这将是Trustsec上的一个小系列的开始。我们将介绍Trustsec的一些常用术语和组成部分,并概述为什么要使用SGT。
视频中的注释:
什么是思科Trustsec?
简短答案:最初定义为由多个组件组成的体系结构,但大多数情况下,当人们想到Trustsec时,他们就是安全组标记(SGT)的一部分
长答案:几个组成部分包括-
使用安全组标记(SGT)进行集中的策略管理,分布式策略执行和微分段
使用基于IEEE 802.1AE(AES-GCM 128位)的加密进行机密性和完整性
线速逐层第2层加密
密钥管理基于802.1n
经过身份验证的网络环境
端点通过802.1x,Easyconnect,MAB,WebAuth等进行身份验证
通过创建可信网络环境的802.1x对网络设备进行身份验证并允许其进入Trustsec环境
术语:
安全组-用于对应该具有相似访问控制策略的用户,端点和资源进行分组
安全组标记(SGT)-分配给安全组的唯一安全组号
具有Trustsec功能的设备-具有硬件和软件功能的网络访问设备,可以理解安全组标签
Trustsec种子设备-直接针对ISE进行身份验证并同时充当其他网络访问设备的身份验证者和请求者的网络访问设备
网络设备准入控制(NDAC)-在Trustsec云中,对等设备使用凭据验证网络设备:
802.1x
快速EAP
进行身份验证和授权后,网络设备协商IEEE 802.1AE加密
受保护的访问凭据(PAC)-用于相互认证客户端和服务器的唯一共享凭据
端点身份验证控制-通过802.1x,Easyconnect,MAB,Webauth等向Trustsec云进行身份验证的设备
安全组访问控制列表(SGACL)-用于基于SGT(而非IP地址或子网)的访问和权限。简化安全策略。
安全交换协议(SXP)-一种服务,用于在不支持SGT的网络设备之间传播IP到SGT的绑定。可以将其视为BGP跨提供商的MPLS传播路由。
环境数据下载-当ISE加入可信网络时,从ISE下载到网络访问设备。执行此操作时,它将下载以下内容:
可以用于将来的RADIUS身份验证和授权的ISE RADIUS服务器列表
设备SGT-网络访问设备本身的SGT
过期超时-网络访问设备应多久下载或刷新一次环境数据
标识到端口的映射-交换机在端口上定义标识,并使用此标识从ISE查找特定的SGT值