4/1

بررسی جامع پلتفرم Cisco pxGrid

آخرین بروزرسانی: شنبه 8 آبان 1400

CSTA یک اکوسیستم فعال و در حال رشد است که برای محیطی با وجود چندین محصول امنیتی از سازنده‌های مختلف، یکپارچه‌سازی را به ارمغان می‌آورد. یکی از اجزای CSTA که در اینجا مورد بحث قرار خواهد گرفت «pxGrid» می‌باشد. Cisco pxGrid یک استاندارد ساخته شده‌ی شرکت سیسکو است که پلتفرمی برای مبادله‌ی داده و فعال کردن قابلیت برای مهار تهدید‌ها را در اختیار ما قرار می‌دهد.

نویسنده: کیارش برزوده

مدت زمان مطالعه: 8 دقیقه

سیسکو pxGrid چیست و چه کاربردی دارد؟

در این مقاله ابتدا در مقدمه‌ای کوتاه و مختصر به مرور و بررسی تکنولوژی Cisco Security Technology Alliance که به اختصار CSTA نامیده می‌شود می‌پردازیم و در ادامه به بررسی جامع پلتفرم Cisco pxGrid خواهیم پرداخت. با ما همراه باشید!

مقدمه‌ای بر Cisco Security Technology Alliance

Cisco Security Technology Alliance که به اختصار CSTA نامیده می‌شود یک اکوسیستم فعال و در حال رشد است که برای محیطی با وجود چندین محصول امنیتی از سازنده‌های مختلف، یکپارچه‌سازی را به ارمغان می‌آورد.

هدف اصلی این تکنولوژی بهبود اثربخشی راهکارهای امنیت شبکه و حل مشکلات خاص مشتریان از طریق ساده‌سازی عملیات و خودکارسازی آن‌هاست. به زبان ساده، با استفاده از CSTA می‌توانیم محصولات امنیتی موجود در سازمان خود که به صورت Multi-Vendor هستند را به یکدیگر متصل کنیم و به صورت یکجا مدیریت کنیم.

چگونه CSTA امنیت ما را بهبود می‌بخشد؟

شرکت سیسکو با بیش از 100 شریک تجاری در صنعت امنیت شبکه همکاری می‌کند تا قابلیت یکپارچه‌سازی محصول آنها با محصولات امنیتی خود را ایجاد کند. از نتایج به وجود آمده می‌توان از مؤثرتر شدن محصولات و تجهیزات امنیتی سیسکو (Cisco) و مابقی سازنده‌ها، حل مشکلات خاص در مبحث امنیت شبکه، دفاع از شبکه و بهبود سرعت یکپارچه‌سازی تکنولوژی‌های جدید اشاره کرد.

با استفاده از این تکنولوژی، شما قادر خواهید بود خودکارسازی امنیت شبکه را انجام دهید. همچنین CSTA درکنترل بهتر در برابر تهدید‌ها و مهار آن‌ها به شما کمک خواهد کرد. سیسکو (Cisco) متعهد شده است که تمامی راهکار‌های یکپارچه‌سازی این محصولات امنیتی جهت اجرا شدن بر روی محیط عملیاتی کیفیت لازم را داشته باشند. همچنین می‌توان گفت که به مراتب استفاده از CSTA هزینه‌های کمتری نسبت به قبل دارد و دید بهتر و عمیق‌‍تری را نسبت به زیرساخت شبکه به ما خواهد داد.

یکی از اجزای CSTA که در اینجا مورد بحث قرار خواهد گرفت «pxGrid» می‌باشد. pxGrid یک استاندارد ساخته شدۀ شرکت سیسکو است که پلتفرمی برای مبادلۀ داده و فعال کردن قابلیت برای مهار تهدید‌ها را در اختیار ما قرار می‌دهد.

pxGrid چیست؟

Cisco Platform Exchange Grid قابلیت یکپارچه‌سازی محصولات امنیتی شبکه را با سازنده‌های مختلف برای ما فراهم می‌سازد. pxGrid یک شبکۀ Cross-Platform برای ارتباطات میان بخش‌های زیرساختی شبکه مانند بخش نظارت امنیت و سیستم تشخیص نفوذ، پلتفرم‌های سیاست‌گذاری امنیتی شبکه، مدیریت دارایی‌ها و پیکربندی‌ها، مدیریت احراز هویت و کنترل دسترسی و تمامی عملیات فناوری اطلاعات (IT) مشابه را در اختیار ما خواهد گذاشت. شرکت سیسکو (Cisco) این ساختار را اکوسیستم می‌نامد.

