Cisco Identity Services Engine ユーザ ガイド リリース 1.2
Cisco ISE の機能
Cisco ISE の機能
発行日;2014/01/15 | 英語版ドキュメント(2013/08/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco ISE の機能

Identity-Based ネットワーク アクセス

複数の導入シナリオのサポート

UCS ハードウェアのサポート

基本的なユーザ認証および認可

ポリシー セット

FIPS 140-2 の実装

Common Access Card 機能のサポート

クライアント ポスチャ評価

ゲストのネットワーク アクセス

パーソナル デバイスのサポート

Mobile Device Manager と Cisco ISE との相互運用性

インライン ポスチャ ノードを使用したワイヤレスおよび VPN トラフィック

ネットワーク上のプロファイリングされたエンドポイント

SAnet デバイスのサポート

複数のハードウェアおよび VMware プラットフォームへのインストールのサポート

Cisco ISE の機能

Cisco Identity Services Engine(Cisco ISE)は、のコンプライアンスの順守、インフラストラクチャのセキュリティの強化、およびサービス オペレーションの合理化を実現する、次世代のアイデンティティおよびアクセス コントロール ポリシーのプラットフォームです。Cisco ISE 固有のアーキテクチャにより、企業はネットワーク、ユーザ、およびデバイスから状況に応じた情報をリアルタイムで収集できるようになります。その後、管理者はその情報を使用して、積極的に管理上の決定を下すことができます。これを行うには、ID をアクセス スイッチ、ワイヤレス LAN コントローラ(WLC)、バーチャル プライベート ネットワーク(VPN)ゲートウェイ、データセンター スイッチなどのさまざまなネットワーク要素に結び付けます。Cisco ISE は Cisco Security Group Access Solution のキー コンポーネントです。

Cisco ISE は、既存の Cisco ポリシー プラットフォームで使用できる機能のスーパーセットを組み込む、統合されたポリシーベースのアクセス制御システムです。Cisco ISE では次の機能が実行されます。

認証、許可、アカウンティング(AAA)、ポスチャ、およびプロファイラを 1 つのアプライアンスに結合します。

Cisco ISE 管理者と許可されたスポンサーの管理者またはその両方に、包括的なゲスト アクセス管理を提供します。

包括的なクライアント プロビジョニングの方法を提供し、802.1X 環境など、ネットワークにアクセスするすべてのエンドポイントのデバイス ポスチャを評価することによって、エンドポイントのコンプライアンスを強化します。

ネットワーク上のエンドポイント デバイスの検出、プロファイリング、ポリシーベースの配置、モニタリングのサポートを提供します。

集中型展開および分散型展開においてポリシーの一貫性が維持され、サービスを必要な場所に配信できるようになります。

セキュリティ グループ タグ(SGT)およびセキュリティ グループ アクセス コントロール リスト(SGACL)によってセキュリティ グループ アクセス(SGA)などの高度な強化機能を使用します。

小さな事務所から大企業まで様々な環境の展開シナリオに対応するスケーラビリティをサポートします。

関連項目

Cisco Identity Services Engine Hardware Installation Guide, Release 1.2

Cisco ISE で提供される次の重要な機能によって、アクセス ネットワーク全体を管理できるようになります。

「Identity-Based ネットワーク アクセス」

「複数の導入シナリオのサポート」

「基本的なユーザ認証および認可」

「ポリシー セット」

「FIPS 140-2 の実装」

「Common Access Card 機能のサポート」

「クライアント ポスチャ評価」

「ゲストのネットワーク アクセス」

「パーソナル デバイスのサポート」

「インライン ポスチャ ノードを使用したワイヤレスおよび VPN トラフィック」

「ネットワーク上のプロファイリングされたエンドポイント」

「SAnet デバイスのサポート」

「複数のハードウェアおよび VMware プラットフォームへのインストールのサポート」

Identity-Based ネットワーク アクセス

Cisco ISE ソリューションでは、次の領域で、コンテキストに対応した ID 管理が提供されます。

Cisco ISE は、許可され、ポリシーに準拠したデバイスからユーザがネットワークにアクセスしているかどうかを確認します。

Cisco ISE は、コンプライアンスとレポーティングに使用できる、ユーザの ID、ロケーション、およびアクセス履歴を確認します。

Cisco ISE は、割り当て済みのユーザ ロール、グループ、関連付けられたポリシー(ジョブ ロール、ロケーション、デバイス タイプなど)に基づいてサービスを割り当てます。

