Ścieżka: Projektowanie
Technologia: Bezpieczeństwo sieci
Obszar: Zarządzanie dostępem i tożsamością
Dostawca: Cisco
Oprogramowanie: 1.X, 2.X
Platforma: ISE Physical Appliance, ISE Virtual Appliance
Cisco Identity Services Engine pomaga skoncentrować wszystkie zasady tożsamości sieciowej przedsiębiorstwa w jednym miejscu. ISE to punkt sieci, w którym wszystkie metody dostępu do sieci i tożsamości są weryfikowane w oparciu o zdefiniowany zestaw reguł i źródła uwierzytelniania. W oparciu o skonfigurowane reguły ISE jest w stanie zapewnić szczegółowe prawa dostępu do usług w oparciu o wiele czynników i kontekstów, takich jak członkostwo w grupie AD, fizyczna lokalizacja użytkownika, typ urządzenia, wersja systemu operacyjnego, pora dnia i inne. Podstawową zasadą ISE jest działanie jako serwer Radius. W każdym razie pomimo tego, że Radius jest głównym protokołem komunikacyjnym między ISE a urządzeniami sieciowymi, istnieje wiele udoskonaleń w stosunku do starszych rozwiązań, takich jak przepływy zmiany autoryzacji Radius, profilowanie systemów operacyjnych i urządzeń, procedury oceny stanu w celu dostosowania zgodności z bezpieczeństwem, wdrażanie urządzeń innych firm lub metody przekierowywania portalu dla gości.
Modele wdrożenia Cisco ISE
Wdrażając Cisco ISE, należy zdawać sobie sprawę z trybów wdrażania i funkcjonalności architektonicznych dostępnych w Cisco. Wybierając opcję wdrożenia, warto wspomnieć o możliwościach. Ogólnie rzecz biorąc, masz dwie możliwości:
Przykład małego wdrożenia rozproszonego.
Przykład wdrożenia rozproszonego na średnią skalę.
Który wybrać?
W zależności od wymagań Twojej organizacji, skali, liczby użytkowników i lokalizacji musisz wybrać jedno z dostępnych wdrożeń. Nie ma ścisłych wymagań i widzieliśmy wiele dość dużych projektów opartych na małym typie wdrożenia. Wdrożenie jednego węzła (inaczej samodzielne) jest odpowiednie dla projektów PoC lub środowisk laboratoryjnych/testowych, gdzie nie jest wymagana wysoka dostępność. Aby lepiej zrozumieć tryby wdrażania, warto zapoznać się z nomenklaturą ISE.
ISE Architektura i nazewnictwo:
Przykład wdrożenia dystrybucji średniej wielkości. Węzły PSN pełnią rolę serwerów promieniowych dla urządzeń sieciowych i jest ich cztery. Administracja Persona jest aktywna na dwóch węzłach. Węzeł 1 pełni rolę głównego węzła administracyjnego, a węzeł 2 pełni rolę dodatkowego węzła administracyjnego. Wszystkie zadania konfiguracyjne i konserwacyjne są wykonywane w głównym węźle administracyjnym, a ustawienia są propagowane w całym wdrożeniu w tym samym czasie. Rola MnT została przywrócona na potrzeby podziału obciążenia. Wszystkie zdarzenia dotyczące osób PSN są zależne od głównych i dodatkowych węzłów MnT.
Cisco ISE to rozwiązanie klasy NAC (Network Access Control). Przygotowaliśmy porównanie popularnych systemów NAC, dzięki czemu łatwiej będzie Ci zrozumieć, który system może najlepiej pasować do Twojej organizacji.