Arhitectura Cisco ISE
Arhitectura Cisco ISE. Cisco Identity Services Engine este o soluție de Control al Accesului la Rețea care ajută la concentrarea tuturor politicilor de identitate ale rețelei companiei într-un singur loc.
ISE este un punct al rețelei unde toate metodele de acces la rețea și identitățile sunt verificate în raport cu un set de reguli definit și surse de autentificare. Pe baza regulilor configurate, ISE este capabil să ofere drepturi de acces granulare la servicii, bazate pe numeroși factori și contexte, cum ar fi apartenența la grupuri AD, locația fizică a utilizatorului, tipul dispozitivului, versiunea sistemului de operare, ora zilei și multe altele.
Principiul fundamental pentru Cisco ISE este de a acționa ca un server Radius. Cu toate acestea, deși Radius este protocolul principal de comunicare între ISE și dispozitivele de rețea, există o serie de rafinamente față de soluțiile tradiționale, cum ar fi fluxurile Radius Change of Authorization, profilarea sistemelor de operare și a dispozitivelor, proceduri de evaluare a posturii pentru alinierea la conformitatea de securitate, înrolarea dispozitivelor terțe sau metode de redirecționare a portalului pentru oaspeți.
Această soluție oferă o abordare centralizată și flexibilă pentru gestionarea accesului la rețea, permițând organizațiilor să implementeze politici de securitate complexe și contextualizate. Prin combinarea funcționalităților tradiționale ale unui server Radius cu capacități avansate de analiză și control, ISE oferă o soluție cuprinzătoare pentru securitatea rețelei moderne.
Arhitectura Cisco ISE – Modele de implementare
Cisco a prescris câteva modele de implementare diferite, asemănătoare cu mărimile tricourilor: mici, medii și mari. După cum puteți deduce din denumiri, cerințele de scalabilitate ale mediului companiei vor fi factorul cel mai important în determinarea modelului de implementare ISE optim pentru dumneavoastră.
Există diverși factori de scalabilitate de luat în considerare la selectarea modelului de implementare, toți aceștia bazându-se pe cazul de utilizare pentru implementarea ISE (802.1X, VPN, BYOD, MDM, PassiveID, AAA, etc.).
* Implementare independentă (construită pe un singur nod ISE)
* Implementare distribuită (construită cu mai multe noduri ISE): Mică, Medie, Mare
Ce opțiune să alegeți?
În funcție de cerințele companiei dumneavoastră, dimensiunea retelei, număr de utilizatori și locații, trebuie să alegeți una dintre implementările disponibile.
Nu există o cerință strictă, și am observat multe proiecte destul de mari bazate pe tipul de implementare mică.
Implementarea cu un singur nod (cunoscută și ca independentă) este potrivită pentru proiecte PoC sau medii de laborator / testare unde nu este necesară o disponibilitate ridicată.
Pentru a înțelege mai bine modurile de implementare, este recomandabil să vă familiarizați cu nomenclatura si componentele Cisco ISE.
Arhitectura Cisco ISE – Dictionar
Nod – Instanță individuală – Dispozitiv fizic sau Dispozitiv virtual
Persona/Tip de Nod – Acești termeni sunt adesea utilizați interschimbabil și determină serviciul furnizat de un anumit nod:
– Administrare (PAN) – Nodul de Administrare este un punct unic de configurare a implementării ISE. Această persona oferă acces complet la interfața grafică de administrare
– Serviciu de Politici (PSN) – Nodul de Serviciu de Politici este un nod care gestionează traficul între dispozitivele de rețea și ISE (IP-ul său este utilizat ca Radius pentru dispozitive). Pentru a obține partajarea traficului radius, puteți scala PSN-urile.
– Monitorizare (MnT) – nodul de monitorizare este responsabil pentru agregarea jurnalelor în întreaga implementare.
Rol– Se aplică nodurilor de Administrare și Monitorizare:
– Independent – legat de implementarea independentă – nodurile nu sunt conștiente unul de celălalt și acționează individual.
– Primar – rol în implementarea distribuită unde, de exemplu, persona de administrare este primară pentru toate sarcinile de configurare.
