لایسنس اسمارت Cisco ISE

امروزه امنیت لایه Access شبکه برای سازمانی در هر اندازه‌ای اهمیت بسزایی پیدا کرده است. شاید در گذشته اقدامات امنیتی سنتی از قبیل اعمال محدودیت برروی پورت های سوئیچ و کنترل ترافیک برروی تجهیزات، امنیت شبکه را تضمین می‌کرد، اما با پیچیده‌تر شدن تهدیدات سایبری و رشد درز اطلاعات از داخل سازمان، نیاز به رویکرد هوشمندانه تری وجود دارد

در همین راستا، موتور خدمات هویت سیسکو (Cisco Identity Services Engine) یا به اختصار ISE، یک پلتفرم جامع کنترل دسترسی به شبکه و اعمال سیاست است که پایه‌ای محکم برای امن‌سازی شبکه‌های سازمانی فراهم می‌کند.

سیسکو ISE با ترکیب کنترل هویت و دسترسی، پروفایل‌سازی دستگاه و اعمال سیاست در یک راهکار متمرکز، رویکردی  جامع به امنیت شبکه ارائه می‌دهد. این پلتفرم قدرتمند به سازمان‌ها امکان می‌دهد سیاست‌های دسترسی دقیق را پیاده‌سازی کنند، از احراز هویت کاربران مورد تایید اطمینان حاصل کنند و دید کاملی در سرتاسر زیرساخت شبکه خود داشته باشند.

لایسنس اسمارت سیسکو ISE

محصول Cisco ISE از روش Cisco Smart Licensing پشتیبانی می کند، اکنون شما می توانید Cisco ISE را مانند سایر محصولات سیسکو از طریق لایسنس اسمارت سیسکو فعال نمایید. لازم به ذکر است از نسخه ISE 3.x به بعد سیسکو ISE فقط با استفاده از اسمارت لایسنس قابل فعال سازی است و لایسنس کلاسیک را پشتیبانی نمی کند. تمام لایسنس های اسمارت سیسکو ارائه شده توسط شرکت داده کاوان رایان تتیس در وب سایت CSSM با یک حساب Virtual Account معتبر و به نام مشتری حاوی لایسنس های ثبت شده مشتری ارائه می شوند. سیسکو گزینه‌های لایسنس انعطاف‌پذیری را برای تطبیق با سناریوهای مختلف استقرار و نیازهای ویژگی ارائه می‌دهد:

• لایسنس Essentials سیسکو ISE: این Cisco ISE Essentials License سطح پایه قابلیت‌های اساسی کنترل دسترسی را ارائه می‌دهد که برای سازمان‌هایی که به دنبال پیاده‌سازی عملکرد اساسی NAC هستند مناسب است.
• لایسنس Advantage سیسکو ISE: با خرید Cisco ISE Advantage License ویژگی‌های پیشرفته‌ای مانند Posture را اضافه می‌کند.
• لایسنس Premier سیسکو ISE: جامع‌ترین گزینه لایسنس ISE سیسکو، Cisco ISE Premier License شامل تمام ویژگی‌های ISE، از جمله قابلیت‌های پیشرفته مانند Profiling و BYOD است.

بدین ترتیب باید در نظر داشت که لایسنس های سطح بالاتر، قابلیت های لایسنس های سطح پایین تر را پوشش می دهند. به عنوان مثال یک لایسنس Premier، تمام قابلیت هایی که توسط لایسنس های Base، Plus و Apex در نسخه های قبلی فعال می شدند را شامل می گردد.

نکته مهم دیگر این است که هر سه تایپ لایسنس جدید دارای محدودیت زمانی (لایسنس 1 ساله، 3 ساله و 5 ساله) می باشند و نامحدود نیستند.

• لایسنس VM سیسکو ISE: برای سازمان‌هایی که ISE را در محیط‌های مجازی مستقر می‌کنند، سیسکو لایسنس مخصوص Cisco ISE Common VM License را ارائه می‌دهد.
• لایسنس TACACS+ سیسکو ISE: این Cisco ISE Device Admin License استفاده از ISE را برای مدیریت دستگاه با استفاده از پروتکل TACACS+ فعال می‌کند و کنترل دقیق بر دسترسی به دستگاه‌های شبکه را فراهم می‌آورد.

