Cisco ISE (Identity Services Engine)

2012 Cisco i/sau entitile sale afiliate. Toate drepturile rezervate. Cisco i sigla Cisco sunt mrci comerciale sau mrci nregistrate ale Cisco i/sau ale entitilor sale afiliate din S.U.A i din alte ri. Pentru a vedea o list a mrcilor comerciale Cisco, accesai acest
URL: www.cisco.com/go/trademarks. Mrcile comerciale tere menionate reprezint proprietatea deintorilor lor de drept. Utilizarea cuvntului partener nu implic neaprat o relaie de parteneriat ntre Cisco i orice alt companie. (1110R)
Prezentare succint
Introducere
Frontierele i serviciile verticalizate ale reelelor
tradiionale de companie sunt de domeniul trecutului.
Reelele actuale trebuie s conecteze o gam tot mai
mare de dispozitive IT de larg consum i, n acelai timp,
s asigure politici centrate pe utilizator i s permit
colaborarea global. Arhitectura Cisco TrustSec
abordeaz aceast schimbare prin politici de acces
bazate pe identitate, care arat cine i ce se conecteaz
la reea, permind departamentelor IT s faciliteze
servicii adecvate fr diminuarea controlului.
Platforma Cisco ISE (Identity Services Engine) vizeaz
facilitarea extins a serviciilor Cisco TrustSec pentru
reele fr frontiere. Cisco ISE (Identity Services Engine)
furnizeaz toate serviciile necesare reelelor de companii
mari AAA, stabilirea profilului dispozitivelor, gradul de
securizare i gestionarea invitailor pe o platform
comun. n calitate de component central a cadrului
Cisco SecureX, Cisco ISE (Identity Services Engine)
asigur o platform cu politici unificate care coreleaz
politicile de securitate organizaionale cu componentele
comerciale, precum securitatea, infrastructura de
reea, identitatea utilizatorilor, resursele i procesele
operaionale IT. Platforma Cisco ISE permite clienilor
s creeze i s gestioneze politici centralizate, n timp
ce soluia Cisco TrustSec asigur politici i aplicare
aacestora la nivelul reelei.
Prezentare general
Cisco ISE este o platform sensibil la context bazat
pe identitate care colecteaz informaii n timp real de
la reea, de la utilizatori i de la dispozitive. Apoi, Cisco
ISE utilizeaz aceste informaii pentru a lua decizii
de coordonare proactive prin aplicarea de politici la
nivelul ntregii infrastructuri de reea utiliznd controale
ncorporate bazate pe standarde. Platforma Cisco ISE
asigur:
Securitate. Cisco ISE securizeaz reeaua prin
asigurarea de vizibilitate n timp real i control asupra
utilizatorilor i dispozitivelor din reea.
Dispozitiv (i IP/MAC)
Locaie
Cunoatere n timp real a reelei de urmrire
a utilizatorilor activi i a dispozitivelor active
ID utilizator
Drepturi de acces
Informaii contextuale
consolidate


Acces simplificat
bazat pe roluri
SGT Public Privat
Angajai Angajai Permitere Permitere
Vizitatori Vizitatori Permitere Refuzare
Vizibilitate la nivelul
ntregului sistem
Depanare i monitorizare
date consolidate

Meninere a structurii logice existente
Gestionare a politicilor SGA
(Security Group Access)

Gestionare a ciclului
de via pentru vizitatori

Asigurare a accesului vizitatorilor
ntr-o manier flexibil i securizat
Evaluare a dispozitivelor integrate
de stabilire a profilului i posturii
Politici consecvente
pentru categorii de dispozitive
Scalare pentru ndeplinirea
cerinelor organizaiilor

Liceniere inovatoare n
arhitectur scalabil
Consol de
administrare
PDP-uri distribuite

M&D

500
100.000
Postura i profilul dispozitivelor cablate i
wireless cu suport pentru senzori de
dispozitive bazai pe reea
MDM*
Conformare la politici. Cisco ISE faciliteaz coordonarea eficient la nivelul companiei prin crearea de politici
consecvente pentru ntreaga infrastructur.
Eficien. Cisco ISE contribuie la sporirea productivitii personalului IT i de administrare a reelei prin
automatizarea activitilor tradiional laborioase i flexibilizarea furnizrii de servicii.
Facilitare. Cisco ISE permite personalului IT s asigure suport unei mari varieti de iniiative noi pentru afaceri, cum
ar fi BYOD (Bring Your Own Device), prin servicii facilitate de politici.
Aspecte evideniate ale soluiei
Politici relevante pentru companie. Cisco ISE faciliteaz crearea de politici centralizate i coordonate i aplicarea
consecvent a acestora la nivelul ntregii infrastructuri a companiei de la biroul directorului pn la biroul de
sucursal.
Vizibilitate operaional la nivelul ntregului sistem. Cisco ISE descoper, evalueaz i monitorizeaz utilizatorii
i echipamentele terminale i utilizeaz capabiliti avansate de depanare pentru a asigura echipelor IT vizibilitate
complet asupra persoanelor i dispozitivelor din reeaua companiei.
Figura 1. Principalele avantaje ale platformei Cisco ISE
2012 Cisco i/sau entitile sale afiliate. Toate drepturile rezervate. Cisco i sigla Cisco sunt mrci comerciale sau mrci nregistrate ale Cisco i/sau ale entitilor sale afiliate din S.U.A i din alte ri. Pentru a vedea o list a mrcilor comerciale Cisco, accesai acest
URL: www.cisco.com/go/trademarks. Mrcile comerciale tere menionate reprezint proprietatea deintorilor lor de drept. Utilizarea cuvntului partener nu implic neaprat o relaie de parteneriat ntre Cisco i orice alt companie. (1110R)
Prezentare succint
Aplicare a politicilor n funcie de context. Cisco ISE colecteaz informaii de la
utilizatori, de la dispozitive, de la infrastructur i de la serviciile de reea pentru
apermite organizaiilor s aplice politici de afaceri bazate pe context la nivelul
ntregii reele. Platforma Cisco ISE (Identity Services Engine) se comport ca o
surs unic a adevrului pentru atribute de identitate complexe din punct de
vedere contextual, inclusiv starea conexiunii, identitatea utilizatorului/dispozitivului,
locaia, ora i funcionalitatea echipamentului terminal.
Stabilire cu precizie maxim a profilului dispozitivelor. Combinaia dintre sondele
de reea pasive bazate pe Cisco ISE i scanarea echipamentelor terminale lucreaz
mpreun cu funcionalitatea senzorului de dispozitive bazat pe infrastructura
Cisco pentru a furniza echipelor IT fidelitatea cerut a echipamentelor terminale i
capabiliti flexibile de stabilire a profilului dispozitivelor necesare pentru cunoaterea
complet a reelei i utilizabilitatea automat a reelei n funcie de tipul de dispozitiv.
Arhitectur cu servicii flexibile. Cisco ISE combin capabilitile AAA, de stabilire
a profilului dispozitivelor, de ierarhizare a securizrii i de gestionare a vizitatorilor
ntr-o platform unic de dispozitive. Platforma Cisco ISE (Identity Services Engine)
se poate implementa la nivelul infrastructurii companiei prin aplicarea serviciilor
adecvate pentru reele cablate, wireless i VPN cu conectivitate 802.1x.
Eficien operaional prin automatizarea politicilor IT. Cisco ISE permite
utilizatorilor s controleze integrarea dispozitivelor proprii prin autonregistrare
i autoaprovizionarea infrastructurii n conformitate cu politicile definite de
departamentul IT. Cisco ISE furnizeaz capabiliti precum acces al invitailor
facilitat de sponsori, clasificare automat a dispozitivelor, integrare automat
aechipamentelor terminale i nregistrare a dispozitivelor facilitat de partaluri,
acordnd echipelor IT mai mult timp pentru efectuarea altor activiti i asigurnd
utilizatorilor o flexibilitate operaional sporit.
Integrare MDM. Cisco va ncheia parteneriate cu principalii furnizori MDM pentru
a permite organizaiilor IT s implementeze aplicaii i servicii adecvate n funcie
de utilizator i de dispozitiv i pentru a le asigura vizibilitate i control sporite
asupra accesului echipamentelor terminale n funcie de politicile definite intern.
*Capabilitate disponibil ncepnd cu a doua jumtate a anului calendaristic
2012.
Componente implementate
Platforma Cisco ISE (Identity Services Engine) face parte dintr-o implementare
a soluiei Cisco TrustSec bazat pe infrastructur care utilizeaz dispozitive de
reea Cisco pentru a extinde aplicarea politicilor de acces la nivelul unei reele.
Componentele suplimentare ale implementrii includ Cisco NAC Agent i Cisco
AnyConnect (sau solicitantul 802.1X nativ) pe echipamentul terminal, switch-uri
Cisco Catalyst i controlere LAN wireless Cisco acionnd ca puncte de aplicare
apoliticilor pentru reeaua LAN i Cisco Adaptive Security Appliances pentru acces
la distan securizat. De asemenea, platforma Cisco ISE (Identity Services Engine)
se integreaz cu servicii de repertoriu precum Microsoft Active Directory i Sun ONE
Directory Server n calitate de puncte de informare pentru politici. n viitor, platforma
