cisco ise چیست و آشنایی کامل با آن
تا به حال اسم سیسکو ISE را شنیدهاید؟ میدانید Cisco ISE چیست؟ چقدر در موردش اطلاعات دارید؟
سیسکو ISE یک پلتفرم مدیریت خطمشی امنیتی است که دسترسی ایمن به منابع شبکه را فراهم میکند. به زبان ساده بهعنوان مرکزی برای تصمیمگیری درمورد سیاستها عمل میکند تا شرکتها از تطابق با این سیاستها، تقویت زیرساختهای امنیت شبکه و سادهسازی عملیات خدماترسانی اطمینان حاصل کنند. ویژگیهای متمایزی که سیسکو ISE ارائه میکند، آن را نسبت به سایر سیستمها قویتر و محبوبتر میکند. در ادامه همراه ما باشید تا با جزئیات این سیستم احراز هویت و کنترل دسترسی آشنا شویم.
cisco ise چیست و چطور کار میکند؟
سیستم احراز هویت سیسکو (Cisco Identity Services Engine) یا به اختصار ISE یک راهحل جدید برای کنترل دسترسی به شبکه است. این سیستم برای تصمیمگیری در مورد مجاز بودن دسترسی کاربران و اینکه چه سطح دسترسی به هر یک از آنها داده شود، به سیاستهای شبکه استناد میکند.
کلیه دستگاههای بیسیم و سیمی میتوانند تحت کنترل این برنامه امنیتی پیچیده به شبکه متصل شوند. بهعلاوه امکان احراز هویت، اعتبارسنجی و حسابرسی (AAA) از طریق پروتکل RADIUS فراهم میشود. به زبان ساده شرکتها میتوانند با این پلتفرم احراز هویت، دسترسی به شبکه و امنیت آن را چندین برابر بهبود ببخشند. کلیه اطلاعات بهصورت بلادرنگ جمعآوری میشود و مدیر شبکه بر اساس آنها تصمیمات حاکمیتی را اتخاذ میکند.
مهمترین ویژگیهای cisco ise چیست؟
- اگر بخواهیم به برخی از مهمترین ویژگیهای سیسکو ISE اشاره کنیم، اولین مورد ادغام پروتکل AAA (احراز هویت، اعتبارسنجی و حسابرسی) با وضعیت سلامتی تجهیزات کاربران و Profiler در یک دستگاه است.
- مدیریت جامع دسترسی Guest را برای مدیر سیسکو، سرپرستان اسپانسر یا هر دو فراهم میکند.
- پشتیبانی از شناسایی کاربران، پروفایلسازی، جاگذاری کاربران در شبکه مبتنی بر سیاست و نظارت بر دستگاههای اندپوینت در شبکه از دیگر ویژگیهای سیسکو ISE است.
- فعالسازی سیاستهای منسجم که خدمات را همانجا که لازم است ارائه میکند.
- استفاده از قابلیتهای اجرایی پیشرفته از جمله دسترسی به گروه امنیتی (SGA) و لیستهای کنترل دسترسی گروه امنیتی (SGACL).
- پشتیبانی از مقیاسپذیری جهت پشتیبانی از سناریوهای استقرار برای محیطهای اداری کوچک تا محیطهای سازمانی بزرگ.
کاربردهای سیستم احراز هویت cisco ise چیست؟
پس از آشنایی با این سیستم جدید و ویژگیهای آن، ممکن است برایتان سوال شود که روش بهکارگیری cisco ise چیست؟ چطور میتوان از این سیستم استفاده کرد؟ در پاسخ باید گفت ISE ویژگیهای متعددی دارد. اینکه کدام یک از این ویژگیها و خدمات مورد استفاده قرار میگیرند، تا حد زیادی به نوع شبکه و سطح دسترسی خریداریشده بستگی دارد. اجازه دهید به طور خلاصه چند مورد استفاده رایج از ISE را مورد بحث قرار دهیم.
+TACACS و مدیریت دستگاه
یکی از مهمترین موارد استفاده سیسکو ISE کنترل دسترسی اداری به دستگاههای زیرساخت شبکه مثل روترها و سوئیچها است. با استفاده از TACACS+ نوع دستوراتی که مجازند در این دستگاهها اجرا شوند را میتوان در صورت لزوم برای مدیران شبکههای مختلف تنظیم و محدود کرد.
