Cisco Identity Services Engine

Cisco Identity Services Engine データ シート

データ シート





Cisco Identity Services Engine(ISE)



モバイル デバイスと BYOD の急速な普及により、企業ネットワークでサポートされるモバイル ユーザやデバイス、およびそのアクセス方法は増え続けています。このようなネットワークでは、データやアプリケーションにアクセスする従業員の生産性が低下することのないよう、信頼性の高い接続を提供しながらも、有線、ワイヤレス、VPN のすべての媒体にわたって共通のセキュリティを確保する必要があります。また、未承認のユーザや安全性に問題のあるデバイスのハイレベルなアクセス コントロールを維持すると同時に、個人所有デバイスなど、膨大な数のデバイスのサポートに要する運用コストと時間の消費についても管理しなくてはなりません。


今日、ネットワーク セキュリティと業務の効率化を実現するには、有線、ワイヤレス、VPN のいずれの媒体からアクセスされた場合でも、個々のユーザやデバイスを正確に識別し、デバイスのプロビジョニングとセキュリティ保護を実行し、ユーザやデバイスのネットワーク接続をサポートするとともに、アクセスを許可する範囲をポリシーを使ってコントロールできる、新しいテクノロジーが必要です。これを実現するには、デバイスのセキュリティとネットワークのセキュリティを組み合わせることによって、次世代ネットワーキングへと移行するための道筋を提供できる全体的なアプローチが必要になります。

このような課題への対処を支援するのが、この Cisco® Identity Services Engine です。

製品概要


Cisco Identity Services Engine(ISE)は、有線、ワイヤレス、VPN のすべてのアクセスについてセキュリティを確保し、従業員の生産性の向上と運用コストの削減を実現する、オールインワンの企業向けポリシー コントロール製品です。ネットワークに ISE を導入することで、次のような機能を使用できるようになります。

  • アイデンティティの厳密な適用:ISE は、業界初のデバイス プロファイリング機能* を提供します。個々のデバイスを識別し、ユーザや機能、および時間、場所、ネットワークなどの属性をマッチングさせて、コンテキスト認識型のアイデンティティを実現します。ネットワークへのアクセスを許可するユーザと許可する内容をきめ細かく管理することができます。自動化されたデバイス フィード サービスによって ISE の情報がリアルタイムに更新され、市場にリリースされたばかりの新しいデバイスも識別されます。
  • ポリシーの広範な適用:ユーザやデバイスのコンテキストをベースとしたアイデンティティに基づいて、セキュアなアクセス ルールをネットワーク アクセス ポイントに送信します。ユーザやデバイスが有線、ワイヤレス、VPN のいずれからネットワークにアクセスしている場合でも、一貫したポリシーを確実に適用できます。
  • セキュリティ コンプライアンス:企業のすべてのネットワークに対する、ポリシーの作成、可視化、レポーティングを 1 つのダッシュボードで容易に実行できます。監査や規制要件、米国の連邦政府で義務付けられている 802.1X ガイドラインの遵守状況も簡単に検証できます。
  • オンボーディングの自動化:BYOD、ゲスト アクセス、IT デバイスのオンボーディングに対応したセルフサービス型の登録ポータルにより、AAA(認証、許可、アカウンティング)のユーザ識別、デバイスのプロファイリング、ポスチャ、802.1X のプロビジョニング、修復を自動化します。従業員が自分のデバイスをネットワークに容易に導入して、セキュリティ ポリシーを確実に遵守できるようになります。
  • デバイス セキュリティの自動化:デスクトップ/ラップトップのチェック向けの軽量な Cisco NAC Client の使用や、業界の主要なモバイル デバイス管理(MDM)ソリューションとの統合* など、デバイスのポスチャ チェックと修復に複数のオプションを提供します。デバイスをセキュアかつポリシーに準拠した状態に保つことが容易になります。
  • 場所を問わないアクセス:ネットワーク アクセス デバイスに対するポリシーのプロビジョニングをリアルタイムで実行します。モバイル ユーザやリモート ユーザは、どこからネットワークに接続しても同じようにサービスにアクセスできます。
  • 業務の効率化:オンボーディングとセキュリティの自動化、ポリシーの一元管理、可視化、トラブルシューティング、Cisco Prime™ との統合により、IT 部門やヘルプデスクがユーザやネットワーク セキュリティの修復にかける時間が大幅に削減されます。
  • 組み込みの改善機能:シスコのスイッチやワイヤレス コントローラのほとんどにはデバイス検出機能が搭載されているため、オーバーレイ アプライアンスへの支出や管理、インフラストラクチャの総入れ替えを行うことなく、プロファイリングをネットワーク全体に拡張できます。
  • 次世代のポリシー ネットワーキング:ISE は、次世代ネットワーク テクノロジー Cisco TrustSec® のポリシー コントロール ポイントとして機能します。Cisco TrustSec は、ネットワークとアプリケーション アクセスをエンドツーエンドでコントロールし、ビジネス ポリシーのネットワーク ポリシーへの転換を支援するほか、場所を問わないシームレスなサービス アクセスをユーザに提供します。また、次世代のポリシー ネットワーキングへの移行を容易にして、VLAN、ACL、ファイアウォールのルール管理の作業負荷を解消し、ISE への投資価値を向上させます。
  • ソリューションのエコシステム*テクノロジー パートナーのプラットフォームとの統合が可能なため、既存の IT プラットフォームをアイデンティティ、デバイス、ポリシー認識型のプラットフォームに一貫して変更できるようになります。識別が可能になることで、MDM や脅威管理などのプラットフォームで、より多くの使用例に対処したり、機能の効率化を図ったりできるようになります。また、ISE との統合により、パートナー プラットフォームからシスコのネットワーク インフラストラクチャにアクセスし、ユーザやデバイスに対するアクセスの隔離やブロックを実行することもできます。

