Cisco Identity Services Engine

в 11:30, , рубрики: aaa, authentication, authorization, Cisco, NAC, wifi, авторизация, аутентификация, безопасность, Блог компании Cisco, информационная безопасность, контроль доступа, мониторинг сети

Практическая ценность системы контроля доступа к корпоративной сети на базе Cisco Identity Services Engine.

Если следующие слова для Вас не абстрактные понятия, а актуальные задачи — эта статья для Вас:
● политика (сетевой) безопасности;
● снижение рисков реализации угроз информационной безопасности;
● контроль доступа к корпоративной сети;
● автоматизация задач ИТ-подразделений;
● внедрение ИТ-решений, повышающих динамику бизнеса (BYOD, Mobility).

Контроль доступа — ключевая мера информационной безопасности. Внедрение системы контроля доступа к сети предприятия позволит не только значительно снизить риски реализации угроз информационной безопасности, но и добиться экономической выгоды от внедрения такого рода систем.

Cisco Identity Services Engine (Cisco ISE) — многофункциональное решение, закрывающее полный спектр вопросов контроля доступа к корпоративной сети [КД]. Централизация политик доступа к сети и автоматизация множества рутинных задач — основные преимущества решения Cisco ISE.

Контроля доступа в корпоративной сети


Проект внедрения системы КД затрагивает интересы множества подразделений на предприятии:
● задача контроля доступа затрагивает ИТ-подразделения, как основного исполнителя;
подразделения информационной безопасности также заинтересованы в подобных проектах в разрезе реализации политики безопасности предприятия;
топ-менеджмент может получить значительную выгоду от внедрения систем контроля доступа, так как они способствуют внедрению новых моделей ведения бизнеса, таких как: Mobility (безопасная мобильность рабочего места сотрудника) и BYOD (использование персональных устройств для работы с корпоративными данными);
● для управленцев это еще и возможность добиться разделения полномочий и обязанностей ИТ-подразделений и подразделений информационной безопасности, повысить отклик ИТ-инфраструктуры предприятия на новые требования бизнеса, снизить операционные затраты и автоматизировать ресурсоёмкие ИТ-процессы;
пользователи смогут получить привычный им набор сетевых сервисов вне зависимости от места и способа подключения к сети.

Даже дома на собственном планшете можно будет безопасно обрабатывать корпоративную информацию, получая тот же набор сервисов, что и в офисе при проводном подключении или у клиента через гостевой Wi-Fi. В конечном итоге, внедрив систему КД, можно получить значительные выгоды для всех подразделений предприятия.

Эффективность работы системы КД, как любого высокотехнологичного инструмента, зависит от того, насколько правильно его используют. Остановимся подробнее на вопросах, которые необходимо помнить, планируя внедрение систем такого рода.

Должны ли все сотрудники иметь одинаковый доступ ко всей корпоративной информации? Очевидно, что нет. Это нам подсказывает теория информационной безопасности и здравый смысл. Секретарю незачем знать финансовые показатели компании; бухгалтер не должен видеть в корпоративной CRM контакты и расписание руководителя. База клиентов компании не должна быть доступна администратору почтового сервера компании; коммерческий директор не должен иметь доступ к технологической сети управления.

Как этот вопрос решался ранее? Пользователей делили на группы по уровню доступа. Для каждой группы вносили настройки на портах подключения сотрудников в сеть. Более эффективно аутентифицировать пользователей при входе в сеть и применять политики доступа в точке подключения к сети.

Аутентификация в корпоративном каталоге


Содержать отдельную базу пользователей для каждого решения контроля доступа неудобно. Возникает вопрос синхронизации с другими подобными базами.

В большинстве организаций есть корпоративный каталог — единое место хранения данных о пользователях. Чаще всего это Microsoft Active Directory (MS AD), но может быть и LDAP сервер. Удобно заводить пользователей в одном месте и управлять большинством настроек их рабочего окружения. Множество систем могут получать данные из активного каталога: почтовый сервер, CRM и пр. Проблема в том, что “сеть”, как сущность, в активном каталоге проводить аутентификацию не умеет. Должно быть промежуточное устройство, понимающее, например MS AD и сеть.

Используя в качестве промежуточного устройства Cisco ISE можно легко решить эту задачу.
Подробнее в видео-обзоре:

RADIUS — один из старейших и наиболее распространённых протоколов сетевой аутентификации. Для аутентификации пользователей в сети должен быть развёрнут RADIUS сервер.

