In diesem Abschnitt wird die allgemeine Funktionalität beschrieben, die alle ENC-Knoten ausführen müssen, um in die virtuelle ENC-Infrastruktur aufgenommen zu werden. Die allgemeine Funktionalität wird in drei verschiedene Phasen unterteilt: die physische Verbindung, die Authentifizierung und schließlich die Autorisierung.
Alle Knoten müssen in der Tabelle mit der weißen Liste der IP-Adressen aufgelistet sein, damit in der ersten Instanz zugelassen wird, dass sie eine Verbindung zum Ziel-ENC-Knoten herstellen. Für jede zu einem ENC-Knoten hergestellte Verbindung wird die Autorisierungskomponente aufgerufen, um zu prüfen, ob der Zugriff erlaubt oder verweigert werden soll. Wenn der Zugriff verweigert wird, wird die Verbindung sofort beendet.
Sobald eine Netzwerkübertragungsverbindung hergestellt wurde, verwenden beide an der Kommunikation beteiligten Peers das TLS-Protokoll, um sich gegenseitig zu authentifizieren und über eine vertrauenswürdige Drittanbieter-Zertifizierungsstelle zu validieren, ob die authentifizierte Identität vertrauenswürdig und derzeit gültig ist.
Im Anschluss an die Authentifizierungphase wird die authentifizierte Identität zur Ereignisprüfung 'Authentifizierte Verbindung' an die Autorisierungskomponente weitergeleitet. Das gesicherte Objekt für dieses Ereignis ist der Ziel-ENC-Knoten. Es kann eine Zugriffsregel zum Zulassen (oder Verweigern) dieses Vorgangs mit dem einzelnen Computer als gesichertes Objekt, mit einer Gruppe von Computernamen, die über einen Musterübereinstimmungsausdruck angegeben wurde, oder über die Bereichszugehörigkeit angegeben werden.
Fehler in der oben angegebenen Sequenz werden durch das Sicherheitsüberwachungs-Subsystem aufgezeichnet, wenn die entsprechende Kategorie oder Meldungen aktiviert sind. Die Überwachungskomponente kann auch so konfiguriert werden, dass sie ebenfalls alle erfolgreichen Vorgänge aufzeichnet.
Alle ENC-Knoten, egal, ob Server, Router oder Client-Agent, führen eine Registrierung auf den Knoten durch, zu denen sie eine Verbindung herstellen. Für jeden Registrierungstyp wird ein separates Ereignis definiert, da es nur ENC-Gateway-Server-Knoten erlaubt werden soll, einen Serverregistrierungsvorgang durchzuführen, nur ENC-Gateway-Router eine Router-Registrierung durchführen dürfen usw.
Abhängig von Ihrer Infrastruktur können Sie einzelne Zugriffssteuerungseinträge für jedes Ereignis und/oder jedes gesicherte Objekt erstellen oder Ereignisse und Computer innerhalb eines Bereichs in Gruppen zusammenfassen, um eine gröber strukturierte Zugriffssteuerung zu erhalten.
|
Copyright © 2013 CA.
Alle Rechte vorbehalten.
|
|