Globalne wdrożenie Cisco ISE w międzynarodowej firmie produkcyjnej

Globalne wdrożenie Cisco ISE w międzynarodowej firmie produkcyjnej

Nasz klient – międzynarodowa firma produkcyjna z branży medycznej – potrzebował rozwiązania, które pozwoliłoby skutecznie zarządzać dostępem do sieci w 250 lokalizacjach na całym świecie. Dotychczasowy system Cisco Identity Services Engine nie spełniał już wymagań: brakowało mu spójności, stabilności i elastyczności, a jego konfiguracja była pełna niespójności i problemów z certyfikatami. Zarządzanie politykami dostępu z jednej lokalizacji było skomplikowane i czasochłonne, a luka w zabezpieczeniach mogła stanowić realne zagrożenie.

Wyzwanie Cisco ISE: bezpieczeństwo i kontrola dostępu w globalnej skali

W projekcie transformacji, jednym z kluczowych elementów jest analiza ryzyk związanych z bezpieczeństwiem. System w poprzednim stanie nie był zaprojektowany ani skonfigurowany w sposób zbieżny z ogólną koncepcją bezpieczeństwa w projekcie transformacji. Stanowiło to ryzyko braku spójności reguł bezpieczeństwa, brak pokrycia jednolitą polityką 100% infrastruktury IT, potencjalnie problemy z otwarciem wektorów ataków związanych z dostępem do sieci. Problemem istotnym był też problem ze skomplikowanym i rozproszonym zarządzeniem dostępu do sieci.

Krzysztof Osmałek, Advanced Services Team Lead, Grandmetric

Audyt konfiguracji jako punkt wyjścia

Zanim przystąpiliśmy do wdrożenia nowego systemu, przeprowadziliśmy kompleksowy audyt istniejącej infrastruktury Cisco ISE. To pozwoliło nam zidentyfikować kluczowe problemy: niespójne polityki dostępu, brak skalowalności oraz niską wydajność systemu. Było jasne, że potrzebne jest gruntowne przebudowanie architektury NAC i wdrożenie nowoczesnych polityk AAA.

Nowa, skalowalna architektura Cisco ISE

Firma zyskała globalną spójność

Jednolite zarządzanie dostępem we wszystkich regionach: APAC, EMEA i AMER

Sieć jest bezpieczniejsza

Nowa architektura NAC i polityki AAA skutecznie kontrolują dostęp i eliminują luki w zabezpieczeniach

Zarządzanie jest prostsze

IT ma teraz pełną kontrolę nad politykami dostępu

Większa elastyczność

Poziomy autoryzacji dostosowane do ról i scenariuszy użytkowników

Krok po kroku: Jak przebiegał projekt?

Audyt i analiza

Pierwszym krokiem było dokładne przeanalizowanie istniejącej infrastruktury Cisco ISE. Sprawdziliśmy, jakie są obecne polityki dostępu, gdzie występują luki bezpieczeństwa oraz jakie są możliwości poprawy wydajności. Audyt objął również analizę logów, oceny zgodności z najlepszymi praktykami oraz rozmowy z zespołem IT klienta, aby lepiej zrozumieć jego potrzeby i wyzwania, w tym identyfikację i klasyfikację typu urządzenia, które użytkownicy chcą podłączyć.

Projektowanie nowej architektury

Na podstawie wyników audytu zaprojektowaliśmy nową architekturę NAC, uwzględniającą potrzeby organizacji w zakresie bezpieczeństwa i dostępu do sieci. Stworzyliśmy optymalny model polityk AAA, dostosowując poziomy autoryzacji do różnych grup użytkowników i urządzeń, zgodnie z politykami bezpieczeństwa. Kluczowym elementem było zapewnienie globalnej spójności, dlatego zadbaliśmy o jednolite wdrożenie polityk w trzech kluczowych regionach.

