Cisco Identity Services Engine 管理者ガイド リリース 1.3
Cisco ISE の機能
Cisco ISE の機能

目次

Cisco ISE の機能

Cisco ISE の機能

Cisco ISE はネットワーク リソースへのセキュアなアクセスを提供するセキュリティ ポリシー管理プラットフォームです。 Cisco ISE はポリシー デシジョン ポイントとして動作し、企業におけるコンプライアンスの遵守、インフラストラクチャのセキュリティの向上、およびサービス オペレーションの合理化を可能にします。 企業は、Cisco ISE を使用して、ネットワーク、ユーザ、およびデバイスから状況情報をリアルタイムで収集できます。 その後、管理者はその情報を使用して、プロアクティブにガバナンス上の決定を下すことができます。これを行うには、ID をアクセス スイッチ、ワイヤレス LAN コントローラ(WLC)、バーチャル プライベート ネットワーク(VPN)ゲートウェイ、データセンター スイッチなどのさまざまなネットワーク要素に結び付けます。 Cisco ISE は、Cisco TrustSec ソリューションのポリシー マネージャとして機能し、TrustSec ソフトウェアによって定義されたセグメンテーションをサポートします。

主要な機能

Cisco ISE は、既存の Cisco ポリシー プラットフォームで使用できる機能のスーパーセットを組み込む、統合されたポリシーベースのアクセス制御システムです。 Cisco ISE では次の機能が実行されます。

  • 認証、許可、アカウンティング(AAA)、ポスチャ、およびプロファイラを 1 つのアプライアンスに結合します。

  • Cisco ISE 管理者、認可されたスポンサー管理者、またはその両方向けの、包括的なゲスト アクセス管理を提供します。

  • 包括的なクライアント プロビジョニングの方法を提供し、802.1X 環境など、ネットワークにアクセスするすべてのエンドポイントのデバイス ポスチャを評価することによって、エンドポイントのコンプライアンスを強化します。

  • ネットワーク上のエンドポイント デバイスの検出、プロファイリング、ポリシーベースの配置、モニタリングのサポートを提供します。

  • 集中型展開および分散型展開においてポリシーの一貫性が維持され、サービスを必要な場所に配信できるようになります。

  • セキュリティ グループ タグ(SGT)およびセキュリティ グループ アクセス コントロール リスト(SGACL)を使用した TrustSec などの高度な適用機能を利用します。

  • 小さな事務所から大企業までさまざまな環境の展開シナリオに対応するスケーラビリティをサポートします。

ID ベースのネットワーク アクセス

Cisco ISE ソリューションでは、次の領域で、コンテキストに対応した ID 管理が提供されます。

  • Cisco ISE は、ユーザが、許可されているポリシー準拠のデバイスからネットワークにアクセスしているかどうかを確認します。

  • Cisco ISE は、コンプライアンスとレポーティングに使用できる、ユーザ ID、ロケーション、およびアクセス履歴を確認します。

  • Cisco ISE は、割り当て済みのユーザ ロール、グループ、関連付けられたポリシー(ジョブ ロール、ロケーション、デバイス タイプなど)に基づいてサービスを割り当てます。

  • Cisco ISE は、認証結果に基づいて、ネットワークの特定のセグメントへのアクセスと、特定のアプリケーションおよびサービスへのアクセスのいずれかまたは両方を、認証されたユーザに許可します。

複数の展開シナリオのサポート

Cisco ISE は企業インフラストラクチャ全体に展開することが可能で、802.1X 有線、無線、およびバーチャル プライベート ネットワーク(VPN)がサポートされます。

Cisco ISE アーキテクチャでは、1 台のマシンがプライマリ ロール、もう 1 台の「バックアップ」マシンがセカンダリ ロールとなる環境において、スタンドアロン展開と分散(別名「ハイアベイラビリティ」または「冗長」)展開の両方がサポートされます。 Cisco ISE は、個別の設定可能なペルソナ、サービス、およびロールを特徴としており、これらを使用して、Cisco ISE サービスを作成し、ネットワーク内の必要な箇所に適用できます。 これにより、フル機能を備え統合されたシステムとして動作する包括的な Cisco ISE 展開が実現します。

