NAC Identity Service Engine (Cisco ISE)

Jako serwer Radius, Cisco ISE udostępnia funkcjonalności obsługujące klasyczne serwery Radius (takie jak dobrze znany Cisco ACS – Access Control System). Wdrażając Cisco ISE, możesz uruchomić:

• mechanizm 802.1x w sieci Wi-Fi
• mechanizm 802.1x w sieci LAN/WAN
• Uwierzytelnianie i konfigurację atrybutów dla użytkowników połączonych przez VPN
• MAC Authentication Bypass (MAB), czyli uwierzytelnianie urządzeń przy użyciu adresów MAC

Identity Services Engine wykorzystuje tak zwaną rozszerzoną komunikację Radius CoA (Change of Authorization), która umożliwia dynamiczną interakcję między węzłem ISE (Policy Service Node) a urządzeniami sieciowymi, takimi jak przełączniki, routery, kontrolery sieci Wi-Fi i firewalle.

Endpoint Compliance

Cisco Identity Services Engine (ISE) stale weryfikuje, czy zachowanie urządzeń w sieci jest zgodne z zasadami bezpieczeństwa organizacji, zapewniając, że ryzykowne, niezałatane i przestarzałe urządzenia nie mogą zagrozić sieci. ISE 3.x oferuje konfigurowalne podejście do ciągłej oceny postawy dla punktów końcowych łączących się z zarządzaną infrastrukturą. Dzięki możliwości przeprowadzania nieograniczonej liczby kontroli postawy organizacje mogą dostosowywać swoje zasady do swoich konkretnych potrzeb i dynamicznie je egzekwować, aby uzyskać stały zaufany dostęp.

Visibility Control

Cisco ISE zapewnia wszechobecną widoczność i dynamiczną kontrolę, pozwalając zespołom widzieć, wiedzieć i kontrolować, co łączy się z ich sieciami, i upewnić się, że ich postawa nie zagraża biznesowi. Dzięki szczegółowej widoczności i kontroli administratorzy IT mogą pewnie i szybko udostępniać nowe zasoby, aby umożliwić połączenie z siecią na odpowiednim poziomie bezpieczeństwa.

Dojrzałe Zero-Trust

Oferuje również w pełni dojrzałe funkcje ZeroTrust, integrując inteligencję z całego stacku Cisco Security z punktami egzekwowania zasad w całej sieci, aby zapewnić ciągły zaufany dostęp.

Automated Threat Prevention

Ponadto Cisco ISE obejmuje zautomatyzowane funkcje zapobiegania zagrożeniom, które pozwalają organizacjom nie tylko blokować zagrożenia, ale także usuwać je z sieci dzięki zintegrowanej inteligencji w punktach egzekwowania. ISE integruje się z produktami Cisco Security i zewnętrznymi partnerami ekosystemu za pośrednictwem pxGrid i pxGrid Cloud, aby uzyskiwać informacje kontekstowe z rozwiązań lokalnych i chmurowych.

Deployments Acceleration

To rozwiązanie pomaga również zespołom łączyć szybkość i zwinność, przechodząc od zarządzania infrastrukturą w pudełku do korzystania z infrastruktury w kodzie (IaC) ze zautomatyzowanymi wdrożeniami, co pozwala im przyspieszyć bezpieczny dostęp do sieci.

Dostęp Gościnny

Cisco Identity Services Engine (ISE) pozwala tworzyć konta z dostępem gościnnym i zarządzać nimi. Obejmuje to dostawców, klientów detalicznych, krótkoterminowych dostawców lub wykonawców i innych.

Zapewnia również bogaty zestaw interfejsów API, których można używać do integracji z innymi systemami, takimi jak systemy zarządzania dostawcami, w celu tworzenia, edytowania i usuwania kont gości. Portale użytkowników, które widzą goście, można w pełni dostosować do marki organizacji, w tym zmieniać font, kolor i motywy.

Istnieją trzy sposoby zapewnienia dostępu dla gości za pomocą ISE:

• Hotspot (natychmiastowy dostęp bez poświadczeń),
• Self-Registration
• Sponsorowany dostęp gościnny.

