Säkerhet hela vägen mellan användare och datacenter

Vanligtvis brukar uppdelningen mellan olika nätverksdomäner se ut som nedan. Man har ett nätverk för sina användare som ofta kräver autentisering men som sällan innehåller segmentering baserat på vilken typ av användare eller är skyddat på något annat sätt än genom den närmsta brandväggen. Vanligtvis delas man upp i några olika grupper som i brandväggen tilldelas olika regelverk som i sin tur ger tillgång till olika applikationer.

Alla som administrerat den här typen av nätverk vet att det är svårt att hålla efter regler, att det tar tid att utföra ändringar och att det ofta blir väldigt komplext om man dessutom har olika VRF:er och siter.

Cisco Software-Defined Access (SDA)

Cisco SDA är en plattform för både trådbundna och trådlösa accessnätverk hos företag. Den skiljer sig från andra plattformar genom att bestå av en VXLAN-fabric som frikopplar IP-adress från identitet genom att använda så kallade SGT:er (Security Group Tag). Detta innebär att när din enhet autentiserat i nätverket blir enheten och din trafik tilldelad en sådan tagg, som sedan styr vilken åtkomst du har. Enheten kan autentisera med exempelvis certifikat, men kan också profiliseras av systemet automatiskt om enheten är t.ex en IoT-sensor eller liknande.

Om du till exempel har en grupp som kallas ”FINANCE” och två andra grupper som heter ”PRINTERS” och ”DNS” kan du via din policy tillåta trafiken mellan dessa i en matris. Se nedan.

Utöver detta policy-baserade sätt att styra åtkomst ger systemet dig automation, AI-driven felsökning/analys och mycket annat som gör administrationen av ett nätverk enklare. Givetvis finns det API:er som möjliggör för integrationer och automation via externa verktyg.

 

Cisco Application Centric Infrastructure (ACI)

Cisco ACI är en plattform för mjukvarudefinerade nätverk i datacenter (fysiska, virtuella och molnbaserade) som kretsar kring en zero-trust policy och segmentering. Även denna lösning bygger på VXLAN och särskiljer åtkomst-hantering/identitet från IP-adress. Här kallas indelningen EPG (Endpoint Group), men funktionen är densamma. Man meddelar systemet vilka servrar eller ändpunkter som tillhör vilken grupp (EPG) och bygger sedan en policy som meddelar nätverket vilka grupper som får prata med vad. Filtreringen sker direkt i switcharna utan att passera någon brandvägg (om man inte explicit vill det såklart).

Om du till exempel har en EPG som heter ”WEB_SERVERS” och en annan som heter ”DATABASE_SERVERS” kan du skapa en policy som tillåter trafik mellan dessa grupper på port TCP/3306. Dessa servrar kan trots det ligga i samma IP-nät.

SDA vs ACI

Se denna tabell för jämförelse mellan de olika systemens begrepp:

Integrationen mellan SDA och ACI

När man nu skapat sina användargrupper i Cisco SDA och sina servergrupper i Cisco ACI vill man såklart kunna tillåta trafik mellan sina användargrupper och servergrupper på ett säkert, enkelt och skalbart sätt utan att göra avkall på exempelvis förmågan att låta trafik passera en brandvägg för djupinspektion.

För att detta skall fungera behöver man en integration som arbetar på både ett management-plan och på data-planet. I Cisco SDA heter kontrollern DNA Center och identitetsmotorn ISE. I Cisco ACI heter kontrollern APIC. Mellan dessa upprättas sessioner för utbyte av de grupper som finns i respektive domän. Nedan illustrerar vi hur integrationen mellan de olika systemen renderar en policy som tillåter trafik mellan en SGT med användare och en EPG med en applikation.

Integrationen mellan APIC, SDA och ISE medför att systemen känner till varandras säkerhetsgrupper och policies, men de påverkar inte routing eller information om varandras VXLAN och VRF:er. För detta krävs inte bara en integration mellan kontroller-enheterna i respektive domän utan även mellan de switchar som är ansvariga för trafiken ut ur respektive domän (s.k border-switch). Mellan dessa upprättas en MP-BGP-session som förmedlar routing-informationen för respektive nätverk som skall sträckas mellan domänerna, så att en översättning kan ske mellan SGT:er och EPG:er i praktiken.

Denna peering sätts upp automatiskt under installationen av integrationen och är därför inget man behöver tänka på som nätverksadministratör. ACI kommer att ansvara för att läcka routes mellan olika VRF:er vid behov och filtreringen kommer att ske direkt när paketet kommer in i nätverket eftersom både switcharna i SDA och i ACI vet vilka grupper som får kommunicera med varandra. Om man vill ha extra inspektion i viss trafik går det utmärkt att låta denna trafiken passera en brandvägg i ACI, som erbjuder att det görs både genom traditionell routing men också genom policy-baserade regler.

Resultatet blir:

• Policy-baserad åtkomst mellan användare och applikationer

• End-to-end säkerhet mellan autentiserad enhet/användare och applikation

• Bättre segmentering som inte är beroende av VLAN och IP-adresser

• Enklare hantering av regelverk som höjer säkerheten

Om du vill läsa mer så rekommenderar vi följande länkar:

• https://www.cisco.com/c/m/en_us/products/data-center/software-demos/aci/aci-ise-integration-demo.html
• https://community.cisco.com/t5/networking-documents/cisco-sd-access-sda-integration-with-cisco-application-centric/ta-p/3909344