Autor
Rick Macchio
Categorías
Gobierno Federal de EE. UU. RUCKUSLas agencias de defensa, inteligencia y civiles federales necesitan un acceso rápido a las últimas tecnologías para proteger los datos altamente clasificados y lograr los objetivos de la misión.
Históricamente, el Departamento de Defensa (Department of Defense, DoD) utilizaba lo que se conoce como dispositivos de cifrado de tipo 1 para proteger los datos clasificados que se transmiten. Estos dispositivos son caros de desarrollar y mantener, y también requieren servicios de mensajería armados cuando se transportan al extranjero porque corren el riesgo de verse comprometidos.
Para proporcionar una opción más flexible y menos costosa para proteger la información clasificada, la Agencia Nacional de Seguridad (NSA) desarrolló el programa Soluciones comerciales para clasificados (CSfC). Esto permite que los productos comerciales certificados se empleen en una solución por capas para proporcionar protección de datos hasta Top Secret.
HAGA CLIC PARA USAR TWITTER: CommScope eleva el nivel de protección de los datos clasificados
Cómo funciona una solución de red en capas CSfC
El concepto implica el uso de un túnel cifrado que posteriormente se cifra a través de otro túnel. Los puntos finales del túnel determinan dónde se encuentran los límites de seguridad. Ambos túneles terminan en el dispositivo del usuario final, lo que garantiza que los datos clasificados se cifran dos veces en cuanto salen de ese dispositivo. La parte de la red donde los datos se cifran dos veces se denomina Red negra. Los datos se consideran totalmente protegidos en la Red negra, que puede estar expuesta a terceros. La Red gris es la parte donde los datos solo se cifran una vez. Esta parte de la red está bajo el control físico del propietario de la solución o de un tercero de confianza. Una vez que los datos se descifran completamente, una vez más está totalmente clasificado y en Red Network (sea cual sea la clasificación). Consulte este documento del Paquete de capacidad de red de área local inalámbrica NSA para obtener más detalles.
RUCKUS y CSfC
La mayoría de las personas familiarizadas con la línea de productos RUCKUS son conscientes de que hemos tenido una solución CSfC de sitio a sitio en los conmutadores de acceso ICX 7450. Esta solución, que cumple con el paquete CSfC Multi-Site Connectivity Capability Package, es capaz de proporcionar uno de los túneles estáticamente entre dos puntos; por ejemplo, desde una base hasta un poste remoto que solo está conectado a través de líneas comerciales.
RUCKUS los puntos de acceso (AP) se han certificado recientemente en virtud del paquete de capacidad de WLAN para campus CSfC. Este paquete permite que el cifrado Wi-Fi, WPA2 o WPA3, proporcione un cifrado parcial para el túnel exterior. Este túnel exterior se puede extender desde el enlace ascendente AP a un plano de datos (DP) utilizando el cifrado IPSEC. Dicho esto, sigue siendo necesario un túnel interior proporcionado por un cliente VPN en el dispositivo del usuario a la puerta de enlace VPN en el borde del enclave clasificado.
La siguiente ilustración proporciona una descripción general de cómo es esta solución en un entorno de agencia. El plano de datos (DP) en la sede central (o un centro de datos) terminaría túneles de miles de AP remotos. Los dispositivos DP se pueden agrupar para redundancia (o incluso capacidad adicional) con hasta 10 DP gestionados por instancia de SmartZone (SZ).
/368684c63bd911f0bf6e669f50b59905)
Una característica útil de esta arquitectura es que el túnel exterior no requiere nada instalado en el dispositivo del usuario (sí, sigue necesitando ese túnel interno que requiere que se instale algo de software). El cliente Wi-Fi ya está ahí y el AP (a la dirección de SmartZone) gestiona el cifrado desde la interfaz inalámbrica del dispositivo del usuario hasta el DP. Los AP se pueden preaprovisionar fácilmente conectándolos a la red para que se puedan importar a las zonas de gestión del servidor de SmartZone. Si los AP deben enviarse sin configuración, la organización puede cargar la información de su dispositivo en el sitio de registro de RUCKUS donde se puede utilizar para garantizar que el AP enviado encuentre el controlador SmartZone.
¿Qué ocurrirá en el futuro?
Para los clientes gubernamentales que buscan implementar CSfC en sitios remotos o usuarios domésticos que necesitan teletrabajar a un nivel clasificado, busque un integrador de confianza de CSfC que esté autorizado a diseñar y aprobar dichas soluciones. CommScope está trabajando con varios integradores de confianza para ayudarles a equiparlos con la información necesaria para implementar nuestros productos como parte de una solución CSfC.
