思科推出名为TrustSec的新安全架构，将让交换器有能力进行加解密，整合VPN与防火墙功能，达到节点与节点间完整的传输安全。

思科（Cisco）打喷嚏，全网络都感冒。用这句话形容在网络设备多项产品市场上都拥有极高市占率的思科，是再恰当也不过了。日前该公司公布了新的网络安全架构—TrustSec，此架构的主要精神，是利用在封包上加入1个16位长度卷标（Tag）的方式，让所有流量透过交换器进行加解密的功能，以此确保企业内网节点到节点（hop to hop）间的安全。此一架构将在明年初开始有新产品支持，旧有的思科交换器产品则将在未来18月内陆续支持。此种以加密确保节点间传输安全的做法，未来各家交换器厂商是否可能会开始跟进，值得观察。

节点安全的最终方案，交换器把内网全部加密

TrustSec和过去网络安全想法最大的不同，就是在于其利用交换器进行加解密的方式。过去企业的网络安全中，交换器扮演的只是转送封包和切割VLAN的角色，真正的防护功能，多落在其它不同的设备上，诸如防火墙、IPS等设备。但是在TrustSec的架构中，思科将交换器当做一个加解密的节点，所有流量在进入交换器时，会由交换器将之解密，然后流量出交换器时，则又会将之加密。如此一来，这代表在交换器的节点和节点间传输的数据，都是经过加密的，不容易受到窃取或解读。

台湾思科技术经理谢东兴表示，TrustSec加密的做法，是采用IEEE 802.1AE标准，在以太网络的讯框（Frame）中，传统辨识VLAN的IEEE 802.1Q标准所需要的字段后面，加上一个16位长度的卷标，此一卷标可以辨识使用者的来源与身分，也就是说，所有内网的使用者，只要在终端装置与交换器建立起沟通时，其流量就会加入这样的标签，用以辨识身分。这也使得在TrustSec架构下，每个使用者的流量都是独一无二的，机器可以透过标签决定每个使用者可以进行的动作。谢东兴表示，现在企业在选购防火墙产品时，都会很在乎能够容纳多少的存取政策，在防火墙上要规定来源、目的地以及政策，这使得企业必须维护繁复的设定。但是TrustSec的想法则不同，每个人的流量都会经由标签辨识，自动遵循企业事先订好的政策，即便是不同人使用相同的设备，只要透过AD登入时的信息，也会自动将流量贴上标签，解决过去单一设备多人使用时，政策制定复杂的问题。谢东兴说：「用标签的方式，设定相对就会简单很多。」

符合802.1AE标准，让内网加密与安全检查共存

此外，用加入标签辨识身分的方式，还有另一个好处，那就是不会因为加密而阻断了其它设备检查流量的能力。传统透过SSL或是IPSec加密的方式，每个封包只要经过了加密处理，经过的网络安全设备，如防火墙等，就无法辨识其流量的内容，这也使得大家虽然都知道加密是安全最有效的方式，可是实际在内网以这种方式做为安全防护却不易实现。但是TrustSec的做法，由于未来支持此一功能的交换器内，将会拥有防火墙的功能，流量进入交换器时，解密后交换器的防火墙就有能力对其进行检查，其它的设备，若可以支持802.1AE标准，也有能力针对这些加了标签的流量进行各种检查，等于是同时确保了加密机制与对内容安全检查机制的并存。

802.1AE标准，是TrustSec架构能够实现的最主要因素，英特尔（Intel）和思科在2006年的秋季IDF上，就展示过符合此一标准的节点至节点间安全方案，当时名为「LinkSec」，可以说是现在思科公布的TrustSec架构的前身。此一标准的主要想法，是为了解决传统端到端安全观念下，终端计算机和交换器间或交换器与交换器间传输时，数据可能遭到窃取的风险。透过此一标准的加密，节点与节点间能够透过共通的金钥，针对流量进行加解密，并且比对完整性的校验值（ICV），确认流量的使用者身分和正确性，以此补足802.1X标准在传输时安全性的不足。

1年后正式产品到位，明年初就会有产品问世

至于TrustSec实现的时间，台湾思科业务开发经理张志渊表示，明年初就会有2款此架构专属的交换器问世，而在未来18个月内，思科原有的Catalyst 6500和4500系列交换器，就可以透过软件升级的方式支持此一架构。其中的差距，谢东兴指出，未来推出的2款专属交换器，会加入专门进行加解密运算的处理器，提高效能。且将有能力针对每端口开启加密功能。而思科既有的产品，如果硬件无法完全支持，则无法做到针对每埠的管控能力。

此外，谢东兴表示，在后端身分认证服务器的支持上，目前思科的RADIUS服务器ACS（Access Control Server）5.0版已经能够支持。目前TrustSec架构仍是必须采用思科的ACS才能支持，并且至少要有2台交换器支持此一架构，才能展现其效果。当然单台交换器架在数据中心前也能使用，在这样的状况下，终端计算机到交换器间如果要有加密的能力，网络卡或处理器必须有能力支持，在这方面，思科已经有与英特尔合作。

未来TrustSec将成为思科继自我防御网络（Self-Defending Network，SDN）之后，新的网络安全防御架构，并且未来思科所有的产品都将会朝支持这个架构的方向前进，最终目标是要达到网络上的每个节点都有能力发挥安全防护的功能，让网络的安全能够是全面的，而非只是单点的防御。

思科此次推出的TrustSec架构，未来各家厂商是否会跟进，让802.1AE成为一个网络架构上的基础标准？现在虽然很难看出端倪，不过思科方面对于这个架构成为未来的趋势，却是自信满满。「我认为这个架构大概至少要在1年后才会真正实现，」谢东兴说，「就像802.1X标准交换器的普遍，也是思科最早开始谈这样的观念，现在哪一家厂商的新款交换器没有支持802.1X标准？虽然现在看起来TrustSec的做法只是思科独有，不过相信应该很快就会有其它厂商也会跟进。」