Web Portal trong Cisco ISE – "Cửa kiểm soát thông minh" trước khi người dùng được vào mạng
Trong nhiều doanh nghiệp, kết nối được Wi-Fi không có nghĩa là đã được vào mạng.
Bạn có thể đã gặp tình huống này ở khách sạn, sân bay hoặc văn phòng: vừa kết nối xong, trình duyệt lập tức mở một trang yêu cầu đăng nhập, đăng ký thiết bị hoặc chấp nhận điều khoản sử dụng.
Đó chính là Web Portal.
Nếu 802.1X là người gác cổng thì Web Portal chính là quầy kiểm tra an ninh, nơi Cisco ISE quyết định người dùng hoặc thiết bị cần hoàn thành những thủ tục nào trước khi được cấp quyền truy cập.
Central Web Authentication (CWA)
Đây là Portal được sử dụng phổ biến nhất.
Thay vì xác thực bằng 802.1X, người dùng sẽ đăng nhập trực tiếp trên trang web.
Đối tượng có thể là:
Sau khi xác thực thành công, Cisco ISE sẽ cấp quyền truy cập phù hợp theo chính sách của doanh nghiệp.
Client Provisioning
Nếu thiết bị chưa sẵn sàng cho 802.1X, Cisco ISE sẽ chuyển hướng đến Provisioning Portal.
Portal này có thể tự động:
Sau đó, thiết bị có thể xác thực bằng 802.1X và truy cập mạng theo đúng chính sách.
Posture Assessment
Đăng nhập thành công không đồng nghĩa với việc thiết bị đủ an toàn.
Cisco ISE có thể kiểm tra:
Chỉ những thiết bị đạt yêu cầu mới được cấp quyền đầy đủ.
Device Registration (Hotspot)
Đây là Portal quen thuộc tại khách sạn, sân bay hoặc quán cà phê.
Người dùng chỉ cần đăng ký thiết bị mà không cần tài khoản doanh nghiệp, sau đó được phép truy cập Internet theo chính sách đã cấu hình.
BYOD On-boarding
Cho phép nhân viên tự đăng ký laptop hoặc điện thoại cá nhân ngay trong lần kết nối đầu tiên.
Cisco ISE sẽ nhận diện thiết bị, cài chứng chỉ (nếu cần) và lưu thông tin để các lần kết nối sau diễn ra nhanh chóng, liền mạch.
External Web Pages và MDM
Cisco ISE cũng có thể tích hợp với:
Nhờ đó, hệ thống có thể kiểm tra xem thiết bị di động đã được quản lý, có bị Root/Jailbreak hay có đáp ứng chính sách bảo mật trước khi cấp quyền truy cập.
Kết luận
Web Portal trong Cisco ISE không đơn thuần là một trang đăng nhập, mà là điểm kiểm soát đầu tiên của toàn bộ hệ thống Network Access Control. Từ Central Web Authentication (CWA), Client Provisioning, Posture Assessment, Device Registration đến BYOD On-boarding, mọi quy trình đều hướng tới một mục tiêu: chỉ cấp quyền truy cập cho đúng người, đúng thiết bị và đúng trạng thái bảo mật. Trong kiến trúc Zero Trust, Web Portal chính là "cửa kiểm tra thông minh" giúp doanh nghiệp biến việc kết nối mạng từ một hành động tự động thành một quy trình được kiểm soát chặt chẽ theo danh tính và chính sách bảo mật.
Trong nhiều doanh nghiệp, kết nối được Wi-Fi không có nghĩa là đã được vào mạng.
Bạn có thể đã gặp tình huống này ở khách sạn, sân bay hoặc văn phòng: vừa kết nối xong, trình duyệt lập tức mở một trang yêu cầu đăng nhập, đăng ký thiết bị hoặc chấp nhận điều khoản sử dụng.
Đó chính là Web Portal.
Nếu 802.1X là người gác cổng thì Web Portal chính là quầy kiểm tra an ninh, nơi Cisco ISE quyết định người dùng hoặc thiết bị cần hoàn thành những thủ tục nào trước khi được cấp quyền truy cập.
Central Web Authentication (CWA)
Đây là Portal được sử dụng phổ biến nhất.
Thay vì xác thực bằng 802.1X, người dùng sẽ đăng nhập trực tiếp trên trang web.
Đối tượng có thể là:
- Nhân viên.
- Khách đến làm việc.
- Đối tác.
- Nhà thầu.
- Khách hàng.
Sau khi xác thực thành công, Cisco ISE sẽ cấp quyền truy cập phù hợp theo chính sách của doanh nghiệp.
Client Provisioning
Nếu thiết bị chưa sẵn sàng cho 802.1X, Cisco ISE sẽ chuyển hướng đến Provisioning Portal.
Portal này có thể tự động:
- Cài Cisco Secure Client.
- Cấu hình Supplicant.
- Cài chứng chỉ số.
- Thiết lập các thông số bảo mật.
Sau đó, thiết bị có thể xác thực bằng 802.1X và truy cập mạng theo đúng chính sách.
Posture Assessment
Đăng nhập thành công không đồng nghĩa với việc thiết bị đủ an toàn.
Cisco ISE có thể kiểm tra:
- Hệ điều hành đã cập nhật chưa.
- Antivirus có hoạt động không.
- Firewall có đang bật không.
- Thiết bị có tuân thủ chính sách bảo mật hay không.
Chỉ những thiết bị đạt yêu cầu mới được cấp quyền đầy đủ.
Device Registration (Hotspot)
Đây là Portal quen thuộc tại khách sạn, sân bay hoặc quán cà phê.
Người dùng chỉ cần đăng ký thiết bị mà không cần tài khoản doanh nghiệp, sau đó được phép truy cập Internet theo chính sách đã cấu hình.
BYOD On-boarding
Cho phép nhân viên tự đăng ký laptop hoặc điện thoại cá nhân ngay trong lần kết nối đầu tiên.
Cisco ISE sẽ nhận diện thiết bị, cài chứng chỉ (nếu cần) và lưu thông tin để các lần kết nối sau diễn ra nhanh chóng, liền mạch.
External Web Pages và MDM
Cisco ISE cũng có thể tích hợp với:
- Trang web của doanh nghiệp.
- Cổng thanh toán hoặc đăng ký dịch vụ.
- Các nền tảng Mobile Device Management (MDM).
Nhờ đó, hệ thống có thể kiểm tra xem thiết bị di động đã được quản lý, có bị Root/Jailbreak hay có đáp ứng chính sách bảo mật trước khi cấp quyền truy cập.
Kết luận
Web Portal trong Cisco ISE không đơn thuần là một trang đăng nhập, mà là điểm kiểm soát đầu tiên của toàn bộ hệ thống Network Access Control. Từ Central Web Authentication (CWA), Client Provisioning, Posture Assessment, Device Registration đến BYOD On-boarding, mọi quy trình đều hướng tới một mục tiêu: chỉ cấp quyền truy cập cho đúng người, đúng thiết bị và đúng trạng thái bảo mật. Trong kiến trúc Zero Trust, Web Portal chính là "cửa kiểm tra thông minh" giúp doanh nghiệp biến việc kết nối mạng từ một hành động tự động thành một quy trình được kiểm soát chặt chẽ theo danh tính và chính sách bảo mật.