Cisco Identity Services Engine のその他の主な機能を、表 1 に示します。

表 1 Cisco Identity Services Engines の機能

機能 説明
AAA プロトコル 標準規格である RADIUS プロトコルを使用して、認証、許可、アカウンティング(AAA)を行います。
認証プロトコル さまざまな認証プロトコル(PAP、MS-CHAP、Extensible Authentication Protocol(EAP)-MD5、Protected EAP(PEAP)、EAP-Flexible Authentication via Secure Tunneling(FAST)、EAP
ポリシー モデル ルールベースの属性主体ポリシー モデルが採用されているため、柔軟で実務に即したアクセス コントロール ポリシーを作成できます。ユーザやエンドポイントのアイデンティティ、ポスチャ検証、認証プロトコル、プロファイリング ID などの外部属性ソースが事前に登録された辞書から属性を取得して、細かく定義されたポリシーを作成できます。属性は、動的に作成し、後で使用できるよう保存しておくこともできます。
アクセス コントロール ダウンロード可能アクセス コントロール リスト(dACLs)、VLAN 割り当て、URL リダイレクト、Security Group Access(SGA)タギングなど、Cisco TrustSec 対応ネットワーク デバイスの高度な機能を使用した広範なアクセス コントロール メカニズムを提供します。
プロファイリング IP 電話、プリンタ、IP カメラ、スマートフォン、タブレットなどの各種エンドポイント向けに事前定義されたデバイス テンプレートが付属します。管理者が独自のデバイス テンプレートを作成することもできます。エンドポイントがネットワークに接続された際に、これらのテンプレートを使用して、管理者が定義した ID の検出、分類、関連付けが自動的に行われます。また、管理者がデバイス タイプに基づいて、エンドポイント固有の認証ポリシーを関連付けることもできます。
ISE による属性データの収集は、エンドポイントに問い合わせを行うパッシブなネットワーク テレメトリを介して実行されます。あるいは、Cisco Catalyst® スイッチのデバイス検出機能を使って、シスコのインフラストラクチャから収集する方法もあります。
ISE の検出テクノロジーの一部として、Cisco Catalyst スイッチに搭載されたインフラストラクチャ駆動型のエンドポイント検出機能があります。この機能により、エンドポイントの属性情報が RADIUS 規格に従ってすばやく収集されます。スイッチが収集したデータは ISE に引き渡され、エンドポイントの分類とポリシーの適用に使用されます。
また、ISE で提供される業界初のフィード サービス* により、さまざまなベンダー製の多様な IP 対応デバイスの、検証済みのプロファイルが提供されます。このフィード サービスによって、ユーザがネットワークに接続しようとした際の新しいデバイスが確実に検出され、IT 管理者の作業時間が大幅に短縮します。
デバイスのオンボーディング あらゆる種類のデバイスの登録ツールや、サプリカントによる自動プロビジョニング、標準的な PC とモバイル コンピューティング プラットフォームの証明書登録監査を提供して、エンドユーザがセルフサービス方式のポータルを使ってデバイスのオンボーディングを実行できるようにします。これにより、IT やヘルプデスクの対処が必要なケースが減り、アクセスのセキュリティが向上し、ユーザ エクスペリエンスが合理化されます。
