Tweet
Vì Công cụ dịch vụ nhận dạng (ISE) của Cisco được định vị để biết chính xác ai và mạng nào tại bất kỳ thời điểm nào, cũng như chỉ định các cấp truy cập và phân công ngữ cảnh khác nhau với các thẻ nhóm bảo mật, nên đây là công cụ bảo mật hoàn hảo trung tâm của một hệ sinh thái an ninh.
Có rất nhiều công cụ có thể tồn tại trong hộp công cụ bảo mật của bạn ở chế độ bảo mật của bạn các công cụ phòng thủ mối đe dọa, máy quét đánh giá lỗ hổng, quản lý thiết bị di động, v.v. Hầu hết các công cụ này không biết danh tính của người dùng, chỉ có danh tính của điểm cuối. Những công cụ khác này có thể trở nên có giá trị hơn nữa bằng cách tích hợp vào một hệ sinh thái bảo mật đầy đủ với ISE.
Việc báo cáo trong SIEM sẽ có giá trị hơn nếu nó cho thấy người dùng nào đã tham gia vào sự kiện bảo mật, thay vì chỉ địa chỉ IP hoặc địa chỉ MAC? Còn khi các công cụ phòng chống xâm nhập hoặc các giải pháp phòng thủ mối đe dọa của bạn xác định hoạt động độc hại trên mạng thì sao? Sẽ thật tuyệt nếu họ có thể kích hoạt thứ gì đó sẽ thay đổi cách xử lý điểm cuối trên mạng? Với một trình kích hoạt duy nhất, có thể thay đổi mức truy cập mạng của điểm cuối, lưu lượng truy cập của điểm cuối có thể được kiểm tra sâu hơn khi đi qua Thiết bị bảo mật thích ứng của Cisco (ASA), Thiết bị bảo mật web của Cisco (WSA) có thể áp dụng SSL khác chính sách giải mã, và nhiều hơn nữa.
Bạn đã đọc về ISE tích hợp với các nhà quản lý thiết bị di động (MDM) và một chút về cách ISE có thể cung cấp danh tính thụ động cho các đối tác hệ sinh thái thông qua các công nghệ như pxGrid, nhưng nó cũng có thể cung cấp một điểm kiểm soát chính sách duy nhất để ngăn chặn mối đe dọa và bối cảnh. cài đặt.
The Many Integration Types of the Ecosystem
Một tích hợp có thể là ISE chia sẻ dữ liệu ra bên ngoài hoặc có thể là ISE điều khiển lưu lượng truy cập tới một giải pháp khác. Phương thức tích hợp có thể là với ISE nhận thông tin gửi đến để sử dụng trong các chính sách truy cập mạng riêng của ISE, hoặc thậm chí trao đổi dữ liệu môi giới giữa các thành viên khác trong hệ thống bảo mật.
MDM Integration
Trong Chương 4, Truy cập mạng mở rộng với ISE, bạn đọc về BYOD và tích hợp giữa ISE và các giải pháp quản lý thiết bị di động. Sự tích hợp đó có hai mặt: ISE cung cấp sự chuyển hướng đến dịch vụ MDM để đưa lên máy bay, nhưng dịch vụ MDM cũng có thể cung cấp bối cảnh trong bối cảnh của Cameron cho ISE. Nói cách khác, dịch vụ MDM cho ISE biết về các điểm cuối di động, sự tuân thủ của điểm cuối với các chính sách bảo mật được đặt trong MDM (tuân thủ cấp vĩ mô), trạng thái mã hóa hoặc khóa pin và hơn thế nữa (tuân thủ cấp vi mô).
Việc tích hợp này sử dụng giao diện lập trình ứng dụng hai chiều (API) cụ thể giữa ISE và giải pháp MDM (dịch vụ đám mây hoặc thiết bị). API này là duy nhất và được tạo chỉ để tích hợp MDM.
