Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Платформа Cisco Identity Services Engine

2017-08-12
Автор: Телесфера

 

 

У зв'язку зі збільшенням кількості користувачів, пристроїв і методів доступу корпоративні ІТ-інфраструктури сучасних підприємств стають більш динамічними. Поряд з розширенням можливих варіантів підключення і спектра призначених для користувача пристроїв з'являються нові ризики порушення безпеки і завдання по збереженню керованості. Для забезпечення інформаційної безпеки корпоративної ІТ-інфраструктури та ефективного управління такою інфраструктурою потрібні нові рішення, які забезпечать виконання політик доступу, аудит доступу до ІТ-інфраструктури, моніторинг дотримання нормативних вимог, а також збір детальних відомостей про всі мережеві взаємодії.

Компанія Cisco розробила рішення, покликане спростити діяльність фахівців з мережевої безпеки і адміністраторів мережі, - Cisco ® Identity Services Engine.

Огляд продукту

Cisco Identity Services Engine є платформою наступного покоління для управління процесами ідентифікації та контролю доступу, яка дозволяє організаціям забезпечити дотримання нормативних вимог, підвищити рівень захищеності корпоративної ІТ-інфраструктури і спростити управління роботою мережевих сервісів. Завдяки унікальній архітектурі рішення підприємства можуть в режимі реального часу отримувати з мереж, від користувачів і пристроїв, контекстну інформацію, необхідну для прийняття запобіжних рішень з надання доступу. Усі рішення приймаються на підставі єдиної політики доступу, що розповсюджується на провідні сегменти мережі, бездротові сегменти мережі і підключення віддаленого доступу. Cisco Identity Services Engine є невід'ємним компонентом рішення Cisco TrustSec ®  і архітектури Cisco SecureX.

Cisco Identity Services Engine представляє собою високопродуктивне і гнучке рішення для контролю доступу з урахуванням контексту, яке об'єднує сервіси аутентифікації, авторизації та обліку (AAA), оцінки стану, профілювання та управління гостьовим доступом в рамках єдиної платформи. Адміністратори отримують можливість централізовано створювати узгоджені політик контролю доступу та управління ними, а також повну обізнаність про всіх користувачів і пристроях, що підключаються до мережі. Рішення Cisco Identity Services Engine автоматично виявляє і класифікує кінцеві пристрої, забезпечує необхідний рівень доступу, проводячи аутентифікацію як користувачів, так і пристроїв, а також забезпечує відповідність кінцевих пристроїв нормативним вимогам шляхом оцінки їх стану захищеності перед наданням доступу до корпоративної ІТ-інфраструктури. Cisco Identity Services Engine підтримує гнучкі механізми контролю доступу, включаючи групи безпеки (SGA), мітки груп безпеки (SGT) і списки контролю доступу груп безпеки (SGACL).

Функціональні можливості та переваги

Будучи невід'ємним компонентом рішення Cisco TrustSec, платформа Cisco Identity Services Engine надає такі можливості:

  •   Впровадження в корпоративну ІТ-інфраструктуру засобів аутентифікації і авторизації користувачів і кінцевих пристроїв, підключених до дротових мереж, бездротових мереж і мереж VPN, забезпечення дотримання узгодженої політики в масштабах всього підприємства.
  •  Запобігання несанкціонованого доступу до мережі для захисту корпоративних активів.
  •  Управління повним життєвим циклом гостьового доступу за рахунок надання запрошуючим особам (Спонсорам) коштів для дозволу доступу їх гостей, що дозволяє знизити поточне навантаження на ІТ- фахівців.
  •  Підтримка налаштовуємих порталів і можливість публікації web-сторінок для спрощення роботи як нових, так і досвідчених користувачів відповідно до прийнятих в організації процесів.
  •  Забезпечення повномасштабного моніторингу шляхом виявлення, класифікації та управління підключаємими до мережі кінцевими пристроями для надання відповідних сервісів і рівнів доступу.
  •  Усунення вразливостей на комп'ютерах користувачів шляхом регулярної перевірки та коригування їх стану, що дозволяє нейтралізувати такі мережеві загрози, як віруси, черв'яки і шпигунські програми.
  •  Забезпечення дотримання політик безпеки за рахунок блокування та ізоляції невідповідних корпоративним стандартам комп'ютерів в карантинній області, а також їх оновлення без залучення адміністратора.
  •  Підтримка вбудованої консолі моніторингу, звітності та усунення неполадок для спрощення роботи фахівців служби підтримки та адміністраторів.
  •  Підвищення точності профілювання підключених до мережі пристроїв за рахунок методів активного сканування пристрою. Цей механізм дозволяє підвищити точність профілювання пристроїв, для якого раніше використовувалися тільки кошти аналізу мережевого трафіку, за рахунок сканування певних атрибутів пристрою (відповідно до політики).
  •  Управління доступом кінцевих пристроїв до мережі за допомогою сервісу захисту кінцевих пристроїв (EPS). Сервіс EPS дозволяє адміністратору пов'язувати кінцеві пристрої і дії, які необхідно виконати при підключенні пристрою (перенесення в нову VLAN, повернення в вихідну VLAN або повна ізоляція пристрою від мережі), за допомогою єдиного інтерфейсу.


