IF-MAP協(xié)議開(kāi)啟可信網(wǎng)絡(luò)連接的新篇章

2018-06-23 來(lái)源：

容器云強(qiáng)勢(shì)上線(xiàn)！快速搭建集群，上萬(wàn)Linux鏡像隨意使用

　　2008年4月可信計(jì)算聯(lián)盟(TCG)的TNC工作組在interop 2008大會(huì)上公布了其最新的可信網(wǎng)絡(luò)連接協(xié)議IF-MAP(Interface for Metadata Access Point)，并宣布其可信網(wǎng)絡(luò)連接架構(gòu)從TNC1.2升級(jí)到TNC1.3。業(yè)內(nèi)對(duì)這個(gè)TNC工作組耗費(fèi)18個(gè)月才正式公布的協(xié)議給予了高度關(guān)注和充分的肯定，認(rèn)為它將可信網(wǎng)絡(luò)連接的架構(gòu)推向了一個(gè)新的高度。IF-MAP協(xié)議定義了傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備(如防火墻、IDS、流量控制等)與可信網(wǎng)絡(luò)連接組件之間信息交互與共享的平臺(tái)，在網(wǎng)絡(luò)安全狀態(tài)和安全策略層面實(shí)現(xiàn)了信息共享;它實(shí)現(xiàn)了網(wǎng)絡(luò)終端安全狀態(tài)的多點(diǎn)、分布式檢查與監(jiān)控，網(wǎng)絡(luò)安全策略的動(dòng)態(tài)調(diào)整和統(tǒng)一執(zhí)行;標(biāo)志著多個(gè)廠(chǎng)商的網(wǎng)絡(luò)安全設(shè)施通過(guò)開(kāi)放的標(biāo)準(zhǔn)協(xié)議進(jìn)行有機(jī)整合，進(jìn)而形成結(jié)構(gòu)化的安全防御體系成為可能。下面對(duì)IF-MAP協(xié)議在TNC架構(gòu)中的作用、應(yīng)用模式和發(fā)展現(xiàn)狀進(jìn)行簡(jiǎn)要描述。

　　2.IF-MAP協(xié)議與TNC架構(gòu)

　　在TNC1.2架構(gòu)中，主要定義了網(wǎng)絡(luò)終端設(shè)備接入時(shí)的準(zhǔn)入控制框架、接口和相關(guān)協(xié)議，實(shí)現(xiàn)了在框架協(xié)議下不同廠(chǎng)商的準(zhǔn)入控制組件和設(shè)備能夠協(xié)同工作，共同完成終端設(shè)備的平臺(tái)完整性認(rèn)證、安全狀態(tài)評(píng)估、安全策略的制定和執(zhí)行、不合規(guī)端點(diǎn)的隔離與矯正，從而保證整個(gè)網(wǎng)絡(luò)環(huán)境的安全可信。其架構(gòu)如下：

TNC 1.2架構(gòu)示意

　　圖1 TNC 1.2架構(gòu)示意

　　框架中定義了3種實(shí)體(entity)、3個(gè)層次(layer)、7個(gè)組件(components)，其中3個(gè)實(shí)體分別為：

　　接入請(qǐng)求者(Access Requester-AR)：指運(yùn)行于接入端點(diǎn)設(shè)備上的各種安全組件，用于完成端點(diǎn)設(shè)備各種安全狀態(tài)信息的收集和提交接入認(rèn)證請(qǐng)求;

　　策略執(zhí)行者(Policy Enforcement Point-PEP)：指完成端點(diǎn)設(shè)備接入網(wǎng)絡(luò)的各種接入設(shè)備，包括802.1x的交換機(jī)、防火墻、VPN網(wǎng)關(guān)等，主要完成接受端點(diǎn)接入請(qǐng)求信息，轉(zhuǎn)發(fā)端點(diǎn)安全狀態(tài)信息給后臺(tái)策略服務(wù)器，并執(zhí)行策略服務(wù)器下發(fā)的安全接入策略;

