Säkerhet hela vägen mellan användare och datacenter




Vanligtvis brukar uppdelningen mellan olika nätverksdomäner se ut som nedan. Man har ett nätverk för sina användare som ofta kräver autentisering men som sällan innehåller segmentering baserat på vilken typ av användare eller är skyddat på något annat sätt än genom den närmsta brandväggen. Vanligtvis delas man upp i några olika grupper som i brandväggen tilldelas olika regelverk som i sin tur ger tillgång till olika applikationer.

Alla som administrerat den här typen av nätverk vet att det är svårt att hålla efter regler, att det tar tid att utföra ändringar och att det ofta blir väldigt komplext om man dessutom har olika VRF:er och siter.


Cisco Software-Defined Access (SDA)

Cisco SDA är en plattform för både trådbundna och trådlösa accessnätverk hos företag. Den skiljer sig från andra plattformar genom att bestå av en VXLAN-fabric som frikopplar IP-adress från identitet genom att använda så kallade SGT:er (Security Group Tag). Detta innebär att när din enhet autentiserat i nätverket blir enheten och din trafik tilldelad en sådan tagg, som sedan styr vilken åtkomst du har. Enheten kan autentisera med exempelvis certifikat, men kan också profiliseras av systemet automatiskt om enheten är t.ex en IoT-sensor eller liknande.


Om du till exempel har en grupp som kallas "FINANCE" och två andra grupper som heter "PRINTERS" och "DNS" kan du via din policy tillåta trafiken mellan dessa i en matris. Se nedan.


Utöver detta policy-baserade sätt att styra åtkomst ger systemet dig automation, AI-driven felsökning/analys och mycket annat som gör administrationen av ett nätverk enklare. Givetvis finns det API:er som möjliggör för integrationer och automation via externa verktyg.


Cisco Application Centric Infrastructure (ACI)

Cisco ACI är en plattform för mjukvarudefinerade nätverk i datacenter (fysiska, virtuella och molnbaserade) som kretsar kring en zero-trust policy och segmentering. Även denna lösning bygger på VXLAN och särskiljer åtkomst-hantering/identitet från IP-adress. Här kallas indelningen EPG (Endpoint Group), men funktionen är densamma. Man meddelar systemet vilka servrar eller ändpunkter som tillhör vilken grupp (EPG) och bygger sedan en policy som meddelar nätverket vilka grupper som får prata med vad. Filtreringen sker direkt i switcharna utan att passera någon brandvägg (om man inte explicit vill det såklart).


Om du till exempel har en EPG som heter "WEB_SERVERS" och en annan som heter "DATABASE_SERVERS" kan du skapa en policy som tillåter trafik mellan dessa grupper på port TCP/3306. Dessa servrar kan trots det ligga i samma IP-nät.


SDA vs ACI

Se denna tabell för jämförelse mellan de olika systemens begrepp:


SDA ACI

____________________________________________________________

Management DNA Center APIC

Ext kommunikation MP-BGP MP-BGP

Dataplan VXLAN VXLAN

Segmentering SGT EPG




Integrationen mella