بررسی مفهوم Cisco Identity Services Engine یا ISE – قسمت دوم (پایانی)

 

Cisco Identity Services Engine یا به اختصار Cisco ISE به ارتقای سطح مدیریت دسترسی سازمان‌ها در شبکه کمک می‌نماید. در قسمت اول از این سری مقالات، به بررسی مزایا و ویژگی‌های این تکنولوژی پرداختیم. در این مقاله که قسمت دوم (پایانی) می‌باشد به بررسی ادامه‌ی مزایای این تکنولوژی می پردازیم.

مدیریت متمرکز

Cisco ISE با دارا بودن قابلیت مدیریت متمرکز، مدیران را قادر می‌سازد تا سرویس‌های Profiler، Posture، Guest، احرازهویت و تعیین حق‌دسترسی را در یک کنسول GUI تحت وب، به صورت مرکزی پیکربندی و مدیریت نمایند. بدین صورت که با فراهم نمودن سرویس‌های یکپارچه مدیریت، باعث تسهیل مدیریت از طریق این کنسول می‌گردد.

شرکت امن پایه ریزان کارن APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور

اجرای policyهای کسب‌وکار

تکنولوژی Cisco ISE یک مدل سیاست‌گذاریِ مبتنی بر Attribute و Rule را برای Policyهای کنترل دسترسی به ‌صورت انعطاف‌پذیر و مرتبط با کسب‌وکار ارائه می‌نماید. همچنین با استفاده از ویژگی‌هایی که در دیکشنری‌های از پیش تعریف‌شده‌‌ وجود دارند، قابلیت ایجاد Policyهای دقیق را فراهم می‌سازد.

علاوه بر موارد این موارد، Attributeهایی همچون هویت کاربر و Endpoint، اعتبارسنجی وضعیت، پروتکل‌های احراز هویت، پروفایل‌بندی Identity و دیگر منابع اطلاعاتی خارجی را دارا می‌باشد که می‌توان آنها را بصورت Dynamic ایجاد نمود و برای استفاده‌های بعدی ذخیره کرد. همچنین این تکنولوژی می‌تواند با سرویس‌هایی همچون Active Directory، LDAP، RADIUS و RSA One-Time Password یا به اختصار OTP، Certificate Authorityها جهت اعطای حق دسترسی و احراز هویت یکپارچه گردد و از Open Database Connectivity یا ODBC نیز پشتیبانی نماید.

کنترل دسترسی

Cisco ISE با استفاده از قابلیت‌های پیشرفته تجهیزات شبکه که با تکنولوژی Cisco TrustSec فعال‌شده‌اند، طیف وسیعی از گزینه‌های کنترل دسترسی را فراهم می‌کند که می‌توان به (Downloadable Access Control Lists (dACLs، اختصاص VLAN، URL Redirections، ACLهای نامگذاری شده‌، و Security Group Tag یا به اختصار SGT اشاره کرد.

دسترسی ایمن Supplicant-Less به شبکه با استفاده از Easy Connect

از دیگر ویژگی‌های این سیستم فراهم نمودن قابلیت Rollout سریع به شبکه به صورت ایمن و بدون پیکربندی Endpointها برای Authentication (احراز هویت) و Authorization (حق دسترسی) می‌باشد. این سیستم با استفاده از اطلاعات ورودی در لایه‌هایApplication ، فرآیند‌های Authentication و Authorization را انجام داده و درنتیجه بدون نیاز به 802.1X Supplicant، اجازه دسترسی و استفاده کاربر از Endpoint داده می‌شود.

پشتیبانی از (Source-Group Tag Exchange Protocol (SXP

با توجه به مفهوم تعریف شده در Source-Group Tag Exchange Protocol، سیسکو ISE به عنوان یک فرستنده یا گیرنده SXP و نیز به عنوان منبع معتبر شبکه برای اطلاعات Source-Group Tag عمل می‌کند.این تکنولوژی با بخش‌هایی که با Policyهای Cisco TrustSec سازگاری ندارند، ارتباط برقرار می‌کند تا اطمینان حاصل شود که دسترسی‌های متفاوتِ مبتنی بر نقش (Role-Based)، در سراسر شبکه ارائه شده است.

مدیریت چرخه ‏‏ی عمر Guest

Cisco ISE باعث اجرای آسان‌ پیاده‌سازی و سفارشی کردن دسترسی کاربرانِ Guest به شبکه شده و با ارتقای سیستم ظرف تنها چند دقیقه، باعث ایجاد تجربه‌ای مناسب برای این کاربران می‌گردد. لازم به ذکر است که پشتیبانی از Hotspot ،Sponsored ،Self-Service و بسیاری کارهای دیگر به صورت Built-in در این تکنولوژی گنجانده شده است. همچنین با فراهم نمودن امکان مدیریت با Visual Flow به صورت Real Time، تاثیرات مثبتی بر Guest Flow Design به وجود آورده است.