– Secundar – rol în implementarea distribuită unde, de exemplu, persona de administrare este secundară pentru sarcinile de configurare. Interfața grafică secundară este disponibilă pentru configurare doar când:
@Primarul eșuează și există configurat un Failover PAN
@ Secundarul este promovat manual la Primar.
Exemplu de implementare distribuită de dimensiune medie: Nodurile PSN acționează ca servere radius pentru dispozitivele de rețea și sunt în număr de patru. Persona de Administrare este activă pe două noduri. Nodul 1 preia rolul de Nod de Administrare Primar și Nodul 2 preia rolul de Nod de Administrare Secundar.
Toate sarcinile de configurare și întreținere sunt efectuate în Nodul de Administrare Primar, iar setările sunt propagate în același timp în întreaga implementare. Rolul MnT este inversat pentru scopuri de partajare a încărcării. Toate evenimentele pe personele PSN sunt transmise nodurilor MnT primare și secundare.
Arhitectura Cisco ISE – Personas
Noduri de Administrare (PAN)
Fiecare implementare ISE trebuie să aibă minimum 1 și maximum 2 noduri ISE care rulează persona de administrare.
După cum sugerează numele, aceasta este “interfața unică” pentru toată administrarea, monitorizarea și operarea implementării ISE. Când aveți două astfel de persoane prezente în implementarea dumneavoastră, una este primară (activă) și una este secundară (în așteptare).
Câteva puncte cheie de menționat:
1. Rolul nodurilor de administrare este crucial pentru gestionarea întregului sistem Cisco Identity Service Engine.
2. Configurația cu două noduri de administrare oferă redundanță și asigură disponibilitatea continuă a funcțiilor administrative.
3. În configurația cu două noduri, doar nodul primar este activ pentru sarcinile administrative, în timp ce nodul secundar rămâne în standby, gata să preia controlul în caz de nevoie.
4. Această arhitectură asigură o gestionare centralizată și eficientă a implementării ISE, indiferent de dimensiunea sau complexitatea rețelei.
Noduri de Monitorizare (MnT)
Fiecare implementare ISE trebuie să aibă minimum 1 și maximum 2 noduri ISE care rulează persona de monitorizare.
Aceste noduri colectează, procesează și stochează TOATE informațiile de jurnalizare pentru implementare. Persona de serviciu de politici trimite toate jurnalele referitoare la activitatea de autentificare/autorizare în rețea către persona de monitorizare. Persona de administrare extrage informațiile din jurnal de la persona de monitorizare după cum este necesar atunci când un administrator efectuează un audit operațional pe persona de administrare.
Ca și în cazul personei de administrare, atunci când aveți două persoane de monitorizare prezente în implementarea dumneavoastră, una este primară (activă) și una este secundară (în așteptare).
Puncte cheie de reținut:
1. Nodurile de monitorizare sunt esențiale pentru colectarea și gestionarea datelor de jurnalizare în întregul sistem ISE.
2. Aceste noduri interacționează atât cu nodurile de serviciu de politici, cât și cu cele de administrare pentru a asigura o monitorizare completă și eficientă.
3. Configurația cu două noduri de monitorizare oferă redundanță și asigură continuitatea în colectarea și stocarea datelor de jurnalizare.
4. Rolul nodurilor de monitorizare este crucial pentru auditul operațional și analiza performanței sistemului ISE.
Funcționalități avansate:
– Agregare de date: MnT colectează și agregă date de la toate nodurile ISE din rețea, oferind o viziune centralizată asupra activității sistemului.
– Retenție de date: Aceste noduri pot stoca date pentru perioade îndelungate, permițând analize istorice și conformitate cu cerințele de audit.
– Raportare în timp real: MnT oferă capacități de raportare în timp real, esențiale pentru detectarea rapidă a problemelor de securitate.
Echilibrarea încărcării:
– În configurațiile cu două noduri MnT, se poate implementa o strategie de echilibrare a încărcării pentru a optimiza performanța.
– De obicei, un nod gestionează jurnalele live, în timp ce celălalt se ocupă de jurnalele istorice și rapoarte.
Mecanisme de failover:
– Sistemul are capacitatea de a comuta automat între nodurile primare și secundare în caz de defecțiune.
– Acest proces asigură continuitatea colectării de date și minimizează riscul de pierdere a informațiilor critice.
