View
227
Download
7
Category
Preview:
Citation preview
eXperience ServicesCisco dCloud Japan Local Webinar
第4回 : Identity Services Engine (ISE)ソリューションのご紹介
http://dcloud.cisco.com
Cisco dCloud:
パートナー先
anyone anywhere anytime
お客様先, シスコ社内打ち合わせ, イベント
様々な用途
サポート検証済み
24x5 電話, ウェブサポートライブチャット
用意済みのスクリプトすぐに利用可能
設定済み任意の端末利用が可能
バーチャルパートナー & シスコ社員がアクセス可能ブラウザベース同時複数セッションが可能
カスタマイズ管理者権限カスタマイズ, ローカライズ, 新規のスクリプト作成保存, 共有, 再利用
dCloud
Data CentersAmericas,
APJC, EMEAR
お客様先
http://dcloud.cisco.com
dCloud は各ニーズに対応
• パートナーとシスコ社員向け
• デモスクリプトの用意
• カスタマイズ, ローカライズ, 共有可能
• 任意の端末利用が可能
• BYOD: Bring Your Own Devices
PC端末から直接(AnyConnect VPN)
VPNルータでローカル環境と接続
dCloud
Data CentersAmericas,
APJC, EMEAR
• バーチャルデスクトップ
• PC 上のローカルクライアント
• デモルームの構築
• ローカルのサーバ追加
• 様々な利用用途
http://dcloud.cisco.com
ローカルdCloud
ローカルのラボLAN
自由自在に
dCloudが、あなたのビジネスを助けます!
クラウド上の第三者のコンテンツ
AMERICAS
EMEAR
APJC
GC
dCloud
データセンター
第三者のローカルコンテンツ
インターネット
Cisco dCloudに関するQ&Aを以下のシスコサポートコミュニティにて、日本語で受け付けております。
https://supportforums.cisco.com/ja/community/12255886/systemsengineering
dCloud Webinarの資料及び、レコーディングも、以下のシスコサポートコミュニティにて、ご用意しております。
https://supportforums.cisco.com/ja/document/12986571
http://dcloud.cisco.com
dCloud: dcloud.cisco.com
Twitter: https://twitter.com/ciscodcloud
サポート (英語のみ) :
電話: 1.800.GO-CISCO or 1.408.853.1000
パートナー向け Web サポート: Support Net
dCloud demo ロードマップダウンロードはこちら
各種リソース日本語デモスクリプトdcloudのトップページのHelp -> Localized Contents -> Cisco dCloud
content translated to Japanese
https://communities.cisco.com/docs/DOC-52558 (デモスクリプト)
https://communities.cisco.com/docs/DOC-63997 (ヘルプコンテンツ)
dCloudがサポートしているエンドポイントルータ一覧
https://dcloud-cms.cisco.com/help/supported-routers-and-endpoints-japanese
dCloudによる Cisco Identity Services Engine (ISE) ソリューションとデモシナリオのご紹介
2016年7月21日
シスコシステムズ合同会社
セキュリティ事業
豊島かおり
ネットワーク上で誰が何をしているか把握していますか?
?
見えない“リスク”への対応は困難
?
?
調査した企業の90%がネット
ワークに接続している端末を完全には把握できていない
90% 2030年には五千億ものデバイスが、ネットワークに接続される500B
Cisco Identity Services Engine (ISE)
Anti-BYOD / BYOD ゲストアクセス不正端末排除 私有端末利用
Cisco TrustSecアクセス権限制御
昨今のワークスタイルに求められるマルチデバイス環境に対応した高機能認証サーバ
企業ネットワーク全体に共通ポリシーを適用(有線・無線・VPNアクセスにおけるユーザ管理の統合)
Cisco Family3rd Party Device
※ISE2.0から3rd party NADをサポート範囲を拡張
ISEで実現するセキュアアクセス
Cisco ワイヤレスLAN コントローラ
Ciscoスイッチ
内部リソース
Cisco VPN終端装置
Cisco ISEポリシーサービス
インターネット
クラウドサービス
来訪者にはゲストアカウントを発行しインターネットアクセスを提供
従業員は支給モバイル端末からVPN経由で一部社内サーバを閲覧
役員は私物端末を専用無線LANに接続して業務に利用
従業員はコンプライアンス準拠PC端末から有線経由で社内リソースへフルアクセス
キャンパスネットワーク
Ciscoアクセスポイント
組織のネットワークポリシーを中央で統合管理・監視
※ISE2.0〜対応(Device Adminライセンスが必要)
サポート認証方式802.1X
MAC Authentication Bypass (MAB)
Web Authentication
外部連携:802.1xサプリカント有り従業員端末
802.1xサプリカントなしユーザインプット不可端末
802.1xサプリカントなしゲストアクセス / 持込端末
ユーザディレクトリ- RADIUS
