Cisco Identity Services Engine (ISE)

Türsteher fürs Netzwerk: Cisco ISE

Resilienz fürs Netzwerk und die Null-Toleranz-Taktik bei Sicherheit - dass wir kein Pardon mit Cyber-Kriminellen haben, weiß mittlerweile jeder. Und das setzen wir mit hoch modernen Lösungen tagtäglich bei unseren Kunden um. Heute möchten wir die Identity Services Engine (ISE) von Cisco vorstellen.

Vorteil zu anderen Produkten

ISE ist kostengünstiger und leistet mehr als Produkte vergleichbarer Hersteller. Der Umfang ist größer und sie ist Multi Vendor fähig. ISE ist kein passives System. Es ist ein aktives und agiert mit den Endgeräten. Vergleichbar mit dem Zutritt in ein Gebäude: Man muss sich identifizieren, um Einlass zu bekommen. Erst der Schlüssel erlaubt den Zutritt. So auch bei der ISE-Technologie. Bei anderen bekannten Herstellern fehlt dieser Schlüssel: Hier heißt der Preis Sicherheit, mit dem man bezahlt, um Einlass zu bekommen. Zwar ist die Implementierung einfach und schnell erledigt, doch reagieren solche passiven Systeme nur auf das, was bereits ins Netzwerk gefunden hat und Schaden anrichtet.

ISE: Malware automatisch in Quarantäne

Stellen Sie sich Folgendes vor: Eine Frau erzählt der Polizei ganz aufgeregt, dass ihr Auto mit der Fahrgestellnummer XX an den Koordinaten XY von einem Täter mit der Personalausweisnummer YX gestohlen wurde. Die Polizei begibt sich natürlich gleich auf die Suche nach dem Täter und dem Auto. Leichter hätte die Frau es der Polizei allerdings gemacht, wenn sie Kontext bezogene Informationen mitgeteilt hätte wie: „Mein roter Cabrio ist an der Ecke Stahl-/Eisenstraße von einem Mann mit gelber Mütze geklaut worden.“ Solche Informationen sind einfacher zu verarbeiten.

Mit ISE können solche Kontext bezogenen Informationen auch mit Systemen anderer Hersteller geteilt werden - automatisch. Damit hat der Administrator deutlich mehr Informationen darüber, was genau gerade im Netz vor sich geht. Man kann beispielsweise erkennen, ob von einem Gerät Malware heruntergeladen wurde und dieses Gerät automatisch aus dem Netzwerk entfernen und in Quarantäne schicken. Das Gerät hat dann nur noch die Option, mit einem Support-Center zu kommunizieren: Lateral Movement wird damit vorgebeugt.

Zero-Trust-Architektur

ISE trifft als Zero-Trust-Architektur regelbasiert und automatisiert sicherheitsrelevante Entscheidungen bei Ihren Netzwerk-Bewegungen. Dabei sammelt die Engine Informationen aus dem Stack, um Benutzer und Endpunkte zu authentifizieren. Ziel: Mögliche Bedrohungen werden eingedämmt – ein perfektes Beispiel für eine sehr gelungene Maschine-Maschine-Kommunikation für ​die Widerstandsfähigkeit und sichere Verbindungen in Ihrem Netzwerk.

ISE ist das Herzstück der Segmentierungslösung Cisco TrustSec

Hier geht es um den Schutz von Unternehmensressourcen durch Segmentierung des Netzwerks. Diese ist ein probates Mittel, um wichtige Komponenten im Netzwerk zu schützen. Cisco TrustSec, also die softwaregestützte Segmentierung, ist deutlich weniger komplex als traditionelle Ansätze wie die VLAN-basierte Segmentierung. Die dahinterliegende Software definiert die Regeln über die segmentierten Sicherheitsgruppen hinweg.

Das Ergebnis

Nur vertrauenswürdige Benutzer und deren Geräte können auf Ressourcen in Ihrem selbstgemanagten Netzwerk zugreifen. Übrigens: ISE gehört zu den führenden Network Access Control – Lösungen (NAC) für Wired-, Wireless- und VPN-Netze basierend auf dem 802.1x – Protokoll. Dieses Protokoll weist nach, dass es sich um ein berechtigtes Gerät handelt. ISE ist kompatibel mit Switches, WLCs, APs und VPN-Gateways verschiedener Hersteller. Protokoll-Voraussetzung: RADIUS (Remote Authentication Dial-In User Service) und 802.1x.

Sie sind ein ISE-Kandidat?

Sie verfügen über ein Netzwerk mit multifunktionalen Endgeräten und Ressourcen. Ihr Geschäftsmodell muss stark digitalisieren. Ihr Wettbewerbsvorteil in Ihrem Markt schrumpft gerade. Ihr Netzwerk ist im KRITIS-Umfeld angesiedelt. Sie stehen vor verschiedenen regulatorischen Herausforderungen wie NIS-2. Sie sind ein global agierender Mittelständler. Sie gehören den Branchen an: Finance, Public Sector, Health, Automotive und Manufacturing.

