Σήμερα η κινητικότητα είναι βασικό χαρακτηριστικό της καθημερινής εργασίας. Η πρόσβαση απαιτείται να γίνεται από διαφορετικά σημεία, με διαφορετικά χαρακτηριστικά και πολλές φορές από ετερογενείς συσκευές και περιβάλλοντα. Ο παραδοσιακός έλεγχος πρόσβασης στο δίκτυο είναι πλέον δύσκολο να εφαρμοστεί καθώς απαιτεί χρόνο μειώνοντας εν τέλει την ευελιξία της επιχείρησης ή του οργανισμού. Για το λόγο αυτό απαιτείται να υπάρχει η δυνατότητα πολιτικών πρόσβασης που θα καθορίζονται σε ένα σημείο, θα εφαρμόζονται καθολικά και θα λαμβάνουν υπόψη χαρακτηριστικά πλαισίου, όπως ο χρόνος, ο τόπος, η τοποθεσία, η φύση του υποκειμένου και αντικειμένου, κ.α.

Η Dataways, έχοντας εμπειρία στο αντικείμενο του ελέγχου πρόσβασης στο δίκτυο (Network Admission Control – NAC) υλοποιεί καινοτόμες τεχνολογίες για έλεγχο πρόσβασης χρηστών και συσκευών, σενάρια Bring Your Own Device (BYOD),  Guest Access, δυναμικό διαχωρισμό δικτύων, VPN access, κ.α.

Cisco ISE

Ο Cisco Identity Services Engine (ISE) αποτελεί πρωταρχικά ένα κεντρικοποιημένο σύστημα ελέγχου πρόσβασης και εφαρμογής πολιτικών. Έτσι η πρόσβαση στο σύνολο του δικτύου μπορεί να ελέγχεται από ένα μόνο σύστημα χωρίς να απαιτείται συνεχής επέμβαση στις κατά τόπους συσκευές, όπως η αλλαγή ενός vlan σε μια πόρτα ενός switch ή οι αλλαγές σε access control lists.

Ο ISE λαμβάνει ως είσοδο αιτήματα πρόσβασης χρηστών ή συσκευών τα οποία αξιολογεί με βάση τις προκαθορισμένες πολιτικές μαζί με στοιχεία πλαισίου (context) ώστε να καταλήξει στην έγκριση ή απόρριψη του αιτήματος. Το πλαίσιο περιλαμβάνει τιμές ιδιοτήτων που απαντούν σε ερωτήματα, όπως:

– Ποιος

– Τι

– Που

– Πότε

– Πώς

Για την αντιμετώπιση απειλών και την εύρυθμη λειτουργία, το πιο σημαντικό στοιχείο είναι η ύπαρξη ελέγχου και ορατότητας. Ο ISE δεν αποτελεί μόνο ένα σύστημα ελέγχου πρόσβασης. Είναι μία σύνθεση τεσσάρων διαφορετικών οντοτήτων (personas) που συνεργάζονται για την υλοποίηση ενός ένα συνόλου δυνατοτήτων, απαραίτητες στο σημερινό ψηφιακό περιβάλλον.

Συγκεκριμένα παρέχει:

Ορατότητα αγαθών (Asset Visibility)

Κάθε συσκευή που συνδέεται με οποιοδήποτε τρόπο στο δίκτυο, σε συσκευές που συνεργάζονται με τον Cisco ISE, ταυτοποιείται και αναγνωρίζεται (profiling). Έτσι ο διαχειριστής γνωρίζει ανά πάσα στιγμή το είδος των ενεργών συσκευών, το που έχουν συνδεθεί, ποια δικαιώματα πρόσβασης τους έχουν εκχωρηθεί και, για τερματικούς σταθμούς, ποια είναι η κατάστασή τους, όσο αφορά το λογισμικό τους.

