Tweet
Cisco ISE Posture Client – Phân Tích Kỹ Thuật
Trong mô hình kiểm soát truy cập mạng theo chính sách (NAC – Network Access Control), Cisco Identity Services Engine (ISE) cung cấp một thành phần cực kỳ quan trọng: Posture Assessment – đánh giá tư thế bảo mật của thiết bị đầu cuối (endpoint). Chức năng này cho phép tổ chức đảm bảo rằng tất cả thiết bị truy cập vào hệ thống đều đáp ứng các tiêu chí bảo mật bắt buộc trước khi được cấp quyền truy cập tài nguyên. 1. Thành phần chức năng chính trong Cisco ISE Posture
Cisco ISE Posture sử dụng hai dịch vụ nền quan trọng để thực hiện nhiệm vụ đánh giá và thực thi chính sách:
Cisco Secure Client (tên cũ: Cisco AnyConnect Secure Mobility Client) là phần mềm được cài đặt trên thiết bị đầu cuối, đóng vai trò là Posture Agent. a. Mô-đun tuân thủ (Compliance Module)
Client posture sử dụng một Compliance Module được cập nhật định kỳ bởi OPSWAT, chứa các thông tin về:
Mô-đun này cần được cập nhật thường xuyên để phản ánh sự thay đổi của phần mềm antivirus, antispyware và các ứng dụng bảo mật khác trên thị trường. Việc cập nhật được thực hiện từ ISE qua cổng TCP/443.
Khi một endpoint kết nối vào mạng (thường sau khi xác thực 802.1X hoặc VPN), client sẽ thực hiện:
Kết quả đánh giá có thể là:
Để posture client hoạt động đầy đủ, cần đảm bảo các cổng sau được mở:
Sau khi nhận được kết quả posture, Cisco ISE có thể áp dụng Authorization Policy theo logic như sau:
Chính sách phân quyền có thể phối hợp với các điều kiện khác như loại thiết bị, nhóm người dùng, địa điểm, v.v. để tăng độ linh hoạt. 5. Quá trình khắc phục (Remediation)
Cisco ISE hỗ trợ cả khắc phục tự động và khắc phục thủ công, ví dụ:
Client có thể hiển thị thông báo pop-up để hướng dẫn người dùng tự khắc phục trong thời gian giới hạn, sau đó hệ thống sẽ đánh giá lại trạng thái.
Kết luận
Posture Assessment là một thành phần không thể thiếu trong các kiến trúc NAC hiện đại. Khi được cấu hình và triển khai đúng cách, Cisco ISE Posture không chỉ giúp ngăn chặn thiết bị không tuân thủ truy cập vào mạng, mà còn hỗ trợ tự động hóa khắc phục, giảm tải đáng kể cho bộ phận IT và tăng cường an toàn bảo mật cho toàn bộ hệ thống doanh nghiệp.
Trong mô hình kiểm soát truy cập mạng theo chính sách (NAC – Network Access Control), Cisco Identity Services Engine (ISE) cung cấp một thành phần cực kỳ quan trọng: Posture Assessment – đánh giá tư thế bảo mật của thiết bị đầu cuối (endpoint). Chức năng này cho phép tổ chức đảm bảo rằng tất cả thiết bị truy cập vào hệ thống đều đáp ứng các tiêu chí bảo mật bắt buộc trước khi được cấp quyền truy cập tài nguyên. 1. Thành phần chức năng chính trong Cisco ISE Posture
Cisco ISE Posture sử dụng hai dịch vụ nền quan trọng để thực hiện nhiệm vụ đánh giá và thực thi chính sách:
- Posture Administration Service: Đây là dịch vụ chịu trách nhiệm xử lý logic chính sách tư thế, hỗ trợ các điều kiện và hành động khắc phục (remediation) tùy chỉnh theo yêu cầu bảo mật nội bộ của tổ chức.
- Posture Run-time Services: Dịch vụ thời gian thực này điều phối giao tiếp giữa client đánh giá tư thế (Cisco Secure Client) và máy chủ Cisco ISE. Nó phát hiện thiết bị endpoint có cài đặt posture client và xác thực chính sách khi người dùng kết nối vào mạng.
