A hálózati hozzáférés kontrollja hosszú ideig azon az előfeltevésen alapult, hogy a felhasználó vagy az eszköz valahol „bent van” vagy „kint van”. Ez a megközelítés a mai hibrid és felhőközpontú környezetben már nem tartható fenn, mert a felhasználó lehet otthon, irodában, mobilhálózaton vagy éppen egy harmadik fél platformján, miközben ugyanazokat az üzleti erőforrásokat próbálja elérni. A Cisco válasza erre nem egyetlen doboz vagy egyetlen szoftver, hanem egy architektúra.
Ebben az architektúrában a Cisco ISE a policy enforcement logika központi eleme a hálózati hozzáférésben, a Cisco Duo a hitelesítés és az identitásbizalom megerősítésének rétege, míg a Cisco Secure Access / SSE a felhőből nyújtott hozzáférésvédelmi és alkalmazáselérési modell.
A Cisco Secure Client pedig az a gyakorlati összekötő komponens, amely a felhasználói eszközön keresztül végrehajtja a posture, a VPN és bizonyos zero trust hozzáférési műveleteket.
Az architektúra logikája
Az ISE–Duo–SSE modellben a legfontosabb gondolat az, hogy a hozzáférés nem egyetlen pillanatban eldőlő esemény, hanem több egymásra épülő kontrollpont eredménye. Először meg kell állapítani, hogy ki próbál hozzáférni, ezután azt, hogy milyen eszközről és milyen állapotban, végül pedig azt, hogy az adott alkalmazás vagy hálózati erőforrás milyen kontextus mellett legyen elérhető. Ez a megközelítés jól illeszkedik a zero trust elvekhez. A Duo a felhasználó identitását és hitelességét igazolja, az ISE az eszköz és a hozzáférési környezet alapján policy-t alkalmaz, míg az SSE a tényleges alkalmazás- vagy internetelérés során kényszeríti ki a megfelelő biztonsági funkciókat, például ZTNA-t, SWG-t, DNS-layer securityt vagy CASB-jellegű kontrollokat.
Cisco ISE szerepe
A Cisco Identity Services Engine technikailag egy policy decision és policy enforcement orchestration platform a hálózati hozzáférés kontrolljához. Tipikus felhasználási területe a 802.1X, MAB, guest access, profiling, posture és a dinamikus autorizáció, ahol a végpont hozzáférési szintje nem statikusan, hanem policy alapján dől el. Az ISE egyik legfontosabb képessége a kontextusalapú döntéshozás. Nem csak azt látja, hogy egy adott felhasználó milyen hitelesítő adattal jelentkezik be, hanem azt is, hogy milyen eszközről jön, milyen csoportba tartozik, megfelel-e posture szabályoknak, és milyen hálózati szerepkört kell kapnia. Ennek eredménye lehet dinamikus VLAN-hozzárendelés, dACL, SGT, vagy más policy-alapú jogosultság.
Duo technikai szerepe
A Duo elsődlegesen az identitás megerősítésére és a másodlagos hitelesítési kontrollra szolgál. Technikai értelemben nem helyettesíti az ISE-t, hanem kiegészíti azt: a hozzáférési döntéshez olyan tényezőt ad hozzá, amely a jelszón túli bizalmat vizsgálja. A Duo integrálható RADIUS-alapon, proxyn keresztül vagy SAML/SSO folyamatok részeként, attól függően, hogy a környezet adminisztratív belépést, VPN-hozzáférést vagy felhős alkalmazáselérést akar védeni. Az ISE és a Duo együttműködésének értelme nem csupán az MFA bevezetése, hanem az, hogy a hálózati hozzáférési folyamat már a legelső fázisban magasabb trust-szinthez kötődjön.
ISE és Duo együttműködési modell
Az ISE és a Duo együttműködése többféle architektúrában is megvalósulhat, de a közös alapelv az, hogy az ISE a hálózati policy motor, míg a Duo a személyazonosság megerősítésének kontrollja. Egy tipikus RADIUS-alapú integrációban az ISE vagy az előtte lévő AAA folyamat elsődlegesen kezel egy hitelesítési kérelmet, majd a Duo proxy vagy a Duo MFA-szolgáltatás megerősíti a második faktort, és ennek eredménye alapján születik meg a hozzáférési döntés. Ez különösen hasznos adminisztratív hozzáférések, VPN-hozzáférések vagy nagy értékű erőforrások elérése esetén. A klasszikus AAA-modellhez képest itt a hozzáférés nem pusztán „sikeres jelszó” kérdése, hanem egy erősített identitáslánc eredménye, amelyet az ISE policy-logikája tovább finomít.
Secure Client funkciója
A Cisco Secure Client technikailag végponti végrehajtó komponens. Egyrészt képes klasszikus Remote Access VPN kapcsolatok kiépítésére, másrészt posture és egyéb modulokon keresztül információt szolgáltat a hozzáférési döntéshez. A Cisco dokumentáció szerint az ISE Posture a kliensoldalon futó értékeléssel dolgozik: a kliens letölti a posture policy-t, összegyűjti a szükséges lokális állapotinformációkat, és az eredményt visszaküldi az ISE felé, amely ez alapján dönti el a megfelelőségi státuszt. Ez fontos építőelem az egész architektúrában, mert a felhasználó hitelesítése önmagában nem elég. Egy sikeresen azonosított, de nem megfelelő állapotú végpont ugyanúgy kockázatot jelenthet. A Secure Client ezért nem csak tunnel építésre való, hanem a device trust és posture enforcement egyik kulcseleme is.