- Active Directory
- LDAP Servers
- Token Servers
ロギング- Syslog Servers
モニタリング連携- Prime Infrastructure
(PI)TACACS+ネットワーク機器のアクセス管理
RADIUS
コンテキストベースの統合ポリシー管理
端末 場所ユーザ 状態 時間 接続方法 カスタム条件 適用ポリシー
ISE2.0〜ロケーションベースのアクセス制御
ロケーションベースのアクセス権変更
ユーザが移動した場所(ロケーション)に応じて、自動的にネットワークへのアクセス権限を変更・強制できます。
特長
ISE 2.0 新機能
ユーザがどの場所にいるかに応じて、ネットワークのアクセスポリシーを自動的に変更できます。セキュリティポリシーの中核を担うISE(Identity Service Engine)と、 無線LANの位置情報エンジンMSE(Mobility
Services Engine) が連携したCiscoソリューションです。
ポリシーの強制定期的にロケーションを確認し、場所の変更により自動的に再認証
シンプルに管理ISEの管理画面でロケーションの制御を設定
細やかなコントロール個々のユーザに対し、今いる場所に応じたロケーションベースのネットワークアクセス制御
ISE の機能概要
• ユーザが位置している部屋やエリアに応じたアクセス権を設定(必要に応じて部屋の階層的な定義も可能)
• MSEのロケーション属性値を、ISEのアクセス制御ポリシーで利用
• ロケーションの変更を定期的にMSEに確認
• ユーザが新しい場所に移動した際に自動で再認証し、新しいアクセス制御ポリシーを強制
セキュリティポリシーと無線LANロケーション - Cisco Mobility Services Engine (MSE) 連携
ロビー患者の入院部屋
ラボ ER
医者閲覧不可 アクセス
可能閲覧不可 アクセス
可能
患者の
個人情報資料
患者の個人情報のアクセス場所
患者の入院部屋
ER
ラボ
ロビー
ISEが提供する接続端末への各種サービス
接続端末の可視化 端末管理・証明書配布サービス
セキュアなゲストアクセスサービスコンプライアンス準拠
IT管理者の個別対応 利用者のセルフサービス
MDM管理端末検疫
※MDM: モバイルデバイスマネジメント
無線ルータ不正利用
WiFi固定キーの流出
申請者向け一時アクセス
マルチデバイス環境を実現するための様々な課題に対応します
ゲストアクセス環境が不整備だと・・・
?
IP:192.168.83.242. MAC:xxx
13時に東京ビルの2階会議室に接続ユーザAさんのiPad (ver 6.0)
BYODのためポリシーアクセス拒否
ポリシー違反端末
• ISE上のエンドポイントプロファイリングポリシーに基づき端末をプロファイル
• フィードサービスによる更新
• カスタムポリシー対応
• 複数のプローブを使用して端末情報を収集
• DHCP / DHCP SPAN
• HTTP / HTTP SPAN
• RADIUS
• Network Scan
• DNS
• SNMP Trap / Query
デバイスプロファイリングCisco Feed
プロファイリングデータの利活用 接続端末の可視化 端末種別に応じた認可
PC
ACL
Mobile
ACLVoice
VLAN
同一ユーザアカウント
ネットワーク上の端末種別を可視化
ユーザ毎の接続端末をモニタリング
端末種別に応じて異なるアクセス権を付与(例:ダイナミックVLAN, ダウンローダブルACL)
デバイスオンボーディング
Cisco ISE
Certificate
Authority
エンタープライズルートCA
(オプション)
• セルフサービスの端末登録フローを提供
• 多様な端末設定オプション
• 無線・有線サプリカント設定
• 証明書配布(外部CAサーバ連携連携、内部認証局機能※ISE 1.3〜)
• サポート端末:iOS, Android, Windows, MAC
※ Androidでは専用App (Network Setup Assistant)、Windows, MACでは専用ウィザードを使用
端末登録ポータル自動設定ウィザード 端末管理ポータル
認証時のユーザIDおよび、申請端末のMACアドレスを属性に持つユーザ証明書を動的に発行
※ISE1.4よりAPI経由, 2.0よりWeb経由の証明書配布に対応
• 登録端末の編集・削除機能を提供する専用ポータル
• 紛失時にも、端末ごとに、すばやく企業ネットワークへの接続拒否 / リモートワイプ(MDM連携時のみ)設定が可能
マイデバイスポータル
• ISE 1.4〜
• BYODフローが実行できないデバイスに対してAPIを利用して証明書を発行・取得できます
• ISE 2.0 〜
• ユーザおよび管理者が簡単に証明書を発行・ダウンロードできる、証明書プロビジョニングポータルに対応
ISE 認証局機能 証明書発行機能拡張
PC: 検疫
OS, パッチ
AV/ASインストール
アプリケーション / プロセス起動
Cisco AnyConnect AgentPostureモジュール
モバイル: MDM連携
MDMポリシーチェック
デバイス登録有無
コンプライアンス準拠
ディスク暗号化
PINロック
ジェイルブレイク
Manufacturer
モデル
IMEI / UDID
シリアルナンバー
OS バージョン
電話番号
6.2
8.0
2013/4
5.5
2.3
7 SP3
App Center 4.1.10
エンドポイントセキュリティ連携
企業端末の識別、コンプライアンスチェックおよび修復
ネットワークを問わず(無線・有線・VPN)一貫性のある端末コンプライアンスを提供
パッチマネジメントシステム
Windows, MACの検疫に対応
ゲストアクセスサービス
マルチデバイス、マルチランゲージ対応
無線・有線で共通インターフェイスを提供
利用規約の同意やパスワード変更、アカウント申請などの追加オプション