زمانی که یک احتیاج عملیاتی یا کاری به وجود بیاید، محصولات این اکوسیستم از pxGrid برای مبادلۀ اطلاعات به صورت Contextual با محصولاتی از شرکت سیسکو (Cisco) و یا هر برند دیگر که pxGrid را پشتیبانی می‌کنند استفاده خواهد کرد. pxGrid سیسکو یک چهارچوب یکپارچه را ایجاد می‌کند تا این محصولات یک بار با pxGrid همگام شوند و از آن به بعد تنها اطلاعات Contextual را به صورت یک طرفه یا دو طرفه، بدون نیاز به اتخاذ API برای هر پلتفرم، با دیگر پلتفرم‌ها به اشتراک بگذارند.

pxGrid ایمن و قابل شخصی‌سازیست؛ همچنین به دیگر پلتفرم‌های امنیت شبکه اجازۀ به اشتراک گذاشتن اطلاعات Contextual که آن‌ها می‌خواهند به اشتراک گذاشته شود را می‌دهد. pxGrid امکان آن را فراهم خواهد کرد تا قسمت خاصی از این اطلاعات Contextual که برای پلتفرم‌های درخواست‌کننده مناسب است مورد استفاده قرار گیرد. به صورت کلی می‌توان گفت pxGrid یک Security Product Integration Framework قابل گسترش است.

مزایای کلیدی pxGrid

قابلیت کنترل برای اینکه چه اطلاعاتی به صورت Contextual باید با کدام پلتفرم‌ها به اشتراک گذاشته شود.
اشتراک‌گذاری دوطرفۀ اطلاعات Contextual
قابلیت اشتراک داده Contextual در فرمت محلی
قابلیت اتصال به چندین پلتفرم به صورت همزمان
یکپارچه‌سازی با پلتفرم‌های سیسکو (Cisco)

نسخه‌های pxGrid

pxGrid در ابتدا بر مبنای پروتکل XMPP بود، که بر روی نسخۀ 1.3 پلتفرم Cisco ISE به بازار عرضه شد. این نسخه برای اجرا نیاز به SDK حاوی کتابخانه‌های Java یا C داشت. اولین عرضۀ پروتکل pxGrid را نسخۀ pxGrid 1.0 می‌نامند، که در نسخه‌های Cisco ISE 1.3 و بالاتر پشتیبانی می‌شود.

pxGrid 2.0 به صورت رسمی با پلتفرم Cisco ISE 2.4 معرفی شد. این نسخه از WebSocket و REST API به روی STOMP 1.2 استفاده می‌کند. WebSocket و STOMP به صورت گسترده‌ای در صنعت کامپیوتر استفاده می‌شوند. WebSocket به سرور و کلاینت امکان نگهداری ارتباط باز را می‌دهد، به همین خاطر ارتباط دوطرفۀ بسیار راحت‌تری وجود خواهد داشت. زمانی که WebSocket ارتباط را برقرار می‌کند، برای مبادلۀ اطلاعات از STOMP استفاده خواهد کرد.

به STOMP می‌توان به دید پروتکل شبیه و ساده شدۀ HTTP نگاه کرد که تنها حاوی داده‌های Contextual است.

pxGrid2.0

pxGrid1.0

Consumer

• No SDK

• Any language (Java, C, Python, C#...)

• REST API calls

• STOMP/WebSocket subscriber

• Requires SDK

• Java, C GCL client

• XMPP queries

• XMPP pubsub subscribe

• No SDK

• Any library, any language

• REST Discovery/Authz API

• Webapp authentication provider

• REST API handlers

• STOMP/WebSocket publisher

• Requires SDK

• Java, C GCL client

• XMPP Discovery/Authz API

• XMPP authentication

• XMPP query handlers

• XMPP pubsub publisher

Provider

• WebSockets

• Data is opaque

• Horizontal scaling with multiple active instances

• Dynamic topics support

• XMPP pubsub

• XML parsing

• Single instance

• Dynamic topics support

Pub/sub

• REST + STOMP

• Written as a Webapp

• No SDK required

• XMPP Discovery, Authc, Authz

• XMPP component

• Clients require SDK

Control Plane

• Topics created on pxGrid 2.0 are available to pxGrid 2.0 clients only

• ISE topics are published and available both on pxGrid 1.0 & pxGrid 2.0

• Dynamic topics created on pxGrid 1.0 are available for pxGrid 1.0 clients only

• pxGrid 1.0 clients can subscribe to ISE pxGrid 1.0 topics

• pxGrid 2.0 clients can subscribe to ISE pxGrid 1.0 or ISE pxGrid 2.0 topics

Topics

کارکرد pxGrid در اکوسیستم

معماری سادۀ pxGrid یک کنترل کننده با چندین سرویس‌گیرنده که به کتابخانۀ کلاینت متصل شده‌اند را شامل می‌شود. کنترل کنندۀ pxGrid مانند یک جعبه تقسیم کار می‌کند و با تمامی Agent موجود بر روی سرویس‌گیرنده‌ها ارتباط برقرار می‌کند تا اجازۀ به اشتراک گذاشتن یا استفاده کردن از اطلاعات Contextual را تأمین کند.

به طور کلی، چالش ما نبودن ارتباط بین اکوسیستم و یا پیچیده بودن برقراری ارتباط بین المان‌ها بود (شکل شماره ۲) که این چالش با اضافه شدن pXgrid در اکوسیستم به صورت راهکاری جامع قابل حل می‌باشد (شکل شماره ۳). تمامی المان‌ها نقش‌های مهمی را دارند اما همۀ آن‌ها برای تأثیرپذیری بیش‌تر به یکدیگر نیاز دارند.

