• Notrika Header01
  1. حوزه عملیات

با توجه به تغییر تکنولوژی و امکان دسترسی در هر زمان و مکان، مشخص کردن محدوده شبکه میسر نیست. زمان تعریف محدوده امنیتی شبکه با استفاده از فایروال که از دسترسی غیرمجاز محافظت می­کند گذشته است، از این­رو معماری امنیتی از شیوه دفاع محیطی به طراحی دفاع در عمق باید تغییر یابد که در آن سازمان­ها نیاز به سیستم­های امنیتی دارند که فراهم کننده هوش عملیاتی بیشتر با قابلیت اجتماع با دیگر ابزارهای امنیتی و شبکه موجود را دارا باشند. همچنین به منظور جلوگیری، شناسایی یا کاهش اثرات security compromise و برای سرعت دادن به پاسخ­های حوادث امنیتی بررسی آنچه که در شبکه داخلی اتفاق می­افتد بسیار حیاتی است. عدم ثبت auditing, accounting  مانع شناسایی سیستم دارای مشکل امنیتی و یا شناساسی پیکربندی اشتباه را بسیار مشکل یا غیرممکن می سازد.

برخی از نیازهای امنیتی شبکه ­های امروزی عبارتند از:

  • نیاز به بررسی امنیتی بسته عبوری از داخل شبکه
  • آگاهی ازکنترل دسترسی مبتنی برcontext , identity  درنقاط اتصال شبکه همچون سیمی، بی سیم و VPN (داخلی و خارجی)
  • سیاست­های امنیتی که علاوه بر مبتنی برidentity , context  بودن قابلیت اعمال از طریق مدیریت مرکزی را داشته باشد.
  • نیاز به یکپارچگی عملیاتی میان سیستم­های شبکه و امنیتی به منظور ایجاد معماری موثر دربرابر خطرات امنیتی

همانطورکه ذکرشد با رشد فناوری اطلاعات، تعداد تجهیزات بواسطه افزودن قابلیت شبکه در دستگاه هایی همچون، IP phone  سیستم های IP Videoconference و تجهیزات متحرک از قبیل tablets , cell phones افزایش یافته است. همچنین امکان دسترسی به شبکه ( از داخل و خارج سازمان) از طریق ارتباطات سیمی، بی سیم، guest , VPN, portals, تجهیزات متحرک و غیره نیز میسر شده است. ازاینرو چالش های امنیتی جدیدی برای سازمان ها بوجود آورده است ازجمله این چالش ها عبارتند از:

  • کنترل­های امنیتی ناکافی برای دستگاه­های غیرسازمانی، بخصوص دستگاه هایی ازقبیل iPad , iPhone بعنوان BYOD (Bring Your Own Device)  شناخته می شوند.
  • افزایش احتمال سرقت اطلاعات حساس سازمانی       
  • افزایش پیچیدگی در اجرای سیاست ها وقوانین سازمان
  • عدم هماهنگی میان پیشرفت های سریع تکنولوژی با سیاست های امنیتی، هزینه ها ومنابع سازمان

مهاجمین معمولا بدنبال هک کردن سیستم هایی که ازلحاظ امنیتی ارتقا‌َء یافته اند نیستند بلکه بدنبال یافتن ضعیف­ترین نقاط امنیتی خواهند بود. که بعنوان weakest- link problem  شناخته می شود. امنیت اطلاعاتی که قصد محافظت ازآن وجود دارد به میزان weakest-link problem بزرگترین تغییر افزایش مجموع امنیت این نقاط سازمان است.

امروزه توجه به امنیت شبکه داخلی بسیار حیاتی است که درآن کاربر با یکبار احراز هویت دسترسی به شبکه داخلی را بدون محدودیت بدست می آورد. همچنین تجهیزات متحرک امکان ارتباط ازهر مکان وزمان را بوجود آورده است.به منظور فراهم کردن مکانیزم های امنیتی مناسب در برابر تغییرات صورت گرفته راه حل Cisco Identity Services Engine (ISE) مطرح گردید.

راه حل Cisco Identity Services Engine

Cisco Identity Service Engine (ISE) ابزار تعیین هویت و کنترل دسترسی است که سازمان را برای تسهیل در افزایش امنیت زیربنایی و اجرای سیاست امنیتی خود قادر می سازد. قابلیت ادغام ISE با دیگر تجهیزات شبکه و قابلیت اعمال خودکار سیاست های امنیتی امکان تشخیص سریع و مقابله با تهدید امنیتی را بوجود آورده است. معماری این تجهیز امکان جمع آوری اطلاعات از شبکه، کاربران و تجهیزات را بمنظور اعمال سیاست ازطریق زیرساخت شبکه (سیمی،  بی سیم و راه دور) فراهم می آورد. ازجمله سرویس­های فراهم شده توسط ISE عبارتند از:

  • آگاهی ازشبکه و تجهیزات     
  • اجرای سیاست امنیتی مورد نظرسازمان
  • مدیریت مرکزی دسترسی مهمان
  • آگاهی ازنحوه اتصال کاربر به شبکه
  • احراز هویت، تعیین سطح دسترسی ، گرفتن گزارش،profiling وارزیابی امنیتی سیستم 
  • profiling ومعرفی تجهیزات با استفاده ازکاوش ترافیک توسط مکانیزم داخلی ISE، سنسورهای تجهیزاتی سیسکو موجود در سوئیچ ها واسکن شبکه

بعضی از قابلیت های کلیدی فراهم شده توسط ISE عبارتند از:

  • تعیین هویت و کنترل کاربر
  • تعیینcontext awareness،تجهیز،کاربر و شبکه. مثال هایی از context شاملoperating system patch level  ،AD group member  نصب و بروز بودن آنتی ویروس کلاینت، تعیین نوع تجهیز،مکان فیزیکی تجهیز وغیره.
  • اعمال سیاست امنیتی بطور مرکزی بمنظور سهولت
  • مدیریت مرکزی دسترسی مهمان
  • احراز هویت۲، تعیین سطح دسترسی۳ وتهیه گزارش۴(AAA)، طبقه بندی۵ تجهیز، ارزیابی امنیتی تجهیز و سرویس های مهمان بمنظور استقرار ساده و کاهش هزینه عملیاتی از طریق راه حل ISE                                                                                                     
  • مدیریت و اجرای TrustSec  سیسکو با استفاده از security group tagging

بعبارت دیگر راه حل ISE امکان اتصال هر کاربر وهر تجهیزی به شبکه را بمنظور استفاده ایمن ازسرویس های شبکه فراهم می آورد.