımız SD-LAN veya SD-Campus (software defined LAN ya da software defined Campus) konseptinin altyapısında önemli bir kısmı oluşturmaktadır.

SDN teknolojisi, aslına bakarsanız sizi halihazırda yapamadığınız bir şeyi yapar hale getirmiyor, ancak mevcutta fazlaca iş yükü (günlerce planlı çalışma) veya operasyonel işlem ile yapabildiğiniz, devreye alma veya servis yönetimi işlerini otomatize hale getiriyor. Bunları yaparkende alt tarafta bazı yeni nesil teknolojiler (NFV (network function virtualization), OVSDB (open virtual switch database), XMPP, Openflow, OpFlex,..vb) ve protokoller (VxLAN, NvGRE, FCoE, EVPN, Vertical Virtualization (FEX, SVF), Smart Install, ZTP (Zero Touch Provisioning)..vb) kullanıyor. Burada bu protokollere de çok değinmeyeceğim

Cisco güvenlik çözümlerinde son zamanlarda farklı atılımlar ve geliştirmeler yapmaya başladı. Bu atılımlara Source Fire, ThreatGRID, CloudLock, OpenDNS firmalarının satın alınmasından tutunda, router ve switchlerdeki güvenlik fonksiyonlarının geliştirilmesine kadar bir sürü teknolojik yatırım yaptı. Bunlardan biriside hiç şüphesiz Cisco TrustSec teknolojisinin geliştirilerek yazılım tabalı networklere uygulanması olacaktır.

Cisco TrustSec teknoljisi, kritik altyapılarınızı, gelişen ve değişen tehditlere (kötü niyetli yazılımlar (malware)) karşı korumanıza yardımcı olur.

Cisco TrustSec, yazılım tabanlı (software-defined) segmentasyon ile ağınızı güvenli ve tutarlı şekilde yönetebilirsiniz.

Cisco TrustSec teknolojisi, kullanıcılarınız/çalışanlarınız hangi altyapı ile bağlanırsa bağlansın (kablolu, kablosuz veya VPN), hangi network tipine erişirse erişsin (kampus, şube veya veri merkezi), otomatik olarak policy uygulamanıza imkan sağlar.

Segmentasyon olmayan bir network, kontrolsüz girişleri olan bir alan anlamına gelir. Örneğin bir mühendis, finansal bilgilere ulaşabilir veya reklam departmanında çalışan birisi insan kaynakları networkune dahil olabilir. Bu durum kötü niyetli kullanıldığında, iş akışınızı nasıl etkileyip, kurumunuza ne kadar zarar verilebileceğini ve neler yapılabileceğini sizin hayal gücünüze bırakıyorum.

Networklerin günümüzdeki başlıca ihtiyaçları düşündüğümüzde; ölçeknelebilir, esnek ve güvenilir olmaları gerekmektedir. Networkumuze neredeyse hergun yeni sunucular/uygulamalar ve yeni kullanıcılar ekleniyor. Eskileri çıkartılıyor, yedeksiz yapılar yedekleniyor. Standartlar değişebiliyor ve o değişikliklere göre networkunuzu ve erişim izinlerini güncellemeniz gerekiyor. Bu durumun doğası gereğide policynin uygulandığı yerlerdeki erişim kısıtlamaları güncelleniyor. Işte tam bu noktada bazı aksaklıklar oluşuyor, örneğin firewall üzerinde eski sunucu uygulamalarının izinleri kalıyor veya kullanıcılar problem yaşamasın diye kurallar geniş geniş yazılıyor hatta tecrübelerime istinaden söyleyebilirimki çok daha fazla sıkıntılı olanlarda mevcut. Tabi bu noktada networklerin converged (tümleşik) yapılara geçmesininde fazlaca etkisi var. Dolayısıyla yönetim gittikçe daha karmaşık bir hale geliyor. Yönetim karmaşıklaştıkça da güvenlik zaafiyetleri ister istemez artıyor.

Switchler, routerlar, wireless LAN ve security ürünleri cisco trustsec teknojisini içerisinde barındırır.