Ngăn chặn mối đe dọa nhanh chóng
MDM là một trong những loại tích hợp đầu tiên và phổ biến nhất cho ISE. Trong thời trang tiếp thị thực sự của Cisco, loại tích hợp tiếp theo này, Rapid Threat Containerment, đã trải qua một số tên và sáng kiến tiếp thị khác nhau.
Có một tính năng được thêm lại trong ISE 1.1 được gọi là Dịch vụ bảo vệ điểm cuối (EPS). EPS cung cấp API cho phép các ứng dụng khác khởi tạo ba hành động chống lại điểm cuối dựa trên địa chỉ IP hoặc địa chỉ MAC:
Nhiều tích hợp đầu tiên với ISE đã sử dụng EPS, bao gồm tích hợp ban đầu với Lancope StealthWatch (nay là Cisco Stealthwatch), trong đó điểm cuối bị cách ly khỏi giao diện người dùng StealthWatch.
Hình 6-1 minh họa một luồng với Stealthwatch khởi tạo kiểm dịch EPS
Luồng được minh họa trong Hình 6-1 cho thấy một điểm cuối được nhận vào mạng với quyền truy cập đầy đủ. Quản trị viên Stealthwatch bắt đầu cách ly và Stealthwatch kết nối với ISE bằng API API REST, yêu cầu ISE cách ly điểm cuối với địa chỉ IP cụ thể.
ISE sau đó thêm điểm cuối vào danh sách EPS và đặt cờ trên đối tượng điểm cuối và gửi CoA tới mạng.
Khi có yêu cầu truy cập mới, một quy tắc được tạo với điều kiện EPSStatus sẽ được khớp. Hình 6-2 cho thấy điều kiện đó.
Ủy quyền mạng kết quả có thể cung cấp quyền truy cập hạn chế hoặc thậm chí đặt Nhóm bảo mật mới Thẻ (SGT) có thể được xử lý khác nhau tại các điểm linh tinh trong mạng, chẳng hạn như Công cụ bảo mật web.
Chà, cuối cùng thì EPS quá cứng nhắc. Nó chỉ cung cấp cho một phân loại hành động duy nhất (Kiểm dịch). Cần linh hoạt hơn để cung cấp nhiều tùy chọn khác nhau, nhưng cũng được tích hợp vào công nghệ chia sẻ bối cảnh mới này mà Cisco đang tạo ra có tên pxGrid. Vì vậy, nó cần phải phát triển thành phiên bản EPS EPS 2.0 hoặc một cái gì đó tương tự.
Vì vậy, ISE 1.3 đã giới thiệu một thứ mới có tên là Điều khiển mạng thích ứng (ANC), đây là một bước tiến lớn bằng cách đổi tên EPS thành ANC. Được rồi, hy vọng sự mỉa mai là rõ ràng ở đó.
ISE 1.4 thực sự đã thêm chức năng mới vào ANC. Mặc dù vẫn hỗ trợ các lệnh gọi API cũ cho các mục đích tương thích ngược, nó cũng đã thêm một API mới với các nhãn khác nhau có sẵn, bao gồm khả năng tạo nhãn của riêng bạn.
ISE gọi các nhãn này là các chính sách ANC,, nhưng không có chính sách nào đối với chúng. Chính sách ANC là thẻ hoặc nhãn được gán cho đối tượng điểm cuối và có thể được sử dụng trong chính sách ủy quyền để gọi một số hành động, chẳng hạn như thay đổi cấp ủy quyền và gán SGT mới.
Mặc dù bạn có thể thêm nhiều nhãn khác nhau, nhưng chỉ có ba lựa chọn cho các chính sách ANC: Kiểm dịch, Tắt máy và Cổng Bounce, xác định loại CoA được sử dụng khi nhãn được áp dụng cho điểm cuối.
Để tạo chính sách ANC (nhãn a.k.a.), điều hướng đến Operations > Adaptive Network Control > Policy List và nhấp vào Add.. Hình 6-3 hiển thị trang kết quả với menu thả xuống Hành động mở.