Wdrożenie nowego systemu w regionach APAC, EMEA i AMER

Wdrożenie zostało podzielone na etapy, aby zminimalizować ryzyko zakłóceń w działaniu sieci. Każdy region otrzymał dedykowane zasoby i wsparcie, a konfiguracja odbywała się zgodnie z wcześniej opracowaną dokumentacją. Przeprowadziliśmy także szczegółowe testy wydajnościowe i bezpieczeństwa, aby upewnić się, że nowy system spełnia założenia projektu.

Zabezpieczenie wysokiej dostępności i redundancji

Kluczowym celem było zapewnienie nieprzerwanego działania systemu nawet w przypadku awarii pojedynczych komponentów. Dlatego wdrożyliśmy mechanizmy redundancji i load-balancingu, co zwiększyło stabilność środowiska. Opracowaliśmy także strategię reagowania na incydenty i procedury backupowe, które dodatkowo wzmacniają bezpieczeństwo infrastruktury.

Szkolenie zespołu IT klienta

Po zakończeniu wdrożenia kluczowe było przekazanie wiedzy operacyjnej zespołowi IT klienta. Przygotowaliśmy zestaw dokumentacji, przeprowadziliśmy warsztaty i szkolenia praktyczne, aby administratorzy mogli samodzielnie zarządzać nowym środowiskiem. Zapewniliśmy także okres wsparcia powdrożeniowego, aby ułatwić klientowi adaptację do nowego systemu.

Co musisz wiedzieć przed wdrożeniem Cisco ISE lub innego rozwiązania do kontroli dostępu?

Co to jest Cisco Identity Services Engine?

Cisco Identity Services Engine (ISE) to zaawansowany system kontroli dostępu do sieci (NAC – Network Access Control), który zapewnia bezpieczny dostęp do zasobów sieciowych. Jest to kompleksowe rozwiązanie, które stanowi centralne miejsce kontroli dostępu do sieci, zapewniając zgodność i upraszczając zarządzanie. Cisco ISE umożliwia organizacjom skuteczne zarządzanie tożsamościami użytkowników i urządzeń, co przekłada się na zwiększenie bezpieczeństwa i spójności polityk dostępu w całej sieci. Dzięki Cisco ISE, firmy mogą dynamicznie egzekwować polityki bezpieczeństwa, minimalizując ryzyko nieautoryzowanego dostępu i zapewniając bezpieczny dostęp do sieci.

Jak działa system kontroli dostępu?

System kontroli dostępu Cisco ISE działa w oparciu o wspólną bazę zarządzania tożsamościami. Zapewnia, że tylko autoryzowani użytkownicy i urządzenia mają dostęp do sieci. Dynamicznie egzekwuje polityki bezpieczeństwa, zapewniając bezpieczny dostęp do sieci. Cisco ISE monitoruje i analizuje ruch sieciowy w czasie rzeczywistym, identyfikując i klasyfikując urządzenia oraz użytkowników. Na podstawie zebranych danych, system automatycznie stosuje odpowiednie polityki bezpieczeństwa, co pozwala na skuteczne zarządzanie dostępem i minimalizowanie ryzyka naruszeń. Dzięki temu, organizacje mogą mieć pewność, że ich sieć jest chroniona przed nieautoryzowanym dostępem i zagrożeniami.

Scenariusze użycia

Cisco ISE może być używany w różnych środowiskach sieciowych, w tym w sieciach LAN, WAN i VPN. Może być również używany w scenariuszach dostępu gościnnego, takich jak Hotspot, rejestracja, rejestracja z akceptacją, dostęp sponsorowany. W sieciach LAN, Cisco ISE zapewnia bezpieczny dostęp do zasobów wewnętrznych, kontrolując dostęp na poziomie portów sieciowych. W sieciach WAN, umożliwia zarządzanie dostępem do zasobów rozproszonych geograficznie, zapewniając spójność polityk bezpieczeństwa. W przypadku VPN, Cisco ISE kontroluje dostęp zdalny, zapewniając, że tylko autoryzowani użytkownicy mogą łączyć się z siecią. Scenariusze dostępu gościnnego umożliwiają bezpieczne udostępnianie sieci dla gości, z różnymi poziomami autoryzacji i kontroli.

