Cisco ISE

سیسکو Cisco ISE | ISE


با گسترش و پيشرفت روزافزون فناوري اطلاعات در دنياي امروز و افزايش وابستگي هاي سازمان ها به فناوري اطلاعات، کانال هاي ارتباطي کاربران و همچنين انواع دستگاه هاي کاربري، بيش از پيش دچار تنوع شده اند. اين امر باعث شده است تا مکانيزم هاي امنيتي سابق، از کارايي لازم به جهت مديريت و کنترل امنيتي کاربران شبکه برخوردار نباشند. در اين راستا، رويکرد امنيتي معرفي شده توسط Cisco TrustSec در قالب معماري امنيتي BYOD، سعي داشته است تا با نگرشي جديدي، راهکارهاي امنيتي به جهت تحت پوشش قرار دادن نيازمندي هاي امنيتي روز دنيا توليد نمايد که نتيجه فعاليت هاي آن ها با موفقيت هاي چشم گيري همراه بوده است.

راهکار سیسکو ISE، با تمرکز بر اعمال سياست هاي امنيتي بر روي تجهيزات و کاربران نهايي، توانسته است تا بسياري از آسيب-پذيري هاي عمومي امنيتي را تحت پوشش قرار دهد و همچنين سطح امنيت بسترهاي ارتباطي که به صورت کلي از سطح امنيت پايين تري برخوردار هستند را (مانند بسترهاي Wireless) بهبود بخشد.

راهکار Identity Service Engine (ISE) يکي از قدرتمندترين و به روزترين راهکارهاي کنترل دسترسي و هويت سنجي است که با کمک آن بازه گسترده و جامعي از سياست هاي امنيتي را در سطح اجزاي مختلف يک شبکه مدرن، مانند سامانهات سوييچ هاي Access و Core، Wireless LAN Controllerها، VPNها، Gatewayها، کاربران، سرورها و... مي توان اعمال، کنترل و نظارت نمود.


ISE سیسکو

برخي از راهکارهاي امنيتي قابل پياده سازي مبتني بر سامانه ISE سيسکو به شرح ذيل مي باشند:

  • گسترش دامنه فعاليت سامانه ISE در سطح کاربراني که با استفاده از کابل شبکه، به صورت بي سيم و يا با استفاده از VPN به شبکه متصل مي شوند.
  • تخصيص سطوس دسترسي به کاربران به جهت دسترسي به منابع شبکه
  • راه اندازي راهکارهاي گزارش گيري از History فعاليت هاي کاربران از لحاظ دسترسي به منابع شبکه
  • تعريف Roleها و Groupها و اعمال سياست هاي دسترسي بر اساس Roleها و Groupهاي تعريف شده
  • تدوين سياست هاي امنيتي مطابق با خط مشي هاي کلان امنيتي سازمان ها به جهت راه اندازي راهکار Inline Posture
  • دسته بندي محدوده فيزيکي نقاط ممکن اتصال کاربران به شبکه با استفاده از راهکار Profiler Service
  • راه اندازي راهکارهاي Certificate Authority (CA) با محوريت نقش سامانه ISE
  • استفاده از راهکارهاي AAA در سطح سامانه هاي زيرساختي شبکه با محوريت سامانه ISE و ACS به عنوان Radius Server
  • راه اندازي راهکار Endpoint Protection Service
  • يکپارچه سازي Active Directory و سرويس هاي امنيتي سامانه ISE

سرويس سيسکو ISE داراي 4 عدد Role مي باشد که هر کدام داراي نقش و وظايف خاصي مي باشند و به جهت ارائه سرويس ISE در سطح شبکه، راه اندازي حداقل سه عدد از اين Roleها الزامي است. به طور کلي هر کدام از سامانه هاي ISE که مي توانند به صورت سرورهاي مجازي، فيزيکي و يا Applience راه اندازي گردند، مي توانند يک يا چند عدد از اين Roleها را به خود اختصاص دهند و يا هر Role توسط چند سامانه تحت پوشش قرار گيرد.

در اين راستا، سه مدل پياده سازي وجود دارد که در هر مدل به رابطه بين تناظر ميان سرورهاي سيسکو ISE و Roleهاي موجود، رابطه ميان آن ها و تعداد کاربران تحت پوشش پرداخته مي شود.


Roleهاي موجود به شرح زير مي باشند:

  • Policy Administration Node (PAN): اين نود، وظيفه انجام عمليات Administration را بر روي سامانه ISE سيسکو برعهده دارد.
  • Policy Service Node (PSN): اين نود وظيفه اعمال سياست هاي امنيتي تعريف شده را برعهده دارد.
  • Monitoring (MNT): اين نود وظيفه جمع آوري، نگهداري و ارجاع به اطلاعات مديريتي را در دامنه سامانه ISE سيسکو دارا مي باشد.
  • Inline Posture Node (IPN): اين نود به عنوان يک درگاه براي ارتباطات تحت شبکه عمل مي نمايد.

Cisco ISE

مزاياي استفاده از مجموعه سرويس هاي سیسکو ISE:

  • شناسايي و احراز هويت تمامي کاربران در سطح شبکه (مبتني بر ساختار جامع AAA)
  • سازگاري با راهکارهاي مبتني بر Active Directory
  • ايجاد سياست هاي امنيتي دقيق در سطح انواع مختلف کاربران (Business Policy Enforcement)
  • کنترل و ارتقاء سطح امنيت درگاه هاي ارتباطي بي سيم، مبتني بر سيم و از راه دور
  • سازگاري کامل با ساير محصولات امنيتي ارائه شده توسط شرکت Cisco و ساير شرکت ها
  • افزايش آگاهي از فعاليت هاي کاربري
  • مديريت سطوح دسترسي کاربران به شبکه و منابع
  • دسته بندي منطقي کاربران، مبتني بر نيازمندي هاي سازماني و يا سطوح دسترسي آن ها
  • يکپارچه سازي حساب هاي مختلف کاربري (با استفاده از راهکار Single Sign On)