به عنوان مثال، فرض کنید یک سازمان می‌خواهد از ایدۀ BYOD استفاده کند. این سازمان می‌خواهد قوانین مختلفی را برای دسترسی به شبکه بر اساس دستگاه‌های کارمندان، مکان و نام کاربری آن‌ها طراحی کند. انجام این کار به اطلاعات سه بخش زیر نیاز دارد:

Identity and access management (IAM): پلتفرمی برای فراهم کردن دسترسی برنامه‌های کاربردی
Mobile Device Management (MDM): پلتفرمی برای چک کردن وضیعت دستگاه ثبت شده
Security Information and Event management (SIEM): پلتفرمی برای ارزیابی و اطلاع‌رسانی از تهدیدها

ابتدا هر پلتفرم به صورت جداگانه و جهت دسترسی به اکوسیستم با استفاده از pxGrid احراز هویت می‌شود. pxGrid مسئول دسترسی‌های موجود در Grid را بر عهده دارد و این کار را با کنترل کردن آنکه کدام پلتفرم می‌تواند انتشار کند، کدام پلتفرم باید دنبال کند و کدام یک از آن‌ها باید در صف انتظار بماند امکان‌پذیر است.

جهت رسیدن به این نوع روش انتشار داده‌ها مدل Pub/Sub در ساختار pxGrid مورد استفاده قرار گرفته است. هر پلتفرمی «topic^[7]» مختلفی بر روی Grid منتشر می‌کند و این پلتفرم‌ها می‌توانند topic را دنبال کنند. topic‌ها به منظور استفادۀ دوباره توسط پلتفرم، در پوشه‌ای داخل pxGrid ذخیره می‌شوند.

pxGrid در پلتفرم Cisco ISE

بدون آنکه به نسخۀ pxGrid توجه کنید، در نظر داشته باشید که همیشه در pxGrid سه جزء اساسی وجود دارد:

کنترل کننده یا Controller
منتشر کننده یا Publisher
دنبال کننده یا Subscriber

pxGird جهت حفظ محرمانگی Context از ارتباط ایمن میان اجزای خود استفاده می‌کند، که در این ارتباط ایمن Certificate‌ها بخش مهم و اساسی برای موفقیت این مهم مورد استفاده قرار خواهند داشت. به صورت عمومی در ساختار گواهی دیجیتال (Certificate) تمامی اجزاء باید به کنترل‌کنندۀ خود اعتماد داشته باشند و بالعکس.

pxGrid نه تنها اطلاعات Contextual را از پلتفرم Cisco ISE به اشتراک می‌گذارد، بلکه برای به اشتراک گذاشتن اطلاعات سیستم‌های خارجی نیز کاربرد دارد. در نسخۀ ISE 2.4، پلتفرم ISE قادر به دریافت اطلاعات از طریق pxGrid شده است. دستگاه‌های اینترنت اشیاء یا IoT معمولاً دستگاه‌هایی هستند که در هر جای شبکه ممکن است اتصال برقرار کنند.

دستگاه‌های درمانی مانند پمپ‌های تزریق دارو و دستگاه‌های MRI نمونه‌ای از رشد شبکۀ اینترنت اشیاء است. با تکثیر دستگاه‌های اینترنت اشیاء سازمان‌ها می‌توانند دچار مشکلات امنیتی شوند، چرا که تمامی این دستگاه‌ها قابل نظارت نیستند. از چالش‌های امنیتی در مقابل دستگاه‌های اینترنت اشیاء می‌توان از فراهم کردن دسترسی‌های مناسب در بستر شبکه هم در لایۀ یک و هم در لایه‌های بالاتر یاد کرد.

برای مثال، یک دستگاه درمانی باید به یک قسمت خاص از یک محیط درمانی دسترسی داشته باشد و افرادی که اجازۀ استفاده از آن را دارند باید تعیین شوند. آیا این دستگاه‌ها اجازۀ دسترسی اینترنت از طریق وای فای را دارند؟ آیا باید با سیم به شبکه متصل شوند؟

نتیجه

امروزه تهدیدهای شبکه به سرعت زیادتر و جدی‌تر شده و سرعت در تشخیص این تهدیدها و از بین بردن و مهار آن‌ها به امری حیاتی برای تیم‌های امنیت شبکۀ سازمان‌ها تبدیل شده است. اما با پیاده‌سازی پلتفرم Cisco ISE و یکپارچه‌سازی ابزارهای امنیتی که pxGrid را پشتیبانی می‌کنند می‌توان امنیت شبکه را تأمین کرد.

چهارچوب pxGrid به ما در دقیق عمل کردن و خودکارسازی در بحث امنیت در سازمان‌ها و کسب و کارها کمک خواهد کرد تا تمامی پلتفرم‌های امنیتی بدون در نظر گرفتن API‌های مختلف با یکدیگر ارتباط برقرار کنند.

منابع

محتواهای مرتبط

نظرات کاربران: