cisco ise چیست و آشنایی کامل با آن

cisco ise چیست

تا به حال اسم سیسکو ISE را شنیده‌اید؟ می‌دانید Cisco ISE چیست؟ چقدر در موردش اطلاعات دارید؟

سیسکو ISE یک پلتفرم مدیریت خط‌مشی امنیتی است که دسترسی ایمن به منابع شبکه را فراهم می‌کند. به زبان ساده به‌عنوان مرکزی برای تصمیم‌گیری درمورد سیاست‌ها عمل می‌کند تا شرکت‌ها از تطابق با این سیاست‌ها، تقویت زیرساخت‌های امنیت شبکه و ساده‌سازی عملیات خدمات‌رسانی اطمینان حاصل کنند. ویژگی‌های متمایزی که سیسکو ISE ارائه می‌کند، آن را نسبت به سایر سیستم‌ها قوی‌تر و محبوب‌تر می‌کند. در ادامه همراه ما باشید تا با جزئیات این سیستم احراز هویت و کنترل دسترسی آشنا شویم.

cisco ise چیست و چطور کار می‌کند؟

سیستم احراز هویت سیسکو (Cisco Identity Services Engine) یا به‌ اختصار ISE یک راه‌حل جدید برای کنترل دسترسی به شبکه است. این سیستم برای تصمیم‌گیری در مورد مجاز بودن دسترسی کاربران و اینکه چه سطح دسترسی به هر یک از آن‌ها داده شود، به سیاست‌های شبکه استناد می‌کند.

cisco ise

کلیه دستگاه‌های بی‌سیم و سیمی می‌توانند تحت کنترل این برنامه امنیتی پیچیده به شبکه متصل شوند. به‌علاوه امکان احراز هویت، اعتبارسنجی و حسابرسی (AAA) از طریق پروتکل RADIUS فراهم می‌شود. به زبان ساده  شرکت‌ها می‌توانند با این پلتفرم احراز هویت، دسترسی به شبکه و امنیت آن را چندین برابر بهبود ببخشند. کلیه اطلاعات به‌صورت بلادرنگ جمع‌آوری می‌شود و مدیر شبکه بر اساس آن‌ها تصمیمات حاکمیتی را اتخاذ می‌کند.

مهم‌ترین ویژگی‌های cisco ise چیست؟

  • اگر بخواهیم به برخی از مهم‌ترین ویژگی‌های سیسکو ISE اشاره کنیم، اولین مورد ادغام پروتکل AAA (احراز هویت، اعتبارسنجی و حسابرسی) با وضعیت سلامتی تجهیزات کاربران و Profiler در یک دستگاه است.
  • مدیریت جامع دسترسی Guest را برای مدیر سیسکو، سرپرستان اسپانسر یا هر دو فراهم می‌کند.
  • پشتیبانی از شناسایی کاربران، پروفایل‌سازی، جاگذاری کاربران در شبکه مبتنی بر سیاست و نظارت بر دستگاه‌های اندپوینت در شبکه از دیگر ویژگی‌های سیسکو ISE است.
  • فعال‌سازی سیاست‌های منسجم که خدمات را همان‌جا که لازم است ارائه می‌کند.
  • استفاده از قابلیت‌های اجرایی پیشرفته از جمله دسترسی به گروه امنیتی (SGA) و لیست‌های کنترل دسترسی گروه امنیتی (SGACL).
  • پشتیبانی از مقیاس‌پذیری جهت پشتیبانی از سناریوهای استقرار برای محیط‌های اداری کوچک تا محیط‌های سازمانی بزرگ.

کاربردهای سیستم احراز هویت cisco ise چیست؟

پس از آشنایی با این سیستم جدید و ویژگی‌های آن، ممکن است برایتان سوال شود که روش به‌کارگیری cisco ise چیست؟ چطور می‌توان از این سیستم استفاده کرد؟ در پاسخ باید گفت ISE ویژگی‌های متعددی دارد. اینکه کدام یک از این ویژگی‌ها و خدمات مورد استفاده قرار می‌گیرند، تا حد زیادی به نوع شبکه و سطح دسترسی خریداری‌شده بستگی دارد. اجازه دهید به طور خلاصه چند مورد استفاده رایج از ISE را مورد بحث قرار دهیم.

+TACACS و مدیریت دستگاه

یکی از مهم‌ترین موارد استفاده سیسکو ISE کنترل دسترسی اداری به دستگاه‌های زیرساخت شبکه مثل روترها و سوئیچ‌ها است. با استفاده از TACACS+ نوع دستوراتی که مجازند در این دستگاه‌ها اجرا شوند را می‌توان در صورت لزوم برای مدیران شبکه‌های مختلف تنظیم و محدود کرد.

