Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
2234
Apresentações
0
Útil
0
Comentários

Cisco ISE (Identity Services Engine)

Marcelo Morais
VIP
VIP

‎02-07-2021 04:53 PM - editado ‎12-28-2024 07:34 AM

 

MarceloMorais_0-1654436644727.png Para obter uma cópia off-line ou impressa deste documento, basta escolher ⋮ Opções > Página Amigável para Impressora. Você pode então Imprimir > Imprimir em PDF ou Copiar & Colar em qualquer outro formato de documento de sua preferência.

 

ISE Terminologia

MnT (Monitoring & Troubleshooting Node) . cada ISE Deployment deve ter pelo menos um
. no máximo dois ... Primary MnT (active) e Secondary MnT (standby)
NAD (Network Access Device)

. são os Policy Enforcement Point, responsáveis por aplicarem as Authorization Result do Authentication Server.
Node

. instancia individual do ISE ... seja o applicance físico ou virtual
PAN (Policy Administration Node)

. cada ISE Deployment deve ter pelo menos um
. no máximo dois ... Primary PAN (active) e Secondary PAN (standby)

. interface utilizada para configurar e visualizar as Policies

. acesso total ao Administration GUI
PSN (Policy Services Node)

. cada ISE Deployment deve ter pelo menos um
. é o responsável por lidar com o tráfego entre o NAD e o ISE
PxG (Platform Exchange Grid Node)   . facilita o compartilhamento de Context com outros Policy Network Systems (como por ex.: ASA)
SNS (Secure Network Server) . ISE hardware (appliance)
Supplicant

software executado no Endpoint que provê as credenciais para o NAD (Authenticator), ex.: Cisco AnyConnect Secure Mobility Client.

 
ISE Hardware

Virtual Host ESXi 5.X and 6.X
KVM on Red Hat 7.X
MS Hyper-V
Appliance

SNS-33XX Series (EoS - 24/Dezembro/2013)

SNS-34XX Series (EoS - 7/Outubro/2016)

SNS-35XX Series (EoS - 15/Junho/2019)

SNS-36XX Series (EoS - 28/Outubro/2024)

SNS-37XX Series (SNS-3715, SNS-3755 e SNS-3795)


ISE Release & Patch

2.4.0.357 desde MAR/2018 ... última versão: Patch 14 (ISE 2.4 foi considerado o Suggested Release em AGO/2019)

2.6.0.156 desde FEV/2019 ... última versão: Patch 12 (ISE 2.6 foi considerado o Suggested Release em NOV/2019)

2.7.0.356 desde NOV/2019 ... última versão: Patch 10 (ISE 2.7 foi considerado o Suggested Release em JUN/2020)

3.0.0.458 desde SET/2020 ... última versão: Patch 8 (ISE 3.0 foi considerado o Suggested Release em MAI/2021)

3.1.0.518 desde AGO/2021 ... última versão: Patch 9 (ISE 3.1 foi considerado o Suggested Release em FEV/2022)

3.2.0.542 desde SET/2022 ... última versão: Patch 7 (ISE 3.2 foi considerado o Suggested Release em JUL/2023)

3.3.0.430 desde JUL/2023 ... última versão: Patch 4 (ISE 3.3 foi considerado o Suggested Release em MAI/2024)

3.4.0.608 desde AUG/2024 ... última versão: Patch 1.


ISE Licenciamento

Traditional Licensing  licenças instaladas diretamente no ISE (default)
Smart Licensing uso obrigatório a partir da release 3.0.0.458 ... licenças disponíveis de forma centralizada via Cisco Smart Account
Pacotes (Novo)

Evaluation: 90 dias de teste
Essentials: AAA e 802.1x (Licença por Assinatura)
Advantage: para BYOD, Profiling, pxGrid (Licença por Assinatura)
Premier: para Posture (Licença por Assinatura)
Pacotes (Antigo)

Evaluation: 90 dias de teste
Base: obrigatório ... cada Endpoint ativo consome uma Base License (Licença Perpétua)
Plus: para BYOD, Profiling, pxGrid (Licença por Assinatura)
Apex: para Posture (Licença por Assinatura)


ISE Compatibilidade

Para uma lista de equipamentos validados, visite o link Cisco ISE Compatibility Matrix


ISE Deployment

Standalone Deployment PAN, MnT e PSN sendo executados simultaneamente no mesmo Appliance Físico ou Appliance Virtual.
Hybrid Deployment

PAN e MnT sendo executados simultaneamente no mesmo Node e PSN num Node específico.

Máximo de 5 PSNs.
Fully Distributed Deployment

PAN, MnT e PSN sendo executados em Nodes específicos (máximo de 50 PSNs).

 
 ISE Componentes

Endpoints (Supplicant) . Users
. Devices
. Things
NAD (Authenticator) . Wired Ethernet Switches
. WLCs / APs
. VPN Gateways (por ex.: ASA)
. Load Balancer
ISE (Authentication Server)  
External Services (Identiy Store)

. AD/LDAP
. MDM
. Security Services


ISE Metodos de Autenticação

Active Identity . IEEE 802.1X
. Web Authentication (Central WebAuth ou Local WebAuth)
. Remote access VPN
Passive Identity

. MAB
. Easy Connect - uma solução intermediária em relação ao 802.1X e MAB.

 

Nota:
. 802.1X - o mais seguro
. Web Auth - segurança média
. Easy Connect - segurança média
. MAB - o menos seguro


ISE Histórico

A primeira versão do ISE foi disponibilizada em Abr/2011, versão 1.0.4 ... desde Ago/2017 se tornou a principal solução de NAC da Cisco após o EoS Date do Cisco ACS (Cisco Secure Access Control Server).

Atualmente na versão 3.2.0 é considerado um Policy Enforcement platform, concentrando todas as Network Identities Policy em um só lugar, 


ISE Links

Cisco ISE

ISE Performance & Scale

ISE Secure Wired Access Prescriptive Deployment Guide

Cisco ISE & NAC Resources

Cisco ISE Network Compatibility

 

0 Útil
Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Vídeo dos últimos eventos Pergunte aos Especialistas Blogs de Segurança
Customers Also Viewed These Support Documents