Tweet
Cisco’s platform eXchange Grid (pxGrid)
Bây giờ bạn đã hoàn toàn bối rối về thuật ngữ tiếp thị, Rapid Rapid Threat Containerment, hãy để rõ ràng một điều. Ngăn chặn mối đe dọa nhanh chóng có thể thúc đẩy pxGrid để tích hợp giữa hai hoặc nhiều sản phẩm bảo mật của Cisco, nhưng pxGrid không phải là một yêu cầu. Nhiều tích hợp được xử lý bởi API API hoặc các loại kết nối khác.
Điều pxGrid này mà chúng ta tiếp tục nói về là gì?
pxGrid là xe buýt liên lạc xuất bản và đăng ký (pub / sub) hàng đầu của Cisco, được thiết kế từ đầu để trở thành một hệ thống chia sẻ dữ liệu an toàn, có thể mở rộng.
Giống như hầu hết các giải pháp AAA thế hệ tiếp theo khác, ISE ban đầu bắt đầu chia sẻ thông tin thông qua việc sử dụng API. Người ta đã nhanh chóng nhận ra rằng các API điểm sẽ không mở rộng theo mức dữ liệu cần chia sẻ và quy mô mà nó được yêu cầu.
Cisco đã đi theo con đường của một quán rượu / xe buýt phụ, tương tự như cách Trình quản lý truyền thông hợp nhất của Cisco (trước đây gọi là Trình quản lý cuộc gọi) và Cisco Jabber hoạt động. Một bộ điều khiển theo dõi tất cả các chủ đề tồn tại. Một chủ đề là một danh sách các thông tin có sẵn. Một chủ đề có thể là dữ liệu phiên của ai và những gì trên mạng, hoặc nó có thể là một danh sách các điểm cuối dễ bị tổn thương và danh sách các lỗ hổng đó.
Người tham gia pxGrid có thể đăng ký bất kỳ chủ đề quan tâm nào và được thông báo khi có dữ liệu được truy xuất. Những người tham gia được gọi là thuê bao. Nguồn thực sự của dữ liệu có thể là bất kỳ người tham gia pxGrid nào khác, được gọi là nhà xuất bản. Nhà xuất bản đăng ký chủ đề với bộ điều khiển, người thực hiện ủy quyền cho mỗi thuê bao để lấy dữ liệu từ các nhà xuất bản linh tinh.
Hình 6-4 cho thấy bản vẽ tiêu chuẩn của Cisco thường được sử dụng để giải thích pxGrid. Trong hình minh họa này, bạn thấy nhiều loại sản phẩm khác nhau, mỗi loại có thông tin khác nhau để xuất bản và cần thông tin từ một trong những sản phẩm khác.
pxGrid ban đầu được thêm vào ISE trong phiên bản 1.3, do đó, nó đã xuất hiện được một thời gian và có một hệ sinh thái các ứng dụng đối tác tiếp tục phát triển với tốc độ rất nhanh.
ISE 2.2 đã có những bước tiến lớn trong việc tăng cường pxGrid. Hầu hết các cải tiến liên quan đến pxGrid đều dễ sử dụng, giúp dễ dàng cấu hình và bảo trì hơn. ISE 2.2 cũng đã thêm thông tin vào các chủ đề pxGrid của ISE để người đăng ký sử dụng. Một ví dụ cụ thể về thông tin bổ sung đã được thêm vào các chủ đề pxGrid trong ISE phiên bản 2.2 là danh sách các nhóm mà mỗi nhóm hoạt động người dùng là thành viên của; và danh sách đó đã được chia sẻ trong cùng (các) chủ đề đã được sử dụng trong các phiên bản ISE trước đó, cho phép khả năng tương thích ngược một cách liền mạch.
pxGrid in Depth
pxGrid phiên bản 1 được thiết kế bằng cách mở rộng Giao thức hiện diện và nhắn tin mở rộng (XMPP), đây cũng là giao thức liên lạc được sử dụng bởi Jabber. Trong thực tế, chính bộ điều khiển pxGrid là một máy chủ Nền tảng truyền thông mở rộng Jabber đã sửa đổi (XCP). (Để biết thêm về XMPP, xem https://xmpp.org.)
XCP cần một khách hàng biết cách giao tiếp với nó. Các đối tác của Cisco DevNet có thể tạo các ứng dụng sử dụng thư viện chung pxGrid (GCL) để tham gia bộ điều khiển pxGrid mà không phải viết ứng dụng khách của riêng họ từ đầu.
Bắt đầu từ phiên bản ISE 2.3, ISE đã thêm giao diện dựa trên WebSocket được hiện đại hóa vào pxGrid, để dễ tích hợp hơn. Các đối tác DevNet không còn được yêu cầu tích hợp thư viện Java hoặc C vào ứng dụng của họ; thay vào đó, họ có thể sử dụng các kết nối Chuyển trạng thái đại diện (REST) phổ biến.