Bạn có thể tạo nhiều chính sách ANC và mỗi chính sách có thể chứa một hoặc nhiều hành động. Mỗi ANC
chính sách có thể được liên kết với một ủy quyền khác. Ví dụ: bạn có thể kết thúc bằng các chính sách ANC, chẳng hạn như:
Vì vậy, bây giờ bạn có Dịch vụ bảo vệ điểm cuối được đổi tên thành Điều khiển mạng thích ứng. Sau đó, Điều khiển mạng thích ứng có chức năng mới trong ISE 1.4. Sau đó, tiếp thị bảo mật của Cisco được tham gia và đưa ra một quy ước đặt tên mới để đề cập đến toàn bộ hệ thống bảo mật tích hợp nơi mọi sản phẩm bảo mật của Cisco có thể thực hiện thông qua một sản phẩm bảo mật khác của Cisco.
Tên đó là Ngăn chặn Đe dọa Nhanh. Bạn có các giải pháp như: Ngăn chặn mối đe dọa nhanh chóng với Cisco Stealthwatch và Công cụ dịch vụ nhận dạng và Ngăn chặn mối đe dọa nhanh chóng với Trung tâm quản lý hỏa lực của Cisco và Công cụ dịch vụ nhận dạng.
Mặc dù ISE thường là trung tâm của một hệ sinh thái bảo mật, danh mục Ngăn chặn Mối đe dọa Nhanh bao gồm nhiều hơn là chỉ tích hợp với ISE. Có các giải pháp như Ngăn chặn mối đe dọa nhanh chóng với Trung tâm quản lý hỏa lực và Cisco Stealthwatch, Firepower và Cisco Tetration, và nhiều hơn nữa. Các hành động được thực hiện bằng Phản hồi Đe dọa của Cisco cũng là một phần của ô Ngăn chặn Mối đe dọa Nhanh (không có ý định chơi chữ).
Crystal clear, right?
Có rất nhiều công cụ có thể tồn tại trong hộp công cụ bảo mật của bạn ở chế độ bảo mật của bạn các công cụ phòng thủ mối đe dọa, máy quét đánh giá lỗ hổng, quản lý thiết bị di động, v.v. Hầu hết các công cụ này không biết danh tính của người dùng, chỉ có danh tính của điểm cuối. Những công cụ khác này có thể trở nên có giá trị hơn nữa bằng cách tích hợp vào một hệ sinh thái bảo mật đầy đủ với ISE.
Việc báo cáo trong SIEM sẽ có giá trị hơn nếu nó cho thấy người dùng nào đã tham gia vào sự kiện bảo mật, thay vì chỉ địa chỉ IP hoặc địa chỉ MAC? Còn khi các công cụ phòng chống xâm nhập hoặc các giải pháp phòng thủ mối đe dọa của bạn xác định hoạt động độc hại trên mạng thì sao? Sẽ thật tuyệt nếu họ có thể kích hoạt thứ gì đó sẽ thay đổi cách xử lý điểm cuối trên mạng? Với một trình kích hoạt duy nhất, có thể thay đổi mức truy cập mạng của điểm cuối, lưu lượng truy cập của điểm cuối có thể được kiểm tra sâu hơn khi đi qua Thiết bị bảo mật thích ứng của Cisco (ASA), Thiết bị bảo mật web của Cisco (WSA) có thể áp dụng SSL khác chính sách giải mã, và nhiều hơn nữa.
Bạn đã đọc về ISE tích hợp với các nhà quản lý thiết bị di động (MDM) và một chút về cách ISE có thể cung cấp danh tính thụ động cho các đối tác hệ sinh thái thông qua các công nghệ như pxGrid, nhưng nó cũng có thể cung cấp một điểm kiểm soát chính sách duy nhất để ngăn chặn mối đe dọa và bối cảnh. cài đặt.