در همین راستا پیشنهاد می‌کنیم مطلب سیر تا پیاز آشنایی با تجهیزات شبکه را مطالعه کنید.

زمانی که یک کاربر وارد شبکه می‌شود و تغییراتی روی آن ایجاد می‌کند، +TACACS گزارش‌های از تمام افرادی که وارد سیستم شده اند، زمان ورود آن‌ها و تغییراتی که اعمال کرده‌اند ثبت می‌کند.

دستگاه خود را بیاورید (BYOD)

در دنیای مدرن اینکه کارمندان دستگاه‌های خود را به محل کار بیاورند و آن‌ها را به شبکه شرکت متصل کنند، اصلا عجیب نیست. معمولا این دستگاه‌ها به منابعی متصل می‌شوند که دستگاه‌های خود شرکت به آن‌ها وصل شده‌اند. Cisco ISE به کارمندان این امکان را می‌دهد تا دستگاه‌های خود را در شبکه ثبت کنند و با استفاده از پروتکل‌های dot1x، EAP-TLS یا PEAP اتصال خود با شبکه را رمزگذاری و امن کنند.

مدیر شرکت می‌تواند تعداد دستگاه‌هایی که هر کارمند مجاز است به شبکه متصل کند را محدود کند. حتی کارمندان با استفاده از پورتال mydevices در ISE می‌توانند دستگاه خود را به عنوان گم شده یا دزدیده شده علامت گذاری کنند یا بدون کمک کارکنان فناوری اطلاعات شرکت، دستگاه‌ها را اضافه یا حذف کند.

چنانچه دستگاهی در شبکه به عنوان دستگاه دزدیده شده گزارش شود، ISE این دستگاه را در لیست سیاه قرار می‌دهد و تا دسترسی آن به شبکه محدود شود.

مدیریت دستگاه موبایل (MDM)

یکی از کاربردهای مهم سیسکو ISE این است که می‌تواند با ادغام فروشندگان مختلف نرم‌افزارهای MDM، امکان ثبت گواهی‌های PKI و کنترل‌های بیشتری مثل پاک‌سازی از راه دور دستگاه‌های تلفن همراه را فراهم می‌کند. Airwatch نمونه‌ای از MDM سازگار است.

ارزیابی وضعیت سلامت تجهیزات کاربر نهایی (Device Posture Assessment)

با استفاده از این سیستم کنترل هویت می‌توان برای سلامت دستگاه‌هایی که به شبکه سازمان متصل می‌شوند، خط‌مشی خاصی تعریف کرد که از وضعیت امنیتی آن‌ها اطمینان حاصل کند. به این صورت که یک ارزیابی کلی از وضعیت امنیتی دستگاه (با مجوز Apex) انجام شده و بررسی می‌شود که آیا دستگاه معیارهای امنیتی شبکه را برآورده می‌کند یا خیر.

به‌عنوان مثال می‌توان با بررسی یک دستگاه مطمئن شد که نرم‌افزار سیستم‌عامل آن به‌روز است، آنتی‌ویروس به‌روز دارد یا از روت بودن آن اطمینان حاصل کرد. اگر دستگاهی در این بررسی شکست بخورد، تا زمانی که دستورالعمل‌های اصلاح به آن ارسال شده و با سیاست‌های شبکه مطابق شود، می‌توان آن را در Vlan قرنطینه قرار داد.

مزیت‌های استفاده از cisco ise چیست؟

بعضی از مزیت‌هایی که شبکه پس از استقرار cisco ise از آن برخوردار می‌شود، عبارت‌اند از:

۱. امنیت بسیار زیاد شبکه و دسترسی مبتنی بر ماهیت سازمان بسته به سیاست‌های شرکت

  • cisco ise با دستگاه‌های شبکه کار می‌کند تا یک هویت همه‌جانبه برای سازمان بسازد که تمام ویژگی‌های منحصربه‌فرد سازمان مثل موقعیت مکانی، تعداد کاربران، میزان آسیب‌پذیری، انواع تهدیدات و نوع دسترسی‌های آن را پوشش دهد. در ادامه می‌توان از این هویت برای اعمال یک خط مشی دسترسی فوق‌العاده امن مطابق با نقش تجاری هویت موردنظر استفاده کرد؛
  • به‌لطف این تکنولوژی مدیران فناوری اطلاعات سازمان می‌توانند دسترسی اندپوینت‌ها (Endpoint) و اینکه چه زمانی، کجا و چگونه می‌توانند به شبکه دسترسی داشته باشند را کنترل کنند؛
  • امکان رویت شبکه از طریق یک رابط فوق‌العاده انعطاف‌پذیر، ساده و کاربردپذیر. ISE مکانیزمی برای ذخیره تاریخچه دقیق ویژگی‌های تمام اندپوینت‌های متصل به شبکه و کاربران آن مثل کارمندان، مهمانان یا پیمانکاران حاضر دارد. این تاریخچه جزئیات برنامه و وضعیت فایروال اندپوینت را ذخیره می‌کند.

