Cisco ISE – One Ring to Rule them All

עולם אבטחת המידע משתנה ללא הרף * התחכום של "החברה הרעים" רק הולך ומשתפר ועל מנת לעמוד בכל האתגרים, מעגלי אבטחת המידע חייבים לכלול גם פתרונות לניהול הגישה לרשת * זה בדיוק המקום בו פתרון Cisco ISE נכנס לפעולה ומציע שליטה נרחבת על הרשת כדי להגן על נכסי הארגון * ראיון נרחב עם טל סורסקי, מנהל מוצר בסיסקו ישראל וניר וקשי, מנהל פעילות Cisco בבזק בינלאומי

 אם בעבר הייתה חלוקה מאוד ברורה של איפה הטובים ואיפה הרעים – היום המצב רחוק מאוד משם. בעבר כל המשתמשים שהתחברו לרשת הארגונית נחשבו "טובים" או כאלה  שניתן לבטוח בהם וכל מה שהגיע מחוץ לרשת הארגונית היו "החברה רעים" (שיקום מי שלא זוכר את הימים שכל אורח יכול היה למצוא פורט פנוי בקיר ולהתחבר לרשת כדי לגלוש). בעולם הדינמי של היום, ארגונים חייבים ליישם מתודולוגיות Zero Trust על מנת להגן על נכסי הארגון. כבר אי אפשר לתת הרשאות גישה בלתי מוגבלות לעובדים מתוך הרשת, בעיקר כשחלק גדול מהמשאבים הארגוניים נמצאים בכלל בענן וגם המשתמשים צריכים להתחבר למשאבי הארגון מכל מקום בו הם נמצאים.

אתגרי סביבת העבודה ההיברידית

ניר וקשי, מנהל פעילות Cisco בבזק בינלאומי מתאר את האתגרים החדשים בהם נתקלים הארגונים בעידן הנוכחי: "אם יש משהו אחד בולט שהקורונה האיצה זאת סביבת העבודה ההיברידית בה העובדים לא בהכרח עובדים מתוך הארגון ועדין הארגונים שאנחנו עובדים מולם נדרשים לספק להם גישה מאובטחת לרשת הארגונית ולמשאבי הארגון שנמצאים בעננים השונים. העובדים שנדרשים לבצע את עבודתם מכל מקום, לא תמיד מסתפקים בציוד המחשוב אותו קיבלו ממקום העבודה וניתן לראות בהרבה מקומות עובדים שקונים מחשבים ניידים חזקים יותר, טאבלטים ומכשירי טלפון אישים ובעזרת הציוד הפרטי שלהם הם מבקשים להתחבר לרשת הארגונים ולבצע את העבודה שלהם."

וקשי מרחיב לגבי המדיניות החדשה שכמעט כל ארגון מאמץ – " גישת ה (Bring You Own Device) BYOD הינו נושא שכבר אי אפשר להתעלם ממנו ומנהלי אבטחת מידע נדרשים לא פעם לחבר ציוד אישי לרשת, בין אם זה טאבלט שהמנכ"ל קנה או אחרון העובדים. גם הסביבה הארגונית הולכת ומשתנה ללא היכר –  אחד האתגרים הגדולים בכל ציוד ה- IoT הוא שבהרבה מקרים האנשים שמתקינים אותם, אינם אנשי אבטחת מידע ואינם אפילו אנשי מחשבים. במקרה הטוב הם יודעים לאיית את המילה IP ואם תתנו להם כתובת IP 323.12.11.2 יש סיכוי שאחרי כמה שעות הם יחזרו ויגידו שיש תקלה ברשת… "

ניר וקשי, בזק בינלאומי

הכל מתחיל מנראות (Visibility)

