2008年4月可信計算聯(lián)盟(TCG)的TNC工作組在interop 2008大會上公布了其最新的可信網(wǎng)絡(luò)連接協(xié)議IF-MAP(Interface for Metadata Access Point)，并宣布其可信網(wǎng)絡(luò)連接架構(gòu)從TNC1.2升級到TNC1.3。業(yè)內(nèi)對這個TNC工作組耗費18個月才正式公布的協(xié)議給予了高度關(guān)注和充分的肯定，認(rèn)為它將可信網(wǎng)絡(luò)連接的架構(gòu)推向了一個新的高度。IF-MAP協(xié)議定義了傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備(如防火墻、IDS、流量控制等)與可信網(wǎng)絡(luò)連接組件之間信息交互與共享的平臺，在網(wǎng)絡(luò)安全狀態(tài)和安全策略層面實現(xiàn)了信息共享;它實現(xiàn)了網(wǎng)絡(luò)終端安全狀態(tài)的多點、分布式檢查與監(jiān)控，網(wǎng)絡(luò)安全策略的動態(tài)調(diào)整和統(tǒng)一執(zhí)行;標(biāo)志著多個廠商的網(wǎng)絡(luò)安全設(shè)施通過開放的標(biāo)準(zhǔn)協(xié)議進(jìn)行有機(jī)整合，進(jìn)而形成結(jié)構(gòu)化的安全防御體系成為可能。下面對IF-MAP協(xié)議在TNC架構(gòu)中的作用、應(yīng)用模式和發(fā)展現(xiàn)狀進(jìn)行簡要描述。

　　2.IF-MAP協(xié)議與TNC架構(gòu)

　　在TNC1.2架構(gòu)中，主要定義了網(wǎng)絡(luò)終端設(shè)備接入時的準(zhǔn)入控制框架、接口和相關(guān)協(xié)議，實現(xiàn)了在框架協(xié)議下不同廠商的準(zhǔn)入控制組件和設(shè)備能夠協(xié)同工作，共同完成終端設(shè)備的平臺完整性認(rèn)證、安全狀態(tài)評估、安全策略的制定和執(zhí)行、不合規(guī)端點的隔離與矯正，從而保證整個網(wǎng)絡(luò)環(huán)境的安全可信。其架構(gòu)如下：

　　圖1 TNC 1.2架構(gòu)示意

　　框架中定義了3種實體(entity)、3個層次(layer)、7個組件(components)，其中3個實體分別為：

　　接入請求者(Access Requester-AR)：指運行于接入端點設(shè)備上的各種安全組件，用于完成端點設(shè)備各種安全狀態(tài)信息的收集和提交接入認(rèn)證請求;

　　策略執(zhí)行者(Policy Enforcement Point-PEP)：指完成端點設(shè)備接入網(wǎng)絡(luò)的各種接入設(shè)備，包括802.1x的交換機(jī)、防火墻、VPN網(wǎng)關(guān)等，主要完成接受端點接入請求信息，轉(zhuǎn)發(fā)端點安全狀態(tài)信息給后臺策略服務(wù)器，并執(zhí)行策略服務(wù)器下發(fā)的安全接入策略;

　　策略決策者(Policy Decision Point-PDP)：指安全策略服務(wù)器，主要完成根據(jù)接入請求設(shè)備提交的安全狀態(tài)信息執(zhí)行平臺完整性認(rèn)證，并根據(jù)策略對其進(jìn)行授權(quán);

　　在TNC1.2的體系結(jié)構(gòu)中整合了端點安全系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、AAA平臺和策略管理平臺，初步形成結(jié)構(gòu)化的防御體系。但是，在這個架構(gòu)中沒有整合網(wǎng)絡(luò)中的安全檢測設(shè)備(如IDS)和安全控制設(shè)備(如內(nèi)網(wǎng)防火墻、流控)，這使得傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段與可信網(wǎng)絡(luò)連接系統(tǒng)之間無法進(jìn)行信息交互和共享，形成兩種安全防御體系各自為戰(zhàn)的局面。正是為了解決這個問題，TNC工作組開發(fā)了IF-MAP協(xié)議，并升級了TNC架構(gòu)，如下圖所示：

