TAGS
Me pidieron que viajar a la conferencia de seguridad de InfoSec 2013 en Europa este año, y hablar acerca de las tendencias que estoy viendo en el juego de redes de identidad, y posiblemente especular sobre el futuro de la identidad en la creación de redes como la veo. Así que me dije a mí mismo: "lo que enviar un gran blog esto podría hacer".
Las fases de la identidad de una red (como se ve por una tuerca de identidad con exceso de trabajo como yo):
Fase 1: [Alrededor de finales de los años 1990] redes de identidad se deriva de la antigua pregunta: "¿Cómo puedo controlar que tenga acceso a la red" A lo largo viene IEEE 802.1X! 802.1X proporciona protocolo de autenticación extensible (EAP) a través de la red de área local (LAN) capacidades, para permitir que un cliente para transmitir su credencial de identidad en la red antes de acceder.
802.1X proporciona ahora "OMS" (por ejemplo .: empleado, contratista, huéspedes, etc.).
Fase 2: [alrededor de 2004] "Lo que pasa en Las Vegas, queda en Las Vegas .. A menos que usted toma un virus." Corrimos a través de un período de crecimiento importante en la industria de la seguridad informática debido a la propagación de malware destructivo, que también nos llevó para tratar de extender la "OMS" que 802.1X proporciona para incluir aún más información. Sabiendo que usted es un empleado de validez no fue suficiente, ya que incluso los empleados válidos pueden haber cogido un virus en alguna parte.
Antes de que le permite tener acceso normal a nuestra red, tenemos que examinar el dispositivo que está utilizando y buscar parches actualizados, instalaciones de software anti-virus, y así sucesivamente.
"Pero mi equipo de administración de escritorio me dijo que eso es lo que nuestros servidores de administración antivirus y sistemas de parches como SMS de Microsoft / SCCM se encargará, por lo que están protegidos, ¿verdad?" MAL.
He perdido la cuenta del número de auditorías que he visto empresas fracasan en su gestión Anti-Virus, o sistema de parches no estaba funcionando, debido a una serie de razones; normalmente la razón era alguna variante de un mecanismo de empuje desde el servidor, en lugar de un mecanismo de extracción desde el cliente. En algún momento, el servidor no tuvo éxito en impulsar la actualización.
Independientemente de la razón por qué ha fallado, el hecho es: la empresa no auditoría. Por lo que estaban buscando para hacer cumplir la actualización antes de proporcionar acceso a la red. Enter Network Access Control (NAC) también llamada Network Admission Control.
La idea detrás de la NAC es asegurar parches y Anti-Virus son todo hasta la fecha, y el sistema es compatible con la política de seguridad de la empresa (conocida como la evaluación de la postura) antes de permitir su acceso a la red. Si alguna parte de la evaluación de la postura falla, el usuario / dispositivo se pone en un estado de cuarentena (por lo general una asignación de VLAN o ACL especial) cuando la máquina está remediado (los elementos que no pasaron la evaluación de la postura son fijos). Después de la recuperación, el usuario / máquina se mueve hacia atrás en un modo de acceso completo normal. Imagen 3 muestra este concepto de una imagen que tomé de una de las cubiertas de diapositivas Marco originales Cisco Network Admission Control (NAC) a partir de años de largo pasado.
Así que ahora 802.1X proporciona el "quién", mientras que NAC está proporcionando el "qué" (evaluación de la postura de los parches y se instala / aplicaciones en ejecución, etc ...)
Fase 3: [alrededor del año 2007] "¿Qué tipo de dispositivo es que ??" evaluación de la postura (léase: tradicional NAC) se marcha a buen ritmo muy bien. Vimos un crecimiento muy activo en el espacio del mercado NAC, y las redes de identidad continuaron creciendo a un buen ritmo pausado.
