FiveFold Blog > #Cybersecurity
Cisco ISE

Avete già sentito parlare dei vantaggi di un Network Access Control (NAC) e in particolare di Cisco Identity Services Engine (ISE)?

 

Oggi segmentare il traffico sulla rete dovrebbe significare più di una VLAN voce e dati separata. Un rapido esempio: se si ha intenzione di superare un audit di conformità che richiede di dimostrare che il sistema HVAC non è in grado di comunicare con i terminali del punto vendita, è necessario implementare una soluzione NAC.

 

Una soluzione NAC come Cisco ISE ti consente di implementare i privilegi minimi sulla tua rete. In soldoni, permette alle persone e ai dispositivi di fare solo ciò che è richiesto per il loro ruolo o funzione.

 

Definizione di Cisco ISE

 

Cisco ISE è un server di controllo degli accessi, che utilizza protocolli standard aperti per comunicare con dispositivi di accesso alla rete come switch, controller LAN wireless e concentratori VPN, per applicare i criteri di accesso alla rete. ISE fa molto di più che fornire funzionalità NAC di base. Rappresenta, di fatto, l’arma vincente in un ecosistema di sicurezza. Vediamo come, nello specifico.

 

Essendo ISE il “cervello” che regola l’accesso alla rete, consente di raccogliere, utilizzare e condividere un contesto molto ampio. Tale contesto può provenire praticamente da qualsiasi cosa con cui ISE comunica. Endpoint, dispositivi di rete, archivi di identità, scanner di vulnerabilità, strumenti di rilevamento delle minacce, solo per citarne alcuni.

 

Ma cosa consente la condivisione di questi dati? Si chiama grid exchange platform, o pxGrid in breve.  E’ la piattaforma che veicola tutti i messaggi, dati e informazioni contenuti nelle azioni di ISE.

 

La prossima domanda che potresti  farti è: come utilizzano questi dati i componenti di un’infrastruttura regolata da ISE?

 

Le possibili azioni sono 4:

  • ISE condivide i dati appresi con un componente dell’infrastruttura

 

  • Al contrario, ISE apprende dati da un un componente dell’infrastruttura, quindi li confronta con le policies aziendali.

 

  • ISE intraprende un’azione di difesa “per conto” di un componente dell’infrastruttura

 

  •  Intermediazione ISE tra un componente ed un altro.

 

Al fine di approfondire questi scenari, analizziamo le 4 situazioni con esempi pratici:

 

1. Condivisione dei dati appresi da un componente dell’infrastruttura

 

Questo è lo scenario di gran lunga più comune. ISE, in genere, ha sotto controllo gran parte del contesto e quindi può condividerlo con i dispositivi dell’ecosistema consentendo a tali sistemi di fornire funzionalità altrimenti non disponibili.

 

Un esempio di questa condivisione del contesto è ISE che condivide le informazioni sull’identità (nome utente) con Cisco Stealthwatch. Ciò consente a Stealthwatch di ricamare quel nome utente con i dati Netflow, fornendo informazioni utili nella sua console di gestione e reportistica. Un altro esempio potrebbe essere ISE che condivide le informazioni Scalable Group Tag (STG) con i firewall Cisco ASA e Firepower Next Generation. Ciò consente agli amministratori di NGFW di creare policy firewall basate su STG anziché sulle tradizionali regole basate sull’indirizzo IP. Ciò a sua volta consente un magico disaccoppiamento degli indirizzi di rete e della politica di controllo degli accessi.

 

2. ISE apprende dati da un un componente dell’infrastruttura

 

In questo scenario, è il partner dell’ecosistema che fornisce informazioni ad ISE. Si chiama pxGrid context ed è il meccanismo che consente a ISE di utilizzare i dati ricevuti per arricchire la gamma di policies, fornendo funzionalità NAC per i dispositivi IoT.

 

Ad esempio, tool utilizzati nelle industrie come Cloudpost Networks e Medigate pubblicano le informazioni sugli asset e sui dispositivi IoT su ISE. Questo è anche il caso dell’IND (direttore della rete industriale) di Cisco. Cisco IND utilizza pxGrid per arricchire il database endpoint ISE che a sua volta può essere utilizzato per definire criteri di controllo degli accessi in ISE.

