Varen dostop do omrežja s pomočjo rešitev Cisco ISE in DUO
Predstavljajte si, da ste sistemski ali varnostni inženir v podjetju, ki ravno izvaja prenovo IT infrastrukture, da bi lažje shajali z vedno večjimi potrebami. Zazvoni vam telefon. Direktor informatike vam je zadal nalogo, da boste morali kot naslednji korak varno implementirati nepregledno množico IoT naprav z namenom izboljšanja produktivnosti. Hkrati pa ste ravno sredi migracije v oblak in zagotavljanja varnostne politike za vedno večje število ljudi, ki delajo od doma, nekateri celo s svojimi lastnimi napravami. Kako boste postorili vse to brez povečanja tveganja za varnostni incident? Verjetno si ne želite biti glavni krivec, ki je zaradi ohlapne varnostne politike v omrežje spustil zlonamerno programsko opremo. Ali obratno, da ste zaradi prestroge politike dostopa onemogočili ključno storitev v podjetju.
Avtentikacija, avtorizacija in beleženje uporabe
Tu nastopi Cisco Identity Services Engine, na kratko ISE. V osnovi gre za sistem AAA, torej omogoča enotno avtentikacijo, avtorizacijo in beleženje uporabe. V svojem drobovju pa je še veliko več. Je nepogrešljivo orodje pri zagotavljanju politike ničelnega zaupanja, saj omogoča vpogled v dogajanje v omrežju, profiliranje končnih naprav v različne skupine ter njihovo skladnost z nastavljeno varnostno politiko, s pomočjo integracije drugih varnostnih naprav pa omogoča celo hitro avtomatizirano omejevanje groženj. Vse to lahko nadzirate prek enostavnega in preglednega uporabniškega vmesnika.
Kako pa pravzaprav deluje?
Ko končna naprava zahteva dostop do nečesa, jo ISE prepozna in vzpostavi nivo zaupanja, hkrati pa preveri, ali je skladna z varnostno politiko, tj. da nima varnostnih lukenj, da ima nameščene vse zahtevane popravke ipd. Nato ISE končno napravo s pomočjo nastavljenih skupinskih varnostnih oznak (SGT) uvrsti v ustrezno skupino, s tem pa ji določi tudi varnostno politiko. Končna naprava ima zdaj dostop, vendar pa se delo za ISE tu še ne konča – nivo zaupanja, skladnost naprave in posledično njeno oceno tveganja preverja nenehno, hkrati pa samodejno prilagodi politiko dostopa, če se le-ta spremeni za njeno skupino.
Ok, super, naprave se torej stalno preverjajo. Kako pa lahko zagotovim, da ne pride do zlorabe naprav?
Torej kako naj vem, da napravo res uporablja nekdo izmed zaposlenih in ne tretja oseba? V tem primeru pa na prizorišče vstopi platforma za večstopenjsko avtentikacijo Cisco Duo. Duo zaščiti aplikacije tako, da zahteva dodatni vir potrditve, da se na drugi strani res nahaja prava oseba. To je lahko preprosto SMS geslo, potisno sporočilo ali pa drugačne vrste potrditev prek pametnega mobilnega telefona, žetona, biometrije …
Funkcionalnosti rešitve CISCO Duo pa se tu ne končajo. Lahko ga uporabljate tudi za enotno prijavo (SSO), preverjanje skladnosti in ranljivosti naprav, prepoznavanje naprav (ali je v lasti podjetja ali osebni lasti), dinamične varnostne politike glede na vsakokratno lokacijo naprave, varen dostop do internih in oblačnih storitev (z ali brez VPN), varen SSH dostop do internih strežnikov itd. Duo je zasnovan kot oblačna storitev tako, da omogoča preprosto in pregledno prijavno izkušnjo za slehernega uporabnika in aplikacijo, ponuja pa tudi brezhibno integracijo z obstoječimi rešitvami.
V čase, ko večina zaposlenih dela od doma (oziroma od koder koli), so nekatera podjetja vstopila že pripravljena, druga podjetja so temu hitro morala prilagoditi, tretja pa se bodo še morala. V katero kategorijo pa spada vaše podjetje?
V SRC d.o.o. rešitvam s področja računalništva, komunikacij in informacijske varnosti posvečamo posebno pozornost, saj lahko edino na takšen način zagotovimo kvalitetno in strokovno podporo pri zasnovi, razvoju, implementaciji ter kasneje tudi pri vzdrževanju sistemov.
Obiščite spletno stran https://src.si/cisco_ise_duo/ / www.src.si
Za novosti jim sledite tukaj: FACEBOOK / LINKEDIN
Prijavi napako v članku