امروزه امنیت لایه Access شبکه برای سازمانی در هر اندازهای اهمیت بسزایی پیدا کرده است. شاید در گذشته اقدامات امنیتی سنتی از قبیل اعمال محدودیت برروی پورت های سوئیچ و کنترل ترافیک برروی تجهیزات، امنیت شبکه را تضمین میکرد، اما با پیچیدهتر شدن تهدیدات سایبری و رشد درز اطلاعات از داخل سازمان، نیاز به رویکرد هوشمندانه تری وجود دارد. در همین راستا، سیسکو Cisco Identity Services Engine یا به اختصار ISE، یک پلتفرم جامع کنترل دسترسی به شبکه و اعمال سیاست است که پایهای محکم برای امنسازی شبکههای سازمانی فراهم میکند.
قابلیت های سیسکو ISE
سیسکو ISE بعنوان یک راهکار NAC، شامل مجموعه جامعی از خدمات را برای پشتیبانی از امنیت شبکه داخلی سازمان، میشود:
- احراز هویت کاربران یا (Authentication)
- تعیین سطح دسترسی (Authorization)
- سیاست پروفایلسازی (Profiling Policy)
- سیاست کنترل وضعیت (Posture Policy)
- اقدامات اصلاحی (Remediation Action)
- مدیریت کاربران مهمان (Guest Lifecycle)
- احراز هویت با پورتال (Web Redirection)
لایسنس اسمارت سیسکو ISE
محصول Cisco ISE از روش Cisco Smart Licensing پشتیبانی می کند، اکنون شما می توانید Cisco ISE را مانند سایر محصولات سیسکو از طریق لایسنس اسمارت سیسکو فعال نمایید. لازم به ذکر است از سیسکو ISE نسخه 3 به بعد سیسکو ISE فقط با استفاده از اسمارت لایسنس قابل فعال سازی است و لایسنس کلاسیک را پشتیبانی نمی کند. تمام لایسنس های اسمارت سیسکو ارائه شده توسط شرکت داده کاوان رایان تتیس در وب سایت CSSM با یک حساب Virtual Account معتبر و به نام مشتری حاوی لایسنس های ثبت شده مشتری ارائه می شوند.
سیسکو گزینههای لایسنس انعطافپذیری را برای تطبیق با سناریوهای مختلف استقرار و نیازهای ویژگی ارائه میدهد:
- لایسنس Essentials سیسکو ISE
- لایسنس Advantage سیسکو ISE
- لایسنس Premier سیسکو ISE
در ابتدایی ترین حالت Cisco ISE Essentials License سطح پایه قابلیتهای اساسی کنترل دسترسی را ارائه میدهد که برای سازمانهایی که به دنبال پیادهسازی عملکرد اساسی NAC هستند مناسب است. در مرحله بعد، با خرید Cisco ISE Advantage License ویژگیهای پیشرفتهای مانند Profiling را اضافه میتوان پیاده سازی نمود. در نهایت، جامعترین گزینه لایسنس ISE سیسکو، Cisco ISE Premier License شامل تمام ویژگیهای ISE، از جمله قابلیتهای پیشرفته مانند Posture و BYOD است.
بدین ترتیب باید در نظر داشت که لایسنس های سطح بالاتر، قابلیت های لایسنس های سطح پایین تر را پوشش می دهند. به عنوان مثال یک لایسنس Premier، تمام قابلیت هایی که توسط لایسنس های Base، Plus و Apex در نسخه های قبلی فعال می شدند را شامل می گردد. نکته مهم دیگر این است که هر سه تایپ لایسنس جدید دارای محدودیت زمانی (لایسنس 1 ساله، 3 ساله و 5 ساله) می باشند و نامحدود نیستند.
دو نوع لایسنس زیر هم در کنار لایسنس های بالا، برای این محصول موجود میباشند:
- لایسنس VM سیسکو ISE
- لایسنس TACACS+ سیسکو ISE
لایسنس ISE VM License برای سازمانهایی که ISE را در محیطهای مجازی مستقر میکنند، سیسکو لایسنس مخصوص Cisco ISE Common VM License را ارائه میدهد. همچنین، لایسنس Cisco ISE Device Admin استفاده از ISE را برای مدیریت دستگاه با استفاده از پروتکل TACACS+ فعال میکند و کنترل دقیق بر دسترسی به دستگاههای شبکه را فراهم میآورد.
همچنین تمام این قابلیت ها از طریق فعال سازی لایسنس PLR سیسکو ISE و به صورت فول و نامحدود در دسترس خواهند بود.
پارت نامبر لایسنس اسمارت ISE
مشتریان میبایست بمنظور سفارش این محصول از پارت نامبرهای زیر استفاده نمایند:
- لایسنس R-ISE-VMC-K9: بازای هر نود مجازی ISE یک لایسنس مجازی نیاز میباشد.