Ihr ISE-Nutzen

Adé überlastete Infrastruktur – Nur 1 System zur Zugriffssteuerung aufs Netzwerk entlastet Ihre Infrastruktur.

Hallo Kontrolle - Erstellen Sie Profile von Benutzerinnen, Standorten und Zugriffsarten, um zu kontrollieren, wer ins Netzwerk kommt.

Prima Authentifizierung – Konsolidieren Sie Daten aus mehreren Authentifizierungsquellen, so dass nicht mehr jedes System, das Authentifizierungsdaten benötigt, mit jeder Authentifizierungsquelle interagieren muss.

Gerne Prinzipienreiter – das Konzept des Principle of Least Privilege (PoLP) kommt bei ISE zur Anwendung. Diese Aufgaben zentrierte Freigabeprinzip lässt nur Ressourcen zu, die eine bestimmte Aufgabe zu erfüllen haben. Ergo: Mehr Security durch authentifizierten Zugriff im Netzwerk.

Dankbare Abnehmer: ISE verteilt über die Cisco Platform Exchange Grid (pxGrid) alle Sitzungsidentitätsinformationen im Netzwerk an alle anderen Geräte und an alle natürlichen Abnehmer. Zu diesen Endpunkten gehören Firewalls, Web Security Appliances, Traffic Analyzer und Administratoren und Sicherheitsexperten. Aber auch Systeme anderer Hersteller (Eco-System-Partner von Cisco) werden bei diesem Informationsaustausch inkludiert.

Weitere Vorteile

  • Besser in punkto Sicherheit als herkömmliche SNMP-basierte Lösungen wie Macmon, ARPGuard
  • Sichtbare Kontext-Analyse (Context Visibility): Automatisiert Prognose zur Bedrohungslage und zur Compliance-Konformität: Wer ist seit wann und warum im Netzwerk?
  • Teilen: Netzwerk-Analysen werden mit anderen Security-Produkten von Cisco und anderen Herstellern (pxGrid Eco-System Partner) geteilt.
  • Flexiblerer Guest Access / BYOD (Bring Your Own Device) – Policy / Device Profiling / Device Compliance (Mobile Devices via MDM, Windows via Secure Client) / Device Administration (TACACS+) / Troubleshooting durch detailliertes Logging, was Switch/WLC, ISE, AD, PKI, MDM berücksichtigt.

Warum Pan Dacom

Wir sind Experten für die Implementierung/Betrieb von NAC-Lösung auf Basis der Cisco ISE. Weitere Infos finden Sie unter unseren Referenzen.

Wir nehmen Sie mit: Die Implementierung erfolgt bei einem 3- bis 5-tägigen Workshop an Ihrem Standort. Dabei gehen wir mit Ihnen gemeinsam schrittweise vor. Wir erklären Ihnen individuell die wichtigsten Hintergründe, Analysen und technische Interdependenzen, und wir erstellen gemeinsam erste Konfigurationen Ihres ISE-Systems gleich während des Workshops. Unser Abnahmetest stellt sicher, dass wir Sie befähigt haben, ISE für Ihr Daily-Business ab sofort selbstständig zu nutzen. Unser Schulungsmaterial bleibt selbstverständlich bei Ihnen.

Zuerst Workshop, dann unser Support: Den Roll-out in Ihre Fläche können Sie schließlich selbstständig vornehmen. Bei komplexen und umfangreichen Konfigurationsaufgaben sind wir mit unserem Remote Support aber immer für Sie da: Mittels Software Development Kit (SDK) binden wie komplexe Regelwerke in Ihre Architektur ein. Dieser Support empfiehlt sich insbesondere dann, wenn Sie mehrere Standorte mit sehr differenzierten Zugangsberechtigungen aktivieren müssen.

Sie können sich auf uns verlassen

Pan Dacom Networking AG ist ein deutscher Systemintegrator für hoch komplexe IT-Netzwerke zur Datenkommunikation im KRITIS-Umfeld; vor allem im Glasfasersegment. Seit 40 Jahren am Markt kombinieren wir Datennetze zur Hochgeschwindigkeitsübertragung mit modernsten Cybersecurity- Standards. Unsere Experten-Teams verfügen über Knowhow in folgenden Bereichen: Standortvernetzung, Netzwerk-Management inkl. Monitoring und der Analyse möglicher Schwachstellen und Sicherheitslücken im Netz, 24/7-Monitoring sowie Anomalieerkennung oder automatisierte Erkennung von unbemerkten Cyberattacken im Datennetzwerk. Unsere Produktesegmente: Firewall-, Mikrosegmentierung- und WLAN-Streching-Lösungen, Verschlüsselungsprotokolle. Wir installieren Produkte unserer Partner: Cisco, Fortinet, Nokia und Pan Dacom Direkt.

Rückruf für eine kostenlose Erstberatung vereinbaren

Erfahren Sie mehr in einem persönlichen Gespäch mit unseren Experten.