Cisco introduce Trusted Security
Ho appena finito di vedere un webcast durante il quale é stata presentata la nuova tecnologia Cisco Trusted Security (TrustSec). Credo si tratti di uno dei più significativi passi in avanti nella protezioni delle infrastrutture informatiche. Siamo stati abituati finora ad un controllo degli accessi prima di entrare su una rete. In principio si trattava di password (chi sei?). Ultimamente si trattava di NAC (sai a posto?). Entrambi accorgimenti efficaci, ma nei quali mancava un ambito fondamentale: la presa in considerazione della deperimetralizzazione progressiva delle reti. Una volta autenticato ed entrato sulla rete l'utente può (più o meno) fare ciò che vuole e l'accesso alle applicazioni é demandato alla componente applicativa (ulteriori password, eventualmente, bellamente mascherate da Single Sign On), piuttosto che l'accesso a determinati segmenti del sistema informativo é protetto da protocol filtering (che va benissimo, ma ancora una volta si basa su "chi sei" o "da dove vieni" o, nel migliore dei casi "cosa stai cercando di fare").TrustSec rivoluziona tutto questo, dando la possibilità di mantenere coscienza di chi e' l'utente e del suo ruolo in ogni punto della rete. In pratica:
- Io ho un ruolo e la rete me lo riconosce e mi offre servizi coerentemente con questo
- La rete diventa un punto di enforcement per policy che erano già presenti a livello applicativo (Active Directory, Novell, ecc...)
- Cifratura hop-to-hop in modo da garantire la confidenzialitá dei dati in modo trasparente all'utente.
Non vedo l'ora di saperne (ancora di più), nel frattempo in questo whitepaper é spiegato meglio ciò che nel comunicato stampa é invece meno chiaro.
Etichette: cisco
3 Comments:
Marco, ho seguito i tuoi interventi alla N&SS07 e li ho apprezzati - più di tutti quello introduttivo - per la chiarezza espositiva e per le idee che hai espresso. Il concetto-cardine che hai evidenziato, e che hai ribadito anche in questo blog, è che prima delle tecnologie implementate ci sono le persone che le utilizzano. Su questa semplice idea mi hai subito conquistato (da sempre la porto avanti in ambito professionale), perché non mi aspettavo una così onesta puntualizzazione da un "uomo-immagine" (almeno in quel contesto) di un'azienda leader dei settori networking e sicurezza.
Ora il tuo post mi spiazza un po'. Leggere che si tratta "di uno dei più significativi passi in avanti nella protezioni delle infrastrutture informatiche" mi lascia perlomeno perplesso, ti spiego perché.
Il venire meno del perimetro della rete è un fatto che si può considerare acquisito, almeno da chi si occupa di sicurezza. Ma dire che "una volta autenticato ed entrato sulla rete l'utente può (più o meno) fare ciò che vuole" non mi trova d'accordo. Come sai meglio di me un utente, autorizzato o infiltrato che sia, accede a una rete per utilizzare le risorse disponibili, non per farsi un giro. Per questo molti, e io tra essi, continuano a considerare utile l'autenticazione in locale sui sistemi in rete.L'utente può poi essere autorizzato dalla policy aziendale ad accedere solo a parte delle risorse; e all'interno di queste, solo a specifici ambiti, come nel caso della profilazione nei database. Se la sicurezza dei proprio sistemi informativi è presa in seria considerazione dall'organizzazione (e qui focalizzo il discorso su coloro a cui può interessare il TrustSec) è inoltre implementato un sistema di auditing interno che tiene traccia di chi/cosa si muove all'interno della rete, eventualmente attivando avvisi in tempo reale. Ma l'azienda che espone i propri server su internet senza altra protezione che un router e al più un firewall, magari forniti già configurati dall'ISP (sul territorio italiano sappiamo che sono legioni... e qui sì che chi entra fa quello che vuole!), ha già rinunciato a priori a qualsiasi ulteriore discorso sulla sicurezza, e dubito che mostrerà mai interesse a soluzioni integrate più o meno sofisticate.
Dunque a colpo d'occhio direi che il TrustSec non inventa nulla di nuovo, a parte centralizzare sulla rete le policies di accesso. Che lo si adotti o no, se sono un utente autorizzato, e la politica di sicurezza aziendale è seria e correttamente implementata (anche qui conta il fattore umano caro a entrambi), il mio account mi consentirà di accedere solo alle risorse previste; se sono un infiltrato, sarò riuscito a procurarmi un account valido in qualche modo, e siamo di nuovo lì. Quello che trovo invece interessante in TrustSec sono le security group access control lists, perché consentono alle politiche di accesso di essere "decoupled from physical topology". Forse è questo l'argomento che meriterebbe di essere approfondito, se non altro per valutare meglio il potenziale di TrustSec.