Integrare cu sisteme externe:
– Nodurile MnT pot fi configurate să exporte date către sisteme SIEM (Security Information and Event Management) externe pentru analize mai aprofundate.
– Aceasta permite o integrare mai bună cu ecosistemul de securitate al organizației.
Capacități de analiză:
– MnT oferă instrumente de analiză incorporate pentru a identifica tendințe, anomalii și potențiale amenințări de securitate.
– Aceste capabilități ajută administratorii să ia decizii informate și să răspundă rapid la incidente.
Scalabilitate:
– Pe măsură ce rețeaua crește, nodurile MnT pot fi scalate pentru a gestiona volume mai mari de date.
– În implementări foarte mari, se pot adăuga noduri dedicate pentru stocarea și procesarea datelor istorice.
Conformitate și audit:
– MnT joacă un rol crucial în asigurarea conformității cu diverse standarde de securitate și reglementări.
– Oferă capacități de audit detaliate, permițând organizațiilor să demonstreze conformitatea cu ușurință.
Aceste funcționalități avansate fac din nodurile de monitorizare o componentă critică în arhitectura Cisco ISE, asigurând vizibilitate, securitate și conformitate în întreaga rețea.
Noduri de Servicii de Politici (PSN)
Persona de servicii de politici este motorul principal al implementării ISE. Aceste noduri procesează toate cererile de autentificare provenite de la infrastructură (switch-uri de acces, firewall-uri, controllere de rețea wireless, etc.). Fiecare implementare trebuie să aibă minimum 1 nod de servicii de politici. Implementarea de dimensiuni mici poate avea maximum 2 noduri de servicii de politici. Cea medie poate avea maximum 5 noduri de servicii de politici. Implementarea mare poate avea maximum 50 de noduri de servicii de politici.
Informații suplimentare despre Nodurile de Servicii de Politici (PSN):
1. Funcționalitate principală:
– PSN-urile sunt responsabile pentru evaluarea și aplicarea politicilor de securitate în timp real.
– Ele gestionează autentificarea, autorizarea și contabilizarea (AAA) pentru dispozitivele de rețea.
2. Scalabilitate:
– Numărul de PSN-uri poate fi crescut pentru a gestiona volume mai mari de cereri de autentificare.
– Această scalabilitate permite ISE să se adapteze la creșterea rețelei și a numărului de utilizatori.
3. Distribuția sarcinilor:
– În implementări cu mai multe PSN-uri, cererile de autentificare sunt distribuite între noduri pentru a echilibra încărcarea.
– Acest lucru asigură performanțe optime și reduce timpul de răspuns pentru autentificări.
4. Reziliență:
– Având multiple PSN-uri oferă redundanță, asigurând continuitatea serviciului în cazul în care un nod eșuează.
5. Localizare:
– PSN-urile pot fi distribuite geografic pentru a reduce latența și a îmbunătăți performanța în rețele distribuite.
6. Profilare:
– PSN-urile pot efectua și sarcini de profilare a dispozitivelor, colectând informații pentru a identifica și clasifica dispozitivele conectate la rețea.
Integrare cu alte componente:
– PSN-urile interacționează strâns cu nodurile de administrare (PAN) pentru a obține politicile actualizate și cu nodurile de monitorizare (MnT) pentru a trimite date de jurnalizare.
Optimizare pentru diferite cazuri de utilizare:
– PSN-urile pot fi optimizate pentru diferite scenarii, cum ar fi 802.1X, VPN, BYOD, în funcție de cerințele specifice ale implementării.
Înțelegerea corectă a rolului și capabilităților PSN-urilor este crucială pentru proiectarea și implementarea eficientă a unei soluții Cisco ISE, asigurând securitatea, performanța și scalabilitatea necesare pentru rețeaua companiei.
ISE – Implementare mica
Într-o implementare mică, puteți avea în total 2 noduri ISE, ambele rulând toate cele trei persoane ISE necesare.
In poza de mai sus este un exemplu de implementare ISE mică.
Ambele noduri vor fi probabil plasate în locații de centre de date și vor comunica cel mai probabil cu rețelele de campus/filiale prin intermediul unei rețele WAN (Wide Area Network) pentru toate serviciile de autentificare.
Aceasta ar însemna că o defecțiune a rețelei WAN ar duce la pierderea serviciului de autentificare pentru siturile afectate.
