Контроль доступа к сети
Внедрение концепции Zero Trust на базе решения Cisco Identity Services Engine (ISE)
Zero Trust («нулевое доверие») — это парадигма безопасности, которая сочетает в себе строгую проверку личности и явное разрешение для каждого физического или юридического лица, пытающегося получить доступ или использовать сетевые ресурсы, независимо от того, находится ли это физическое или юридическое лицо “внутри” сетевого периметра предприятия или имеет удаленный доступ к этой сети.
Zero Trust и принцип наименьшей привилегии - жизненно важный принцип кибербезопасности, который решает эти проблемы. Он рекомендует предоставлять только минимальный уровень доступа к системе/сети на основе минимального уровня привилегий, необходимого для того, чтобы пользователи и конечные устройства могли выполнять свои задачи в соответствии с поставленными бизнес-целями. Путем контролирования доступа, который необходим только для достижения бизнес-результатов, снижает организационный риск и гарантирует соблюдение требований. Сложность современных сетей делает реализацию принципа наименьших привилегий сложной задачей. Не имея возможности постоянно идентифицировать и проверять конечные устройства сети, не рекомендуется контролировать доступ с помощью сегментированных зон доверия, поскольку это может привести к серьезным последствиям - отказу критически важных для бизнеса процессов.
Механизм Cisco Identity Services Engine (ISE) является ядром Вашего подхода к Zero Trust концепции. Он обеспечивает полную видимость, идентифицируя, классифицируя и собирая необходимый контекст о пользователях и конечных устройств. Он постоянно проверяет подлинность и аутентифицирует на основе Ваших политик безопасности. Авторизовывает с соответствующим уровнем доступа к сети на основе принципа наименьших привилегий для ограничения доступа, основанного только на потребностях их ролей или функций. ISE обеспечивает безопасный сетевой доступ для доверенных пользователей и конечных устройств к внутренним приложениям/ресурсам сети, необходимым для достижения бизнес-целей.
Mr. Style
Экосистема ISE позволяет проводить надлежащие и точные инвентаризации активов, которые используются для классификации конечных устройств в профилированные группы для автоматизированной реализации политик, чтобы обеспечить детальный контроль в сегментированных зонах доверия и обеспечить быстрое сдерживание угроз.
Преимущества
- Вы получите полное представление с помощью контекста и контроля: Узнаете кто, что, где и как подключаются конечные устройства и пользователи к Вашей сети. Возможность внимательно изучить устройства, чтобы обеспечить соответствие требованиям ИБ и ограничить риск, с использованием агентов или без них.
- Расширение концепции Zero Trust для сдерживания угроз: Программно-определяемая сегментация сети сокращает площадь атаки, ограничивает распространение программ-вымогателей и обеспечивает быстрое сдерживание угроз.
- Повышение ценности существующих решений: Интегрируйтесь с решениями Cisco от сторонних производителей, чтобы внедрить активную защиту в решения пассивной безопасности и повысить рентабельность инвестиций (ROI).
- Будущее доказательство вашей сетевой безопасности: ISE обеспечивает основу для управления политикой в Cisco DNA Center и является основой для SD-Access.
Как ISE обеспечивает нулевое доверие
Аутентификация, авторизация и учет (AAA)
В основе ISE лежит идея аутентификации пользователей и устройств, а также применения ISE соответствующей политики авторизации доступа к сети с использованием таких протоколов, как EAP и RADIUS. Сетевые устройства передают статус сессии конечного устройства в ISE с помощью метрик протокола RADIUS. ISE получает доступ к деталям всех устройств, подключенных к сети, и их местоположению. Администратор ISE может разрешить или запретить доступ определенному пользователю или устройству или определенной группе ресурсов на основе конфигураций политик ISE.
Методики аутентификации
IEEE 802.1XСтандарт 802.1x определяет протокол контроля доступа и аутентификации на основе «клиент-сервер» архитектуры, который предотвращает подключение неавторизованных клиентов к локальной сети через общедоступные порты, если они не прошли надлежащую проверку подлинности. Сервер аутентификации (ISE) проверяет подлинность каждого клиента, подключаемого к портам коммутатора, прежде чем предоставить услуги, предлагаемые коммутатором или локальной сетью. Суппликанты на конечных устройствах используют протокол расширенной аутентификации (EAP) для передачи учетных данных, таких как пароли или сертификаты, в ISE. Данные EAP обычно передаются по 802.1x по Ethernet сетям (EAP по локальной сети или просто EAPoL) и через RADIUS в IP-сетях. ISE оценивает идентификатор конечного устройства и указывает соответствующему сетевому устройству о том, открывать порт или нет, применить VLAN или ACL, а может как VLAN, так и ACL которые должны быть применены для сеанса доступа к этой конечной точке.
MAC Authentication Bypass (MAB)
MAB обеспечивает управление доступом, используя MAC-адрес, который получил на порте куда подключилось конечное устройство. Порт с поддержкой MAB на коммутаторе может быть динамически включен или отключен в зависимости от MAC-адреса подключившегося к нему устройства. MAC - адреса конечных устройств должны быть занесены в специальный список в базе данных, которая находится в ISEили на внешних сервисах, чтобы предоставить доступ к сети. MAB по большому счет не является методом аутентификации. Он больше функционирует как замена аутентификации, когда конечное устройство не может выполнить аутентификацию 802.1x и не имеет суппликанта. В тоже время MAB может защитить сеть от несанкционированного доступа, но он не является безопасной альтернативой 802.1x, поскольку MAC-адреса можно легко подделать.
Веб-аутентификация
Веб-аутентификация обычно используется для подключения гостевых пользователей к интернету. Cisco предоставляет несколько вариантов: локальную веб-аутентификацию (LWA) и центральную веб-аутентификацию (CWA). В первом случае веб-страницы размещаются на сетевых устройствах, таких как коммутатор или контроллер БЛВС, а во втором все веб-порталы размещаются централизованно на ISE. CWA, который является более предпочтительным методом, обычно представлена в виде MAB-сессии с перенаправлением URL-запросов на авторизацию. До тех пор, пока соответствующее конечное устройство не будет успешно аутентифицировано, веб-трафик с него перенаправляется в ISE через портал входа, где гости могут ввести свои учетные данные. На данном портале можно произвести СМС авторизацию или простое внесение данных ваучеров, выданных администратором. При помощи ISE можно также организовать публичную Wi-Fi сеть, с соблюдением законодательства РФ о предоставлении публичного доступа в интернет.
Cisco ISE может быть внедрен, как и большинство современных решений виртуально или физически как отдельный сервер.
Подводя итоги, можно выделить ключевые моменты, которые ISE позволяет реализовать:
- Быстро и просто создавать гостевой доступ в выделенной WLAN;
- Обнаруживать BYOD устройства (например, домашние ПК сотрудников, которые они принесли на работу);
- Централизовать и применять политики безопасности к доменным и не доменным пользователям с помощью меток групп безопасности SGT (технология TrustSec);
- Проверять компьютеры на наличие установленного определенного ПО и соблюдение стандартов (posturing);
- Классифицировать и профилировать оконечные и сетевые устройства
- Предоставлять видимость оконечных устройств;
- Отдавать журналы событий logon/logoff пользователей, их учетки (identity) на NGFW для формирования user-based политики;
- Нативно интегрироваться с Cisco Stealth Watch и вносить в карантин подозрительные хосты, участвующие в инцидентах безопасности
Схема общей концепции Cisco ISE
Если у Вас возникли вопросы по данному продукту или же Вам требуется помощь в тестировании продукта или заказа пилотного проекта, заполните форму ниже.
