Комментарии 7
Cisco не покупала Polycom. Они купили Tandberg для ВКС портфолио.
0
Жалко что для работы большинства интересных фич (которые работают «через» AnyConnect) в качестве клиентской рабочей станции должен быть Windows (ну или на крайний случай Mac).
0
заказчик категорически отказался передавать нам трафик из своей сети.
Но при этом разрешил всадить во внутреннюю сеть агент? Чудны дела твои, господи...
+2
Настраивали ли Вы кому-нибудь pxGrid для общения с внешними системами?
И если да, то с какими?
И если да, то с какими?
0
Да, периодически пользуемся этой технологией. Наиболее частые примеры
интеграции в нашей практике, следующие:
1) Интеграция с Firepower при применении динамической авторизации
пользователей в сети по 802.1x — условно пользователь авторизовался,
ISE по политики аутентификации принял решение о том, к какой группе
относится пользователь (например: «доменный пользователь, недоменный
АРМ, посчуринг – не проводился»), и принадлежность к группе используется
на Firepower для применения каких-либо правил (например URL-фильтрации
и запрета приложений P2P).
2) Интеграция с Firepower при применении PassiveID — интересный вариант
взаимодействия, при котором тоже используется PxGrid для передачи на
Firepower информации о пользователях, но когда пользователь «не видит»
процесса аутентификации в сети. ISE получает данные об авторизации
пользователя в домене, профилирует его, проводит посчуринг (клиент
распространяется доменными политиками) и отдает на Firepower результат,
который так же применяется в политиках, как и в предыдущем случае.
3) Интеграция с StealthWatch. StealthWatch наблюдает за поведением сети и
при выявлении аномальных активностей может попросить ISE закарантинить
провинившийся хост.
4) Это решение сейчас на стадии «внутреннего тестирования» — сторонние
вендоры начинают поддерживать интеграцию с ISE по PxGrid, в том числе и
для SGT-меток. Сейчас мы прорабатываем интеграцию с шлюзами Check Point
инфраструктуры TrustSec с применением взаимодействия по PxGrid между
ISE и Checkpoint Identity Collector.
Открытого доступа к этой штуке еще нет (и официально полноценная поддержка будет в версии ПО 80.20, которая еще не вышла).
интеграции в нашей практике, следующие:
1) Интеграция с Firepower при применении динамической авторизации
пользователей в сети по 802.1x — условно пользователь авторизовался,
ISE по политики аутентификации принял решение о том, к какой группе
относится пользователь (например: «доменный пользователь, недоменный
АРМ, посчуринг – не проводился»), и принадлежность к группе используется
на Firepower для применения каких-либо правил (например URL-фильтрации
и запрета приложений P2P).
2) Интеграция с Firepower при применении PassiveID — интересный вариант
взаимодействия, при котором тоже используется PxGrid для передачи на
Firepower информации о пользователях, но когда пользователь «не видит»
процесса аутентификации в сети. ISE получает данные об авторизации
пользователя в домене, профилирует его, проводит посчуринг (клиент
распространяется доменными политиками) и отдает на Firepower результат,
который так же применяется в политиках, как и в предыдущем случае.
3) Интеграция с StealthWatch. StealthWatch наблюдает за поведением сети и
при выявлении аномальных активностей может попросить ISE закарантинить
провинившийся хост.
4) Это решение сейчас на стадии «внутреннего тестирования» — сторонние
вендоры начинают поддерживать интеграцию с ISE по PxGrid, в том числе и
для SGT-меток. Сейчас мы прорабатываем интеграцию с шлюзами Check Point
инфраструктуры TrustSec с применением взаимодействия по PxGrid между
ISE и Checkpoint Identity Collector.
Открытого доступа к этой штуке еще нет (и официально полноценная поддержка будет в версии ПО 80.20, которая еще не вышла).
+1
Спасибо за подробный ответ. Фактически pxGrid вы используете только для взаимодействия м/у продуктами Cisco.
По поводу «сторонние вендоры начинают поддерживать интеграцию» я не соглашусь. На самом деле существуют интеграции которые работают довольно давно (например, у нас она вышла 2.5 года назад), но так как платформа относительно закрытая, то большого интереса в этом нет.
В этом плане OpenDXL (изначально McAfee DXL) мне кажется более ориентированным на сторонние разработки.
По поводу «сторонние вендоры начинают поддерживать интеграцию» я не соглашусь. На самом деле существуют интеграции которые работают довольно давно (например, у нас она вышла 2.5 года назад), но так как платформа относительно закрытая, то большого интереса в этом нет.
В этом плане OpenDXL (изначально McAfee DXL) мне кажется более ориентированным на сторонние разработки.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Практика внедрения Cisco ISE. Взгляд инженера