สวัสดีครับชาว System Engineer เรามาต่อจาก EP1 กันเลยนะครับ ใครที่ยังไม่ได้อ่าน EP1 ก็สามารถตามกันไปอ่านกันได้ครับ Click Link นี้ครับ ISE EP1 ส่วน EP2 ก็จะมาเล่ารายละเอียดของ Cisco ISE กันต่อนะครับ ว่ากันด้วยข้อดีของ ISE กันเลยครับ
1. Visibility หรือ ทัศนวิสัยในการที่เราสามารถมองเห็น Insight ได้
อุปกรณ์และผู้ใช้ทั้งหมดจะมองเห็นหรือค้นหาได้ง่ายในส่วนจอภาพของ ISE เช่น การเชื่อมต่อกับเครือข่าย ไม่ว่าจะเป็น Wire, Wireless, VPN และการบังคับใช้นโยบาย โดยสามารถดูได้จากมุมมอง Live Log ภายใน ISE ได้ครับ ทำให้ง่ายต่อการแก้ไขปัญหาและระบุอุปกรณ์ที่พยายามตรวจสอบสิทธิ์หรือดูว่าอุปกรณ์ใดไม่สอดคล้องกับนโยบายขององค์กรและถูกปฏิเสธการเข้าถึงได้นั่นเองครับ ถ้าเปรียบเทียบก็คือ เมื่อเรากรองด้วยผ้าขาวบาง เราจะสามารถมองเห็นในส่วนของเศษมะพร้าวได้ครับ ส่วนของเศษมะพร้าว หรือขยะเป็นส่วนที่เราจะไม่นำเอาไปใช้งาน หรือปรุงอาหาร ฉันใดฉันนั้นครับ ผู้ใช้งานที่เข้ามายังเครือข่ายไม่ได้ ก็จะไม่สามารถใช้งานทรัพยากรข้างในองค์กรได้
2.ลดจำนวน SSID ที่ไม่จำเป็น
เมื่อมีการใช้งาน SSID ไร้สายจำนวนมากเพื่อแยกอุปกรณ์ออกเป็น VLAN หรือแผนกต่างๆ ซึ่งอาจส่งผลเสียต่อประสิทธิภาพของเครือข่ายไร้สายได้ครับ ผมไปในหลาย ๆ หน่วยงาน หากมีความเป็นไปได้ ก็พยายามเปลี่ยนให้ระบบของหน่วยงานนั้น ๆ ให้ใช้งานเหลือแค่ 3 SSID ครับ
SSID ที่มากขึ้นหมายถึงบีคอน (Beacons) ที่มากขึ้น ซึ่งเท่ากับเวลา Airtime ที่น้อยลงสำหรับอุปกรณ์ที่จะส่งผ่านสื่อไร้สาย
เมื่อใช้ Cisco ISE เราเหมือนมีท่าไม้ตายพิเศษเลยครับ คือเราสามารถใช้ SSID เดียว ขอย้ำนะครับว่า SSID เดียวเลย ในการเชื่อมต่ออุปกรณ์ทั้งหมดเข้ากับเครือข่ายและแยกอุปกรณ์เหล่านี้ออกเป็น VLAN ต่างๆ ตามประเภทของอุปกรณ์หรือประเภทผู้ใช้ได้เลยครับ
Policy หรือนโยบายที่กำหนดค่าภายใน ISE จะกำหนดว่าอุปกรณ์หรือผู้ใช้ VLAN ใดจะถูกวางไว้ และ VLAN เหล่านี้สามารถเปลี่ยนแปลงบน Wireless Lan Controller (WLC) หรือบนอินเทอร์เฟซของสวิตช์ได้ตามต้องการครับ
ตัวอย่างเช่น โทรศัพท์ Android สามารถติดตั้งลงใน VLAN อื่นที่ไม่เหมือนกันกับโทรศัพท์ Apple ได้ เพียงแค่สร้างนโยบายที่ระบุว่าอุปกรณ์นั้นเป็น Android Phone แล้ว assign VLAN เป็น VLAN 20 แต่หากอุปกรณ์ถูกระบุว่าเป็น Apple iPhone ให้ไปใช้เป็น VLAN 30 เป็นต้น
3.Dynamically update Access Lists การอัพเดท ACL แบบไดนามิก
