Identidade do usuário do Firepower: Migrando do agente de usuário para o Identity Services Engine

Introduction

Em versões futuras, o Firepower User Agent não está mais disponível. Ele é substituído pelo Identity Services Engine (ISE) ou Identity Services Engine - Passive ID Connector (ISE-PIC). Se você usa o Agente de usuário no momento e está considerando migrar para o ISE, este documento fornece considerações e estratégias para a migração. 

Visão geral da identidade do usuário

Atualmente, há dois métodos para extrair informações de identidade de usuário da infraestrutura de identidade existente: Agente de usuário e integração ISE.

Agente de usuário

Agente de usuário é um aplicativo instalado em uma plataforma Windows. Ele depende do protocolo WMI (Instrumentação de Gerenciamento do Windows) para acessar eventos de logon de usuário (tipo de evento 4624) e, em seguida, salva os dados em um banco de dados local. Há duas maneiras de o Agente de usuário recuperar os eventos de logon: atualizado em tempo real como login do usuário (somente Windows Server 2008 e 2012) ou pesquisando os dados para cada intervalo configurável. Da mesma forma, o Agente de Usuário envia os dados recebidos do Ative Diretory (AD) ao Firepower Management Center (FMC) em tempo real e envia lotes de dados de logon ao FMC regularmente. 

Os tipos de logon detectáveis pelo Agente de usuário incluem o login em um host diretamente ou através da Área de trabalho remota; login de compartilhamento de arquivos; login da conta do computador. Outros tipos de logins, como Citrix, logons de rede e logons Kerberos, não são suportados pelo Agente de usuário.

O agente de usuário tem um recurso opcional para detectar se o usuário mapeado fez logoff. Se a verificação de logoff estiver habilitada, ela verificará periodicamente se o processo "explorer.exe" está sendo executado em cada endpoint mapeado. Se o não puder detectar o processo em execução depois de 72 horas, o mapeamento desse usuário será removido.

Identity Services Engine

O Identity Services Engine (ISE) é um servidor AAA robusto que gerencia as sessões de login de rede do usuário. Como o ISE se comunica diretamente com dispositivos de rede, como switches e controladores sem fio, ele tem acesso a dados atualizados referentes às atividades do usuário, tornando-o uma fonte de identidade melhor do que o Agente de usuário. Quando um usuário faz logon em um endpoint, ele geralmente se conecta automaticamente à rede e, se a autenticação dot1x estiver habilitada para a rede, o ISE cria uma sessão de autenticação para esse usuário e a mantém ativa até que o usuário faça logoff da rede. Se o ISE estiver integrado ao FMC, ele encaminhará o mapeamento de IP do usuário (juntamente com outros dados coletados pelo ISE) ao FMC. 

O ISE pode ser integrado ao FMC via pxGrid. o pxGrid é um protocolo projetado para centralizar a distribuição de informações de sessão entre servidores ISE e com outros produtos. Nesta integração, o ISE atua como um controlador pxGrid e o FMC inscreve-se no controlador para receber dados da sessão (o FMC não publica dados no ISE, exceto durante a correção discutida posteriormente) e transmite os dados aos sensores para obter a percepção do usuário.

O Identity Services Engine Passive Identity Connector (ISE-PIC) é essencialmente uma instância do ISE com licença restrita. O ISE-PIC não executa nenhuma autenticação, mas atua como um hub central para várias fontes de identidade na rede, coletando os dados de identidade e fornecendo-os aos assinantes. O ISE-PIC é semelhante ao agente de usuário, pois também usa o WMI para coletar eventos de login do AD, mas com recursos mais robustos conhecidos como Passive Identity. Ele também é integrado ao FMC via pxGrid.

Considerações sobre migração

Requisitos de licenciamento

O CVP não exige licenças adicionais. O Identity Services Engine exige uma licença se ainda não estiver implantado na infraestrutura. Consulte o documento Modelo de licenciamento do Cisco ISE para obter detalhes. O ISE Passive ID Connector é um conjunto de recursos já existente na implantação completa do ISE, portanto, nenhuma licença adicional é necessária se houver uma implantação existente do ISE. Para uma implantação nova ou separada do ISE-PIC, consulte o documento Licenciamento do Cisco ISE-PIC para obter detalhes.

Certificado SSL

Embora o agente de usuário não exija PKI (Public Key Infrastructure, Infraestrutura de Chave Pública) para comunicações com o FMC e o Ative Diretory, a integração do ISE ou ISE-PIC exige certificados SSL compartilhados entre o ISE e o FMC somente para fins de autenticação. A integração oferece suporte a certificados assinados pela Autoridade de Certificação e autoassinados, desde que sejam adicionados aos certificados "Autenticação de Servidor" e "Autenticação de Cliente" EKU (Utilização da Chave de Extensão).