همچنین تمام این قابلیت ها از طریق فعال سازی لایسنس PLR سیسکو ISE و به صورت فول و نامحدود در دسترس خواهند بود.

مزایای سیسکو ISE

محصول Cisco ISE مجموعه‌ای از ویژگی‌های پیشرفته برای ارتقای امنیت شبکه و ساده‌سازی مدیریت دسترسی را فراهم می‌کند:

• راهکار NAC: کنترل دسترسی به شبکه یاNetwork Access Control به سازمان‌ها اجازه می‌دهد سیاست‌های دسترسی را بر اساس هویت کاربر، نوع دستگاه و وضعیت امنیتی دستگاه متصل به شبکه، تعریف و اعمال کنند. این امر اطمینان می‌دهد که تنها کاربران مجاز و دستگاه‌های منطبق می‌توانند به شبکه متصل شوند.
• احراز هویت کاربران با Dot1X: با بهره گیری از استاندارد 1X کنترل دسترسی به شبکه مبتنی بر پورت را فعال می‌کند و روشی امن برای احراز هویت و اعمال سطح دسترسی به دستگاه‌ها، را بهمراه می‌آورد.
• احراز هویت تجهیزات با MAB: برای دستگاه‌هایی که از احراز هویت 1X پشتیبانی نمی‌کنند، ISE گزینه MAB را به عنوان روش جایگزین ارائه می‌دهد. این ویژگی امکان دسترسی به شبکه را بر اساس آدرس MAC دستگاه فراهم می‌کند و سازگاری با دستگاه‌های قدیمی یا اینترنت اشیاء (IoT) را تضمین می‌نماید.
• مدیریت دسترسی ادمین ها: این محصول، با بهره گیری از قابلیت Device Administration و پروتکل های RADIUS و TACACS+، مدیریت متمرکز دستگاه‌های شبکه را ارائه می‌دهد و به مدیران امکان می‌دهد دسترسی به سوئیچ‌ها، روترها و سایر اجزای زیرساخت را کنترل کنند. این ویژگی با اعمال سیاست‌های دسترسی یکپارچه در سراسر شبکه، امنیت را افزایش می‌دهد.
• شناسایی و پروفایل‌سازی تجهیزات شبکه: قابلیت‌های پیشرفته پروفایل‌سازی (Profiling) این پلتفرم به آن امکان می‌دهد به طور خودکار دستگاه‌های متصل به شبکه را شناسایی و طبقه‌بندی کند. از این اطلاعات برای اعمال سیاست‌های دسترسی و اقدامات امنیتی مناسب بر اساس نوع و ویژگی‌های دستگاه استفاده می‌شود.
• ارزیابی وضعیت امنیتی تجهیزات: نرم افزار ISE سیسکو می‌تواند وضعیت امنیتی نقاط پایانی (End Point) که قصد اتصال به شبکه را دارند ارزیابی کند. با قابلیت Posture Assessment، و بوسیلع بررسی عواملی مانند به‌روزرسانی‌های سیستم عامل، وضعیت آنتی‌ویروس و تنظیمات امنیتی، ISE اطمینان حاصل می‌کند که تنها دستگاه‌های منطبق اجازه دسترسی دارند.
• تقسیم‌بندی پیشرفته شبکه: با قابلیت TrustSec Cisco ISE، سازمان‌ها می‌توانند استراتژی‌های تقسیم‌بندی شبکه (Segmentation) را برای جداسازی منابع حساس و محدود کردن حرکت جانبی در صورت نفوذ پیاده‌سازی کنند. این ویژگی برای حفظ وضعیت امنیتی قوی در محیط‌های شبکه پیچیده و مدرن بسیار حیاتی است.
• پشیبانی از تجهیزات Third-Party: یکی از نقاط قوت سیسکو ISE، سازگاری گسترده آن با دستگاه‌های شبکه سیسکو و شرکت‌های دیگر است. در حالی که ISE به طور یکپارچه با مجموعه گسترده‌ای از سوئیچ‌ها، روترها و نقاط دسترسی بی‌سیم سیسکو کار می‌کند، از طیف وسیعی از تجهیزات شبکه شرکت‌های دیگر نیز پشتیبانی می‌کند. این انعطاف‌پذیری به سازمان‌ها اجازه می‌دهد از سرمایه‌گذاری‌های موجود خود در زیرساخت بهره ببرند و در عین حال اقدامات امنیتی پیشرفته را پیاده‌سازی کنند.