　　策略決策者(Policy Decision Point-PDP)：指安全策略服務(wù)器，主要完成根據(jù)接入請(qǐng)求設(shè)備提交的安全狀態(tài)信息執(zhí)行平臺(tái)完整性認(rèn)證，并根據(jù)策略對(duì)其進(jìn)行授權(quán);

　　在TNC1.2的體系結(jié)構(gòu)中整合了端點(diǎn)安全系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、AAA平臺(tái)和策略管理平臺(tái)，初步形成結(jié)構(gòu)化的防御體系。但是，在這個(gè)架構(gòu)中沒(méi)有整合網(wǎng)絡(luò)中的安全檢測(cè)設(shè)備(如IDS)和安全控制設(shè)備(如內(nèi)網(wǎng)防火墻、流控)，這使得傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段與可信網(wǎng)絡(luò)連接系統(tǒng)之間無(wú)法進(jìn)行信息交互和共享，形成兩種安全防御體系各自為戰(zhàn)的局面。正是為了解決這個(gè)問(wèn)題，TNC工作組開(kāi)發(fā)了IF-MAP協(xié)議，并升級(jí)了TNC架構(gòu)，如下圖所示：

TNC 1.3架構(gòu)示意

　　圖2 TNC 1.3架構(gòu)示意

　　在TNC1.3框架中，增加了兩個(gè)實(shí)體：

　　元數(shù)據(jù)存取點(diǎn)(Metadata Access Point-MAP)：指獨(dú)立的元數(shù)據(jù)服務(wù)器，用于統(tǒng)一集中存儲(chǔ)網(wǎng)絡(luò)終端的各種安全狀態(tài)信息、策略信息，構(gòu)成網(wǎng)絡(luò)中安全信息的交換平臺(tái);

　　網(wǎng)絡(luò)行為控制和監(jiān)控點(diǎn)(Flow Controllers Sensors, etc.)：指網(wǎng)絡(luò)中部署的其他各種安全設(shè)備(比如IDS、防火墻、流量控制等)，完成向MAP實(shí)時(shí)提交端點(diǎn)設(shè)備的動(dòng)態(tài)安全信息，并根據(jù)MAP中的安全策略信息動(dòng)態(tài)調(diào)整對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)行為的控制策略。

　　在新的架構(gòu)中，TNC1.2中的缺點(diǎn)被很好的彌補(bǔ)了，通過(guò)IF-MAP協(xié)議和MAP服務(wù)器在傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備與TNC組件之間建立起了信息溝通橋梁和信息共享的平臺(tái)，系統(tǒng)防御的整體性得到突出，防護(hù)效果倍增。下面通過(guò)一個(gè)實(shí)際應(yīng)用場(chǎng)景分析來(lái)簡(jiǎn)要描述IF-MAP協(xié)議是如何完成這個(gè)功能。

　　3.IF-MAP協(xié)議的應(yīng)用場(chǎng)景

　　假設(shè)如下的網(wǎng)絡(luò)環(huán)境：

IF-MAP協(xié)議應(yīng)用環(huán)境

　　圖3 IF-MAP協(xié)議應(yīng)用環(huán)境

　　1) 用戶(hù)john通過(guò)一臺(tái)終端(device-x)登錄到內(nèi)部網(wǎng)絡(luò)

　　John通過(guò)TNC客戶(hù)端向PEP設(shè)備(一臺(tái)802.1x的交換機(jī))請(qǐng)求接入，并提交device-x的完整性信息(ip地址、mac地址、操作系統(tǒng)版本、防病毒軟件版本等等);

　　PEP向PDP(一臺(tái)RADIUS服務(wù)器)轉(zhuǎn)發(fā)客戶(hù)端信息，PDP通過(guò)了用戶(hù)身份和平臺(tái)完整性驗(yàn)證，并以finance manager的角色給john授權(quán)，通知PEP可以接入;

