深入解析Cisco ISE:零信任网络访问与安全策略管理平台

Cisco ISE是一种安全策略管理平台,提供终端用户与设备的网络访问控制,支持零信任架构、身份管理、威胁遏制与合规策略,适用于有线、无线及VPN环境,具备集中化管理与自动化分析能力。

什么是Cisco ISE?

Cisco身份服务引擎(ISE)是一种安全策略管理平台,为终端用户和设备提供安全的网络访问。Cisco ISE支持为连接到网络基础设施(如路由器和交换机)的用户和端点创建并执行安全与访问策略。其目标是帮助组织简化跨设备和应用程序的身份管理,做出主动治理决策,并在IT环境中实施零信任模型。

Cisco ISE的用途

Cisco身份服务引擎将网络访问控制(NAC)、零信任架构以及身份和访问控制策略工具整合到一个平台中。组织可以使用Cisco ISE更精确地定义和执行访问策略,并满足合规和报告要求。通过在分布式网络上为不同用户和设备群体启用细粒度、策略驱动的权限,Cisco ISE作为认证、授权和计费(AAA)的整合系统运作。这样做旨在降低安全风险,保护IT资产和数据免受网络攻击、数据泄露和其他不良事件的影响。

Cisco ISE可以通过与其他安全产品集成来进一步加强网络安全并简化安全策略管理。它可以与其他Cisco和非Cisco工具共享用户和设备身份以及威胁和漏洞信息,以共同识别威胁、隔离(或移除)受感染的端点并保护业务关键数据。

除了策略执行外,IT管理员还可以使用ISE提高网络可见性、授予网络访客访问权限,并执行威胁遏制、工具集成、设备管理和自带设备(BYOD)管理。

增强的网络可见性不仅能够查看哪些用户和设备已连接,还能查看已安装和运行的应用程序。这种可见性有助于加强网络安全并减少攻击面的大小。这使得IT管理员能够遏制网络中的恶意软件等威胁,最小化其横向移动并减少损害范围。

Cisco ISE可以对有线、无线和虚拟专用网络(VPN)用户进行身份验证。它可以识别和记录用户的身份、位置和访问历史,并根据这些独特属性分配不同的服务。管理员还可以为网络设备配置IPv6。

该平台还可以通过整合网络基础设施(如交换机、路由器和防火墙)的管理来帮助组织简化其服务操作。这减轻了IT团队的操作负担,并支持更一致的策略执行。

综上所述,这些特性和功能使Cisco ISE非常适合零信任策略。通过该平台,组织可以在有线和无线网络上实施有效、高度细粒度的、基于身份的访问管理。

Cisco ISE的工作原理

随着远程访问网络的用户和设备数量增加,保护组织数据免受网络安全漏洞的影响变得更加复杂。管理员可以使用Cisco身份服务引擎来控制谁有权访问其网络,并确保授权、符合策略的设备获得连接。

Cisco ISE旨在仅允许受信任的用户和设备访问企业网络上的资源。它与其他网络设备协作,为用户和设备创建上下文身份。组织随后可以使用这些全面的身份来执行安全访问策略。

该平台从多个来源获取信息,以自动识别和分类设备。通过被动网络监控和遥测,Cisco ISE收集端点属性数据。其分析器功能随后将这些属性传递给分析器。在这里,所有已知端点根据其策略和身份组进行分类。

使用其Wi-Fi边缘分析功能,Cisco ISE从Apple、Intel和Samsung设备获取数据,以根据设备型号、操作系统版本和固件等属性进行增强分析。此外,它使用预定义和自定义设备模板自动将管理员定义的身份关联到连接的端点,并为特定类型的端点关联授权策略。

Cisco ISE部署

Cisco身份服务引擎可作为物理或虚拟设备使用。虚拟设备可以在VMware ESXi 6.5、6.7和7.x、Red Hat 7.x上的KVM、Microsoft Hyper-V(在Microsoft Windows Server 2012R2及更高版本上)以及许多其他本地和云平台上运行。组织可以使用任一类型的部署来创建集群。这些集群提供了企业网络所需的规模、冗余和故障转移能力。

组织还可以灵活地以独立或分布式模式部署Cisco ISE。在分布式部署(也称为高可用性或冗余部署)中,一台机器承担主要角色,另一台机器承担次要角色并被视为备份。

此外,Cisco ISE架构可以部署为Cisco所称的管理、监控和故障排除、策略服务和pxGrid角色。这些角色分配给每个ISE节点,构成单个虚拟或物理设备。管理角色为网络配置和管理的所有核心功能提供全面的整合门户。其他角色提供更专业的功能,以创建完全可扩展的集成系统。

Cisco ISE的另一个可用节点是内联状态节点。网络管理员可以使用此节点执行策略并处理其他网络设备无法适应的授权变更请求。

主要Cisco ISE特性

Cisco ISE通过以下特性帮助保护网络免受网络攻击:

