SD-Access de Cisco es parte de la plataforma DNA que proporciona una capa adicional de análisis y controles sobre las políticas de acceso, segmentación de la red y monitoreo de terminales. Es un producto todo en uno que proporciona otra capa vital de seguridad y protección de la privacidad.
SD-Access es una combinación de dos elementos: SDN y el borde de acceso. El resultado es una red con un sistema de gestión centralizado y políticas de seguridad mejoradas. SD-Access aplica los principios de las redes definidas por software, o SDN, en el acceso de la red. SD-Access coloca los equipos en la capa de acceso bajo la gestión de un controlador de red centralizado en lugar de gestionar cada dispositivo como una entidad independiente.
El objetivo del SD-Access es impulsar el control detallado del acceso a la red hasta el borde. El principal impulsor de la adopción del SD-Access empresarial es el deseo de mejorar la seguridad de la red. Aunque la gestión centralizada al estilo SDN puede controlar todos los aspectos del comportamiento de los equipos de acceso, la motivación principal para SD-Access es reforzar los controles de seguridad sobre quién y qué puede conectarse, así como determinar qué pueden hacer las entidades conectadas.
¿Cómo funciona SD-Access?
SD-Access funciona uniendo los siguientes tres elementos:
• Control de acceso perimetral
• Un motor de políticas centralizado
• Análisis de amenazas conductuales
Control de acceso perimetral
Los routers de borde proporcionan la parte de control de acceso. Exigen la autenticación inicial de la identidad del sistema y cualquier reautenticación después de la admisión inicial. También asignan LAN virtuales (VLAN) y aplican listas de control de acceso (ACL) a cada puerto, controlando a qué partes de la red puede llegar ese puerto. En una red convencional, esas asignaciones son esencialmente estáticas; en una red tipo SD-Access, son dinámicas y están sujetas a actualización en cualquier momento.
Cuando cambia una política, esas asignaciones también pueden cambiar. Dichos cambios se aplicarán de inmediato y los sistemas se volverán a autenticar y autorizar. Cuando un sistema se comporta mal y debe aislarse de otros sistemas, su puerto puede bloquearse o asignarse a una VLAN de cuarentena.
Motor de políticas centralizado
Los routers perimetrales asignan puertos a las VLAN y aplican ACL según la dirección de un motor de políticas centralizado. En el núcleo de un sistema de SD-Access, los routers de borde implementan políticas de acceso, que son las que permiten, pero no requieren, que el SD-Access implemente la confianza cero. Las políticas de acceso pueden crear una amplia gama de entornos de seguridad. Estos pueden variar desde completamente abiertos, que no requieren ningún tipo de autorización, hasta confianza totalmente cero, que bloquea todo acceso que no esté permitido explícitamente.
Análisis de amenazas conductuales
La herramienta de análisis de amenazas conductuales hace que la red de SD-Access tenga en cuenta el comportamiento, lo cual es esencial para implementar un perímetro definido por software (SDP) o acceso a red de confianza cero (ZTNA). Puede detectar anomalías en el comportamiento (como comportamientos asociados con ataques o sistemas comprometidos) y notificar al motor de políticas. Luego, el motor de políticas puede indicarle a la red perimetral que bloquee, ponga en cuarentena o restrinja el acceso de la entidad o identidad asociada.El SD-Access es uno de los muchos enfoques hacia la confianza cero (zero trust). Las empresas interesadas en impulsar la confianza cero en el borde de acceso de sus redes deberían evaluar el SD-Access junto con otras opciones, como SDP. Además, deberían considerar implementar ZTNA tan pronto como los recursos lo permitan.