Bezpieczny dostęp bezprzewodowy

Cisco Identity Services Engine (ISE) to rozwiązanie, które pomaga organizacjom zabezpieczyć sieci bezprzewodowe, zezwalając na łączenie się z siecią tylko autoryzowanym użytkownikom i urządzeniom. Obejmuje to urządzenia osobiste, takie jak telefony komórkowe, tablety lub laptopy, a także inne urządzenia bezprzewodowe używane w organizacji.

Cisco ISE wykorzystuje uwierzytelnianie i autoryzację jako swoje podstawowe funkcje. Każda sesja rozpoczyna się od uwierzytelnienia, niezależnie od tego, czy dotyczy to użytkownika, czy urządzenia. Uwierzytelnianie może być aktywne, przy użyciu protokołów 802.1X, lub pasywne, na przykład wtedy, gdy użytkownik uwierzytelnia się w źródle tożsamości, takim jak Active Directory (AD) firmy Microsoft, a usługa AD powiadamia ISE. Dzięki temu organizacje mogą egzekwować różne zasady bezpieczeństwa i chronić swoje sieci przed nieautoryzowanym dostępem.

Bezpieczny dostep przewodowy

Cisco Identity Services Engine (ISE) wykorzystuje uwierzytelnianie i autoryzację do kontrolowania dostępu do sieci.

Aktywne uwierzytelnianie jest przeprowadzane przy użyciu protokołów 802.1X, w których Cisco ISE uwierzytelnia użytkownika na podstawie źródła tożsamości, takiego jak serwer katalogowy.

Uwierzytelnianie pasywne polega na tym, że Cisco ISE poznaje tożsamość użytkownika za pomocą takich środków, jak logowanie do domeny AD lub inne metody pośrednie.

Po pomyślnym uwierzytelnieniu użytkownika lub urządzenia następuje autoryzacja. Obejmuje to przypisanie punktowi końcowemu sesji VLAN, dostępu do access listy lub innych metod segmentacji. Pozwala to organizacjom kontrolować, do jakich zasobów użytkownik lub urządzenie ma dostęp w sieci i zapewniać, że tylko upoważnieni użytkownicy i urządzenia mają dostęp do poufnych informacji.

Cisco ISE uwierzytelnia użytkowników i punkty końcowe za pośrednictwem 802.1X, Web Authentication, MAB i innych środków. Cisco ISE może wysyłać zapytania do zewnętrznych źródeł tożsamości w celu ustalenia tożsamości i stosować odpowiednie zasady sieciowe, zgodnie z politykami bezpieczeństwa.

Wymagana licencja: ISE Essentials

Asset Visibility

Cisco ISE oferuje dwa poziomy widoczności zasobów (asset visibility): basic oraz advanced.

Podstawowa widoczność zasobów profiluje punkty końcowe, dopasowując ich atrybuty sieciowe do znanych profili, podczas gdy zaawansowana widoczność zasobów wykorzystuje głęboką kontrolę pakietów (DPI) do przeprowadzania głębszej analizy komunikacji prowadzonej przez aplikacje z innymi punktami końcowymi i serwerami w sieci.

Podstawowa widoczność zasobów zapewnia widoczność większości urządzeń w sieci, w tym tradycyjnych urządzeń, takich jak drukarki i telefony komórkowe, podczas gdy zaawansowana widoczność zasobów zapewnia widoczność bardziej wyspecjalizowanych urządzeń, takich jak te używane w Internecie rzeczy (IoT).

Rapid Threat Containment (RTC)

Cisco Identity Services Engine (ISE) może integrować się z ponad 75 partnerami ekosystemu za pośrednictwem pxGrid w celu wdrożenia różnych przypadków użycia zabezpieczeń.

Gdy na punkcie końcowym zostanie wykryte rażące zagrożenie, partner ekosystemu pxGrid może poinstruować ISE, aby powstrzymał zainfekowane urządzenie, ręcznie lub automatycznie. Może to obejmować przeniesienie urządzenia do sandboxa w celu obserwacji, przeniesienie go do domeny naprawczej w celu naprawy lub całkowite usunięcie go z sieci.

ISE może również odbierać standardowe klasyfikacje zagrożeń Common Vulnerability Scoring System (CVSS) i Structured Threat Information Expression (STIX), co pozwala na płynne dostosowywanie uprawnień dostępu użytkownika w oparciu o jego ocenę bezpieczeństwa.

Do korzystania z tej funkcji wymagana jest licencja na ISE Advantage.