Entonces sucedió algo que comenzó a cambiar el juego un poco. Los teléfonos móviles nos dieron una adición muy fresco, Wi-Fi. Con la adición de Wi-Fi para teléfonos inteligentes, empezamos a ver una afluencia de dispositivos que estaban tratando de unirse a las redes inalámbricas corporativas, pero no apoyó la postura Evaluaciones (NAC). Este fue en realidad sólo un repunte interesante en una tendencia a la creación de redes, pero nada demasiado presión en el momento. Luego viene un avance más que lo cambió todo para siempre: el iPhone (seguido por el iPad)!
Es innegable que el iPhone cambió todo para esta industria. Ahora, hemos tenido que permitir que ciertos ejecutivos accedan a la red corporativa con sus iPhones / Androids / etc, pero no todo el mundo. Esto nos ha permitido ampliar y mejorar la tecnología existente - Determinación del perfil de punto final.
Originalmente, el perfil de punto final fue desarrollado como una herramienta para ayudar en las implementaciones de 802.1X. El concepto original era para ayudar a identificar los dispositivos que no se pudo autenticar con 802.1X; criterios de valoración, como impresoras, perno-lectores, la cámara del, teléfonos IP, y muchos más. Una vez identificados estos dispositivos, se añadieron sus direcciones MAC (dirección de hardware grabado en la tarjeta de interfaz de red) para una lista de dispositivos que se omitir la autenticación 802.1X y obtener acceso.
Ahora, con una gran proliferación de estos dispositivos móviles que son Wi-Fi, además de conceptos tales como traer su propio dispositivo (BYOD) y elegir su propio dispositivo (CYOD), avanzábamos perfiles de punto final para ser utilizados con 802.1X. La capacidad de vincular una política de autenticación al tipo de dispositivo se convirtió en algo común y primordial.
Una política común podría ser:
la autenticación 802.1X del empleado en la red inalámbrica de la empresa con una estación de trabajo cuya postura era compatible = Acceso completo. la autenticación 802.1X misma del empleado en la misma red inalámbrica de la empresa con un IPAD = Sólo Internet de acceso.
En esta etapa todavía estamos buscando en el "qué", pero es un diferente "LO". En lugar de cumplimiento de la política de seguridad (postura), que está buscando a los tipos de dispositivos que utilizan perfiles de punto final.
Una nota importante: se predice que más de 15 mil millones de dispositivos conectados a la red serán para el año 2015. Eso es sólo 2 años de distancia de la escritura en esta entrada del blog!
Fase 4: [Hacia 2012] "No hago 'O'! 'O' hace que elige! "802.1X es una tecnología fantástica. Utiliza el protocolo de autenticación extensible (EAP) para proporcionar una identidad a un dispositivo de autenticación. Deje de estado que otra vez, pero se centran en la palabra clave: "Se utiliza EAP para proporcionar una identidad a un dispositivo de autenticación". Está bien; EAP sólo se está llevando a una sola credencial por transacción. Por lo que una empresa que está utilizando Microsoft Active Directory para gestionar sus estaciones de trabajo Windows tiene dos opciones por estación de trabajo para autenticarse en la red: Máquina-Auth * O * Usuario-Auth.
¿Por qué hay dos opciones de autenticación para Windows? A finales de la década de 1990 cuando 802.1X estaba empezando a recoger adopción, Microsoft llegó a su realización importante: Si no se proporciona la conectividad de red hasta que un usuario inicia sesión en el cuadro de Windows, a continuación, la conectividad entre Active Directory y la estación de trabajo se romperá! En una jugada brillante, crearon un concepto de una máquina de estado y un estado de usuario para su solicitante (el software "conductor" que habla 802.1X). Así, cuando un usuario no está conectado a una caja de Windows, la propia máquina se puede registrar en la red con la cuenta de equipo y contraseña creada cuando la máquina se unió AD; o puede incluso utilizar un-Active Directory expedido un certificado. Luego, una vez que el usuario teclea CTRL-ALT-DEL y se registra en la estación de trabajo, el punto final se iniciará una nueva sesión de EAP que utilizará las credenciales de usuario en lugar de las credenciales de la máquina.
