Sơ đồ trên mô tả cách Cisco SD-WAN tích hợp với Cisco Identity Services Engine (ISE) để triển khai Identity-Based Firewall (ZBFW). Thay vì chỉ dựa vào địa chỉ IP như firewall truyền thống, chính sách bảo mật được xây dựng dựa trên danh tính người dùng (Identity) và Security Group Tag (SGT). Điều này giúp doanh nghiệp triển khai Zero Trust dễ dàng hơn, đặc biệt khi người dùng thường xuyên thay đổi vị trí, thiết bị hoặc địa chỉ IP. Kiến trúc tổng thể
Trong mô hình này có bốn thành phần chính:
Bước 1. ISE ánh xạ User và SGT
Khi người dùng đăng nhập vào mạng thông qua 802.1X, VPN hoặc các cơ chế xác thực khác, Cisco ISE sẽ xác minh danh tính với Active Directory.
Sau khi xác thực thành công, ISE sẽ:
Ví dụ:
Thông tin này được chia sẻ thông qua pxGrid.
Bước 2. SD-WAN nhận chính sách từ ISE
Cisco SD-WAN Manager kết nối với ISE qua pxGrid để lấy thông tin về:
Từ đó, quản trị viên có thể xây dựng Zone-Based Firewall Policy dựa trên Identity thay vì địa chỉ IP.
Ví dụ:
Bước 3. Controller phân phối thông tin xuống Router
Cisco SD-WAN Controller sẽ đồng bộ các bản ánh xạ User/SGT/IP và phân phối xuống các SD-WAN Edge Router thông qua OMP (Overlay Management Protocol).
Nhờ vậy, mọi router trong hệ thống đều hiểu:
Nếu người dùng đổi IP hoặc di chuyển sang chi nhánh khác, bản ánh xạ sẽ được cập nhật tự động mà không cần chỉnh sửa firewall rule.
Bước 4. Router thực thi Identity-Based Firewall
Khi lưu lượng đi qua SD-WAN Edge Router, firewall sẽ không chỉ kiểm tra địa chỉ IP mà còn đối chiếu SGT và danh tính người dùng.
Ví dụ trong sơ đồ:
Điều này giúp chính sách luôn bám theo người dùng thay vì địa chỉ IP.
Lợi ích của tích hợp SD-WAN và ISE
Việc tích hợp Cisco SD-WAN với Cisco ISE mang lại nhiều lợi ích:
Có thể xem Cisco ISE là nguồn cung cấp thông tin danh tính (Identity Provider), Cisco SD-WAN Controller là bộ phân phối chính sách, còn SD-WAN Edge Router là điểm thực thi Identity-Based Firewall. Sự kết hợp này giúp doanh nghiệp xây dựng các chính sách bảo mật linh hoạt, nhất quán và phù hợp với mô hình Zero Trust, trong đó quyền truy cập được quyết định dựa trên ai đang truy cập, thay vì chỉ dựa trên địa chỉ IP của thiết bị.
Trong mô hình này có bốn thành phần chính:
- Cisco ISE: xác thực người dùng, gán Security Group Tag (SGT) và cung cấp thông tin danh tính.
- Cisco Catalyst SD-WAN Manager/Controller: đồng bộ thông tin từ ISE và phân phối chính sách xuống các router SD-WAN.
- SD-WAN Edge Router: thực thi chính sách Identity-Based Firewall.
- Active Directory: lưu trữ tài khoản người dùng và nhóm người dùng, được ISE sử dụng để xác thực.
Bước 1. ISE ánh xạ User và SGT
Khi người dùng đăng nhập vào mạng thông qua 802.1X, VPN hoặc các cơ chế xác thực khác, Cisco ISE sẽ xác minh danh tính với Active Directory.
Sau khi xác thực thành công, ISE sẽ:
- Gán người dùng vào nhóm tương ứng.
- Gán một Security Group Tag (SGT).
- Tạo bản ánh xạ giữa User – SGT – IP Address.
Ví dụ:
- Alice → Employee → SGT 10 → 10.10.1.25
- Bob → HR → SGT 20 → 10.10.1.30
Thông tin này được chia sẻ thông qua pxGrid.
Bước 2. SD-WAN nhận chính sách từ ISE
Cisco SD-WAN Manager kết nối với ISE qua pxGrid để lấy thông tin về:
- Danh tính người dùng.
- Security Group Tag.
- User Group.
- Mapping giữa User, SGT và IP.
Từ đó, quản trị viên có thể xây dựng Zone-Based Firewall Policy dựa trên Identity thay vì địa chỉ IP.
Ví dụ:
- Employee được phép truy cập Microsoft 365.
- HR được phép truy cập hệ thống ERP.
- Contractor chỉ được phép truy cập Internet.
Bước 3. Controller phân phối thông tin xuống Router
Cisco SD-WAN Controller sẽ đồng bộ các bản ánh xạ User/SGT/IP và phân phối xuống các SD-WAN Edge Router thông qua OMP (Overlay Management Protocol).
Nhờ vậy, mọi router trong hệ thống đều hiểu:
IP 10.10.1.25 hiện thuộc người dùng nào và mang SGT nào.
Nếu người dùng đổi IP hoặc di chuyển sang chi nhánh khác, bản ánh xạ sẽ được cập nhật tự động mà không cần chỉnh sửa firewall rule.
Bước 4. Router thực thi Identity-Based Firewall
Khi lưu lượng đi qua SD-WAN Edge Router, firewall sẽ không chỉ kiểm tra địa chỉ IP mà còn đối chiếu SGT và danh tính người dùng.
Ví dụ trong sơ đồ:
- SGT-Employee → SGT-Employee: Permit
- SGT-Contractor → SGT-IOT: Deny
Điều này giúp chính sách luôn bám theo người dùng thay vì địa chỉ IP.
Lợi ích của tích hợp SD-WAN và ISE
Việc tích hợp Cisco SD-WAN với Cisco ISE mang lại nhiều lợi ích:
- Chính sách bảo mật dựa trên danh tính thay vì IP.
- Hỗ trợ mô hình Zero Trust và Least Privilege.
- Người dùng đổi IP hoặc di chuyển giữa các chi nhánh vẫn giữ nguyên quyền truy cập.
- Đồng bộ chính sách trên toàn bộ hệ thống SD-WAN mà không cần cấu hình riêng lẻ trên từng router.
- Giảm số lượng ACL và firewall rule, giúp việc vận hành đơn giản hơn.
Có thể xem Cisco ISE là nguồn cung cấp thông tin danh tính (Identity Provider), Cisco SD-WAN Controller là bộ phân phối chính sách, còn SD-WAN Edge Router là điểm thực thi Identity-Based Firewall. Sự kết hợp này giúp doanh nghiệp xây dựng các chính sách bảo mật linh hoạt, nhất quán và phù hợp với mô hình Zero Trust, trong đó quyền truy cập được quyết định dựa trên ai đang truy cập, thay vì chỉ dựa trên địa chỉ IP của thiết bị.