Otwarty klient NAC

Cisco udostępnia kod klienta CTA jako open source, choć protokoły NAC pozostaną zamknięte

Cisco udostępnia kod klienta CTA jako open source, choć protokoły NAC pozostaną zamknięte

Cisco zamierza zrezygnować z rozwoju CTA (Cisco Trust Agent) i przekazać kod tego oprogramowania środowisku open source. Informację taką ujawnił Bob Gleichauf, odpowiedzialny za rozwój technologii (CTO) w Cisco Security Technology Group. Uwolnienie kodu CTA nastąpi za kilka miesięcy. Kliencka aplikacja CTA to element infrastruktury zabezpieczeń dostępu do sieci Cisco NAC (Network Admission Control), której strategia rozwoju ma ulec wkrótce zasadniczej modyfikacji.

Choć decyzja Cisco jest nieco zaskakująca, to jednak zrozumiała. Już we wrześniu 2006 r. firma zawarła porozumienie z Microsoft dotyczące współpracy w zapewnieniu zgodności między rozwijanymi niezależnie technologiami – Cisco NAC i Microsoft NAP (Network Access Protection). Jej efektem jest możliwość wykorzystania klientów NAP (np. w systemie Windows Vista) do obsługi funkcji NAC. Zgodnie z tym porozumieniem, zintegrowanym elementem rdzenia systemów i Windows Server miało być klienckie oprogramowanie NAP Agent zgodne z technologiami zarówno NAP, jak i NAC, a więc obsługujące protokoły EAP i 802.1X. Natomiast komputery pracujące pod kontrolą innych systemów, w tym Windows XP, miały wymagać niezależnej instalacji programów klienckich CTA lub NAP Agent, aby mogły współpracować z systemami NAC lub NAP. Dlatego też Cisco obiecywało opracowanie CTA dla innych niż Windows Vista systemów operacyjnych.

Nieco później jednak Microsoft i Cisco opracowały aktualizację dla Windows XP, która umożliwia obsługę protokołów 802.1x i EAP oraz eliminuje konieczność instalacji CTA również w tej wersji Windows. W efekcie potencjalny rynek dla CTA znacznie się zmniejszył.

Zmodyfikowana strategia NAC

Jak mówi Bob Gleichauf, udostępnienie kodu CTA jest elementem szerszej strategii Cisco, która widzi perspektywę w rozwoju oprogramowania wykraczającego poza samą kontrolę dostępu do sieci w kierunku technologii zajmującej się takimi problemami, jak bardziej zaawansowane mechanizmy wymuszania polityki bezpieczeństwa i zapobieganie niekontrolowanemu wyciekowi danych, w których nieznacznie większą rolę będzie miało oprogramowanie klienckie CSA (Cisco Security Agent). Eliminacja wycieków danych dotyczy takich mechanizmów, jak kontrola na styku obszarów, które są silnie zabezpieczone i tych, gdzie jest słabsza, np. załączników e-mail przekazywanych przez kanały IM.

„Z naszego punktu widzenia technologie te są związane przede wszystkim z koniecznością opracowania modelu definiującego ruch danych. Zdaliśmy sobie sprawę, że dane mają własn tożsamość i chcemy utworzy zestaw elementów kontrolujących, do jakich zasobów użytkownicy mogą mieć dostęp, przy uwzgldnieniu ich ról, aby móc okrelić, gdzie konkretnie dane mogą być przesyłane, a gdzie nie” – mówi Bob Gleichauf. Tego typu rozwiązania będą zawierać m.in. elementy technologii opracowanej przez przejętą przez Cisco firmę IronPort, które wykorzystują inteligentne mechanizmy blokowania niepożądanych wycieków danych przez kanały IM i WWW. Podobne mechanizmy mają być zintegrowane w routerach i przełącznikach Cisco, aby mogły one kontrolować przepływ danych w sieci oraz w oprogramowaniu agenta CSA, który będzie zabezpieczał system i wymuszał zgodność z polityką bezpieczeństwa na poziomie urządzeń klienckich.

Polityka troch otwarta

„Cisco wycofuje się z rozwiązań związanych z bezpośrednim zabezpieczaniem komputerów klienckich, koncentrując się na tych elementach, które mogą być lepszym uzupenieniem jej oferty oprogramowania sieciowego” – uważa Jon Oltsik, analityk z Enterprise Strategy Group. Z wypowiedzi Boba Gleichaufa można jednak wyciągnąć także inny wniosek – Cisco chce zmodyfikować architekturę NAC, która okazała się rozwiązaniem mało popularnym wśród użytkowników korporacyjnych przede wszystkim ze względu na wysokie koszty modernizacji infrastruktury sieciowej.

Nie ulega wątpliwości, że Cisco ma wielu klientów zdecydowanych na zakup urządzeń NAC Appliance (wcześniej znanych pod nazwą Clean Access), ale nie dotyczy to kompletnych rozwiązań NAC. Oprócz tego na rynku pojawiła się duża konkurencja – zarówno ze strony wielu mniejszych firm oferujących niszowe systemy NAC, jak i takich jak Symantec, Microsoft, Juniper Networks lub Trusted Computing Group, z których ta ostatnia opracowała otwartą i opartą na standardach architekturę TNC (Trusted Network Connect).

Bob Gleichauf przyznaje, że sprzedaż technologii NAC dla firm partnerskich nie spełnia oczekiwań, ale uważa, że rozwiązaniem tego problemu jest raczej zmniejszenie liczby partnerów niż jej zwiększanie. „Jeśli chodzi o NAC, to wpadliśmy w pułapkę wyścigu z TNC i Microsoft o zdobycie jak największej liczby partnerów. Ale tylko niewielka ich liczba rzeczywiście oferuje wartość dodaną, a większoci wystarcza po prostu nalepka z tytułem partnera Cisco” – dodaje. Dlatego też wprowadzając nowe technologie związane z systemami wykorzystującymi CSA, Cisco będzie oferować program partnerski dla mniejszej grupy, starannie dobranych firm, które zdecydują się na zawarcie porozumień dotyczących licencjonowania technologii Cisco, a nie będą koncentrować się na wsparciu otwartych standardów.

Steve Hannah, inżynier z Juniper Networks, biorący udział w pracach Trusted Computing Group, organizacji, która promuje standardy otwarte, jest zaniepokojony tego typu koncepcją – bo „choć zapowiedź udostępnienia kodu klienta NAC jest dobrym gestem, to dla środowiska open source jego wartość będzie niewielka, jeśli Cisco nie zgodzi się na opublikowanie protokołów NAC jako otwartego standardu”. Podobne zdanie ma też Jon Oltsik, który uważa, że otwarcie CTA jest tylko gestem politycznym zgodnym z obecnymi tendencjami, bo w praktyce aplikacja ta stała się dla Cisco produktem niemającym większego znaczenia, a jednocześnie firma ta ściśle kontroluje protokoły NAC wykorzystywane przez oprogramowanie CTA.wi