Cisco ISE：概要、要件、インストール。 パート1

1.はじめに

すべての企業は、たとえ小規模な企業であっても、認証、認可、およびユーザー アカウンティング (AAA ファミリのプロトコル) を必要としています。初期段階では、AAA は RADIUS、TACACS+、DIAMETER などのプロトコルを使用して非常に適切に実装されます。ただし、ユーザーと会社の数が増加するにつれて、ホストと BYOD デバイスの最大限の可視性、多要素認証、マルチレベルのアクセス ポリシーの作成など、タスクの数も増加します。

このようなタスクには、NAC (ネットワーク アクセス コントロール) クラスのソリューション、つまりネットワーク アクセス コントロールが最適です。に特化した一連の記事で、 Cisco ISE (Identity Services Engine) - 内部ネットワーク上のユーザーにコンテキスト認識型のアクセス制御を提供するための NAC ソリューション。ソリューションのアーキテクチャ、プロビジョニング、構成、ライセンスについて詳しく説明します。

Cisco ISE では次のことが可能であることを簡単に思い出させてください。

• 専用 WLAN 上でゲスト アクセスを迅速かつ簡単に作成します。

• BYOD デバイス (従業員が職場に持ち込んだ自宅の PC など) を検出します。

• SGT セキュリティ グループ ラベルを使用して、ドメイン ユーザーと非ドメイン ユーザー全体にセキュリティ ポリシーを一元化し、適用します。 トラストセック);

• コンピューターに特定のソフトウェアがインストールされているかどうか、および標準に準拠しているかどうか (姿勢) を確認します。

• エンドポイントとネットワークデバイスを分類してプロファイリングします。

• エンドポイントの可視性を提供します。

• ユーザーのログオン/ログオフ、そのアカウント (ID) のイベント ログを NGFW に送信して、ユーザー ベースのポリシーを形成します。

• Cisco StealthWatch とネイティブに統合し、セキュリティ インシデントに関与した不審なホストを隔離します (もっと);

• その他、AAA サーバーの標準機能。

業界の同僚がすでに Cisco ISE について書いているので、以下を読むことをお勧めします。 Cisco ISE の実装実践, Cisco ISE の実装を準備する方法.

2。 建築

Identity Services Engine アーキテクチャには、管理ノード (ポリシー管理ノード)、ポリシー配布ノード (ポリシー サービス ノード)、モニタリング ノード (モニタリング ノード)、および PxGrid ノード (PxGrid ノード) の 4 つのエンティティ (ノード) があります。 Cisco ISE は、スタンドアロンまたは分散インストールで使用できます。スタンドアロン バージョンでは、すべてのエンティティが XNUMX つの仮想マシンまたは物理サーバー (セキュア ネットワーク サーバー - SNS) 上に配置されますが、分散バージョンでは、ノードがさまざまなデバイスに分散されます。

ポリシー管理ノード（PAN）は、Cisco ISE ですべての管理操作を実行できるようにする必須のノードです。 AAA に関連するすべてのシステム構成を処理します。分散構成 (ノードを個別の仮想マシンとしてインストールできる) では、フォールト トレランスのために最大 XNUMX つの PAN (アクティブ/スタンバイ モード) を使用できます。

ポリシー サービス ノード (PSN) は、ネットワーク アクセス、状態、ゲスト アクセス、クライアント サービス プロビジョニング、およびプロファイリングを提供する必須のノードです。 PSN はポリシーを評価して適用します。通常、特に分散構成では、より冗長で分散した運用を実現するために、複数の PSN がインストールされます。もちろん、認証および許可されたアクセスを一瞬でも提供できる機能を失わないように、これらのノードを異なるセグメントにインストールしようとします。

モニタリング ノード (MnT) は、イベント ログ、他のノードのログ、およびネットワーク上のポリシーを保存する必須のノードです。 MnT ノードは、監視とトラブルシューティングのための高度なツールを提供し、さまざまなデータを収集して関連付け、さらに有意義なレポートも提供します。 Cisco ISE では、最大 XNUMX つの MnT ノードを使用できるため、フォールト トレランス（アクティブ/スタンバイ モード）が作成されます。ただし、ログはアクティブとパッシブの両方のノードによって収集されます。