Διαχείριση συσκευών (Device Admin)

Η διαχείριση ενός μεγάλου αριθμού συσκευών είναι ιδιαίτερα επίπονη διεργασία, ιδίως σε μεγάλες μηχανογραφικές ομάδες όπου υπάρχουν πολλά πρόσωπα με διακριτές αρμοδιότητες. Ο Cisco ISE, εκτός από το πρωτόκολλο RADIUS που μπορεί να χρησιμοποιηθεί για να ελεγχθεί η πρόσβαση και ο βαθμός εξουσιοδότησης σε δικτυακές συσκευές, υποστηρίζει και το TACACS+ με το οποίο μπορεί μέσω πολιτικών να εξειδικευτεί η δυνατότητα ελέγχου σε επίπεδο εντολής ή και ορίσματος εντολής.

Έλεγχος πρόσβασης (Access Control)

Η βασική λειτουργία του ISE είναι να αποφασίζει στη βάση των πολιτικών που έχουν καθοριστεί αν θα επιτρέπεται η πρόσβαση μιας συσκευής στο δίκτυο ή όχι και να θέτει δυναμικά περιορισμούς στην πρόσβαση αυτή. Συγκεκριμένα ο ISE έχει τη δυνατότητα να γνωρίζει την κατάσταση κάθε συσκευής και να επιτρέπει ή όχι τη σύνδεσή της με βάση όχι μόνο την ταυτότητά της αλλά και την κατάσταση «υγείας» της. Αυτό σημαίνει πως αν μια συσκευή δεν είναι σύννομη με τις πολιτικές του δικτύου (π.χ. έχει outdated ή μη επιτρεπτό λογισμικό) να της απαγορεύσει την πρόσβαση και να τη θέσει σε καραντίνα, έως ότου έρθει στην επιθυμητή κατάσταση, οπότε και θα της επιτραπεί η πρόσβαση. Για κάθε σύνοδο, είτε μέσω τους ενσύρματου δικτύου, ή μέσω ασύρματης σύνδεσης ή για απομακρυσμένες συνδέσεις μέσω VPN, o ISE μπορεί να εφαρμόσει διαφορετικά VLANs, access lists στο σημείο σύνδεσης (θύρα πρόσβασης), αναδρομολόγηση της κίνησης σε κάποιο portal, ανάθεση συγκεκριμένων RADIUS attributes, κ.λπ. Επίσης, ο Cisco ISE υποστηρίζει την κρυπτογράφηση πληροφορίας στο επίπεδο data link με την υλοποίηση του MACSec.

Πρόσβαση επισκεπτών (Guest Access)

Η πρόσβαση των επισκεπτών σε μία επιχείρηση είναι μια δυνατότητα που σήμερα κρίνεται απαραίτητη αλλά θα πρέπει να είναι δυνατό να παρέχεται με τη βέλτιστη δυνατή προστασία του εταιρικού δικτύου και του επισκέπτη. Επίσης η διαδικασία πρέπει να είναι απλή για τον επισκέπτη και μετά το πέρας της επίσκεψης να μην έχει πλέον δυνατότητα σύνδεσης. Ο ISE παρέχει τη δυνατότητα δημιουργίας captive portals για σύνδεση των επισκεπτών στο ενσύρματο και ασύρματο δίκτυο, μέσω απλών hotspots, δημιουργίας λογαριασμού χρήστη από τον επισκέπτη, ή σύνδεση με  προκαθορισμένο λογαριασμό για κάθε επισκέπτη. Παρέχεται επίσης η δυνατότητα τροποποίησης του captive portal, συλλογής στοιχείων από το χρήστη, επιλογή αποδοχής όρων χρήσης και πλήρης διαχείριση κάθε guest account.

Εργασία σε προσωπικές συσκευές (BYOD)

Η αύξηση της χρήσης προσωπικών κινητών τηλεφώνων, tablets και φορητών υπολογιστών για επιχειρησιακούς σκοπούς έχουν δημιουργήσει την ανάγκη σύνδεσης των συσκευών αυτών στο επιχειρηματικό δίκτυο, χωρίς όμως να δημιουργούν ζητήματα ασφάλειας και χωρίς να επιφέρουν σημαντική επιβάρυνση στην εργασία των διαχειριστών. Ο Cisco ISE παρέχει παραμετροποιήσιμο self-registration portal για τους χρήστες των συσκευών αυτών και διαδικασίες ελέγχου συμμόρφωσης των συσκευών έτσι ώστε από τη μία ο χρήστης να έχει μόνος του τη δυνατότητα να τις συνδέσει, ενώ από την άλλη να ελέγχεται ότι πληρούν τις απαιτήσεις και συμμορφώνονται με τις πολιτικές του οργανισμού