The Many Integration Types of the Ecosystem
Một tích hợp có thể là ISE chia sẻ dữ liệu ra bên ngoài hoặc có thể là ISE điều khiển lưu lượng truy cập tới một giải pháp khác. Phương thức tích hợp có thể là với ISE nhận thông tin gửi đến để sử dụng trong các chính sách truy cập mạng riêng của ISE, hoặc thậm chí trao đổi dữ liệu môi giới giữa các thành viên khác trong hệ thống bảo mật.
MDM Integration
Trong Chương 4, Truy cập mạng mở rộng với ISE, bạn đọc về BYOD và tích hợp giữa ISE và các giải pháp quản lý thiết bị di động. Sự tích hợp đó có hai mặt: ISE cung cấp sự chuyển hướng đến dịch vụ MDM để đưa lên máy bay, nhưng dịch vụ MDM cũng có thể cung cấp bối cảnh trong bối cảnh của Cameron cho ISE. Nói cách khác, dịch vụ MDM cho ISE biết về các điểm cuối di động, sự tuân thủ của điểm cuối với các chính sách bảo mật được đặt trong MDM (tuân thủ cấp vĩ mô), trạng thái mã hóa hoặc khóa pin và hơn thế nữa (tuân thủ cấp vi mô).
Việc tích hợp này sử dụng giao diện lập trình ứng dụng hai chiều (API) cụ thể giữa ISE và giải pháp MDM (dịch vụ đám mây hoặc thiết bị). API này là duy nhất và được tạo chỉ để tích hợp MDM.
Ngăn chặn mối đe dọa nhanh chóng
MDM là một trong những loại tích hợp đầu tiên và phổ biến nhất cho ISE. Trong thời trang tiếp thị thực sự của Cisco, loại tích hợp tiếp theo này, Rapid Threat Containerment, đã trải qua một số tên và sáng kiến tiếp thị khác nhau.
Có một tính năng được thêm lại trong ISE 1.1 được gọi là Dịch vụ bảo vệ điểm cuối (EPS). EPS cung cấp API cho phép các ứng dụng khác khởi tạo ba hành động chống lại điểm cuối dựa trên địa chỉ IP hoặc địa chỉ MAC:
- Quarantine: Hành động kiểm dịch đã đặt cờ nhị phân trên bản ghi điểm cuối thành đúng, xác thực đã thêm điểm cuối vào danh sách các điểm cuối đã cách ly và cho phép quản trị viên tạo các chính sách ủy quyền sử dụng phép gán đó để gán mức truy cập mạng khác.
- Unquarantine: Đã xóa điểm cuối khỏi danh sách các điểm cuối đã cách ly và xóa cờ nhị phân.
- Shutdown: Phải gửi một thay đổi ủy quyền (CoA) chấm dứt vào mạng và tắt cổng trên bộ chuyển đổi mạng.
Nhiều tích hợp đầu tiên với ISE đã sử dụng EPS, bao gồm tích hợp ban đầu với Lancope StealthWatch (nay là Cisco Stealthwatch), trong đó điểm cuối bị cách ly khỏi giao diện người dùng StealthWatch.
Hình 6-1 minh họa một luồng với Stealthwatch khởi tạo kiểm dịch EPS
Luồng được minh họa trong Hình 6-1 cho thấy một điểm cuối được nhận vào mạng với quyền truy cập đầy đủ. Quản trị viên Stealthwatch bắt đầu cách ly và Stealthwatch kết nối với ISE bằng API API REST, yêu cầu ISE cách ly điểm cuối với địa chỉ IP cụ thể.
ISE sau đó thêm điểm cuối vào danh sách EPS và đặt cờ trên đối tượng điểm cuối và gửi CoA tới mạng.
Khi có yêu cầu truy cập mới, một quy tắc được tạo với điều kiện EPSStatus sẽ được khớp. Hình 6-2 cho thấy điều kiện đó.
Ủy quyền mạng kết quả có thể cung cấp quyền truy cập hạn chế hoặc thậm chí đặt Nhóm bảo mật mới Thẻ (SGT) có thể được xử lý khác nhau tại các điểm linh tinh trong mạng, chẳng hạn như Công cụ bảo mật web.