Al igual, no queremos "O", queremos "Y". Inmediatamente, los administradores estaban tratando de encontrar maneras de atar juntos la autenticación de máquina y la autenticación de usuarios, para ser parte de la misma autorización. De esta manera una organización puede estar seguro de que es un activo corporativo válido y un usuario válido. Cisco ha creado un concepto de restricciones de acceso (MAR) - que mantiene una caché de direcciones MAC que han pasado la autenticación de máquina. Luego, cuando la autenticación de un usuario entra en el servidor RADIUS, que se ve en la caché para ver si una máquina ya se ha autenticado a partir de ese mac-address y si es así, el acceso sería permitido. Hay más a él que apenas eso, sino que no se están centrando en MAR - ya que hay limitaciones. Y quiero. Y significa que no quiero limitaciones, quiero que funcione no importa qué!
Introduzca EAP encadenamiento! EAP El encadenamiento es una mejora que permite múltiples credenciales de EAP que han de transmitirse en una sola transacción. Creado por Cisco como parte de la PEA-FASTv2, que fue adoptado por el IETF para el próximo. Podría escribir un blog entero en EAP encadenamiento (y probablemente lo hará), pero vamos a explicar que en una sola transacción somos capaces de combinar equipo y de usuario autenticaciones y autorizar basado en ese combo. La mezcla puede ser cualquier combinación de los certificados o nombres y contraseñas, que es una mejora fantástica y largo necesario para 802.1X y EAP.
En esta etapa todavía estamos buscando a "quién" y "qué". Estamos utilizando 802.1X para proporcionar ambos, y se puede combinar con perfiles y la postura.
Fase 5: [Hacia 2013] "Gestión de dispositivos móviles" Facilitar el acceso únicamente a Internet a los dispositivos móviles puede ser una política viable para algunos, pero ciertamente no todos. Estos dispositivos móviles continúan creciendo en la adopción y la proliferación a precios muy interesantes. A medida que estos son cada vez más importantes para la realización de transacciones comerciales todos los días, también se vuelve importante manejar estos dispositivos. Me parece que esta tendencia sea verdaderamente intrigante porque empresas como RIM tenían esta en una ciencia - no, no es la ciencia - RIM Blackberry hizo la gestión de una forma de arte! Fue absolutamente hermoso, y todavía es como una cuestión de opinión.
Sin embargo, los dispositivos móviles Blackberry no eran lo que el usuario final quería. El usuario final quiere utilizar cualquier criterio de valoración que será más productivo con. Si encuentro mi productividad se incrementa mediante el uso de un iPhone o un dispositivo Android, a continuación, mira por dónde - me deja utilizar un dispositivo iPhone o Android! Introduzca las empresas de administración de dispositivos móviles, tales como: AirWatch, Zenprise (adquirida por Citrix), de hierro móvil, buenas tecnologías, SAP Afaria, y otros, incluyendo servicio de la empresa de Blackberry 10, que se encargará de iOS y Android ahora, también.
Si bien este blog no se centra en MDM, era necesario discutir brevemente estos, debido a que proporcionan un nivel de capacidad de la postura para dispositivos móviles! En concreto, el servidor de políticas puede que tenga que tener conocimiento de un punto final siendo gestionado por un MDM o propiedad de la empresa frente a uno que acaba de comprar un empleado de la estantería de su tienda favorita de electrónica de barrio.
Con la integración de MDM a su servidor de políticas que son capaces de establecer un nuevo tipo de postura, mirando a ver la propiedad del dispositivo, si el dispositivo ha sido roto la cárcel / arraigada, si el dispositivo ha permitido cifrado, si el pasador de bloqueo está activado, etc. esto añade aún más a nuestra decisión de identidad, y podemos proporcionar diferentes niveles de acceso para los dispositivos basados en estos atributos.
En esta etapa todavía estamos buscando en el "qué", que está siendo proporcionado por el servicio de MDM.