Cisco Identity Services Engine надають ряд додаткових основних можливостей, які описані в таблиці 1.
 
Таблиця 1.
Основні функціональні можливості платформи Cisco Identity Services Engine
 

Функціональна можливість

Опис

Протоколи AAA

Використання стандартного протоколу RADIUS для аутентифікації, авторизації та обліку (AAA).

Протоколи аутентифікації

Підтримує широкий діапазон протоколів аутентифікації, включаючи PAP, MS-CHAP, Extensible Authentication Protocol (EAP) -MD5, Protected EAP (PEAP), EAP-Flexible Authentication via Secure Tunneling (FAST) та EAP-Transport Layer Security (TLS).

Модель політики

Підтримує модель політики на основі правил і умов для створення гнучких і важливих для бізнесу політик контролю доступу. Дозволяє задавати політики шляхом вилучення атрибутів із заздалегідь визначених баз, в яких містяться дані про облікові дані користувачів і кінцевих пристроїв, оцінці стану, протоколах аутентифікації, результати профілювання і т. д. Атрибути можна створити динамічно і зберегти для використання в подальшому.

Контроль доступу

Підтримує безліч різних механізмів контролю доступу, включаючи завантажуємі списки контролю доступу (dACL), призначення мереж VLAN, перенаправлення по URL-адресам і додавання міток SGA, що дозволяє використовувати розширені можливості мережевих пристроїв Cisco.

Профілювання

У базі даних платформа містяться зумовлені шаблони пристроїв для різних кінцевих пристроїв, таких як IP-телефони, принтери, IP-камери, смартфони і планшети. Адміністратори можуть створювати власні шаблони пристроїв. Їх можна використовувати для автоматичного виявлення, класифікації і зв'язування визначених адміністраторами ідентифікаційних даних при підключенні

кінцевих пристроїв до мережі. Крім того, адміністратори можуть задавати політики авторизації на основі типу пристрою.

Платформа Cisco Identity Services Engine збирає відомості про атрибути кінцевих пристроїв з використанням засобів пасивної мережевої телеметрії, шляхом активного сканування кінцевих пристроїв, а також шляхом взаємодії з сенсорами пристроїв, що функціонують на комутаторах Cisco Catalyst.

Засоби профілювання пристроїв, розміщені на комутаторах Cisco Catalyst, є одним з елементів технології профілювання Cisco ISE. Вони дозволяють комутаторам швидко зібрати відомості про кінцеві пристрої, підключені до них, і передати зібрані відомості по протоколу RADIUS платформі Cisco ISE для класифікації пристроїв і призначення відповідних політик. Технологія профілювання з використанням сенсорів на комутаторах дозволяє здійснити ефективний збір відомостей про кінцеві пристрої в рамках розподіленої ІТ-інфраструктури, а також забезпечує масштабованість платформи, спрощує розгортання і дозволяє підвищити ефективність класифікації пристроїв.

Управління життєвим циклом гостьового доступу

Платформа забезпечує управління повним життєвим циклом гостьового доступу, при якому користувачі зі статусом «Гість» можуть отримати контрольований доступ до мережі протягом обмеженого часу при підтримці адміністратора або шляхом самостійної реєстрації на порталі гостьового доступу. Дозволяє адміністраторам налаштовувати портали і політики з урахуванням конкретних потреб організації.

