cisco ise 161115 sacisco ise в управлении доступом к сети ......
TRANSCRIPT
![Page 1: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/1.jpg)
Cisco ISE
в управлении доступом к сети
Александр Стрельцов
Сетевая Академия ЛАНИТ
12.11.2015 © 2015 Cisco and/or its affiliates. All rights reserved.
![Page 2: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/2.jpg)
Управление доступом
Корпоративная сеть не ограничена помещением офиса.
![Page 3: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/3.jpg)
Управление доступом
Необходима технология ориентированная на целостный
подход к защите доступа к сети и, позволяющая:
• Простую интеграцию и обеспечение безопасности всех устройств.
• Точную идентификацию всех пользователей и устройств
подключѐнных к сети.
• Централизованное, зависимое от контекста управление
политикой, позволяющее контролировать доступ любых
пользователей из любого места и с любых устройств.
![Page 4: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/4.jpg)
Безопасный контроль доступа
Cisco ISE – высокопроизводительное и гибкое решение для
контроля доступа с учётом контекста.
![Page 5: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/5.jpg)
Безопасный контроль доступа
Компоненты решения по защите доступа.
![Page 6: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/6.jpg)
Cisco ISE
Cisco ISE реализует гибкие централизованные сервисы управления
доступом к сети.
![Page 7: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/7.jpg)
Cisco ISE
![Page 8: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/8.jpg)
Cisco ISE как политическая платформа Процесс принятия решений.
![Page 9: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/9.jpg)
Способы внедрения Cisco ISE
Персона Описание Символ
Администрирования Интерфейс для настройки
политики, которые автоматически
передаются другим компонентам
Сервиса политики Механизм принятия политических
решений.
Мониторинга Интерфейс для регистрации
событий и составления отчѐтов.
![Page 10: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/10.jpg)
Способы внедрения Cisco ISE
.
![Page 11: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/11.jpg)
Элементы политики в Cisco ISE
Политика – это набор условий и результат.
Условия состоят из:
•Атрибута,
•Оператора,
•Значения.
Два типа политики:
•Простая;
•Опирающаяся на правила.
![Page 12: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/12.jpg)
Cisco ISE аутентификация
![Page 13: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/13.jpg)
Условия аутентификации в Cisco ISE
![Page 14: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/14.jpg)
Разрешѐнные протоколы в Cisco ISE
Разрешѐнные протоколы – это результат выполнения
политики аутентификации.
![Page 15: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/15.jpg)
Настройка или создание правил аутентификации
![Page 16: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/16.jpg)
Авторизация в Cisco ISE
![Page 17: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/17.jpg)
Политика авторизации в Cisco ISE
![Page 18: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/18.jpg)
Профиль авторизации в Cisco ISE
Профиль авторизации состоит из разрешений.
![Page 19: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/19.jpg)
Политика авторизации в Cisco ISE
Политика авторизации состоит из одного или более
правил.
Правило имеет имя, параметры условий контента и ссылку
на профиль авторизации.
![Page 20: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/20.jpg)
Настройка профиля авторизации в Cisco ISE
Профиль авторизации объединяет элементы политики, которые
будут применены к сеансу клиента.
![Page 21: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/21.jpg)
Настройка правил политики авторизации в Cisco
ISE
Правило авторизации с именем Default - последнее в политике
авторизации. Управляет запросами клиентов, которые не
соответствуют ни одному существующему правилу политики.
![Page 22: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/22.jpg)
Cisco TrustSec
Cisco TrustSec включает SGT и MACsec.
Функции SGT можно разбить на три категории:
Классификация назначает SGT пользователю или серверу.
Транспортировка связывает группу безопасности с трафиком
проходящим через сеть.
Применение реализует политику запрета или разрешения по SGT
источника и назначения.
![Page 23: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/23.jpg)
Классификация SGT
Таг – это идентификатор привилегий источника (пользователя,
устройства или объекта).
ISE поддерживает динамическое и статическое тагирование.
![Page 24: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/24.jpg)
SGT транспорт
SGT распространяется в заголовке Cisco Meta Data (CMD) Ethernet
фрейма
Оборудование должно поддерживать inline SGT
Дополнительное шифрование MACsec
![Page 25: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/25.jpg)
Применение политики с помощью SGACL
![Page 26: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/26.jpg)
Определение группы безопасности
Группа безопасности – это набор устройств, которые используют
общую политику защиты.
ISE автоматически назначает 16-битовый SGT.
![Page 27: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/27.jpg)
MACsec
![Page 28: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/28.jpg)
Гостевые сервисы в Cisco ISE
Гостевые сервисы в Cisco ISE охватывают полный жизненный цикл
учѐтных данных гостей.
Гостевые сервисы ISE предоставляют настраиваемые порталы для
гостей и спонсоров.
