Tweet
Tại thời điểm này, bạn có một triển khai hai nút, như được minh họa trong Hình 2-11, hoàn hảo cho các tổ chức nhỏ hơn.
Tất cả các dịch vụ ISE đang chạy trên một hoặc cả hai nút này và đó có thể là tất cả những gì bạn cần. Tuy nhiên, là một ứng cử viên Bảo mật CCIE, bạn cần nắm vững khả năng mô tả, triển khai và khắc phục sự cố triển khai ISE phân tán. Về vấn đề đó, bây giờ bạn sẽ thêm ba nút nữa vào khối ISE, để mang lại tổng số nút lên đến năm nút ISE với các hàm phân tán.
Hình 2-12 minh họa việc triển khai cuối cùng sẽ như thế nào. Bản triển khai phân tán cuối cùng này là những gì chúng tôi sẽ sử dụng cho mọi tình huống liên quan đến ISE trong phần còn lại của cuốn
Khối ISE bao gồm năm nút. Các dịch vụ và dịch vụ ISE sẽ được chia như được nêu trong Bảng 2-1.
Để thêm phần còn lại của các nút vào khối ISE, nhấp Đăng ký và làm theo các bước như trước. Đảm bảo bỏ chọn các hộp kiểm Quản trị và Giám sát, nếu không bạn sẽ vô tình xóa các personas đó khỏi PAN thứ cấp. Hình 2-13 và 2-14 hiển thị hai PSN, trong khi Hình 2-15 hiển thị nút pxGrid chuyên dụng
Hình 2-14 Thêm các PSN chuyên dụng bổ sung
Hình 2-15 Thêm nút pxGrid, SXP và TC-NAC chuyên dụng
Bạn hãy chú ý trong hình 2-16 rằng nút atw-ise247 được cấu hình hơi khác so với các PSN khác. Điều này là do nó được dành riêng cho pxGrid, SXP và Threat-Centric NAC. Rõ ràng, bạn không cần phải triển khai theo cách chính xác này, nhưng sẽ tốt cho ứng viên CCIE Security để xem các biến thể.
Hình 2-16 hiển thị màn hình triển khai cuối cùng với tất cả các nút được đăng ký và đồng bộ hóa với nút hành chính.
Cấu hình ISE để truy cập mạng
Một trong những chức năng quan trọng nhất của ISE là cách nó xác định cửa hàng nhận dạng chính xác để xác thực người dùng. Nói cách khác, khi người dùng hoặc thiết bị đang cố truy cập mạng, một xác thực được gửi đến ISE có chứa danh tính người dùng hoặc thiết bị của người dùng (được gọi là thông tin xác thực). Thông tin đó cần được kiểm tra tính hợp lệ.
Nguồn nhận dạng
ISE hiếm khi là chủ sở hữu của người dùng, người dùng của các thông tin đăng nhập, mặc dù có những trường hợp chắc chắn (chẳng hạn như quyền truy cập của khách) trong đó ISE không duy trì thông tin xác thực. Tuy nhiên, đối với các trường hợp sử dụng thông thường liên quan đến truy cập mạng, nguồn sự thật cho danh tính thường là bên ngoài đối với ISE và việc ISE tìm thấy nguồn chính xác (đôi khi được gọi là nguồn nhận dạng hoặc kho lưu trữ danh tính ).
Cửa hàng nhận dạng bên ngoài có thể là Microsoft Active Directory (90% trở lên), cửa hàng Giao thức truy cập thư mục nhẹ (LDAP), máy chủ mã thông báo (như dịch vụ mật khẩu một lần [OTP]) hoặc thậm chí là máy chủ RADIUS khác . Theo nhiều cách, ISE hoạt động giống như một bộ định tuyến nhận dạng, tìm kho lưu trữ danh tính chính xác để xác thực thông tin xác thực của người dùng hoặc thiết bị, hoặc thậm chí kiểm tra với nhiều cửa hàng nhận dạng theo trình tự hoặc song song
Hiểu các nguồn nhận dạng có sẵn
The CCIE Security candidate must be able to describe, implement, verify, and troubleshoot ISE integration with external identity sources such as LDAP, Active Directory, and external RADIUS services. You must also be able to describe the integration with RADIUS Token, RSA SecurID, and Security Assertion Markup Language (SAML) identity sources.
