Tweet
Cisco ISE Posture: Kiểm Soát Truy Cập Dựa Trên Tình Trạng Thiết Bị
1. Giới thiệu
Cisco Identity Services Engine (ISE) không chỉ là một nền tảng xác thực, phân quyền và kế toán (AAA), mà còn là lõi trung tâm trong kiến trúc kiểm soát truy cập thế hệ mới. Một trong những tính năng bảo mật nổi bật của ISE là Posture Assessment, cho phép đánh giá mức độ tuân thủ của thiết bị đầu cuối trước khi cấp quyền truy cập vào mạng. 2. Cơ Chế Hoạt Động của ISE Posture
Khi một thiết bị đầu cuối (endpoint) kết nối vào mạng và vượt qua xác thực (802.1X, MAB hoặc VPN), Posture Agent (Cisco Secure Client - formerly AnyConnect) sẽ thu thập dữ liệu bảo mật như:
Dữ liệu này được gửi tới Cisco ISE để đánh giá theo các điều kiện trong Posture Policy. Việc so sánh này được hỗ trợ bởi Compliance Module (CM) được cung cấp từ OPSWAT, cập nhật định kỳ các mẫu phần mềm bảo mật phổ biến. 3. Các Loại Posture Agent
4. Quy Trình Đánh Giá Tư Thế
Cisco ISE cung cấp cơ chế phân phối tác nhân thông qua Client Provisioning Policy:
7. Chính Sách Phân Quyền Dựa Trên Tư Thế (Authorization Policy)
ISE sử dụng trạng thái tư thế như một thuộc tính đầu vào để áp dụng Authorization Result:
Lợi ích:
Để triển khai hiệu quả Cisco ISE Posture, cần:
Nếu bạn đang thiết kế một giải pháp kiểm soát truy cập Zero Trust, Cisco ISE Posture là thành phần cốt lõi để đảm bảo rằng "mỗi thiết bị phải được kiểm chứng trước khi truy cập tài nguyên nội bộ." Đây không chỉ là bảo mật — mà là kiểm soát chủ động.
1. Giới thiệu
Cisco Identity Services Engine (ISE) không chỉ là một nền tảng xác thực, phân quyền và kế toán (AAA), mà còn là lõi trung tâm trong kiến trúc kiểm soát truy cập thế hệ mới. Một trong những tính năng bảo mật nổi bật của ISE là Posture Assessment, cho phép đánh giá mức độ tuân thủ của thiết bị đầu cuối trước khi cấp quyền truy cập vào mạng. 2. Cơ Chế Hoạt Động của ISE Posture
Khi một thiết bị đầu cuối (endpoint) kết nối vào mạng và vượt qua xác thực (802.1X, MAB hoặc VPN), Posture Agent (Cisco Secure Client - formerly AnyConnect) sẽ thu thập dữ liệu bảo mật như:
- Trạng thái phần mềm antivirus/antispyware
- Dịch vụ hệ thống bắt buộc
- Tình trạng cập nhật Windows
- Cấu hình registry/tệp hệ thống
- Các thuộc tính hệ điều hành
Dữ liệu này được gửi tới Cisco ISE để đánh giá theo các điều kiện trong Posture Policy. Việc so sánh này được hỗ trợ bởi Compliance Module (CM) được cung cấp từ OPSWAT, cập nhật định kỳ các mẫu phần mềm bảo mật phổ biến. 3. Các Loại Posture Agent
| AnyConnect Agent | Cài đặt vĩnh viễn, hỗ trợ pop-up AUP, khắc phục tự động và thủ công. |
| Stealth Agent | Không giao diện, chạy nền, phù hợp môi trường không tương tác người dùng. |
| Temporal Agent | Tải tạm thời từ cổng Client Provisioning, tự xóa sau đánh giá. |
| Agentless | Không cần cài đặt, sử dụng kết nối quản trị từ xa để thu thập thông tin. |
- Discovery Phase
Sau xác thực, agent gửi gói HTTP/HTTPS (port 80/8905) để tìm kiếm ISE Node. - Posture Phase
Nếu có Acceptable Use Policy (AUP), người dùng phải chấp nhận. Sau đó, ISE cấp một Posture Token chứa metadata để tái kết nối mà không cần đánh giá lại. - Đánh Giá và Khắc Phục
Agent kiểm tra các điều kiện đã cấu hình. Nếu không tuân thủ, ISE có thể:- Tự động thực hiện remediation (e.g. bật dịch vụ, cập nhật antivirus).
- Gửi hướng dẫn cho người dùng để tự xử lý qua popup hoặc URL tùy chỉnh.
Cisco ISE cung cấp cơ chế phân phối tác nhân thông qua Client Provisioning Policy:
- Tùy biến theo OS, loại thiết bị, nhóm người dùng
- Nguồn tải về: Cisco.com hoặc nội bộ
- Cổng truy cập: Mặc định HTTPS port 8443 (có thể tùy chỉnh 8000-8999)
| Compliant | Thiết bị đáp ứng đầy đủ các điều kiện chính sách. |
| NonCompliant | Thiết bị vi phạm ít nhất một điều kiện; yêu cầu khắc phục. |
| Unknown | Chưa có đủ dữ liệu để xác định tư thế, có thể do lỗi hoặc gián đoạn. |
ISE sử dụng trạng thái tư thế như một thuộc tính đầu vào để áp dụng Authorization Result:
- Compliant: Cấp quyền đầy đủ (VLAN nội bộ, tài nguyên mạng)
- NonCompliant: Chuyển sang VLAN remediation hoặc truy cập hạn chế
- Unknown: Có thể áp dụng VLAN khách hoặc yêu cầu đánh giá lại
Lợi ích:
- Kiểm soát truy cập theo trạng thái bảo mật thiết bị
- Tự động hóa quá trình khắc phục, giảm tải cho IT Helpdesk
- Linh hoạt cho nhiều môi trường: wired, wireless, VPN
- Fast User Switching (Windows) không được hỗ trợ với native supplicant. Cisco khuyến nghị tắt tính năng này.
- Yêu cầu giấy phép Apex để kích hoạt tính năng Posture.
- Hỗ trợ cập nhật ngoại tuyến cho Compliance Module và resource packages.
Để triển khai hiệu quả Cisco ISE Posture, cần:
- Cấu hình Posture Policy với các điều kiện đơn giản/phức hợp
- Thiết lập Client Provisioning Portal và agent profiles
- Kiểm tra thiết bị mạng (Switch/WLC) hỗ trợ redirection & posture VLANs
- Giám sát trạng thái tuân thủ và báo cáo qua ISE Monitoring
Nếu bạn đang thiết kế một giải pháp kiểm soát truy cập Zero Trust, Cisco ISE Posture là thành phần cốt lõi để đảm bảo rằng "mỗi thiết bị phải được kiểm chứng trước khi truy cập tài nguyên nội bộ." Đây không chỉ là bảo mật — mà là kiểm soát chủ động.