Cobertura da fonte de identidade

O Agente de Usuário cobre somente os eventos de login do Windows em Áreas de Trabalho do Windows, com detecção de logoff baseada em polling. O ISE-PIC abrange o login do Windows Desktop mais fontes de identidade adicionais, como Agente AD, SPAN Kerberos, Analisador de Syslog e Agente de Serviços de Terminal (TSA). O ISE completo tem toda a cobertura do ISE-PIC, além da autenticação de rede de estações de trabalho não Windows e dispositivos móveis, entre outros recursos.

Fim da vida útil do agente de usuário

A última versão do Firepower para oferecer suporte ao Agente de Usuário é a 6.6, que fornece um aviso de que o Agente de Usuário deve ser desabilitado antes da atualização para versões posteriores. Se uma atualização para uma versão superior a 6.6 for necessária, a migração do Agente de usuário para o ISE ou ISE-PIC deve ser concluída antes da atualização. Consulte o Guia de configuração do agente de usuário para obter mais detalhes.

Compatibilidade

Leia o guia de compatibilidade do produto Firepower para garantir que as versões de software envolvidas na integração sejam compatíveis. Observe que para versões futuras do Firepower, o suporte para versões posteriores do ISE pode exigir níveis de patch específicos.

Estratégia do migração

A migração do agente de usuário para o ISE ou ISE-PIC exige planejamento, execução e teste cuidadosos para garantir uma transição tranquila da fonte de identidade do usuário para o FMC e evitar qualquer impacto no tráfego do usuário. Esta seção fornece as melhores práticas e recomendações para esta atividade.

Preparação para a migração

As próximas etapas podem ser feitas antes de passar do Agente de usuário para a Integração do ISE.

Etapa 1. Configure ISE ou ISE-PIC para habilitar PassiveID e estabelecer conexão WMI com o Ative Diretory. Consulte o Guia de administração do ISE-PIC.

Etapa 2. Preparar o certificado de identidade do FMC. Pode ser um certificado autoassinado emitido pelo FMC ou um Pedido de Assinatura de Certificado (CSR) gerado no FMC, a ser assinado por uma autoridade de certificação (AC) privada ou pública. O certificado autoassinado ou o certificado raiz da CA deve ser instalado no ISE. Consulte o ISE and FMC Integration Guide para obter mais detalhes.

Etapa 3. Instale o certificado raiz da CA que assinou o certificado pxGrid do ISE (ou o certificado pxGrid, se autoassinado) no FMC. Consulte o ISE and FMC Integration Guide para obter mais detalhes.

Processo de transição

A integração do FMC-ISE não pode ser configurada sem desativar a configuração do agente de usuário no FMC, pois as duas configurações são mutuamente exclusivas. Isso pode afetar os usuários durante a alteração. Estas etapas são recomendadas para serem executadas durante a janela de manutenção.

Etapa 1. Habilite e verifique a integração FMC-ISE. Consulte o ISE and FMC Integration Guide para obter detalhes.

Etapa 2. Certifique-se de que as atividades do usuário sejam relatadas ao FMC navegando para a página Análise > Usuário > Atividades do usuário no FMC.

Etapa 3. Revisar se o mapeamento IP do usuário e o mapeamento de grupo de usuários estão disponíveis em dispositivos gerenciados em
Analysis > Connections > Events > Table View of Connection Events.

Etapa 4. Modifique a política de controle de acesso para alterar temporariamente a ação para Monitorar para quaisquer regras que bloqueiem o tráfego, dependendo do nome de usuário ou da condição do grupo de usuários. Para regras que permitem tráfego com base no usuário ou grupo do iniciador, faça uma regra duplicada que permita o tráfego sem critérios do usuário e, em seguida, desative a regra original. O objetivo desta etapa é garantir que o tráfego crítico para os negócios não seja afetado durante a etapa de teste após a janela de manutenção. 

Etapa 5. Após a janela de manutenção, durante o horário comercial normal, observe os Eventos de Conexão no FMC para monitorar o mapeamento IP do usuário. Observe que os eventos de conexão mostram informações do usuário somente se houver uma regra ativada que exija dados do usuário. Daí a sugestão da ação de monitoramento na etapa anterior.

Etapa 6. Quando o estado desejado for atingido, basta reverter as alterações feitas nas Políticas de controle de acesso e enviar a implantação de políticas para dispositivos gerenciados.

Additional Information

• Tutorial em vídeo: Transição de agente de usuário para ISE-PIC
• Guia do administrador do Cisco ISE 2.4: Licenciamento
• Guia de Instalação e Administrador do Identity Services Engine Passive Identity Connector (ISE-PIC), versão 2.2
• Guia de configuração do agente do usuário
• Guia de compatibilidade do Cisco Firepower
• Configurar a integração do ISE 2.4 e do FMC 6.2.3 pxGrid