Bring Your Own Device (BYOD)

Cisco Identity Services Engine (ISE) zapewnia wiele funkcji, które automatyzują proces dołączania do programów Bring Your Own Device (BYOD).

Zawierają one:

• tworzenie i dystrybuowanie certyfikatów do różnych typów urządzeń,
• Portal My Devices, który umożliwia użytkownikom końcowym rejestrowanie urządzeń BYOD i oznaczanie ich jako utraconych lub zablokowanych w sieci.

Cisco ISE obsługuje dwa podejścia do wdrażania BYOD: pojedynczy identyfikator SSID i podwójny identyfikator SSID.

W podejściu z pojedynczym identyfikatorem SSID ten sam identyfikator SSID sieci bezprzewodowej jest używany do dołączania i łączenia urządzenia, podczas gdy w podejściu z dwoma identyfikatorami SSID do włączania używany jest inny otwarty identyfikator SSID, a następnie urządzenie jest podłączane do innego, bezpieczniejszego Identyfikatora SSID.

W przypadku klientów, którzy chcą zapewnić bardziej kompleksowe zasady zarządzania, BYOD może również służyć do onboardingu użytkowników końcowych do systemu MDM (Mobile Device Management).

Do korzystania z tej funkcji wymagana jest licencja na ISE Advantage.

Segmentacja

Cisco Group-Based Policy/TrustSec definiowana programowo segmentacja to prostszy i skuteczniejszy sposób ochrony krytycznych zasobów biznesowych poprzez segmentację sieci niż tradycyjne podejścia oparte na sieciach VLAN.

Zasady są definiowane za pomocą grup zabezpieczeń, a Cisco ISE służy jako kontroler segmentacji, upraszczając zarządzanie regułami przełącznika, routera, sieci bezprzewodowej i zapory. Takie podejście zapewnia lepsze bezpieczeństwo przy niższych kosztach niż tradycyjna segmentacja.

Analiza firmy Forrester Consulting wykazała, że koszty operacyjne zostały obniżone o 80%, a zmiany zasad były o 98% szybsze w przypadku klientów korzystających z zasad opartych na grupach/segmentacji TrustSec. Podejście to opiera się na otwartych standardach Internet Engineering Task Force (IETF) i jest obsługiwane na platformach innych firm i Cisco, w tym Open Daylight.

Segmentacja to kluczowy składnik Software-Defined Access (SDA), który wykorzystuje Cisco Digital Network Architecture (DNA) Controller i Cisco Identity Services Engine (ISE) do automatyzacji segmentacji sieci i zasad opartych na grupach.

Zasady oparte na tożsamości i segmentacja oddzielają definicje zasad bezpieczeństwa od sieci VLAN i adresów IP, umożliwiając bardziej elastyczne i skalowalne projektowanie sieci.

Podręczniki projektowania i wdrażania dostępu definiowanego programowo zawierają szczegółowe informacje na temat konfigurowania i wdrażania zasad opartych na grupie.

Przewodniki te mogą pomóc organizacjom we wdrożeniu SDA i wykorzystaniu zalet sieci definiowanych programowo, w tym ulepszonego bezpieczeństwa, zmniejszonej złożoności i zwiększonej elastyczności.

Cisco Identity Services Engine (ISE) może łączyć się z kontrolerem Cisco Application Centric Infrastructure (ACI) w celu rozszerzenia segmentacji w sieci korporacyjnej. Dzięki temu ISE może tworzyć i zapełniać tabele translacji SG-EPG, które są używane przez urządzenia brzegowe do tłumaczenia identyfikatorów TrustSec-ACI podczas przepływu ruchu między domenami sieciowymi.

Technologia TrustSec jest obsługiwana przez ponad 50 rodzin produktów Cisco i może współpracować z produktami typu open source i produktami innych firm. ISE działa jako kontroler zasad dla routerów, przełączników, urządzeń bezprzewodowych i rozwiązań bezpieczeństwa.

Do korzystania z tej funkcji wymagana jest licencja na ISE Advantage.

Licencje umożliwiające segmentację za pośrednictwem SDA obejmują Advantage lub Premier na Cisco ISE oraz Cisco DNA Premier/Cisco DNA Advantage.