Cisco ISE は、認証結果に基づいて、ネットワークの特定のセグメントへのアクセスと、特定のアプリケーションおよびサービスへのアクセスのいずれかまたは両方を、認証されたユーザに許可します。

関連項目

「管理者および管理者アクセス ポリシーの管理」

複数の導入シナリオのサポート

Cisco ISE は企業インフラストラクチャ全体に展開することが可能で、802.1X 有線、無線、およびバーチャル プライベート ネットワーク(VPN)がサポートされます。

Cisco ISE アーキテクチャでは、1 台のマシンがプライマリ ロール、もう 1 台の「バックアップ」マシンがセカンダリ ロールとなる環境において、スタンドアロン展開と分散(別名「ハイアベイラビリティ」または「冗長」)展開の両方がサポートされます。Cisco ISE は、個別の設定可能なペルソナ、サービス、およびロールを特徴としており、これらを使用して、Cisco ISE サービスを作成し、ネットワーク内の必要な箇所に適用できます。これにより、フル機能を備え統合されたシステムとして動作する包括的な Cisco ISE 展開が実現します。

Cisco ISE ノードは、1 つ以上の管理ペルソナ、モニタリング ペルソナ、およびポリシー サービス ペルソナとして展開できます。各ペルソナは、ネットワーク ポリシー管理トポロジ内の異なる部分で重要な役割を担います。Cisco ISE を管理ペルソナとしてインストールすると、集中型ポータルからネットワークを設定および管理することによって、効率と使いやすさを向上させることができます。

また、Cisco ISE プラットフォームをインライン ポスチャ ノードとして展開することによって、ポリシーの適用を実施するとともに、Cisco ISE ポリシー管理を簡易化するために必要な機能がサポートされない WLC や VPN コンセントレータを経由してユーザがネットワークにアクセスする環境で、許可変更(CoA)要求を実行することもできます。

関連項目

「分散環境での Cisco ISE の設定」

「インライン ポスチャの設定」

UCS ハードウェアのサポート

Cisco ISE 3300 シリーズ アプライアンスに加えて、Cisco ISE 1.2 は UCS C220 M3 ハードウェアをサポートし、次のプラットフォームで使用可能です。

SNS-3415(小)

SNS-3495(大)

関連項目

Cisco Identity Services Engine Installation Guide, Release 1.2

基本的なユーザ認証および認可

Cisco ISE のユーザ認証ポリシーを使用すると、パスワード認証プロトコル(PAP)、チャレンジ ハンドシェイク認証プロトコル(CHAP)、保護拡張認証プロトコル(PEAP)、拡張認証プロトコル(EAP)などのさまざまな標準認証プロトコルを使用して、多くのユーザ ログイン セッション タイプに対応した認証を提供できます。Cisco ISE では、ユーザが認証を試みるネットワーク デバイスで使用できるプロトコル、およびユーザ認証の検証元となる ID ソースが指定されます。

Cisco ISE では、許可ポリシーの範囲内で広範な可変要素が許可されるため、許可されたユーザのみが、ネットワークにアクセスしたときに目的のリソースにアクセスできます。Cisco ISE の最初のリリースでは、RADIUS によって管理された、内部ネットワークとそのリソースへのアクセスのみがサポートされます。

最も基本的なレベルにおいて、Cisco ISE では、802.1X、MAC 認証バイパス(MAB)、およびブラウザベースの Web 認証ログインが、有線ネットワークと無線ネットワークの両方を介した基本的なユーザ認証およびアクセスに対してサポートされます。認証要求を受信すると、認証ポリシーの「外側部分」を使用して、要求の処理時に使用できる一連のプロトコルが選択されます。その後、認証ポリシーの「内側部分」を使用して、要求の認証に使用する ID ソースが選択されます。ID ソースは、特定の ID ストア、またはユーザが最終的な許可応答を受信するまでアクセス可能な一連の ID を一覧表示する ID ストア順序で構成できます。

認証が成功すると、セッション フローは許可ポリシーに進みます。(認証が成功しなかった場合でも Cisco ISE に許可ポリシーの処理を許可するオプションも提供されます)。Cisco ISE を使用すると、認証が失敗した場合、ユーザが見つからなかった場合、および処理が失敗した場合の動作を設定できます。また、要求を拒否またはドロップ(応答は発行されません)するか、認証ポリシーに進むかを判断することもできます。Cisco ISE が許可の実行に進む場合、"NetworkAccess" ディクショナリの "AuthenticationStaus" 属性を使用して、認証結果を許可ポリシーの一部として組み込むことができます。

