دریافت مقالات

سرویس دهنده ها

بررسی مفهوم Cisco Identity Services Engine یا ISE – قسمت اول

1079 مشاهده ۲۹ شهریور, ۱۳۹۶ 20

بررسی مفهوم Cisco Identity Services Engine یا ISE

با استفاده از راهکار Cisco Identity Services Engine یا به اختصار Cisco ISE می‌توان کاربران و تجهیزات متصل به شبکه سازمانی را از یک موقعیت مرکزی، مشاهده و کنترل نمود.

این امر بدیهی است که امروزه برای مدیریت و تامین امنیت در سازمان‌های سیار، به رویکردی متفاوت نیاز است. Cisco ISE با ایجاد قابلیت دید بسیار مطلوب از کاربران و تجهیزات می‌تواند تجربه تحرک‌پذیری را برای سازمان‌ها فراهم نماید. همچنین داده‌های مهم ساختاری را با راهکارهای یکپارچه فناوری به اشتراک بگذارد. با قابلیت یکپارچه‌سازی، تجمیع و خودکارسازی مربوط به این راهکار می‌توان امکان شناسایی، محدود ساختن و اصلاح سریع‌تر تهدیدات را فراهم کرد.

شرکت امن پایه ریزان کارن APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5

مزایای استفاده از Cisco ISE

Cisco ISE به ارائه یک رویکرد کلی و جامع برای امنیت دسترسی به شبکه می‌پردازد. کاربران با پیاده‌سازی این تکنولوژی از مزایای زیادی بهره‌مند می‌شوند که در زیر به برخی از آنها اشاره شده است.

کسب‌وکار ایمن و دسترسی مبتنی بر ساختار

با بهره‌مندی از ISE می‌توان کسب‌وکار ایمن و دسترسی مبتنی بر ساختار را مطابق با Policyهای هر سازمان فراهم نمود. ISE این قابلیت را داراست که کاربران، Endpointها و سایر ویژگی‌ها مانند زمان، موقعیت مکانی و نوع یا شیوه دسترسی را تطبیق داده و یک هویت ساختاری تمام عیار و کامل را ایجاد نماید. این هویت، برای اعمال آن دسته از Policyهایی که به منظور ایجاد دسترسی ایمن، مورد استفاده قرار می گیرد، پارامترهای هویتی و نقش سازمانی را مورد بررسی قرار می دهد. بدین ترتیب مدیران IT می‌توانند کنترل دقیقی را نسبت به افراد یا تجهیزات مجاز در شبکه اعمال نمایند؛ ضمن اینکه از چندین مکانیسم برای اجرای Policy استفاده می‌کنند که به عنوان نمونه می‌توان از راهکار Cisco TrustSec برای بخش‌بندی مبتنی بر نرم‌افزار نام برد.

افزایش قابلیت دید شبکه

این قابلیت با استفاده از یک Interface ساده و انعطاف‌پذیر حاصل می‌شود. در حال حاضر این راهکار می‌تواند سابقه‌ای از تمام Endpointهای روی شبکه با قابلیت دید مرتبط را ذخیره نماید. به علاوه، Streamlined Visibility Wizard این ویژگی را داراست که مقادیر مربوط به قابلیت دید نسبت به تمامی Endpointها را در شبکه مورد نظر نشان دهد.

اجرای Policyها در سطح گسترده

با اجرای Policyها در سطحی وسیع می‌توان قواعد دسترسی را به شکلی ساده و با  انعطاف‌پذیری زیاد تعریف نمود تا در نهایت زمینه‌ای برای تامین نیازهای همواره در حال تغییر کسب‌وکار فراهم گردد. تمام این اقدامات از یک موقعیت مکانی مرکزی صورت می‌گیرد که روند اجرا در سراسر شبکه و زیرساخت امنیت را تعمیم می‌دهد. بنابراین مدیران IT می‌توانند Policy را به صورت متمرکز تعریف نمایند تا میان کاربران و تجهیزات مهمان (Guest) و کاربران و تجهیزات ثبت شده، تمایز ایجاد ‌کنند. صرف نظر از موقعیت دسترسی، کاربران و Endpointها دارای دسترسی مجاز بر اساس ساختار خود می‌باشند.

ساده‌ نمودن تجربه کاربران مهمان (Guest)

با این قابلیت می‌توان سطوح متعددی از دسترسی را در شبکه فراهم نمود. کاربران می‌توانند از Coffee Shop Hotspot، دسترسی ثبت شده به صورت Self-Service و یا دسترسی تضمین شده برای دستیابی به منابع خاص استفاده نمایند. با ابزارهای بصری دینامیک موجود در این راهکار می‌توان یک پیش‌نمایش‌ Real-Time از صفحات پورتال و مراحل طی شده توسط کاربر ارائه نمود. همچنین می‌توانند چگونگی تاثیر تغییرات بر ساختار حساب‌های کاربری Guest و Self-Registration و  تایید دسترسی به ایمیل و SMS را مشاهده نمایند.

