Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Administración de seguridad - Septiembre 2006

Microsoft está comprometido con la interoperabilidad con su solución de protección de acceso a la red.

Publicado: septiembre 29, aaaa
Security Management

Por Mike Schutz
Gerente de productos de grupo, Productos de seguridad y acceso, Microsoft Corporation

Consulte otras columnas de Administración de seguridad (en inglés).

*

Microsoft trabaja con líderes de la industria de redes y seguridad y colabora con Cisco en la arquitectura interoperable para NAP y NAC

En los últimos dos años hubo un gran alboroto entorno al término “Control de acceso a la red” (NAC). Con el alboroto, hubo confusión para muchos profesionales de la informática y directores de sistemas (CIOs) acerca de lo que es NAC, cómo implementarlo, cuáles son los beneficios y cómo pueden trabajar juntos los diferentes sabores de NAC.

En términos simples, el NAC genérico es un esquema diseñado para proteger su red contra dispositivos de extremos que representan una amenaza para su infraestructura de informática y permitir el acceso a la red a extremos de confianza. En otras palabras, permite que los chicos buenos entren mientras mantiene a los chicos malos afuera.

Pero, como ya sabe, no es así de sencillo. Es por esto que proveedores como Microsoft desarrollaron soluciones que proporcionan controles granulares a nivel política y la capacidad de ayudar a poner en cuarentena o remediar los extremos que acceden a la red si no cumplen con las políticas de seguridad.

Una solución es Protección de acceso a red (NAP) de Microsoft. NAP es una plataforma de cumplimento de políticas integrada en el sistema operativo Windows tanto en Windows Vista para el escritorio como en Windows Server (nombre en clave “Longhorn”). NAP inspecciona, evalúa y ayuda a garantizar el cumplimiento de las políticas y remediar, en caso de ser necesario, todas las máquinas basadas en Windows que solicitan acceso a la red. Con NAP, los clientes pueden crear requisitos personalizados de políticas de salud del sistema para todos los dispositivos que intentan acceder o comunicarse con la infraestructura de informática.

También hay otras soluciones líderes de Control de acceso a la red, tales como Cisco Network Admission Control (CNAC), que es un conjunto de soluciones y tecnologías integrado en los productos de infraestructura de red de Cisco, y la iniciativa Trusted Network Computing (TNC) de Trusted Computing Group. También hay soluciones de punto NAC que ofrecen los proveedores en todo el mercado.

Estas iniciativas comparten la meta común de intentar ayudarle a proteger los recursos de su infraestructura y red. De hecho, el espíritu del Control de acceso a la red es hacer posible un esquema de integración e interoperabilidad entre plataformas y soluciones. Sin embargo, para lograrlo, estas diferentes soluciones deben trabajar en conjunto y crear un entorno interoperable para los clientes.

Es por ello que las compañías en todo el panorama de NAC están colaborando y proporcionando a los clientes soluciones integradas o interoperables. Por ejemplo, en la conferencia sobre Interoperabilidad que se llevó a cabo este mayo pasado, varios proveedores líderes de redes, seguridad y acceso remoto demostraron que sus productos trabajan con NAP de Microsoft. Con todo, más de 65 compañías de tecnología anunciaron su apoyo para la tecnología NAP de Microsoft. Estas compañías incluyeron proveedores de antivirus, firewall, detección y prevención de intrusiones, administración de revisiones, red privada virtual (VPN) de SSL y de aplicación de NAC, así como integradores de sistemas.

Microsoft y Cisco han estado colaborando durante dos años para conseguir la interoperabilidad entre NAP de Microsoft y NAC de Cisco. A principios de este mes, cumplieron su promesa de interoperar. Las compañías dieron a conocer una arquitectura NAP-NAC interoperable conjunta, que hace posible la comunicación y el cumplimiento de políticas entre las soluciones de cada compañía. Con esta arquitectura, se puede integrar una solución de múltiples proveedores y de extremo a extremo entorno a la interoperabilidad de Cisco-Microsoft.