Rodzaje urządzeń

Cisco ISE może być wdrożony jako urządzenie fizyczne lub wirtualne. Urządzenia fizyczne są zaprojektowane z myślą o wysokiej wydajności i niezawodności, co czyni je idealnym rozwiązaniem dla dużych organizacji z wymagającymi środowiskami sieciowymi. Z kolei urządzenia wirtualne oferują znaczną elastyczność w wdrożeniu, umożliwiając łatwe skalowanie i dostosowanie do zmieniających się potrzeb organizacji. Wirtualne wdrożenia Cisco ISE mogą być realizowane na różnych platformach wirtualizacyjnych, co pozwala na optymalne wykorzystanie istniejącej infrastruktury IT. Dzięki temu, organizacje mogą wybrać najbardziej odpowiednie rozwiązanie, które najlepiej odpowiada ich specyficznym wymaganiom i zasobom.

Profilowanie i pxGrid

Profilowanie w Cisco ISE odnosi się do procesu identyfikacji i klasyfikacji urządzeń. Obejmuje zbieranie i analizowanie danych o urządzeniach, które są następnie wykorzystywane do stosowania odpowiednich polityk dostępu do sieci. Dzięki profilowaniu, Cisco ISE może dokładnie określić typ urządzenia, jego system operacyjny, a nawet specyficzne aplikacje, które są na nim uruchomione. To pozwala na precyzyjne dostosowanie polityk bezpieczeństwa do konkretnego urządzenia i jego roli w sieci. pxGrid (Platform Exchange Grid) to ramy, które ułatwiają wymianę informacji kontekstowych między Cisco ISE a innymi systemami sieciowymi i rozwiązaniami bezpieczeństwa. Dzięki pxGrid, Cisco ISE może współpracować z innymi narzędziami bezpieczeństwa, takimi jak systemy wykrywania zagrożeń, firewalle czy systemy zarządzania informacjami o bezpieczeństwie (SIEM), co pozwala na bardziej zintegrowane i skuteczne zarządzanie bezpieczeństwem sieci.

Podsumowanie

Nowe środowisko Cisco ISE to nie tylko poprawa bezpieczeństwa, ale też ogromna wygoda dla zespołów IT. Globalna firma produkcyjna może teraz skutecznie zarządzać dostępem do sieci na całym świecie, zapewniając swoim pracownikom szybkie i bezproblemowe połączenia. Audyt i optymalizacja środowiska pozwoliły na wyeliminowanie ryzyk i wdrożenie nowoczesnych standardów kontroli dostępu. A to wszystko przy zachowaniu elastyczności, skali i niezawodności.

Zastanawiasz się, czy już czas na kontrolę dostępu do sieci na miarę Twojej organizacji?

Umów się na wstępną konsultację z inżynierem Grandmetric i działaj!

Chcesz wiedzieć, jak Cisco ISE może pomóc Twojej organizacji? Skontaktuj się z nami już dziś!

Wypełnij formularz

*Wyrażam zgodę na otrzymywanie informacji handlowych za pomocą środków komunikacji elektronicznej oraz przetwarzanie moich danych osobowych w związku z tymi działaniami. Odbiorcą i administratorem danych osobowych jest Grandmetric Sp. z o.o. z siedzibą przy ul. Metalowa 5, 60-118 Poznań. Podanie danych osobowych jest dobrowolne, ale konieczne w celu realizacji zadań w związku z którymi dane zostały podane (odpowiedź na zapytanie, kontakt lub marketing), na podstawie uzasadnionego interesu realizowanego przez Administratora. Oświadczam, że zapoznałam/em się z treścią Polityki prywatności i akceptuję jej treść. Polityka prywatności

Karol Goliszewski

Consulting Engineer, Grandmetric