　　圖2 TNC 1.3架構(gòu)示意

　　在TNC1.3框架中，增加了兩個實體：

　　元數(shù)據(jù)存取點(Metadata Access Point-MAP)：指獨立的元數(shù)據(jù)服務(wù)器，用于統(tǒng)一集中存儲網(wǎng)絡(luò)終端的各種安全狀態(tài)信息、策略信息，構(gòu)成網(wǎng)絡(luò)中安全信息的交換平臺;

　　網(wǎng)絡(luò)行為控制和監(jiān)控點(Flow Controllers Sensors, etc.)：指網(wǎng)絡(luò)中部署的其他各種安全設(shè)備(比如IDS、防火墻、流量控制等)，完成向MAP實時提交端點設(shè)備的動態(tài)安全信息，并根據(jù)MAP中的安全策略信息動態(tài)調(diào)整對網(wǎng)絡(luò)訪問行為的控制策略。

　　在新的架構(gòu)中，TNC1.2中的缺點被很好的彌補了，通過IF-MAP協(xié)議和MAP服務(wù)器在傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備與TNC組件之間建立起了信息溝通橋梁和信息共享的平臺，系統(tǒng)防御的整體性得到突出，防護(hù)效果倍增。下面通過一個實際應(yīng)用場景分析來簡要描述IF-MAP協(xié)議是如何完成這個功能。

　　3.IF-MAP協(xié)議的應(yīng)用場景

　　假設(shè)如下的網(wǎng)絡(luò)環(huán)境：

　　圖3 IF-MAP協(xié)議應(yīng)用環(huán)境

　　1) 用戶john通過一臺終端(device-x)登錄到內(nèi)部網(wǎng)絡(luò)

　　John通過TNC客戶端向PEP設(shè)備(一臺802.1x的交換機(jī))請求接入，并提交device-x的完整性信息(ip地址、mac地址、操作系統(tǒng)版本、防病毒軟件版本等等);

　　PEP向PDP(一臺RADIUS服務(wù)器)轉(zhuǎn)發(fā)客戶端信息，PDP通過了用戶身份和平臺完整性驗證，并以finance manager的角色給john授權(quán)，通知PEP可以接入;

　　PDP通過IF-MAP協(xié)議向MAP服務(wù)器發(fā)布device-x的狀態(tài)信息、用戶信息和授權(quán)信息;

　　2) John需要訪問內(nèi)部的finance server

　　內(nèi)部防火墻檢測到device-x的訪問請求，由于其可能是動態(tài)IP地址，因此沒有靜態(tài)的訪問控制策略，此時防火墻通過IF-MAP協(xié)議向MAP服務(wù)器進(jìn)行搜索;

　　通過搜索發(fā)現(xiàn)device-x設(shè)備當(dāng)前的用戶授權(quán)為finance manager，而且設(shè)備狀態(tài)可信，于是防火墻通過添加動態(tài)策略允許該訪問請求;

　　3) IDS設(shè)備發(fā)現(xiàn)device-x正在被木馬控制

　　雖然device-x上的防病毒軟件已經(jīng)是最新版本，但其仍然被木馬控制(這種情況常常發(fā)生)，好在木馬通訊數(shù)據(jù)流被IDS檢測到;

　　IDS馬上通過IF-MAP協(xié)議向MAP服務(wù)發(fā)布該安全事件;

　　MAP服務(wù)立刻通過IF-MAP協(xié)議通知PDP有安全事件發(fā)生，PDP通過判斷立刻修改device-x的可信狀態(tài)，通知PEP對device-x進(jìn)行隔離處理，刪除device-x的finance manager授權(quán)，并將新的狀態(tài)和授權(quán)信息發(fā)布到MAP服務(wù)器;

　　由于授權(quán)信息發(fā)生改變，MAP服務(wù)器立刻通過IF-MAP協(xié)議通知防火墻更新device-x的授權(quán)，從而刪除內(nèi)部的動態(tài)策略;

