{"id":5140,"date":"2019-12-24T09:37:10","date_gmt":"2019-12-24T09:37:10","guid":{"rendered":"https:\/\/www.fivefoldgroup.com\/?p=5140"},"modified":"2021-03-22T14:55:59","modified_gmt":"2021-03-22T13:55:59","slug":"cisco-ise-sicurezza","status":"publish","type":"post","link":"https:\/\/fivefoldgroup.com\/en\/cisco-ise-sicurezza\/","title":{"rendered":"Cisco ISE: il miglior ecosistema di sicurezza"},"content":{"rendered":"<p class=\"qtranxs-available-languages-message qtranxs-available-languages-message-en\">Sorry, this entry is only available in <a href=\"https:\/\/fivefoldgroup.com\/it\/wp-json\/wp\/v2\/posts\/5140\" class=\"qtranxs-available-language-link qtranxs-available-language-link-it\" title=\"Italiano\">Italiano<\/a>. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.<\/p><p><\/p>\n<p class=\"p1\">Avete gi\u00e0 sentito parlare dei vantaggi di un Network Access Control (NAC) e in particolare di Cisco Identity Services Engine (ISE)?<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Oggi segmentare il traffico sulla rete dovrebbe significare pi\u00f9 di una VLAN voce e dati separata. Un rapido esempio: se si ha intenzione di superare un audit di conformit\u00e0 che richiede di dimostrare che il sistema HVAC non \u00e8 in grado di comunicare con i terminali del punto vendita, \u00e8 necessario implementare una soluzione NAC.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Una soluzione NAC come Cisco ISE ti consente di implementare i privilegi minimi sulla tua rete. In soldoni, permette alle persone e ai dispositivi di fare solo ci\u00f2 che \u00e8 richiesto per il loro ruolo o funzione.<\/p>\n<p>&nbsp;<\/p>\n<h3>Definizione di Cisco ISE<\/h3>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Cisco ISE \u00e8 un server di controllo degli accessi, che utilizza protocolli standard aperti per comunicare con <strong>dispositivi di accesso alla rete<\/strong> come switch, controller LAN wireless e concentratori VPN, per applicare i criteri di accesso alla rete. ISE fa molto di pi\u00f9 che fornire funzionalit\u00e0 NAC di base. Rappresenta, di fatto, l&#8217;arma vincente in un ecosistema di sicurezza. Vediamo come, nello specifico.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Essendo ISE il &#8220;cervello&#8221; che regola l&#8217;accesso alla rete, consente di raccogliere, utilizzare e condividere un contesto molto ampio. Tale contesto pu\u00f2 provenire praticamente da qualsiasi cosa con cui ISE comunica. Endpoint, dispositivi di rete, archivi di identit\u00e0, scanner di vulnerabilit\u00e0, strumenti di rilevamento delle minacce, solo per citarne alcuni.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Ma cosa consente la condivisione di questi dati? Si chiama grid exchange platform, o <strong>pxGrid<\/strong> in breve.\u00a0 E&#8217; la piattaforma che veicola tutti i messaggi, dati e informazioni contenuti nelle azioni di ISE.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">La prossima domanda che potresti\u00a0 farti \u00e8: come utilizzano questi dati i componenti di un&#8217;infrastruttura regolata da ISE?<\/p>\n<p>&nbsp;<\/p>\n<p>Le possibili azioni sono 4:<\/p>\n<ul>\n<li class=\"p1\">ISE condivide i dati appresi con un componente dell&#8217;infrastruttura<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ul>\n<li class=\"p1\">Al contrario, ISE apprende dati da un un componente dell&#8217;infrastruttura, quindi li confronta con le policies aziendali.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ul>\n<li class=\"p1\">ISE intraprende un&#8217;azione di difesa &#8220;per conto&#8221; di un componente dell&#8217;infrastruttura<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ul>\n<li class=\"p1\">\u00a0Intermediazione ISE tra un componente ed un altro.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Al fine di approfondire questi scenari, analizziamo le 4 situazioni con esempi pratici:<\/p>\n<p>&nbsp;<\/p>\n<h3 class=\"p1\">1. Condivisione dei dati appresi da un componente dell&#8217;infrastruttura<\/h3>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Questo \u00e8 lo scenario di gran lunga pi\u00f9 comune. ISE, in genere, ha sotto controllo gran parte del contesto e quindi pu\u00f2 condividerlo con i dispositivi dell&#8217;ecosistema consentendo a tali sistemi di fornire funzionalit\u00e0 altrimenti non disponibili.