امروزه امنیت لایه Access شبکه برای سازمانی در هر اندازهای اهمیت بسزایی پیدا کرده است. شاید در گذشته اقدامات امنیتی سنتی از قبیل اعمال محدودیت برروی پورت های سوئیچ و کنترل ترافیک برروی تجهیزات، امنیت شبکه را تضمین میکرد، اما با پیچیدهتر شدن تهدیدات سایبری و رشد درز اطلاعات از داخل سازمان، نیاز به رویکرد هوشمندانه تری وجود دارد
در همین راستا، موتور خدمات هویت سیسکو (Cisco Identity Services Engine) یا به اختصار ISE، یک پلتفرم جامع کنترل دسترسی به شبکه و اعمال سیاست است که پایهای محکم برای امنسازی شبکههای سازمانی فراهم میکند.
سیسکو ISE با ترکیب کنترل هویت و دسترسی، پروفایلسازی دستگاه و اعمال سیاست در یک راهکار متمرکز، رویکردی جامع به امنیت شبکه ارائه میدهد. این پلتفرم قدرتمند به سازمانها امکان میدهد سیاستهای دسترسی دقیق را پیادهسازی کنند، از احراز هویت کاربران مورد تایید اطمینان حاصل کنند و دید کاملی در سرتاسر زیرساخت شبکه خود داشته باشند.
لایسنس اسمارت سیسکو ISE
محصول Cisco ISE از روش Cisco Smart Licensing پشتیبانی می کند، اکنون شما می توانید Cisco ISE را مانند سایر محصولات سیسکو از طریق لایسنس اسمارت سیسکو فعال نمایید. لازم به ذکر است از نسخه ISE 3.x به بعد سیسکو ISE فقط با استفاده از اسمارت لایسنس قابل فعال سازی است و لایسنس کلاسیک را پشتیبانی نمی کند. تمام لایسنس های اسمارت سیسکو ارائه شده توسط شرکت داده کاوان رایان تتیس در وب سایت CSSM با یک حساب Virtual Account معتبر و به نام مشتری حاوی لایسنس های ثبت شده مشتری ارائه می شوند. سیسکو گزینههای لایسنس انعطافپذیری را برای تطبیق با سناریوهای مختلف استقرار و نیازهای ویژگی ارائه میدهد:
- لایسنس Essentials سیسکو ISE: این Cisco ISE Essentials License سطح پایه قابلیتهای اساسی کنترل دسترسی را ارائه میدهد که برای سازمانهایی که به دنبال پیادهسازی عملکرد اساسی NAC هستند مناسب است.
- لایسنس Advantage سیسکو ISE: با خرید Cisco ISE Advantage License ویژگیهای پیشرفتهای مانند Posture را اضافه میکند.
- لایسنس Premier سیسکو ISE: جامعترین گزینه لایسنس ISE سیسکو، Cisco ISE Premier License شامل تمام ویژگیهای ISE، از جمله قابلیتهای پیشرفته مانند Profiling و BYOD است.
بدین ترتیب باید در نظر داشت که لایسنس های سطح بالاتر، قابلیت های لایسنس های سطح پایین تر را پوشش می دهند. به عنوان مثال یک لایسنس Premier، تمام قابلیت هایی که توسط لایسنس های Base، Plus و Apex در نسخه های قبلی فعال می شدند را شامل می گردد.
نکته مهم دیگر این است که هر سه تایپ لایسنس جدید دارای محدودیت زمانی (لایسنس 1 ساله، 3 ساله و 5 ساله) می باشند و نامحدود نیستند.
- لایسنس VM سیسکو ISE: برای سازمانهایی که ISE را در محیطهای مجازی مستقر میکنند، سیسکو لایسنس مخصوص Cisco ISE Common VM License را ارائه میدهد.
- لایسنس TACACS+ سیسکو ISE: این Cisco ISE Device Admin License استفاده از ISE را برای مدیریت دستگاه با استفاده از پروتکل TACACS+ فعال میکند و کنترل دقیق بر دسترسی به دستگاههای شبکه را فراهم میآورد.