　　2008年4月可信計算聯(lián)盟(TCG)的TNC工作組在interop 2008大會上公布了其最新的可信網(wǎng)絡(luò)連接協(xié)議IF-MAP(Interface for Metadata Access Point)，并宣布其可信網(wǎng)絡(luò)連接架構(gòu)從TNC1.2升級到TNC1.3。業(yè)內(nèi)對這個TNC工作組耗費18個月才正式公布的協(xié)議給予了高度關(guān)注和充分的肯定，認(rèn)為它將可信網(wǎng)絡(luò)連接的架構(gòu)推向了一個新的高度。IF-MAP協(xié)議定義了傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備(如防火墻、IDS、流量控制等)與可信網(wǎng)絡(luò)連接組件之間信息交互與共享的平臺，在網(wǎng)絡(luò)安全狀態(tài)和安全策略層面實現(xiàn)了信息共享;它實現(xiàn)了網(wǎng)絡(luò)終端安全狀態(tài)的多點、分布式檢查與監(jiān)控，網(wǎng)絡(luò)安全策略的動態(tài)調(diào)整和統(tǒng)一執(zhí)行;標(biāo)志著多個廠商的網(wǎng)絡(luò)安全設(shè)施通過開放的標(biāo)準(zhǔn)協(xié)議進(jìn)行有機(jī)整合，進(jìn)而形成結(jié)構(gòu)化的安全防御體系成為可能。下面對IF-MAP協(xié)議在TNC架構(gòu)中的作用、應(yīng)用模式和發(fā)展現(xiàn)狀進(jìn)行簡要描述。

　　2.IF-MAP協(xié)議與TNC架構(gòu)

　　在TNC1.2架構(gòu)中，主要定義了網(wǎng)絡(luò)終端設(shè)備接入時的準(zhǔn)入控制框架、接口和相關(guān)協(xié)議，實現(xiàn)了在框架協(xié)議下不同廠商的準(zhǔn)入控制組件和設(shè)備能夠協(xié)同工作，共同完成終端設(shè)備的平臺完整性認(rèn)證、安全狀態(tài)評估、安全策略的制定和執(zhí)行、不合規(guī)端點的隔離與矯正，從而保證整個網(wǎng)絡(luò)環(huán)境的安全可信。其架構(gòu)如下：

　　圖1 TNC 1.2架構(gòu)示意

　　框架中定義了3種實體(entity)、3個層次(layer)、7個組件(components)，其中3個實體分別為：

　　接入請求者(Access Requester-AR)：指運行于接入端點設(shè)備上的各種安全組件，用于完成端點設(shè)備各種安全狀態(tài)信息的收集和提交接入認(rèn)證請求;

　　策略執(zhí)行者(Policy Enforcement Point-PEP)：指完成端點設(shè)備接入網(wǎng)絡(luò)的各種接入設(shè)備，包括802.1x的交換機(jī)、防火墻、VPN網(wǎng)關(guān)等，主要完成接受端點接入請求信息，轉(zhuǎn)發(fā)端點安全狀態(tài)信息給后臺策略服務(wù)器，并執(zhí)行策略服務(wù)器下發(fā)的安全接入策略;

　　策略決策者(Policy Decision Point-PDP)：指安全策略服務(wù)器，主要完成根據(jù)接入請求設(shè)備提交的安全狀態(tài)信息執(zhí)行平臺完整性認(rèn)證，并根據(jù)策略對其進(jìn)行授權(quán);

　　在TNC1.2的體系結(jié)構(gòu)中整合了端點安全系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、AAA平臺和策略管理平臺，初步形成結(jié)構(gòu)化的防御體系。但是，在這個架構(gòu)中沒有整合網(wǎng)絡(luò)中的安全檢測設(shè)備(如IDS)和安全控制設(shè)備(如內(nèi)網(wǎng)防火墻、流控)，這使得傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段與可信網(wǎng)絡(luò)連接系統(tǒng)之間無法進(jìn)行信息交互和共享，形成兩種安全防御體系各自為戰(zhàn)的局面。正是為了解決這個問題，TNC工作組開發(fā)了IF-MAP協(xié)議，并升級了TNC架構(gòu)，如下圖所示：