Informații suplimentare despre implementarea mică:
1. Structura nodurilor:
– Fiecare din cele două noduri rulează toate cele trei persoane: Administrare (PAN), Monitorizare (MnT) și Servicii de Politici (PSN).
– Această configurație oferă redundanță de bază și permite continuitatea serviciului în cazul în care un nod eșuează.
2. Roluri în cadrul implementării:
– Un nod va acționa ca primar pentru funcțiile de administrare și monitorizare, în timp ce celălalt va fi secundar.
– Pentru serviciile de politici, ambele noduri vor fi active și vor împărți sarcinile de autentificare.
3. Avantaje:
– Simplitate: Fiind o configurație mai simplă, este mai ușor de gestionat și menținut.
– Cost redus: Necesită mai puține resurse hardware comparativ cu implementările mai mari.
– Potrivită pentru organizații mai mici sau pentru implementări pilot în organizații mai mari.
4. Limitări:
– Scalabilitate limitată: Poate gestiona un număr limitat de dispozitive și autentificări simultane.
– Vulnerabilitate la defecțiuni WAN: Cum ați menționat, o defecțiune a rețelei WAN poate afecta semnificativ serviciile de autentificare pentru siturile remote.
5. Considerații pentru implementare:
– Este crucial să se asigure o conexiune WAN robustă și redundantă între centrele de date și siturile remote.
– Se recomandă implementarea mecanismelor de failover și load balancing între cele două noduri pentru a maximiza disponibilitatea.
6. Planificarea capacității:
– Este important să se monitorizeze îndeaproape performanța și încărcarea nodurilor pentru a determina când poate fi necesară trecerea la o implementare de dimensiuni medii.
7. Securitate și conformitate:
– Chiar și în implementări mici, este esențial să se mențină standardele de securitate și să se asigure conformitatea cu reglementările aplicabile.
Această configurație de implementare mică oferă un echilibru bun între funcționalitate, redundanță și cost pentru organizațiile mai mici sau pentru cele care sunt la începutul adoptării Cisco ISE. Cu toate acestea, pe măsură ce organizația crește sau cerințele de autentificare devin mai complexe, ar putea fi necesară trecerea la o implementare de dimensiuni medii sau mari.
ISE – implementare medie
Într-o implementare medie, puteți avea în total 7 noduri ISE. Două noduri vor rula atât persona PAN, cât și MnT, iar până la 5 noduri vor funcționa ca persoane PSN dedicate.
In poza de mai sus este un exemplu de implementare ISE medie.
Nodurile PAN/MnT vor fi probabil plasate în locații de centre de date. În acest model, am eliberat PSN-urile pentru a putea fi amplasate în orice locație de rețea la alegerea dvs. Unele PSN-uri ar putea fi plasate alături de PAN/MnT în centrul de date, în timp ce altele ar putea fi amplasate în locații critice de campus/birouri sucursale. Acest lucru ar permite ca autentificările pentru aceste locații critice de campus/birouri sucursale să funcționeze în continuare în cazul unei defecțiuni WAN.
Informații suplimentare despre implementarea medie:
1. Structura nodurilor:
– 2 noduri combinate PAN/MnT: Acestea gestionează administrarea și monitorizarea sistemului.
– Până la 5 noduri PSN dedicate: Acestea se concentrează exclusiv pe procesarea cererilor de autentificare și aplicarea politicilor.
2. Flexibilitate în plasarea nodurilor:
– PSN-urile pot fi distribuite strategic în rețea pentru a optimiza performanța și reziliența.
– Această distribuție permite o mai bună gestionare a latențelor și reduce dependența de conexiunile WAN pentru autentificări.
3. Scalabilitate îmbunătățită:
– Poate gestiona un număr semnificativ mai mare de dispozitive și autentificări comparativ cu implementarea mică.
– Oferă capacitatea de a crește treptat numărul de PSN-uri (până la 5) pe măsură ce cerințele cresc.
4. Reziliență sporită:
– Separarea funcțiilor între noduri dedicate crește robustețea generală a sistemului.
– Autentificările locale pot continua chiar și în cazul unei defecțiuni WAN, pentru locațiile cu PSN-uri dedicate.
