系列介绍
有时你必须回顾过去,为未来制定正确的战略。当我与我的团队一起定义未来的网络解决方案时,我一直在思考我们行业的历史,并试图分析我们的架构选择和竞争对手的架构选择。我发现这个练习对于我们开发下一代产品的努力非常有用。当我与客户谈论我们的下一代体系结构和产品时,我发现将对话与历史背景结合起来是展示我们发展道路的有力方式。这是一系列博客中的第一篇,请回头查看更多。
当我在2002年创办阿鲁巴时,有两个关键挑战是企业试图解决的。一个与安全有关,第二个与企业级无线局域网的管理有关。我想把这篇文章的重点放在安全性上,因为我们最初为无线局域网中的移动性构建的安全模型已经很好地转化为今天的有线局域网需求。我还看到,越来越需要一个强健的企业物联网安全架构,这些需求与我们在阿鲁巴早期建立的能力之间存在相似之处。
在构建我们的WLAN安全架构时,我们首先解决的问题是认证. 无线电波的挑战在于,它们不一定包含在建筑物的墙壁内;他们可以从停车场或隔壁等物理访问限制无法控制的区域“听到”。由于射频的性质允许不受物理访问控制的用户连接到网络,因此该体系结构需要某种准入控制来了解谁在尝试连接以及他们是否有权连接。这一步骤称为身份验证,它允许我们确保只有经过授权的用户和设备连接到网络。
接下来我们要解决的是加密。通过解决身份验证问题,我们消除了未经授权的用户连接到网络的风险,但他们仍然可以窥探组织内外的物理数据传输。我们寻找了当时市场上最强大的加密套件来解决这个问题。身份验证和加密的结合导致了802.11i标准的创建,该标准现在被更广泛地称为WPA或WPA2。大多数供应商在此停止,因为这是符合标准的要求。
在阿鲁巴,我们更进一步,提出了一个问题:“一旦这些用户和设备经过身份验证和加密,它们可以做什么?”。这通常称为授权,是确保安全性的关键步骤。当时,如果您将无线LAN实现为有线LAN的扩展,则通常现有的授权策略(如ACL)只是从有线LAN扩展到无线LAN。但是,如果您以移动优先的方式进行思考,那么有线LAN将成为支持无线用户的基础设施,访问控制策略将绑定到用户,而不是连接到的有线LAN。这是我们如何构建授权框架背后的关键见解。
我们决定,我们应该构建一个将策略绑定到用户的系统,并且策略必须跟随用户在网络上漫游的任何位置。这就是我们的口号“人们行动,网络必须跟随”的由来。接下来,我们定义了网络管理员保护(和控制)其网络所需的策略类型。这导致了建立一个状态防火墙实施我们希望向客户提供的高级策略。我们给自己带来的挑战是,这需要一个防火墙,可以控制每用户级别的流量,而不是网络防火墙可以在每接口或每VLAN级别实现的功能。
每用户防火墙成为阿鲁巴区别对待的中心点。直到今天,它们仍然是我们差异化的一个核心方面。随着我们看到客户网络中的需求从有状态防火墙转变为应用程序感知防火墙,最后转变为利用信誉保护端点的防火墙,我们一直在利用其功能。我们的客户将继续看到这一领域的创新,因为我们将其视为安全体系结构的关键部分。
我们开始了无线旅行但当我研究有线网络的需求时,它们几乎是一样的;网络管理员需要能够识别连接到网络的用户或端点,能够通过网络安全地传输其数据,并且能够对该流量强制执行策略以确保安全。这就是为什么我们只是将架构扩展到有线局域网,而不是重新发明轮子的原因。当我们展望安全物联网网络的需求时,我们已经为用户网络构建的许多功能已经非常好地转化为物联网世界。一个这样的例子是我们的客户端隔离功能及其禁止物联网端点之间通信以阻止恶意软件传播的能力。我为我们早期在阿鲁巴定义的安全架构感到自豪,因为它已经证明了时间的考验。
我最近注意到的一个有趣的趋势是,我们的许多竞争对手将需求策略和策略跟踪网络用户的能力称为“新功能”;他们吹嘘说,他们在网络产品中构建了策略执行引擎,从而彻底改变了校园安全。我的蓝色同事最近通过“DNA”和“SD访问”对此发表了意见。我相信“模仿是最真诚的奉承方式”的概念,但他们在设计上做出了一些“有趣”的选择。更多关于这一点,将在以后的帖子中发布。
在阿鲁巴,我们喜欢把自己想象成一家隐藏在网络公司体内的安全公司,我觉得这是因为我们有着深厚的根基,并一直致力于帮助我们的客户建立世界上最安全的网络。在我的下一篇文章中,我想谈一谈进化和阿鲁巴对细分的一般想法。