Cisco Secure Client (tên cũ: Cisco AnyConnect Secure Mobility Client) là phần mềm được cài đặt trên thiết bị đầu cuối, đóng vai trò là Posture Agent. a. Mô-đun tuân thủ (Compliance Module)
Client posture sử dụng một Compliance Module được cập nhật định kỳ bởi OPSWAT, chứa các thông tin về:
- Tên nhà cung cấp phần mềm bảo mật
- Tên và phiên bản sản phẩm
- Các thuộc tính liên quan như trạng thái chạy của dịch vụ, registry key, v.v.
Mô-đun này cần được cập nhật thường xuyên để phản ánh sự thay đổi của phần mềm antivirus, antispyware và các ứng dụng bảo mật khác trên thị trường. Việc cập nhật được thực hiện từ ISE qua cổng TCP/443.
✅ Lưu ý bảo mật: Nếu thiết bị ISE không thể truy cập Internet, quản trị viên cần tải thủ công mô-đun cập nhật và phân phối nó nội bộ.
b. Quy trình đánh giá tư thếKhi một endpoint kết nối vào mạng (thường sau khi xác thực 802.1X hoặc VPN), client sẽ thực hiện:
- Khám phá máy chủ ISE qua HTTP/HTTPS.
- Tải về mô-đun tuân thủ nếu chưa có bản mới nhất.
- Thu thập dữ liệu từ hệ thống – như trạng thái phần mềm antivirus, service đang chạy, registry, file, v.v.
- So sánh dữ liệu với chính sách posture được cấu hình trên ISE.
- Gửi kết quả đánh giá trở lại Cisco ISE.
Kết quả đánh giá có thể là:
- Compliant: Endpoint đáp ứng đầy đủ các điều kiện bảo mật.
- NonCompliant: Endpoint không tuân thủ chính sách, cần khắc phục.
- Unknown: Cisco ISE không nhận được thông tin từ client – nguyên nhân có thể do chưa cài client, lỗi kết nối, hoặc bị chặn bởi firewall.
Để posture client hoạt động đầy đủ, cần đảm bảo các cổng sau được mở:
| TCP/443 | Tải mô-đun tuân thủ từ Internet (Cisco.com) |
| TCP/8443 | Giao tiếp giữa client và ISE (Client Provisioning, truyền tải trạng thái) |
| TCP/8905 | Kênh chính thức cho trao đổi thông tin tư thế giữa client và ISE |
🔐 Khuyến nghị bảo mật: Nên giới hạn các cổng này chỉ cho phép truy cập đến các địa chỉ ISE đã định danh, tránh để endpoint bị chuyển hướng hoặc tấn công MITM.
4. Chính sách phân quyền dựa trên tư thếSau khi nhận được kết quả posture, Cisco ISE có thể áp dụng Authorization Policy theo logic như sau:
- Tuân thủ (Compliant): Thiết bị được cấp quyền đầy đủ vào mạng (Access VLAN).
- Không tuân thủ (NonCompliant): Chuyển thiết bị sang VLAN cách ly, yêu cầu khắc phục.
- Không xác định (Unknown): Hạn chế thiết bị vào mạng cho đến khi có đánh giá hợp lệ.
Chính sách phân quyền có thể phối hợp với các điều kiện khác như loại thiết bị, nhóm người dùng, địa điểm, v.v. để tăng độ linh hoạt. 5. Quá trình khắc phục (Remediation)
Cisco ISE hỗ trợ cả khắc phục tự động và khắc phục thủ công, ví dụ:
- Cập nhật định nghĩa antivirus
- Kích hoạt dịch vụ hệ điều hành
- Gỡ cài đặt ứng dụng trái phép
Client có thể hiển thị thông báo pop-up để hướng dẫn người dùng tự khắc phục trong thời gian giới hạn, sau đó hệ thống sẽ đánh giá lại trạng thái.
Kết luận
Posture Assessment là một thành phần không thể thiếu trong các kiến trúc NAC hiện đại. Khi được cấu hình và triển khai đúng cách, Cisco ISE Posture không chỉ giúp ngăn chặn thiết bị không tuân thủ truy cập vào mạng, mà còn hỗ trợ tự động hóa khắc phục, giảm tải đáng kể cho bộ phận IT và tăng cường an toàn bảo mật cho toàn bộ hệ thống doanh nghiệp.