سیسکو ISE چیست؟
سیسکو ISE چیست؟
سیسکو ISE چیست؟
isco Identity Services Engine (ISE) یک محصول مدیریت شبکه است که ایجاد و اجرای سیاست های امنیتی و دسترسی را برای دستگاه های نقطه پایانی متصل به روترها و سوئیچ های شرکت امکان پذیر می کند. هدف ساده کردن مدیریت احراز هویت در دستگاه ها و برنامه های مختلف است. ISE جزء شبکه های بدون مرز سیسکو و خط تولید TrustSec این شرکت است. سرویس سیسکو ISE در شبکههای بزرگ توانایی ایجاد محدودیتهای دسترسی، افزایش امنیت زیرساختی و کارآمد نمودن فعالیت سرویسهای دیگر را برای مدیران شبکه فراهم میسازد. این کنترل بر اساس اطلاعات جمع آوری شده از طریق پیام هایی که توسط پروتکل RADIUS (پروتکلی که بر روی پورت 1821 عمل می کند و مدیریتِ متمرکزِ حساب ها، صدور مجوز و تایید هویت کاربران را برای دسترسی به شبکه فراهم می کند) ، بین دستگاه و نود ISE رد و بدل می شود، صورت می گیرد. پایگاه داده Profiling به صورت منظم به روز می شود تا با آخرین دستگاه ها در ارتباط باشد، به طوری که هیچ کاستی در قابلیت رویت دستگاه وجود نداشته باشد.
اساسا، سیسکو ISE هویت را به یک دستگاه بر اساس کاربر، عملکرد یا ویژگی های دیگر ضمیمه می کند تا پیش از اینکه دستگاه مجاز به دسترسی به شبکه باشد، اجرای Policy و تطابق امنیتی را برایش تدارک ببیند. بر اساس نتایج حاصل از متغیرهای مختلف، یک endpoint زمانی به دسترسی به شبکه مجاز است که مجموعه معینی از قوانین دسترسی، به interface که به آن متصل است، اعمال شده باشد. در غیر این صورت یا بکلی اجازه برقراری اتصال، داده نمی شود یا اینکه دسترسی به صورتِ دسترسی مهمان و بر اساس خط مشیِ معین هر شرکت برقرار می شود.
قیمت لایسنس سیسکو ISE
ISE یک دستگاه خودکارِ اجرای Policy است که سرپرستیِ وظایف روزمره معمول همچون معرفی دستگاه BYOD، معرفی مهمان، تغییرات switchport VLAN برای کاربران نهایی، مدیریت لیست دسترسی و موارد بسیار دیگری را بر عهده می گیرد. بنابراین ادمین شبکه بر روی وظایف مهم دیگری می تواند تمرکز نماید.
مبانی ISE
پلت فرم سیسکو ISE عموما یک استقرارِ توزیع شده از نودها است که از سه جز مختلف ایجاد می شود: نود مدیریت PAN) Policy) ، نود نظارت و عیب یابی (MnT)، و نود سرویس های PSN) Policy) . هر سه نقش در کارکردِ سیسکو ISE مورد نیاز هستند.
نود مدیریت PAN) Policy )
PAN رابطی است که مدیر شبکه به منظور کانفیگ سیاست ها وارد آن می شود. این نود، مرکز کنترل استقرار است. PAN به مدیر شبکه اجازه می دهد که در کلِ توپولوژیِ سیسکو ISE تغییراتی را انجام دهد و این تغییرات از نود ادمین به سمت نودهای سرویس های PSN) Policy) خارج می شود.
نود سرویس های PSN) Policy)
نود PSN جایی است که تصمیمات Policy اتخاذ می شود. این ها نودهایی هستند که دستگاه های شبکه همه پیام های شبکه را به آن ارسال می کنند؛ پیام های RADIUS نمونه ای از آنچه هستند که به PSN فرستاده می شود. پیام ها پردازش می شوند و سپس PSN مجوز یا عدم مجوز دسترسی به شبکه را صادر می کند.
نود مانیتور و عیب یابی (MnT)
نود MnT جایی است که ورود به سیستم (login) انجام و گزارش ها تولید می شود. همه log ها به این نود ارسال می شوند و MnT همه آنها را مرتب می کند بنابراین می تواند آنها را در فرمتی خوانا گرد آورد. همچنین از آن برای تولید گزارش های مختلف استفاده می شود.
سیسکو ISE چگونه کار می کند؟
حالا که می دانیم هر نود چه کاری انجام می دهد، بیایید نگاهی بیاندازیم به چگونگی هماهنگ شدن همه چیز به عنوان یک سیستم کامل. نمودار زیر نشان دهنده منطقِ سیسکو ISE است، چرا که نودها ممکن است میان دستگاه های مختلفی توزیع شده باشد.
قیمت لایسنس سیسکو ISE
اگر شما استقرار سیسکو ISE را در شبکه در نظر دارید، بهتر است که پیش از پیاده سازی آن، ISE Design Guides را مطالعه نمایید.
- ارتباط از طریق endpoint آغاز می شود. این endpoint می تواند یک لپ تاپ، گوشی هوشمند، تبلت، دوربین امنیتی و سیستم ویدئو کنفرانس باشد. و یا هر چیزی که نیاز به دسترسی به شبکه دارد.
