با استفاده از راهکار Cisco Identity Services Engine یا به اختصار Cisco ISE میتوان کاربران و تجهیزات متصل به شبکه سازمانی را از یک موقعیت مرکزی، مشاهده و کنترل نمود.
این امر بدیهی است که امروزه برای مدیریت و تامین امنیت در سازمانهای سیار، به رویکردی متفاوت نیاز است. Cisco ISE با ایجاد قابلیت دید بسیار مطلوب از کاربران و تجهیزات میتواند تجربه تحرکپذیری را برای سازمانها فراهم نماید. همچنین دادههای مهم ساختاری را با راهکارهای یکپارچه فناوری به اشتراک بگذارد. با قابلیت یکپارچهسازی، تجمیع و خودکارسازی مربوط به این راهکار میتوان امکان شناسایی، محدود ساختن و اصلاح سریعتر تهدیدات را فراهم کرد.
مزایای استفاده از Cisco ISE
Cisco ISE به ارائه یک رویکرد کلی و جامع برای امنیت دسترسی به شبکه میپردازد. کاربران با پیادهسازی این تکنولوژی از مزایای زیادی بهرهمند میشوند که در زیر به برخی از آنها اشاره شده است.
کسبوکار ایمن و دسترسی مبتنی بر ساختار
با بهرهمندی از ISE میتوان کسبوکار ایمن و دسترسی مبتنی بر ساختار را مطابق با Policyهای هر سازمان فراهم نمود. ISE این قابلیت را داراست که کاربران، Endpointها و سایر ویژگیها مانند زمان، موقعیت مکانی و نوع یا شیوه دسترسی را تطبیق داده و یک هویت ساختاری تمام عیار و کامل را ایجاد نماید. این هویت، برای اعمال آن دسته از Policyهایی که به منظور ایجاد دسترسی ایمن، مورد استفاده قرار می گیرد، پارامترهای هویتی و نقش سازمانی را مورد بررسی قرار می دهد. بدین ترتیب مدیران IT میتوانند کنترل دقیقی را نسبت به افراد یا تجهیزات مجاز در شبکه اعمال نمایند؛ ضمن اینکه از چندین مکانیسم برای اجرای Policy استفاده میکنند که به عنوان نمونه میتوان از راهکار Cisco TrustSec برای بخشبندی مبتنی بر نرمافزار نام برد.
افزایش قابلیت دید شبکه
این قابلیت با استفاده از یک Interface ساده و انعطافپذیر حاصل میشود. در حال حاضر این راهکار میتواند سابقهای از تمام Endpointهای روی شبکه با قابلیت دید مرتبط را ذخیره نماید. به علاوه، Streamlined Visibility Wizard این ویژگی را داراست که مقادیر مربوط به قابلیت دید نسبت به تمامی Endpointها را در شبکه مورد نظر نشان دهد.
اجرای Policyها در سطح گسترده
با اجرای Policyها در سطحی وسیع میتوان قواعد دسترسی را به شکلی ساده و با انعطافپذیری زیاد تعریف نمود تا در نهایت زمینهای برای تامین نیازهای همواره در حال تغییر کسبوکار فراهم گردد. تمام این اقدامات از یک موقعیت مکانی مرکزی صورت میگیرد که روند اجرا در سراسر شبکه و زیرساخت امنیت را تعمیم میدهد. بنابراین مدیران IT میتوانند Policy را به صورت متمرکز تعریف نمایند تا میان کاربران و تجهیزات مهمان (Guest) و کاربران و تجهیزات ثبت شده، تمایز ایجاد کنند. صرف نظر از موقعیت دسترسی، کاربران و Endpointها دارای دسترسی مجاز بر اساس ساختار خود میباشند.
ساده نمودن تجربه کاربران مهمان (Guest)
با این قابلیت میتوان سطوح متعددی از دسترسی را در شبکه فراهم نمود. کاربران میتوانند از Coffee Shop Hotspot، دسترسی ثبت شده به صورت Self-Service و یا دسترسی تضمین شده برای دستیابی به منابع خاص استفاده نمایند. با ابزارهای بصری دینامیک موجود در این راهکار میتوان یک پیشنمایش Real-Time از صفحات پورتال و مراحل طی شده توسط کاربر ارائه نمود. همچنین میتوانند چگونگی تاثیر تغییرات بر ساختار حسابهای کاربری Guest و Self-Registration و تایید دسترسی به ایمیل و SMS را مشاهده نمایند.