DACL หรือ Dynamic Access Control Lists จะถูก deploy ออกไปยังสวิตช์ของเราและนำไปใช้กับอินเทอร์เฟซที่ถูกต้องโดยอัตโนมัติโดยขึ้นอยู่กับนโยบายและโปรไฟล์การอนุญาตที่ตรงกับอุปกรณ์เฉพาะครับ
ข้อดีที่เห็นได้ชัดคือ รายการ ACL สามารถจัดการได้ในตำแหน่งศูนย์กลางแห่งเดียวครับ แทนที่จะจัดการบนสวิตช์แต่ละตัว ทำให้เราประหยัดเวลามากขึ้นครับ
4.จัดการเตะอุปกรณ์ที่ไม่ได้รับอนุญาตออกได้อย่างง่ายดาย
หากอุปกรณ์ถูกระบุว่าผิดปกติหรือรายงานว่าถูกขโมย การอนุญาตสำหรับการเข้าถึงเครือข่ายสามารถเพิกถอนได้ด้วยคลิกเดียวใน Cisco ISE กันเลยทีเดียวครับ
ผู้ใช้สามารถจัดการตนเองและรายงานว่าอุปกรณ์ของตนถูกขโมยผ่านพอร์ทัล mydevices ซึ่งจะขึ้นบัญชีดำอุปกรณ์โดยอัตโนมัติและเพิกถอนการเข้าถึงเครือข่ายสำหรับอุปกรณ์นั้นนั่นเองครับ
5.Portal Customization หรือการปรับแต่งพอร์ทัล
พอร์ทัลผู้เยี่ยมชมสามารถปรับแต่งด้วยตราสินค้าหรือโลโก้ขององค์กร หรือโดยการใช้การเข้ารหัส Jquery และมาร์กอัป CSS ด้วยตนเองกับหน้าการปรับแต่งพอร์ทัล ผู้ดูแลยังสามารถปรับใส่นโยบาย รูปแบบต่าง ๆ ของ Portal การวางหน้าตาหรือรูปพื้นหลังได้เช่นเดียวกันครับ ลองไปเล่นกันดูได้นะครับใน ISE Portal Builder https://isepb.cisco.com/
6.TrustSec Model
TrustSec เคยเป็นที่รู้จักในชื่อ Security Group Access และเป็นรูปแบบการรักษาความปลอดภัยที่ระบุผ่านแอปพลิเคชัน Security Group Tags (SGT)
แท็กเหล่านี้จะใช้กับอุปกรณ์เมื่อเข้าร่วมเครือข่ายเช่นอุปกรณ์สวิตช์ และใช้เพื่อระบุว่าการรับส่งข้อมูลของอุปกรณ์นี้อยู่ในกลุ่มใดตลอดทุกจุดในเครือข่าย
เราสามารถใช้ SGT เพื่อแยกอุปกรณ์ออกเป็นแผนกต่างๆ เช่น แผนกการตลาด การเงิน จากนั้นจึงนำกฎหรือ Policy ต่าง ๆ ไปใช้กับแท็กเหล่านี้ใน ISE เพื่อบังคับใช้การรักษาความปลอดภัยครับ ถ้าเปรียบเทียบ tags ก็เหมือนกับสี หากสีแดงได้ policy A, สีเขียวได้ policy B, สีน้ำเงินได้ policy C ครับ
และนี่คือบางส่วนของข้อดี Cisco ISE นะครับ ที่ทางแอดมินได้ยกตัวอย่างมาให้เห็นภาพกันมากขึ้นครับ
อยากจะอธิบายเพิ่มเติมเกี่ยวกับส่วนต่าง ๆ ที่สำคัญนะครับ หากเราได้มีโอกาสเล่น ISE นะครับ เรามักจะเจอเรื่องของ Personas หรือบุคลิกของการทำงานในแต่ละฟังก์ชั่น โดย ISE Personas ที่แตกต่างกันมีดังนี้:
1.Administration การดูแลระบบ – นี่คือโหนดที่ผู้ดูแลระบบสามารถกำหนดค่า ISE และทำการเปลี่ยนแปลงการดูแลระบบในนโยบายความปลอดภัยต่าง ๆ
2.Monitoring การตรวจสอบ (MnT) – โหนดนี้ทำหน้าที่เป็นเซิร์ฟเวอร์ส่วนกลางสำหรับบริการตรวจสอบและบริการบันทึกสำหรับการสร้างรายงาน การแก้ไขปัญหาการปรับใช้ ISE หรืออุปกรณ์ปลายทางที่เชื่อมต่อมายัง Cisco ISE นี้ได้ด้วย