Las dos compañías también co-escribieron unas notas del producto técnicas que proporcionan detalles sobre cómo integrar las capacidades de seguridad incrustadas de la infraestructura de red de Cisco con las de Windows Vista y Windows Server “Longhorn.” (Obtenga una copia en inglés de las notas del producto en www.microsoft.com/nap.)

Como parte del mapa conjunto, Microsoft y Cisco implementarán una versión en desarrollo limitada de la interoperabildad de NAP y NAC más adelante este año para un grupo selecto de compañías. Los clientes podrán comenzar a implementar la interoperabilidad de NAP-NAC una vez que se envíe Windows Server “Longhorn”, lo cual se espera que ocurra en el segundo semestre del 2007.

La arquitectura conjunta incluye una combinación de componentes de Microsoft y Cisco que interoperan para ayudar con el cumplimiento de los requisitos de salud y seguridad para el acceso a la red. A continuación ofrecemos un vistazo rápido a esos componentes y cómo funcionan:

Cliente NAP (Microsoft): Este PC, que se ejecuta en Windows Vista o Windows Server "Longhorn", envía sus credenciales de salud ya sea como una lista de Declaraciones de salud (SoHs) o un certificado de salud. La arquitectura del cliente consiste de una capa de Agentes de salud del sistema (SHAs), el Agente NAP, métodos del protocolo de autenticación extensible (EAP) para realizar la autenticación de la credencial de responsabilidad y la indicación del estado de salud, el Cliente de cumplimiento NAP EAPHost y los suplicantes EAP que permiten que el cliente envíe mensajes EAP a través de 802.1X o el Protocolo de datagrama de usuario (UDP). Para obtener un certificado de salud actual, el cliente NAP utilizar el Protocolo de inscripción de certificados de salud (HCEP) para enviar una solicitud de certificado y su lista de SoHs a la Autoridad de registro de salud (HRA).

Dispositivos de acceso a la red (Cisco): Los dispositivos de acceso a la red habilitados con NAC de Cisco (incluyendo conmutadores, enrutadores, puntos de acceso inalámbricos y concentradores VPN) proporcionan acceso a la red a los clientes y sirven como puntos de cumplimiento de red.

Servidor de control de acceso (ACS) (Cisco): El ACS seguro de Cisco autoriza el acceso a la red para clientes al validar los atributos del cliente especificados de manera administrativa, que pueden incluir la identidad del usuario y del PC, y el estado de salud general del cliente. El ACS seguro de Cisco envía un perfil de acceso a los dispositivos de acceso a la red para otorgar el nivel indicado de acceso a la red para el cliente con base en el resultado de la autorización. Observe que la validación de los atributos del estado de salud del cliente y la asignación del estado de salud del cliente en general en la arquitectura de interoperabilidad la lleva a cabo el Servidor de políticas de red de Microsoft.

Servidor de políticas de red (NPS) (Microsoft): Un NPS de Microsoft, que se basa en Windows Server “Longhorn,” la siguiente versión del sistema operativo Windows Server, realiza la validación de la salud del sistema del PC y proporciona instrucciones de remediación en caso de ser necesario.

Autoridad de registro de salud (Microsoft): Una HRA obtiene certificados de salud en nombre de los clientes NAP de una infraestructura de clave pública (PKI).

Servidores de políticas (Microsoft o un tercero): Los servidores de políticas proporcionan el estado actual de salud del sistema para NPSs de Microsoft. Se integran con NPSs de Microsoft a través de la interfaz de programación de aplicaciones (API) del Validador de salud del sistema (SHV) de NPS.

Los clientes nos han proporcionado retroalimentación clara respecto a que les gustaría que las soluciones de Microsoft y Cisco pudieran interoperar entre sí para ofrecer una mayor flexibilidad al cumplir sus iniciativas estratégicas. Con esta arquitectura conjunta, ya no se verán forzados a elegir entre NAC de Cisco y NAP de Microsoft, sino que podrán obtener los beneficios de ambos.