- لایسنس L-ISE-E: جهت فعالسازی قابلیت های پایه مانند Dot1X و MAB
- لایسنس L-ISE-A: جهت فعالسازی قابلیت های پیشرفته تر مانند Profiling (به تعداد لازم)
- لایسنس L-ISE-P: جهت فعالسازی قابلیت های پیشرفته تر مانند Posture (به تعداد لازم)
- لایسنس L-ISE-TACACS: جهت فعالسازی ویژگی Device Admin (برای هر نود مدیریت ISE)
در جدول زیر انواع لایسنس آنلاین سیسکو ISE، تعداد End Point و مدت زمان آن اشاره شده است:
تعداد End Point | مدت زمان | پارت نامبر |
پشتیبانی از 250 تا 250000+ Sessions | لایسنس 1 ساله ISE | لایسنس L-ISE-E-S1-1Y تا لایسنس L-ISE-E-S10-1Y |
لایسنس L-ISE-A-S1-1Y تا لایسنس L-ISE-A-S10-1Y | ||
لایسنس L-ISE-P-S1-1Y تا لایسنس L-ISE-A-S10-1Y | ||
پشتیبانی از 250 تا 250000+ Sessions | لایسنس 3 ساله ISE | لایسنس L-ISE-E-S1-3Y تا لایسنس L-ISE-E-S10-3Y |
لایسنس L-ISE-A-S1-3Y تا لایسنس L-ISE-A-S10-3Y | ||
لایسنس L-ISE-P-S1-3Y تا لایسنس L-ISE-P-S10-3Y | ||
پشتیبانی از 250 تا 250000+ Sessions | لایسنس 5 ساله ISE | لایسنس L-ISE-E-S1-5Y تا لایسنس L-ISE-E-S10-5Y |
لایسنس L-ISE-A-S1-5Y تا لایسنس L-ISE-A-S10-5Y | ||
لایسنس L-ISE-P-S1-5Y تا لایسنس L-ISE-P-S10-5Y |
مزایای سیسکو ISE
محصول Cisco ISE مجموعهای از ویژگیهای پیشرفته برای ارتقای امنیت شبکه و سادهسازی مدیریت دسترسی را فراهم میکند:
- احراز هویت کاربران با Dot1X: با بهره گیری از استاندارد 1X کنترل دسترسی به شبکه مبتنی بر پورت را فعال میکند و روشی امن برای احراز هویت و اعمال سطح دسترسی به دستگاهها، را بهمراه میآورد.
- احراز هویت تجهیزات با MAB: برای دستگاههایی که از احراز هویت 1X پشتیبانی نمیکنند، ISE گزینه MAB را به عنوان روش جایگزین ارائه میدهد. این ویژگی امکان دسترسی به شبکه را بر اساس آدرس MAC دستگاه فراهم میکند و سازگاری با دستگاههای قدیمی یا اینترنت اشیاء (IoT) را تضمین مینماید.
- مدیریت دسترسی ادمین ها: این محصول، با بهره گیری از قابلیت Device Administration و پروتکل های RADIUS و TACACS+، مدیریت متمرکز دستگاههای شبکه را ارائه میدهد و به مدیران امکان میدهد دسترسی به سوئیچها، روترها و سایر اجزای زیرساخت را کنترل کنند. این ویژگی با اعمال سیاستهای دسترسی یکپارچه در سراسر شبکه، امنیت را افزایش میدهد.
- شناسایی و پروفایلسازی تجهیزات شبکه: قابلیتهای پیشرفته پروفایلسازی (Profiling) این پلتفرم به آن امکان میدهد به طور خودکار دستگاههای متصل به شبکه را شناسایی و طبقهبندی کند. از این اطلاعات برای اعمال سیاستهای دسترسی و اقدامات امنیتی مناسب بر اساس نوع و ویژگیهای دستگاه استفاده میشود.
- ارزیابی وضعیت امنیتی تجهیزات: نرم افزار ISE سیسکو میتواند وضعیت امنیتی نقاط پایانی (End Point) که قصد اتصال به شبکه را دارند ارزیابی کند. با قابلیت Posture Assessment، و بوسیلع بررسی عواملی مانند بهروزرسانیهای سیستم عامل، وضعیت آنتیویروس و تنظیمات امنیتی، ISE اطمینان حاصل میکند که تنها دستگاههای منطبق اجازه دسترسی دارند.
- قسمت بندی پیشرفته شبکه: با قابلیت TrustSec Cisco ISE، سازمانها میتوانند استراتژیهای تقسیمبندی شبکه (Segmentation) را برای جداسازی منابع حساس و محدود کردن حرکت جانبی در صورت نفوذ پیادهسازی کنند. این ویژگی برای حفظ وضعیت امنیتی قوی در محیطهای شبکه پیچیده و مدرن بسیار حیاتی است.