  • 访问控制:提供多种访问控制选项,包括可下载的访问控制列表(ACL)、虚拟LAN、URL重定向和安全组ACL,以减少攻击面并加强整体网络安全。
  • 集中管理:管理员可以从单一、用户友好的GUI配置、管理和验证用户和设备。控制台的统一视图还简化了网络管理。
  • Cisco DNA Center集成:此网络控制器和分析平台与ISE集成,简化了各种Cisco ISE服务的设置。它还有助于策略设计、配置和分配给用户和应用程序,而不是网络设备。此外,它使管理员能够部署基于组的访问控制并根据业务需求实施网络分段。
  • 上下文身份和业务策略:基于规则、属性驱动的策略模型使实施与业务相关的访问控制策略变得容易。管理员可以创建如认证协议、设备身份和状态验证等属性,并根据需要重复使用。
  • 动态重新认证时间:管理员可以为不需要持续访问的设备创建临时策略。指定期限到期后,设备将失去网络认证。
  • 密码控制:管理员可以编辑密码列表并禁用不再需要的密码,以确保不间断地符合安全标准。
  • 设备分析:Cisco ISE可以创建自定义设备模板,自动检测、分类和管理连接端点的身份。
  • 访客生命周期管理:内置支持热点、赞助、自助服务和其他访问工作流,加上实时可视化流程,消除了实施和自定义访客网络访问的复杂性。
  • IPv6支持:Cisco ISE为所有基于RADIUS和TACACS+的网络设备准备就绪IPv6。
  • 监控和故障排除:ISE用户可以访问内置控制台,获取网络监控、报告和故障排除数据的详细报告(历史和实时)。

此外,Cisco ISE的其他关键特性包括:

  • 通用策略自动化:Cisco ISE充当通用翻译器,使网络架构的不同部分能够相互理解,无论它们是传统还是下一代元素。
  • PxGrid Direct增强:这些改进使组织能够立即从PxGrid Direct连接器同步数据,确保快速数据库更新。
  • 无PAC通信:ISE通常使用受保护的访问凭据(PAC)建立加密的TLS隧道。Cisco ISE 3.4引入了无PAC通信,以简化ISE和Cisco TrustSec设备之间的通信。
  • AI/ML分析和多因素分类:Cisco ISE可以快速为相同的未知端点创建配置文件和规则,以简化管理并提高安全性。
  • 安全组标签:SGT简化了交换机、路由器和其他网络设备的分段和管理。

Cisco ISE的好处

Cisco身份服务引擎提供以下好处:

  • 集中网络访问控制(NAC):所有组织的网络访问点都可以从一个集中位置控制,减少管理开销并增强安全性。
  • 简化的网络可见性:ISE存储连接到网络的所有端点和用户的详细属性历史,确保对整个网络的全面实时可见性。
  • 威胁遏制:ISE将端点与用户、位置、威胁和漏洞等属性匹配,使管理员能够选择允许谁和什么设备进入网络。
  • 零信任实施:组织可以轻松实施零信任网络架构,确保安全的网络访问,降低有害事件的风险,并保护业务完整性和连续性。
  • 轻松的管理访问控制和审计:为网络中的每次变更维护审计跟踪,使管理员能够轻松进行审计和故障排除。
  • 对域控制器(DC)的更多控制:Cisco ISE维护Active Directory站点感知,并确保DC始终可用。
  • 自动化合规:Cisco ISE使用基于持久客户端代理、临时代理或查询外部端点管理工具来执行所需的端点合规策略。

Cisco ISE许可

Cisco ISE基于订阅许可,但可以下载90天免费评估许可,最多支持100个端点。评估许可包括完整许可的所有功能,并允许管理员在评估模式下设置有限部署。当许可到期时,管理员只能在Cisco ISE管理员门户中查看许可窗口。可以请求延长许可或覆盖更多端点。

Cisco ISE的完整版本基于订阅许可,期限为一年、三年和五年。Cisco提供三个级别的许可:Essentials、Advantage和Premier。

Essentials是基础包,Premier是最高级别。所有Cisco ISE许可包都采用嵌套模型设置,意味着Essentials和Advantage级别的所有功能都出现在Premier版本中,而Essentials版本的所有功能都出现在Advantage级别中。简而言之,更高级别的许可包括所有较低级别许可的功能。

Essentials包括以下特性和功能:

  • AAA和802.1x。
  • 支持具有RADIUS会话的端点的访客功能。
  • Easy Connect(PassiveID)。

Advantage许可包括Essentials许可的所有特性和功能,以及以下内容:

  • 授权策略中的端点分析分类。
  • BYOD支持。
  • 用于具有RADIUS会话的端点的PxGrid、PxGrid Cloud和PxGrid Direct。
  • 基于组的策略(TrustSec)。
  • 端点分析可见性和执行。
  • 自适应网络控制策略和授权策略中的用户定义网络属性。

Premier许可包含最多的功能,包括以上所有内容以及以下内容:

  • 移动设备管理可见性和执行。
  • 状态可见性。
  • 合规可见性。
  • 以威胁为中心的NAC。
  • 使用Cisco软件定义访问进行分段。
  • 带有代理的Cisco AnyConnect智能VPN/零信任网络访问。

所有订阅在许可期限(12、36或60个月)结束时自动续订额外的12个月期限。为防止自动续订,客户必须在初始订单时取消选择该选项。他们还可以选择在新期限开始日期前最多60天取消续订。

了解其他提高网络可见性和安全性的方法,例如包括入侵检测系统、自动化或执行支持。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次