許可ポリシーの結果として、Cisco ISE によって割り当てられる許可プロファイルには、ネットワーク ポリシー適用デバイス上のトラフィック管理を指定する、ダウンロード可能な ACL が含まれる場合があります。このダウンロード可能な ACL では、認証中に返される RADIUS 属性が指定され、この属性により、Cisco ISE で認証されると付与されるユーザ アクセス権限が定義されます。

関連項目

「認証ポリシーの管理」

「許可ポリシーおよびプロファイルの管理」

ポリシー セット

Cisco ISE では、認証および認可ポリシーのセットをグループ化できるポリシー セットをサポートします。認証と認可ルールのフラットなリストである基本的な認証と認可ポリシー モデルに対して、ポリシー セットは組織の IT ビジネスの使用例を、VPN および 802.1x などのポリシー グループまたはサービスとして定義することができ、設定、導入およびトラブルシューティングがとても簡単になります。

関連項目

「認証ポリシーの管理」

「許可ポリシーおよびプロファイルの管理」

FIPS 140-2 の実装

Cisco ISE では、連邦情報処理標準(FIPS)140-2 共通基準 EAL2 へのコンプライアンスがサポートされます。FIPS 140-2 は、米国政府が定めるコンピュータ セキュリティ標準の 1 つであり、暗号化モジュールの認定に使用されています。Cisco ISE では、埋め込み型の FIPS 140-2 実装が使用されています。これは、検証済みの C3M および Cisco ACS NSS モジュールを使用するものであり、FIPS 140-2 Implementation Guidance セクション G.5 のガイドラインに準拠しています。

また、FIPS 標準では、特定のアルゴリズムの使用が制限されます。この標準を適用するには、Cisco ISE で FIPS の動作を有効にする必要があります。Cisco ISE では、RADIUS 共有秘密およびキー管理手法を経由した FIPS 140-2 へのコンプライアンスが有効になり、証明書の SHA-256 暗号化および復号化機能が提供されます。FIPS モードのときは、FIPS に準拠しないアルゴリズムを使用する機能を実行しようとしても失敗し、したがって一部の認証機能は無効になります。

Cisco ISE で FIPS モードを有効にすると、次の機能が影響を受けます。

IEEE 802.1X 環境

EAP-Flexible Authentication via Secure Tunneling(EAP-FAST)

EAP-Transport Layer Security(EAP-TLS)

PEAP

RADIUS


) • EAP-Message Digest 5(EAP-MD5)、Lightweight Extensible Authentication Protocol(LEAP)、PAP など、その他のプロトコルは FIPS 140-2 に準拠したシステムと互換性がなく、Cisco ISE が FIPS モードのときは無効になります。

FIPS モードを有効にすると、Cisco ISE のゲスト ログイン機能に必要な PAP および CHAP プロトコルも自動的に無効になります。レイヤ 3 ゲスト ログイン実装に伴うこの問題への対処方法の詳細については、「ゲストに許可されるネットワーク アクセスのサポート」を参照してください。

証明書で使用される暗号化方式が FIPS でサポートされていない場合は、証明書を再発行する必要がある場合があります。


 

Secure Shell(SSH)クライアントは SSHv2 のみを使用できる

Lightweight Directory Access Protocol(LDAP)over Secure Sockets Layer(SSL)

インライン ポスチャ ノードの RADIUS キー ラップ

管理者 ISE ノードとインライン ポスチャ ノードの両方に対する HTTPS プロトコル通信

関連項目

「Cisco ISE の管理」「Cisco ISE での FIPS モードの有効化」

「証明書の管理」

「ネットワーク デバイスの管理」

「認証ポリシーの管理」

Common Access Card 機能のサポート

Cisco ISE は、Common Access Card(CAC)認証デバイスを使用して自身を認証する米国政府ユーザをサポートします。CAC とは、内蔵の電子チップに X.509 クライアント証明書が記録された身分証明バッジであり、この証明書によって、米国国防総省(DoD)などの特定の 1 人の職員が識別されます。CAC 経由でアクセスするには、カード リーダーが必要です。ユーザは、リーダーにカードを挿入して PIN を入力します。これで、カードからの証明書が Windows 証明書ストアに転送され、Cisco ISE を実行するローカル ブラウザなどのアプリケーションで使用できるようになります。