Cisco ISE ノードは、1 つ以上の管理ペルソナ、モニタリング ペルソナ、およびポリシー サービス ペルソナとして展開できます。各ペルソナは、ネットワーク ポリシー管理トポロジ内の異なる部分で重要な役割を担います。 Cisco ISE を管理ペルソナとしてインストールすると、集中型ポータルからネットワークを設定および管理することによって、効率と使いやすさを向上させることができます。

また、Cisco ISE プラットフォームをインライン ポスチャ ノードとして展開することによって、ポリシーの適用を実施するとともに、Cisco ISE ポリシー管理を簡易化するために必要な機能がサポートされない WLC や VPN コンセントレータを経由してユーザがネットワークにアクセスする環境で、許可変更(CoA)要求を実行することもできます。

UCS ハードウェアのサポート

Cisco ISE 3300 シリーズ アプライアンスに加えて、Cisco ISE 1.2 は UCS C220 M3 ハードウェアをサポートし、次のプラットフォームで使用できます。

  • SNS-3415(小)

  • SNS-3495(大)

基本的なユーザ認証および許可

Cisco ISE のユーザ認証ポリシーを使用すると、パスワード認証プロトコル(PAP)、チャレンジ ハンドシェイク認証プロトコル(CHAP)、保護拡張認証プロトコル(PEAP)、拡張認証プロトコル(EAP)などのさまざまな標準認証プロトコルを使用して、多くのユーザ ログイン セッション タイプに対応した認証を提供できます。 Cisco ISE では、ユーザが認証を試みるネットワーク デバイスで使用できるプロトコル、およびユーザ認証の検証元となる ID ソースが指定されます。

Cisco ISE では、許可ポリシーの範囲内で広範な可変要素が許可されるため、許可されたユーザのみが、ネットワークにアクセスしたときに目的のリソースにアクセスできます。 Cisco ISE の最初のリリースでは、RADIUS によって管理された、内部ネットワークとそのリソースへのアクセスのみがサポートされます。

最も基本的なレベルにおいて、Cisco ISE では、802.1X、MAC 認証バイパス(MAB)、およびブラウザベースの Web 認証ログインが、有線ネットワークと無線ネットワークの両方を介した基本的なユーザ認証およびアクセスに対してサポートされます。 認証要求を受信すると、認証ポリシーの「外側部分」を使用して、要求の処理に使用できる一連のプロトコルが選択されます。 その後、認証ポリシーの「内側部分」を使用して、要求の認証に使用する ID ソースが選択されます。 ID ソースは、特定の ID ストア、またはユーザが最終的な許可応答を受信するまでアクセス可能な一連の ID を一覧表示する ID ストア順序で構成できます。

認証が成功すると、セッション フローは許可ポリシーに進みます。 (認証が成功しなかった場合でも Cisco ISE に許可ポリシーの処理を許可するオプションも提供されます)。Cisco ISE を使用すると、「認証失敗」、「ユーザが見つからない」、および「プロセスの失敗」に対する動作を設定できます。また、要求を拒否またはドロップ(応答は発行されません)するか、認証ポリシーに進むかを判断することもできます。 Cisco ISE が許可の実行に進む場合、「NetworkAccess」ディクショナリの「AuthenicationStaus」属性を使用して、認証結果を許可ポリシーの一部として組み込むことができます。

許可ポリシーの結果として、Cisco ISE によって割り当てられる許可プロファイルには、ネットワーク ポリシー適用デバイス上のトラフィック管理を指定する、ダウンロード可能 ACL が含まれる場合があります。 このダウンロード可能 ACL では、認証中に返される RADIUS 属性が指定され、この属性により、Cisco ISE で認証されると付与されるユーザ アクセス権限が定義されます。

