experience Services Cisco dcloud Japan Local Webinar 第 4 回 : Identity Services Engine (ISE) ソリューションのご紹介
Cisco dcloud: http://dcloud.cisco.com バーチャル パートナー & シスコ社員がアクセス可能ブラウザベース同時複数セッションが可能 カスタマイズ 管理者権限カスタマイズ, ローカライズ, 新規のスクリプト作成保存, 共有, 再利用 お客様先 dcloud Data Centers Americas, APJC, EMEAR anyone anywhere anytime パートナー先 用意済みのスクリプト すぐに利用可能設定済み任意の端末利用が可能 様々な用途 お客様先, シスコ社内打ち合わせ, イベント サポート 検証済み 24x5 電話, ウェブサポートライブチャット
dcloud は各ニーズに対応 http://dcloud.cisco.com PC 端末から直接 (AnyConnect VPN) VPN ルータでローカル環境と接続 パートナーとシスコ社員向け バーチャルデスクトップ デモスクリプトの用意 カスタマイズ, ローカライズ, 共有可能 任意の端末利用が可能 BYOD: Bring Your Own Devices dcloud Data Centers Americas, APJC, EMEAR PC 上のローカルクライアント デモルームの構築 ローカルのサーバ追加 様々な利用用途
dcloud が あなたのビジネスを助けます! http://dcloud.cisco.com 自由自在に クラウド上の第三者のコンテンツ インターネット dcloud データセンター AMERICAS EMEAR APJC GC ローカル dcloud 第三者のローカルコンテンツ ローカルのラボ LAN
Cisco dcloud に関する Q&A を以下のシスコサポートコミュニティにて 日本語で受け付けております https://supportforums.cisco.com/ja/community/12255886/systemsengineering
dcloud Webinar の資料及び レコーディングも 以下のシスコサポートコミュニティにて ご用意しております https://supportforums.cisco.com/ja/document/12986571
各種リソース http://dcloud.cisco.com dcloud: dcloud.cisco.com Twitter: https://twitter.com/ciscodcloud 日本語デモスクリプト dcloud のトップページの Help -> Localized Contents -> Cisco dcloud content translated to Japanese https://communities.cisco.com/docs/doc-52558 ( デモスクリプト ) https://communities.cisco.com/docs/doc-63997 ( ヘルプコンテンツ ) dcloud demo ロードマップダウンロードはこちら サポート ( 英語のみ ) : 電話 : 1.800.GO-CISCO or 1.408.853.1000 パートナー向け Web サポート : Support Net dcloud がサポートしているエンドポイントルータ一覧 https://dcloud-cms.cisco.com/help/supported-routers-and-endpoints-japanese
dcloud による Cisco Identity Services Engine (ISE) ソリューションとデモシナリオのご紹介 2016 年 7 月 21 日シスコシステムズ合同会社セキュリティ事業 豊島かおり
ネットワーク上で誰が何をしているか把握していますか???? 90% 調査した企業の90% がネットワークに接続している端末を完全には把握できていない 見えない リスク への対応は困難 500B 2030 年には五千億ものデバイスが ネットワークに接続される
Cisco Identity Services Engine (ISE) 昨今のワークスタイルに求められるマルチデバイス環境に対応した高機能認証サーバ Anti-BYOD / BYOD 不正端末排除 私有端末利用 ゲストアクセス Cisco TrustSec アクセス権限制御 企業ネットワーク全体に共通ポリシーを適用 ( 有線 無線 VPN アクセスにおけるユーザ管理の統合 ) Cisco Family 3 rd Party Device ISE2.0 から 3rd party NAD をサポート範囲を拡張
ISE で実現するセキュアアクセス 従業員は支給モバイル端末から VPN 経由で一部社内サーバを閲覧 Cisco VPN 終端装置 インターネット クラウドサービス 従業員はコンプライアンス準拠 PC 端末から有線経由で社内リソースへフルアクセス Cisco スイッチ キャンパスネットワーク 内部リソース 役員は私物端末を専用無線 LAN に接続して業務に利用 来訪者にはゲストアカウントを発行しインターネットアクセスを提供 Cisco アクセスポイント Cisco ワイヤレス LAN コントローラ Cisco ISE ポリシーサービス 組織のネットワークポリシーを中央で統合管理 監視
サポート認証方式 802.1X 802.1x サプリカント有り従業員端末 MAC Authentication Bypass (MAB) 802.1x サプリカントなしユーザインプット不可端末 Web Authentication 802.1x サプリカントなしゲストアクセス / 持込端末 RADIUS TACACS+ ネットワーク機器のアクセス管理 外部連携 : ユーザディレクトリ - RADIUS - Active Directory - LDAP Servers - Token Servers ロギング - Syslog Servers モニタリング連携 - Prime Infrastructure (PI) ISE2.0 対応 (Device Admin ライセンスが必要 )