PxGrid ノード (PXG) は、PxGrid プロトコルを使用し、PxGrid をサポートする他のデバイス間の通信を可能にするノードです。

ピクセルグリッド  — さまざまなベンダーの IT および情報セキュリティ インフラストラクチャ製品（監視システム、侵入検知および防御システム、セキュリティ ポリシー管理プラットフォーム、その他多くのソリューション）の統合を保証するプロトコル。 Cisco PxGrid を使用すると、API を必要とせずに多くのプラットフォームと一方向または双方向でコンテキストを共有できるため、テクノロジーが可能になります。 トラストセック （SGT タグ）、ANC（Adaptive Network Control）ポリシーの変更と適用、およびプロファイリングの実行（デバイス モデル、OS、場所などの特定）を行います。

高可用性構成では、PxGrid ノードは PAN を介してノード間で情報を複製します。 PAN が無効になっている場合、PxGrid ノードはユーザーの認証、認可、およびアカウンティングを停止します。 

以下は、企業ネットワーク内のさまざまな Cisco ISE エンティティの動作を概略的に表したものです。

図 1. Cisco ISE アーキテクチャ

3. 要件

Cisco ISE は、ほとんどの最新のソリューションと同様に、仮想的または物理的に別個のサーバとして実装できます。 

Cisco ISE ソフトウェアを実行する物理デバイスは、SNS (Secure Network Server) と呼ばれます。中小企業向けには、SNS-3615、SNS-3655、SNS-3695 の 1 つのモデルがあります。表 XNUMX に、次の情報を示します。 データシート SNS。

表1. 規模別SNS比較表

パラメーター

SNS 3615（小）

SNS 3655（中）

SNS 3695（大）

スタンドアロン インストールでサポートされるエンドポイントの数

10000

25000

50000

PSNごとにサポートされるエンドポイントの数

10000

25000

100000

CPU（インテルXeon 2.10GHz）

8コア

12コア

12コア

RAM 

32 GB (2 x 16 GB)

96 GB (6 x 16 GB)

256 GB (16 x 16 GB)

HDD

1×600GB

4×600GB

8×600GB

ハードウェアRAID

ノー

RAID 10、RAID コントローラの存在

RAID 10、RAID コントローラの存在

ネットワークインターフェース

2×10Gbase-T

4×1Gbase-T 

2×10Gbase-T

4×1Gbase-T 

2×10Gbase-T

4×1Gbase-T

仮想実装に関して、サポートされているハイパーバイザーは、VMware ESXi (ESXi 11 の最小 VMware バージョン 6.0 を推奨)、Microsoft Hyper-V、および Linux KVM (RHEL 7.0) です。リソースは上の表とほぼ同じか、それ以上である必要があります。ただし、小規模ビジネス仮想マシンの最小要件は次のとおりです。 CPU 2 2.0 GHz 以上の周波数、 16 GB RAM и 200 GB HDD。 

その他の Cisco ISE 導入の詳細については、お問い合わせください。 私たち または リソース #1, リソース #2.

4. インストール

他のほとんどのシスコ製品と同様に、ISE はいくつかの方法でテストできます。

• クラウド – プレインストールされた実験室レイアウトのクラウド サービス (Cisco アカウントが必要)。

• GVEリクエスト – からのリクエスト сайта Cisco の特定のソフトウェア (パートナー向けの方法)。次の一般的な説明を持つケースを作成します。製品タイプ [ISE]、ISE ソフトウェア [ise-2.7.0.356.SPA.x86]64]、ISE パッチ [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x86]64];

• パイロットプロジェクト — 無料のパイロット プロジェクトを実施するには、認定パートナーに連絡してください。

1) 仮想マシンの作成後、OVA テンプレートではなく ISO ファイルを要求した場合は、ISE がインストールを選択するよう求めるウィンドウが表示されます。これを行うには、ログイン名とパスワードの代わりに、「 «！

注意： OVA テンプレートから ISE を展開した場合、ログインの詳細 管理者/MyIseYPass2 (これとさらに多くのことが公式に示されています) ガイド).