Cisco Identity Services Engine

Пример архитектуры решения КД на базе Cisco ISE

В современных дизайнах сетей Cisco роль такого RADIUS сервера выполняет Cisco ISE. Кроме этого, Cisco ISE позволяет автоматизировать множество задач, которые неизбежно возникают совместно с проектами внедрения RADIUS сервера для контроля доступа к сети.

Cisco Identity Services Engine
Структура сетевого взаимодействия решения Cisco ISE

Практическая ценность для ИТ-подразделений


Мобильные гаджеты проникли не только в нашу жизнь, но и в работу. Кто не читает корпоративную почту со своего смартфона? Требования бизнеса и современного мира возлагают на подразделения ИТ довольно сложную задачу — обеспечить доступ пользователям к корпоративным ресурсам с любого устройства.

Повсеместная мобилизация подтолкнула к развитию Wi-Fi. Ноутбуки стали нормой, а некоторые даже избавились от проводного интерфейса, оставив только Wi-Fi. Перемещение с ноутбуком по офису и возможность подключить его в сеть в любом месте офиса — актуальные требования к рабочему месту.

Многие хотят иметь возможность использовать персональные устройства для работы (BYOD). Это же так просто “быть на связи” и “в работе” когда кроме своего планшета больше ничего нет. Удалённый доступ через VPN давно стал нормой для большинства организаций. ИТ-подразделения вынуждены синхронизировать политики доступа и настройки на устройствах проводной, беспроводной сети и сети удалённого доступа.

Пользователь должен получить одинаковый уровень сетевых сервисов, чтобы эффективно выполнять свою работу в режиме мобильного сотрудника. Требования бизнеса к мобильности пользователей определяют привязку политики не к месту подключения, а к пользователю – это усложняет сетевые настройки и сопровождение.

Вопросы поддержки также умножаются на количество возможных вариантов доступа к сети. Зачастую, даже для базовой оценки текущих проблем в сети понадобится внедрение средств автоматизации. Для сокращения времени на поддержку пользователей, было бы удобно иметь возможность видеть имя пользователя во всех логах и окнах мониторинга. Это исключит необходимость найти как и чем подключён пользователь в сеть.

Cisco ISE позволит решить целый комплекс задач, связанных с КД.

Повышение наблюдаемости и скорости реакции сети
Для повышение наблюдаемости и скорости решения проблем целесообразно внедрить единое решение, глубоко интегрированное в существующую инфраструктуру и связывающее во едино все политики доступа на сетевом оборудовании. Такую задачу для ИТ-подразделений решает Cisco ISE.

Централизация и упрощение управления КД
Cisco ISE позволяет добиться упрощения и централизация политики сетевого доступа.
Корпоративная информация имеет свою ценность. Контроль доступа к сети — одно из средств защиты информации. При таком многообразии вариантов подключений ручное управление политиками становится трудоёмким. Это вносит значительные задержки на скорость реакции сети на изменения. Некоторые задачи, такие как мониторинг состояния подключений к сети в реальном времени и ретроспективе, не выполнимы вручную и однозначно потребуют разработки каких-либо скриптов и сведения воедино всех их функций в одну систему управления. Поддержка такого рода решений становится со временем непосильной ношей для ИТ. Чтобы иметь уверенность в том, что в сети предприятия только доверенные устройства необходима централизация управления политиками сети и глубокая интеграция с другими сетевыми сервисами.

Автоматизация рутинных задач
Значительно сократив операционные издержки, можно повысить эффективность работы ИТ и предприятия в целом. Внедрение средств автоматизации сетевых политик доступа позволит разделить задачи и зоны ответственности ИТ и ИБ. Затраты времени на внутренние и внешние аудиты также могут быть сведены к минимуму. Вся учётная информация хранится в одном месте. Всегда есть возможность оценить текущее состояние.

Внедрение решения автоматизации контроля доступа Cisco ISE позволит снизить операционные затраты на сопровождение всех сетевых сервисов.

Cisco ISE поможет ускорить принятие новые технологии поддержки бизнеса. Такие тренды как Mobility, BYOD могут быть легко приняты на вооружение ИТ-подразделениями.

Стоит отметить, что использование Cisco ISE позволит значительно снизить затраты в ЦОД за счёт применения новых архитектур и технологий (TrustSec/SGT). Важно иметь единое решение, связывающие политики доступа на разных устройствах: свичи доступа, фаерволлы, инфраструктура ЦОД.