Los clientes podrán elegir componentes, infraestructura y tecnología con base en lo que sirve mejor para sus necesidades de negocios. Además, la arquitectura de interoperabilidad ayuda a proteger las inversiones en implementaciones de NAC y NAP. Por ejemplo, usted puede comenzar a implementar NAC de Cisco hoy e integrar NAP en el entorno al mismo tiempo que su implementación de Windows Vista y Windows Server “Longhorn.”

Otros beneficios clave de la interoperabilidad entre Cisco y Microsoft incluyen:

Agente único incluido en Windows Vista: Los PCs que se ejecutan en Windows Vista o Windows Server "Longhorn" incluirán el componente Agente NAP como parte del sistema operativo central, que se puede utilizar tanto para NAP como para NAC

Ecosistema de integración de proveedores de software independientes: Para simplificar el desarrollo de componentes de agentes de salud y de cumplimiento de normas de salud de terceros para clientes que se ejecutan en Windows Vista, las APIs del cliente NAP servirán como la interfaz programática única para la generación de informes y cumplimiento de normas de salud tanto para NAP como para NAC de Cisco

Implementación de agentes y soporte de actualización: La experiencia del cliente y el proceso para implementar los componentes de agente necesarios para la interoperabilidad con Windows Vista y Windows Server “Longhorn” será similar a implementar los servicios comunes del sistema operativo Windows y los mecanismos de distribución de componentes del cliente Windows Update / Windows Server Update Services.

Soporte entre plataformas: Para soportar sistemas operativos cliente que no sean Windows, Microsoft emitirá elementos de licencia de la tecnología del cliente NAP que brindan soporte tanto a NAP como a NAC de Cisco para desarrolladores de software de terceros. Cisco seguirá brindando soporte y desarrollando su cliente NAC (el Agente de confianza de Cisco) para plataformas que no son Windows Vista ni Windows Server “Longhorn”, y continuará ejecutando su dirección emitida públicamente para enviar los protocolos NAC de Cisco para fines de estandarización a través de los procesos de estándares abiertos.

Mientras lee esto, es probable que se pregunte por qué necesita NAP o NAC o alguno de los sabores de control de acceso a la red. Estos tipos de soluciones se están volviendo más importantes debido a las tendencias que convergen alrededor de la influencia de la banda ancha, la movilidad de la fuerza de trabajo, los ataques maliciosos y el software, así como a la mayor complejidad de la informática.

Las amenazas contra la infraestructura de informática siempre están cambiando y se están volviendo más sofisticadas y peligrosas. Al mismo tiempo, la fuerza de trabajo móvil y el entorno de negocios global actuales requieren acceso a la red prácticamente cada minuto del día desde todos los extremos, tanto administrados como no administrados. Esto está creando una mayor demanda que nunca de proporcionar acceso ubicuo a las redes y activos corporativos de una manera barata, sencilla e integrada pero sin sacrificar la seguridad. Más aun, las conexiones remotas, la conectividad inalámbrica y las máquinas desconocidas que acceden a la red contribuyen a una complejidad de informática adicional al agregar “capas” de tecnología que requieren más recursos de informática y más apoyo del departamento de soporte técnico. Como resultado, los profesionales de informática necesitan más control sobre los métodos de acceso y el cumplimiento de las políticas para proteger los activos de la compañía y de informática.

Microsoft considera que NAP le ofrece la visibilidad y el control que necesita como profesional de informática. Sin embargo, también nos damos cuenta de que hay elementos de su infraestructura de informática que NAP no controla y que necesita para poder operar, tales como un entorno heterogéneo de cliente y hardware de red de varios proveedores como Cisco. Es por esto que además de seguir invirtiendo en NAP y tecnologías relacionadas, también estamos trabajando con el ecosistema de redes y seguridad para ayudar a proporcionar a los clientes una solución más completa y permitir que los clientes implementen NAP en su infraestructura implementada existente.



©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft