Круглосуточная поддержка клиентов: 8 800 600 75 76

Cisco Identity Services Engine

Решение для контроля и учета состояния пользователей

Растущее количество мобильных устройств, а также необходимость мобильности сотрудников заставляют уделять повышенное внимание защите от сетевых угроз, поиску уязвимостей, защите критичных данных.

Доступность сети создает риски для информационной безопасности. Чтобы вовремя обнаруживать, предотвращать и реагировать на угрозы, необходимо обладать подробной информацией об их источнике, иметь средства реагирования, а также уменьшать площадь атаки.

    Контроль и учет состояния пользователей (ISE)

    Cisco ISE

    Cisco ISE (Identity Services Engine) — это решение, которое позволяет администратору централизованно управлять политиками доступа оконечных устройств к сетевым ресурсам в проводных, беспроводных и VPN сетях. Решение предлагается в двух редакциях: как отдельное устройство, и как виртуальная машина. 

    Ключевые особенности Cisco ISE:

    • Обеспечение гранулярной видимости сети: ISE определяет контекст вокруг оконечных устройств, который включает пользователей и группы (Кто), устройства (Что), время доступа (Когда), место доступа (Где), тип доступа (проводной/беспроводной/VPN — Как), угрозы и уязвимости.
    • Posturing: функция ISE, которая позволяет проверять оконечные устройства на соответствие установленным политикам (например, установлены ли последние версии ПО, установлен ли антивирус, включен ли брандмауэр, подключены ли съемные носители, и т.п.) перед предоставлением доступа к сети.
    • Профилирование: способность определять тип устройства, которое подключается к сети: IP-телефон, рабочая станция, принтер, и т.п. Решение поддерживает около 1,5 млн устройств с 50 атрибутами.
    • Сегментация сети: разграничение доступа к ресурсам, на основе ролей пользователей. В случае заражения оконечного устройства вредоносное ПО не распространится дальше сегмента, в котором находится.

    Решение также позволяет эффективно реализовывать гостевой доступ и политику BYOD (доступ к сетевым ресурсам с личных устройств). Если ISE обнаружит подключение легитимного пользователя, но с недоменного устройства (личный телефон, планшет, и т.п), то пользователю будет предоставлен ограниченный доступ (например, только к интернету).

    Архитектура решения Cisco ISE состоит из следующих компонентов:

    1. Узел (Node) — устройство ISE или виртуальная машина;
    2. Сетевые ресурсы;
    3. Оконечные устройства.

    Для понимания принципов работы решения, нужно также знать основные термины:

    • Persona — роль, или набор функций, выполняемых узлом;
    • Service — конкретная функция, выполняемая персоной;

    Узел Cisco ISE может выполнять одну или несколько функций, в зависимости от активной роли. На любом узле может быть активна роль Administration, Policy Service, PxGrid, и Monitoring

    Administration Node 

    Узел Cisco ISE с активной ролью Administration позволяет выполнять все административные операции в Cisco ISE. Он управляет всеми системными процессами, относящимися к функционалу, такими как аутентификация, авторизация и учет (AAA).

    Policy Service Node

    Узел Cisco ISE с активной ролью Policy Service обеспечивает доступ к сети, соблюдение политик безопасности, управление гостевым доступом, выделение ресурсов, а также сервисы профилирования. Такой узел оценивает анализирует политики и принимает все решения.

    Monitoring Node 

    С ролью Monitoring узел выступает в роли сборщика журналов и хранит их со всех Administration и Policy Service узлов в сети. Такая роль предоставляет функции продвинутого мониторинга и инструментов поиска и устранения проблем для эффективного управления сетью и ресурсами.

    Еще одна роль — PxGrid, позволяет обмениваться контекстными данными с другими сетевыми устройствами сторонних производителей. Кроме того, pxGrid может использоваться для обмена политиками и данными конфигурации между узлами Cisco ISE.

     

    Каждый узел ISE может поддерживать ограниченное количество оконечных устройств. Предел зависит от аппаратной мощности сервера ISE. Расширение системы происходит за счет приобретения дополнительных узлов и вынесения конкретных ролей на отдельные узлы.

    В чем преимущества?

    • Управление доступом к сети с помощью сервиса защиты оконечных устройств (EPS). EPS позволяет администратору связывать оконечные устройства и действия, которые необходимо выполнить при подключении устройства (перенос в новую VLAN, возврат в исходную VLAN или полная изоляция устройства от сети), с помощью единого интерфейса.
    • Сокращение времени простоя и количества перебоев в работе сети. Согласованное развертывание сложных индивидуализированных бизнес-политик доступа.
    • Защита корпоративной информации. Cisco ISE предотвращает несанкционированный доступ к сети, а также мониторит устройства пользователей на предмет возможного заражения. Гостевой доступ строго ограничен. Зараженные устройства автоматически выносятся в изолированную, карантинную зону.
    • Снижение нагрузки на IT-специалистов. Сотрудники компании могут самостоятельно предоставлять гостевой доступ своим посетителям. Рутинные задачи полностью автоматизированы.
    • Полномасштабный мониторинг. Обнаружение, классификация и управление подключающимися к сети оконечными устройствами для предоставления соответствующих уровней доступа и сервисов.
    • Точное профилирование устройств благодаря активному сканированию. 
    • Единый интерфейс для управления политиками. На главное окно можно вынести более 20 различных метрик, включая количество оконечных устройств, количество сетевых устройств доступа, главные угрозы, общее количество скомпрометированных устройств, типы устройств, и многие другие.

     

    Системный интегратор X NET уже 14 лет помогает средним и крупным предприятиям внедрять IT-решения для эффективного использования ресурсов и повышения продуктивности персонала на рабочих местах. Наши клиенты — это предприятия в сферах добывающей промышленности, медицины, государственного сектора, производства.

    Команда X NET — это опытные и сертифицированные специалисты, готовые к выполнению интеграционных работ любой сложности. У нас также есть собственная круглосуточная служба поддержки для дальнейшего технического сопровождения.

    X NET — сертифицированный партнер Cisco Systems уровня Premier.

    Это означает, что наши инженеры прошли соответствующее обучение и готовы к внедрению и обслуживанию решений и оборудования Cisco. Мы также можем предложить нашим заказчикам выгодные условия сотрудничества.

    Cisco Premier Partner

      Пример проекта

      Построение IТ-инфраструктуры

      Завод «Белая Дача»

      Нами выполнен проект по построению IT-инфраструктуры картофелеперерабатывающего завода. Внедрены следующие решения:

      • 147 промышленных точек доступа для бесшовного покрытия (Wi-Fi)
      • 561 сетевой узел
      • 24 стойки ЦОД с полной виртуализацией
      • 256 датчиков безопасности, политики безопасности системы ИБ для достижения отказоустойчивости сети и беспрерывной работы производства
      • IP-телефония и портал для видеоконференцсвязи

      В данный момент инфраструктура и пользователи находятся на технической поддержке X NET.

      ПОДРОБНОСТИ ПРОЕКТА

      Смотрите также