- کلاینت باید از طریق یک دستگاه دسترسی به شبکه – یک سوئیچ، یک کنترل کننده شبکه بی سیم یا یک کانکتور VPN – به شبکه متصل شود. اینجا است که اجرای همه policy ها رخ می دهد.
- از طریق درخواست 802.1X تقاضای احراز هویت برای endpoint می شود و این درخواست به نود PSN فرستاده می شود.
- به PSN از پیش یک کانفیگِ خاص از طرف نود ادمین داده شده است. PSN اسناد هویتی را پردازش می کند (ممکن است برای این، نیاز به پرس و جو از یک پایگاه داده خارجی داشته باشد؛ برای مثال، LDAP یا Active Directory)، و بر اساس تنظیماتِ کانفیگ، PSN برای صدور مجوز تصمیم گیری می کند.
- PSN تصمیم را به دستگاه دسترسی به شبکه ارسال می کند تا بتواند تصمیم را اجرا نماید. دستگاه دسترسی به شبکه، برای برقراری این session اقدامات خاصی را انجام می دهد. در این مرحله، با توجه به Policy اقدامات بسیاری می تواند انجام شود، اما چند ویژگی مشترک عبارتند از: لیست های دسترسی پویا، تغییر مجوز (به عنوان مثال برای سوئیچ کردن VLAN ها) و Security Group Tags (بخشی از راهکار Cisco TrustSec).
- اکنونبر اساس آنچه که PSN به عنوان مجموعه ای از قوانین فرستاده است، کلاینت می تواند به منابع خاص دسترسی یابد. از سوی دیگر کلاینت ممکن است به صفحه لاگین مهمان فرستاده شود یا به طور کامل از دسترسی اش به شبکه خودداری شود.
- همه این پیام ها به عقب بر می گردند و log مربوط به آنها، به نود MnT فرستاده می شود، جایی که نود ادمین آنها را در فرمتی سازمان یافته می تواند مشاهده کند.
پشتیبانی از چندین سناریوی استقرار
سیسکو ISE در سراسر زیرساخت های یک سازمان enterprise می تواند مستقر شود. معماری سیسکو ISE از هر دو استقرارِ standalone و distributed (که به عنوان HA یا redundant شناخته می شوند) پشتیبانی می کند جایی که یک ماشین به عنوان primary role و ماشینِ backup به عنوان secondary role فرض می شود.
ویژگی های سیسکو ISE
سیسکو ISE رویکردی جامع را برای برقراری امنیت در دسترسی به شبکه در اختیارتان می گذارد. شما مزایای بسیاری را با استقرار سیسکو ISE در شبکه در اختیار خواهید داشت:
محیط کاری امن و دسترسی مبتنی بر شرایط بر اساس سیاست گذاری شرکت شما. ISE با دستگاه های شبکه کار می کند تا هویتی همه جانبه را با مشخصه هایی مانند کاربر، زمان، مکان، تهدید، آسیب پذیری و نوع دسترسی ایجاد کند. این هویت را می توان برای اجرای سیاست های دسترسیِ ایمن استفاده نمود. مدیران فناوری اطلاعات می توانند کنترل های دقیقی را اعمال کنند که چه کسی، چه چیزی، در چه زمانی، چه مکانی و چگونه به شبکه دسترسی یابند. ISE از مکانیزم های متعددی برای اجرای policy ها استفاده می کند، از جمله Cisco TrustSec software-defined segmentation.
تسهیل قابلیت رویت شبکه از طریق رابط کاربری ساده و انعطاف پذیر. سیسکو ISE یک تاریخچهی کامل از مشخصه های همهی endpoint ها را ذخیره می کند، یعنی endpoint هایی که به شبکه متصل می شوند همچون کاربران (از جمله انواعِ مهمان، کارمند و پیمانکار).
اعمال سیاست های فراگیر که قوانین دسترسیِ انعطاف پذیر و آسانی را تعیین می کند. همه دستگاه ها از طریقِ یک مکان مرکزی کنترل می شوند که قوانین را درسراسر شبکه و زیرساخت های امنیتی توزیع می کند. مدیران فناوری اطلاعات می توانند به طور مرکزی یک policy را تعریف کنند که مهمان را از کاربران و دستگاه های ثبت شده متمایز سازد. صرف نظر از موقعیت آنها، کاربران و endpoint ها بر اساس role و policy مجاز به دسترسی هستند.
تجربه ای قابل اعتماد برای Guest که چندین سطح از دسترسی به شبکه ی شما را فراهم می کند. شما می توانید دسترسی مهمان را از طریق سه نوعِ دسترسی hotspot (دسترسی به شبکه بدون نیاز به تایید صلاحیت)، دسترسی Self-Registered (مهمان ها می توانند اکانت های شخصی معتبری را ایجاد کنند و ممکن است به تایید اسپانسر پیش از دسترسی به شبکه نیاز داشته باشند) یا دسترسی Sponsored (دسترسی به شبکه از طریق اسپانسری واگذار شده که یک اکانت برای مهمان ایجاد کرده است) برقرار سازید. سیسکو ISE ، قابلیت شخصی سازی پورتال های متنوعی را برای guest در اختیار شما قرار می دهد.
قیمت لایسنس سیسکو ISE
انواع مختلفی از لایسنس ISE وجود دارد، میتوانید با مشاوران ما در این مورد صحبت کنید و لایسنس مورد نظر را تهیه کنید.