ویژگی‌های Cisco ISE نسخه 3.2

ویژگی‌های Cisco ISE نسخه 3.2

شرکت سیسکو از نسخه 3.0 تغییرات قابل توجهی را در پلتفرم Cisco ISE ایجاد کرده است؛ مانند امکان نصب و راه‌اندازی بر روی سامانه‌های رایانش ابری عمومی (Public Cloud)، اما در این مقاله تمرکز بر روی فهرست نمودن این ویژگی‌ها در نسخه 3.2 هست.

• امکان استفاده از Cisco ISE - Dark Mode

امکان Dark Mode در صفحه مدیریتی سیسکو ISE یکی از ویژگی‌هایی است که براساس بازخوردها بیشترین درخواست را از سمت مشتریان شرکت سیسکو داشته است و در نسخه ISE 3.2 این امکان فراهم شده است.

• پشتیبانی Cisco ISE از Multi-Cloud

بسیاری از کسب و کارهای کوچک و Midsize جهت افزایش کارآمدی و امنیت به استفاده از سازوکارهای رایانش ابری و SaaS روی آوردند. همینطور کسب و کارهای بزرگ جهت افزایش دسترس‌پذیری از ساختارهای Cloud استفاده می‌کنند. پلتفرم Cisco ISE پیش‌تر ساختار پیاده‌سازی توزیع شده (Distributed Deployment) را معرفی نموده بود، اما حالا با معرفی امکان نصب و راه اندازی Cisco ISE بر روی Cloud به صورت Native یک قدم دیگر در جهت افزایش انعطاف‌پذیری، پایداری و مقیاس‌پذیری این پلتفرم پیش رفته است.

امکان نصب پلتفرم Cisco ISE بر روی AWS در نسخه 3.1 معرفی شد و در نسخه 3.2 امکان نصب این پلتفرم بر روی Microsoft Azure و Oracle Cloud به وجود آمده است. 

• کاهش حداقل منابع ISE Extra Small (XS) VM

در برخی از پیاده‌سازی‌های پلتفرم Cisco ISE، تعداد کاربران نهایی بسیار کمتر از آن است که یک ماشین مجازی Small می‌تواند پشتیبانی کند، که این مورد به معنای هدر رفت منابع سازمان می‌تواند در نظر گرفته شود. جهت بهبود این وضعیت در نسخه 3.2 ماشین مجازی Extra Small برای پلتفرم Cisco ISE معرفی شده است.

این مدل از پیاده‌سازی تنها به صورت ماشین مجازی (VM) و به صورت Cloud یا On-prem می‌تواند مورد استفاده قرار گیرد و امکان پشتیبانی از 12K Session را به صورت همزمان دارا است. 

• بهینه‌سازی در ساختار Poster Compliance/Assessment

پلتفرم Cisco ISE یکی از عناصر کلیدی در پیاده‌سازی معماری Zero Trust است. در این معماری یکی از موارد قابل توجه و مهم سازگار بودن (Compliance) کاربر نهایی (Endpoint) با سیاست‌های سلامتی تجهیزات (Posture) است، زیرا که سطوح دسترسی می‌تواند براین اساس متغیر باشد. به عنوان مثال اگر آخرین نسخه از وصله‌های امنیتی (Security Patches) بر روی سیستم کاربر نهایی نصب نباشد پتانسیل آسیب رساندن به ایمنی شبکه را دارد، بنابراین بهتر است این کاربر به صورت خودکار در وضعیت ایزوله قرار داده شود (Changing Authorization) تا بتواند به روز رسانی‌های مورد نیاز را دریافت کند. پلتفرم Cisco ISE به صورت پیش‌فرض امکان بررسی بسیاری از Conditionها را دارد٬ اما این امکان وجود دارد که در برخی از سازمان‌ها سیاست‌هایی مورد نیاز باشد که Condition آن در پلتفرم Cisco ISE وجود نداشته باشد. در نسخه 3.2 پلتفرم Cisco ISE امکان بهره‌مندی از توان Scriptهای Powershell برای سیستم عامل Windows و Shell برای سیستم عامل‌های MacOS و Linux اضافه شده است. پلتفرم Cisco ISE می‌تواند با بررسی خروجی این Scriptها از Compliance بودن یا نبودن وضعیت کاربر نهایی اطمینان حاصل کند.

• پشتیبانی Cisco ISE از Multiple MDM/UEM

پیش‌تر پلتفرم Cisco ISE امکان استفاده از چندین Identity Source را به صورت همزمان فراهم نموده بود. در نسخه 3.2 پلتفرم Cisco ISE این امکان برای MDMها نیز فراهم شده است. به صورت عمومی داخل یک Policy امکان مشخص نمودن MDM/UEM برای گرفتن وضعیت کاربر نهایی (Endpoint) وجود دارد٬ اما مشکل زمانی به وجود می‌آید که یک شبکه دارای MDMهای متفاوت بوده و مشخص نباشد Endpoint عضو کدام یک از آن‌ها است. به عنوان نمونه می‌توان به وضعیت گذار یا مهاجرت از یک MDM به MDM دیگر اشاره نمود. در نسخه 3.2 پلتفرم Cisco ISE امکان ایجاد فهرست از MDMها (Sequence) و استفاده از آن‌ها در سیاست‌های مختلف امکان‌پذیر است.