Microsoft Active Directory
Nguồn nhận dạng phổ biến nhất cho việc triển khai ISE hiện nay là Active Directory (AD). Nó thường là nguồn sự thật duy nhất cho hầu hết các tổ chức tài khoản người dùng và các thuộc tính của họ. Mặc dù AD hỗ trợ chuẩn LDAP cho tra cứu, ISE sử dụng trình kết nối AD rất tiên tiến mô phỏng kết nối Windows gốc với AD, thay vì cố gắng sử dụng LDAP hoặc Samba, vốn rất hạn chế trong việc tích hợp.
ISE có thể tích hợp với AD để tra cứu xác thực hoạt động, trong đó người dùng hoặc máy đang gửi thông tin xác thực của họ trực tiếp đến ISE để xác thực để truy cập mạng; hoặc AD có thể được sử dụng để xác thực thụ động, trong đó máy hoặc người dùng xác thực trực tiếp với AD và sau đó ISE tìm hiểu về nó.
LDAP
LDAP là một tiêu chuẩn mở để truy cập các dịch vụ thông tin thư mục trên mạng dựa trên IP. Nó thường được coi là phương pháp phổ biến để truy cập các cửa hàng nhận dạng và được hỗ trợ bởi gần như tất cả những người chơi chính trong không gian quản lý truy cập và nhận dạng (IAM). Ví dụ về thời điểm bạn có thể sử dụng LDAP để kết nối với cửa hàng nhận dạng sẽ là khi công ty tận dụng một sản phẩm quản lý danh tính như NetIQ eDirectory (trước đây gọi là Dịch vụ thư mục Novell [NDS]), Trình quản lý danh tính Oracle (OIM), Trình quản lý danh tính Tivoli của IBM (TIM) hoặc thậm chí Thư mục chung Okta (UD).
Các giao diện người dùng và công cụ chính sách của ISE đều xử lý LDAP và AD rất giống nhau, cho phép quản trị viên định cấu hình các nhóm nên được coi là thú vị, có thể tăng hiệu suất lớn khi dịch vụ thư mục có thể bao gồm hàng trăm hoặc thậm chí hàng nghìn nhóm.
ODBC
Kết nối cơ sở dữ liệu mở (ODBC) là giao diện lập trình ứng dụng (API) tiêu chuẩn được sử dụng để truy cập cơ sở dữ liệu, chẳng hạn như dịch vụ thư mục. ODBC dường như đang mất điểm trước LDAP, SAML và các giao thức nhận dạng khác, nhưng nó vẫn được một số tổ chức sử dụng với các giải pháp IAM cũ.
Mã thông báo RADIUS
Hệ thống xác thực đa yếu tố (MFA) là cực kỳ phổ biến trong mạng hiện đại. Khái niệm về MFA là xác nhận rằng người dùng được ủy quyền thực sự là người cố gắng truy cập mạng. Các hệ thống MFA ví dụ bao gồm MFA Bảo mật Duo (được Cisco mua lại), Google Authenticator, Yubico YubiKey USB hai yếu tố mã thông báo, PingID và RSA SecurID.
Các hệ thống MFA này thêm bảo mật bổ sung bằng cách đảm bảo người dùng có thứ họ biết và thứ họ có (được gọi là xác thực hai bước). Một cái gì đó họ biết có thể là tên người dùng và mật khẩu của họ, trong khi thứ họ có thể là khóa USB tạo mã thông báo hoặc thậm chí là một ứng dụng chạy trên điện thoại thông minh của người dùng yêu cầu người dùng chấp nhận nỗ lực xác thực.
Các dịch vụ này thường sẽ tích hợp với các giải pháp NAC thông qua dịch vụ Mã thông báo RADIUS. Sử dụng phương pháp này, ISE có thể gửi yêu cầu xác thực RADIUS đến giải pháp MFA và nhận lại thông báo Chấp nhận nếu người dùng nhập chính xác yếu tố thứ hai của họ vào giải pháp MFA đó.