ゲスト ライフサイクル管理 総合的なゲスト ライフサイクル管理を提供します。管理者がスポンサーとなるか、ゲスト ポータルでセルフ サービスで登録することで、ゲスト ユーザに期間限定のネットワーク アクセスが許可されます。ポータルやポリシーは、企業固有のニーズに基づいて管理者がカスタマイズできます。
ポスチャ ネットワークに接続している PC やモバイル デバイスに対して、エンドポイントのポスチャが検証されます。永続的に実行されるクライアント ベースのエージェント、または一時的な Web エージェントにより、エンドポイントが企業のポスチャ ポリシーに適合しているかどうかが検証されます。OS のパッチ、ウイルス対策やスパイウェア対策ソフトウェア パッケージの定義ファイル(バージョン、日付など)、レジストリ(キー、値など)、アプリケーションが最新に更新されているかどうかなどをチェックする、厳格なポリシーを作成できます。また、PC クライアントの自動修復機能をサポートしているほか、定期的な再評価を実施して、エンドポイントが企業ポリシーに違反していないかどうかが確認されます。
モバイル デバイス管理の統合* MDM と統合* することで、シスコの MDM テクノロジー パートナー ソリューションと ISE が接続され、MDM プラットフォームに登録済みのモバイル デバイスがネットワークに接続しようとしたときに確実に企業ポリシーに準拠できるようになるだけでなく、ユーザによるデバイスの修復が容易になります。
エンドポイント保護サービス ネットワークを危険にさらすエンドポイントに対して、管理者が適切なアクション(隔離、隔離解除、シャットダウン)を速やかに実行できるようにします。これによりネットワークの危険度が低下し、安全性が高まります。
中央集中型の管理 管理者がプロファイリング、ポスチャ、ゲスト アクセス、認証、許可サービスを Web ベースの 1 つの GUI コンソールで一元的に設定および管理できるため、全サービスの統合管理が可能となり、管理を大幅に合理化できます。
モニタリングとトラブルシューティング モニタリング、レポーティング、トラブルシューティング機能を備えた組み込み Web コンソールを提供し、ヘルプデスクやネットワーク オペレータによる迅速な問題の特定と解決を促進します。全サービスの履歴レポートまたはリアルタイム レポートの提供、および全アクティビティのロギングが可能なほか、ネットワークに接続している全ユーザとエンドポイントのダッシュボード指標がリアルタイムで表示されます。
プラットフォーム オプション 物理アプライアンスまたは仮想アプライアンスとして提供されています。5 種類の物理プラットフォームと、VMware ESX ベースおよび ESXi ベースの仮想アプライアンスが用意されています。


メリット


Cisco Identity Services Engine には、次のようなメリットがあります。

  • 有線、ワイヤレス、VPN のすべてに総合的でセキュアなアクセスを提供:厳密なアイデンティティや広範なポリシーの適用、セキュリティ コンプライアンスなどが含まれます。
  • 従業員の生産性向上を促進:オンボーディングとデバイス セキュリティを自動化し、場所を問わない信頼性の高いアクセスを実現します。
  • 運用コストを削減:業務の効率化、組み込みの検出機能の活用、既存のネットワークへのポリシーの適用、ポリシー コントロールと可視化の一元化によって、安全なアクセスの維持に必要な細かい作業を軽減します。