Оцінка стану кінцевих пристроїв

Проводить оцінку стану кінцевих пристроїв для всіх типів користувачів, що підключаються до мережі. Функціонує з використанням або постійно встановленого на пристрої агента, або з використанням тимчасово завантажуємого web-агента. В процесі оцінки стану кінцевих пристроїв оцінюється відповідність кінцевого пристрою вимогам політик безпеки, таким як наявність останніх виправлень для операційних систем і наявність пакета антивірусного програмного забезпечення з найостаннішими і актуальними антивірусними базами. Розвинена система оцінки стану кінцевих пристроїв дозволяє виконувати перевірку файлових змінних (версія, дата і т. д.), реєстру (розділ, значення і т. д.) і додатків. Щоб гарантувати відповідність кінцевого пристрою політикам компанії, платформа Cisco ISE забезпечує регулярне автоматичне оновлення клієнта і проводить повторну оцінку стану пристрою.

Сервіс захисту кінцевих пристроїв

Дозволяє адміністраторам оперативно вживати коригувальні заходи (розміщення в карантин, вихід із карантину і повне блокування) до крайових пристроїв, що не відповідає вимогам політик безпеки. Це дозволяє знизити ризики і підвищити рівень захищеності всієї ІТ-інфраструктури.

Централізоване управління

Дозволяє адміністраторам централізовано налаштовувати сервіси профілювання, оцінки стану, гостьового доступу і авторизації і керувати ними за  допомогою єдиної web-консолі з графічним інтерфейсом, значно спрощуючи адміністрування за рахунок узгодженого управління всіма сервісами.

Моніторинг і усунення неполадок

Включає інтегрований компонент моніторингу, звітності та усунення неполадок, доступний за допомогою графічного web-інтерфейсу і призначений для спрощення роботи співробітників служби підтримки та операторів мереж. Пропонує засоби формування комплексної звітності для всіх сервісів, реєстрації всіх дій, а також відстеження в режимі реального часу всіх користувачів і кінцевих пристроїв, що підключаються до мережі, за допомогою панелі моніторингу.

Варіанти платформи

Поставляється в форматі фізичного або віртуального пристрою. Підтримуються три платформи фізичного пристрою, а також віртуальна машина для середовища VMware ESX або ESXi.

Переваги

Платформа Cisco Identity Services Engine характеризується наступними перевагами:

  •  Ця платформа дозволяє організаціям виконувати узгоджене розгортання складних індивідуалізованих бізнес-політик доступу.
  •  Платформа дозволяє знизити операційні витрати за рахунок забезпечення повного моніторингу, формування історичних звітів і розширених засобів пошуку та усунення неполадок мережевого доступу.
  •  Платформа дозволяє зменшити число перебоїв в роботі мережі і скоротити час простою за рахунок того, що доступ до мережі надається тільки користувачам, які відповідають вимогам політик, а користувачі, що не відповідають вимогам політик, ізолюються в окремі області мережі з обмеженим доступом до корпоративних ІТ-ресурсів.
  •  Платформа дозволяє організаціям забезпечити відповідність нормативним вимогам, оскільки вона забезпечує реалізацію необхідних механізмів забезпечення інформаційної безпеки і їх аудит.

 Існує три варіанти апаратної платформи Cisco Identity Services Engine (див. Таблицю 2).

Таблиця 2.
Технічні характеристики пристрою Cisco Identity Services Engine

 

Cisco Identity Services Engine Appliance 3315 (початкова)

Cisco Identity Services Engine Appliance 3355 (середня)

Cisco Identity Services Engine Appliance 3395 (потужна)

Процесор




1 чотирьохядерний ЦП Intel Core 2 Q9400, 2,66 ГГц

1 чотирьохядерний ЦП Intel Xeon E5504, 2 ГГц

2 чотириядерних ЦП Intel Xeon E5504, 2 ГГц

Пам'ять

4 Гбайт

4 Гбайт

4 Гбайт

Жорсткий диск

2 жорстких диска SATA ємністю 250 Гбайт кожен

2 накопичувача SAS ємністю 300 Гбайт кожен

4 накопичувача SFF SAS ємністю 300 Гбайт кожен

RAID

Немає

Є (RAID 0)

Є (RAID 0 + 1)

Дисковод

CD / DVD-ROM

CD / DVD-ROM

CD / DVD-ROM

Мережеві підключення

Ethernet-адаптери

4 інтегрованих адаптера Gigabit Ethernet

4 інтегрованих адаптера Gigabit Ethernet

4 інтегрованих адаптера Gigabit Ethernet

Підтримка кабелю 10BASE-T



Неекранована кручена пара (UTP) категорії 3, 4 або 5, до 328 футів (100 м)