Posture folyamat technikailag
A posture folyamat tipikusan úgy néz ki, hogy a végpont először korlátozott vagy előzetes hozzáférést kap, majd a Secure Client posture modulja kapcsolatba lép az ISE-vel, letölti a követelményrendszert, végrehajtja a helyi állapotellenőrzést, és az eredményt visszaadja az ISE felé. Ezután az ISE Change of Authorizationnel módosíthatja a végpont hozzáférési státuszát, például teljes hozzáférést adhat, korlátozott hozzáférésen tarthatja, vagy remediation irányba terelheti. Ez a mechanizmus különösen fontos akkor, ha a szervezet compliance-szintű kontrollt akar gyakorolni a csatlakozó végpontokra, például patch-szint, antivírus vagy konfigurációs megfelelőség alapján.
SSE és Secure Access réteg
A Cisco Secure Access, mint SSE megoldás, a hálózati hozzáférés következő evolúciós szintjét képviseli. A Cisco SSE Architecture Guide szerint az SSE egy felhőből nyújtott biztonsági funkcióhalmaz, amely olyan képességeket foglal magában, mint a DNS-layer security, a secure web gateway, a firewall as a service, a CASB és a ZTNA. Ez architekturálisan azért jelentős, mert a hozzáférési kontroll többé nem kizárólag a vállalati telephelyre vagy a központi VPN-végpontra koncentrálódik. Ehelyett a felhasználó és az alkalmazás közé egy cloud-delivered security réteg épül, amely identitás, eszközállapot, lokáció és policy alapján szabályozza, hogyan és milyen feltételekkel történjen az elérés.
Duo és SSE kapcsolata
A Duo és az SSE kapcsolata a Cisco újabb zero trust modelljében egyértelműen identity-first megközelítést tükröz. A Secure Access és a Duo együttműködése azt a célt szolgálja, hogy a felhőből nyújtott hozzáférésvédelmi szolgáltatások ne csak hálózati alapon, hanem erős identitási és trust kontextus alapján működjenek. Ez azt jelenti, hogy a hozzáférési döntés nem csak az alkalmazás vagy URL szintjén történik, hanem annak figyelembevételével is, hogy a felhasználó viselkedése, belépési mintázata és eszközállapota milyen kockázati képet mutat. A Duo ebben a modellben a trust establishment és continuous verification szerepét tölti be, míg az SSE a policy enforcement felhős oldalát biztosítja.
VPN és ZTNA együttélése
A Cisco architektúra egyik érdekes tulajdonsága, hogy nem kényszerít azonnali, teljes szakítást a hagyományos VPN modellel. A Cisco blog és a Secure Access anyagok szerint a Secure Access támogatja a ZTNA mellett a VPNaaS megközelítést is, így a szervezetek fokozatosan tudnak átállni a klasszikus hálózatszintű elérésről az alkalmazásközpontú, least-privilege alapú hozzáférésre. Ez különösen fontos nagyvállalati vagy szabályozott környezetekben, ahol a legacy alkalmazások, a meglévő remote access infrastruktúra és az új zero trust modellek hosszú ideig egymás mellett élnek. A Secure Client itt átmeneti és stratégiai szerepet is betölt: ugyanazzal a klienssel lehet posture-t, VPN-t és bizonyos SSE-funkciókat is használni.
End-to-end hozzáférési folyamat
Egy tipikus end-to-end folyamatban a felhasználó Secure Clienttel vagy böngészőből kezdeményez kapcsolatot. A rendszer először megvizsgálja az identitást, amelyben a Duo MFA vagy risk-based trust mechanizmusai szerepet kapnak. Ezzel párhuzamosan vagy ezt követően a végpont posture és compliance állapota is értékelhető az ISE-n keresztül, különösen akkor, ha a felhasználó hálózati vagy VPN-hozzáférést kap. A további hozzáférés ezután történhet klasszikus VPN, VPNaaS vagy ZTNA/SSE modellen keresztül, attól függően, hogy az adott alkalmazás és szervezeti policy mit kíván meg. A lényeg az, hogy a hozzáférési döntés több réteg eredménye: identitás, eszközállapot, policy és alkalmazáskörnyezet együttesen határozza meg a végső jogosultságot.
Miért erős ez az architektúra?
Technikai szempontból ennek az architektúrának az ereje a funkciók helyes szétválasztásában rejlik. Az ISE nem felhős web gateway, a Duo nem NAC, az SSE nem klasszikus AAA motor. Mégis, együtt olyan modellt alkotnak, ahol a belépés, a végpontállapot és az alkalmazáselérés ugyanannak a zero trust láncnak a különböző fázisai. Ez csökkenti a szigetszerű biztonsági működést. Ahelyett, hogy a szervezet külön kezelné a LAN-hitelesítést, a VPN-MFA-t, a posture-t és a felhős alkalmazásvédelmet, egységesebb hozzáférési modellt tud kialakítani, amelyben a kontrollpontok egymásra épülnek és ugyanazt a biztonsági filozófiát követik.
Zárás
Az ISE–Duo–SSE architektúra a Cisco oldaláról nézve nem egyszerű termékintegráció, hanem egy fokozatosan felépíthető zero trust hozzáférési modell. Az ISE a hálózati és végponti policy-k motorja, a Duo a felhasználói trust és MFA rétege, a Secure Client a végponti végrehajtó, a Secure Access / SSE pedig a modern, felhőből nyújtott enforcement réteg. A technológiai értéke pontosan abban áll, hogy nem egyetlen radikális átállást követel, hanem lehetőséget ad a klasszikus NAC/VPN világ és a modern ZTNA/SSE modell összekapcsolására. Ez teszi valóban használhatóvá a nagyvállalati valóságban, ahol a zero trust nem greenfield projekt, hanem fokozatos architekturális evolúció.
Nincsenek megjegyzések:
Megjegyzés küldése