قابلیت های سیسکو ISE

سیسکو ISE مجموعه‌ای جامع از خدمات را برای پشتیبانی از امنیت قوی شبکه ارائه می‌دهد:

• احراز هویت کاربران یا (Authentication): گزینه‌های انعطاف‌پذیر احراز هویت را ارائه می‌دهد، از جمله پشتیبانی از Active Directory، LDAP و RADIUS و پروتکل‌های مختلف احراز هویت.
• تعیین سطح دسترسی (Authorization): بر اساس نتایج احراز هویت و سیاست‌های تعریف شده، ISE سطح دسترسی به شبکه را برای کاربران و دستگاه‌ها تعیین می‌کند.
• سیاست پروفایل‌سازی (Profiling Policy): سرویس پروفایل‌سازی این پلتفرم به طور مداوم ترافیک شبکه را برای شناسایی و طبقه‌بندی دستگاه‌ها نظارت می‌کند و امکان اعمال پویای سیاست بر اساس ویژگی‌های دستگاه را فراهم می‌آورد.
• سیاست کنترل وضعیت (Posture Policy): نقاط پایانی با سیاست‌های امنیتی را ارزیابی می‌کند و اطمینان حاصل می‌کند که دستگاه‌ها قبل از دسترسی به شبکه، حداقل الزامات امنیتی را برآورده می‌کنند.
• اقدامات اصلاحی (Remediation Action): برای دستگاه‌های غیرمنطبق، ISE می‌تواند اقدامات اصلاحی، مانند ارائه دستورالعمل‌هایی برای به‌روزرسانی نرم‌افزار یا هدایت کاربران به یک پورتال اصلاحی، را آغاز کند.
• مدیریت کاربران مهمان (Guest Lifecycle): شامل یک سیستم جامع مدیریت دسترسی مهمان است که به سازمان‌ها امکان می‌دهد کاربران موقت شبکه را به طور ایمن وارد سیستم کنند و مدیریت نمایند.
• احراز هویت با پورتال (Web Redirection): این سرویس به ISE امکان می‌دهد کاربران را برای احراز هویت، ارزیابی وضعیت یا ثبت‌نام مهمان به صفحات وب خاص هدایت کند و تجربه کاربری و اعمال امنیت را بهبود بخشد.

نصب و راه اندازی سیسکو ISE

معماری سیسکو ISE برای مقیاس‌پذیری، دسترس‌پذیری بالا و استقرار توزیع شده طراحی شده است. این پلتفرم از سه نوع اصلی Node تشکیل شده است که بصورت ماشین مجازی ISE نصب و راه اندازی می‌گردند:

• نود PAN سیسکو ISE: این Policy Administration Node به عنوان نقطه مدیریت مرکزی برای استقرار ISE عمل می‌کند. این گره پیکربندی سیاست، گزارش‌دهی و مدیریت کلی سیستم را انجام می‌دهد. عموما دو عدد از این نود پیاده سازی می‌گردد.
• نود PSN سیسکو ISE: اینPolicy Service Node مسئول اعمال سیاست‌های امنیتی و رسیدگی به درخواست‌های احراز هویت و مجوزدهی هستند. عموما چندین PSN می‌توانند برای توزیع بار و اطمینان از دسترس‌پذیری بالا مستقر شوند.
• نود MnT سیسکو ISE: این Monitoring and Troubleshooting Nodeلاگ‌ها را جمع‌آوری می‌کند و قابلیت‌های نظارت و عیب‌یابی را برای کل استقرار ISE فراهم می‌آورد.

این معماری Distributed به سازمان‌ها امکان می‌دهد استقرار ISE خود را برای پاسخگویی به نیازهای شبکه‌های بزرگ و از نظر جغرافیایی پراکنده مقیاس‌پذیر کنند و در عین حال کنترل و دید متمرکز را حفظ نمایند.

خرید لایسنس سیسکو ISE

مشتریان می‌توانند برای کسب اطلاع بیشتر در مورد قیمت لایسنس سیسکو ISE و نحوه سفارش گذاری و فروش انواع لایسنس شبکه با کارشناسان فروش تتیس‌نت ارتباط برقرار نمایند.