با استفاده از این سیستم در کل شبکه، امکان ردیابی دسترسی برای درخواست‌های امنیتی و تطبیق‏ پذیری فراهم می‌شود و گزینه‌های محدودیت زمانی، Expire شدن حساب و تأییدیه با استفاده از SMS، کنترل‌های امنیتی بیشتری را در اختیار مدیران شبکه‌ها قرار می‌دهد.

Streamlined Device Onboarding

با فراهم نمودن امکان درخواست خودکار تهیه و صدور Certificate برای PCهای استاندارد و پلتفرم‌های محاسباتی قابل جابه‌جایی، باعث کاهش نیاز کاربران به Help Deskها شده و دسترسی امن‌تر و تجربه بهتری را برای کاربران ایجاد کرده است. علاوه بر این، کاربران می‌توانند دستگاه‌های خود را به پورتال‌های Self-Service و در صورت پشتیبانی از SAML 2.0 به پورتال‌های تحت وب، اضافه و پشتیبانی نمایند. این سیستم برای ثبت تجهیزات سیار و اطمینان‌ از تطابق آن‌ها با Policy دسترسی، با Vendorهای MDM/EMM نیز قابل ادغام می‌باشد.

سرویس‌های AAA به صورت Built-in

Cisco ISE از پروتکل استاندارد RADIUS به منظور Authentication، Authorization و Accounting یا به اختصار AAA، استفاده می‌کند و همچنین از پروتکل‌های Authentication نظیر  PAP، MS-CHAP، EAP-MD5،PEAP، EAP-FAST، EAP-TLS و EAP-TTLS و … پشتیبانی می‌نماید.

لازم به ذکر است که Cisco ISE تنها Radius Server موجود می‌باشد که از EAP Chaining برای ماشین‌ها و Credentialهای کاربران پشتیبانی می‌کند.

تجهیزات مدیریتی کنترل دسترسی و Auditing

Cisco ISE قابلیت‌هایی همچون احراز هویت، تعیین سطح دسترسی و ممیزی (Auditing) کاربران را هنگام دسترسی به دستگاه‌هایی مانند تجهیزات شبکه و سرورها که از پروتکل +TACACS پشتیبانی می‌کنند، داراست.

این سیستم براساس مجوزهای کاربران، گروهی که به آن تعلق دارند، نقطه اتصال و اینکه خواهان اجرای چه اقداماتی بر روی دستگاه هستند، اجازه دسترسی کاربران و همچنین اجرای دستورات بر روی هر دستگاه را صادر می‌کنند؛ همچنین دسترسی به پیکربندی دستگاه بر مبنای مفاهیم Need-to-Know و Need-to-Act را همراه با حفظ قابلیت ردیابیِ هرگونه تغییر در شبکه فراهم می‌نماید.

Certificate Authority داخلی

به ‌منظور تسهیل مدیریت Certificateها برای تجهیرات، Certificate Authority داخلی را به صورت Easy-to-Deploy ارائه‌ می‌نماید که نیاز به استفاده از سایر برنامه‌های پیچیده در این حوزه را از بین می‌برد. همچنین یک کنسول واحد برای مدیریت Endpointها و مجوزهای آن‌ها فراهم شده است که وضعیت Certificate را از طریق پروتکل استاندارد Online Certificate Status Protocol یا به اختصار OCSP بررسی می‌کند و همچنین Revoke نمودن Certificate نیز به صورت اتوماتیک انجام می‌گیرد. علاوه بر موارد ذکر شده، امکان پیاده‌سازی به صورت Standalone و Subordinate (به عبارتی Certificate Authorityهایی که با زیرساخت فعلی PKI یکپارچه شده است) وجود دارد و ایجاد دستی Certificateها را در مقیاس وسیع و یا تکی و زوج کلیدهایی (Private Key و Public Key) برای اتصال این دستگاه‌ها به شبکه با درجه بالایی از امنیت را تسهیل می‌نماید.

پروفایل‌بندی تجهیزات

قابلیت پروفایل بندی تجهیزات در Cisco ISE، قالب‌های از پیش تعریف‌شده‌‌ای برای بسیاری از انواع Endpointها مانند IP Phoneها ، چاپگرها، IP Cameraها، گوشی‌های هوشمند و تبلت‌ها عرضه می‌نماید و به منظور شناسایی خودکار، طبقه‌بندی و مرتبط‌سازی پروسه‌های تعریف‌شده در زمانی کهEndpointها به شبکه متصل می شوند، قالب‌های سفارشی ایجاد می‌کند؛ علاوه بر موارد فوق این قابلیت به مرتبط‌سازی سیاست‌های حق دسترسی یک Endpoint خاص بر اساس نوع دستگاه کمک می‌نماید. در ضمن با استفاده از مانیتورینگ Passive شبکه و فرآیند بررسی و انتقال از راه دور، داده‌های Endpoint را جمع‌آوری می‌کند. این تکنولوژی Endpointهای اصلی یا جایگزین را در  زیرساخت های  مبتنی بر  سیسکو که  از سنسورهای تجهیزات در سوئیچ‌های Catalyst سیسکو استفاده می کنند، جستجو می نمایند.