Cho dù là phiên bản nào, hãy luôn nhớ rằng pxGrid được tạo thành từ ba thành phần chính: bộ điều khiển, nhà xuất bản và người đăng ký. Hình 6-5 là một bản vẽ cơ bản để minh họa điều này với các sản phẩm.
pxGrid in Action
pxGrid sử dụng giao tiếp an toàn giữa những người tham gia và do đó chứng chỉ có tầm quan trọng rất lớn đối với sự thành công và dễ dàng triển khai của bạn. Mọi người tham gia phải tin tưởng vào bộ điều khiển và bộ điều khiển phải tin tưởng từng người tham gia.
Xem lại Hình 6-5, Trung tâm quản lý hỏa lực của Cisco (FMC) sẽ cần nói chuyện với bộ điều khiển pxGrid để tìm hiểu về các chủ đề tồn tại và những người đã xuất bản các chủ đề đó, nhưng sau đó cũng nói trực tiếp với nút MnT để thực hiện tải xuống hàng loạt của dữ liệu phiên được công bố. Nếu FMC tin tưởng chứng chỉ px của bộ điều khiển pxGrid nhưng không phải là chứng chỉ MnT, thì giao tiếp cuối cùng sẽ thất bại.
Hình 6-6 minh họa khái niệm này. Cuối cùng, bạn cần một mạng lưới niềm tin đầy đủ giữa những người tham gia pxGrid. Mỗi người tham gia phải tin tưởng người điều khiển cũng như người tham gia khác
Dựa trên nhiều kinh nghiệm triển khai, thực tiễn tốt nhất là luôn luôn sử dụng cùng một cơ quan cấp chứng chỉ (CA) để cấp chứng chỉ pxGrid cho mỗi người tham gia. Để làm cho điều đó trở nên dễ dàng hơn nữa, CA tích hợp ISE đã được cải tiến để phát hành chứng chỉ pxGrid bên cạnh các chứng chỉ điểm cuối bắt đầu với phiên bản ISE 2.1. Ngoài việc tăng cường CA, các API đã được thêm vào để tự động đăng ký chứng chỉ từ đối tác hệ sinh thái pxGrid, đây là chính xác cùng các API và CA mà sản phẩm Trung tâm DNA hàng đầu của Cisco sử dụng để tích hợp với ISE.
Hình 6-7 minh họa một CA phát hành chứng chỉ cho tất cả những người tham gia.
Bây giờ bạn đã hoàn toàn bối rối về thuật ngữ tiếp thị, Rapid Rapid Threat Containerment, hãy để rõ ràng một điều. Ngăn chặn mối đe dọa nhanh chóng có thể thúc đẩy pxGrid để tích hợp giữa hai hoặc nhiều sản phẩm bảo mật của Cisco, nhưng pxGrid không phải là một yêu cầu. Nhiều tích hợp được xử lý bởi API API hoặc các loại kết nối khác.
Điều pxGrid này mà chúng ta tiếp tục nói về là gì?
pxGrid là xe buýt liên lạc xuất bản và đăng ký (pub / sub) hàng đầu của Cisco, được thiết kế từ đầu để trở thành một hệ thống chia sẻ dữ liệu an toàn, có thể mở rộng.
Giống như hầu hết các giải pháp AAA thế hệ tiếp theo khác, ISE ban đầu bắt đầu chia sẻ thông tin thông qua việc sử dụng API. Người ta đã nhanh chóng nhận ra rằng các API điểm sẽ không mở rộng theo mức dữ liệu cần chia sẻ và quy mô mà nó được yêu cầu.
Cisco đã đi theo con đường của một quán rượu / xe buýt phụ, tương tự như cách Trình quản lý truyền thông hợp nhất của Cisco (trước đây gọi là Trình quản lý cuộc gọi) và Cisco Jabber hoạt động. Một bộ điều khiển theo dõi tất cả các chủ đề tồn tại. Một chủ đề là một danh sách các thông tin có sẵn. Một chủ đề có thể là dữ liệu phiên của ai và những gì trên mạng, hoặc nó có thể là một danh sách các điểm cuối dễ bị tổn thương và danh sách các lỗ hổng đó.
Người tham gia pxGrid có thể đăng ký bất kỳ chủ đề quan tâm nào và được thông báo khi có dữ liệu được truy xuất. Những người tham gia được gọi là thuê bao. Nguồn thực sự của dữ liệu có thể là bất kỳ người tham gia pxGrid nào khác, được gọi là nhà xuất bản. Nhà xuất bản đăng ký chủ đề với bộ điều khiển, người thực hiện ủy quyền cho mỗi thuê bao để lấy dữ liệu từ các nhà xuất bản linh tinh.