Cisco TrustSec Software-Defined segmentasyon ile; iş rollerine göre, cihaz tiplerine göre, lokasyonuna göre, zamana göre (iş saatleri veya hafta sonları gibi), kablolu veya kablosuz network girişine göre segmentasyon yapılmaktadır. Mantıksal gruplar SGT (Security Grup Tagging) ile tanımlanır. Bu etiketler sayesinde geleneksel networklerdeki gibi ip adreslerine, geleneksel erişim kontrol listelerine veya vlan bilgilerine ihtiyaç duyulmamaktadır. SGT ler sayesinde güvenlik operasyonu basitleştirilmektedir.

TrustSEC ile birlikte ISE (identity services engine) networke erişen istemcileri sınıflara (pc, printer, ipphone ..vb) ayırırken aynı zamanda da problemli clientler (istemciler) için healtcheck/remediation (sağlık kontrolu ve iyileştirme) (posture management) işlemlerinide yapabilmektedir. Yani düzgün bir politika oluşturulursa kurumsal güvenlik standardı olmayan cihazlar networke dahil olamamaktadır. Aslına bakarsanız buraya kadar olan işlemler 802.1x, Agent-Based Posture management, dACL (downloadable ACL), dVLAN (dynamic VLAN) ..vb NAC (Network Admission Control) işlemleriydi.

Aynı zamanda security standartlarına göre datacenter yapılarındaki fiziksel ve sanal serverlar veya birden fazla fiziksel serverlar arasındaki segmentasyon sağlanarak, güvenlik duvarı yapılandırmaları basitleştirilmektedir. Data Center kısmında hali hazırda benzer mantık uygulanmış durumda. Cisco ACI (Application Centric Infrastructure) TrustSec – ACI Policy Plane Integration, daha detaylı bilgiye aşağıdaki linkten ulaşabilirsiniz.

http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/trustsec/trustsec-aci-policy-plane-integration-configuration-guide.pdf

Network ekipmanları (switch, router, firewall, WLC ..vb) ISE üzerinden otomatik olarak SG-ACL (Security Group Access Control List) çekerler. Bu sayede gerekli izinler dinamik olarak oluşturulmuş olur. Security operasyonu sizin için oldukça basit hale gelmektedir.

Konfigurasyon detaylarına çok girmeyeceğim ancak SGT özelliği olan ve olmayan ürünler mevcut. Olmayan ürünler ve olan ürünler arasında bir tunelleme (SXP) yapılarak ilgili etiketlemenin yapılması sağlanmaktadır. SXP yapılırken speaker ve listener olarak karşılıklı olarak configure edilmesi gerekmektedir. Örnek konfigurasyon aşağıdaki gibidir,

Configure SXP speaker/listener peering between Switch1 (1.1.1.1) and Switch 2 (2.2.2.2).

Switch1# config t
Switch1(config)# cts sxp enable
Switch1(config)# cts sxp default source-ip 1.1.1.1
Switch1(config)# cts sxp default password 1syzygy1
Switch1(config)# cts sxp connection peer 2.2.2.2 password default mode local speaker

Configure Switch 2 as SXP listener of Switch1.

Switch2(config)# cts sxp enable
Switch2(config)# cts sxp default source-ip 2.2.2.2
Switch2(config)# cts sxp default password 1syzygy1
Switch2(config)# cts sxp connection peer 1.1.1.1 password default mode local listener

On Switch2, verify that the SXP connection is operating:

Switch2# show cts sxp connections brief | include 1.1.1.1
1.1.1.1 2.2.2.2 On 3:22:23:18 (dd:hr:mm:sec)

BARIŞ GENÇ
CCIE 27940
CCSI&HCSI

Cisco TrustSec Software-Defined Segmentation Platform,
http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/trustsec/trustsec-platform-capability-matrix.pdf

Kaynaklar:
http://www.cisco.com/c/en/us/solutions/collateral/enterprise-networks/trustsec/solution-overview-c22-737173.html
http://www.cisco.com/c/dam/assets/global/pdfs/november-security/c96-731479-00-secure-access.pdf
http://www.cisco.com/c/dam/assets/global/pdfs/november-security/cisco-trustsec-wp.pdf
http://www.cisco.com/c/dam/assets/global/pdfs/november-security/trustsec_pci_validation.pdf
http://www.cisco.com/c/en/us/td/docs/switches/lan/trustsec/configuration/guide/trustsec.pdf
http://www.cisco.com/c/dam/en/us/solutions/collateral/borderless-networks/trustsec/C07-730151-00_overview_of_trustSec_og.pdf

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir