معرفی قابلیت های جدید نرم افزار امنیتی سیسکو ISE ورژن 3

نرم افزار سیسکو Identity Services Engine و یا بطور خلاصه Cisco ISE یک ابزار پیشرفته برای کنترل و نظارت برتمامی کلاینت ها و کاربران در بستر شبکه میباشد. با افزایش دستگاه های BYOD (دستگاه های شخصی کاربران که با خود به محل کار می آورند)، افزایش دورکاری کارمندان و اپلیکیشن های در بستر کلود، نظارت همه جانبه بیش از پیش مورد نیاز میباشد. بدین منظور شرکت سیسکو تجربه کارکردن با سیسکو ISE را در ورژن سوم به مراتب راحت تر کرده است و توانایی مدیریت و مانیتور کردن فعالیت های غیرعادی، اختلال در دسترسی و تجهیزات BYOD و IoT را ارتقا داده است که در این مطلب به مهم ترین موارد این تغییرات خواهیم پرداخت.

اضافه شدن قابلیت Agentless Posture

در ورژن های قدیم این نرم افزار، با استفاده از NAC Client Agent یا Web Agent سیاست های Posture برروی کلاینت هایی که به شبکه متصل میشدند بررسی و اعمال میگردید و حتما باید این نرم افزارها (Agent ها) برروی کلاینت ها نصب میبود. در ورژن 3 نرم افزار امنیتی سیسکو ISE، این سیاست ها بدون نصب بودن Agent برروی کلاینت ها قابل اجرا میباشد که موجب راحت تر و منعطف شدن این پروسه میشود و میتوان در هرزمان و مکانی اجازه ورود به کلاینتی که شرایط ورود به شبکه را دارا است، داده شود.

اضافه شدن قابلیت 802.1X با هماهنگ شدن Microsoft Azure

اکنون با قابلیت هماهنگ شدن سیسکو ISE با اکتیو دایرکتوری تحت کلود Microsoft Azure میتوان کاربران را با آن احراز هویت کرد. این امر امکان مهاجرت سرویس های شبکه را از بستر فیزیکی به بستر کلود را راحت تر و پشتیبانی و مانیتور آنها را میسر میگرداند. به خاطر داشته باشید برای استفاده از کلیه ویژگی‌های این محصول نیازمند تهیه لایسنس سیسکو ISE هستید.

رابط کاربری گرافیکی جدید

در ورژن 3 نرم افزار ISE رابط کاربری بصورت قابل توجهی ارتقا یافته است. اکنون با استفاده از منوی های مختلف و Expandable میتوان به هر داشبورد و صفحه ای که مدنظر میباشد براحتی و در کوتاه ترین زمان دسترسی پیدا کرد.

همچنین با درنظر گیری سرچ هوشمند برای این نرم افزار، نتایج پیشنهادی بسرعت بشما نمایش داده میشود و در صورت نیاز به بازگشت بصفحه پیشین با یک دکمه این امکان فراهم میشود. علاوه بر این، با استفاده از راهنماهای پیش فرض که در این ورژن درنظرگرفته شده، بصورت مرحله به مرحله تنظیمات و سیاست های مدنظر خود را در نرم افزار امنیتی سیسکو ISE اعمال نمایید. همچنین در صورت ابهام و یا سوالی، با دسترسی آنلاین به بخش Community سیسکو، متخصصان و مشاوران این شرکت برای راهنمایی شما در دسترس خواهند بود. در این ورژن با درنظر گرفته شدن قسمت Make a Wish میتوانید پیشنهادات خود را برای بهبود این نرم افزار در ورژن های آتی برای سیسکو ارسال نمایید.

مدیریت مرکزی سامانه های مستقل سیسکو ISE با استفاده از فناوری REST API

از نسخه 3.1 نرم افزار امنیتی ISE، علاوه بر تغییر داشبوردها و راحت تر شدن تجربه کاری با آن، از ERS APIs و Open APIs  و بمنظور مدیریت جامع و متمرکز برروی تمامی سرورهای ISE موجود در سرپرستی های مختلف، پشتیبانی میکند. بوسیله این ویژگی مشتریان میتوانند با ایجاد پنل مدیریتی جامع و با استفاده از API نرم افزار ISE، سیاست های مختلف را برای تجهیزات شبکه تعریف و برروی آنها فعال نمایند تا مدیریت شبکه بیش از پیش آسان تر گردد.

این قابلیت در شیوه پیاده سازی تماما گسترده با مدیریت غیرمتمرکز موجب میشود تا مدیران با داشتن دسترسی هایی جداگانه در هر استان، توامان توانایی مدیریت جامع تمامی سرورهای ISE را داشته باشند. همچنین، با تعیین دسترسی های گوناگون برای مدیران با رده های مختلف سازمانی، میتوان نحوه دسترسی آنها را به API های گوناگون تعیین نمود. برای مثال میتوان برای مدیران شعبه مرکزی الویت بالاتری درنظر گرفت و امکان ابطال و یا اجبار توسط آنها را، برای بکارگیری سیاست خاصی، تعیین نمود. این شیوه موجب میشود تا درکنار فراهم آمدن امکان مدیریت متمرکز و از طریق متن باز، مراتب سازمانی نیز مدنظر باشد و بدین ترتیب بصورت اتوماتیک و با استفاده از ابزارهای گوناگونی از قبیل Ansible، امکان خودکارسازی فرایندها اعمال گردد.

تا پیش از این و در نسخه های قبلی این نرم افزار، بکارگیری و یا اعمال تغییرات در سیاست های تعریف شده در ISE، نیاز به دسترسی مستقیم به داشبوردهای آن داشت. اما اکنون، APIهای مختلفی که در این نرم افزار بکارگرفته شده اند و در اختیار مدیران قرار گرفته است، مدیریت این محصول پرقدرت را بیش از پیش ساده تر کرده است و موجب کاهش پیچیدگی های آن، مخصوصا در شبکه های پیشرفته از قبیل بانک های بزرگ که PAN های بسیاری در نقاط مختلف تعبیه شده است، میشود. در ادامه انواع API های موجود در نسخه 3.1 نرم افزار امنیتی ISE را مشاهده خواهید کرد.

اتوماسیون بوسیله ERS APIs

ERS API میتواند به منظور اعمال Automation و یا خودکارسازی فرایندها مورد استفاده قرار گیرد. برای این منظور مشتریان میتوانند از هرنوع REST Client موجود از قبیل Java، Curl Linux Command، Python و غیره استفاده نمایند.

مدیریت متمرکز بوسیله Open APIs

در نسخه جدید نرم افزار ISE، OPEN APIهای زیر معرفی گردیده است:

• مدیریت Repository: بوسیله این API امکان ایجاد، حذف و آپدیت Repositoryها مهیا شده است.
• تنظیمات Data Backup and Restore: این API امکان مدیریت پشتیبان گیری از تنظیمات و اعمال دوباره آنها را مهیا میکند.
• مدیریت Certificate: بوسیله این API امکان ایجاد، حذف و آپدیت Certificateها مهیا شده است.
• مدیریت Policy:
  • مدیریت سیاست های RADIUS: بوسیله این API، امکان اعمال تغییرات برروی سیاست هایAuthentication، Authorization، Exception Rules و Global Exception Rules میسر می باشد.
  • مدیریت سیاست های TACACS+: بوسیله این API، امکان اعمال تغییرات برروی سیاست های Device Admin امکان-پذیر است.

مشتریان میتوانند برای هردسته از APIها دسترسی خاصی برای مدیران مختلف، بصورت داخلی یا با استفاده از Active Directory Groups، درنظر بگیرند. برای مثال مدیرانی که دسترسی ERS Operator دارند  امکان اعمال تغییرات برای آنها فعال نخواهد بود و تنها مدیرانی که ERS Admin هستند میتوانند بوسیله APIها تغییرات را اعمال نمایند. همچنین مدیران با role سوپر ادمین (Super Admin) به تمامی APIها دسترسی خواهند داشت.

اضافه شدن قابلیت اسمارت لایسنس PLR سیسکو ISE

یکی از مهم ترین تغییرات نرم افزار امنیتی سیسکو ISE در ورژن سوم ، امکان استفاده از اسمارت لایسنس ها و تغییر انواع این لایسنس ها میباشد. همچنین در Patch دوم این نرم افزار ( Cisco ISE v3.0.548 ) امکان فعال کردن این نرم افزار با استفاده از لایسنس PLR سیسکو ISE فراهم شده است. این لایسنس ISE PLR میتواند تمامی قابلیت های فول این نرم افزار که در ادامه به آن اشاره خواهیم کرد را بصورت دائمی و بدون نیاز به اتصال به وبسایت Cisco Smart Software Management و یا CSSM را مهیا کند.

در ورژن سوم لایسنس Base سیسکو ISE به لایسنس Essentials سیسکو ISE، لایسنس Plus سیسکو ISE به لایسنس Advantage سیسکو ISE و لایسنس Apex سیسکو ISE به لایسنس Premier سیسکو ISE تغییر نام داده اند که در شکل زیر ویژگی ها و قابلیت های هر لایسنس نمایش داده شده است.

با توجه شرایط موجود در ایران و مشکلات متعدد استفاده از لایسنس اسمارت آنلاین روی اسمارت اکانت یا ویرچوال اکانت، استفاده از حالت PLR بسیار مناسب بوده و از نظر هزینه ای نیز بسیار مقرون به صرفه می باشد، همچنین در صورت استفاده از لایسنس PLR تمامی قابلیت‌های نرم افزار امنیتی سیسکو ISE به صورت فول، نامحدود و دائمی فعال می گردد. همچنین شما می‌توانید برای کسب اطلاعات بیشتر در مورد سیسکو ISE چیست؟ به مقاله مربوط به آن مراجعه فرمایید.