La adopción de MACsec IEEE 802.1AE se suma a la implementación por parte de Axis del estándar IEEE 802.1AR de identidad segura de dispositivo (DevID), junto con el estándar de control de acceso en red IEEE 802.1X EAP-TLS. La compatibilidad de serie de estos tres estándares de IEEE en los dispositivos Axis abre la puerta a la automatización del onboarding, la autenticación y el cifrado de extremo a extremo de dispositivos, una gran noticia para los profesionales de TI, que dispondrán de mecanismos estándar para integrar dispositivos Axis de forma segura y eficiente en una red corporativa.
“Los clientes cuentan con funciones de seguridad que están activadas de forma predeterminada y no hay que configurar nada”, afirma Andre Bastert, Director Global de Producto de AXIS OS. “Reducen la complejidad de la instalación y, por lo tanto, permiten ahorrar tiempo y dinero. Estas funciones de seguridad son un gran ejemplo de la seguridad de confianza cero que no obliga a los clientes a invertir más tiempo. Con una convergencia cada vez mayor de la TO (tecnología operativa) y la TI (tecnología de la información), estos mecanismos de seguridad estándar son lo que los profesionales de TI esperan de los productos IoT inteligentes, y desde Axis estamos dando respuesta a sus necesidades en el marco de una consolidada estrategia para facilitar la integración segura y sin intervención de productos de red Axis en redes de confianza cero”.
MACsec permite intercambiar y verificar claves de cifrado entre un dispositivo y un switch con MACsec. Después, los datos de cada marco Ethernet se cifran y descifran en tiempo real usando AES-GCM de 128 bits, lo que abre la puerta a una transferencia rápida y segura de los datos. AXIS OS 11.8 es compatible con dos modos de seguridad IEEE 802.1AE estándar: CAK dinámico (EAP-TLS), que es automático y está activado por omisión, y CAK estático (clave compartida previamente) para la configuración manual.
Pie de imagen: El ID de dispositivo Axis guardado de forma segura [1], una identidad segura de dispositivo conforme con IEEE 802.1AR, se utiliza para la autenticación en redes con MACsec [4,5] a través del control de acceso de red basado en puerto IEEE 802.1X EAP-TLS (2). En la sesión EAP-TLS, se intercambian claves MACsec automáticamente para crear un enlace seguro [3] que protege todo el tráfico de red desde el dispositivo Axis hasta un switch con MACsec.
El onboarding seguro de un dispositivo Axis puede realizarse a través del control de acceso de red basado en puerto IEEE 802.1X EAP-TLS, combinado con el estándar IEEE 802.1AR admitido en el dispositivo Axis. IEEE 802.1AR forma parte de la plataforma de ciberseguridad Axis Edge Vault y permite la autenticación automática en una red IEEE 802.1X. Axis carga los identificadores de dispositivos iniciales (IDevID) únicos conformes con IEEE 802.1AR en un módulo de computación criptográfico de hardware a prueba de manipulaciones integrado en los productos IoT de Axis en el momento de su fabricación, con el objetivo de proteger los IDevID de posibles espías.
Es posible un onboarding sencillo en cualquier red compatible con los estándares IEEE, por ejemplo con el ClearPass Policy Manager de HPE Aruba Networking cuando hay una guía de integración. Para acceder a más información técnica sobre MACsec IEEE 802.1AE en AXIS OS, consulte la base de conocimiento sobre AXIS OS.