CBS завершила проект по модернизации системы безопасности на базе Cisco ISE в МБЭС

  • 30.09.2020
  • 71

Задача

ИТ-департамент банка принял решение о модернизации системы контроля доступа в сеть в целях оптимизации процессов управления и повышения уровня безопасности. Необходимо обеспечить единую точку аутентификации, авторизации и логирования различных подключений к сети: проводных, беспроводных, VPN. Также было принято решение о внедрении централизованной системы доступа на само сетевое оборудование. А так как большая часть устройств – это оборудование компании Cisco, в качестве основы для такой системы был выбран продукт Cisco ISE.

Выполнение

Решение Cisco ISE было развёрнуто в виде виртуальной машины.

В системе настроены следующие ключевые функции безопасности:

  • Интеграция с базой Active Directory (AD) для предоставления централизованного доступа к учётным записям пользователей банка для различных информационных систем, подключённым к Cisco ISE.
  • Сервис авторизации, аутентификации и аккаунтинга (AAA) для доступа на сетевое оборудование по протоколу TACACS+. Служба AAA на всех сетевых устройствах Cisco была перенастроена на Cisco ISE.
  • Аутентификация и авторизация для доступа на сетевое оборудование по протоколу RADIUS. Данная функция применялась для тех устройств, которые не умеют работать по протоколу TACACS+. Такими устройствами стало оборудование компании HPE.
  • Аутентификация беспроводных клиентов по протоколу 802.1x. Пользователи получили возможность подключаться к WiFi сети, используя привычные данные из AD.
  • Предоставление данных о пользователях и группах пользователей в AD для решения Cisco FTD. Чтение логов безопасности контроллеров домена для создания базы «пользователь AD – IP-адрес» и передача этой информации через pxGrid на Cisco FTD. Данный функционал обеспечил возможность создания правил на NGFW на основе имен пользователей и групп AD.
  • Аутентификация и авторизация пользователей, подключаемых через Cisco Anyconnect. Пользователи получили возможность удалённо подключаться к сети, используя привычные данные из AD.
  • Обслуживание пилотной зоны проводной аутентификации и авторизации по протоколу 802.1x. Так как ранее подключения проводных устройств никак не контролировалось, было принято решение развернуть в сети банка пилот по подключению на основе протокола 802.1x. Это позволило бы банку более подробно разобраться в решении с целью дальнейшего тотального перехода на данную технологию. Для работы пилотной зоны было настроено:
    • Аутентификация проводного подключения. При подключении использовались учётные данные из AD.
    • Профилирование устройства. Определение типа устройств, вендора, ОС и прочих атрибутов. Выполняется на базе анализа DHCP запроса, CDP/LLDP информации и прочих источников.
    • Оценка состояния устройства. На устройство загружается клиент модуль AnyConnect, который проверяет его состояние. В частности проверяется наличие МСЭ, антивируса, Hotfix’ов, запущенных приложений и прочих параметров системы. В рамках пилота проверяется версия ОС и наличие МСЭ.
    • Предоставление доступа в сети на основе ранее полученных данных - авторизация. В рамках пилота по совокупности всех ранее полученных данных ISE назначает порт в нужный VLAN и применяет динамический ACL.

Результат

Заказчик получил централизованную систему управления подключениями к сети. Появился контроль абсолютно за всеми типами подключения. А так как все события хранятся в единой базе, это существенно облегчило их анализ при расследовании различных инцидентов безопасности.

Платформа Cisco ISE обладает большой функциональностью, поэтому в планах банка внедрять новые функции безопасности на основе данного решения, например, Cisco Trustsec.