シンプルかつ詳細な画面カスタマイズ
有効期限付き一時アカウントの簡単発行
ユーザ権限に応じた発行ポリシーの制御(有効期限・アクセス権限等)
メール・印刷での発行アカウント通知
ゲストアカウントおよび発行者のトラッキング
利用・発行履歴のレポート
ゲストポータル スポンサーポータル
セキュリティシステムとISEの連携
無線LANコントローラ /
アクセススイッチ
サーバ
侵害された端末
PC
PC
侵害された端末の情報をISEに通知
①
②
ISE
Firepower / Firesight
Firepowerがネットワーク内で発生する攻撃やマルウェア拡散を監視
③ ネットワーク機器と連携し、該当端末を隔離
※ ISE 1.3以降およびFirepower 5.4, 6.1でサポート(注:Firepower 6.0では非サポート)
• Cisco ISE 2.0 For BYOD and Guest Management v1.1ISE 2.0 でサポートする、デバイス管理(TACACS+)、デバイスオンボーディング、ゲストアクセス、ロケーションベースサービスの4つの機能それぞれでデモシナリオが用意された環境
• Demo Guide - ISE 2.0 Device Administration v1.1
• Demo Guide - ISE 2.0 Device Onboarding v1.1
• Demo Guide - ISE 2.0 Guest Access v1.1
• Demo Guide - ISE 2.0 Location Based Services v1.1
• Cisco Rapid Threat Containment v1エンドポイント端末の感染をFirepowerが検知し、ISEと連携して自動でネットワーク隔離
ISEデモシナリオ
• Splunk Enterprise 6.2 with Cisco Security Suite v1• SpPKUNK
• Splunk Cisco Appを利用した各種シスコセキュリティ機器の監視
• Cisco AnyConnect 4.1 with Advanced Malware Protection v1
• AnyConnect ポスチャモジュールを利用した、ISE検疫機能のデモンストレーションを含む
• Cisco Network as a Sensor and Enforcer v1
• Cisco Firepower Threat Defense Lab v1
• Cisco Stealthwatch 6.7 v2
• Cisco Stealthwatchのデモにて、ISEが取得したコンテキスト情報の閲覧や、端末隔離連携が可能
• Cisco Prime Infrastructure X.X
その他のISE関連デモシナリオ
• Cisco ISE 2.0 For BYOD and Guest Management v1.1ISE 2.0 でサポートする、デバイス管理(TACACS+)、デバイスオンボーディング、ゲストアクセス、ロケーションベースサービスの4つの機能それぞれでデモシナリオが用意された環境
• Demo Guide - ISE 2.0 Device Administration v1.1
• Demo Guide - ISE 2.0 Device Onboarding v1.1
• Demo Guide - ISE 2.0 Guest Access v1.1
• Demo Guide - ISE 2.0 Location Based Services v1.1
• Cisco Rapid Threat Containment v1エンドポイント端末の感染をFirepowerが検知し、ISEと連携して自動でネットワーク隔離を実施する
ISEデモシナリオ
環境と事前設定
推奨エンドポイントルータ/AP
Cisco dCloud 用に登録および構成された 819Wルータ
Cisco Aironetシリーズアクセスポイント(3000、2000、または 1000 シリーズ)
※ Device Onboarding, Guest Access, Location
Based Services のデモでは、実際にエンドポイントをデモ環境のWLANに接続します。このためルータまたはAPを環境に接続する事前設定が必要です。
Device Administrationデモ画面イメージ
IOSの場合
vWLCの場合
Device Administrationデモ画面イメージ
ISE設定画面の確認
Location Based Services デモ画面イメージ
Prime Infrastructure の Map上にAPを配置し、位置情報を取得
Location Based Services デモ画面イメージ
ISE設定画面
• Cisco ISE 2.0 For BYOD and Guest Management v1.1ISE 2.0 でサポートする、デバイス管理(TACACS+)、デバイスオンボーディング、ゲストアクセス、ロケーションベースサービスの4つの機能それぞれでデモシナリオが用意された環境
• Demo Guide - ISE 2.0 Device Administration v1.1
• Demo Guide - ISE 2.0 Device Onboarding v1.1
• Demo Guide - ISE 2.0 Guest Access v1.1
• Demo Guide - ISE 2.0 Location Based Services v1.1
• Cisco Rapid Threat Containment v1エンドポイント端末の感染をFirepowerが検知し、ISEと連携して自動でネットワーク隔離を実施する
ISEデモシナリオ
環境
Rapid Threat Containment デモ画面イメージ
エンドポイント端末の感染 ISE Live Log : ステータス変更の確認
Thank you.
Recommended