　　PDP通過(guò)IF-MAP協(xié)議向MAP服務(wù)器發(fā)布device-x的狀態(tài)信息、用戶(hù)信息和授權(quán)信息;

　　2) John需要訪(fǎng)問(wèn)內(nèi)部的finance server

　　內(nèi)部防火墻檢測(cè)到device-x的訪(fǎng)問(wèn)請(qǐng)求，由于其可能是動(dòng)態(tài)IP地址，因此沒(méi)有靜態(tài)的訪(fǎng)問(wèn)控制策略，此時(shí)防火墻通過(guò)IF-MAP協(xié)議向MAP服務(wù)器進(jìn)行搜索;

　　通過(guò)搜索發(fā)現(xiàn)device-x設(shè)備當(dāng)前的用戶(hù)授權(quán)為finance manager，而且設(shè)備狀態(tài)可信，于是防火墻通過(guò)添加動(dòng)態(tài)策略允許該訪(fǎng)問(wèn)請(qǐng)求;

　　3) IDS設(shè)備發(fā)現(xiàn)device-x正在被木馬控制

　　雖然device-x上的防病毒軟件已經(jīng)是最新版本，但其仍然被木馬控制(這種情況常常發(fā)生)，好在木馬通訊數(shù)據(jù)流被IDS檢測(cè)到;

　　IDS馬上通過(guò)IF-MAP協(xié)議向MAP服務(wù)發(fā)布該安全事件;

　　MAP服務(wù)立刻通過(guò)IF-MAP協(xié)議通知PDP有安全事件發(fā)生，PDP通過(guò)判斷立刻修改device-x的可信狀態(tài)，通知PEP對(duì)device-x進(jìn)行隔離處理，刪除device-x的finance manager授權(quán)，并將新的狀態(tài)和授權(quán)信息發(fā)布到MAP服務(wù)器;

　　由于授權(quán)信息發(fā)生改變，MAP服務(wù)器立刻通過(guò)IF-MAP協(xié)議通知防火墻更新device-x的授權(quán)，從而刪除內(nèi)部的動(dòng)態(tài)策略;

　　2008年4月可信計(jì)算聯(lián)盟(TCG)的TNC工作組在interop 2008大會(huì)上公布了其最新的可信網(wǎng)絡(luò)連接協(xié)議IF-MAP(Interface for Metadata Access Point)，并宣布其可信網(wǎng)絡(luò)連接架構(gòu)從TNC1.2升級(jí)到TNC1.3。業(yè)內(nèi)對(duì)這個(gè)TNC工作組耗費(fèi)18個(gè)月才正式公布的協(xié)議給予了高度關(guān)注和充分的肯定，認(rèn)為它將可信網(wǎng)絡(luò)連接的架構(gòu)推向了一個(gè)新的高度。IF-MAP協(xié)議定義了傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備(如防火墻、IDS、流量控制等)與可信網(wǎng)絡(luò)連接組件之間信息交互與共享的平臺(tái)，在網(wǎng)絡(luò)安全狀態(tài)和安全策略層面實(shí)現(xiàn)了信息共享;它實(shí)現(xiàn)了網(wǎng)絡(luò)終端安全狀態(tài)的多點(diǎn)、分布式檢查與監(jiān)控，網(wǎng)絡(luò)安全策略的動(dòng)態(tài)調(diào)整和統(tǒng)一執(zhí)行;標(biāo)志著多個(gè)廠(chǎng)商的網(wǎng)絡(luò)安全設(shè)施通過(guò)開(kāi)放的標(biāo)準(zhǔn)協(xié)議進(jìn)行有機(jī)整合，進(jìn)而形成結(jié)構(gòu)化的安全防御體系成為可能。下面對(duì)IF-MAP協(xié)議在TNC架構(gòu)中的作用、應(yīng)用模式和發(fā)展現(xiàn)狀進(jìn)行簡(jiǎn)要描述。