Chà, cuối cùng thì EPS quá cứng nhắc. Nó chỉ cung cấp cho một phân loại hành động duy nhất (Kiểm dịch). Cần linh hoạt hơn để cung cấp nhiều tùy chọn khác nhau, nhưng cũng được tích hợp vào công nghệ chia sẻ bối cảnh mới này mà Cisco đang tạo ra có tên pxGrid. Vì vậy, nó cần phải phát triển thành phiên bản EPS EPS 2.0 hoặc một cái gì đó tương tự.
Vì vậy, ISE 1.3 đã giới thiệu một thứ mới có tên là Điều khiển mạng thích ứng (ANC), đây là một bước tiến lớn bằng cách đổi tên EPS thành ANC. Được rồi, hy vọng sự mỉa mai là rõ ràng ở đó.
ISE 1.4 thực sự đã thêm chức năng mới vào ANC. Mặc dù vẫn hỗ trợ các lệnh gọi API cũ cho các mục đích tương thích ngược, nó cũng đã thêm một API mới với các nhãn khác nhau có sẵn, bao gồm khả năng tạo nhãn của riêng bạn.
ISE gọi các nhãn này là các chính sách ANC,, nhưng không có chính sách nào đối với chúng. Chính sách ANC là thẻ hoặc nhãn được gán cho đối tượng điểm cuối và có thể được sử dụng trong chính sách ủy quyền để gọi một số hành động, chẳng hạn như thay đổi cấp ủy quyền và gán SGT mới.
Mặc dù bạn có thể thêm nhiều nhãn khác nhau, nhưng chỉ có ba lựa chọn cho các chính sách ANC: Kiểm dịch, Tắt máy và Cổng Bounce, xác định loại CoA được sử dụng khi nhãn được áp dụng cho điểm cuối.
Để tạo chính sách ANC (nhãn a.k.a.), điều hướng đến Operations > Adaptive Network Control > Policy List và nhấp vào Add.. Hình 6-3 hiển thị trang kết quả với menu thả xuống Hành động mở.
Bạn có thể tạo nhiều chính sách ANC và mỗi chính sách có thể chứa một hoặc nhiều hành động. Mỗi ANC
chính sách có thể được liên kết với một ủy quyền khác. Ví dụ: bạn có thể kết thúc bằng các chính sách ANC, chẳng hạn như:
- Investigate
- Phasers on Stun
- Eradicate
- Nuke from Orbit
Vì vậy, bây giờ bạn có Dịch vụ bảo vệ điểm cuối được đổi tên thành Điều khiển mạng thích ứng. Sau đó, Điều khiển mạng thích ứng có chức năng mới trong ISE 1.4. Sau đó, tiếp thị bảo mật của Cisco được tham gia và đưa ra một quy ước đặt tên mới để đề cập đến toàn bộ hệ thống bảo mật tích hợp nơi mọi sản phẩm bảo mật của Cisco có thể thực hiện thông qua một sản phẩm bảo mật khác của Cisco.
Tên đó là Ngăn chặn Đe dọa Nhanh. Bạn có các giải pháp như: Ngăn chặn mối đe dọa nhanh chóng với Cisco Stealthwatch và Công cụ dịch vụ nhận dạng và Ngăn chặn mối đe dọa nhanh chóng với Trung tâm quản lý hỏa lực của Cisco và Công cụ dịch vụ nhận dạng.
Mặc dù ISE thường là trung tâm của một hệ sinh thái bảo mật, danh mục Ngăn chặn Mối đe dọa Nhanh bao gồm nhiều hơn là chỉ tích hợp với ISE. Có các giải pháp như Ngăn chặn mối đe dọa nhanh chóng với Trung tâm quản lý hỏa lực và Cisco Stealthwatch, Firepower và Cisco Tetration, và nhiều hơn nữa. Các hành động được thực hiện bằng Phản hồi Đe dọa của Cisco cũng là một phần của ô Ngăn chặn Mối đe dọa Nhanh (không có ý định chơi chữ).
Crystal clear, right?