Monday, June 1, 2009

Cisco SAFE




Cisco SAFE es un conjunto de "buenas practicas" para la implementación de una arquitectura de red segura. Podemos caer en el chiste fácil de mencionar que implementando estas recomendaciones podemos ZAFAR, pero como vimos en este post, Cisco Black Dot, siempre las cosas son mas complejas en la realidad que en el papel.

De todas maneras, las recomendaciones de Cisco SAFE son el Estado de Arte en lo que se refiere a arquitecturas de red seguras.

Como vemos en el grafico de inicio del post, Cisco dividio esta Guia en diferentes modulos:

  • Data Center
  • LAN/Campus
  • WAN Edge
  • Extranet
  • Internet Edge
  • E-Commerce
  • Branch
  • Partner
  • Cisco Virtual Office
  • Remote User

El S
ecurity Control Framework, es una serie de acciones que ayudan a una politica de seguridad a garantizar la visibilidad y el control.
La visibilidad es llevada a cabo mediante acciones como : Identificacion, monitoreo y correlacion , mientras que el control lo realiza mediante acciones como Hardening, aislamiento e enforcing. ( la traduccion de enforcing, seria como la obligacion de implementar una politica )


Respecto al ciclo de vida de una arquitectura basada en SAFE, Cisco propone los pasos siguientes :


Una metodologia que comienza con un Risk Assesment un diseño en base al resultado del paso anterior, la implementacion , operacion y por ultimo, la optimizacion de la arquitectura.


Cisco SAFE esta basado en el principio de Seguridad por Capas o Security on Depth como lo llama el documento.

Es decir que los diferentes niveles aportan un conjunto de medidas de seguridad, sin depender de una tecnologia en particular.

Otros principios que guian a SAFE son :
  • Modularity and Flexibility
  • Service Availability and Resiliency
  • Regulatory Compliance
  • Strive for Operational Efficiency
  • Auditable Implementations
  • Global Information Sharing and Collaboration

Por supuesto que esto debe poder implementarse tanto en una sucursal u oficina pequeña, hasta en corporaciones multinacionales.


Cisco entiende que cualquier nivel de la red esta expuesto y es considerado un objetivo de ataque.

  • Infrastructure Devices Are Targets
  • Services Are Targets
  • Endpoints Are Targets
  • Networks Are Targets
  • Applications Are Targets

Con todo lo anteriormente descripto, Cisco entrega lo que se llaman Blueprints o sea un conjunto de buenas practicas para cada uno de los bloques siguientes.



veamos un ejemplo, vamos a tomar el caso de las sucursales de una empresa.



Segun la documentacion de Cisco, el desafio desde el punto de vista de la seguridad al momento de conectar sucursales es proveer servicios y herramientas de colaboracion, sin perder el control sobre la confidencialidad de la informacion.
Esto se logra mediante la aplicacion de diferentes capas de seguridad ( VPN , monitoreo de logs, politica de seguridad, pstch management )

Los ejes sobres los cuales esta armado este Blueprint son :

•Secure WAN Connectivity in the Branch
•Routing Security in the Branch
•Service Resiliency in the Branch
•Network Policy Enforcement in the Branch
•IPS Integration in the Branch
•Switching Security in the Branch
•Endpoint Security in the Branch
•Secure Device Access in the Branch
•Telemetry in the Branch


Cada uno de los puntos anteriores, son abiertos y se explica como implementarlo.


Conclusion

Si bien muchas veces la solucion global que plantea Cisco SAFE esta lejos de los presupuestos con los que cuentan PYMES, no deja de ser documentos interesantes para tener como apoyo al momento del diseño de una arquitectura de red segura.

Puede ser que no se cuente con el presupuesto para un Cisco ASA, pero ese equipo puede ser reemplazado por un Linux con Iptables o en el caso de un Cisco MARS por una solucion de log management open source.

Lo interesante que tenemos que ver es los princincpios que plantea Cisco al formular SAFE los cuales podemos resumir en tres puntos.

1) Tener un ciclo de vida de la arquitectura que implantaremos

2 ) Todo elemento en una red es pasible de ser atacado

3 ) Vision y Control sobre los diferentes elementos de nuestra arquitectura.


La documentacion de Cisco SAFE se encuentra aqui.

No comments: