Cisco Identity Services Engine
 
Cisco ISE (Identity Services Engine) zapewnia dynamiczne i zautomatyzowane podejście do egzekwowania zasad dostępu oraz segmentacji i mikro-segmentacji sieci. Jest centralnym punktem weryfikacji stanu, zgodności, tożsamości i poświadczeń oraz egzekwowania zdefiniowanych polityk z którym integruje się resztę infrastruktury. Jego bazą jest moduł NAC (Network Access Control), którego zadaniem jest udzielanie dostosowanych do posiadanych ról i funkcji w organizacji dostępów dla urządzeń i użytkowników.
Cisco Identity Services Engine

Cisco ISE zawiera otwartą i opartą na standardach IETF szynę Cisco pxGrid (Platform Exchange Grid), która umożliwia wygodną integrację wielu produktów ze sobą. Zamiast łączyć API każdego produktu z każdym innym, wystarczy wszystkie je podłączyć do wspólnej szyny pxGrid. Jest to o wiele bardziej skalowalne i wygodne.

Dzięki pxGrid możliwe jest dzielenie się informacjami o zagrożeniach i kontekście pomiędzy różnymi produktami bezpieczeństwa. Umożliwia to m.in. zautomatyzowane podejmowanie decyzji i dynamiczne implementowanie polityk w celach minimalizacji oraz ograniczenia skali incydentu lub zagrożenia.
 
Wspomniana szyna pxGrid oraz moduł Threat Centric NAC (Network Access Control), będący także częścią Cisco ISE, który pozwala na kreowanie polityk autoryzacji w oparciu o wykryte podatności i informacje o zagrożeniach, są niezbędnymi elementami modelu Cisco Threat Centric Security.

W jednym miejscu zawarte są wszystkie informacji na temat tego kto, w jaki sposób oraz kiedy uzyskał dostęp do sieci. A też te informacje mogą być uwzględniane w budowanych politykach dostępu.
Na obrazku można zobaczyć historię uzyskiwanych dostępów do sieci.

Dodatkowo Cisco ISE umożliwia przeprowadzenie weryfikacji stanu urządzeń podłączanych do sieci (ang. Posture), w tym też ich podatności (ang. Vulnerabilities) oraz dynamicznego profilowania urządzeń (ang. Profiling), czyli wykrywania typu urządzeń. Na podstawie tych informacji budowane mogą być dalej zasady dostępu.
Na obrazku widać przykładowe wartości rejestru, które są sprawdzane przed udzieleniem dostępu.  

Na podstawie tych informacji w scentralizowany i zautomatyzowany sposób egzekwowane są polityki dostępu do sieci i jej zasobów. Dzięki Cisco ISE uwierzytelnienie do sieci przewodowej i bezprzewodowej z użyciem IEEE 802.1X oraz polityki dostępu dla VPN mogą być ulokowane w jednym, scentralizowanym miejscu.
Na obrazku widać przykładowe polityki dostępowe do sieci LAN, WLAN, VPN oraz dla gości.

Wszystkich zainteresowanych scentralizowaną kontrolą dostępu, weryfikacją urządzeń końcowych i użytkowników, a także mikro-segmentacją i zautomatyzowanym bezpieczeństwem This email address is being protected from spambots. You need JavaScript enabled to view it..

Jednym z ciekawszych zastosowań Cisco ISE jest wykorzystanie go w architekturze Cisco TrustSec z obsługą znaczników SGT (Security Group Tag) w celu wprowadzenia mikro-segmentacji. W ten sposób możemy mieć dużą ilość urządzeń i usług w jednej przestrzeni adresowej, a mimo to w bardzo granularny i dynamiczny sposób kontrolować pomiędzy nimi dostęp. Podejście takie jest wygodne, gdyż nie wymaga ciągłych zmian adresacji IP serwerów i usług oraz wszelkich powiązań pomiędzy nimi w trakcie zmian polityk dostępowych.
Na obrazku widać matrycę dostępu architektury bezpieczeństwa Cisco TrustSec.

System udostępnia także portal do obsługi kont gościnnych (Sponsor Portal) i logowania dla gości (Guest Portal), którego wygląd można wygodnie personalizować. 
Na obrazku widać sposób konfiguracji portalu gościnnego.

Dla pracowników organizacji można uruchomić samoobsługowy portal z funkcją BYOD (Bring Your Own Device), gdzie mogą oni samodzielnie rejestrować swoje prywatne urządzenia.
Na obrazku widać sposób konfiguracji portalu samoobsługowego BYOD.

To oczywiście nie wszystkie możliwości Cisco ISE. Znajduje się w nim także wbudowany serwer TACACS+, który umożliwia granularną kontrolę dostępu do urządzeń sieciowych oraz rozbudowany moduł raportowania.

Cisco ISE umożliwia integrację z m.in. rozwiązaniami MDM/EEM, Cisco DNA, Cisco ACI, Cisco Stealthwatch, Cisco Tetration, Cisco FTD oraz innymi produktami bezpieczeństwa L2-L7, także firm trzecich, których nie sposób wymienić.

Natomiast najwięcej z Cisco ISE wyciągniemy integrując je z resztą komponentów firmy Cisco Systems.

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.