CAC カードを使用して認証を行うことの利点は、次のとおりです。

Common Access Card X.509 証明書は、802.1X EAP-TLS 認証の ID ソースです。

Common Access Card X.509 証明書は、Cisco ISE 管理に対する認証および許可用の ID ソースでもあります。

Cisco ISE では、管理者ポータルのログインのみがサポートされます。次のアクセス方法では、CAC 認証はサポートされません。

Cisco ISE コマンドライン インターフェイスの管理に CAC 認証ログインは使用できません。

外部の REST API(モニタリングおよびトラブルシューティング)とエンドポイント保護サービス API では、CAC 認証はサポートされません。

ゲスト サービスとゲスト スポンサー管理からのアクセスでは、Cisco ISE 内での CAC 認証はサポートされません。

関連項目

「Cisco ISE の管理」

クライアント ポスチャ評価

Cisco ISE を使用すると、適用されたネットワーク セキュリティ対策の適切さと効果を維持するために、保護されたネットワークにアクセスする任意のクライアント マシンに対してセキュリティ機能を検証し、そのメンテナンスを行うことができます。Cisco ISE 管理者は、クライアント マシンで最新のセキュリティ設定またはアプリケーションを使用できるよう設計されたポスチャ ポリシーを使用することによって、どのクライアント マシンでも、企業ネットワークへのアクセスについて定義されたセキュリティ標準を満たし、その状態を継続することを保証できます。ポスチャ コンプライアンス レポートによって、ユーザがログインしたとき、および定期的再評価が行われるたびに、クライアント マシンのコンプライアンス レベルのスナップショットが Cisco ISE に提供されます。

ポスチャ評価およびコンプライアンスは、Cisco ISE で提供される次のいずれかのエージェント タイプを使用して行われます。

Cisco NAC Web Agent は、ログイン時にユーザがシステムにインストールする一時的なエージェントであり、ログイン セッションが終了すると、クライアント マシンには表示されなくなります。

Cisco NAC Agent は、一度インストールすると、Windows または Mac OS X クライアント マシン上で維持される永続的なエージェントであり、セキュリティ コンプライアンスに関するすべての機能を実行できます。

関連項目

「クライアント プロビジョニングの設定」

「クライアント ポスチャ ポリシーの設定」

『Cisco Identity Services Engine Network Component Compatibility, Release 1.2』

ゲストのネットワーク アクセス

ゲスト スポンサーとして Cisco ISE ゲスト登録ポータルへの適切なアクセスを許可された Cisco ISE 管理者と従業員は、ゲスト、ビジター、請負業者、コンサルタント、および顧客がネットワークにアクセスできるように、一時ゲスト ログイン アカウントを作成し、使用可能なネットワーク リソースを指定できます。ゲスト アクセス セッションには有効期限タイマーが関連付けられるため、ゲスト アクセスを特定の日付や期間に制限できます。

ゲスト ユーザ セッションのすべての側面(アカウントの作成と停止を含む)は追跡され、Cisco ISE に記録されるため、必要に応じて監査情報を提供したり、セッション アクセスのトラブルシューティングを行うことができます。

関連項目

「ゲストに許可されるネットワーク アクセスのサポート」

Cisco Identity Services Engine Sponsor Portal User Guide, Release 1.2

パーソナル デバイスのサポート

Cisco ISE では、従業員は、ラップトップ コンピュータ、携帯電話、タブレット、プリンタ、およびその他のネットワーク デバイスなど、自分のパーソナル デバイスを企業ネットワークに接続することができます。

これらのデバイスをサポートするとネットワーク サービスおよびエンタープライズ データの保護が難しくなるので、従業員とそれらのデバイスの両方をネットワーク アクセスに対して認証および許可できるようにする必要があります。Cisco ISE では、拡張ライセンスを使用して、従業員が自分のパーソナル デバイスを企業ネットワーク上で安全に使用するために必要なツールを提供します。

関連項目

「パーソナル デバイスのサポート」

Mobile Device Manager と Cisco ISE との相互運用性

モバイル デバイス管理(MDM)サーバは、携帯電話会社、サービス プロバイダー、および企業全体に導入されたモバイル デバイスをセキュリティ保護、モニタ、管理、およびサポートします。MDM サーバは、ポリシー サーバと、展開された環境でモバイル デバイス上の一部のアプリケーション(たとえば、電子メール アプリケーション)の使用を制御するインライン エンフォースメント ポイントから構成されます。ただし、ネットワークは、ACL、SGT に基づいてエンドポイントへの細かなアクセスを提供できる唯一のエンティティです。

