Upload
lyngoc
View
213
Download
0
Embed Size (px)
Citation preview
Stands for integration.
Solutia Identity
Services Engine pentru
retele Enterprise
.
Valeriu Filipescu, Project Manager Cronus eBusiness
Stands for integration.
Pozitionare solutie
Gartner Magic Quadrant
pentru Controlul
Acessului in Retea
Stands for integration.
Your expectations are high. We provide higher solutions.
Prezentare generala solutie
Administrare politici
Decizia de a aplica
politici
Identity Services Engine (ISE)
Identity Access Policy System
Aplicarea Politicilor
TrustSec Powered
Catalyst 2900/3560/3700/4500/6500, and
Nexus 7000/5000/2000 switches,
Wireless and Routing Infrastructure Cisco ASA, ISR, ASR 1000
Culegere date
pentru politici
TrustSec Powered No-Cost Persistent and Temporal Clients
for Posture, and Remediation
NAC Agent Web Agent
AnyConnect or
OS-Embedded Supplicant
802.1X Supplicant
Accesul pe baza de identitate este o caracteristica a retelei
Cuprinde accesul pe fir, radio cat si VPN
Stands for integration.
Emergent Systems, Convergent Networks
Identitate functie de context
IDENTITATE
CINE? CE? DE UNDE? CAND? CUM?
Acces vizitator
Identificare echipament
Conformitate
802.1X
MAB
Auth WEB CISCO SWITCHES, ROUTERS, WIRELESS ACCESS POINTS
Camera de securitate Personal iPad
Angajat, Marketing
Comunicatie pe fir
3 p.m.
Vizitator
Access radio
9 a.m.
Dispozitiv fara agent
Depozit Ploiesti
Consultant
HQ - IT
Acces VPN
6 p.m.
Detinut de angajat
Radio HQ
CONTEXT
Stands for integration.
Retea constienta de identitate si context
Aplicare scalabila
VLANs
Liste de acces
Secure Group Tags *
Criptare MACsec *
Acces controlat
pe baza de politici
* =
Retea constienta de identitate si context
Centru de date Intranet Internet Zone
securizate
Cisco
Innovation
Stands for integration.
Management vizitatori
Guest Policy
Guests
Autentificare
WEB
Access pe fir sau radio
Access doar Internet
Pregatire:
Creare cont de vizitator prin Portalul Sponsorului
Informare:
Vizitatorului despre cont prin email, sms sau imprimarea acestuia
Gestionare:
Privilegii Sponsor, conturi de vizitatori si Politici, Portal Vizitatori
Rapoarte:
Despre toate aspectele referitoare la conturile de vizitatori
Internet
Stands for integration.
Identity Service Engine
• Politica Centralizata
• Server RADIUS
• Verificare
compatibilitate
• Serviciu de access
Vizitatori
• Identificare
echipamente
• Monitorizare
• Depanare
• Raportare
ACS
NAC
Profiler
NAC
Guest
NAC
Manager
NAC
Server
Identity
Services
Engine
• Server de politici
proiectat pentru
TrustSec
Stands for integration.
Tipuri de noduri ISE
• Policy Service Node (PSN)
– Ia decizii de aplicare a politicilor
– Server Radius si destinatie pentru informatii de identificare
echipament
• Policy Administration Node
– Ofera interfata de configurarea a sistemului si politicilor
– Are access de scriere in bazele de date
• Monitoring & Troubleshooting Node (MnT)
– Interfata pentru raportari si jurnalizare evenimente
– Destinatia pentru evenimentele raportate de echipamentele de
rete de access
• Inline Posture Node (IPN)
– Aplica politici pentru echipamente de retea care
nu pot face acest lucru
IPN
Stands for integration.
