Работая над автоматизацией сетевой инфраструктуры (а эта проблема рано или поздно возникает у любой растущей компанией), перед ИТ-отделом постоянно с разных ракурсов появляется вопрос обеспечения безопасности. Один из наиболее чувствительных и трудно автоматизируемых элементов ИБ является управление доступом и контроль проверки подлинности. Отдельных программных инструментов на рынке достаточно, а вот легко интегрируемых в существующие платформы автоматизации сетей - очень мало.
Одним из таких решений является Cisco Identity Services Engine. Как самостоятельный продукт, а также как часть решений по безопасности от Cisco, ISE известен на рынке давно. Но вот об использовании его как средстве контроля в программируемых виртуальных сетях информации не так много. Особенно эффективен этот инструмент вместе с программной архитектурой Cisco DNA.
Когда Cisco DNA генерирует конфигурации и определяет метки группы безопасности (SGT) с соответствующими правилами, Cisco ISE автоматически получает эти метки и, используя матрицу доступа, программно применяет их. Любое устройство или пользователь, который будет обнаружен Cisco DNA, будет сразу же известен и Cisco ISE (включая любые последующие изменения IP-адреса, учетных данных SNMP, CLI, и т.д.). Что особенно важно, если неавторизованный или скомпрометированный пользователь появился онлайн, ISE позволяет удалить разрешение на доступ и, по сути, «выкинуть его», отменив его метку SGT.
Одним из таких решений является Cisco Identity Services Engine. Как самостоятельный продукт, а также как часть решений по безопасности от Cisco, ISE известен на рынке давно. Но вот об использовании его как средстве контроля в программируемых виртуальных сетях информации не так много. Особенно эффективен этот инструмент вместе с программной архитектурой Cisco DNA.
Когда Cisco DNA генерирует конфигурации и определяет метки группы безопасности (SGT) с соответствующими правилами, Cisco ISE автоматически получает эти метки и, используя матрицу доступа, программно применяет их. Любое устройство или пользователь, который будет обнаружен Cisco DNA, будет сразу же известен и Cisco ISE (включая любые последующие изменения IP-адреса, учетных данных SNMP, CLI, и т.д.). Что особенно важно, если неавторизованный или скомпрометированный пользователь появился онлайн, ISE позволяет удалить разрешение на доступ и, по сути, «выкинуть его», отменив его метку SGT.