コンテキストベースの統合ポリシー管理 ユーザ端末場所状態時間接続方法カスタム条件適用ポリシー
ISE2.0 ロケーションベースのアクセス制御 セキュリティポリシーと無線 LAN ロケーション - Cisco Mobility Services Engine (MSE) 連携 ISE 2.0 新機能 ロケーションベースのアクセス権変更 ユーザがどの場所にいるかに応じて ネットワークのアクセスポリシーを自動的に変更できます セキュリティポリシーの中核を担う ISE(Identity Service Engine) と 無線 LAN の位置情報エンジン MSE(Mobility Services Engine) が連携した Cisco ソリューションです 患者の個人情報のアクセス場所 ロビー ユーザが移動した場所 ( ロケーション ) に応じて 自動的にネットワークへのアクセス権限を変更 強制できます 患者の入院部屋 ラボ 患者の個人情報資料 ER ラボ ER 特長 細やかなコントロール個々のユーザに対し 今いる場所に応じたロケーションベースのネットワークアクセス制御 医者 閲覧不可 アクセス可能 閲覧不可 アクセス可能 ロビー 患者の入院部屋 ポリシーの強制定期的にロケーションを確認し 場所の変更により自動的に再認証 シンプルに管理 ISE の管理画面でロケーションの制御を設定 ISE の機能概要 ユーザが位置している部屋やエリアに応じたアクセス権を設定 ( 必要に応じて部屋の階層的な定義も可能 ) MSEのロケーション属性値を ISEのアクセス制御ポリシーで利用 ロケーションの変更を定期的にMSEに確認 ユーザが新しい場所に移動した際に自動で再認証し 新しいアクセス制御ポリシーを強制
ISE が提供する接続端末への各種サービス マルチデバイス環境を実現するための様々な課題に対応します 接続端末の可視化 端末管理 証明書配布サービス? IP:192.168.83.242. MAC:xxx 13 時に東京ビルの 2 階会議室に接続ユーザ A さんの ipad (ver 6.0) BYOD のためポリシーアクセス拒否 IT 管理者の個別対応 利用者のセルフサービス コンプライアンス準拠 セキュアなゲストアクセスサービス ゲストアクセス環境が不整備だと ポリシー違反端末 端末検疫 MDM 管理 MDM: モバイルデバイスマネジメント 無線ルータ不正利用 WiFi 固定キーの流出 申請者向け一時アクセス
デバイスプロファイリング Cisco Feed ISE 上のエンドポイントプロファイリングポリシーに基づき端末をプロファイル フィードサービスによる更新 カスタムポリシー対応 複数のプローブを使用して端末情報を収集 DHCP / DHCP SPAN HTTP / HTTP SPAN RADIUS Network Scan DNS SNMP Trap / Query
プロファイリングデータの利活用 接続端末の可視化 端末種別に応じた認可 PC ACL Mobile ACL Voice VLAN ネットワーク上の端末種別を可視化 同一ユーザアカウント 端末種別に応じて異なるアクセス権を付与 ( 例 : ダイナミック VLAN, ダウンローダブル ACL) ユーザ毎の接続端末をモニタリング
デバイスオンボーディング エンタープライズルート CA ( オプション ) Cisco ISE Certificate Authority セルフサービスの端末登録フローを提供 多様な端末設定オプション 無線 有線サプリカント設定 証明書配布 ( 外部 CA サーバ連携連携 内部認証局機能 ISE 1.3 ) ISE1.4 より API 経由, 2.0 より Web 経由の証明書配布に対応 サポート端末 :ios, Android, Windows, MAC Android では専用 App (Network Setup Assistant) Windows, MAC では専用ウィザードを使用 端末登録ポータル 自動設定ウィザード 端末管理ポータル 認証時のユーザ ID および 申請端末の MAC アドレスを属性に持つユーザ証明書を動的に発行
マイデバイスポータル 登録端末の編集 削除機能を提供する専用ポータル 紛失時にも 端末ごとに すばやく企業ネットワークへの接続拒否 / リモートワイプ (MDM 連携時のみ ) 設定が可能
ISE 認証局機能証明書発行機能拡張 ISE 1.4 BYOD フローが実行できないデバイスに対して API を利用して証明書を発行 取得できます ISE 2.0 ユーザおよび管理者が簡単に証明書を発行 ダウンロードできる 証明書プロビジョニングポータルに対応
エンドポイントセキュリティ連携 企業端末の識別 コンプライアンスチェックおよび修復 PC: 検疫 モバイル : MDM 連携 OS, パッチ AV/AS インストール Cisco AnyConnect Agent Posture モジュール 6.2 2.3 App Center 4.1.10 MDMポリシーチェック アプリケーション / プロセス起動 パッチマネジメントシステム ネットワークを問わず ( 無線 有線 VPN) 一貫性のある端末コンプライアンスを提供 Windows, MAC の検疫に対応 8.0 2013/4 5.5 7 SP3 デバイス登録有無 コンプライアンス準拠 ディスク暗号化 PINロック ジェイルブレイク Manufacturer モデル IMEI / UDID シリアルナンバー OS バージョン 電話番号
