Με την κινητικότητα των εργαζομένων να είναι σε πολύ υψηλά επίπεδα, την πρόσβαση τους να γίνεται από πολλά και διαφορετικά σημεία με διαφορετικά χαρακτηριστικά και πολλές φορές από ετερογενείς συσκευές και περιβάλλοντα, ο παραδοσιακός έλεγχος πρόσβασης στο δίκτυο δεν επαρκεί.
Αυτό γιατί πλέον είναι πολύ δύσκολο να εφαρμοστεί αποδοτικά καθώς είναι περίπλοκος και απαιτεί χρόνο, μειώνοντας εν τέλει την ευελιξία της επιχείρησης ή του οργανισμού
Τα τμήματα ΙΤ εταιριών κάθε μεγέθους στρέφονται πλέον σε πολιτικές πρόσβασης που θα καθορίζονται σε ένα σημείο, θα εφαρμόζονται καθολικά σε όλη την επιχείρηση και θα λαμβάνουν υπόψη χαρακτηριστικά πλαισίου, όπως ο χρόνος, ο τόπος, η τοποθεσία, η φύση του υποκειμένου και αντικειμένου, κ.α.
Cisco Identity Services Engine (ISE)
Ο Cisco Identity Services Engine (ISE) αποτελεί ένα κατανεμημένο σύστημα ελέγχου πρόσβασης. Η πρόσβαση στο σύνολο του δικτύου μπορεί να ελέγχεται από ένα μόνο σημείο χωρίς να απαιτείται συνεχής επέμβαση στις κατά τόπους συσκευές, όπως η αλλαγή ενός vlan σε μια πόρτα ενός switch ή οι αλλαγές σε access control lists σε inter-vlan επικοινωνία.
Η λύση της Cisco συνδυάζει τις διαδικασίες authentication, authorization, accounting (AAA), posture και profiling και μπορεί να εφαρμοσθεί αποτελεσματικά από μικρές επιχειρήσεις έως πάρα πολύ μεγάλες εταιρίες με παγκόσμια παρουσία, επιτρέποντας συνεπείς πολιτικές στο σύνολο του εύρους του δικτύου.
Ο ISE λαμβάνει αιτήματα πρόσβασης χρηστών ή συσκευών τα οποία αξιολογεί με βάση τις προκαθορισμένες πολιτικές μαζί με στοιχεία πλαισίου (context) ώστε να καταλήξει στην έγκριση ή απόρριψη του αιτήματος πρόσβασης. Το πλαίσιο περιλαμβάνει τιμές ιδιοτήτων που απαντούν σε ερωτήματα, όπως: Ποιος, Τι, Που, Πότε, Πώς.
Ο Cisco ISE συνεργάζεται με την πλειονότητα των σύγχρονων switches, wireless controllers και firewalls. Εκτός συσκευών της Cisco, είναι δυνατή και η σύνδεση και με συσκευές τρίτων κατασκευαστών που πληρούν τις απαιτήσεις.
Υπηρεσίες Cisco ISE
Ορατότητα αγαθών (Asset Visibility)
Κάθε συσκευή που συνδέεται στο δίκτυο μπορεί να αναγνωριστεί (profiling). Έτσι ο διαχειριστής γνωρίζει ανά πάσα στιγμή το είδος των ενεργών συσκευών, το που έχουν συνδεθεί, ποια δικαιώματα πρόσβασης τους έχουν εκχωρηθεί και, επιπροσθέτως, για σταθμούς εργασίας, ποια είναι η κατάστασή τους, όσο αφορά το λογισμικό τους.
Έλεγχος πρόσβασης (Access Control)
Η βασική λειτουργία του ISE είναι να αποφασίζει στη βάση των πολιτικών που έχουν καθοριστεί αν θα επιτρέπεται η πρόσβαση μιας συσκευής στο δίκτυο ή όχι και να θέτει δυναμικά τα προνόμια στην πρόσβαση αυτή. Επιπροσθέτως ο ISE έχει τη δυνατότητα να γνωρίζει την κατάσταση κάθε συσκευής και να επιτρέπει ή όχι τη σύνδεσή της με βάση όχι μόνο την ταυτότητά της αλλά και την τρέχουσα διαμόρφωσή της. Έτσι αν η διαμόρφωση δεν είναι σύννομη με τις πολιτικές του δικτύου (π.χ. έχει outdated ή μη επιτρεπτό λογισμικό) να της απαγορεύσει την πρόσβαση και να τη θέσει σε καραντίνα, έως ότου έρθει στην επιθυμητή κατάσταση, οπότε και θα μπορεί να της επιτραπεί η πρόσβαση. Για κάθε σύνοδο, είτε μέσω τους ενσύρματου δικτύου, ή μέσω ασύρματης σύνδεσης ή για απομακρυσμένες συνδέσεις, o ISE μπορεί να εφαρμόσει διαφορετικά VLANs, access lists στο σημείο σύνδεσης (θύρα πρόσβασης), αναδρομολόγηση της κίνησης σε κάποιο portal, ανάθεση συγκεκριμένων RADIUS attributes, κ.λπ. Επίσης, ο Cisco ISE υποστηρίζει την κρυπτογράφηση πληροφορίας στο επίπεδο data link με την υλοποίηση του MACSec.
Πρόσβαση επισκεπτών (Guest Access)
Ο ISE παρέχει τη δυνατότητα, στο ενσύρματο και ασύρματο δίκτυο, δημιουργίας captive portals για σύνδεση των επισκεπτών, μέσω απλών hotspots, δημιουργίας λογαριασμού χρήστη από τον επισκέπτη, ή σύνδεση με προκαθορισμένο λογαριασμό για κάθε επισκέπτη. Παρέχεται η δυνατότητα τροποποίησης του captive portal, συλλογής στοιχείων από το χρήστη, επιλογή αποδοχής όρων χρήσης και πλήρης διαχείριση κάθε guest account.