3.Policy Service Node (PSN) – เซิร์ฟเวอร์นี้เป็นงานหลักของการปรับใช้ ISE และมีหน้าที่บังคับใช้นโยบายและจัดการคำขอตรวจสอบสิทธิ์ RADIUS ทั้งหมด ในระบบเครือข่ายของเรา
4.pxGrid Node (PXG) – สามารถใช้เพื่อแลกเปลี่ยนข้อมูลนโยบายและการกำหนดค่าระหว่างโหนดต่างๆ เช่น การแชร์แท็กและออบเจ็กต์นโยบายระหว่าง Cisco ISE และอุปกรณ์ยี่ห้ออื่น ๆ ได้ ยกตัวอย่างเช่นหาก Cisco ISE มีการให้ผู้งาน Authentication ผ่านมาแล้ว ก็จะส่งไปยัง Firewall Fortigate ให้สามารถรับทราบได้ด้วยว่า User ชื่อ somchai ได้เข้ามาในระบบแล้ว สามารถให้นายสมชายนี้ผ่าน Firewall ออกไปสู่อินเตอร์เน็ตได้เลยเช่นกัน
สุดท้าย ท้ายสุดคงจะหนีไม่พ้นเรื่องของ License ของ ISE ที่มีคนสอบถามกันมาเยอะมากครับ
Cisco ISE สามารถใช้วิธี Traditional License โดยแต่ละใบอนุญาตจะถูกนำไปใช้กับโหนด ISE ด้วยตนเองโดยใช้รหัส PAK หรือ ISE สามารถ Sync ไปยัง Cisco Smart Account ซึ่งในปัจจุบัน Cisco จะให้ทางลูกค้าซื้อแบบนี้กันหมดแล้วนะครับ แต่ทางแอดมินจะขออนุญาตอธิบายทั้ง 2 แบบเลยแล้วกันนะครับ
1.ตัวเลือก Tradition License แบบเดิม:
ISE Base – อุปกรณ์ที่เชื่อมต่อทุกเครื่องใช้ License และครอบคลุมการเข้าถึงเครือข่ายขั้นพื้นฐาน, AAA, Guest Management, MACsec และ TrustSec
ISE Base และ Plus – สำหรับ BYOD, CMX และ Location Service, Profiling, Cisco pxGrid
ISE Base และ Apex – การใช้งาน MDM, Posture Compliance
ISE Base and Device Administration – สำหรับ TACACS+
ISE Base, Plus, Apex และ Device Administration – สิทธิ์ใช้งานแบบเต็มครอบคลุมทุกคุณสมบัติที่มี
2.ตัวเลือกแบบ Smart License แบบใหม่ โดย ISE version 3.x ขึ้นไปนั้นจำเป็นต้องซื้อเป็นแบบ Subscription รายปีนะครับ:
Essentials – AAA & 802.1X, Guest (Hotspot, Self-Reg, Sponsored), Easy Connect (PassiveID)
Advantage – Profiling, BYOD, TrustSec, pxGrid, Location Service
Premier – Posture, MDM Compriance, TC-NAC
รายละเอียด แบบย่อย ๆ สามารถอ่านจากนี้ได้เลยครับ https://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/guide-c07-656177.html#21Licenses
เป็นอย่างไรกันบ้างครับ Cisco ISE เจาะลึกทั้ง 2 EP นะครับ สามารถ comment แนะนำกันมาได้ครับ เจอกันใหม่เรื่องถัดไป หรือสามารถไปดู ISE Configuration ในรูปแบบต่าง ๆ ที่เราเคยลงกันไปบ้างแล้วเนื้อหาแบบ Step by Step เลย ขอบคุณครับ