![Page 29: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/29.jpg)
Гостевые сервисы и WebAuth
Cisco ISE включает гостевые сервисы с помощью функции WebAuth.
![Page 30: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/30.jpg)
Приложения гостевых сервисов в Cisco ISE
Приложение Описание
Портал администратора основной интерфейс для управления. Облегчает
настройку глобальной политики для спонсоров и
гостей.
Портал спонсоров облегчает настройку и поддержку учѐтных записей
гостей.
Портал гостевых
пользователей
облегчает регистрацию гостевых пользователей.
Включает экран для входа, экран с допустимой
политикой использования, экран для изменения
пароля, экран само-регистрации.
![Page 31: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/31.jpg)
Сервис posture в Cisco ISE
Проверяет конечное устройство на соответствие
требованиям политики безопасности организации.
Функциональная область Описание
Предоставление клиента Автоматизирует установку и обновление NAC
агента.
Политика posture Определяет термины соответствия и
несоответствия политике безопасности
организации.
Политика авторизации Определяет разрешения в зависимости от
состояния конечного устройства: unknown;
compliant; noncompliant.
![Page 32: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/32.jpg)
Сервис posture в Cisco ISE
![Page 33: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/33.jpg)
Сервис posture в Cisco ISE
Есть два типа NAC агентов, постоянный агент и Web агент.
![Page 34: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/34.jpg)
Сервис posture в Cisco ISE
Условия posture используются для проверки определѐнных
атрибутов в системе клиента.
![Page 35: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/35.jpg)
Сервис posture в Cisco ISE
Строительные блоки политики Posture
Политика posture определяет технические требования, которые
описывают требования для соответствия.
Политика состоит из правил. Каждое правило имеет уникальное имя
и одно или несколько условий.
Условия могут быт простыми или составными и относятся к
нескольким категориям: файлы, регистры, сервисы, приложения,
сложные регулярные условия, антивирусы и антишпионы.
![Page 36: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/36.jpg)
Настройка условий Posture
Условия Posture используются для проверки состояния ПО на
конечном устройстве клиента.
![Page 37: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/37.jpg)
Настройка исправлений
Исправление необходимо для защиты устройства.
Запускается если система не соответствует требованиям.
Восстановление может быть выполнено вручную или автоматически.
![Page 38: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/38.jpg)
Настройка требований posture
Требования определяют жизненный статус конечного устройства.
Cisco ISE имеет восемь встроенных требований.
Эти требования предоставляют стартовую точку для определения
политики.
![Page 39: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/39.jpg)
Настройка политики авторизации для posture
Состояние может быть установлено в процессе исследования
атрибута PostureStatus.
Атрибут может иметь одно из трех значений: Compliant,
NonCompliant или Unknown.
![Page 40: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/40.jpg)
Сервис профилирования в Cisco ISE
Основная цель сервиса профилирования – это классификация
конечных устройств.
Профиль определяет группу идентичности устройства, которая
является атрибутом, используемым при определении условий в
политике аутентификации и авторизации.
![Page 41: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/41.jpg)
Сервис профилирования в Cisco ISE
![Page 42: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/42.jpg)
Сервис профилирования в Cisco ISE
Сенсор – это метод, используемый для сбора атрибутов конечных
устройств, находящихся в сети. Сенсоры позволяют создавать и
модернизировать профили конечных устройств.
![Page 43: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/43.jpg)
Политика профилирования
Сервис профилирования исследует атрибуты конечных устройств и
назначает устройства в группы идентичности. Логика исследования и
назначения определяется в политике профилирования. Эта политика
использует комбинацию условий для идентификации устройств.
![Page 44: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/44.jpg)
Настройка политики авторизации для
использования профайлера
Сервис профилирования используют для дифференциации доступа
к сети опираясь на профиль устройства.
![Page 45: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/45.jpg)
Cisco ISE заключение
Снижение рисков связанных с безопасностью информации
• В корпоративной сети только доверенные устройства
• Упрощение и централизация политики сетевого доступа
• Внедрение средств автоматизации сетевых политик доступа
Снижение операционных затрат
• Политики привязаны к пользователю, а не к месту и способу доступа
• Повышение наблюдаемости и простоты управления сетевым доступом
• Внедрение качественно новых средств автоматизации и контроля
• Интеграция понятия контекст в широкий набор сетевых решений и решений информационной
• безопасности
![Page 46: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/46.jpg)
Благодарю за внимание!
УЦ «Сетевая Академия ЛАНИТ»
www.academy.ru
![Page 47: Cisco ISE 161115 SACisco ISE в управлении доступом к сети ... доступом к сети. ... Сервис posture в Cisco ISE Строительные блоки](https://reader034.vdocuments.mx/reader034/viewer/2022042605/5f5d085e2acddd7e5617e432/html5/thumbnails/47.jpg)