در همین راستا پیشنهاد میکنیم مطلب سیر تا پیاز آشنایی با تجهیزات شبکه را مطالعه کنید.
زمانی که یک کاربر وارد شبکه میشود و تغییراتی روی آن ایجاد میکند، +TACACS گزارشهای از تمام افرادی که وارد سیستم شده اند، زمان ورود آنها و تغییراتی که اعمال کردهاند ثبت میکند.
دستگاه خود را بیاورید (BYOD)
در دنیای مدرن اینکه کارمندان دستگاههای خود را به محل کار بیاورند و آنها را به شبکه شرکت متصل کنند، اصلا عجیب نیست. معمولا این دستگاهها به منابعی متصل میشوند که دستگاههای خود شرکت به آنها وصل شدهاند. Cisco ISE به کارمندان این امکان را میدهد تا دستگاههای خود را در شبکه ثبت کنند و با استفاده از پروتکلهای dot1x، EAP-TLS یا PEAP اتصال خود با شبکه را رمزگذاری و امن کنند.
مدیر شرکت میتواند تعداد دستگاههایی که هر کارمند مجاز است به شبکه متصل کند را محدود کند. حتی کارمندان با استفاده از پورتال mydevices در ISE میتوانند دستگاه خود را به عنوان گم شده یا دزدیده شده علامت گذاری کنند یا بدون کمک کارکنان فناوری اطلاعات شرکت، دستگاهها را اضافه یا حذف کند.
چنانچه دستگاهی در شبکه به عنوان دستگاه دزدیده شده گزارش شود، ISE این دستگاه را در لیست سیاه قرار میدهد و تا دسترسی آن به شبکه محدود شود.
مدیریت دستگاه موبایل (MDM)
یکی از کاربردهای مهم سیسکو ISE این است که میتواند با ادغام فروشندگان مختلف نرمافزارهای MDM، امکان ثبت گواهیهای PKI و کنترلهای بیشتری مثل پاکسازی از راه دور دستگاههای تلفن همراه را فراهم میکند. Airwatch نمونهای از MDM سازگار است.
ارزیابی وضعیت سلامت تجهیزات کاربر نهایی (Device Posture Assessment)
با استفاده از این سیستم کنترل هویت میتوان برای سلامت دستگاههایی که به شبکه سازمان متصل میشوند، خطمشی خاصی تعریف کرد که از وضعیت امنیتی آنها اطمینان حاصل کند. به این صورت که یک ارزیابی کلی از وضعیت امنیتی دستگاه (با مجوز Apex) انجام شده و بررسی میشود که آیا دستگاه معیارهای امنیتی شبکه را برآورده میکند یا خیر.
بهعنوان مثال میتوان با بررسی یک دستگاه مطمئن شد که نرمافزار سیستمعامل آن بهروز است، آنتیویروس بهروز دارد یا از روت بودن آن اطمینان حاصل کرد. اگر دستگاهی در این بررسی شکست بخورد، تا زمانی که دستورالعملهای اصلاح به آن ارسال شده و با سیاستهای شبکه مطابق شود، میتوان آن را در Vlan قرنطینه قرار داد.
مزیتهای استفاده از cisco ise چیست؟
بعضی از مزیتهایی که شبکه پس از استقرار cisco ise از آن برخوردار میشود، عبارتاند از:
۱. امنیت بسیار زیاد شبکه و دسترسی مبتنی بر ماهیت سازمان بسته به سیاستهای شرکت
- cisco ise با دستگاههای شبکه کار میکند تا یک هویت همهجانبه برای سازمان بسازد که تمام ویژگیهای منحصربهفرد سازمان مثل موقعیت مکانی، تعداد کاربران، میزان آسیبپذیری، انواع تهدیدات و نوع دسترسیهای آن را پوشش دهد. در ادامه میتوان از این هویت برای اعمال یک خط مشی دسترسی فوقالعاده امن مطابق با نقش تجاری هویت موردنظر استفاده کرد؛
- بهلطف این تکنولوژی مدیران فناوری اطلاعات سازمان میتوانند دسترسی اندپوینتها (Endpoint) و اینکه چه زمانی، کجا و چگونه میتوانند به شبکه دسترسی داشته باشند را کنترل کنند؛
- امکان رویت شبکه از طریق یک رابط فوقالعاده انعطافپذیر، ساده و کاربردپذیر. ISE مکانیزمی برای ذخیره تاریخچه دقیق ویژگیهای تمام اندپوینتهای متصل به شبکه و کاربران آن مثل کارمندان، مهمانان یا پیمانکاران حاضر دارد. این تاریخچه جزئیات برنامه و وضعیت فایروال اندپوینت را ذخیره میکند.
