Jak działa system kontroli Cisco ISE?

Cisco Identity Services Engine (ISE) to zaawansowany system kontroli dostępu do sieci (NAC – Network Access Control), który zapewnia bezpieczny dostęp do zasobów sieciowych.

Poprzez integrację z infrastrukturą sieciową zapewnia bezpieczne uwierzytelnianie i autoryzację zarówno użytkowników jak i urządzeń w celu spójnej kontroli i zapewnienia zgodności z polityką bezpieczeństwa organizacji. System ISE działając w oparciu o wspólną bazę zarządzania tożsamościami, zapewnia, że tylko autoryzowani użytkownicy i urządzenia mają dostęp do sieci, oraz dynamicznie egzekwując polityki bezpieczeństwa. 

W tym artykule odpowiadamy na pytania, które często pojawiają się w rozmowach o systemach NAC i konkretnie o samym rozwiązaniu ISE.

Czy Cisco ISE to serwer RADIUS? 

Cisco ISE zawiera serwer RADIUS, ale znacznie rozszerza jego funkcjonalność. W stosunku do serwera RADIUS, który realizuje AAA (Authentication, Authorization, Accounting) ISE potrafi: 

• Tworzyć granularne polityki na podstawie grup użytkowników i urządzeń, typu urządzeń, kondycji urządzeń, lokalizacji i wielu innych czynników 
• Sprawdzać stan zdrowia urządzeń, upewniając się, że spełniają one wymagania polityk bezpieczeństwa przed przyznaniem dostępu do sieci. 
• Zapewnić bezpieczny i zarządzalny dostęp gościnny do sieci. 
• Ułatwiać bezpieczny dostęp dla urządzeń osobistych BYOD (Bring Your Own Device) i zapewniać zgodność z politykami korporacyjnymi. 
• Identyfikować i klasyfikować urządzenia w sieci, aby zastosować odpowiednie polityki. 
• Współpracować z innymi produktami bezpieczeństwa Cisco oraz rozwiązaniami firm trzecich, tworząc kompleksowy system bezpieczeństwa. 

Jakie są scenariusze użycia Cisco ISE?

System kontroli Cisco ISE to kompleksowe rozwiązanie, które stanowi centralne miejsce kontroli dostępu do sieci, zapewnia zgodność i upraszcza zarządzanie. 

Czy Cisco ISE jest urządzeniem fizycznym czy oprogramowaniem?

Cisco Identity Services Engine (ISE) to wszechstronny i kompleksowy system NAC zaprojektowany w celu zwiększenia bezpieczeństwa i zarządzania zasobami sieciowymi. Jest dostępny zarówno jako dedykowane serwery fizyczne, jak i wirtualne, oferując elastyczność w dostosowaniu do różnych potrzeb wdrożeniowych. 

Urządzenie fizyczne Cisco ISE

Cisco ISE jest dostępne jako urządzenie fizyczne, co oznacza, że jest to dedykowane urządzenie sprzętowe z zainstalowanym oprogramowaniem ISE. Urządzenia te są zaprojektowane z myślą o wysokiej wydajności i niezawodności, oferując gotowe rozwiązanie, które można szybko wdrożyć w środowisku sieciowym. Są one szczególnie korzystne dla dużych przedsiębiorstw i organizacji wymagających solidnej wydajności do zarządzania znacznym ruchem sieciowym i dużą liczbą urządzeń. 

Cisco ISE jako urządzenie wirtualne 

Cisco ISE może być również wdrożone jako urządzenie wirtualne, co pozwala na uruchamianie oprogramowania ISE w środowiskach wirtualizacyjnych, takich jak VMware, Hyper-V i inne. Wirtualne rozwiązania oferują znaczną elastyczność w wdrożeniu, pozwalając organizacjom na wykorzystanie istniejącej infrastruktury wirtualnej. 

Jak zaktualizować Cisco ISE? 

Aktualizacja systemu kontroli Cisco ISE obejmuje kilka kroków, aby zapewnić płynne przejście do najnowszej wersji bez zakłócania działania sieci. Aktualizacja jest przeprowadzana za pomocą CLI lub GUI. 

Przykładowa procedura z CLI. 

1. Utwórz repozytorium na lokalnym dysku, np. możesz utworzyć repozytorium o nazwie „upgrade”. Repozytoria skonfigurowane z CLI nie mogą być używane z interfejsu webowego ISE i nie są replikowane na inne węzły ISE. 

2. W CLI Cisco ISE-PIC, wpisz komendę application upgrade prepare <nazwa pakietu aktualizacji> <nazwa repozytorium>. Ta komenda kopiuje pakiet aktualizacji do lokalnego repozytorium „upgrade” i wyświetla sumy kontrolne MD5 i SHA256. 

3. W CLI Cisco ISE-PIC, wpisz komendę application upgrade proceed. 

Co to jest profilowanie? 