関連項目

「Mobile Device Manager と Cisco ISE との相互運用性」

インライン ポスチャ ノードを使用したワイヤレスおよび VPN トラフィック

インライン ポスチャ ノードは、Cisco ISE アクセス ポリシーを適用し、CoA 要求を処理するゲートキーパー ノードです。(EAP/802.1X と RADIUS を使用した)初期認証後も、クライアント マシンはポスチャ評価を受ける必要があります。ポスチャ評価プロセスによって、クライアントからネットワークへのアクセスを制限するか、拒否するか、フル アクセスを許可するかが決定されます。クライアントが WLC または VPN デバイスを通じてネットワークにアクセスする場合、インライン ポスチャ ノードは、他のネットワーク デバイスが対応できないポリシー適用と CoA に対応します。そのため、Cisco ISE を、ネットワーク上の他のネットワーク アクセス デバイス(WLC や VPN コンセントレータなど)の背後にインライン ポスチャ ノードとして展開できます。

関連項目

「インライン ポスチャの設定」

ネットワーク上のプロファイリングされたエンドポイント

プロファイラ サービスは、ネットワーク上にあるすべてのエンドポイントの機能(Cisco ISE では ID とも呼ばれる)を、デバイス タイプにかかわらず識別、検索、および特定して、企業ネットワークへの適切なアクセスを保証および維持するのに役立ちます。Cisco ISE のプロファイラ機能では、さまざまなプローブを使用して、ネットワーク上にあるすべてのエンドポイントの属性を収集し、それらを既知のエンドポイントが関連ポリシーおよび ID グループに従って分類されるプロファイラ アナライザに渡します。

関連項目

「Cisco ISE エンドポイント プロファイリング ポリシー」

SAnet デバイスのサポート

Cisco ISE は、Session Aware Networking(SAnet)、つまり可視性、認証および許可を含むアクセス セッションに対する一貫した、柔軟な管理を提供するスイッチのセッション管理フレームワーク、に限定的なサポートを提供します。SAnet は、デバイスだけでなく、ISE の両方によって受け入れられる許可オブジェクトであるサービス テンプレートの概念を定義します。これは、デバイスに送信される前に属性のリストにマージされ、フラット化される RADIUS 認可属性のコンテナである Cisco ISE 許可プロファイルと矛盾しています。同様に、SAnet サービス テンプレートも RADIUS 認可属性のコンテナですが、デバイスに送信する前にリストにフラット化されません。代わりに、Cisco ISE はサービス テンプレートの名前を送信し、デバイスはキャッシュされたか、または静的に定義されたバージョンがまだない場合コンテンツ(RADIUS 属性)をダウンロードします。さらに、サービス テンプレートの定義が変更された場合、つまり RADIUS 属性が追加、削除または変更された場合、Cisco ISE はデバイスに CoA 通知を送信します。

Cisco ISE は、許可プロファイルを「サービス テンプレート」互換としてマークする特別なフラグを含む許可プロファイルとしてサービス テンプレートを実装します。このように、許可プロファイルでもあるサービス テンプレートは、レガシー デバイスだけでなく SAnet 対応デバイスから接続しているセッションをサポートする単一ポリシー ステートメントで使用することができます。

関連項目

「許可ポリシーおよびプロファイルの管理」

複数のハードウェアおよび VMware プラットフォームへのインストールのサポート

Cisco ISE は、さまざまなパフォーマンス上の特徴を備えた広い範囲の物理アプライアンスにあらかじめインストールされた状態で提供されます。Cisco Application Deployment Engine(ADE)と Cisco ISE ソフトウェアは、専用の SNS-3400 シリーズ アプライアンスまたは VMware サーバ(Cisco ISE VM)のいずれかで実行します。Cisco ISE ソフトウェア イメージでは、この専用プラットフォームにその他のパッケージまたはアプリケーションをインストールできません。Cisco ISE が本来備えている拡張性によってアプライアンスを展開に追加し、必要に応じてパフォーマンスと復元力を向上させることができます。

関連項目

Cisco Identity Services Engine Hardware Installation Guide, Release 1.2