Cisco lanza una nueva arquitectura de seguridad basada en la identidad
La nueva arquitectura de seguridad Cisco Trusted Security (TrustSec) se basa en el uso de políticas para determinar la identidad y el rol de usuarios y dispositivos antes de darles acceso a la red corporativa.
Según Cisco, el método de control de accesos utilizado por TrustSec es el mismo que vienen practicando las aplicaciones durante años, sólo que ahora esta misma técnica se lleva al nivel de red. Las diferencias con Self Defending Networks, la arquitectura de seguridad lanzada por la compañía hace seis años, es que ésta se orienta a la mitigación de retos mediante firewalls y sistemas de detección de intrusiones, mientras que TrustSec se basa en la integridad “salto a salto” y en la confidencialidad de los usuarios y su rol en la red, de acuerdo con la documentación publicada por Cisco. Se trata, en definitiva, de asegurarse de que el usuario sólo accederá a los recursos a los que está autorizado.
Con TrustSec, por ejemplo, los conmutadores identificarían a los usuarios de un determinado departamento de la empresa y les asignaría acceso a los recursos para los que están autorizados, como una sesión de Skype, durante un tiempo determinado en función de las políticas corporativas. Una vez consumido dicho periodo de tiempo, los conmutadores cortarían la sesión al departamento en cuestión.
TrustSec, en cuyo desarrollo Cisco ha estado trabajando durante cuatro años, opera con conmutadores Catalyst 6500 equipados con Supervisor Engine 32 Programmable Intelligent Services Accelerator (PISA), módulo que analiza el tráfico de aplicaciones con fines de seguridad, cumplimiento de políticas y gestión del nivel de utilización de los recursos de red. Además, para poder disfrutar de TrustSec, los conmutadores de Cisco deben ser actualizados mediante hardware y software, y operar junto con un servidor de políticas AAA (authentication, authorization and accounting) encargado de almacenar y reforzar las políticas de acceso basadas en roles.
La nueva arquitectura de seguridad soporta criptografía, SGT (Security Group Tags) –técnica desarrollada a partir del estándar IEEE 802.1AE-, SGACL (Security Group Access Control Lists) y SAP (Security Association Protocol).
802.1AE prioriza los datos en función de los objetivos de negocio, preservando la integridad de los datos encriptados, mientras que SGT etiqueta el tráfico a partir de tal información. SGACL, por su parte, permite que las políticas de control de accesos sean aisladas de la topología física. SAP, finalmente, se encarga de simplificar la gestión de las claves de encriptación de cada enlace, eliminando la necesidad de encriptar a nivel de aplicación.
TrustSec estará disponible en los Catalyst 6500 en el primer trimestre de 2008 para llegar al resto de plataformas de switching de Cisco durante los próximos 18 meses.
El nuevo lanzamiento de Cisco se produce unos días después de que el fabricante diera a conocer un sensor de prevención de intrusiones que duplica la velocidad del sistema similar que ofrecía hasta ahora la compañía para proteger las conexiones de alta velocidad con los centros de datos sin ralentizar el tráfico WAN. IPS 4270 puede escanear ataques internos y externos –según donde se instale- utilizando una capacidad de proceso de 4 Gbps para el análisis del tráfico multimedia y de 2 Gbps para el del tráfico convencional, llegando a soportar hasta 20.000 transacciones por segundo.