ポリシー セット

Cisco ISE では、認証ポリシーおよび許可ポリシーのセットをグループ化できるポリシー セットがサポートされます。 認証および許可ルールのフラットなリストである基本的な認証および許可ポリシー モデルとは対照的に、ポリシー セットでは、設定、展開、およびトラブルシューティングがより簡単になるように、組織の IT ビジネス事例をポリシー グループまたはサービス(VPN や 802.1x など)に論理的に定義できます。

Common Access Card 機能のサポート

Cisco ISE は、米国の Common Access Card(CAC)認証デバイスを使用して、自身を認証する政府ユーザをサポートします。 CAC とは、内蔵の電子チップに X.509 クライアント証明書が記録された身分証明バッジであり、この証明書によって、 米国国防総省(DoD)などの特定の 1 人の職員が識別されます。 CAC によるアクセスには、カードを挿入し PIN を入力するカード リーダーが必要です。 カードからの証明書が Windows の証明書ストアに転送されます。Windows の証明書ストアは、Cisco ISE などのローカル ブラウザで実行されているアプリケーションで使用可能です。

CAC カードを使用して認証を行うことの利点は、次のとおりです。

  • Common Access Card X.509 証明書は、802.1X EAP-TLS 認証の ID ソースです。

  • Common Access Card X.509 証明書は、Cisco ISE 管理に対する認証および許可用の ID ソースでもあります。

Cisco ISE は、管理者ポータルへのログインのみをサポートします。 次のアクセス方法では、CAC 認証はサポートされません。

  • Cisco ISE コマンドライン インターフェイスの管理に CAC 認証ログインは使用できません。

  • 外部の REST API(モニタリングおよびトラブルシューティング)とエンドポイント保護サービス API では、CAC 認証はサポートされません。

  • ゲスト サービスとゲスト スポンサー管理からのアクセスでは、Cisco ISE 内での CAC 認証はサポートされません。

クライアント ポスチャ評価

Cisco ISE を使用すると、適用されたネットワーク セキュリティ対策の適切さと効果を維持するために、保護されたネットワークにアクセスする任意のクライアント マシンに対してセキュリティ機能を検証し、そのメンテナンスを行うことができます。 Cisco ISE 管理者は、クライアント マシンで最新のセキュリティ設定またはアプリケーションを使用できるよう設計されたポスチャ ポリシーを使用することによって、どのクライアント マシンでも、企業ネットワークへのアクセスについて定義されたセキュリティ標準を満たし、その状態を継続することを保証できます。 ポスチャ コンプライアンス レポートによって、ユーザがログインしたとき、および定期的再評価が行われるたびに、クライアント マシンのコンプライアンス レベルのスナップショットが Cisco ISE に提供されます。

ポスチャ評価およびコンプライアンスは、Cisco ISE で提供される次のいずれかのエージェント タイプを使用して行われます。

  • Cisco NAC Web Agent:ログイン時にユーザがシステムにインストールする一時的なエージェントであり、ログイン セッションが終了すると、クライアント マシンには表示されなくなります。

  • Cisco NAC Agent:一度インストールすると、Windows または Mac OS X クライアント マシン上で維持される永続的なエージェントであり、セキュリティ コンプライアンスに関するすべての機能を実行できます。

  • AnyConnect ISE Agent:Windows または Mac OS X クライアントにインストールできる永続的なエージェントであり、ポスチャ コンプライアンス機能を実行します。

ゲストのネットワーク アクセス

ゲスト スポンサーとして Cisco ISE ゲスト登録ポータルへの適切なアクセスが付与されている Cisco ISE 管理者および従業員は、一時的なゲスト ログイン アカウントを作成し、使用可能なネットワーク リソースを指定して、ゲスト、訪問者、請負業者、コンサルタント、顧客に、指定されたネットワーク リソースおよびインターネットへの制限付きアクセスを許可することができます。 ゲスト アクセス セッションには有効期限タイマーが関連付けられるため、ゲスト アクセスを特定の日付や期間に制限できます。

