Rozwiązania oparte na takiej technologii są stosowane od lat w odniesieniu do aplikacji. Tym razem Cisco zdecydował się zastosować podobną metodę na poziomie sieci. TrustSec różni się tym od mającej już 6 lat firmowej architektury Self-Defending Networks (która likwiduje zagrożenia stosując takie rozwiązania, jak zapory oraz systemy IDS), że kontroluje użytkowników, sprawdzając dokładnie jaką rolę pełnią w danej sieci.

I tak np. po wdrożeniu architektury TrustSec użytkownicy pracujący w oddziałach sprzedaży czy finansowym są automatycznie rozpoznawani przez przełączniki Cisco, które przyznają im następnie prawa dostępu na określony czas (na podstawie zdefiniowanych wcześniej przez administratora zasad) do określonych zasobów i usług sieci (np. prawo do korzystania z aplikacji Skype). Po przekroczeniu limitu czasu, przełączniki wyłączają sesje Skype zainicjowane przez użytkowników pracujących w każdym z tych oddziałów.

Zobacz również:

• Cyberobrona? Mamy w planach
• Szykuje się kolejny pozew UE przeciwko firmie OpenAI
• Sztuczna inteligencja od Apple wymagać może nowych procesorów

Prace nad architekturą TrustSec trwały cztery lata. Jest ona oparta głównie na przełącznikach Cisco wyposażonych w oprogramowanie Supervisor Engine 32 Programmable Intelligent Services Accelerator (PISA). Oprogramowanie przechwytuje pakiety i analizuje ich zawartość, sprawdzając z jakich zasobów sieci dany użytkownik chce korzystać i badając czy jest to zgodne z obowiązującymi w danej sieci zasadami. TrustSec wymaga wprowadzenia do warstwy sprzętowej i programistycznej przełączników odpowiednich modyfikacji. Zmodyfikować też trzeba wtedy serwer AAA (Authentication, Authorization, Accounting).

Modyfikacje obsługują nowe metody szyfrowania, znaczniki SGT (Security Group Tags) oparte na standardzie IEEE 802.1AE, listy SGACL (Security Group Access Control List) i protokół SAP (Security Association Protocol).

Standard 802.1AE pozwala przypisywać danym różne priorytety (biorąc pod uwagę określone wymagania biznesowe), zapewniając jednocześnie zaszyfrowanym danym integralność. Listy SGACL biorą pod uwagę rolę użytkowników (a nie numer IP podsieci), oddzielając w ten sposób mechanizm kontrolujący dostęp do sieci od fizycznej topologii sieci.

Architekturę TrustSec będzie można wdrażać przez następnych 18 miesięcy na bazie różnych platform oferowanych przez Cisco. Najpierw, w pierwszym kwartale 2008 r., będzie to można robić w środowiskach opartych na przełącznikach Catalyst 6500.