- پشیبانی از تجهیزات Third-Party: یکی از نقاط قوت سیسکو ISE، سازگاری گسترده آن با دستگاههای شبکه سیسکو و شرکتهای دیگر است. در حالی که ISE به طور یکپارچه با مجموعه گستردهای از سوئیچها، روترها و نقاط دسترسی بیسیم سیسکو کار میکند، از طیف وسیعی از تجهیزات شبکه شرکتهای دیگر نیز پشتیبانی میکند. این انعطافپذیری به سازمانها اجازه میدهد از سرمایهگذاریهای موجود خود در زیرساخت بهره ببرند و در عین حال اقدامات امنیتی پیشرفته را پیادهسازی کنند.
قابلیت های سیسکو ISE
سیسکو ISE مجموعهای جامع از خدمات را برای پشتیبانی از امنیت قوی شبکه ارائه میدهد:
- احراز هویت کاربران یا (Authentication): گزینههای انعطافپذیر احراز هویت را ارائه میدهد، از جمله پشتیبانی از Active Directory، LDAP و RADIUS و پروتکلهای مختلف احراز هویت.
- تعیین سطح دسترسی (Authorization): بر اساس نتایج احراز هویت و سیاستهای تعریف شده، ISE سطح دسترسی به شبکه را برای کاربران و دستگاهها تعیین میکند.
- سیاست پروفایلسازی (Profiling Policy): سرویس پروفایلسازی این پلتفرم به طور مداوم ترافیک شبکه را برای شناسایی و طبقهبندی دستگاهها نظارت میکند و امکان اعمال پویای سیاست بر اساس ویژگیهای دستگاه را فراهم میآورد.
- سیاست کنترل وضعیت (Posture Policy): نقاط پایانی با سیاستهای امنیتی را ارزیابی میکند و اطمینان حاصل میکند که دستگاهها قبل از دسترسی به شبکه، حداقل الزامات امنیتی را برآورده میکنند.
- اقدامات اصلاحی (Remediation Action): برای دستگاههای غیرمنطبق، ISE میتواند اقدامات اصلاحی، مانند ارائه دستورالعملهایی برای بهروزرسانی نرمافزار یا هدایت کاربران به یک پورتال اصلاحی، را آغاز کند.
- مدیریت کاربران مهمان (Guest Lifecycle): شامل یک سیستم جامع مدیریت دسترسی مهمان است که به سازمانها امکان میدهد کاربران موقت شبکه را به طور ایمن وارد سیستم کنند و مدیریت نمایند.
- احراز هویت با پورتال (Web Redirection): این سرویس به ISE امکان میدهد کاربران را برای احراز هویت، ارزیابی وضعیت یا ثبتنام مهمان به صفحات وب خاص هدایت کند و تجربه کاربری و اعمال امنیت را بهبود بخشد.
نصب و راه اندازی سیسکو ISE
معماری سیسکو ISE برای مقیاسپذیری، دسترسپذیری بالا و استقرار توزیع شده طراحی شده است. این پلتفرم از سه نوع اصلی Node تشکیل شده است که بصورت ماشین مجازی ISE نصب و راه اندازی میگردند:
- نود PAN سیسکو ISE: این Policy Administration Node به عنوان نقطه مدیریت مرکزی برای استقرار ISE عمل میکند. این گره پیکربندی سیاست، گزارشدهی و مدیریت کلی سیستم را انجام میدهد. عموما دو عدد از این نود پیاده سازی میگردد.
- نود PSN سیسکو ISE: اینPolicy Service Node مسئول اعمال سیاستهای امنیتی و رسیدگی به درخواستهای احراز هویت و مجوزدهی هستند. عموما چندین PSN میتوانند برای توزیع بار و اطمینان از دسترسپذیری بالا مستقر شوند.
- نود MnT سیسکو ISE: این Monitoring and Troubleshooting Nodeلاگها را جمعآوری میکند و قابلیتهای نظارت و عیبیابی را برای کل استقرار ISE فراهم میآورد.
این معماری Distributed به سازمانها امکان میدهد استقرار ISE خود را برای پاسخگویی به نیازهای شبکههای بزرگ و از نظر جغرافیایی پراکنده مقیاسپذیر کنند و در عین حال کنترل و دید متمرکز را حفظ نمایند.
خرید لایسنس سیسکو ISE
مشتریان میتوانند برای کسب اطلاع بیشتر در مورد قیمت لایسنس سیسکو ISE و نحوه سفارش گذاری و فروش انواع لایسنس شبکه با کارشناسان فروش تتیسنت با شماره تلفن:02191009322 ارتباط برقرار نمایند.