Hoy en día las fronteras físicas están desapareciendo. Las empresas necesitan soportar a una fuerza de trabajo móvil y gestionar eficientemente al personal externo a la organización: contratistas, consultores y proveedores. Todos ellos colaboran utilizando una serie de dispositivos que varían desde PCs, tabletas y smartphones. Adicionalmente, el cambiante escenario de TI asociado a la virtualización y la computación en la nube demanda una nueva definición para “identidad” y una protección más efectiva de los activos de información valiosa que, ahora, residen fuera de la organización y que no necesariamente están bajo el control de las areas de tecnología.
En este nuevo ambiente de redes sin fronteras, se vuelve crítico obtener visibilidad y control de acceso apropiado para toda la gama de usuarios y dispositivos que interactúan con la organización. La estrategia para resolver esta problemática debe tomar en consideración los diversos mecanismos de acceso existentes: tanto para el usuario remoto que se conecta vía VPN, como para el usuario móvil que se conecta de forma inalámbrica a la red, y para aquel usuario que se conecta cableado a la red.
El control de acceso debe hacerse cargo de combinar el método de acceso con los diversos tipos de dispositivos, roles de usuario, fecha/hora y otras variables para entregar flexibilidad. Al mismo tiempo debe ofrecer controles granulares a la organización según estas variables.
Consciente de estos desafíos, Cisco lanzó al mercado TrustSec, una solución que responde a las nuevas necesidades de seguridad. Un componente clave de la solución es Identity Services Engine (ISE). Esta herramienta es el cerebro del sistema de definición de políticas y cumplimiento de seguridad de control de acceso a la red. Ayuda a detectar y clasificar dispositivos no-PCs (ej: impresoras, teléfonos IP, access points, etc); aplicar el cumplimiento de seguridad de dispositivos PCs (por ejemplo: antivirus instalado, operando, actualizado, parches, etc.); y ofrecer servicios de acceso a la red para invitados mediante portales web.
Otros componentes de la solución están en la red como los Wireless LAN Controllers y los switches de acceso. Adicionalmente, se realizaron mejoras a 802.1X para switches de acceso, que permiten la implementación de esta tecnología cubriendo el escenario actual y sus excepciones. De esta forma se facilita la puesta en marcha de un proyecto 802.1X. Algunas mejoras fueron:
- incluir un mecanismo de autenticación para dispositivos que no soportan 802.1X (MAB – MAC Authentication Bypass)
- Asignación de VLAN a usuarios en caso de caída de la WAN. Esto permite seguir operando en contingencia (critical auth VLAN)
- Flexibilidad de configuración del orden y prioridad de mecanismos de autenticación (Flexauth)
- Autenticación web centralizada
- Modo de monitoreo. No realiza enforcement pero entrega logs de lo que ocurriría si 802.1X estuviera operando en la red
- Mejoras para asegurar la interoperabilidad con escenarios con telefonía IP
- Entre otros
TrustSec también, incluye tecnologías de control de acceso independiente de la topología como SGT/SGACL (Security Group Tags, Security Group Access Control Lists) en Nexus 7000 y otros dispositivos.
Para facilitar la implementación, todos estos componentes han sido probados operando de forma conjunta y se han documentado diversos escenarios de forma detallada. Todos estos antecedentes posicionan a Cisco TrustSec como una solución probada, viable, confiable, escalable y flexible, que incrementa la visibilidad y seguridad de acceso a la red para la nueva era de redes sin fronteras.
Para mayor informacion, visite http://www.cisco.com/go/trustsec
Cristian Venegas
Authors