قابلیت Onboarding تجهیزات به صورت Self-Service

از این قابلیت برای اجرای BOYD یا Guest Policy در سازمان‌ها استفاده می‌شود. بنابراین کاربران می‌توانند تجهیزات را مطابق با Policy‌های تعریف شده توسط مدیران IT، مدیریت نمایند. به علاوه، کارکنان IT می‌توانند به قابلیت آماده‌سازی، پروفایل‌بندی و تعیین وضعیت به صورت خودکار دست یابند که مستلزم مطابقت با Policyهای امنیتی می‌باشد. در عین حال، کارکنان می‌توانند بدون نیاز به کمک دستیاران IT، به تجهیزات خود در شبکه دسترسی یابند.

  • کنسول واحد مدیریت

از این کنسول برای ارائه ساده‌تر Policy، قابلیت دید و گزارش‌گیری در سراسر شبکه‌های سازمان استفاده می‌گردد. بنابراین کارکنان IT می‌توانند تطبیق‌پذیری برای حسابرسی و بررسی، الزامات قانونی و دستورالعمل‌های قوانین دولتی برای استانداردهای IEEE 802.1X را به سادگی تایید نمایند.

  • بررسی خودکار تطبیق‌پذیری تجهیزات

از این قابلیت برای بررسی وضعیت تجهیزات و گزینه‌های اصلاحی با کمک Cisco AnyConnect Unified Agent استفاده می‌شود. به علاوه اینکه AnyConnect Agent به ارائه‌ی سرویس‌های پیشرفته VPN برای بررسی لپ‌تاپ و دسکتاپ می‌پردازد. همچنین ISE این قابلیت را داراست که با Vendorهای مدیریت تحرک‌پذیری سازمان (EMM) و مدیریت تجهیزات سیار و پیشرو در بازار  (MDM) ادغام گردد. با این فرآیند یکپارچه‌سازی، قبل از ایجاد دسترسی برای تجهیزات سیار به شبکه می‌توان تضمین نمود که این تجهیزات ایمن و منطبق با Policyها می‌باشند.

  • اشتراک‌گذاری اطلاعات کاربران و تجهیزات

داده‌های ساختاری دینامیک از سراسر شبکه با استفاده از این قابلیت ایجاد می‌شوند. Cisco pxGrid Technology، به عنوان یک پلتفرم قدرتمند شناخته می‌شود که برای اشتراک‌گذاری میزان زیادی از داده‌های ساختاری در مورد کاربران و تجهیزات متصل به شبکه با راهکارهای ارائه شده توسط سیسکو و تکنولوژی‌های آن به کار می‌رود. شرکای ISE در حوزه امنیت و شبکه از این داده‌ها برای بهبود قابلیت‌های دسترسی به شبکه و تسریع قابلیت‌های شناسایی، انتقال و اصلاح تهدیدات شبکه در راهکار استفاده می‌نمایند.

پشتیبانی و تطبیق‌پذیری پلتفرم

ISE به عنوان یک Appliance فیزیکی یا مجازی در دسترس می‌باشد که در هر دو صورت برای ایجاد کلاسترهای ISE جهت ارائه به سازمان‌های بزرگتر به کار می‌روند و قابلیت توسعه (Scale)، افزونگی (Redundancy) و Failover مورد نیاز برای یک سیستم کسب‌وکار مهم در سازمان را ارائه نماید.

Applianceهای مجازی ISE بر روی VMware ESXi 5.x, 6.x یا KVM بر روی Red Hat 7.x پشتیبانی می‌شوند. پیاده‌سازی محیط عملیاتی باید بر روی سخت‌افزاری اجرا شود که معادل یا فراتر از پیکربندی پلتفرم‌های فیزیکی ISE موجود باشد. برای محیط‌های تست یا لابراتوار که سرویس‌های محصول ارائه نمی‌شود، این راهکار را می توان بر روی ساختارهای مجازی که دارای حداقل 4 گیگابایت حافظه و دست کم 200 گیگابایت فضایِ در دسترس برای هارد درایو باشد، پیاده سازی نمود.

بررسی مبحث Licensing در Cisco ISE

در حال حاضر، هفت پکیج License مطابق شکل زیر برای این محصول در دسترس می‌باشد. سیسکو از سرویس‌ Base Licenseهای مرتبط با Cisco Smart Net Total Care Software Application Support به همراه Upgradeها پشتیبانی می‌نماید. همچنین سیسکو این قابلیت را داراست که از لایسنس‌های مدت دار برای سرویس‌های مربوطه پشتیبانی نماید که در واقع شامل لایسنس‌های مجزای با مدت زمان معین می‌باشد.

طبق شکل زیر، چهار Primary ISE License قابل دسترس می‌باشد. کاربران با یک مدل انعطاف‌پذیر می‌توانند تعداد متفاوتی از Licenseها را جهت دستیابی به سرویس‌های موردنیاز خود انتخاب نمایند.

بررسی مفهوم Cisco Identity Services Engine یا ISE

پکیج‌های لایسنس ISE

 ــــــــــــــــــــــــــــ

بررسی مفهوم Cisco Identity Services Engine یا ISE – قسمت اول

بررسی مفهوم Cisco Identity Services Engine یا ISE – قسمت دوم (پایانی)

مطلب مفید بود؟


?