Cisco Identity Services Engine

Решение для контроля и учета состояния пользователей

Растущее количество мобильных устройств, а также необходимость мобильности сотрудников заставляют уделять повышенное внимание защите от сетевых угроз, поиску уязвимостей, защите критичных данных.

Доступность сети создает риски для информационной безопасности. Чтобы вовремя обнаруживать, предотвращать и реагировать на угрозы, необходимо обладать подробной информацией об их источнике, иметь средства реагирования, а также уменьшать площадь атаки.

Контроль и учет состояния пользователей (ISE)

Cisco ISE (Identity Services Engine) — это решение, которое позволяет администратору централизованно управлять политиками доступа оконечных устройств к сетевым ресурсам в проводных, беспроводных и VPN сетях. Решение предлагается в двух редакциях: как отдельное устройство, и как виртуальная машина.

Ключевые особенности Cisco ISE:

Обеспечение гранулярной видимости сети: ISE определяет контекст вокруг оконечных устройств, который включает пользователей и группы (Кто), устройства (Что), время доступа (Когда), место доступа (Где), тип доступа (проводной/беспроводной/VPN — Как), угрозы и уязвимости.
Posturing: функция ISE, которая позволяет проверять оконечные устройства на соответствие установленным политикам (например, установлены ли последние версии ПО, установлен ли антивирус, включен ли брандмауэр, подключены ли съемные носители, и т.п.) перед предоставлением доступа к сети.
Профилирование: способность определять тип устройства, которое подключается к сети: IP-телефон, рабочая станция, принтер, и т.п. Решение поддерживает около 1,5 млн устройств с 50 атрибутами.
Сегментация сети: разграничение доступа к ресурсам, на основе ролей пользователей. В случае заражения оконечного устройства вредоносное ПО не распространится дальше сегмента, в котором находится.

Решение также позволяет эффективно реализовывать гостевой доступ и политику BYOD (доступ к сетевым ресурсам с личных устройств). Если ISE обнаружит подключение легитимного пользователя, но с недоменного устройства (личный телефон, планшет, и т.п), то пользователю будет предоставлен ограниченный доступ (например, только к интернету).

Архитектура решения Cisco ISE состоит из следующих компонентов:

Узел (Node) — устройство ISE или виртуальная машина;
Сетевые ресурсы;
Оконечные устройства.

Для понимания принципов работы решения, нужно также знать основные термины:

Persona — роль, или набор функций, выполняемых узлом;
Service — конкретная функция, выполняемая персоной;

Узел Cisco ISE может выполнять одну или несколько функций, в зависимости от активной роли. На любом узле может быть активна роль Administration, Policy Service, PxGrid, и Monitoring.

Administration Node

Узел Cisco ISE с активной ролью Administration позволяет выполнять все административные операции в Cisco ISE. Он управляет всеми системными процессами, относящимися к функционалу, такими как аутентификация, авторизация и учет (AAA).

Policy Service Node

Узел Cisco ISE с активной ролью Policy Service обеспечивает доступ к сети, соблюдение политик безопасности, управление гостевым доступом, выделение ресурсов, а также сервисы профилирования. Такой узел оценивает анализирует политики и принимает все решения.

Monitoring Node

С ролью Monitoring узел выступает в роли сборщика журналов и хранит их со всех Administration и Policy Service узлов в сети. Такая роль предоставляет функции продвинутого мониторинга и инструментов поиска и устранения проблем для эффективного управления сетью и ресурсами.

Еще одна роль — PxGrid, позволяет обмениваться контекстными данными с другими сетевыми устройствами сторонних производителей. Кроме того, pxGrid может использоваться для обмена политиками и данными конфигурации между узлами Cisco ISE.

Каждый узел ISE может поддерживать ограниченное количество оконечных устройств. Предел зависит от аппаратной мощности сервера ISE. Расширение системы происходит за счет приобретения дополнительных узлов и вынесения конкретных ролей на отдельные узлы.

В чем преимущества?

Управление доступом к сети с помощью сервиса защиты оконечных устройств (EPS). EPS позволяет администратору связывать оконечные устройства и действия, которые необходимо выполнить при подключении устройства (перенос в новую VLAN, возврат в исходную VLAN или полная изоляция устройства от сети), с помощью единого интерфейса.
Сокращение времени простоя и количества перебоев в работе сети. Согласованное развертывание сложных индивидуализированных бизнес-политик доступа.
Защита корпоративной информации. Cisco ISE предотвращает несанкционированный доступ к сети, а также мониторит устройства пользователей на предмет возможного заражения. Гостевой доступ строго ограничен. Зараженные устройства автоматически выносятся в изолированную, карантинную зону.
Снижение нагрузки на IT-специалистов. Сотрудники компании могут самостоятельно предоставлять гостевой доступ своим посетителям. Рутинные задачи полностью автоматизированы.
Полномасштабный мониторинг. Обнаружение, классификация и управление подключающимися к сети оконечными устройствами для предоставления соответствующих уровней доступа и сервисов.
Точное профилирование устройств благодаря активному сканированию.
Единый интерфейс для управления политиками. На главное окно можно вынести более 20 различных метрик, включая количество оконечных устройств, количество сетевых устройств доступа, главные угрозы, общее количество скомпрометированных устройств, типы устройств, и многие другие.

Системный интегратор X NET уже 14 лет помогает средним и крупным предприятиям внедрять IT-решения для эффективного использования ресурсов и повышения продуктивности персонала на рабочих местах. Наши клиенты — это предприятия в сферах добывающей промышленности, медицины, государственного сектора, производства.

Команда X NET — это опытные и сертифицированные специалисты, готовые к выполнению интеграционных работ любой сложности. У нас также есть собственная круглосуточная служба поддержки для дальнейшего технического сопровождения.

X NET — сертифицированный партнер Cisco Systems уровня Premier.

Это означает, что наши инженеры прошли соответствующее обучение и готовы к внедрению и обслуживанию решений и оборудования Cisco. Мы также можем предложить нашим заказчикам выгодные условия сотрудничества.

Пример проекта

Построение IТ-инфраструктуры

Завод «Белая Дача»

Нами выполнен проект по построению IT-инфраструктуры картофелеперерабатывающего завода. Внедрены следующие решения:

147 промышленных точек доступа для бесшовного покрытия (Wi-Fi)
561 сетевой узел
24 стойки ЦОД с полной виртуализацией
256 датчиков безопасности, политики безопасности системы ИБ для достижения отказоустойчивости сети и беспрерывной работы производства
IP-телефония и портал для видеоконференцсвязи

В данный момент инфраструктура и пользователи находятся на технической поддержке X NET.

ПОДРОБНОСТИ ПРОЕКТА