Cisco ISE se va integra, de asemenea, cu principalii furnizori MDM n calitate de puncte
de informare pentru politici.
Figura 2. Componentele arhitecturii soluiei Cisco TrustSec
Administrare a
politicilor Decizii
bazate pe politici
Aplicare
politici
(TrustSec)
Informaii
pentru politici
(TrustSec)
Cisco ISE (Identity Services Engine)
Sistem de politici de acces bazate pe identitate
Switch-uri Cisco Catalyst 2960/3560/3750/4500/
6500, switch-uri Cisco Nexus 5000/7000,
infrastructur pentru comunicaii wireless i routare
Cisco ASA, Cisco ISR, Cisco ASR 1000
Clieni persisteni i temporali fr costuri pentru
ierarhizarea securizrii i remediere
Cisco AnyConnect sau
solicitant integrat n SO
Cisco NAC Agent Cisco Web Agent Solicitant 802.1X
Prezentare i liceniere
Platforma Cisco ISE (Identity Services Engine) este disponibil ca echipament fizic sau
ca echipament virtual. Opiunile de liceniere permit clienilor s aleag funcionalitatea
necesar n funcie de numrul de echipamente terminale active din reea.
n funcie de mediile i politicile operaionale, clienii care au deja implementate
soluii Cisco ACS i Cisco NAC pot lua n considerare migrarea la o soluie Cisco ISE.
Platforma Cisco ISE este evoluia natural a serviciilor de acces pentru echipamente
terminale furnizate n prezent de portofoliul Cisco ACS i NAC, fapt care a determinat
reducerea corespunztoare de ctre Cisco a costurilor CAPEX de migrare la ISE.
2012 Cisco i/sau entitile sale afiliate. Toate drepturile rezervate. Cisco i sigla Cisco sunt mrci comerciale sau mrci nregistrate ale Cisco i/sau ale entitilor sale afiliate din S.U.A i din alte ri. Pentru a vedea o list a mrcilor comerciale Cisco, accesai acest
URL: www.cisco.com/go/trademarks. Mrcile comerciale tere menionate reprezint proprietatea deintorilor lor de drept. Utilizarea cuvntului partener nu implic neaprat o relaie de parteneriat ntre Cisco i orice alt companie. (1110R) C45-654884-05 07/12
Prezentare succint
Liceniere
Licenele de baz sunt destinate organizaiilor care doresc s autentifice i s
autorizeze utilizatorii i dispozitivele n reelele (cablate, wireless i VPN) proprii.
Licenele de baz includ suport pentru servicii AAA, gestionare a ciclurilor de via
pentru vizitatori, raportare a conformrii la politici i monitorizare i depanare complete.
Licenele de tipul avansat extind funcionalitatea licenelor de baz, permind
organizaiilor s ia decizii mai complexe bazate pe politici n funcie de informaii
contextuale mai complexe despre utilizatori i dispozitive. Licenele de tipul avansat
includ caracteristici precum integrarea automat a echipamentelor terminale, stabilirea
profilului dispozitivelor, servicii de ierarhizare a securizrii i capabiliti de aplicare
apoliticilor SGA (Security Group Access).
Licenele Wireless sunt destinate organizaiilor care doresc s nceap implementarea
platformei Cisco ISE (Identity Services Engine) numai pentru echipamente terminale
wireless. Licenele Wireless sunt, de fapt, combinaii predefinite de licene de baz i
avansate. Licenele Wireless Upgrade permit clienilor care pornesc numai cu licene
Wireless s extind implementrile la echipamente terminale cablate i VPN.
Figura 3. Opiuni de implementare i de liceniere a platformei Cisco ISE
De ce Cisco ISE (Identity Services Engine)?
Lider pe pia:
Cea mai mare cot de pia n ceea ce privete numrul de implementri;
Clasificare continu pe locul 1 de ctre analiti reputai din domeniu i n raportul
Gartner NAC Magic Quadrant publicat n decembrie 2011;
Platform creat de compania cu activiti de pionierat n tehnologiile originale de
accesare a reelelor i care a dezvoltat numeroase standarde n domeniu;
Singura soluie complex de la un singur furnizor disponibil n prezent.
Lider n tehnologii i soluii:
Combinaie unic a caracteristicilor AAA, de stabilire a profilului dispozitivelor, de
ierarhizare a securizrii i de gestionare a vizitatorilor ntr-o platform unic de
dispozitive, simplificnd implementrile i integrnd administrarea;
Reducere semnificativ a costurilor totale prin caracteristici foarte performante de
monitorizare i depanare destinate flexibilizrii operaiilor pentru centrele de apeluri
i echipele de asisten;
Asigurare a unei securizri complexe prin integrarea cu caracteristici infrastructurale
ncorporate, precum SGA (Security Group Access).
Informaii suplimentare
Pentru informaii suplimentare despre platforma Cisco ISE (Identity Services Engine),
vizitai http://www.cisco.com/go/ise. Pentru informaii suplimentare despre soluia
Cisco TrustSec i gama complet de produse din componena soluiei, vizitai
http://www.cisco.com/go/trustsec.
Platforme de dispozitive
Mici 3315/1121 | Medii 3355 | Mari 3395 | Dispozitive virtuale
Licen
ISE Base
Autentificare/
Autorizare
Asigurare a
accesului vizitatorilor
Politici de criptare
a legturilor
Echipamentele mele
terminale sunt autorizate?
Stabilire a profilului
dispozitivelor
Ierarhizare a
securizrii gazdelor
SGA (Security
Group Access)
Integrare a echipamentelor
terminale
Echipamentele mele
terminale se
conformeaz politicilor?
Licen ISE
Advanced
Toate serviciile
de baz
Toate serviciile
avansate
Base + Advanced
Licen ISE
Wireless