Riguardo all'assegnazione dei ruoli da parte del TrustSec, non vedo poi questa grande novità: il sistema mi ricorda molto (troppo?) il labeling del RACF usato sui mainframe z/OS di Ibm, ripreso a sua volta dalla Security Labeling di Oracle, per giustificare - dal mio punto di vista - il termine di "rivoluzione". Questo almeno leggendo il tuo breve post e cercando di estrapolare il "succo" dai toni comprensibilmente ottimistici del white paper che segnali.
Infine, che la centralizzazione delle policies sia un passo avanti, credo sia tutto da dimostrare. Potrebbe essere un fattore positivo, perché i rischi della sicurezza aumentano con la complessità dei sistemi e un approccio centralizzato può in certa misura mitigarne l'impatto, semplificando e uniformandone la gestione; ma in questo modo non viene forse meno il concetto di defense in depth? Se il TrustSec viene violato, non si ha libero accesso a tutte le risorse in rete? D'altronde, anche in presenza delle security labels di Ibm e Oracle si può tentare lo stesso la scalata ai privilegi amministrativi...
Nonostante le perplessità che ho espresso, sono curioso di leggere altri tuoi commenti sugli aspetti che consideri più efficaci del TrustSec. Non escludo che qualcosa di importante possa essermi sfuggito... è il mio contributo al fattore umano! ;-)
Stefano
Stefano, tutto volevo generare meno che perplessità basata su affermazioni grossolane. Ci ho messo un grandissimo "più-o-meno" sul fatto che l'utente fa ciò che vuole.. :-)
E men che meno ho cercato di mandare in pensione l'autenticazione, che resta il fondamento di tutto. Non credo (e spero NON sia quello che traspare da quello che ho scritto) che "adesso buttiamo via tutto e facciamo SOLO trustsec" !
C'è l'autenticazione e ci continuerà ad essere. Ci sarà l'admission control che piano piano si sta facendo spazio, e c'è l'annuncio di trustsec che arriverà. Tre cose é meglio di due se trattasi di misure di sicurezza (con le dovute riserve sulla complessità introdotta, ma per adesso manteniamoci a livello di principio, altrimenti divento perplesso subito anche io).
Trustsec é un "punto" in piú dove anziché solo avere l'audit trail di cosa e' successo, posso cercare di prevenire che succeda. Una cosa é bypassare un sistema di autenticazione o più generalmente un perimetro, un'altra cosa é fabbricarsi una identità che ti segua e che bypassi anche un sistema come trustsec. Possibile tutto é possibile, ma sono due cose da fare anziche una. Statisticamente meno semplice.
Novità assoluta o no ? La novità sta nell'avere un metodo di enforcement ubiquamente distribuito sulla rete, analogo a quello che c'è' già a livello applicativo, come i vecchi esempi che citi. Novità assoluta ? Probabilmente no, vero. Novità il potere implementare sulla rete qualcosa che finora resta sul livello applicativo. Fra le righe, cisco ha fatto (annunciato di fare, per la precisione) quello che é brava a fare: Integrare sulla rete intelligenza che generalmente sta altrove, é già stato fatto con successo in diverse altre situazioni ed ambiti.
Sulla utenza autorizzata che ha accesso solo alle risorse previste dalla policy mi trovi d'accordo. La differenza é *dove* implementi la policy. Puoi farlo con profilazione dell'utente e server based ACL, oppure puoi fare in modo che la strada che segue il tuo collegamento da dove sei alla risorsa che vuoi accedere sia piena di punti di controllo e di enforcement. Secondo me e' bello avere la scelta di poterlo fare anche in questo modo.
Sono curioso di saperne di più anche io, per un mio grosso difetto: cerco di capire come funzionano le cose e sono stato esposto ad informazioni, un po più approfondite di quelle pubbliche, ma non quanto vorrei.
Grazie per il lungo commento e certo, che... "uomo-immagine" non me l'aveva mai detto nessuno :-)
a presto
marco
Ok, prendo atto dei tuoi chiarimenti (grazie!), e te ne chiedo uno ulteriore... in attesa di altre notizie a riguardo su questo blog :-)
Premetto che, al di là dei miei dubbi, mi sembra interessante l'idea di una rete proattiva, per cui cerco di saperne di più. Sappiamo comunque che un aggressore capace e preparato può penetrare qualsiasi difesa, se ha tempo e risorse sufficienti. Sono certo che gli ingegneri di Cisco abbiano previsto quali possano essere i punti deboli di un'architettura basata sul TrustSec e abbiano implementato delle opportune contromisure. Ce ne puoi parlare?
Io penso al discorso dell'identità che mi segue in rete: cosa mi impedisce di crearmi un'identità fasulla, ma valida; e se ci riesco, c'è modo che il sistema se ne accorga prima o poi, magari da qualche mia azione anomala? Sono possibili falsi positivi/negativi? Nel caso, come vengono gestiti?
(grazie per il tuo tempo :-D )
Posta un commento
<< Home