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Un esempio di questa condivisione del contesto \u00e8 ISE che condivide le <strong>informazioni sull&#8217;identit\u00e0<\/strong> (nome utente) con Cisco Stealthwatch. Ci\u00f2 consente a Stealthwatch di ricamare quel nome utente con i dati Netflow, fornendo informazioni utili nella sua console di gestione e reportistica. Un altro esempio potrebbe essere ISE che condivide le informazioni Scalable Group Tag (STG) con i firewall Cisco ASA e Firepower Next Generation. Ci\u00f2 consente agli amministratori di NGFW di creare policy firewall basate su STG anzich\u00e9 sulle tradizionali regole basate sull&#8217;indirizzo IP. Ci\u00f2 a sua volta consente un magico disaccoppiamento degli indirizzi di rete e della politica di controllo degli accessi.<\/p>\n<p>&nbsp;<\/p>\n<h3 class=\"p1\">2. ISE apprende dati da un un componente dell&#8217;infrastruttura<\/h3>\n<p>&nbsp;<\/p>\n<p class=\"p1\">In questo scenario, \u00e8 il partner dell&#8217;ecosistema che fornisce informazioni ad ISE. Si chiama pxGrid context ed \u00e8 il meccanismo che consente a ISE di utilizzare i dati ricevuti per arricchire la gamma di policies, fornendo funzionalit\u00e0 NAC per i dispositivi <strong>IoT.<\/strong><\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Ad esempio, tool utilizzati nelle industrie come Cloudpost Networks e Medigate pubblicano le informazioni sugli asset e sui dispositivi IoT su ISE. Questo \u00e8 anche il caso dell&#8217;IND (direttore della rete industriale) di Cisco. Cisco IND utilizza pxGrid per arricchire il database endpoint ISE che a sua volta pu\u00f2 essere utilizzato per <strong>definire criteri di controllo degli accessi<\/strong>\u00a0in ISE.<\/p>\n<h3 class=\"p1\">3. Azione di difesa &#8220;per conto&#8221; di un componente dell&#8217;infrastruttura<\/h3>\n<p>&nbsp;<\/p>\n<p class=\"p1\">In questa casistica si inizia davvero a vedere il valore di queste integrazioni. ISE pu\u00f2 integrarsi con i prodotti di rilevamento delle minacce e intraprendere azioni per mitigare una minaccia, se rilevata. Ci\u00f2 che consente di fare \u00e8 alterare (<strong>mettere in quarantena<\/strong>) il livello di accesso alla rete di un endpoint anche dopo averlo autenticato correttamente nella rete. Questa funzionalit\u00e0 si chiama <strong>Rapid Threat<\/strong> ed \u00e8 compatibile con diversi prodotti di rilevamento delle minacce di terze parti e Cisco, come il Firepower Management Center di Cisco e Cisco Stealthwatch.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Un altro flusso di mitigazione delle minacce \u00e8 il NAC incentrato sulle minacce (<strong>TC-NAC<\/strong>). Quest ultimo consente a ISE di integrarsi con i prodotti di scansione delle vulnerabilit\u00e0 come Qualys, Tenable, Rapid7 o feed di intelligence sulle minacce di Cisco AMP per endpoint e Cisco Cognitive Threat Analytics.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Questi prodotti verranno condivisi con ISE, consentendo ad esso di prendere decisioni basate su policies. Vale la pena notare che TC-NAC attualmente non si basa su pxGrid. Utilizza, piuttosto, formati di condivisione delle minacce standard del settore come Structured Threat Information Expression (<strong>STIX<\/strong>) e Trusted Automatic Exchange of Indicator Information (<strong>TAXII<\/strong>).<\/p>\n<p>&nbsp;<\/p>\n<h3 class=\"p1\">4. Intermediazione ISE tra un componente ed un altro.<\/h3>\n<p>&nbsp;<\/p>\n<p class=\"p1\">ISE pu\u00f2 svolgere il ruolo di &#8220;broker&#8221; di dati e informazioni da un dispositivo, macchinario o sistema a un altro, consentendo la <strong>condivisione bidirezionale<\/strong> del contesto tra partner ecosistemici. I componenti dell&#8217;infrastruttura possono pubblicare informazioni specifiche (contesto) come argomenti dinamici. Ci\u00f2 consente ad altri partner ecosistemici &#8220;interessati&#8221; a questi dati di riceverli prontamente.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Un esempio di tale integrazione \u00e8 con il prodotto Infoblox IP Address Management. Infoblox pubblica la tabella IPAM e le informazioni DHCP su pxGrid, consentendo ad altri utenti dell&#8217;ecosistema di ricevere tali informazioni.