۲. برخورداری از بهترین امکانات پروفایل شبکه
اما اهمیت پروفایلسازی در cisco ise چیست؟ با وجود بیشتر از هزاران پروفایل، امکان شناسایی سریع دستگاههای موجود در شبکه و حتی ایجاد پروفایلهای جدید فراهم شده است. این نمایهها روش خوبی برای کنارآمدن با تعدد دستگاههای شبکه محسوب میشوند و قدرت پروفایلسازی سیسکو اطمینان میدهد که گزارش بهتری از انواع دستگاههای موجود در شبکه تهیه میشود. همچنین کاربران میتوانند نمایه خود را با بیشمار قابلیتهای مختلف تعریف کنند.
همچنین بخوانید: هرآن چیزی که لازم است درباره راهاندازی شبکه بدانید
۳. اجرای سیاستها بر اساس نیازهای متغیر کسبوکار
- اجرای سیاستهایی جهت تعریف قوانین منعطف و آسان بر اساس الزامات شرکت. مرکزی که این سیاستها را کنترل میکند، روی تمام شبکه و زیرساختهای امنیتی آن توزیع میشود؛
- مدیران IT شبکه میتوانند برای متمایز کردن مهمانان از کاربران ثبتشده، خطمشی خاصی تعریف کنند. به این ترتیب دسترسی کاربران و اندپوینتها بر اساس این خطمشی و نقش آنها در شبکه فراهم میشود. بدون اینکه موقعیت مکانی آنها ذرهای حائز اهمیت باشد؛
- گروههای SGT (گروهبندی اندپوینتها توسط Cisco TrustSec) به سازمان اجازه میدهد کنترل دسترسی را بر پایه قوانین کسبوکار بنا کنند، نه آدرسهای IP؛
- به کمک ISE مدیریت قوانین روتر، سوئیچ و فایروال آسانتر میشود. شواهد نشان میدهد استفاده از ISE عملیات فناوری اطلاعات را تا ۸۰ درصد کاهش و زمان اجرای تغییرات را تا ۹۸ درصد افزایش میدهد.
۴. تجربه عالی کاربر Guest با وجود چندین سطح دسترسی در شبکه
شاید برایتان سوال شود که سطح دسترسی کاربر Guest در شبکه cisco ise چیست؟
فهرستهای کنترل دسترسی پویا (DACL) به سوییچها منتقل شده و بهطور خودکار روی رابطهای درست اعمال میشوند. در سیسکو ISE امکان مدیریت لیستهای دسترسی در یک محل مرکزی وجود دارد. بر اساس سیاستهایی که مدیران IT سازمان تعیین میکنند، Guest یا مهمان شبکه میتواند سطح دسترسی متفاوتی داشته باشد.
- ممکن است برای ورود به شبکه به اجازه یا تایید شبکه نیاز نداشته باشد
به این حالت پورتال هات اسپات (HotSpot Portal) هم گفته میشود. زمانی که دستگاهی به شبکه مهمان یا SSID مهمان متصل شود، مرورگر دستگاه به پورتال هات اسپات (که توسط ISE میزبانی میشود) هدایت خواهد شد. کاربر مهمان موافقت خود با قوانین شبکه را اعلام کرده و یک کد دسترسی وارد میکند. در این پورتال نیازی به دریافت اطلاعات شخصی مهمان نیست.
- ممکن است مهمان برای ایجاد حساب کاربری و دسترسی به شبکه به تایید نیاز داشته باشد
در این پورتال اعتبار موردنیاز کاربر برای دسترسی به شبکه توسط اسپانسر تایید میشود. اسپانسر شخصی است که برای سازمان کار میکند و مسئولیت ایجاد حساب کاربری کاربر را بهعهده دارد. در این حالت پس از ثبت نام مهمان، اعتبارنامه به ایمیل یا پیامکی که مهمان ثبت کرده ارسال میشود.