Τμηματοποίηση δικτύων (Network Segmentation)

Μια κοινή σε πολλές περιπτώσεις πρακτική είναι ο διαχωρισμός του δικτύου σε διακριτά εικονικά δίκτυα (VLANs ή PVLANs). Για να γίνει αυτό ο διαχειριστής είναι υποχρεωμένος να αντιστοιχίσει θύρες του switch σε προκαθορισμένα VLAN και σε περίπτωση σύνδεσης νέου ή διαφορετικού τερματικού, ή σε οργανωτικές αλλαγές να φροντίσει να τροποποιήσει τη στατική αυτή ανάθεση. Ακόμη πρέπει να δημιουργήσει στα κατάλληλα L3 interfaces,  όπου γίνεται η προώθηση πακέτων μεταξύ VLANs (inter-vlan) κατάλληλες access lists. Μια διαδικασία ιδιαίτερα επίπονη.

Ο Cisco ISE είναι το βασικό στοιχείο της τεχνολογίας TrustSEC. Με το TrustSEC δεν απαιτείται πλέον ο κατακερματισμός σε πολλά VLAN, αλλά η πρόσβαση ελέγχεται σε επίπεδο frame στο ίδιο broadcast domain. Ο διαχειριστής χρειάζεται μόνο να δημιουργήσει τον πίνακα πρόσβασης στην κονσόλα του ISE και να καθορίσει ποια ή ποιες συσκευές θα έχουν πρόσβαση σε ποιους συγκεκριμένα πόρους, όπου και με όποιον τρόπο και αν αυτές συνδέονται.

Διαμοιρασμός πληροφοριών πλαισίου (Context sharing)

Η Cisco με στόχο την ανταλλαγή πληροφορίας πλαισίου ή πληροφορίας που έχει να κάνει με απειλές κυβερνοασφάλειας, παρέχει την ανοικτή πλατφόρμα διαμοιρασμού pxGrid (Platform Exchange Grid). Η πλατφόρμα χρησιμοποιεί ανοικτά πρότυπα και έτσι επιτρέπει στον ISE να ανταλλάξει πληροφορία με συστήματα της Cisco αλλά και τρίτων κατασκευαστών.

Έλεγχος απειλών (Threat Control)

Όταν προκύπτει μια απειλή σε έναν κόμβο του δικτύου είναι σημαντικό να περιοριστεί και να μη διαδοθεί στο υπόλοιπο δίκτυο. Ο ISE συνεργάζεται με το Cisco AMP και έχει τη δυνατότητα στην περίπτωση εμφάνισης δεικτών κακόβουλης ενέργειας, κίνησης ή λογισμικού να θέσει εκτός δικτύου ή σε περιορισμένο δίκτυο τα τερματικά η το τμήμα του δικτύου που έχει προσβληθεί, έτσι ώστε να προστατευτεί το υπόλοιπο δίκτυο.

Ο Cisco ISE συνεργάζεται με την πλειονότητα των σύγχρονων switches, wireless controllers και firewalls. Εκτός συσκευών της Cisco, είναι δυνατή η σύνδεση και με συσκευές τρίτων κατασκευαστών. Σε κάθε περίπτωση απαιτείται αναλυτικό inventory list ώστε να καθοριστεί ο βαθμός ετοιμότητας μιας επιχείρησης και οι απαιτούμενες τροποποιήσεις στον εξοπλισμό, αν υπάρχουν.

Εαν θέλετε να γνωρίσετε περισσότερα για τη λύση καθώς και τρόπους υιοθέτησης της για τη δική σας εταιρία, επικοινωνήστε με την εξειδικευμένη ομάδα μηχανικών μας εδώ.