Policy Service Node (PSN) Ia decizii pentru:
Accesul in retea (serviciu AAA Radius)
Verificarea compatibilitatii echipamentului cu politica
stabilita
Access utilizatori (Portal WEB)
Identificarea tipurilor de echipamente
Provizionare client
• Comunicarea directa cu aplicatiile externe de
management al identitatii (AD,LDAP, Server
Token, Server de certificate)
• Ofera portaluri pentru Sponsor, descarcare
agent client, acces vizitatori, inregistrare
echipamente si asocierea acestora la retea in
cazul BYOD
Verificare
compatibilitate/
Autentificare WEB/
Provizionare client
RADIUS/Identificare echipament
AD/LDAP
/RADIUS
Stands for integration.
Implementare ISE redundanta
• Toate functiunile de ISE ruleaza pe un singur server (fizic sau virtual).
• Numarul maxim de echipamente suportate pentru acest tip de dezvoltare:
5000 pentru SNS3415
10000 pentru SNS3495
Stands for integration.
Implementare cu mai multe noduri
Numar maxim de echipamente concurente cu noduri separate de
Administrare, Monitorizare, Aplicare Politici (PSN).
250,000 for 3495 as PAN
Numar maxim de echipamente concurente cu functie de Administrare si
Monitorizare intr-un singur nod.
5,000 for 3415 as PAN/MnT
10,000 for 3495 as PAN/MnT
Numar maxim de Servere aplicare politici (PSN) in implementare cu noduri
de functiuni separate pentru Administrare, Monitorizare, si Servere aplicare
politici (PSN)
40 for 3495 as PAN
Numar maxim de Servere aplicare politici (PSN) in implementare cu noduri
care au functiune comuna de Administrare si Monitorizare
5
Stands for integration.
Tipuri echipamente ISE
Platform Processor RAM Hard disk RAID Ethernet
NIC Power
Cisco Secure
Network Server
3415
(Small/Medium)
1 x QuadCore
Intel Xeon CPU
E5-2609
@ 2.40 GHz (4
total cores)
16GB
1 x 600-GB 10k
SAS HDD
(600 GB total
disk space)
No
4 x
Integrated
Gigabit
NICs
Cisco Secure
Network Server
3495 (Large)
2 x QuadCore
Intel Xeon CPU
E5-2609
@ 2.40 GHz (8
total cores)
32GB
2 x 600-GB 10k
SAS HDDs
(600 GB total
disk space)
Yes
(RAID 1)
4 x
Integrated
Gigabit
NICs
Redunda
nt
Masina Virtuala Specificatii comparabile cu apliance-urile fizice
Stands for integration.
Wireless Upgrade Lic (ATP) Politici extinse pentru echipamente conectate prin fir si VPN
Licenta Wireless Poliitici pentru echipamente conectate radio
Licente pentru 5 ani
Platforme
Licenta tip Base (ATP) Politici pentru fir, radio si VPN
Licenta tip Advance (ATP) Politici pentru fir, radio si VPN
• Autentificare si autorizare
• Provizionare Vizitatori
• Politici de criptare link
• Identificare echipamente
• Rezolvare compliance
• SGA – Security Group Access
Small / Medium 3415 | Large 3495 | Virtual Appliance
Licenta permanenta
Licenta pentru 3/5 ani
Licentiere solutie ISE
Stands for integration.
Tipuri de instalare ISE: Centralizat
Instalare centralizata
HA Inline Posture Nodes
ASA VPN
AP
WLC 802.1X
Switch 802.1X
AD/LDAP (External
ID/Attribute Store)
Policy Services Cluster Monitor Admin
Data Center A
Toate tipurile de ISE instalate intr-o singura
locatie
Stands for integration.
Tipuri de instalare ISE: Distribuit
AP Switch 802.1X
Instalare Distribuita Policy Services Cluster Monitor Admin
Data Center A
HA Inline Posture Nodes
ASA VPN
AD/LDAP (External
ID/Attribute Store)
Nodurile ISE instalate in diferite locatii
AP
Switch 802.1X
Monitor (S)
Admin (S)
AD/LDAP (External
ID/Attribute Store) Data
Center B
WLC 802.1X
Switch 802.1X
Branch B Branch A
AP Switch 802.1X
AP
WLC 802.1X
Distributed Policy Services