ゲスト ユーザ セッションのすべての側面(アカウントの作成と停止を含む)は追跡され、Cisco ISE に記録されるため、必要に応じて監査情報を提供したり、セッション アクセスのトラブルシューティングを行うことができます。

パーソナル デバイスのサポート

Cisco ISE では、従業員はラップトップ コンピュータ、携帯電話、タブレット、プリンタ、およびその他のネットワーク デバイスなど、自分のパーソナル デバイスを企業ネットワークに接続することができます。

これらのデバイスをサポートするとネットワーク サービスおよびエンタープライズ データの保護が難しくなるため、従業員とそれらのデバイスの両方をネットワーク アクセスに対して認証および許可できるようにする必要があります。 Plus ライセンスの場合、Cisco ISE では、従業員が自分のパーソナル デバイスを企業ネットワーク上でセキュアに使用するために必要なツールを提供します。

Mobile Device Manager と Cisco ISE との相互運用性

モバイル デバイス管理(MDM)サーバはモバイル事業者、サービス プロバイダー、企業にわたって展開されたモバイル デバイスの保護、モニタ、管理、およびサポートを行います。 MDM はエンドポイントに対してポリシーを適用します。 これは、ネットワークを認識できないため、ユーザにデバイスの登録およびポリシーへの準拠を強制することはできません。 ISE は、MDM ポリシーに準拠するようデバイスに要求するポリシーを認識できるため、ユーザにデバイスを登録させることができます。 ISE デバイス ポリシーで MDM を必要とし、デバイスが MDM に準拠していない場合、ISE はユーザを MDM オンボード ポータルにリダイレクトし、ネットワークにアクセスするためにデバイスを更新するようユーザに求めます。 ISE では、MDM コンプライアンスに従っていないユーザに対してインターネット アクセスのみを許可することもできます。

インライン ポスチャ ノードを使用するワイヤレスおよび VPN トラフィック

インライン ポスチャ ノードは、Cisco ISE アクセス ポリシーを適用し、CoA 要求を処理するゲートキーパー ノードです。 (EAP/802.1X と RADIUS を使用した)初期認証後も、クライアント マシンはポスチャ評価を受ける必要があります。 ポスチャ評価プロセスは、クライアントのネットワークへのフル アクセス権を制限、拒否、または許可するかどうかによって決定されます。 クライアントが WLC または VPN デバイスを通じてネットワークにアクセスする場合、インライン ポスチャ ノードは、他のネットワーク デバイスが対応できないポリシー適用と CoA に対応します。 その結果、Cisco ISE を、ネットワーク上の他のネットワーク アクセス デバイス(WLC や VPN コンセントレータなど)の背後にインライン ポスチャ ノードとして展開できます。

ネットワークのプロファイリングされたエンドポイント

プロファイラ サービスは、ネットワーク上にあるすべてのエンドポイントの機能(Cisco ISE では ID とも呼ばれる)を、デバイス タイプにかかわらず識別、検索、および特定して、企業ネットワークへの適切なアクセスを保証および維持するのに役立ちます。 Cisco ISE プロファイラ機能では、さまざまなプローブを使用して、ネットワーク上にあるすべてのエンドポイントの属性を収集し、それらを既知のエンドポイントが関連ポリシーおよび ID グループに従って分類されるプロファイラ アナライザに渡します。

プロファイラ フィード サービスによって、管理者は、新規および更新されたエンドポイント プロファイリング ポリシーや更新された OUI データベースを、指定された Cisco フィード サーバからの、サブスクリプションを介した Cisco ISE へのフィードとして取得できます。