Cisco Identity Services Engine には、5 つのハードウェア オプションがあります(表 2)。

表 2 Cisco Identity Services Engine のハードウェア仕様

  Cisco Identity Services Engine アプライアンス 3315(小) Cisco Identity Services Engine アプライアンス 3355(中) Cisco Identity Services Engine アプライアンス 3395(大)
プロセッサ QuadCore Intel® Core 2 CPU Q9400(2.66 GHz)X 1 QuadCore Intel® Xeon® CPU E5504(2.00 GHz)X 1 QuadCore Intel® Xeon® CPU E5504(2.00 GHz)X 2
メモリ 4 GB 4 GB 4 GB
ハード ディスク 250 GB SATA HDD X 2 300 GB SAS ドライブ X 2 300 GB SFF SAS ドライブ X 4
RAID なし 可(RAID 0) 可(RAID 0+1)
リムーバブル メディア CD/DVD-ROM ドライブ CD/DVD-ROM ドライブ CD/DVD-ROM ドライブ
ネットワーク接続
イーサネット NIC 統合型ギガビット NIC X 4 統合型ギガビット NIC X 4 統合型ギガビット NIC X 4
10BASE-T ケーブル対応 カテゴリ(Cat)3、4、5 シールドなしツイストペア(UTP)最大 100 m(328 フィート) Cat3、4、5 最大 100 m(328 フィート) Cat3、4、5 最大 100 m(328 フィート)
10/100/1000BASE-TX ケーブル対応 Cat5 UTP 最大 100 m(328 フィート) Cat5 UTP 最大 100 m(328 フィート) Cat5 UTP 最大 100 m(328 フィート)
Secure Sockets Layer(SSL)アクセラレータ カード なし Cavium CN1620-400-NHB-G Cavium CN1620-400-NHB-G
インターフェイス
シリアル ポート 1 1 1
USB 2.0 ポート 4(前面に 2、背面に 2) 4(前面に 1、内部に 1、背面に 2) 4(前面に 1、内部に 1、背面に 2)
ビデオ ポート 1 1 1
外部 SCSI ポート なし なし なし
システム ユニット
フォーム ファクタ ラックマウント 1 RU ラックマウント 1 RU ラックマウント 1 RU
重量 12.7 kg(28 ポンド)(最大構成) 15.87 kg(35 ポンド)(最大構成) 15.87 kg(35 ポンド)(最大構成)
寸法(高さ X 幅 X 奥行) 43 X 440 X 55.9 mm
(1.69 X 17.32 X 22 インチ)
43 X 42.62 X 711 mm
(1.69 X 17.32 X 27.99 インチ)
43 X 42.62 X 711 mm
(1.69 X 17.32 X 27.99 インチ)
電源 350 W デュアル 675W(冗長) デュアル 675W(冗長)
冷却ファン 6:ホットプラグおよび冗長なし 9:冗長 9:冗長
BTU 定格 1024 BTU/時(300 W) 2661 BTU/時(120 V) 2661 BTU/時(120 V)
コンプライアンス
FIPS FIPS 140-2 レベル 1 検証済み暗号化モジュールを使用 FIPS 140-2 レベル 1 検証済み暗号化モジュールを使用 FIPS 140-2 レベル 1 検証済み暗号化モジュールを使用