3. Azione di difesa “per conto” di un componente dell’infrastruttura

 

In questa casistica si inizia davvero a vedere il valore di queste integrazioni. ISE può integrarsi con i prodotti di rilevamento delle minacce e intraprendere azioni per mitigare una minaccia, se rilevata. Ciò che consente di fare è alterare (mettere in quarantena) il livello di accesso alla rete di un endpoint anche dopo averlo autenticato correttamente nella rete. Questa funzionalità si chiama Rapid Threat ed è compatibile con diversi prodotti di rilevamento delle minacce di terze parti e Cisco, come il Firepower Management Center di Cisco e Cisco Stealthwatch.

 

Un altro flusso di mitigazione delle minacce è il NAC incentrato sulle minacce (TC-NAC). Quest ultimo consente a ISE di integrarsi con i prodotti di scansione delle vulnerabilità come Qualys, Tenable, Rapid7 o feed di intelligence sulle minacce di Cisco AMP per endpoint e Cisco Cognitive Threat Analytics.

 

Questi prodotti verranno condivisi con ISE, consentendo ad esso di prendere decisioni basate su policies. Vale la pena notare che TC-NAC attualmente non si basa su pxGrid. Utilizza, piuttosto, formati di condivisione delle minacce standard del settore come Structured Threat Information Expression (STIX) e Trusted Automatic Exchange of Indicator Information (TAXII).

 

4. Intermediazione ISE tra un componente ed un altro.

 

ISE può svolgere il ruolo di “broker” di dati e informazioni da un dispositivo, macchinario o sistema a un altro, consentendo la condivisione bidirezionale del contesto tra partner ecosistemici. I componenti dell’infrastruttura possono pubblicare informazioni specifiche (contesto) come argomenti dinamici. Ciò consente ad altri partner ecosistemici “interessati” a questi dati di riceverli prontamente.

 

Un esempio di tale integrazione è con il prodotto Infoblox IP Address Management. Infoblox pubblica la tabella IPAM e le informazioni DHCP su pxGrid, consentendo ad altri utenti dell’ecosistema di ricevere tali informazioni.

 

 

Pensi che sia finita qui? Assolutamente no!

 

Il framework di messaggistica pxGrid non è l’unico mezzo con cui ISE può esprimersi in un’infrastruttura. ISE fornisce anche un ricco set di API tradizionali. I “Servizi RESTful esterni” ISE (o in breve ERS), consentono l’integrazione dei partner dell’ecosistema con o senza pxGrid. Queste API sono in genere utilizzate per la configurazione e la gestione di ISE. Un esempio di integrazione sarebbe il sistema di gestione dei visitatori Envoy. Una società che utilizza Envoy per la gestione dei visitatori può facilmente integrarlo con ISE per creare e gestire automaticamente gli account di accesso agli ospiti Internet con ISE.

 

Infine, ISE può utilizzare e successivamente condividere informazioni sull’identità da una fonte di identità esterna. Si chiama ISE passive ID. Con esso, ISE raccoglie i dati di autenticazione da numerose fonti come Active Directory, porta SPAN di rete, syslog o persino API personalizzate.

 

Questi dati sono in genere un nome utente per la mappatura IP. ISE quindi condivide queste informazioni con i le componenti interessate. Cisco Stealthwatch e Firepower sono esempi di “consumatori” di questo Passive ID, in quanto lo utilizzano per applicare policies basate sull’identità, da una fonte affidabile.

 

E’ possibile trovare ulteriori informazioni su queste integrazioni dei partner dell’ecosistema qui.   Sulla pagina della community ISE vengono descritte tutte le integrazioni dell’ecosistema ISE esistenti.

 

In conclusione, si può dire che Cisco ISE è più di una semplice soluzione NAC. È una soluzione completa per la gestione delle identità e l’accesso che gioca molto bene nell’ecosistema di sicurezza di un’infrastruttura, consentendo alla sua base di utenti di sfruttare molte integrazioni di terze parti.

 

#LetsDoITtogether

Tags

Lascia un commento

Ci farebbe piacere sentirvi! I tuoi commenti appariranno immediatamente sul sito. Spam, commenti promozionali e dispregiativi saranno rimossi e la formattazione HTML non apparirà.