ここ 10 年でIT業界は大きな発展を遂げましたが、それに伴い、IT業界ではセキュリティ面での課題が多く挙げられるようになりました。
この課題を解決すべく誕生したのが、Cisco Identity Services Engine(Cisco ISE)です。
Cisco ISEは、ネットワークの境界をファイヤーウォールで何重にも囲い、異常検出を重視した受け身型の階層型セキュリティ製品です。
本記事では、Cisco ISEの概要と基本機能についてご紹介します。
Cisco ISEの概要
Cisco ISEは高機能ポリシー管理製品です。
従来のID/パスワードによる認証(誰が)だけでなく、「どの端末で/いつ/どこで/どのように」といった、状況に応じた柔軟なアクセス制御が可能です。
また、Cisco ISEは、Cisco DNAの構成要素の1つです。
Cisco DNA Center (統合管理ツール) を中心に、Catalystスイッチ/ルータなどの他Cisco製品と連携し、ネットワーク仮想化(SD-Access)などのDNAソリューションを提供します。
デモ環境の準備
Cisco ISEはCisco Zero Trustの中心製品となります。
豊富な機能があり強力である一方、どこから、どのように使いはじめたらよいのか迷ってしまう方もいるかと思います。
そんなときは、無料で利用可能なCisco dCloudというプラットフォームが便利です。
Cisco dCloudでは、ユースケースごとにHands On形式で操作しながら理解できる、沢山の利活用シナリオが用意されています。
Cisco 公式サイトで公開しているデモ動画を以下から確認できます。
→Cisco Identity Services Engine(ISE)のデモ - Cisco
すぐにデモができるように事前に設定された状態で提供されるため、機材の入手やセットアップにかかる時間を短縮でき、設定ミスでデモに失敗する可能性も軽減できます
また、デモだけではなく、Cisco ISEの基本機能や高度な利用方法、他製品との連携におけるCisco ISEの役割について理解する際にも便利で有効なツールになります。
Cisco dCloudを用いたCisco ISEのご利用方法は以下から確認できます。
→【Cisco ISE】クラウドデモ環境 Cisco dCloudでISEを使ってみよう - Cisco Community
今回は、デモ環境を活用し、基本的な機能に触れてみたいと思います。
Cisco ISEの基本的な機能のご紹介
Endpoints
デモ環境にログインすると[summary]画面が表示されますので、画面左上の3本線ボタンをクリックします。
[Context visibility] - [Endpoints]をクリックします。(この画面を「サービスメニュー」と呼びます)
[Endpoints]画面が表示されます。この画面ではエンドポイントの様々な情報を管理しています。例えば、MACアドレス一覧の赤枠のMACアドレスをクリックします。
指定のMACアドレスの概要画面が表示され、ユーザ名、OSの種類、IPアドレス、エンドポイントが存在している場所について確認することができます。
Users
サービスメニューの[Context visibility] - [Users]をクリックします。
[Users]画面ではエンドポイントを使用しているユーザを識別することができます。特定のユーザ情報を確認したい場合は、username一覧からユーザを選択します。
今回は例として"thomas"さんを選択します。
”thomas”さんが使用しているエンドポイントの一覧を確認することができます。
Network Devices
サービスメニューの[Administration] - [Network Resources] -[Network Devices]をクリックします。
[Network Devices]一覧が表示され、指定したネットワークデバイスの情報を確認することができます。
今回は例として[ASAv]をクリックします。
[ASAv]画面からはネットワークデバイスに登録されているIPアドレスが確認できます。
また、RADIUS設定欄にPSKキーも設定されていることも確認でき、ネットワークデバイスの詳細な情報を確認できます。
Identity Management
サービスメニューの[Administration] - [Identity Management] -[Identities]をクリックします。
Cisco ISEがユーザやエンドポイントのクレデンシャルを検証する際に使用するユーザ名、パスワード、MACアドレスなどの認証情報が格納されている場所です。
管理しているユーザ一覧を確認できます。
以下はユーザ追加画面になります。ユーザ名、パスワード、メールアドレスの登録などが設定できます。
Policy Sets
Policy SetsはCisco ISEの一番重要な部分になります。
サービスメニューの[Policy] - [Policy Sets]をクリックします。
Policy Setsの中には2つのポリシーが存在します。
1つ目のポリシーは[Authentication Policy]で、ネットワークに接続してきたエンドポイントのクレデンシャルを検証する際に、どのidentity sourceを参照するか定義します。
以下の画面から[MAB]は[Internal Endpoints]を参照するようなポリシーを定義していることが確認できます。
2つ目のポリシーは[Authorization Policy]で、ネットワークに接続してきたエンドポイントやユーザにどのような権限を与えるかを定義します。
以下の画面から[Wireless Black List Default]のユーザに[Blackhole_Wireless_Access]の権限を割り当てていることが確認できます。
最後に
Cisco ISEの概要と基本機能についてご紹介しました。
Cisco ISEを動かすには最低限[Identity]、[Endpoint]、[Network Device]、[Policy Set]、[IdentitySource]の5つの基本コンポーネントの理解が必要になります。
是非、Cisco ISEに触れる機会がありましたら、本記事を参考にしていただければ幸いです。