قابلیت Onboarding تجهیزات به صورت Self-Service
از این قابلیت برای اجرای BOYD یا Guest Policy در سازمانها استفاده میشود. بنابراین کاربران میتوانند تجهیزات را مطابق با Policyهای تعریف شده توسط مدیران IT، مدیریت نمایند. به علاوه، کارکنان IT میتوانند به قابلیت آمادهسازی، پروفایلبندی و تعیین وضعیت به صورت خودکار دست یابند که مستلزم مطابقت با Policyهای امنیتی میباشد. در عین حال، کارکنان میتوانند بدون نیاز به کمک دستیاران IT، به تجهیزات خود در شبکه دسترسی یابند.
-
کنسول واحد مدیریت
از این کنسول برای ارائه سادهتر Policy، قابلیت دید و گزارشگیری در سراسر شبکههای سازمان استفاده میگردد. بنابراین کارکنان IT میتوانند تطبیقپذیری برای حسابرسی و بررسی، الزامات قانونی و دستورالعملهای قوانین دولتی برای استانداردهای IEEE 802.1X را به سادگی تایید نمایند.
-
بررسی خودکار تطبیقپذیری تجهیزات
از این قابلیت برای بررسی وضعیت تجهیزات و گزینههای اصلاحی با کمک Cisco AnyConnect Unified Agent استفاده میشود. به علاوه اینکه AnyConnect Agent به ارائهی سرویسهای پیشرفته VPN برای بررسی لپتاپ و دسکتاپ میپردازد. همچنین ISE این قابلیت را داراست که با Vendorهای مدیریت تحرکپذیری سازمان (EMM) و مدیریت تجهیزات سیار و پیشرو در بازار (MDM) ادغام گردد. با این فرآیند یکپارچهسازی، قبل از ایجاد دسترسی برای تجهیزات سیار به شبکه میتوان تضمین نمود که این تجهیزات ایمن و منطبق با Policyها میباشند.
-
اشتراکگذاری اطلاعات کاربران و تجهیزات
دادههای ساختاری دینامیک از سراسر شبکه با استفاده از این قابلیت ایجاد میشوند. Cisco pxGrid Technology، به عنوان یک پلتفرم قدرتمند شناخته میشود که برای اشتراکگذاری میزان زیادی از دادههای ساختاری در مورد کاربران و تجهیزات متصل به شبکه با راهکارهای ارائه شده توسط سیسکو و تکنولوژیهای آن به کار میرود. شرکای ISE در حوزه امنیت و شبکه از این دادهها برای بهبود قابلیتهای دسترسی به شبکه و تسریع قابلیتهای شناسایی، انتقال و اصلاح تهدیدات شبکه در راهکار استفاده مینمایند.
پشتیبانی و تطبیقپذیری پلتفرم
ISE به عنوان یک Appliance فیزیکی یا مجازی در دسترس میباشد که در هر دو صورت برای ایجاد کلاسترهای ISE جهت ارائه به سازمانهای بزرگتر به کار میروند و قابلیت توسعه (Scale)، افزونگی (Redundancy) و Failover مورد نیاز برای یک سیستم کسبوکار مهم در سازمان را ارائه نماید.
Applianceهای مجازی ISE بر روی VMware ESXi 5.x, 6.x یا KVM بر روی Red Hat 7.x پشتیبانی میشوند. پیادهسازی محیط عملیاتی باید بر روی سختافزاری اجرا شود که معادل یا فراتر از پیکربندی پلتفرمهای فیزیکی ISE موجود باشد. برای محیطهای تست یا لابراتوار که سرویسهای محصول ارائه نمیشود، این راهکار را می توان بر روی ساختارهای مجازی که دارای حداقل 4 گیگابایت حافظه و دست کم 200 گیگابایت فضایِ در دسترس برای هارد درایو باشد، پیاده سازی نمود.
بررسی مبحث Licensing در Cisco ISE
در حال حاضر، هفت پکیج License مطابق شکل زیر برای این محصول در دسترس میباشد. سیسکو از سرویس Base Licenseهای مرتبط با Cisco Smart Net Total Care Software Application Support به همراه Upgradeها پشتیبانی مینماید. همچنین سیسکو این قابلیت را داراست که از لایسنسهای مدت دار برای سرویسهای مربوطه پشتیبانی نماید که در واقع شامل لایسنسهای مجزای با مدت زمان معین میباشد.
طبق شکل زیر، چهار Primary ISE License قابل دسترس میباشد. کاربران با یک مدل انعطافپذیر میتوانند تعداد متفاوتی از Licenseها را جهت دستیابی به سرویسهای موردنیاز خود انتخاب نمایند.
پکیجهای لایسنس ISE
ــــــــــــــــــــــــــــ
بررسی مفهوم Cisco Identity Services Engine یا ISE – قسمت اول
بررسی مفهوم Cisco Identity Services Engine یا ISE – قسمت دوم (پایانی)
