深入瞭解 Cisco SUDI：網路存取控制中的硬體型裝置識別

深入瞭解 Cisco SUDI：網路存取控制中的硬體型裝置識別 Purple 技術簡報 - 完整 Podcast 腳本（約 10 分鐘） --- 第 1 區段：引言與背景（約 1 分鐘） 哈囉，歡迎收聽 Purple 技術簡報。在接下來的十分鐘內，我將帶您深入瞭解 Cisco SUDI（安全唯一裝置識別碼）——它究竟是什麼、它如何融入您的網路存取控制架構，以及如果您正在大規模運行 Cisco 基礎架構，您需要對此採取什麼行動。 本內容旨在提供給場域（飯店、零售資產、體育場、會議中心）的網路架構師、IT 經理和 CTO——只要您在這些地方運行企業級 WiFi，並且需要確信網路上的硬體與其聲稱的完全一致。 讓我們從 SUDI 解決的問題開始。在任何大型場域網路中，您都有數十或數百台無線基地台、交換器和控制器。您的安全防護狀況取決於這個問題：您如何知道這些裝置中的每一台都是正版、未經修改的 Cisco 產品，而不是仿冒品、受損的單元或在運輸過程中被篡改的裝置？這就是 SUDI 所填補的空白。 --- 第 2 區段：技術深潛（約 5 分鐘） SUDI 代表安全唯一裝置識別碼。它是一個 X.509 第 3 版憑證——與 HTTPS 和 TLS 中使用的憑證格式相同——但它不是核發給個人或伺服器，而是在製造過程中核發給特定的硬體。它包含裝置的產品識別碼和序號，並植根於 Cisco 自己的公開金鑰基礎架構中。 以下是 SUDI 與您自行安裝的軟體憑證不同之處。SUDI 憑證及其相關的金鑰組，存在於名為 Trust Anchor 模組（簡稱 TAm）的防篡改晶片中。私鑰是在該晶片內部產生的，且永遠不會離開它。您無法匯出它，也無法複製它。如果有人對晶片進行實體篡改，金鑰就會被銷毀。這就是硬體信任根。 SUDI 是 Cisco 對 IEEE 802.1AR 標準的實作——該標準是安全裝置識別碼 (DevID) 的產業標準。在 802.1AR 下，製造商安裝的憑證稱為初始裝置識別碼 (IDevID)。Cisco 的 SUDI 正是如此——Cisco 在工廠安裝的 IDevID。您可以使用本地有效裝置識別碼 (LDevID) 來補充它，這是您自己的 PKI 為本地授權策略核發的憑證。 現在，這如何融入網路存取控制？最常見的整合點是 IEEE 802.1X——基於連接埠的網路存取控制標準。當 Cisco 無線基地台或交換器上線時，它可以透過 EAP-TLS（即具有傳輸層安全性的可延伸驗證協定），向 RADIUS 伺服器（通常是 Cisco ISE，即身分服務引擎）出示其 SUDI 憑證。RADIUS 伺服器會根據 Cisco 的公開憑證授權單位驗證該憑證，確認裝置為正版，然後套用相應的網路策略。 這比 MAC 位址旁路強大得多，後者是大多數網路對基礎架構裝置使用的備用方案。MAC 位址可以在不到一分鐘內被偽造。而在防篡改晶片中與硬體綁定的憑證，在不實體破壞裝置的情況下是無法被偽造的。 在場域情境中，這之所以重要有三個原因。首先，它消除了惡意無線基地台加入您網路的風險。仿冒或未經授權的裝置根本無法出示有效的 SUDI。其次，它實現了自動化的零接觸部署 (Zero Touch Provisioning)——新裝置運送到您的場域、通電、出示其 SUDI，您的管理系統會在推送設定之前，根據您的庫存驗證該裝置。無需人工介入。第三，它為您提供可透過密碼學驗證的稽核軌跡。每台向您網路進行驗證的裝置，都是使用證明其為特定、具名 Cisco 產品的憑證來進行的。 讓我更詳細地談談 Trust Anchor 模組，因為它是其他所有內容的基礎。TAm 是一款專有的 Cisco 晶片，提供三種功能：用於 SUDI 和金鑰的非揮發性安全儲存、包括亂數產生在內的密碼學服務，以及硬體指紋識別。最後一點值得注意——Cisco 在製造時會對裝置的關鍵硬體元件進行指紋識別，並將該指紋儲存在 TAm 中。當裝置啟動時，它會將偵測到的硬體指紋與儲存的指紋進行比對。如果不匹配，裝置將無法啟動。這可以偵測運輸過程中的硬體篡改——對於硬體在安裝前可能會經過多人之手的大型場域部署來說，這是一個真正的隱憂。 您需要注意的一個維運問題：在 2019 年 5 月之前核發的 SUDI 憑證，將在製造之日起十年或 2029 年 5 月 14 日到期（以先到者為準）。Cisco 已透過名為 SUDI-2099 的新一代憑證解決了此問題，該憑證有效期至 2099 年 12 月。如果您正在運行 2019 年之前製造的 Catalyst 9000 系列硬體，您現在需要檢查您的 SUDI 到期日。