5. Considerații de performanță:
– Distribuirea PSN-urilor reduce latența pentru autentificări, îmbunătățind experiența utilizatorului.
– Permite o mai bună gestionare a încărcării, distribuind cererile de autentificare între multiple PSN-uri.
6. Management și monitorizare:
– Centralizarea funcțiilor PAN și MnT pe două noduri facilitează administrarea și monitorizarea întregului sistem.
– Oferă o vizibilitate mai bună asupra performanței și securității rețelei.
7. Adaptabilitate la topologia rețelei:
– Poate fi adaptată eficient la rețele distribuite geografic, cu mai multe campusuri sau birouri sucursale.
8. Considerații de securitate:
– Permite implementarea unor politici de securitate mai granulare și adaptate la nevoile specifice ale diferitelor locații.
9. Planificarea capacității și upgradării:
– Oferă o cale clară de upgrade către o implementare mare, dacă cerințele continuă să crească.
– Permite adăugarea treptată de PSN-uri suplimentare pentru a face față creșterii cererii.
Această configurație de implementare medie oferă un echilibru excelent între performanță, scalabilitate și reziliență, fiind potrivită pentru organizații de dimensiuni medii sau pentru rețele distribuite geografic. Ea permite o gestionare mai eficientă a autentificărilor și oferă o flexibilitate semnificativă în adaptarea la diferite scenarii de rețea și cerințe de securitate.
ISE – implementare mare
Într-o implementare mare, puteți avea în total 54 de noduri ISE. Două noduri vor rula persona PAN, 2 noduri vor rula persona MnT, și până la 50 de noduri vor funcționa ca persoane PSN dedicate.
In poza de mai sus este un exemplu de implementare ISE mare.
Nodurile PAN/MnT vor fi probabil plasate în locații de centre de date. În acest model, am eliberat PSN-urile pentru a putea fi amplasate în orice locație de rețea la alegerea dvs., crescând dramatic scala și flexibilitatea implementării. Unele PSN-uri ar putea fi plasate alături de PAN/MnT în centrul de date ca un pool frontal cu un balansator de sarcină, în timp ce altele ar putea fi amplasate în locații critice de campus/birouri sucursale.
Acest lucru ar permite ca autentificările pentru aceste locații critice de campus/birouri sucursale să funcționeze în continuare în cazul unei defecțiuni WAN. Utilizarea balansatoarelor de sarcină, deși nu este obligatorie, vă permite să obțineți o scală mai mare, menținând în același timp configurații simplificate ale dispozitivelor de rețea, deoarece fiecare dispozitiv de rețea poate indica către două VIP-uri ale balansatorului de sarcină ca servere RADIUS, în timp ce multe, multe mai multe noduri de servicii de politici ISE rezidă în spatele balansatoarelor de sarcină.
Informații suplimentare despre implementarea mare:
1. Structura nodurilor:
– 2 noduri PAN dedicate: Asigură redundanță pentru administrarea sistemului.
– 2 noduri MnT dedicate: Oferă capacități robuste de monitorizare și jurnalizare.
– Până la 50 noduri PSN: Permit o scalabilitate masivă pentru procesarea autentificărilor.
2. Scalabilitate și flexibilitate extreme:
– Poate gestiona un număr foarte mare de dispozitive și autentificări simultane.
– Permite distribuirea geografică extinsă a nodurilor PSN pentru acoperire globală.
3. Utilizarea balansatoarelor de sarcină:
– Simplifică configurația dispozitivelor de rețea, care pot indica doar către VIP-urile balansatoarelor.
– Permite adăugarea sau eliminarea de PSN-uri fără a afecta configurația dispozitivelor de rețea.
4. Reziliență și disponibilitate înaltă:
– Multiplele noduri PSN asigură continuitatea serviciului chiar și în cazul unor defecțiuni multiple.
– Separarea completă a funcțiilor între noduri dedicate crește stabilitatea sistemului.
5. Optimizare pentru rețele globale:
– Ideal pentru organizații mari, multinaționale, cu prezență globală.
– Permite implementarea de politici de securitate adaptate la nivel regional sau local.
6. Management centralizat cu execuție distribuită:
– Nodurile PAN oferă un punct central de administrare pentru întreaga infrastructură.
– PSN-urile distribuite permit aplicarea locală a politicilor, reducând dependența de conexiunile WAN.