Integracje z systemem zabezpieczeń

Cisco Identity Services Engine (ISE) gromadzi dane kontekstowe dotyczące punktów końcowych, w tym typ urządzenia, lokalizację, czas dostępu, postawę i powiązanych użytkowników, i może wykorzystywać te dane do stosowania zasad kontroli dostępu do sieci.

Punkty końcowe można oznaczyć tagami Scalable Group Tags (SGT) w oparciu o te atrybuty, a te informacje kontekstowe można również udostępniać partnerom ekosystemu w celu ulepszenia ich usług. Na przykład polityki Cisco Next-Generation Firewall (NGFW) mogą być oparte na kontekście tożsamości otrzymanym z ISE. Z kolei kontekst z systemów innych firm może być wprowadzany do ISE w celu poprawy jego możliwości wykrywania i profilowania oraz wspierania powstrzymywania zagrożeń.

Ta wymiana kontekstów może być osiągnięta za pośrednictwem Cisco pxGrid (w tym pxGrid Cloud i pxGrid Direct) lub interfejsów API REST. Zewnętrzne usługi RESTful Services (ERS) w ISE służą zarówno do udostępniania kontekstu, jak i do zarządzania ISE w określonych przypadkach użycia za pośrednictwem interfejsów API REST.

Wymagana licencja: ISE Advantage

Device Administration (TACACS+)

Cisco Identity Services Engine (ISE) zapewnia możliwość automatyzacji zadań administrowania urządzeniami oraz monitorowania urządzeń sieciowych i zabezpieczających za pomocą TACACS+ w kontrolowanym miejscu w interfejsie użytkownika. Może to pomóc administratorom sieci i bezpieczeństwa w wydajniejszym i skuteczniejszym zarządzaniu dużą liczbą urządzeń.

Automatyzacja i płynny przepływ pracy mogą ułatwić śledzenie użytkowników administracyjnych, uprawnień i zmian w konfiguracji. Taka funkcja może być szczególnie przydatna w dużych sieciach z setkami lub tysiącami urządzeń.

Licencja, która umożliwia administrowanie urządzeniem: Device Admin License

Zużycie licencji: licencje administrowania urządzeniami są zużywane na węzeł usługi zasad (PSN). Musisz mieć licencję Device Administration dla każdego węzła usługi zasad, w którym włączasz usługę TACACS+.

Administrowanie urządzeniami za pomocą TACACS+ nie zużywa punktów końcowych i nie ma ograniczeń co do urządzeń sieciowych do administrowania urządzeniami. Użytkownik nie potrzebuje licencji Essentials.

Compliance

Cisco Identity Services Engine (ISE) używa behawiorystyki do oceny zgodności urządzeń końcowych z firmową polityką oprogramowania przed przyznaniem im dostępu do sieci. Pomaga to zapewnić, że system operacyjny, oprogramowanie chroniące przed złośliwym oprogramowaniem, zapora ogniowa i inne oprogramowanie na urządzeniu są aktualne i włączone, zmniejszając ryzyko organizacyjne i zmniejszając powierzchnię zagrożeń tworzonych przez niezgodne, niehigieniczne punkty końcowe.

Silnik Cisco ISE Posture lub MDM można wykorzystać do oceny zgodności punktów końcowych i podjęcia odpowiednich działań w celu ochrony sieci.

Do korzystania z tej funkcji wymagana jest licencja na ISE Premier z Cisco AnyConnect Apex.

Cisco ISE oferuje różne poziomy licencjonowania do zarządzania funkcjami aplikacji i dostępem.

Zagnieżdżony model licencjonowania zapewnia klientom łatwą aktualizację licencji w miarę zmieniających się potrzeb bez konieczności kupowania dodatkowych licencji na poszczególne funkcje. Pozwala to na większą elastyczność i skalowalność w zarządzaniu dostępem do sieci i bezpieczeństwem.

Dzięki nowemu modelowi możesz bezpośrednio kupować licencje Premier lub Advantage bez konieczności posiadania licencji Essentials.

Cisco ISE 2.x: Licencjonowanie klasyczne

Licencje 2.x są już wycofane z eksploatacji i nie są dostępne w sprzedaży od 9 marca 2022 r.

Cisco ISE 3.x: Poziomy licencjonowania

Cisco ISE 3.0: Adding NAD to ISE 

Connecting Cisco ISE 3.0 node to Active Directory

Cisco ISE Post installation tasks verification

Cisco ISE: 1. Bootstrap process – VM installation