　　圖2 TNC 1.3架構(gòu)示意

　　在TNC1.3框架中，增加了兩個實體：

　　元數(shù)據(jù)存取點(Metadata Access Point-MAP)：指獨立的元數(shù)據(jù)服務(wù)器，用于統(tǒng)一集中存儲網(wǎng)絡(luò)終端的各種安全狀態(tài)信息、策略信息，構(gòu)成網(wǎng)絡(luò)中安全信息的交換平臺;

　　網(wǎng)絡(luò)行為控制和監(jiān)控點(Flow Controllers Sensors, etc.)：指網(wǎng)絡(luò)中部署的其他各種安全設(shè)備(比如IDS、防火墻、流量控制等)，完成向MAP實時提交端點設(shè)備的動態(tài)安全信息，并根據(jù)MAP中的安全策略信息動態(tài)調(diào)整對網(wǎng)絡(luò)訪問行為的控制策略。

　　在新的架構(gòu)中，TNC1.2中的缺點被很好的彌補了，通過IF-MAP協(xié)議和MAP服務(wù)器在傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備與TNC組件之間建立起了信息溝通橋梁和信息共享的平臺，系統(tǒng)防御的整體性得到突出，防護(hù)效果倍增。下面通過一個實際應(yīng)用場景分析來簡要描述IF-MAP協(xié)議是如何完成這個功能。

　　3.IF-MAP協(xié)議的應(yīng)用場景

　　假設(shè)如下的網(wǎng)絡(luò)環(huán)境：

　　圖3 IF-MAP協(xié)議應(yīng)用環(huán)境

　　1) 用戶john通過一臺終端(device-x)登錄到內(nèi)部網(wǎng)絡(luò)

　　John通過TNC客戶端向PEP設(shè)備(一臺802.1x的交換機(jī))請求接入，并提交device-x的完整性信息(ip地址、mac地址、操作系統(tǒng)版本、防病毒軟件版本等等);

　　PEP向PDP(一臺RADIUS服務(wù)器)轉(zhuǎn)發(fā)客戶端信息，PDP通過了用戶身份和平臺完整性驗證，并以finance manager的角色給john授權(quán)，通知PEP可以接入;

　　PDP通過IF-MAP協(xié)議向MAP服務(wù)器發(fā)布device-x的狀態(tài)信息、用戶信息和授權(quán)信息;

　　2) John需要訪問內(nèi)部的finance server

　　內(nèi)部防火墻檢測到device-x的訪問請求，由于其可能是動態(tài)IP地址，因此沒有靜態(tài)的訪問控制策略，此時防火墻通過IF-MAP協(xié)議向MAP服務(wù)器進(jìn)行搜索;

　　通過搜索發(fā)現(xiàn)device-x設(shè)備當(dāng)前的用戶授權(quán)為finance manager，而且設(shè)備狀態(tài)可信，于是防火墻通過添加動態(tài)策略允許該訪問請求;

　　3) IDS設(shè)備發(fā)現(xiàn)device-x正在被木馬控制

　　雖然device-x上的防病毒軟件已經(jīng)是最新版本，但其仍然被木馬控制(這種情況常常發(fā)生)，好在木馬通訊數(shù)據(jù)流被IDS檢測到;

　　IDS馬上通過IF-MAP協(xié)議向MAP服務(wù)發(fā)布該安全事件;

　　MAP服務(wù)立刻通過IF-MAP協(xié)議通知PDP有安全事件發(fā)生，PDP通過判斷立刻修改device-x的可信狀態(tài)，通知PEP對device-x進(jìn)行隔離處理，刪除device-x的finance manager授權(quán)，并將新的狀態(tài)和授權(quán)信息發(fā)布到MAP服務(wù)器;

　　由于授權(quán)信息發(fā)生改變，MAP服務(wù)器立刻通過IF-MAP協(xié)議通知防火墻更新device-x的授權(quán)，從而刪除內(nèi)部的動態(tài)策略;

標(biāo)簽： 安全 防火墻 服務(wù)器 搜索 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全設(shè)備

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。