Cisco pxGrid サービス

Cisco pxGrid を使用すると、Cisco ISE セッション ディレクトリからの状況依存情報を、ISE エコ システムのパートナー システムなどの他のネットワーク システムや他のシスコ プラットフォームと共有できます。 pxGrid フレームワークは、Cisco ISE とサード パーティのベンダー間でのタグおよびポリシー オブジェクトの共有のように、ノード間でのポリシーおよび設定データの交換に使用できます。また、その他の情報交換にも使用できます。 pxGrid によって、サードパーティ システムは適応型のネットワーク制御アクション(EPS)を呼び出し、ネットワークまたはセキュリティ イベントに応じてユーザ/デバイスを隔離できます。 タグ定義、値、および説明のような TrustSec 情報は、TrustSec トピックを通して Cisco ISE から別のネットワークに渡すことができます。 完全修飾名(FQN)を持つエンドポイント プロファイルは、エンドポイント プロファイル メタ トピックを通して Cisco ISE から他のネットワークに渡すことができます。 Cisco pxGrid は、タグおよびエンドポイント プロファイルの一括ダウンロードもサポートしています。

ハイ アベイラビリティ設定で、Cisco pxGrid サーバは、プライマリ管理ノードを通してノード間で情報を複製します。 プライマリ管理ノードがダウンすると、pxGrid サーバは、クライアントの登録およびサブスクリプション処理を停止します。 pxGrid サーバのプライマリ管理ノードをアクティブにするには、手動で昇格する必要があります。

Cisco ISE 認証局

Cisco ISE は、一元的なコンソールからエンドポイントのデジタル証明書を発行および管理して、従業員が自分のパーソナル デバイスを使用して企業のネットワークに接続できるようにするネイティブの認証局(CA)を提供します。 Cisco ISE CA は、スタンドアロンおよび下位の展開をサポートします。

Active Directory マルチドメイン フォレストのサポート

Cisco ISE では、マルチドメイン フォレストの Active Directory がサポートされます。 Cisco ISE は単一のドメインに接続しますが、Cisco ISE が接続されているドメインと他のドメイン間に信頼関係が確立されている場合は、Active Directory フォレストの他のドメインからリソースにアクセスできます。

SAnet デバイスのサポート

Cisco ISE は、セッション認識型ネットワーク(SAnet)が限定的にサポートされます。SAnet は、可視性、認証、許可などのアクセス セッションの管理における一貫性と柔軟性を高める、スイッチのセッション管理フレームワークです。 SAnet は、デバイスだけでなく、ISE の両方によって受け入れられる許可オブジェクトであるサービス テンプレートの概念を定義します。 このことは、デバイスに送信される前に属性のリストにマージされ、フラット化される RADIUS 許可属性のコンテナである Cisco ISE 許可プロファイルと矛盾します。 同様に、SAnet サービス テンプレートも RADIUS 許可属性のコンテナですが、デバイスに送信する前にリストにフラット化されません。 代わりに、Cisco ISE はサービス テンプレートの名前を送信し、デバイスはキャッシュされたか、または静的に定義されたバージョンがまだない場合コンテンツ(RADIUS 属性)をダウンロードします。 さらに、サービス テンプレートの定義が変更された、つまり、RADIUS 属性が追加、削除、または変更された場合、Cisco ISE はデバイスに CoA 通知を送信します。

Cisco ISE は、許可プロファイルを「サービス テンプレート」互換としてマークする特別なフラグを含む許可プロファイルとして、サービス テンプレートを実装します。 このように、許可プロファイルでもあるサービス テンプレートは、SAnet 対応デバイスと同時にレガシー デバイスから接続するセッションをサポートする単一のポリシー ステートメントで使用することができます。

複数のハードウェアおよび VMware プラットフォームへのインストールのサポート

Cisco ISE は、さまざまなパフォーマンス上の特徴を備えた広い範囲の物理アプライアンスにあらかじめインストールされた状態で提供されます。 Cisco Application Deployment Engine(ADE)と Cisco ISE ソフトウェアは、専用の SNS-3400 シリーズ アプライアンスまたは VMware サーバ(Cisco ISE VM)のいずれかで実行されます。 Cisco ISE ソフトウェア イメージでは、この専用プラットフォームにその他のパッケージまたはアプリケーションをインストールできません。 Cisco ISE が本来備えている拡張性によってアプライアンスを展開に追加し、必要に応じてパフォーマンスと復元力を向上させることができます。