Bảo mật RSA
RSA SecurID là một giải pháp MFA và là một giải pháp rất phổ biến; tuy nhiên, sản phẩm đó chỉ hỗ trợ tích hợp riêng, duy nhất và do đó được liệt kê là cửa hàng nhận dạng riêng của mình trong ISE.
Nhà cung cấp ID SAML
SAML là một tiêu chuẩn mở để xác thực trao đổi và thông tin ủy quyền giữa các dịch vụ. Cụ thể, việc trao đổi xảy ra giữa nhà cung cấp nhận dạng SAML (IdP) và nhà cung cấp dịch vụ SAML (SP).
SAML thường được sử dụng để cung cấp đăng nhập một lần (SSO) thông qua trình duyệt web, cho phép người dùng xác thực với IdP một lần và sau đó xác thực đó được chia sẻ với nhiều SP, chẳng hạn như các ứng dụng web.
Khi người dùng cố gắng xác thực ứng dụng web (SP) lần đầu tiên, họ sẽ được chuyển hướng đến một trang xác thực cho IdP nơi thông tin đăng nhập của họ được nhập. Giả sử người dùng được xác thực thành công, IdP đưa ra một xác nhận SAML, xác nhận được truyền từ IdP sang SP, để thông báo cho SP về danh tính người dùng và xác thực thành công. Tùy thuộc vào SP để thực hiện ủy quyền riêng của mình.
Mặc dù bạn có thể nghĩ rằng ISE là một sản phẩm hoàn hảo để trở thành SAML IdP, nhưng đó không phải là cách ISE tương tác với SAML. Thay vì ISE xác thực người dùng và đưa ra các xác nhận SAML cho các SP ứng dụng web, ISE chỉ đơn thuần là một SP. Có nhiều trang cổng thông tin được lưu trữ bởi ISE, chẳng hạn như cổng Nhà tài trợ khách, có thể tận dụng các xác nhận SAML cho SSO của nhà tài trợ; và đó là phạm vi hỗ trợ SAML trong ISE ngày nay.
Tất cả các dịch vụ ISE đang chạy trên một hoặc cả hai nút này và đó có thể là tất cả những gì bạn cần. Tuy nhiên, là một ứng cử viên Bảo mật CCIE, bạn cần nắm vững khả năng mô tả, triển khai và khắc phục sự cố triển khai ISE phân tán. Về vấn đề đó, bây giờ bạn sẽ thêm ba nút nữa vào khối ISE, để mang lại tổng số nút lên đến năm nút ISE với các hàm phân tán.
Hình 2-12 minh họa việc triển khai cuối cùng sẽ như thế nào. Bản triển khai phân tán cuối cùng này là những gì chúng tôi sẽ sử dụng cho mọi tình huống liên quan đến ISE trong phần còn lại của cuốn
Khối ISE bao gồm năm nút. Các dịch vụ và dịch vụ ISE sẽ được chia như được nêu trong Bảng 2-1.
Để thêm phần còn lại của các nút vào khối ISE, nhấp Đăng ký và làm theo các bước như trước. Đảm bảo bỏ chọn các hộp kiểm Quản trị và Giám sát, nếu không bạn sẽ vô tình xóa các personas đó khỏi PAN thứ cấp. Hình 2-13 và 2-14 hiển thị hai PSN, trong khi Hình 2-15 hiển thị nút pxGrid chuyên dụng
Hình 2-14 Thêm các PSN chuyên dụng bổ sung
Hình 2-15 Thêm nút pxGrid, SXP và TC-NAC chuyên dụng
Bạn hãy chú ý trong hình 2-16 rằng nút atw-ise247 được cấu hình hơi khác so với các PSN khác. Điều này là do nó được dành riêng cho pxGrid, SXP và Threat-Centric NAC. Rõ ràng, bạn không cần phải triển khai theo cách chính xác này, nhưng sẽ tốt cho ứng viên CCIE Security để xem các biến thể.
