Cisco ISE

Что умеет решение Cisco ISE?

Ключевая задача Cisco ISE – централизованная точка аутентификации (кто), авторизации (куда) и логирования (что делал) различных подключений в сети (проводных, беспроводных, VPN). Данный продукт имеет широкую функциональность помноженную на очень гибкую схему создания различных правил.

Среди ключевых функций Cisco ISE можно выделить следующие:

  1. Аутентификация и авторизация для проводных и беспроводных подключений. Определение, кто подключится, и на основе различных атрибутов (например, группа в Active Directory) обеспечение гранулярного доступа (VLAN, динамический ACL, SGT-метка и пр.).

    Используются следующие методы аутентификации:

    • протокол 802.1x,
    • на базе MAC-адресов (MAB),
    • централизованная аутентификация через выделенный Web-портал,
    • EasyConnect (пассивная аутентификации на основе данных из Active Directory).

    В качестве источников для аутентификации может выступать локальная база пользователей, Active Directory, LDAP, сервисы двухфакторной аутентификации и пр.

  2. Профилирование устройств. Определение типа устройств, вендора, ОС и пр. атрибутов. Выполняется на базе анализа MAC-адреса, DHCP запроса, CDP/LLDP информации и пр. источников. В дальнейшем данные о профилировании могут использоваться при авторизации устройств.

  3. Оценка состояния. На устройство загружается программный клиент (временный или постоянный), который позволяет определить версию ОС, установленные патчи для ОС, актуальность баз антивируса, запущенные приложения, ключи в реестре и многое другое. Если клиент не соответствует каким-то корпоративным требованиям, есть возможность приведения его в соответствие (например, запуск обновления баз антивируса). Информация, полученная при оценке состояния, может использоваться при авторизации устройств.

  4. Централизованный доступ на сетевое оборудование (TACACS+ или RADIUS). При использовании TACACS+ мы получаем возможность не только обеспечит единую точку аутентификации на всех сетевых устройствах с целью их администрирования, но и возможность гранулярно определять команды, к-е разрешено вводить тому или иному оператору сети. При этом все действия логируются.

  5. Гостевой доступ для беспроводных клиентов. Доступен вариант с регистрацией и предоставлением временных паролей, например, через ресепшен или через СМС-сообщения.

  6. Концепция BOYD. Пользователи могут самостоятельно регистрировать свои устройства на портале самообслуживания, после чего данные устройства могут подключаться к сети.

  7. Доступ через VPN. Аутентификация и авторизация пользователей, к-е подключаются через remote-access VPN, например, Cisco Anyconnect.

  8. Интеграция с NGFW для предоставления данных по пользователям, а именно привязка IP-адреса к имени пользователя.

  9. TrustSec. Cisco ISE может назначать SGT-метки для подключаемых к сети пользователей. Предоставлять базу «IP-адрес – SGT-метка» по протоколу SXP, а также через коннектор pxGrid. Централизованно хранить матрицу доступа с SGACL.

  10. Интеграция с MDM решениями. Позволяет использовать информацию о мобильном устройстве, полученную из MDM. Например, проверка PIN,  Jailbreak и пр. атрибутов.

  11. Интеграция с решением Cisco SD-Access и ACI.

  12. Интеграция с другими решениями по безопасности: Stealthwatch, Qradar, Fortigate, CheckPoint и пр.