Неекранована кручена пара (UTP) категорії 3, 4 або 5, до 328 футів (100 м)

Неекранована кручена пара (UTP) категорії 3, 4 або 5, до 328 футів (100 м)

Підтримка кабелю 10/100 / 1000BASE-TX

Неекранована кручена пара (UTP) категорії 5, до 328 футів (100 м)

Неекранована кручена пара (UTP) категорії 5, до 328 футів (100 м)

Неекранована кручена пара (UTP) категорії 5, до 328 футів (100 м)

Плата прискорювача SSL

Немає

Cavium CN1620-400-NHB-G

Cavium CN1620-400-NHB-G

Ігтерфейси

Послідовні порти

1

1

1

Порти USB 2. 0

4 (два спереду, два ззаду)

4 (один спереду, один всередині, два ззаду)

4 (один спереду, один всередині, два ззаду)

Відеопорти

1

1

1

Зовнішні порти SCSI

немає

немає

немає

Системний блок

Розмір

1 RU, для монтажу в стійку

1 RU, для монтажу в стійку

1 RU, для монтажу в стійку

Маса



28 фунтів (12,7 кг) в повній комплектації

35 фунтів (15,87 кг) в повній комплектації

35 фунтів (15,87 кг) в повній комплектації

Габарити



1,69 x 17,32 x 22 дюйма

(4,3 x 44 x 55,9 см)

1,69 x 17,32 x 27,99 дюйма

(43 x 42,62 x 71 см)

1,69 x 17,32 x 27,99 дюйма

(43 x 42,62 x 71 см)

Блок живлення

350 Вт

2 по 675 Вт (резервуються)

2 по 675 Вт (резервуються)

Вентилятори системи охолодження

6, без «гарячого» підключення, без резервування

9, що резервуються

9, що резервуються

Показник БТЕ

1024 БТЕ / год (при 300 Вт)

2661 БТЕ / год (при 120 В)

2661 БТЕ / год (при 120 В)

 

Віртуальні пристрої Cisco Identity Services Engine підтримуються в VMware ESX / ESXi 4.x. Їх слід запускати на обладнанні, характеристики якого відповідають характеристикам пристроїв, наведеними в таблиці 2, або перевершують їх. Мінімальні вимоги до віртуальної машини - це обсяг оперативної пам'яті не менше 4 Гбайт пам'яті і не менше 200 Гбайт простору на жорсткому диску. Віртуальна машина відповідає вимогам сертифікації FIPS140-2 рівня 1.

Системні вимоги

Системні вимоги програмного забезпечення Cisco NAC Agent, що реалізує перевірку стану кінцевих пристроїв, приведені в таблиці 3.

Таблиця 3.
Системні вимоги до Cisco NAC Agent

Компонент

Мінімальні вимоги

Підтримувана ОС

Microsoft Windows Vista Business, Windows Vista Ultimate, Windows Vista Enterprise, Windows Vista Home, Windows 7, Windows XP Professional, Windows XP Home, Windows XP Media Center Edition, Windows XP Tablet PC, Windows 2000, Windows 98, Windows SE і Windows ME; Mac OS X (v10.5.x, v10.6.x)

Простір на жорсткому диску

Мінімум 10 Мбайт вільного місця на жорсткому диску

Устаткування

Мінімальні вимоги до обладнання відсутні (працює на різних клієнтських комп'ютерах)

Специфікації ліцензій


Для активації різних сервісів при розгортанні платформи Cisco Identity Services потрібна ліцензія. В даний час підтримуються ліцензії на використання платформи Cisco Identity Services трьох типів.

  •  Ліцензія ISE BASE.

Використовується для активації базових сервісів, таких як сервіси аутентифікації, авторизації, гостьового доступу, моніторингу та усунення неполадок.

  •  Ліцензія ISE ADVANCED.

Використовується для активації розширених сервісів, таких як оцінка стану кінцевого вузла, сервіс профілювання, підтримки SGA і EPS. Зверніть увагу, що для установки ліцензії ISE ADVANCED потрібна ліцензія ISE BASE.

  •  Ліцензія ISE WIRELESS.

Дозволяє активувати всі сервіси ISE, але тільки для пристроїв, підключених до бездротової мережі.

Джерело: https://www.cisco.com/c/dam/global/ru_ru/assets/downloads/broch/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).