• ایجاد اکوسیستم امنیتی با استفاده از pxGrid-Direct

با استفاده از مکانیزم px-Grid امکان اشتراک‌گذاری داده‌ها که به آن Context-Sharing نیز گفته می‌شود وجود دارد، اما این ساختار زمانی کار آمده است که هر دو پلتفرم این امکان را به صورت ذاتی داشته باشد. در نسخه 3.2 پلتفرم Cisco ISE نسخه جدید از pxGrid با نام pxGrid-Direct معرفی شده است. 

این نسخه یک سازوکار Open Integration است و به پلتفرم‌های دیگر اجازه می‌دهد تا اطلاعات کاربر نهایی (Endpoint data) را با استفاده از REST-API با پلتفرم Cisco ISE به اشتراک بگذارد. در حال حاضر تنها نیازمندی این ارتباط انتقال اطلاعات در قالب JSON است.

• ایجاد گزارش‌های مورد نیاز با استفاده از Data Connect

گزارش‌ها و داشبوردها امکاناتی از پلتفرم Cisco ISE هستند که به صورت پیش‌فرض طراحی شده‌اند. یکی از نیازمندی‌هایی که به دفعات دیده شده، امکان ایجاد داشبورد‌هایی Live و شخصی‌سازی شده براساس داده‌ها و لاگ‌های موجود در پلتفرم Cisco ISE بوده است. در نسخه 3.2 پلتفرم Cisco ISE این امکان فراهم شده است. در این نسخه درگاهی جهت اتصال پلتفرم‌هایی مانند PowerBI ،Tableau ،Kibana و Excel در نظرگرفته شده است. امکان دسترسی به اطلاعاتی مانند Endpointها٬ Sessionها و دیگر داده‌های عملیاتی از طریق این درگاه وجود دارد. این دسترسی‌ها به صورت Read Only بوده و پیشنهاد می‌شود که از طریق Secondary MnT دریافت شود.

• امکان مانیتور نمودن زیرساخت پلتفرم Cisco ISE

پلتفرم Cisco ISE پس از پیاده‌سازی تبدیل به یکی از مهم‌ترین سرویس‌های شبکه می‌شود، زیرا تمامی کنترل‌های دسترسی به عهده این پلتفرم قرار می‌گیرد. بر همین اساس مانیتور نمودن شاخصه‌های مختلف در این زیرساخت مانند میزان استفاده از CPU ،RAM و دیسک از اهمیت بالایی برخوردار است. در نسخه 3.2 پلتفرم Cisco ISE سرویس جدید با نام Prometheus اضافه گردیده است. این سرویس اطلاعات سلامتی تمامی Nodeها را جمع‌آوری نموده و در یک Database براساس سری‌های زمانی ذخیره می‌کند. سرویس Prometheus که به صورت پیش‌فرض در Primary PAN فعال است با ابزار Grafana یکپارچه شده و تمامی شاخص‌های سلامتی را در قالب گراف نمایش می‌دهد.

• امکان استفاده از PATCH در API

تا پیش از نسخه 3.2 پلتفرم Cisco ISE جهت به روز رسانی Objectها با استفاده از API در این پلتفرم می‌بایست از متد PUT استفاده می‌گردید. در متد PUT جهت به روز رسانی یک Object تمامی Attributeها می‌بایست مجدد ارسال می‌شد و این امر سبب شده بود تا مقیاس‌پذیری و استفاده از APIها در محیط‌های عملیاتی سخت‌تر شود. در نسخه 3.2 پلتفرم Cisco ISE استفاده از متد PATCH معرفی شده است. متد PATCH در حال حاضر تنها اطلاعات با فرمت JSON را می‌پذیرد، با این حال امکان استفاده از ابزارهای جانبی جهت به روز رسانی Attribute خاص در پلتفرم Cisco ISE ساده‌تر گردیده است.

• کنترل دسترسی در شبکه‌های 5G - سیسکو ISE

احراز هویت و کنترل دسترسی یکی از موارد مهم در امنیت شبکه است، پلتفرم Cisco ISE این گونه کنترل‌ها را برای ارتباطات Wired ،Wireless و VPN در گذشته و از نسخه 3.2 برای شبکه‌های 5G نیز فراهم نموده است. در شبکه‌های بزرگ امکان استفاده از ارتباطات 5G به صورت جزیره‌ای در برخی از بخش‌ها امکان‌پذیر شده است، اما این امر نیازمند مدیریت سیاست‌های احراز هویت و کنترل دسترسی به صورت جداگانه می‌باشد. با استفاده از نسخه 3.2 پلتفرم Cisco ISE می‌توان تمامی فرایندهای اشاره شده را به صورت مرکزی و یکپارچه انجام داد.

• یکپارچه‌سازی با داشبورد Meraki جهت یکسان‌سازی سیاست

پلتفرم Cisco ISE امکان یکپارچه‌سازی با تجهیزات Meraki را پیش‌تر دارا بود، اما پیاده‌سازی ساختار TrustSEC در یکپارچه سازی سنتی بسیار پیچیده بوده و در برخی موارد غیرممکن. در نسخه 3.2 پلتفرم Cisco ISE درگاه جداگانه‌ای جهت یکپارچه‌سازی و Sync سیاست‌های امنیتی میان پلتفرم Cisco ISE و Meraki ایجاد شده است. در این ساختار امکان انتقال SGTها از طریق UI پلتفرم Cisco ISE با محدودیت حداکثر 60 عدد حاصل شده است. محدودیت موجود به دلیل Constraintها در Cisco Meraki است.