Hình 2-16 Triển khai khối ISE cuối cùng
Hình 2-16 hiển thị màn hình triển khai cuối cùng với tất cả các nút được đăng ký và đồng bộ hóa với nút hành chính.
Cấu hình ISE để truy cập mạng
Một trong những chức năng quan trọng nhất của ISE là cách nó xác định cửa hàng nhận dạng chính xác để xác thực người dùng. Nói cách khác, khi người dùng hoặc thiết bị đang cố truy cập mạng, một xác thực được gửi đến ISE có chứa danh tính người dùng hoặc thiết bị của người dùng (được gọi là thông tin xác thực). Thông tin đó cần được kiểm tra tính hợp lệ.
Nguồn nhận dạng
ISE hiếm khi là chủ sở hữu của người dùng, người dùng của các thông tin đăng nhập, mặc dù có những trường hợp chắc chắn (chẳng hạn như quyền truy cập của khách) trong đó ISE không duy trì thông tin xác thực. Tuy nhiên, đối với các trường hợp sử dụng thông thường liên quan đến truy cập mạng, nguồn sự thật cho danh tính thường là bên ngoài đối với ISE và việc ISE tìm thấy nguồn chính xác (đôi khi được gọi là nguồn nhận dạng hoặc kho lưu trữ danh tính ).
Cửa hàng nhận dạng bên ngoài có thể là Microsoft Active Directory (90% trở lên), cửa hàng Giao thức truy cập thư mục nhẹ (LDAP), máy chủ mã thông báo (như dịch vụ mật khẩu một lần [OTP]) hoặc thậm chí là máy chủ RADIUS khác . Theo nhiều cách, ISE hoạt động giống như một bộ định tuyến nhận dạng, tìm kho lưu trữ danh tính chính xác để xác thực thông tin xác thực của người dùng hoặc thiết bị, hoặc thậm chí kiểm tra với nhiều cửa hàng nhận dạng theo trình tự hoặc song song
Hiểu các nguồn nhận dạng có sẵn
The CCIE Security candidate must be able to describe, implement, verify, and troubleshoot ISE integration with external identity sources such as LDAP, Active Directory, and external RADIUS services. You must also be able to describe the integration with RADIUS Token, RSA SecurID, and Security Assertion Markup Language (SAML) identity sources.
Microsoft Active Directory
Nguồn nhận dạng phổ biến nhất cho việc triển khai ISE hiện nay là Active Directory (AD). Nó thường là nguồn sự thật duy nhất cho hầu hết các tổ chức tài khoản người dùng và các thuộc tính của họ. Mặc dù AD hỗ trợ chuẩn LDAP cho tra cứu, ISE sử dụng trình kết nối AD rất tiên tiến mô phỏng kết nối Windows gốc với AD, thay vì cố gắng sử dụng LDAP hoặc Samba, vốn rất hạn chế trong việc tích hợp.
ISE có thể tích hợp với AD để tra cứu xác thực hoạt động, trong đó người dùng hoặc máy đang gửi thông tin xác thực của họ trực tiếp đến ISE để xác thực để truy cập mạng; hoặc AD có thể được sử dụng để xác thực thụ động, trong đó máy hoặc người dùng xác thực trực tiếp với AD và sau đó ISE tìm hiểu về nó.
LDAP
LDAP là một tiêu chuẩn mở để truy cập các dịch vụ thông tin thư mục trên mạng dựa trên IP. Nó thường được coi là phương pháp phổ biến để truy cập các cửa hàng nhận dạng và được hỗ trợ bởi gần như tất cả những người chơi chính trong không gian quản lý truy cập và nhận dạng (IAM). Ví dụ về thời điểm bạn có thể sử dụng LDAP để kết nối với cửa hàng nhận dạng sẽ là khi công ty tận dụng một sản phẩm quản lý danh tính như NetIQ eDirectory (trước đây gọi là Dịch vụ thư mục Novell [NDS]), Trình quản lý danh tính Oracle (OIM), Trình quản lý danh tính Tivoli của IBM (TIM) hoặc thậm chí Thư mục chung Okta (UD).