ゲストアクセスサービス ゲストポータル スポンサーポータル マルチデバイス マルチランゲージ対応 無線 有線で共通インターフェイスを提供 利用規約の同意やパスワード変更 アカウント申請などの追加オプション シンプルかつ詳細な画面カスタマイズ 有効期限付き一時アカウントの簡単発行 ユーザ権限に応じた発行ポリシーの制御 ( 有効期限 アクセス権限等 ) メール 印刷での発行アカウント通知 ゲストアカウントおよび発行者のトラッキング 利用 発行履歴のレポート
セキュリティシステムと ISE の連携 サーバ 1 Firepower がネットワーク内で発生する攻撃やマルウェア拡散を監視 Firepower / Firesight 2 侵害された端末の情報を ISE に通知 PC 無線 LAN コントローラ / アクセススイッチ ISE ISE 1.3 以降および Firepower 5.4, 6.1 でサポート ( 注 :Firepower 6.0 では非サポート ) PC 侵害された端末 3 ネットワーク機器と連携し 該当端末を隔離
ISE デモシナリオ Cisco ISE 2.0 For BYOD and Guest Management v1.1 ISE 2.0 でサポートする デバイス管理 (TACACS+) デバイスオンボーディング ゲストアクセス ロケーションベースサービスの 4 つの機能それぞれでデモシナリオが用意された環境 Demo Guide - ISE 2.0 Device Administration v1.1 Demo Guide - ISE 2.0 Device Onboarding v1.1 Demo Guide - ISE 2.0 Guest Access v1.1 Demo Guide - ISE 2.0 Location Based Services v1.1 Cisco Rapid Threat Containment v1 エンドポイント端末の感染を Firepower が検知し ISE と連携して自動でネットワーク隔離
SpPKUNK その他の ISE 関連デモシナリオ Splunk Enterprise 6.2 with Cisco Security Suite v1 Splunk Cisco App を利用した各種シスコセキュリティ機器の監視 Cisco AnyConnect 4.1 with Advanced Malware Protection v1 AnyConnect ポスチャモジュールを利用した ISE 検疫機能のデモンストレーションを含む Cisco Network as a Sensor and Enforcer v1 Cisco Firepower Threat Defense Lab v1 Cisco Stealthwatch 6.7 v2 Cisco Stealthwatch のデモにて ISE が取得したコンテキスト情報の閲覧や 端末隔離連携が可能 Cisco Prime Infrastructure X.X
ISE デモシナリオ Cisco ISE 2.0 For BYOD and Guest Management v1.1 ISE 2.0 でサポートする デバイス管理 (TACACS+) デバイスオンボーディング ゲストアクセス ロケーションベースサービスの 4 つの機能それぞれでデモシナリオが用意された環境 Demo Guide - ISE 2.0 Device Administration v1.1 Demo Guide - ISE 2.0 Device Onboarding v1.1 Demo Guide - ISE 2.0 Guest Access v1.1 Demo Guide - ISE 2.0 Location Based Services v1.1 Cisco Rapid Threat Containment v1 エンドポイント端末の感染を Firepower が検知し ISE と連携して自動でネットワーク隔離を実施する
環境と事前設定 推奨エンドポイントルータ /AP Cisco dcloud 用に登録および構成された 819W ルータ Cisco Aironet シリーズアクセスポイント (3000 2000 または 1000 シリーズ ) Device Onboarding, Guest Access, Location Based Services のデモでは 実際にエンドポイントをデモ環境の WLAN に接続します このためルータまたは AP を環境に接続する事前設定が必要です
Device Administration デモ画面イメージ IOS の場合 vwlc の場合
Device Administration デモ画面イメージ ISE 設定画面の確認
Location Based Services デモ画面イメージ Prime Infrastructure の Map 上に AP を配置し 位置情報を取得
Location Based Services デモ画面イメージ ISE 設定画面
ISE デモシナリオ Cisco ISE 2.0 For BYOD and Guest Management v1.1 ISE 2.0 でサポートする デバイス管理 (TACACS+) デバイスオンボーディング ゲストアクセス ロケーションベースサービスの 4 つの機能それぞれでデモシナリオが用意された環境 Demo Guide - ISE 2.0 Device Administration v1.1 Demo Guide - ISE 2.0 Device Onboarding v1.1 Demo Guide - ISE 2.0 Guest Access v1.1 Demo Guide - ISE 2.0 Location Based Services v1.1 Cisco Rapid Threat Containment v1 エンドポイント端末の感染を Firepower が検知し ISE と連携して自動でネットワーク隔離を実施する
環境
Rapid Threat Containment デモ画面イメージ エンドポイント端末の感染 ISE Live Log : ステータス変更の確認
Thank you.