Εργασία σε προσωπικές συσκευές (BYOD)
Η αύξηση της χρήσης προσωπικών κινητών τηλεφώνων, tablets και φορητών υπολογιστών για επιχειρησιακούς σκοπούς έχουν δημιουργήσει την ανάγκη σύνδεσης των συσκευών αυτών στο επιχειρηματικό δίκτυο, χωρίς όμως να δημιουργούν ζητήματα ασφάλειας και χωρίς να επιφέρουν σημαντική επιβάρυνση στην εργασία των διαχειριστών. Ο Cisco ISE παρέχει παραμετροποιήσιμο self-registration portal για τους χρήστες των συσκευών αυτών και διαδικασίες ελέγχου συμμόρφωσης των συσκευών έτσι ώστε από τη μία ο χρήστης να έχει μόνος του τη δυνατότητα να τις συνδέσει, ενώ από την άλλη να ελέγχεται ότι πληρούν τις απαιτήσεις και συμμορφώνονται με τις πολιτικές του οργανισμού
Τμηματοποίηση δικτύων (Network Segmentation)
Μια κοινή σε πολλές περιπτώσεις πρακτική είναι ο διαχωρισμός του δικτύου σε διακριτά εικονικά δίκτυα (VLANs ή PVLANs). Για να γίνει αυτό ο διαχειριστής είναι υποχρεωμένος να αντιστοιχίσει θύρες του switch σε προκαθορισμένα VLAN και σε περίπτωση σύνδεσης νέου ή διαφορετικού τερματικού, ή σε οργανωτικές αλλαγές να φροντίσει να τροποποιήσει τη στατική αυτή ανάθεση. Ακόμη πρέπει να δημιουργήσει στα κατάλληλα L3 interfaces, όπου γίνεται η προώθηση πακέτων μεταξύ VLANs (inter-vlan) κατάλληλες access lists. Μια διαδικασία ιδιαίτερα επίπονη και που απαιτεί επάρκεια πόρων στα L3 devices.
Ο Cisco ISE είναι το βασικό στοιχείο της τεχνολογίας TrustSEC. Με το TrustSEC δεν απαιτείται πλέον ο κατακερματισμός σε πολλά VLAN, αλλά η πρόσβαση ελέγχεται σε επίπεδο frame στο ίδιο broadcast domain. Ο διαχειριστής χρειάζεται μόνο να δημιουργήσει τον πίνακα πρόσβασης στην κονσόλα του ISE και να καθορίσει ποια ή ποιες συσκευές θα έχουν πρόσβαση σε ποιους συγκεκριμένα πόρους, όπου και με όποιον τρόπο και αν αυτές συνδέονται.
Διαμοιρασμός πληροφοριών πλαισίου (Context sharing)
Η Cisco με στόχο την ανταλλαγή πληροφορίας πλαισίου ή πληροφορίας που έχει να κάνει με απειλές κυβενοασφάλειας, παρέχει την ανοικτή πλατφόρμα διαμοιρασμού pxGrid (Platform Exchange Grid). Η πλατφόρμα χρησιμοποιεί ανοικτά πρότυπα και έτσι επιτρέπει στον ISE να ανταλλάξει πληροφορία με συστήματα της Cisco αλλά και τρίτων κατασκευαστών.
Έλεγχος απειλών (Threat Centric NAC)
Ο ISE συνεργάζεται εγγενώς με το Cisco Secure Endpoint και έχει τη δυνατότητα στην περίπτωση εμφάνισης δεικτών κακόβουλης ενέργειας, κίνησης ή λογισμικού να θέσει εκτός δικτύου ή σε περιορισμένο δίκτυο τα τερματικά η το τμήμα του δικτύου που έχει προσβληθεί, έτσι ώστε να προστατευτεί το υπόλοιπο δίκτυο.
Διαχείριση συσκευών (Device Admin)
Η διαχείριση ενός μεγάλου αριθμού συσκευών είναι ιδιαίτερα επίπονη διεργασία, ιδίως σε μεγάλες μηχανογραφικές ομάδες όπου υπάρχουν πολλά πρόσωπα με διακριτές αρμοδιότητες. Ο Cisco ISE, υποστηρίζοντας το TACACS+ επιτρέπει τη δημιουργία κατάλληλων πολιτικών έτσι ώστε να εξειδικευτεί η δυνατότητα ελέγχου πρόσβασης σε επίπεδο εντολής ή και ορίσματος εντολής.
–
Σα Dataways, διαθέτουμε πολύ μεγάλη εμπειρία στο αντικείμενο του ελέγχου πρόσβασης στο δίκτυο (Network Admission Control – NAC), έχοντας υλοποιήσει πολλαπλά έργα ελέγχου πρόσβασης χρηστών και συσκευών, σενάρια Bring Your Own Device (BYOD), Guest Access, δυναμικό διαχωρισμό δικτύων, VPN access, κ.α.
Εάν ενδιαφέρεστε να εξερευνήσετε το πως το Cisco ISE μπορεί να αναβαθμίσει την ασφάλεια του δικτύου της επιχείρησης σας, επικοινωνήστε σήμερα με έναν εξειδικευμένο μηχανικό security της εταιρίας μας, ο οποίος θα αναλύσει τις απαιτήσεις σας και θα σας καθοδηγήσει σε κάθε βήμα.