cisco ise مهمترین مزیت

۲. برخورداری از بهترین امکانات پروفایل‌ شبکه

اما اهمیت پروفایل‌سازی در cisco ise چیست؟ با وجود بیشتر از هزاران پروفایل، امکان شناسایی سریع دستگاه‌های موجود در شبکه و حتی ایجاد پروفایل‌های جدید فراهم شده است. این نمایه‌ها روش خوبی برای کنارآمدن با تعدد دستگاه‌های شبکه محسوب می‌شوند و قدرت پروفایل‌سازی سیسکو اطمینان می‌دهد که گزارش بهتری از انواع دستگاه‌های موجود در شبکه تهیه می‌شود. همچنین کاربران می‌توانند نمایه خود را با بی‌شمار قابلیت‌های مختلف تعریف کنند.

همچنین بخوانید: هرآن چیزی که لازم است درباره راه‌اندازی شبکه بدانید

۳. اجرای سیاست‌ها بر اساس نیازهای متغیر کسب‌و‌کار

  • اجرای سیاست‌هایی جهت تعریف قوانین منعطف و آسان بر اساس الزامات شرکت. مرکزی که این سیاست‌ها را کنترل می‌کند، روی تمام شبکه و زیرساخت‌های امنیتی آن توزیع می‌شود؛
  • مدیران IT شبکه می‌توانند برای متمایز کردن مهمانان از کاربران ثبت‌شده، خط‌مشی خاصی تعریف کنند. به این ترتیب دسترسی کاربران و اندپوینت‌ها  بر اساس این خط‌مشی و نقش آن‌ها در شبکه فراهم می‌شود. بدون اینکه موقعیت مکانی آن‌ها ذره‌ای حائز اهمیت باشد؛
  • گروه‌های SGT (گروه‌بندی اندپوینت‌ها توسط Cisco TrustSec) به سازمان اجازه می‌دهد کنترل دسترسی را بر پایه قوانین کسب‌و‌کار بنا کنند، نه آدرس‌های IP؛
  • به کمک ISE مدیریت قوانین روتر، سوئیچ و فایروال آسان‌تر می‌شود. شواهد نشان می‌دهد استفاده از ISE عملیات فناوری اطلاعات را تا ۸۰ درصد کاهش و زمان اجرای تغییرات را تا ۹۸ درصد افزایش می‌دهد.

۴. تجربه عالی کاربر Guest با وجود چندین سطح دسترسی در شبکه

شاید برای‌تان سوال شود که سطح دسترسی کاربر Guest در شبکه cisco ise چیست؟

فهرست‌های کنترل دسترسی پویا (DACL) به سوییچ‌ها منتقل شده و به‌طور خودکار روی رابط‌های درست اعمال می‌شوند. در سیسکو ISE امکان مدیریت لیست‌های دسترسی در یک محل مرکزی وجود دارد. بر اساس سیاست‌هایی که مدیران IT سازمان تعیین می‌کنند، Guest یا مهمان شبکه می‌تواند سطح دسترسی متفاوتی داشته باشد.

  • ممکن است برای ورود به شبکه به اجازه یا تایید شبکه نیاز نداشته باشد

به این حالت پورتال هات اسپات (HotSpot Portal) هم گفته می‌شود. زمانی که دستگاهی به شبکه مهمان یا SSID مهمان متصل شود، مرورگر دستگاه به پورتال هات اسپات (که توسط ISE میزبانی می‌شود) هدایت خواهد شد. کاربر مهمان موافقت خود با قوانین شبکه را اعلام کرده و یک کد دسترسی وارد می‌کند. در این پورتال نیازی به دریافت اطلاعات شخصی مهمان نیست.

  • ممکن است مهمان برای ایجاد حساب کاربری و دسترسی به شبکه به تایید نیاز داشته باشد

در این پورتال اعتبار موردنیاز کاربر برای دسترسی به شبکه توسط اسپانسر تایید می‌شود. اسپانسر شخصی است که برای سازمان کار می‌کند و مسئولیت ایجاد حساب کاربری کاربر را به‌عهده دارد. در این حالت پس از ثبت نام مهمان، اعتبارنامه به ایمیل یا پیامکی که مهمان ثبت کرده ارسال می‌شود.