- ممکن است اسپانسر شبکه حساب کاربری مهمان را ایجاد کرده باشد
در این پورتال کاربر مهمان حساب کاربری را بهتنهایی و بدون تایید اسپانسر ایجاد میکند. دیگر هیچ احتیاجی به دریافت تائید از جانب اسپانسرهای مالی شرکت یا کارکنان نیست؛ یک آدرس ایمیل و برخی اطلاعات شخصی برای دسترسی کافی است.
۵. ایمنسازی شبکه با EasyConnect
یکی دیگر از سوالاتی که شاید ذهن کاربران را درگیر کند، این است که نقش EasyConnect در امنیت cisco ise چیست؟
EasyConnect یکی از ویژگیها و مزیتهای cisco ise است که تا حدودی نادیده گرفته شده، اما فوقالعاده جالب توجه است. بسیاری از شرکتها تمایل دارند شبکه خود را بر اساس دستههای کاربران تقسیم کنند، اما شاید بهخاطر پیچیدگیهای فرایند مدیریت گواهیهای مشتری، احراز هویت مبتنی بر گواهی با X802.1 را کنار بگذارند. EasyConnect در Cisco ISE جایگزینی برای X802.1 محسوب میشود. به این صورت که میتواند کاربر را به محض ورود به اکتیو دایرکتوری (AD) بهصورت کاملا پویا در VLAN درست و امن قرار دهد.
استاندارد طلایی هنوز X802.1 است؛ اما EasyConnect برای برخی از مشتریان میتواند اولین قدم در جهت ایمنسازی شبکه باشد.
۶. برخورداری از پورتالساز (PortalBuilder)
سیسکو ISE امکانی فراهم کرده تا تیمها بتوانند پورتال دلخواه خود را بدون تخصص خاصی طراحی و ایجاد کنند. PortalBuilder یکی از سرویسهای رایگان سیسکو است که با تحریک خلاقیت تیمها، آنان را تشویق میکند صفحات وب را بهصورت آفلاین ایجاد کرده و محتوا را برای تیمهای شبکه Cisco ISE در دسترس قرار دهند.
۷. یکپارچه سازی اکوسیستم cisco ise
گفتگوی Network Access Control عمدتاً حول محور ایمنسازی شبکه در برابر کاربران میچرخد. سیسکو ISE از امنیت MAC (MACsec) نیز پشتیبانی میکند تا پیوندهای فیزیکی بین دستگاههای شبکه به صورت کاملا پویا ایمن شوند. بهعلاوه برای شناسایی و محدودکردن دستگاههای سرویسگیرندهای که رفتار عجیبی از خود در شبکه نشان میدهند، از پشتیبانی خاصی برخوردار است؛ بدون آنکه به اجازه عامل خاصی در شبکه احتیاج داشته باشد.
۸. حذف دستگاههای غیرمجاز از شبکه
هر دستگاهی نباید اجازه دسترسی به شبکه را داشته باشد. سیسکو ISE بهمحض آنکه یکی از دستگاههای شبکه به سرقت برود، این امکان را به مدیر میدهد تا دسترسی دستگاه به شبکه را برای همیشه قطع کند.
کلام آخر
Cisco ISE یک زیرساخت لایه دسترسی و کنترل پذیرش شبکه است که با فرض قابلاعتماد بودن کاربران، دسترسی آنها به شبکه را امکانپذیر میکند. این سیستم میتواند احراز هویت را در تمام شبکههای سیمی و بیسیم بهعهده گیرد و تایید کند هر دستگاهی که در حال حاضر به شبکه متصل است، در حقیقت اجازه دسترسی به شبکه را دارد. علاوه بر اینها قادر است نرمافزارهای شبکه را روی نقاط پایانی (اندپوینتها) بررسی کرده و ضمن فراهم کردن قابلیت رویت و کنترل روی شبکه، اعمال سیاست، احراز هویت، شناسایی دستگاهها و کنترل لایه دسترسی را به نحو احسن انجام دهد.
امیدواریم بعد از مطالعه این مقاله کاملا متوجه شده باشید که cisco ise چیست و استفاده از آن چه مزیتهایی دارد. اگر سوالات دیگری همچنان در ذهنتان بیپاسخ مانده یا اطلاعات بیشتری در این زمینه دارید، مشتاق شنیدن نظرات شما عزیزان هستیم.
دیدگاهتان را بنویسید