همچنین تمام این قابلیت ها از طریق فعال سازی لایسنس PLR سیسکو ISE و به صورت فول و نامحدود در دسترس خواهند بود.
مزایای سیسکو ISE
محصول Cisco ISE مجموعهای از ویژگیهای پیشرفته برای ارتقای امنیت شبکه و سادهسازی مدیریت دسترسی را فراهم میکند:
- راهکار NAC: کنترل دسترسی به شبکه یاNetwork Access Control به سازمانها اجازه میدهد سیاستهای دسترسی را بر اساس هویت کاربر، نوع دستگاه و وضعیت امنیتی دستگاه متصل به شبکه، تعریف و اعمال کنند. این امر اطمینان میدهد که تنها کاربران مجاز و دستگاههای منطبق میتوانند به شبکه متصل شوند.
- احراز هویت کاربران با Dot1X: با بهره گیری از استاندارد 1X کنترل دسترسی به شبکه مبتنی بر پورت را فعال میکند و روشی امن برای احراز هویت و اعمال سطح دسترسی به دستگاهها، را بهمراه میآورد.
- احراز هویت تجهیزات با MAB: برای دستگاههایی که از احراز هویت 1X پشتیبانی نمیکنند، ISE گزینه MAB را به عنوان روش جایگزین ارائه میدهد. این ویژگی امکان دسترسی به شبکه را بر اساس آدرس MAC دستگاه فراهم میکند و سازگاری با دستگاههای قدیمی یا اینترنت اشیاء (IoT) را تضمین مینماید.
- مدیریت دسترسی ادمین ها: این محصول، با بهره گیری از قابلیت Device Administration و پروتکل های RADIUS و TACACS+، مدیریت متمرکز دستگاههای شبکه را ارائه میدهد و به مدیران امکان میدهد دسترسی به سوئیچها، روترها و سایر اجزای زیرساخت را کنترل کنند. این ویژگی با اعمال سیاستهای دسترسی یکپارچه در سراسر شبکه، امنیت را افزایش میدهد.
- شناسایی و پروفایلسازی تجهیزات شبکه: قابلیتهای پیشرفته پروفایلسازی (Profiling) این پلتفرم به آن امکان میدهد به طور خودکار دستگاههای متصل به شبکه را شناسایی و طبقهبندی کند. از این اطلاعات برای اعمال سیاستهای دسترسی و اقدامات امنیتی مناسب بر اساس نوع و ویژگیهای دستگاه استفاده میشود.
- ارزیابی وضعیت امنیتی تجهیزات: نرم افزار ISE سیسکو میتواند وضعیت امنیتی نقاط پایانی (End Point) که قصد اتصال به شبکه را دارند ارزیابی کند. با قابلیت Posture Assessment، و بوسیلع بررسی عواملی مانند بهروزرسانیهای سیستم عامل، وضعیت آنتیویروس و تنظیمات امنیتی، ISE اطمینان حاصل میکند که تنها دستگاههای منطبق اجازه دسترسی دارند.
- تقسیمبندی پیشرفته شبکه: با قابلیت TrustSec Cisco ISE، سازمانها میتوانند استراتژیهای تقسیمبندی شبکه (Segmentation) را برای جداسازی منابع حساس و محدود کردن حرکت جانبی در صورت نفوذ پیادهسازی کنند. این ویژگی برای حفظ وضعیت امنیتی قوی در محیطهای شبکه پیچیده و مدرن بسیار حیاتی است.
- پشیبانی از تجهیزات Third-Party: یکی از نقاط قوت سیسکو ISE، سازگاری گسترده آن با دستگاههای شبکه سیسکو و شرکتهای دیگر است. در حالی که ISE به طور یکپارچه با مجموعه گستردهای از سوئیچها، روترها و نقاط دسترسی بیسیم سیسکو کار میکند، از طیف وسیعی از تجهیزات شبکه شرکتهای دیگر نیز پشتیبانی میکند. این انعطافپذیری به سازمانها اجازه میدهد از سرمایهگذاریهای موجود خود در زیرساخت بهره ببرند و در عین حال اقدامات امنیتی پیشرفته را پیادهسازی کنند.