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 class=\"p1\">Pensi che sia finita qui? Assolutamente no!<\/h3>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Il framework di messaggistica pxGrid non \u00e8 l&#8217;unico mezzo con cui ISE pu\u00f2 esprimersi in un&#8217;infrastruttura. ISE fornisce anche un ricco set di <strong>API<\/strong> tradizionali. I &#8220;Servizi RESTful esterni&#8221; ISE (o in breve ERS), consentono l&#8217;integrazione dei partner dell&#8217;ecosistema con o senza pxGrid. Queste API sono in genere utilizzate per la configurazione e la gestione di ISE. Un esempio di integrazione sarebbe il sistema di gestione dei visitatori Envoy. Una societ\u00e0 che utilizza Envoy per la gestione dei visitatori pu\u00f2 facilmente integrarlo con ISE per <strong>creare e gestire automaticamente<\/strong> gli account di accesso agli ospiti Internet con ISE.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Infine, ISE pu\u00f2 utilizzare e successivamente condividere informazioni sull&#8217;identit\u00e0 da una fonte di identit\u00e0 esterna. Si chiama <strong>ISE passive ID<\/strong>. Con esso, ISE raccoglie i dati di autenticazione da numerose fonti come Active Directory, porta SPAN di rete, syslog o persino API personalizzate.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">Questi dati sono in genere un nome utente per la mappatura IP. ISE quindi condivide queste informazioni con i le componenti interessate. Cisco Stealthwatch e Firepower sono esempi di &#8220;consumatori&#8221; di questo Passive ID, in quanto lo utilizzano per applicare policies basate sull&#8217;identit\u00e0, da una fonte affidabile.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">E&#8217; possibile trovare ulteriori informazioni su queste integrazioni dei partner dell&#8217;ecosistema <a href=\"https:\/\/community.cisco.com\/t5\/security-documents\/ise-security-ecosystem-integration-guides\/ta-p\/3621164\">qui.<\/a>\u00a0 \u00a0Sulla pagina della community ISE vengono descritte tutte le integrazioni dell&#8217;ecosistema ISE esistenti.<\/p>\n<p>&nbsp;<\/p>\n<p class=\"p1\">In conclusione, si pu\u00f2 dire che Cisco ISE \u00e8 pi\u00f9 di una semplice soluzione NAC. \u00c8 una soluzione completa per la gestione delle identit\u00e0 e l&#8217;accesso che gioca molto bene nell&#8217;ecosistema di sicurezza di un&#8217;infrastruttura, consentendo alla sua base di utenti di sfruttare molte integrazioni di terze parti.<\/p>\n<p>&nbsp;<\/p>\n<p><strong>#LetsDoITtogether<\/strong><\/p>","protected":false},"excerpt":{"rendered":"<p>Sorry, this entry is only available in Italiano. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language. Avete gi\u00e0 sentito parlare dei vantaggi di un Network Access Control (NAC) e in particolare di Cisco Identity Services Engine (ISE)? &nbsp; &hellip; <a href=\"https:\/\/fivefoldgroup.com\/en\/cisco-ise-sicurezza\/\" class=\"more-link\">Continue reading<span class=\"screen-reader-text\"> &#8220;Cisco ISE: il miglior ecosistema di sicurezza&#8221;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":5143,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1575],"tags":[],"yst_prominent_words":[2371,781,3411,3423,3412,3426,3425,3403,830,3421,287,3408,3429,3435,3428,3413,3397,3404,3410,3409],"class_list":["post-5140","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity"],"post_mailing_queue_ids":[],"_links":{"self":[{"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/posts\/5140","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/comments?post=5140"}],"version-history":[{"count":0,"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/posts\/5140\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/media\/5143"}],"wp:attachment":[{"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/media?parent=5140"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/categories?post=5140"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/tags?post=5140"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/fivefoldgroup.com\/en\/wp-json\/wp\/v2\/yst_prominent_words?post=5140"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}