思科新安全架構，內網全部加密

思科（Cisco）打噴嚏，全網路都感冒。用這句話形容在網路設備多項產品市場上都擁有極高市占率的思科，是再恰當也不過了。日前該公司公布了新的網路安全架構—TrustSec，此架構的主要精神，是利用在封包上加入1個16位元長度標籤（Tag）的方式，讓所有流量透過交換器進行加解密的功能，以此確保企業內網節點到節點（hop to hop）間的安全。此一架構將在明年初開始有新產品支援，舊有的思科交換器產品則將在未來18月內陸續支援。此種以加密確保節點間傳輸安全的做法，未來各家交換器廠商是否可能會開始跟進，值得觀察。

節點安全的最終方案，交換器把內網全部加密
TrustSec和過去網路安全想法最大的不同，就是在於其利用交換器進行加解密的方式。過去企業的網路安全中，交換器扮演的只是轉送封包和切割VLAN的角色，真正的防護功能，多落在其他不同的設備上，諸如防火牆、IPS等設備。但是在TrustSec的架構中，思科將交換器當做一個加解密的節點，所有流量在進入交換器時，會由交換器將之解密，然後流量出交換器時，則又會將之加密。如此一來，這代表在交換器的節點和節點間傳輸的資料，都是經過加密的，不容易受到竊取或解讀。

臺灣思科技術經理謝東興表示，TrustSec加密的做法，是採用IEEE 802.1AE標準，在乙太網路的訊框（Frame）中，傳統辨識VLAN的IEEE 802.1Q標準所需要的欄位後面，加上一個16位元長度的標籤，此一標籤可以辨識使用者的來源與身分，也就是說，所有內網的使用者，只要在終端裝置與交換器建立起溝通時，其流量就會加入這樣的標籤，用以辨識身分。這也使得在TrustSec架構下，每個使用者的流量都是獨一無二的，機器可以透過標籤決定每個使用者可以進行的動作。謝東興表示，現在企業在選購防火牆產品時，都會很在乎能夠容納多少的存取政策，在防火牆上要規定來源、目的地以及政策，這使得企業必須維護繁複的設定。但是TrustSec的想法則不同，每個人的流量都會經由標籤辨識，自動遵循企業事先訂好的政策，即便是不同人使用相同的設備，只要透過AD登入時的資訊，也會自動將流量貼上標籤，解決過去單一設備多人使用時，政策制定複雜的問題。謝東興說：「用標籤的方式，設定相對就會簡單很多。」

符合802.1AE標準，讓內網加密與安全檢查共存
此外，用加入標籤辨識身分的方式，還有另一個好處，那就是不會因為加密而阻斷了其他設備檢查流量的能力。傳統透過SSL或是IPSec加密的方式，每個封包只要經過了加密處理，經過的網路安全設備，如防火牆等，就無法辨識其流量的內容，這也使得大家雖然都知道加密是安全最有效的方式，可是實際在內網以這種方式做為安全防護卻不易實現。但是TrustSec的做法，由於未來支援此一功能的交換器內，將會擁有防火牆的功能，流量進入交換器時，解密後交換器的防火牆就有能力對其進行檢查，其他的設備，若可以支援802.1AE標準，也有能力針對這些加了標籤的流量進行各種檢查，等於是同時確保了加密機制與對內容安全檢查機制的並存。

802.1AE標準，是TrustSec架構能夠實現的最主要因素，英特爾（Intel）和思科在2006年的秋季IDF上，就展示過符合此一標準的節點至節點間安全方案，當時名為「LinkSec」，可以說是現在思科公布的TrustSec架構的前身。此一標準的主要想法，是為了解決傳統端到端安全觀念下，終端電腦和交換器間或交換器與交換器間傳輸時，資料可能遭到竊取的風險。透過此一標準的加密，節點與節點間能夠透過共通的金鑰，針對流量進行加解密，並且比對完整性的校驗值（ICV），確認流量的使用者身分和正確性，以此補足802.1X標準在傳輸時安全性的不足。

1年後正式產品到位，明年初就會有產品問世
至於TrustSec實現的時間，臺灣思科業務開發經理張志淵表示，明年初就會有2款此架構專屬的交換器問世，而在未來18個月內，思科原有的Catalyst 6500和4500系列交換器，就可以透過軟體升級的方式支援此一架構。其中的差距，謝東興指出，未來推出的2款專屬交換器，會加入專門進行加解密運算的處理器，提高效能。且將有能力針對每埠開啟加密功能。而思科既有的產品，如果硬體無法完全支援，則無法做到針對每埠的管控能力。

此外，謝東興表示，在後端身分認證伺服器的支援上，目前思科的RADIUS伺服器ACS（Access Control Server）5.0版已經能夠支援。目前TrustSec架構仍是必須採用思科的ACS才能支援，並且至少要有2臺交換器支援此一架構，才能展現其效果。當然單臺交換器架在資料中心前也能使用，在這樣的狀況下，終端電腦到交換器間如果要有加密的能力，網路卡或處理器必須有能力支援，在這方面，思科已經有與英特爾合作。

未來TrustSec將成為思科繼自我防禦網路（Self-Defending Network，SDN）之後，新的網路安全防禦架構，並且未來思科所有的產品都將會朝支援這個架構的方向前進，最終目標是要達到網路上的每個節點都有能力發揮安全防護的功能，讓網路的安全能夠是全面的，而非只是單點的防禦。

思科此次推出的TrustSec架構，未來各家廠商是否會跟進，讓802.1AE成為一個網路架構上的基礎標準？現在雖然很難看出端倪，不過思科方面對於這個架構成為未來的趨勢，卻是自信滿滿。「我認為這個架構大概至少要在1年後才會真正實現，」謝東興說，「就像802.1X標準交換器的普遍，也是思科最早開始談這樣的觀念，現在哪一家廠商的新款交換器沒有支援802.1X標準？雖然現在看起來TrustSec的做法只是思科獨有，不過相信應該很快就會有其他廠商也會跟進。」文⊙劉哲銘