在 IOS-XE 上的指令是 show crypto pki certificate。尋找 CISCO_IDEVID_SUDI 信任點並檢查截止日期。如果您使用的是 Catalyst 9200，請升級到 IOS-XE 17.12.2 或更新版本，以確保您使用的是正確的 2099 憑證。 --- 第 3 區段：實作建議與常見陷阱（約 2 分鐘） 讓我為您說明實際的實作情況。如果您要在場域環境中部署基於 SUDI 的驗證，以下是行之有效的步驟順序。 首先從您的 RADIUS 基礎架構開始。如果您已經處於 Cisco 生態系統中，Cisco ISE 是很自然的首選，但任何支援 EAP-TLS 且能針對外部 CA 進行驗證的 RADIUS 伺服器都適用。您需要將 Cisco 的根 CA 和 ACT2 SUDI CA 憑證匯入您的 RADIUS 信任存放區。這些憑證可以從 Cisco 的 PKI 入口網站公開取得。 接下來，設定您的 802.1X 策略，要求對基礎架構裝置進行基於憑證的驗證。將此與您的終端使用者驗證策略分開——員工和訪客的驗證流程不同，應該在 ISE 中放在不同的策略集中。 對於新部署，請啟用零接觸部署 (Zero Touch Provisioning)。您的網路管理系統（例如 Cisco DNA Center 或 Catalyst Center）可以在推送設定之前使用 SUDI 驗證裝置身分。這消除了手動預配置流程，並將每台裝置的部署時間從數小時縮短至數分鐘。 現在來談談陷阱。我最常看到的是在同一個連接埠上混合使用 SUDI 驗證與 MAC 位址旁路。如果您在 SUDI 失敗時退回到 MAB，您就破壞了安全模型。請定義明確的策略：支援 SUDI 的裝置必須透過 SUDI 進行驗證，絕無例外。不支援 SUDI 的裝置則進入隔離 VLAN，等待人工審查。 第二個陷阱是憑證到期。現在就為您整個資產中的 SUDI 到期日設定監控。不要等到服務中斷才發現您的無線基地台已無法進行驗證。Purple 的平台與 Cisco Meraki 及其他硬體廠商整合，可在單一儀表板中呈現裝置健康狀況訊號（包括驗證狀態），這使得這種主動監控在大規模應用中變得切實可行。 第三個陷阱是範圍蔓延。SUDI 驗證的是硬體裝置。它不會驗證透過該裝置連接的使用者。您仍然需要為訪客、員工和居民提供一個獨立的身分識別層。這就是 Purple 等平台發揮作用的地方——我們處理人類身分識別層、同意書獲取、訪客流量的 VLAN 分配以及分析，而 SUDI 則處理底層的基礎架構層。 --- 第 4 區段：快速問答（約 1 分鐘） 讓我快速解答三個我經常被問到的問題。 SUDI 是否會取代我現有的 PKI？不會。SUDI 是製造商安裝的 IDevID。它證明了該裝置是正版 Cisco 硬體。您的企業 PKI 則為其他所有內容核發 LDevID 和使用者憑證。它們是並行運作的。 我可以在非 Cisco 硬體上使用 SUDI 嗎？不行。SUDI 是 Cisco 專有的。HPE Aruba 有一個名為 IAP 部署憑證的等效機制。Ruckus 和 Juniper Mist 也有各自的裝置識別機制。底層標準 IEEE 802.1AR 是不限廠商的，但每個製造商的實作方式不同。 當 SUDI 憑證到期時會發生什麼事？依賴 SUDI 進行驗證的服務（例如 HTTPS、使用憑證驗證的 SSH、零接觸部署）將會失敗。裝置本身會繼續運作，但它無法再透過密碼學方式證明其身分。這就是為什麼 SUDI-2099 遷移如此重要。 --- 第 5 區段：總結與後續步驟（約 1 分鐘） 總結來說：Cisco SUDI 為您提供基於硬體根源的裝置識別，無法被偽造、複製或匯出。它是值得信賴的基礎架構層的基石。結合 IEEE 802.1X 和配置完善的 RADIUS 策略，它消除了惡意裝置風險，並實現了大規模的自動化部署。 您的三個立即行動：第一，使用 show crypto pki certificate 稽核您 Cisco 資產中的 SUDI 到期日。第二，將 Cisco 的根 CA 匯入您的 RADIUS 信任存放區，並為基礎架構裝置設定 EAP-TLS 策略。第三，將您的基礎架構驗證策略與您的終端使用者驗證策略分開——它們的目的不同，應該獨立管理。 如果您想深入瞭解 Purple 如何與 Cisco Meraki 及其他硬體廠商整合，為訪客、員工和居民提供基於身分識別的網路分段，請造訪 purple.ai 或閱讀本集下方連結的相關指南。 感謝您的收聽。我們下次簡報再見。 --- 腳本結束