Device-Profile Feed Service

این قابلیت امکان بروزرسانی خودکار پروفایل‌ Deviceهای ارزیابی شده سیسکو که دارای IP می‌باشند را از Vendorهای مختلف محقق می‌نماید. این سرویس جدیدترین دستگاه ها را شناسایی کرده و کار با آن‌ها را ساده‌تر می‌کند و مکانیزمی را ارائه می‌نماید که شرکا و مشتریان می‌توانند اطلاعات پروفایل سفارشی خود را که توسط سیسکو مورد بازبینی قرارگرفته است به اشتراک بگذارند.

Endpoint Posture Service

ارزیابی وضعیت Endpoint در رایانه‌های شخصی و دستگاه‌های متحرک (Mobile Device) که به شبکه متصل می‌شوند با استفاده از این سیستم قابل اجراست. همچنین جهت تایید اینکه Endpoint نهایی با Policyهای تطبیق‏ پذیری، همخوانی داشته باشد، استفاده از یک Client-Based Agent به صورت Persistent، یک Agent موقتی، یا کاوش در سیستم Vendorهای خارجی MDM/EMM قابل استفاده می‌باشد.

از دیگر مزیت‌های استفاده از این سیستم قابلیت ایجاد Policy ‌های کارآمد می‌باشد که شامل بررسی آخرین وضعیت Patchها در سیستم عامل، آنتی‌ویروس‌ها و نرم‌افزارهای ضد‌جاسوسی با تعریف فعلی متغیرهای فایل (نسخه، تاریخ و غیره)، بسته‌های ضدویروس، تنظیمات رجیستری، مدیریت Patch، رمزگذاری دیسک، Mobile PINlock یا وضعیت Rootشده یا Jailbreak شده وضعیت حضور برنامه، رسانه متصل شده به USB و… می‌شود اما این تنها بخشی از مزیت های این تکنولوژی است.

برای اطمینان از اینکه Endpoint در تناقض با Policyهای شرکت نیست، فرآیند Remediation خودکار مانند رفع مشکلات کامپیوترهای شخصی کاربران و همچنین Patch-Management سیستم‌ها انجام می‌گیرد.

لازم به ذکر است که برای ارزیابی وضعیت در سیستم عامل‌های ویندوز 7، 8 و 10 (32 و 64 بیتی) و MAC OS X در نسخه‌های 10.7، 10.8، 10.9 یا 10.11 به AnyConnect 4.x Agent نیاز می‌باشد.

پشتیبانی  گسترده از Multi-Forest Active Directory

در دامنه های Multi-Forest ، امکان Authentication و Authorization را به صورت کامل فراهم می‌کند. همچنین دامنه‌های مجزای چندگانه را به گروه‌های منطقی تقسیم‌بندی کرده و پیکربندی توپولوژی‌های پیچیده Active Directory را به‌منظور پشتیبانی از محیط‌های کسب‌وکار در حال تغییر، تسهیل می‌نماید. همچنین برای هموار نمودن راهکار انتقال و یکپارچگی، شامل قوانین Identity Rewriting انعطاف‌پذیر می‌شود و از مایکروسافت Active Directory 2003، 2008، 2008R2، 2012 و 2012R2 پشتیبانی می‌کند.

Cisco Rapid Threat Containment

این سیستم اقدامات شبکه را در پاسخ به رویدادهای امنیتی، کنترل و بررسی می‌نماید و راهکارهای Cisco ISE و سایر شرکای سیسکو را در زمینه های مختلف فناوری یکپارچه می‌سازد. به‌علاوه، به ‌منظور ارتباط ابزارهای امنیتی چندگانه با یکدیگر به صورت Real-Time و خودکار، از Cisco pxGrid (که در مقالات قبلی سایت به آن پرداخته شد) به عنوان یکIT Clearinghouse بسیار مقیاس‌پذیر استفاده می‌نماید.

مانیتورینگ و عیب‌یابی

مانیتورینگ و عیب‌یابی دیگر مزیت استفاده از این سیستم است که با ارائه یک کنسول Built-in تحت وب برای مانیتورینگ، گزارش‌گیری و عیب‌یابی، به سرعت مشکلات را شناسایی و حل نموده و به Help-Deskها و اپراتورها یاری می‌رساند. همچنین برای تمامی سرویس‌ها، گزارش‌های کاربردی‏ Historical و Real-Time فراهم کرده و تمام فعالیت‌ها را ثبت نموده و فعالیت‌های همه کاربران و Endpointهای متصل به شبکه را در یک داشبورد به صورت Real-Time ارائه می‌نماید.

بررسی Certificateها

دست‌یابی به الزامات Federal Information Processing Standard (FIPS) 140-2، معیارهای مشترک و قابلیت‌های تایید شده یکپارچه در لیست محصولات و همچنین پشتیبانی از IPv6 در این سیستم موجود است. در ضمن Certificateها ممکن است در تمام نسخه‌ها قابل دسترسی نباشند و یا در سطوح مختلف تایید باشند.