7. Capacități avansate de monitorizare și analiză:
– Nodurile MnT dedicate pot gestiona volume mari de date de jurnalizare și audit.
– Permite analize complexe de securitate și conformitate la scară largă.
8. Considerații de performanță:
– Utilizarea balansatoarelor de sarcină permite o distribuție eficientă a cererilor de autentificare.
– Reduce latența globală prin procesarea locală a autentificărilor.
9. Flexibilitate în upgrade și mentenanță:
– Permite actualizări și mentenanță fără întreruperi, datorită redundanței masive.
10. Adaptabilitate la scenarii complexe:
– Poate gestiona eficient o gamă largă de cazuri de utilizare simultane (802.1X, VPN, BYOD, etc.).
– Oferă capacitatea de a segmenta și izola diferite părți ale rețelei pentru securitate sporită.
Această configurație de implementare mare este concepută pentru organizații de mari dimensiuni cu cerințe complexe de securitate și autentificare. Ea oferă niveluri înalte de performanță, scalabilitate și reziliență, fiind capabilă să gestioneze eficient rețele globale cu milioane de dispozitive și utilizatori.
Ce este un NOD Cisco ISE?
Un nod Cisco Identity Services Engine (ISE) este un server de aplicații care poate fi instalat ca un dispozitiv (complet autonom, fără necesitatea unui software extern pentru a rula ISE) pe un server bare metal (Cisco Secure Network Server), sau ca o mașină virtuală pe VMware, Hyper-V sau KVM. Indiferent dacă rulați persoane ISE dedicate (ca în implementarea mare) sau persoane combinate (ca în implementările mici/medii), se va implementa același dispozitiv software Cisco ISE. Rolul sau persona pe care îl adoptă va fi determinat în funcție de modul în care îl configurați.
Puteți observa cum implementările Cisco ISE pot fi dimensionate corect pentru a se potrivi nevoilor dumneavoastră de implementare, scalând de la foarte mic (1 sau 2 noduri) la enorm (54 de noduri). Sperăm că acest lucru a clarificat considerațiile cheie implicate în determinarea modelului de implementare Cisco ISE cel mai potrivit pentru nevoile dumneavoastră.
Informații suplimentare:
1. Flexibilitatea implementării:
– ISE poate fi implementat pe hardware dedicat sau ca mașină virtuală, oferind flexibilitate în alegerea platformei.
– Aceeași imagine software ISE poate îndeplini diferite roluri, simplificând gestionarea și upgrade-ul.
2. Scalabilitate:
– Capacitatea de a scala de la 1 la 54 de noduri demonstrează versatilitatea soluției ISE.
– Permite organizațiilor să înceapă cu o implementare mică și să crească treptat pe măsură ce nevoile evoluează.
3. Personalizare:
– Configurarea determină rolul nodului, permițând o adaptare ușoară la cerințele specifice ale rețelei.
– Oferă flexibilitate în distribuirea funcțiilor în cadrul rețelei.
4. Considerații pentru alegerea modelului:
– Dimensiunea rețelei și numărul de dispozitive/utilizatori.
– Cerințele de performanță și latență.
– Distribuția geografică a rețelei.
– Bugetul și resursele disponibile.
– Cerințele de redundanță și disponibilitate.
5. Evoluția implementării:
– Posibilitatea de a începe cu o implementare mică și de a o extinde în timp, fără a necesita o reproiectare majoră.
6. Gestionarea unificată:
– Indiferent de dimensiunea implementării, toate nodurile pot fi gestionate centralizat.
7. Considerații de securitate:
– Capacitatea de a implementa politici de securitate consistente în întreaga rețea, indiferent de dimensiunea implementării.
Arhitectura Cisco ISE permite companiilor să implementeze o soluție de securitate robustă și scalabilă, adaptată perfect la nevoile lor specifice, de la implementări mici pentru companii mici sau medii, până la implementări mari pentru corporații multinaționale sau instituții guvernamentale.
Aveti nevoie de mai multe informatii? Doriti sa implementati Cisco ISE in compania dumneavoastra?
In echipa noastra se afla ingineri certificati Cisco care va pot ajuta cu servicii de instalare, configurare, administrare si suport pentru solutia Identity Service Engine.