  • ممکن است اسپانسر شبکه حساب کاربری مهمان را ایجاد کرده باشد

در این پورتال کاربر مهمان حساب کاربری را به‌تنهایی و بدون تایید اسپانسر ایجاد می‌کند. دیگر هیچ احتیاجی به دریافت تائید از جانب اسپانسر‌های مالی شرکت یا کارکنان نیست؛ یک آدرس ایمیل و برخی اطلاعات شخصی برای دسترسی کافی است.

 ۵. ایمن‌سازی شبکه با EasyConnect

یکی دیگر از سوالاتی که شاید ذهن کاربران را درگیر کند، این است که نقش EasyConnect در امنیت cisco ise چیست؟

EasyConnect یکی از ویژگی‌ها و مزیت‌های cisco ise است که تا حدودی نادیده گرفته شده، اما فوق‌العاده جالب توجه است. بسیاری از شرکت‌ها تمایل دارند شبکه خود را بر اساس دسته‌های کاربران تقسیم کنند، اما شاید به‌خاطر پیچیدگی‌های فرایند مدیریت گواهی‌های مشتری، احراز هویت مبتنی بر گواهی با X802.1 را کنار بگذارند. EasyConnect در Cisco ISE جایگزینی برای X802.1 محسوب می‌شود. به این صورت که می‌تواند کاربر را به محض ورود به اکتیو دایرکتوری (AD) به‌صورت کاملا پویا در VLAN درست و امن قرار دهد.

استاندارد طلایی هنوز X802.1 است؛ اما EasyConnect برای برخی از مشتریان می‌تواند اولین قدم در جهت ایمن‌سازی شبکه باشد.

۶. برخورداری از پورتال‌ساز (PortalBuilder)

سیسکو ISE امکانی فراهم کرده تا تیم‌ها بتوانند پورتال دلخواه خود را بدون تخصص خاصی طراحی و ایجاد کنند. PortalBuilder یکی از سرویس‌های رایگان سیسکو است که با تحریک خلاقیت تیم‌ها، آنان را تشویق می‌کند صفحات وب را به‌صورت آفلاین ایجاد کرده و محتوا را برای تیم‌های شبکه Cisco ISE در دسترس قرار دهند.

۷. یکپارچه سازی اکوسیستم cisco ise

گفتگوی Network Access Control عمدتاً حول محور ایمن‌سازی شبکه در برابر کاربران می‌چرخد. سیسکو ISE از امنیت MAC (MACsec) نیز پشتیبانی می‌کند تا پیوندهای فیزیکی بین دستگاه‌های شبکه به صورت کاملا پویا ایمن شوند. به‌علاوه برای شناسایی و محدودکردن دستگاه‌های سرویس‌گیرنده‌ای که رفتار عجیبی از خود در شبکه نشان می‌دهند، از پشتیبانی خاصی برخوردار است؛ بدون آنکه به اجازه عامل خاصی در شبکه احتیاج داشته باشد.

۸. حذف دستگاه‌های غیرمجاز از شبکه

هر دستگاهی نباید اجازه دسترسی به شبکه را داشته باشد. سیسکو ISE به‌محض آنکه یکی از دستگاه‌های شبکه به سرقت برود، این امکان را به مدیر می‌دهد تا دسترسی دستگاه به شبکه را برای همیشه قطع کند.

کلام آخر

Cisco ISE یک زیرساخت لایه دسترسی و کنترل پذیرش شبکه است که با فرض قابل‌اعتماد بودن کاربران، دسترسی آن‌ها به شبکه را امکان‌پذیر می‌کند. این سیستم می‌تواند احراز هویت را در تمام شبکه‌های سیمی  و بی‌سیم به‌عهده گیرد و تایید کند هر دستگاهی که در حال حاضر به شبکه متصل است، در حقیقت اجازه دسترسی به شبکه را دارد. علاوه بر اینها قادر است نرم‌افزارهای شبکه را روی نقاط پایانی (اندپوینت‌ها) بررسی کرده و ضمن فراهم کردن قابلیت رویت و کنترل روی شبکه، اعمال سیاست، احراز هویت، شناسایی دستگاه‌ها و کنترل لایه دسترسی را به نحو احسن انجام دهد.

امیدواریم بعد از مطالعه این مقاله کاملا متوجه شده باشید که cisco ise چیست و استفاده از آن چه مزیت‌هایی دارد. اگر سوالات دیگری همچنان در ذهنتان بی‌پاسخ مانده یا اطلاعات بیشتری در این زمینه دارید، مشتاق شنیدن نظرات شما عزیزان هستیم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.