Благодаря Cisco ISE есть возможность разграничить доступ по множеству критериев:
● кто должен иметь доступ;
● с каких устройств;
● в какое время суток;
● через какие сетевые устройства;
● какой уровень доступа необходим.
Всё это определяет контекст доступа в сеть.

Практическая ценность для подразделений ИБ

Подразделения информационной безопасности — основной внутренний заказчик решений контроля сетевого доступа.

Контроль доступа – первичная мера безопасности. Cisco ISE даёт возможность повысить простоту управления сетевым доступом и динамический мониторинг подключения пользователей к сети. Упрощение и централизация политики сетевого доступа делают возможным заглянуть туда, куда ранее не заглядывали. Найти наиболее проблемные моменты, принять оперативные меры для снижения рисков информационной безопасности.
Получая в своё распоряжение эффективный инструмент, который позволяет персонифицировать доступ в сеть, подразделения ИБ значительно повышают эффективность своей повседневной работы.

Cisco Identity Services Engine
Пример визуализации политики доступа

Разграничение полномочий и обязанностей ИТ и ИБ позволит более качественно контролировать соблюдение политик безопасности. При этом аудиты могут быть проведены в кратчайшие сроки благодаря наличию всей учётной информации и обобщению её в виде детальных отчётов.

Cisco ISE делает возможным глубоко интегрировать понятие контекста сетевого доступа (кто? как? откуда? с какого устройства?) в широкий набор сетевых решений и решений информационной безопасности.

Cisco Identity Services Engine
Пример политики с учётом контекста доступа к сети

Таким образом, можно добиться значительного снижения рисков связанных с безопасностью информации.

Практическая ценность для менеджмента компании


Повышение операционной эффективности ИТ и ИБ позволит снизить затраты и повысить отклик “сети” на требования бизнеса.

Новые модели ведения бизнеса, при поддержке ИТ-подразделений, смогут получить новый толчок. Внедрение концепции BYOD на предприятии можно органично вписать в существующую модель информационной безопасности благодаря внедрению решения Cisco ISE.

Внедрение качественно новых средств автоматизации и контроля позволит добиться снижения рисков ИБ и ожидаемых потерь в следствие инцидентов ИБ.

Для обеспечения необходимой динамики бизнеса политики доступа должны быть привязаны к пользователю, а не к месту и способу доступа. Эту важную задачу ISE позволяет решить быстро и эффективно.

Подробнее в аналитическом отчёте «Возрастание значения мобильности рабочего места».

Cisco ISE позволит связать в единую архитектуру разрозненные компоненты управления сетевым доступом. Решение Cisco ISE — ключевая часть архитектуры безопасного доступа для корпоративных сетей Cisco TrustSec. Передовой подход Cisco в направлении контроля сетевого доступа неоднократно отмечали такие аналитические агентства, как Gartner.

Cisco ISE входит в детально разработанную модульную архитектуру TrustSec.

Cisco Identity Services Engine
Древовидная схема дизайнов архитектуры TrustSec

Это позволяет быт уверенным в том, что инженеры, настраивающие решение, имеют все необходимы для этого сопроводительные документы от производителя, что положительно сказывается на скорости и качестве реализации проектов.

Практическая ценность для подразделений маркетинга


Имидж компании зависит не только от качества создаваемого продукта, но и от отношения с потенциальными клиентами.Такие имиджевые элементы, как гостевой Wi-Fi доступ, позволят получить положительное впечатление со стороны клиентов.

Технологии, заложенные в Cisco ISE, позволяют обогатить портрет клиента регистрационными данными, которые клиент предоставляет при регистрации в гостевой сети.

Стартовая страничка гостевого портала может содержать описание маркетинговых кампаний или ссылки на разделы сайта компании.

Обеспечение масштабных мероприятий качественным сервисом Wi-Fi также не будет проблемой. Cisco ISE позволяет заблаговременно сгенерировать именные данные доступа для списка посетителей.

Практическая ценность для рядовых пользователей

Сотрудники смогут более гибко распределять своё рабочее время, не привязываясь для работы к стенам офиса. При этом набор сетевых сервисов может быть неизменным, что стирает границы рабочего места, перенося его в более удобную плоскость. Работник, который имеет инструменты для поиска оптимального баланса между работой и личным временем, сможет работать более эффективно и с меньшими трудозатратами.
Привычные персональные устройства (BYOD) смогут стать надёжными бизнес-компаньонами.

Подробнее о Cisco ISE:
www.cisco.com/go/ise

Оврашко Андрей,
системный инженер Cisco

Автор: OVRASHKO

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js