Fase 6: [~ 2013] "Ubicación, ubicación, ubicación" Otro factor que comúnmente se pidió / miraba. Existe la posibilidad de mirar el dispositivo de acceso a la red de origen para determinar si se ha conectado, inalámbrica o VPN, así como donde dicho dispositivo se encuentra en la red - o incluso para la integración con los servicios de localización dentro de la infraestructura inalámbrica, o ¿qué pasa con Geo Ubicación w / las unidades de GPS que están habilitados en todos estos dispositivos móviles. Ahora, echemos un vistazo a los controles de seguridad física: sistemas de credencialización, etc. ¿Se debe permitir a un usuario para iniciar sesión en una red si no han badged en ese edificio? En caso de que se les permita iniciar sesión si existe actualmente una alarma de incendio en ese edificio? Los límites son infinitas!
En esta etapa estamos examinando "dónde", "cuándo" y "cómo" que empieza a completar nuestra conglomerado de identidad o "contexto".
llevándonos por un camino a una identidad contextual
A medida que comience a poner todas estas fases juntas, se da cuenta de que una identidad está creciendo mucho más allá de la credencial nombre de usuario - que nos está llevando por un camino de una identidad, incluyendo la OMS, qué, dónde, cuándo y cómo; lo que me gusta llamar un "Identidad contextual".
Esa identidad contextual se utilizará en lugar del uso tradicional de una sola credencial. Ahora vamos a tener la capacidad de construir políticas relevantes de negocios que tienen todo el contexto del acceso de los usuarios en consideración, que proporcionan niveles granulares de acceso o incluso acceder a granel.
Honestamente, esta es una bestia de una pregunta. Es tan fácil de describir lo que hemos hecho, y mucho más difícil de tratar de predecir dónde esta industria extraordinariamente dinámico se dirigirá a continuación.
Ahora que tenemos esta identidad contextual, lo que veo es el requisito para que todo tiene algún tipo de conectividad escalable para usar ese contexto. Las soluciones como firewalls, sistemas de prevención de intrusiones, herramientas macro-analítica como amenazas Defender soluciones SIEM y cibernéticos, los dispositivos de seguridad web, acceso a las aplicaciones, acceso a la nube - todos ellos requieren un empate en ese contexto.
¿Entonces como hacemos esto? Hay tantos protocolos para elegir: Syslog, dispositivo de seguridad de Exchange Evento (SDEE), protocolo simple de administración de redes (SNMP), Interfaz de puntos de acceso Meta (IF-MAP)?
¡No! Sinceramente no hay nada existente en la actualidad que se escala para los entornos del mañana. Aún no. Necesitamos un nuevo bus de comunicación estándar de la industria que puede tomar el lugar de todas estas tecnologías diversos utilizados hoy en día, algo que puede escalar de verdad. Estar atento. Nunca se sabe lo que puede aparecer en un futuro próximo.
Mecanismo de aplicación escalable
Otra cosa que falta, pero sí que existe hoy en día y así recibirán propuesto como un estándar de la industria en breve, es un mecanismo de aplicación escalable. Los métodos tradicionales de aplicación de la VLAN ejemplo, una tarea ACL simplemente no se corte nunca más. Un fácil de administrar método de clasificación de criterios de valoración en función del contexto y permitiendo o denegando sobre la base de que la clasificación independientemente de la topología o protocolo de capa 3 (IPv4 o IPv6, incluso ipxspx) simplemente las operaciones y reducir los gastos operativos enormemente.
Esa solución existe hoy en día, y lo sabemos. Sé de una gran organización que se trasladó a grupo de seguridad de marcado y redujo su personal de tiempo completo de 24 de a 6 Mantenimiento de reglas de firewall gerente de FTE. Esos 20 FTE fueron capaces de pasar a otros proyectos y la organización se convirtió en mucho más eficiente. ¡Piénsalo!
¿Y si su política podría pasar de la cartografía de las subredes a las máquinas, a una simple hoja de cálculo, como a continuación?
Bueno, supongo que eso es suficiente para este blog. Esperar mucho más de mí en esta materia del Grupo de Seguridad de marcado, ya que viene en una gran forma.
Hablar en el ya muy pronto !!!
-Aaron
BES Blackberry trabajan con iOS y Android:
Guía de implementación de EAP-encadenamiento (Autor: John Eppich):
IETF EAP tunelizados (PETE):
Grupo de Seguridad de marcado:
.