Hình 6-4 cho thấy bản vẽ tiêu chuẩn của Cisco thường được sử dụng để giải thích pxGrid. Trong hình minh họa này, bạn thấy nhiều loại sản phẩm khác nhau, mỗi loại có thông tin khác nhau để xuất bản và cần thông tin từ một trong những sản phẩm khác.
pxGrid ban đầu được thêm vào ISE trong phiên bản 1.3, do đó, nó đã xuất hiện được một thời gian và có một hệ sinh thái các ứng dụng đối tác tiếp tục phát triển với tốc độ rất nhanh.
ISE 2.2 đã có những bước tiến lớn trong việc tăng cường pxGrid. Hầu hết các cải tiến liên quan đến pxGrid đều dễ sử dụng, giúp dễ dàng cấu hình và bảo trì hơn. ISE 2.2 cũng đã thêm thông tin vào các chủ đề pxGrid của ISE để người đăng ký sử dụng. Một ví dụ cụ thể về thông tin bổ sung đã được thêm vào các chủ đề pxGrid trong ISE phiên bản 2.2 là danh sách các nhóm mà mỗi nhóm hoạt động người dùng là thành viên của; và danh sách đó đã được chia sẻ trong cùng (các) chủ đề đã được sử dụng trong các phiên bản ISE trước đó, cho phép khả năng tương thích ngược một cách liền mạch.
pxGrid in Depth
pxGrid phiên bản 1 được thiết kế bằng cách mở rộng Giao thức hiện diện và nhắn tin mở rộng (XMPP), đây cũng là giao thức liên lạc được sử dụng bởi Jabber. Trong thực tế, chính bộ điều khiển pxGrid là một máy chủ Nền tảng truyền thông mở rộng Jabber đã sửa đổi (XCP). (Để biết thêm về XMPP, xem https://xmpp.org.)
XCP cần một khách hàng biết cách giao tiếp với nó. Các đối tác của Cisco DevNet có thể tạo các ứng dụng sử dụng thư viện chung pxGrid (GCL) để tham gia bộ điều khiển pxGrid mà không phải viết ứng dụng khách của riêng họ từ đầu.
Bắt đầu từ phiên bản ISE 2.3, ISE đã thêm giao diện dựa trên WebSocket được hiện đại hóa vào pxGrid, để dễ tích hợp hơn. Các đối tác DevNet không còn được yêu cầu tích hợp thư viện Java hoặc C vào ứng dụng của họ; thay vào đó, họ có thể sử dụng các kết nối Chuyển trạng thái đại diện (REST) phổ biến.
Cho dù là phiên bản nào, hãy luôn nhớ rằng pxGrid được tạo thành từ ba thành phần chính: bộ điều khiển, nhà xuất bản và người đăng ký. Hình 6-5 là một bản vẽ cơ bản để minh họa điều này với các sản phẩm.
pxGrid in Action
pxGrid sử dụng giao tiếp an toàn giữa những người tham gia và do đó chứng chỉ có tầm quan trọng rất lớn đối với sự thành công và dễ dàng triển khai của bạn. Mọi người tham gia phải tin tưởng vào bộ điều khiển và bộ điều khiển phải tin tưởng từng người tham gia.
Xem lại Hình 6-5, Trung tâm quản lý hỏa lực của Cisco (FMC) sẽ cần nói chuyện với bộ điều khiển pxGrid để tìm hiểu về các chủ đề tồn tại và những người đã xuất bản các chủ đề đó, nhưng sau đó cũng nói trực tiếp với nút MnT để thực hiện tải xuống hàng loạt của dữ liệu phiên được công bố. Nếu FMC tin tưởng chứng chỉ px của bộ điều khiển pxGrid nhưng không phải là chứng chỉ MnT, thì giao tiếp cuối cùng sẽ thất bại.
Hình 6-6 minh họa khái niệm này. Cuối cùng, bạn cần một mạng lưới niềm tin đầy đủ giữa những người tham gia pxGrid. Mỗi người tham gia phải tin tưởng người điều khiển cũng như người tham gia khác
Dựa trên nhiều kinh nghiệm triển khai, thực tiễn tốt nhất là luôn luôn sử dụng cùng một cơ quan cấp chứng chỉ (CA) để cấp chứng chỉ pxGrid cho mỗi người tham gia. Để làm cho điều đó trở nên dễ dàng hơn nữa, CA tích hợp ISE đã được cải tiến để phát hành chứng chỉ pxGrid bên cạnh các chứng chỉ điểm cuối bắt đầu với phiên bản ISE 2.1. Ngoài việc tăng cường CA, các API đã được thêm vào để tự động đăng ký chứng chỉ từ đối tác hệ sinh thái pxGrid, đây là chính xác cùng các API và CA mà sản phẩm Trung tâm DNA hàng đầu của Cisco sử dụng để tích hợp với ISE.
Hình 6-7 minh họa một CA phát hành chứng chỉ cho tất cả những người tham gia.