Profilowanie w Cisco Identity Services Engine (ISE) odnosi się do procesu identyfikacji i klasyfikacji urządzeń podłączonych do sieci. Obejmuje zbieranie i analizowanie danych o urządzeniach, aby określić ich typ, system operacyjny, możliwości i inne atrybuty. Te informacje są następnie wykorzystywane do stosowania odpowiednich polityk dostępu do sieci, co zwiększa bezpieczeństwo i zarządzanie. 

Cisco ISE wykorzystuje różne techniki i źródła danych do profilowania urządzeń. Proces zazwyczaj obejmuje zbieranie danych, analizę danych, klasyfikację urządzeń i egzekwowanie polityk na ich podstawie. Dane do profilowania mogą być zbierane z różnych źródeł, takich jak: 

• Netflow 
• DHCP 
• RADIUS 
• DNS 
• SNMP 
• Nmap 
• pxGrid 

Co to jest ISE pxGrid? 

pxGrid (Platform Exchange Grid) to ramy, które ułatwiają wymianę informacji kontekstowych między różnymi urządzeniami sieciowymi i bezpieczeństwa. Umożliwia integrację Cisco ISE z innymi systemami sieciowymi i rozwiązaniami bezpieczeństwa (np. systemami monitorowania, firewallami, SIEM, zarządzaniem tożsamościami), pozwalając im na współpracę i wymianę danych w czasie rzeczywistym. Ta ulepszona interoperacyjność pomaga tworzyć bardziej dynamiczną i reagującą postawę bezpieczeństwa w sieci organizacji. 

Jak kupić licencję na system kontroli Cisco ISE? 

Zakup licencji Cisco Identity Services Engine (ISE) obejmuje kilka kroków, w tym zrozumienie różnych typów licencji, wybór odpowiedniej licencji do swoich potrzeb oraz współpracę z partnerem lub resellerem Cisco w celu sfinalizowania zakupu. 

Licencje stanowią kluczową część wdrożenia ISE, ponieważ określają liczbę aktywnych punktów końcowych, które mogą być uwierzytelniane, autoryzowane, monitorowane lub zabezpieczane przez ISE. 

W Cisco ISE mamy do czynienia z trzema poziomami licencji: Essentials, Advantage i Premier. 

Źródło: Cisco

Licencja ISE Essentials 

ISE Essential to podstawowy poziom licencji zapewniający podstawowe funkcje zarządzania tożsamością i dostępem. Obejmuje takie funkcje jak dostęp do sieci w oparciu o 802.1X, zarządzanie dostępem gości, ocena postawy i podstawowe możliwości profilowania. Ta warstwa jest odpowiednia dla organizacji poszukujących podstawowych funkcji zabezpieczeń w celu kontrolowania dostępu do zasobów sieciowych. 

Licencja ISE Advantage

ISE Advantage to opcja licencjonowania średniego poziomu, która opiera się na funkcjach oferowanych w warstwie Essentials. Oprócz funkcjonalności dostępnych w Essentials, Advantage zawiera bardziej zaawansowane funkcje, takie jak profilowanie, BYOD, integracja z Cisco pxGrid i egzekwowanie tagowania grupy zabezpieczeń TrustSec (SGT). Ta warstwa jest odpowiednia dla organizacji wymagających bardziej rozbudowanego egzekwowania zasad i zaawansowanych możliwości kontroli dostępu do sieci. 

Licencja ISE Premier

Cisco ISE Premier to najwyższy poziom licencji dostępny dla Cisco ISE. Obejmuje wszystkie funkcje dostępne w poziomach Essentials i Advantage i dodaje dalsze ulepszenia, takie jak zgodność z punktami końcowymi i integracja automatyzacji bezpieczeństwa, np. MDM i Posture, a także zaawansowane funkcje powstrzymywania zagrożeń i widoczności TC-NAC. Ta warstwa jest odpowiednia dla organizacji o złożonych środowiskach sieciowych i zaawansowanych potrzebach w zakresie bezpieczeństwa. 

Jak sprawdzić, która licjencja Cisco ISE jest odpowiednia dla mojej organizacji? 

Po instalacji Cisco ISE udziela 90-dniowej licencji ewaluacyjnej, która obsługuje 100 punktów końcowych i udostępnia wszystkie funkcje Cisco ISE. Możesz skonfigurować ograniczone wdrożenie w trybie ewaluacyjnym i poznać wszystkie możliwości i funkcje Cisco ISE. Do pobrania oprogramowania wymagany jest ważny login w witrynie Cisco.com.  

Kiedy licencje ewaluacyjne wygasną po 90 dniach, administratorzy będą mogli przeglądać tylko okno Licencjonowanie w portalu administratora Cisco ISE. Do administratorów nie są wysyłane żadne alarmy powiadamiające o wygaśnięciu licencji ewaluacyjnej. 

Cisco sprzedaje swoje produkty wyłącznie przez sieć certyfikowanych dystrybutorów i partnerów, dlatego warto skontaktować się z resellerem. Kompetentny reseller doradzi, które licencje będą najkorzystniejsze w użyciu.