قابلیت های سیسکو ISE
سیسکو ISE مجموعهای جامع از خدمات را برای پشتیبانی از امنیت قوی شبکه ارائه میدهد:
- احراز هویت کاربران یا (Authentication): گزینههای انعطافپذیر احراز هویت را ارائه میدهد، از جمله پشتیبانی از Active Directory، LDAP و RADIUS و پروتکلهای مختلف احراز هویت.
- تعیین سطح دسترسی (Authorization): بر اساس نتایج احراز هویت و سیاستهای تعریف شده، ISE سطح دسترسی به شبکه را برای کاربران و دستگاهها تعیین میکند.
- سیاست پروفایلسازی (Profiling Policy): سرویس پروفایلسازی این پلتفرم به طور مداوم ترافیک شبکه را برای شناسایی و طبقهبندی دستگاهها نظارت میکند و امکان اعمال پویای سیاست بر اساس ویژگیهای دستگاه را فراهم میآورد.
- سیاست کنترل وضعیت (Posture Policy): نقاط پایانی با سیاستهای امنیتی را ارزیابی میکند و اطمینان حاصل میکند که دستگاهها قبل از دسترسی به شبکه، حداقل الزامات امنیتی را برآورده میکنند.
- اقدامات اصلاحی (Remediation Action): برای دستگاههای غیرمنطبق، ISE میتواند اقدامات اصلاحی، مانند ارائه دستورالعملهایی برای بهروزرسانی نرمافزار یا هدایت کاربران به یک پورتال اصلاحی، را آغاز کند.
- مدیریت کاربران مهمان (Guest Lifecycle): شامل یک سیستم جامع مدیریت دسترسی مهمان است که به سازمانها امکان میدهد کاربران موقت شبکه را به طور ایمن وارد سیستم کنند و مدیریت نمایند.
- احراز هویت با پورتال (Web Redirection): این سرویس به ISE امکان میدهد کاربران را برای احراز هویت، ارزیابی وضعیت یا ثبتنام مهمان به صفحات وب خاص هدایت کند و تجربه کاربری و اعمال امنیت را بهبود بخشد.
نصب و راه اندازی سیسکو ISE
معماری سیسکو ISE برای مقیاسپذیری، دسترسپذیری بالا و استقرار توزیع شده طراحی شده است. این پلتفرم از سه نوع اصلی Node تشکیل شده است که بصورت ماشین مجازی ISE نصب و راه اندازی میگردند:
- نود PAN سیسکو ISE: این Policy Administration Node به عنوان نقطه مدیریت مرکزی برای استقرار ISE عمل میکند. این گره پیکربندی سیاست، گزارشدهی و مدیریت کلی سیستم را انجام میدهد. عموما دو عدد از این نود پیاده سازی میگردد.
- نود PSN سیسکو ISE: اینPolicy Service Node مسئول اعمال سیاستهای امنیتی و رسیدگی به درخواستهای احراز هویت و مجوزدهی هستند. عموما چندین PSN میتوانند برای توزیع بار و اطمینان از دسترسپذیری بالا مستقر شوند.
- نود MnT سیسکو ISE: این Monitoring and Troubleshooting Nodeلاگها را جمعآوری میکند و قابلیتهای نظارت و عیبیابی را برای کل استقرار ISE فراهم میآورد.
این معماری Distributed به سازمانها امکان میدهد استقرار ISE خود را برای پاسخگویی به نیازهای شبکههای بزرگ و از نظر جغرافیایی پراکنده مقیاسپذیر کنند و در عین حال کنترل و دید متمرکز را حفظ نمایند.
خرید لایسنس سیسکو ISE
مشتریان میتوانند برای کسب اطلاع بیشتر در مورد قیمت لایسنس سیسکو ISE و نحوه سفارش گذاری و فروش انواع لایسنس شبکه با کارشناسان فروش تتیسنت ارتباط برقرار نمایند.