Tweet
Cấu hình Posture Conditions trong Cisco ISE
1. Tổng quan
Điều kiện tư thế (Posture Conditions) trong Cisco ISE là các tiêu chí xác định xem thiết bị đầu cuối có tuân thủ chính sách bảo mật tổ chức hay không. Việc xác định các điều kiện này thường được thực hiện bởi quản trị viên bảo mật hoặc CISO, dựa trên:
- Mức độ rủi ro chấp nhận được của tổ chức
- Quy định tuân thủ ngành (HIPAA, SOX, PCI-DSS, v.v.)
- Chính sách nội bộ áp dụng cho tài sản sở hữu doanh nghiệp (corporate-owned assets)
Một số yêu cầu cơ bản để xem thiết bị là Compliant:
- ✅ Antivirus: Phải được cài đặt, đang chạy và cập nhật định nghĩa mới nhất.
- ✅ Antimalware: Bắt buộc đang hoạt động và cập nhật.
- ✅ Chứng chỉ số doanh nghiệp: Được cài đặt, dùng để xác thực thiết bị thuộc sở hữu tổ chức.
- ✅ Mã hóa ổ đĩa: Thiết bị phải sử dụng BitLocker, FileVault hoặc giải pháp mã hóa tương đương.
- ✅ Quản lý bản vá: Hệ thống phải được cập nhật bản vá bảo mật mới nhất.
- ✅ Kiểm soát thiết bị USB: Phải có phần mềm kiểm soát hoặc tắt hoàn toàn khả năng ghi USB.
a. Điều kiện dựa trên OPSWAT (tùy thuộc vào phiên bản mô-đun tuân thủ)
| Antivirus | v3.x trở xuống |
| Antispyware | v3.x trở xuống |
| Antimalware | v4.x trở lên |
| Disk Encryption | v3.x/v4.x |
| Patch Management | v3.x/v4.x |
| USB Control | v4.x trở lên |
| File | Bất kỳ |
| Application | Bất kỳ |
| Compound Conditions | Bất kỳ |
| Registry | Bất kỳ |
| Service | Bất kỳ |
🔍 Lưu ý: Compound Conditions cho phép kết hợp nhiều điều kiện đơn lẻ, ví dụ: “Antivirus phải bật và Patch Management phải hoạt động”.
4. Tương thích phiên bản mô-đun tuân thủ- Cisco Secure Client (AnyConnect) 4.3+: Hỗ trợ cả mô-đun tuân thủ v3 và v4.
- macOS (64-bit): Chỉ hỗ trợ mô-đun tuân thủ OPSWAT v4 trở lên.
- Cảnh báo triển khai: Các client trong hệ thống có thể đang chạy cả phiên bản v3 và v4, vì vậy cần tạo các chính sách riêng biệt tương ứng để đảm bảo đánh giá đúng trạng thái.
- ✳️ Phân loại client theo nhóm hệ điều hành và phiên bản mô-đun tuân thủ.
- ✳️ Thiết lập logic chính sách tách biệt cho OPSWAT v3 và v4.
- ✳️ Tự động hóa cập nhật mô-đun tuân thủ qua TCP/443 từ Cisco Cloud hoặc nội bộ.
Điều kiện tư thế là thành phần trong Posture Policy, được kết hợp với:
- Client Provisioning Policies: Tự động cài đặt hoặc cập nhật Cisco Secure Client.
- Authorization Policies: Cấp quyền truy cập tương ứng sau khi đánh giá tư thế.
- Remediation Actions: Tự động hoặc hướng dẫn người dùng khắc phục nếu không tuân thủ.
Tóm tắt
Cisco ISE cung cấp hệ thống điều kiện tư thế phong phú, cho phép kiểm soát chặt chẽ mức độ tuân thủ thiết bị đầu cuối khi truy cập mạng. Khi được cấu hình hợp lý, posture conditions có thể trở thành một trụ cột chính trong kiến trúc Zero Trust và Access Control Policy của tổ chức.