PSU Week 2016 Nov Sec1 Identity Services Engine

PSU Week 2016 Nov. [Sec-1] 最新の Identity Services Engine ご紹介ダイジェスト版

1. ISEとは © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 3

サポート認証方式 802. 1 X 外部連携： 802. 1 xサプリカント有り従業員端末 MAC Authentication Bypass (MAB) 802.

2. ISEで実現できる付加価値　　- 連携ソリューション紹介 © 2016 Cisco and/or its affiliates. All rights reserved. Cisco

Identityを基に各Serviceを提供するEngine Identitiy #1(認証）・RADIUS / TACACS+ - 802. 1 X / MAC / Web

Identityを基に各Serviceを提供するEngine Identitiy #1(認証） Services ・RADIUS / TACACS+ - 802. 1 X / MAC /

Cisco Platform e. Xchange Grid テクノロジーセキュリティ情報イベント管理 Net. IQ Splunk Stealthwatch Firepower Management

ISE px. Grid + ANC 機能による端末自動隔離 ※ANC : Adaptive Network Control 次世代IPS Firepwer Management

3. ISEの構成、ライセンス © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 28

ISE ライセンス概要必須となるベースライセンスに、必要な機能に応じてライセンスを追加します ISE Apex + Any. Connect Apex ISE Apex • Endpoint

4. 認証、認可について © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 38

認証・認可設定の構造と処理フロー Simple View (ISE Default) Authorization Policy 認証要求 Identity Store Authentication Policy Wired PEAP

Slides: 28

Download presentation

PSU Week 2016 Nov. [Sec-1] 最新の Identity Services Engine ご紹介ダイジェスト版

サポート認証方式 802. 1 X 外部連携： 802. 1 xサプリカント有り従業員端末 MAC Authentication Bypass (MAB) 802. 1 xサプリカントなしユーザインプット不可端末 RADIUS ユーザディレクトリ - RADIUS - Active Directory - LDAP Servers - Token Servers ロギング - Syslog Servers Web Authentication 802. 1 xサプリカントなしゲストアクセス / 持込端末 TACACS+ モニタリング連携 - Prime Infrastructure (PI) ネットワーク機器のアクセス管理 © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public ※ISE 2. 0〜対応（Device Adminライセンスが必要） 6

Identityを基に各Serviceを提供するEngine Identitiy #1(認証）・RADIUS / TACACS+ - 802. 1 X / MAC / Web - AD Login (Easy Connect : Windows Only) ・プロファイリング - H/W, OS, ベンダー…etc Identitiy #2(連携）・デバイス情報：MDM(12社） http: //www. cisco. com/c/en/us/products/security/partner-ecosystem. html ・ロケーション情報：MSE（PI経由）・脆弱性情報：（現在はQualysのみ）・ 3 rd Party NAD（8社） http: //www. cisco. com/c/en/us/td/docs/security/ise/21/release_notes/ise 21_rn. html#pgf. Id-681197 Identitiy #3(px. Grid）・Stealthwatch （Naa. S）・Firepower (Fire & Ice) ・Splunk (SIEM) ・px. Gridに賛同するエコパートナー（約30 社） Services ・認証 / 認可・Co. A (Change of Authorization) （Naa. E）　※後から変更できる「認可」・セグメンテーション（Naa. E） - Trust. Sec - ACL / VLAN ・証明書（発行、失効、認証局） ※認証局として証明書を発行できるのは、　※プロファイリングしたデバイスのみ・ゲストアクセス・検疫（隔離・修復） ※修復にはAny. Connectが必要・DNS / DHCP（Auth. VLANのみ） Services → DNA ・APIC-EM ・Prime Infrastructure © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 21

Identityを基に各Serviceを提供するEngine Identitiy #1(認証） Services ・RADIUS / TACACS+ - 802. 1 X / MAC / Web - AD Login (Easy Connect : Windows Only) ・プロファイリング - H/W, OS, ベンダー…etc Identitiy #2(連携）・デバイス情報：MDM(12社） http: //www. cisco. com/c/en/us/products/security/partner-ecosystem. html ・ロケーション情報：MSE（PI経由）・脆弱性情報：（現在はQualicaのみ）・ 3 rd Party NAD（8社） http: //www. cisco. com/c/en/us/td/docs/security/ise/21/release_notes/ise 21_rn. html#pgf. Id-681197 Identitiy #3(px. Grid）・Stealthwatch （Naa. S）・Firepower (Fire & Ice) ・Splunk (SIEM) ・px. Gridに賛同するエコパートナー（約30 社）一般的な RADIUS サーバ・認証 / 認可・Co. A (Change of Authorization) （Naa. E）　※後から変更できる「認可」・セグメンテーション（Naa. E） - Trust. Sec - ACL / VLAN ・証明書（発行、失効、認証局） ※認証局として証明書を発行できるのは、　※プロファイリングしたデバイスのみ・ゲストアクセス・検疫（隔離・修復） ※修復にはAny. Connectが必要・DNS / DHCP（Auth. VLANのみ） Services → DNA ・APIC-EM ・Prime Infrastructure © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 22

Cisco Platform e. Xchange Grid テクノロジーセキュリティ情報イベント管理 Net. IQ Splunk Stealthwatch Firepower Management Center ID/アクセス管理シングル・サインオン Ping Identity モバイルデバイスマネジメント Io. Tポリシー管理 BAYSHORE px. Grid Cisco ISE 脆弱性アセスメント tenable パケットキャプチャ監査証跡 EMULEX Stealthwatch 3 rd Party ISE Switch Wireless, ASA, WSA 脅威検出トリガーセキュリティポリシーコントローラ通信制御脅威隔離次世代IPS Firepower Management Center 他プロダクトから脅威情報を収集ネットワークをセキュアに制御 © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 24

ISE px. Grid + ANC 機能による端末自動隔離 ※ANC : Adaptive Network Control 次世代IPS Firepwer Management Center Web Access Policy インターネット WSA ANC ASA Policy ファイアウォールリモートアクセス ISE 脅威の検知無線 Trust. Sec ソフトウェア定義型セグメンテーション px. GRID ANC 有線 SW Stealthwatch Net. Flow Trust. Sec キャンパス/DC スイッチシスコルーターエコパートナー製品 © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 26

ISE ライセンス概要必須となるベースライセンスに、必要な機能に応じてライセンスを追加します ISE Apex + Any. Connect Apex ISE Apex • Endpoint compliance and remediation （コンプライアンス） • MDM/EMM capabilities （モバイル管理） Plus • • Device profiling and feed service (プロファイリング) • BYOD with certificate authority (プロビジョニングw/証明書) • Guest Services （ゲストサービス） Cisco Trust. Sec Apex Device Admin TACACS+ Base • • Cisco px. Grid context sharing Adaptive Network Control Plus Device Admin • Any. Connect Apex • Unified Posture Agent （ポスチャ） • • AAA RADIUS/802. 1 x Base ライセンス © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 36

認証・認可設定の構造と処理フロー Simple View (ISE Default) Authorization Policy 認証要求 Identity Store Authentication Policy Wired PEAP 802. 1 x or Service-Type= TLS Framed Wired Host MAB Service-Type= Lookup Cal Check Default PEAP or TLS Active Directory Condition: Identity Group Other Conditions IP Phone Registered Device ＋ Auth=EAP-TLS 証明書 CN Any LDAP Guest RADUIS Authorization Profile ＋ AD: Group=Employee Corporate Device 結果を応答 Device Provisioning Guest Access Default Accept © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 40