Informazioni personali

Cerca nel blog

Translate

mercoledì 17 marzo 2010

Going Beta – la nuova serie “S”

Cosa bolle in pentola.
Come avevo scritto in precedenza sto  testando il nuovo AsyncOS per la serie “S” con le novità.
Ho già abbondantemente parlato in precedenza del CIWUC, Cisco IronPort Web Usage Control.
Devo ammettere che anche le altre le novità sono estremamente interessanti.
Eccone alcuni succosi:
Antivirus: fa la sua comparsa il secondo motore antivirus, Sophos.
I due motori MacAfee e Sophos non possono andare contemporaneamente , ma si può segliere quale utilizzare, nel caso si licenzino entrambi, a livello di access policy.
Cisco Mobile User Security: questa nuova voce fa riferimento alla integrazione possibile con gli apparati Cisco ASA per gestire i mobile user

la idea fondamentalmente è la seguente:
un utente remoto si connette attraverso il clinet cisco ssl Anyconnect su un ASA.
A seguito della autenticazione ASA determina un profilo per questo utente che viene associato opportunamente ad una policy di WSA. In questo modo l’utente può effettuare il browsing della rete restando compliant alle regole aziendali in merito alla navigazione.
Il client AnyConnet consente di definire diverse policy di connessione, la piu interessante è la possibilità di avere l’Always ON.
In altre parole il portatile (o iphone) appena acceso alza il client anyconnect che cerca di effettuare la connessione cercando l’ASA più vicino.

In caso di disconnessione per mancanza di rete (si pensi alla rete wireless o allo spostamento da una rete ad una altra di un utente, ad esempio) il client anyconnet ritenta appena disponibile la rete una nuova connessione senza richiedere all’utente di reimmettere le credenziali.
Lo sto usando sul mio PC aziendale e sono francamente entusiasta, finalmente non divento piu matto a immettere il mio token per rientrare in rete tutte le volte che il mio provider decide che internet è un lusso non garantito anche se pago il canone 🙂
Anyconnect è anche in grado di gestire correttamente le eccezzioni quali la connessione vincolata ad un proxy, come quando ci si connette da un albergo.
PS: funziona anche si Wondows7 e, udite udite, su vista!!!!
Il risultato è che un utente può connettersi, attraverso internet, alla propria rete aziendale ed alle sue risorse intranet praticamente ovunque e con un bassissimo effort di gestione permettendo contestualmente l’enforcing di regole di navigazione e di security adatte alle varie circostanze della navigazione.
Identities: Ai parametri di definizione delle Identities troviamo adesso la possibilità di difinire utenti per location: remote o locale.
considerando che i profili remote possono essere definiti sia per subnet che attraverso un ASA si aprono scenari interessanti per la definizione delle policy degli utenti.
Diventa fattibile quindi la discriminazione di policy basate per location e quindi gestire l’accesso alle risporse della intranet, ad esempio, in maniera diversa nel caso l’accesso sia locale o remoto. Nel caso non sia presente un ASA ed il relativo client anyconnect lavorando sulle subnet si possono comunque ottenere policy opportunamente granulari, si pensi ad esempio alla possibilità di immettere utenti non compliant ai requirement NACNAP in una rete IP di “quarantena” e gestire conseguentemente anche le politiche di browsing.
Access Policy-url filtering: nelle access policy le novità CHE riguardano la parte di URL filtering sono associate al motore CIWUC.
La prima cosa che balza all’occhio (ma le voci sono in fondo ) è la presenza delle voci “safe search” e “content rating”.
la prima voce fa riferimento alla abilitazione del tag safesearch che viene gestito dai principali search content provider:Bing, Google Search, Yahoo Search
questa permette di ripulire i risulktati provenienti da una ricerca da fonti non sicure.
La seconda voce fa riferimento alla possibilità di filtrare contenuti marcati come “adult” lasciando l’accesso generale al sito. Siti come youtube, flicker o craiglist offrono questo tipo di rating consentendo cosi di mantenere l’accesso al sito eliminando solo i contenuti indesiderati.
Access Policy-Application visibility and Control: questa parte è completamente nuova e fa riferimento al motore di gestione delle applicazioni.
Istant messengers, conferencing (il primo messo webex…mi sembra doveroso), media P2P.
finalmente possiamo gestire rate limiting e controllo sulle applicazioni sia a livello di policy per utente che a livello generale.
la lista delle applicazioni è al momento incompleta, ma andiamo sono in beta fresca fresca non posso pretendere tutto. Intanto google, yahoo ed msn messenger ci sono (e gli posso pure bloccare il file transfert)!
Access Policy–DVS Anti Malware: qui la cosa si fa piu semplice posso scegliere se usare, per policy, webroot o MacAfee 🙂
Overall Badwith Limit: posso, adesso, decidere anche se limitare la banda per lo streaming media indipendentemente da chi si connette. la bada disponibile verrà divisa tra gli utenti, anche tenendo conto delle limitiazioni imposte a livello di access policy. In altre parole salvo indicazione diversa la banda dispobile verrà divisa in maniera paritetica tra gli utenti che navigano a meno che non sorgano ulteriori  limitazioni provenienti da Access policy.
Outbound Malware Scanning: qui possiamo scegliere se fare la scansione degli upload per il malware e scegliere il motore antivirus da utilizzare. possiamo anche disciminare per URL se fare o meno questa scansione.
Non ho descritto tutto, alcune features non ho ancora avuto il tempo neanche di guardarle, (ad esempio le SaaS policies), in compenso alcuni servizi come l’integrazione con un DLP esterno (RSA, Vontu, Palisade) sono al momento fuori dalla mia portata (non ho un network cosi grande che giustifichi il costo di un  DLP :)) ma apppena ho news possiamo parlarne.
Per il momento il feedback generale è che il prodotto fa un ulteriore step avanti mantenendo le caratteristiche di solidità e facilità che lo contraddistinguono. la roadmap è ricca e piena e quindi le novità non si fermeranno certo a questa release che dovrebbe uscire giugnoluglio, quindi l’invito a mettere feature request sempre e comunque via appliance interface è sempre valido anzi ancora piu importante visto l’effort di sviluppo sulla piattaforma.
è troppo presto per parlare dell’impatto sulle performance dei nuovi servizi, ma ad occhio e croce l’antivirus non dovrebbe cambiarci la vita…e le nuove possibilità di gestione dovrebbero pesare meno degli improvement che sono stati fatti al motore e che non si vedono.

Nessun commento:

Posta un commento