  Cisco Secure Network Server 3415(小)- 新製品* Cisco Secure Network Server 3495(大)- 新製品*
プロセッサ Intel Xenon クアッド コア 2.4 GHz E5-2609 X 1 Intel Xenon クアッド コア 2.4 GHz E5-2609 X 2
メモリ 16 GB 32 GB
ハード ディスク 600 GB 6Gb SAS 10K RPM X 1 600 GB 6Gb SAS 10K RPM X 2
RAID なし 可(RAID 0+1)
CD/DVD-ROM ドライブ なし なし
ネットワーク接続
イーサネット NIC 統合型ギガビット NIC X 4 統合型ギガビット NIC X 4
10/100/1000BASE-TX ケーブル対応 Cat5 UTP 最大 100 m(328 フィート) Cat5 UTP 最大 100 m(328 フィート)
Secure Sockets Layer(SSL)アクセラレータ カード なし Cavium CN1620-400-NHB-G
インターフェイス
前面パネル コネクタ KVM コンソール コネクタ X 1(USB X 2、VGA X 1、シリアル コネクタ X 1 を提供) KVM コンソール コネクタ X 1(USB X 2、VGA X 1、シリアル コネクタ X 1 を提供)
その他の背面コネクタ その他のインターフェイス:VGA ビデオ ポート X 1、USB 2.0 ポート X 2、RJ45 シリアル ポート X 1、ギガビット イーサネット管理ポート X 1、デュアル 1 ギガビット イーサネット ポート その他のインターフェイス:VGA ビデオ ポート X 1、USB 2.0 ポート X 2、RJ45 シリアル ポート X 1、ギガビット イーサネット管理ポート X 1、デュアル 1 ギガビット イーサネット ポート
システム ユニット
フォーム ファクタ ラックマウント 1 RU ラックマウント 1 RU
重量 16.2 kg(35.6 ポンド)
12.1 kg(26.8 ポンド)
15.87 kg(35 ポンド)(最大構成)
寸法(高さ X 幅 X 奥行) 4.32 X 43 X 72.4 cm
(1.7 X 16.9 X 28.5 インチ)
4.32 X 43 X 72.4 cm
(1.7 X 16.9 X 28.5 インチ)
電源 650 W デュアル 650 W(冗長)
冷却ファン 5 5
温度:動作時 0 〜 40 °C(32 〜 104 °F)(動作時、高度 0 m、ファンの故障なし、CPU スロットリングなし、ターボ モード) 0 〜 40 °C(32 〜 104 °F)(動作時、高度 0 m、ファンの故障なし、CPU スロットリングなし、ターボ モード)
温度:非動作時 -40 〜 70 °C(-40 〜 158 °F) -40 〜 70 °C(-40 〜 158 °F)
コンプライアンス
FIPS FIPS 140-2 レベル 1 検証済み暗号化モジュールを使用 FIPS 140-2 レベル 1 検証済み暗号化モジュールを使用


Cisco Identity Services Engine 仮想アプライアンスは、VMware ESX/ESXi 4.x および 5.x でサポートされており、表 2 に示した物理プラットフォームと同等以上の構成のハードウェアで実行する必要があります。Cisco Identity Services Engine には、メモリが 4GB 以上、ハード ドライブの空き容量が 200 GB 以上の仮想ターゲットが必要です。仮想アプライアンスも FIPS 140-2 レベル 1 に準拠しています。

システム要件


ポスチャ アセスメントに使用される Cisco NAC Agent のシステム要件を表 3 に示します。

表 3 Cisco NAC Agent のシステム要件

機能 最小要件
サポート対象 OS Windows 8 Basic、Windows 8 Professional、Windows 8 Enterprise、Windows Vista Business、Windows Vista Ultimate、Windows Vista Enterprise、Windows Vista Home、Windows 7、Windows XP Professional、Windows XP Home、Windows XP Media Center Edition、Windows XP Tablet PC。Mac OS X(v10.5.x、v10.6.x、v10.7.x、v10.8.x)
ハード ドライブの空き容量 ハード ドライブの空き容量 10 MB 以上
ハードウェア ハードウェアに関する最小要件はありません(各種クライアント マシンで稼働)


サービスとサポート


シスコは、お客様がそのネットワーク サービスを最大限に活用できるよう、各種サービス プログラムを用意しています。これらのプログラムは、スタッフ、プロセス、ツール、パートナーを組み合わせたかたちで提供され、お客様から高い評価を受けています。シスコは、お客様のネットワークへの投資を最大限に活用し、ネットワーク運用を最適化するとともに、最新アプリケーションに対応できるようにネットワークを整備し、よりインテリジェントなネットワークを構築することによって、お客様の事業拡大を支援しています。シスコ サービスの詳細については、シスコ テクニカル サポート サービスまたはシスコ アドバンスド サービスを参照してください。

保証に関する情報は、http://www.cisco.com/go/warranty/ を参照してください。ライセンス情報については、
http://www.cisco.com/en/US/docs/security/nac/appliance/support_guide/license.html を参照してください。

関連情報


Cisco Identity Services Engine 製品と Cisco TrustSec ソリューションの詳細については、
http://www.cisco.com/jp/go/ise/ を参照するか、最寄りのシスコ代理店にお問い合わせください。

* 2013 年第 3 四半期に提供開始予定