Các giao diện người dùng và công cụ chính sách của ISE đều xử lý LDAP và AD rất giống nhau, cho phép quản trị viên định cấu hình các nhóm nên được coi là thú vị, có thể tăng hiệu suất lớn khi dịch vụ thư mục có thể bao gồm hàng trăm hoặc thậm chí hàng nghìn nhóm.
ODBC
Kết nối cơ sở dữ liệu mở (ODBC) là giao diện lập trình ứng dụng (API) tiêu chuẩn được sử dụng để truy cập cơ sở dữ liệu, chẳng hạn như dịch vụ thư mục. ODBC dường như đang mất điểm trước LDAP, SAML và các giao thức nhận dạng khác, nhưng nó vẫn được một số tổ chức sử dụng với các giải pháp IAM cũ.
Mã thông báo RADIUS
Hệ thống xác thực đa yếu tố (MFA) là cực kỳ phổ biến trong mạng hiện đại. Khái niệm về MFA là xác nhận rằng người dùng được ủy quyền thực sự là người cố gắng truy cập mạng. Các hệ thống MFA ví dụ bao gồm MFA Bảo mật Duo (được Cisco mua lại), Google Authenticator, Yubico YubiKey USB hai yếu tố mã thông báo, PingID và RSA SecurID.
Các hệ thống MFA này thêm bảo mật bổ sung bằng cách đảm bảo người dùng có thứ họ biết và thứ họ có (được gọi là xác thực hai bước). Một cái gì đó họ biết có thể là tên người dùng và mật khẩu của họ, trong khi thứ họ có thể là khóa USB tạo mã thông báo hoặc thậm chí là một ứng dụng chạy trên điện thoại thông minh của người dùng yêu cầu người dùng chấp nhận nỗ lực xác thực.
Các dịch vụ này thường sẽ tích hợp với các giải pháp NAC thông qua dịch vụ Mã thông báo RADIUS. Sử dụng phương pháp này, ISE có thể gửi yêu cầu xác thực RADIUS đến giải pháp MFA và nhận lại thông báo Chấp nhận nếu người dùng nhập chính xác yếu tố thứ hai của họ vào giải pháp MFA đó.
Bảo mật RSA
RSA SecurID là một giải pháp MFA và là một giải pháp rất phổ biến; tuy nhiên, sản phẩm đó chỉ hỗ trợ tích hợp riêng, duy nhất và do đó được liệt kê là cửa hàng nhận dạng riêng của mình trong ISE.
Nhà cung cấp ID SAML
SAML là một tiêu chuẩn mở để xác thực trao đổi và thông tin ủy quyền giữa các dịch vụ. Cụ thể, việc trao đổi xảy ra giữa nhà cung cấp nhận dạng SAML (IdP) và nhà cung cấp dịch vụ SAML (SP).
SAML thường được sử dụng để cung cấp đăng nhập một lần (SSO) thông qua trình duyệt web, cho phép người dùng xác thực với IdP một lần và sau đó xác thực đó được chia sẻ với nhiều SP, chẳng hạn như các ứng dụng web.
Khi người dùng cố gắng xác thực ứng dụng web (SP) lần đầu tiên, họ sẽ được chuyển hướng đến một trang xác thực cho IdP nơi thông tin đăng nhập của họ được nhập. Giả sử người dùng được xác thực thành công, IdP đưa ra một xác nhận SAML, xác nhận được truyền từ IdP sang SP, để thông báo cho SP về danh tính người dùng và xác thực thành công. Tùy thuộc vào SP để thực hiện ủy quyền riêng của mình.
Mặc dù bạn có thể nghĩ rằng ISE là một sản phẩm hoàn hảo để trở thành SAML IdP, nhưng đó không phải là cách ISE tương tác với SAML. Thay vì ISE xác thực người dùng và đưa ra các xác nhận SAML cho các SP ứng dụng web, ISE chỉ đơn thuần là một SP. Có nhiều trang cổng thông tin được lưu trữ bởi ISE, chẳng hạn như cổng Nhà tài trợ khách, có thể tận dụng các xác nhận SAML cho SSO của nhà tài trợ; và đó là phạm vi hỗ trợ SAML trong ISE ngày nay.