図 2. Cisco ISE のインストール

2) 次に、IP アドレス、DNS、NTP などの必須フィールドに入力する必要があります。

図 3. Cisco ISE の初期化

3) その後、デバイスが再起動し、以前に指定した IP アドレスを使用して Web インターフェイス経由で接続できるようになります。

図 4. Cisco ISE Web インターフェイス

4) タブ内 「管理」 > 「システム」 > 「展開」 特定のデバイスでどのノード (エンティティ) を有効にするかを選択できます。ここで PxGrid ノードが有効になります。

図 5. Cisco ISE エンティティ管理

5) 次にタブで 管理 > システム > 管理者アクセス > 認証 パスワード ポリシー、認証方法 (証明書またはパスワード)、アカウントの有効期限、その他の設定を設定することをお勧めします。

図 6. 認証タイプの設定図 7. パスワード ポリシー設定図 8. 時間が経過した後のアカウントのシャットダウンの設定図 9. アカウント ロックの設定

6) タブ内 [管理] > [システム] > [管理者アクセス] > [管理者] > [管理者ユーザー] > [追加] 新しい管理者を作成できます。

図 10. ローカル Cisco ISE 管理者の作成

7) 新しい管理者は、新しいグループまたは事前定義されたグループの一部にすることができます。管理者グループはタブ内の同じパネルで管理されます 管理者グループ。 表 2 は、ISE 管理者、その権限および役割に関する情報をまとめたものです。

表 2. Cisco ISE 管理者グループ、アクセス レベル、権限、および制限

管理者グループ名

許可

制限

カスタマイズ管理者

ゲストおよびスポンサーシップポータルの設定、管理およびカスタマイズ

ポリシーの変更やレポートの表示ができない

ヘルプデスク管理者

メイン ダッシュボード、すべてのレポート、アラーム、トラブルシューティング ストリームを表示する機能

レポート、アラーム、認証ログを変更、作成、削除することはできません

アイデンティティ管理者

ユーザー、権限、役割の管理、ログ、レポート、アラームの表示機能

OS レベルでポリシーを変更したりタスクを実行したりすることはできません

MnT管理者

完全な監視、レポート、アラーム、ログとその管理

ポリシーを変更できない

ネットワークデバイス管理者

ISE オブジェクトを作成および変更する権限、ログ、レポート、メイン ダッシュボードを表示する権限

OS レベルでポリシーを変更したりタスクを実行したりすることはできません

ポリシー管理者

すべてのポリシーの完全な管理、プロファイルの変更、設定、レポートの表示

認証情報、ISE オブジェクトを使用した設定を実行できない

RBAC管理者

[操作] タブのすべての設定、ANC ポリシー設定、レポート管理

ANC 以外のポリシーを変更したり、OS レベルでタスクを実行したりすることはできません

スーパー管理者

すべての設定、レポート作成および管理に対する権限があり、管理者の資格情報を削除および変更できます。

変更できません。スーパー管理者グループから別のプロファイルを削除してください

システム管理

「操作」タブのすべての設定、システム設定の管理、ANC ポリシー、レポートの表示

ANC 以外のポリシーを変更したり、OS レベルでタスクを実行したりすることはできません

外部 RESTful サービス (ERS) 管理者

Cisco ISE REST API への完全なアクセス

ローカル ユーザー、ホスト、セキュリティ グループ (SG) の承認、管理のみを目的としています。

外部 RESTful サービス (ERS) オペレーター

Cisco ISE REST API 読み取り権限

ローカル ユーザー、ホスト、セキュリティ グループ (SG) の承認、管理のみを目的としています。

図 11. 事前定義された Cisco ISE 管理者グループ

8) タブのオプション 認可 > アクセス許可 > RBAC ポリシー 事前定義された管理者の権限を編集できます。

図 12. Cisco ISE 管理者のプリセット プロファイル権限管理

9) タブ内 「管理」>「システム」>「設定」 すべてのシステム設定が利用可能です (DNS、NTP、SMTP など)。デバイスの初期化時に入力を忘れた場合は、ここで入力できます。

5。 結論

これで最初の記事は終わりです。 Cisco ISE NAC ソリューションの有効性、そのアーキテクチャ、最小要件と展開オプション、および初期インストールについて説明しました。

次の記事では、アカウントの作成、Microsoft Active Directory との統合、ゲスト アクセスの作成について説明します。

このトピックについてご質問がある場合、または製品のテストに関するサポートが必要な場合は、お問い合わせください。 リンク.

私たちのチャンネルで最新情報をチェックしてください（Telegram, Facebook, VK, TSソリューションブログ, Yandex.Den).

出所： habr.com