טל סורסקי, מנהל מוצר בסיסקו ישראל, מפרט את המענה שמספק פתרון Cisco ISE לאתגרים אלו: "אחת מאבני היסוד של  Cisco ISE הינה נושא הנראות – מה מחובר לנו לרשת הארגונית.  הידיעה מה מחובר לנו לרשת הארגונית מאפשרת לנו לבנות חוקת אבטחת מידע ולבנות מדיניות הרשאות בדיוק לפי רמת ההרשאות הנדרשות."
סורסקי מסביר כי באמצעות סדרת בדיקות דינמיות, ISE מאפשר למנהלי הרשת לדעת בדיוק אילו התקנים מחוברים לרשת, מי המשתמשים מאחורי אותם ואילו הרשאות התקנים אלו צריכים. הנראות של מה שיש לנו ברשת אינו עוצר רק בזיהוי ההתקן שהתחבר לרשת ומי המשתמש – הנראות גם ממשיכה עם מה מצב ההתקן – האם הוא עומד בהגדרות אבטחת המידע של הארגון: האם מותקן אנטי-וירוס? האם הוא מעודכן? אילו תוכנות מותקנות על ההתקן? האם יש גרסאות ישנות שיכולות לסכן את הארגון?

כחלק מתהליך ההזדהות והחיבור לרשת ISE מבצע בדיקה של ההתקן שמתחבר לרשת ולפי מצבו תיקבע רמת ההרשאות. למשל – משתמש התחבר לרשת , נבדק ונמצא שהמשתמש עומד בכל התנאים להתחבר לרשת. לאחר החיבור ISE זיהה שהמשתמש מריץ תוכנת Peer to peer שלא רצה בזמן ההתחברות לרשת – במקרה כזאת ישנה אפשרות לשנות את ההרשאות של המשתמש ולהגביל את השימוש שלו ברשת.

טל סורסקי, סיסקו ישראל

שליטה אבסולוטית בעזרת ניהול הרשאות

כל תהליך של אימות המשתמשים ברשת הארגונית מתבצע מול ISE בפרוטוקול רדיוס. השלב הראשון של חיבור לרשת מתחיל עם אימות המשתמש או ההתקן באמצעות שם משתמש וסיסמא או באמצעות תעודה דיגיטלית.
טל סורסקי מסביר כי אחד היתרונות הבולטים של ISE הוא שהרשאות לא ניתנות למשתמש הבודד, אלא לקבוצה אליה המשתמש משתייך : " ISE Cisco  למעשה מאפשר לשקף את המבנה הארגוני לישויות ברשת הארגונית. את ISE לא מעניין שישראל ישראלי התחבר לרשת. את ISE מעניין שעובד ששייך למחלקת הכספים התחבר לרשת והעובד יקבל את ההרשאות שהוגדרו לאנשים הכספים."

באמצעות טכנולוגיית TrustSec הממומשת על ציוד התקשורת של סיסקו, ISE  מבצע חלוקת של הרשת (Segmentation) אפילו ברמה של מחשבים בודדים או לקבוצת משתמשים. שלא כמו בטכנולוגיות מיושנות של VLAN, כל המחשבים השייכים לאותו ה-VLAN יכולים לתקשר אחד עם השני. טכנולוגית TrustSec מאפשר להגביל את התקשורת בין מחשבים (או ציוד) השייך לאותה הקבוצה באמצעות מערכת ניהול פשוטה ביותר. 

Cisco ISE Architecture

Cisco ISE מוכן לקחת את הארגון שלכם לענן

הפתרונות הישנים של הסגמנטציה מבוססים על VLAN ו/או ACLs, כך שכל שינוי מצריך שינוי הגדרות בכל ציוד התקשורת בארגון. בארגון שיש בו כמות מעטה של ציוד תקשורת, זה עדין אפשרי ובר ניהול, אולם לרשתות גדולות עם אלפי או עשרות אלפי התקני תקשורת, פשוט בלתי אפשרי לנהל שינויים בצורה מהירה ללא שינויים בכל אחד מהתקני התקשורת. ISE ביחד עם TrustSec מאפשרים לבצע שינויים על ISE, במקום מרכזי בענן והפצת כל השינויים כל הרשת בדקות במקום שינויים שהיו לוקחים ימים ושבועות.
טל סורסקי מרחיב: "למעשה, זה לא משנה איפה הרשת שלכם נמצאת – ISE ניתן להתקנה על שרתים מקומיים, מכונות וירטואליות או בענן. ISE מאפשר את הגמישות להרים מכונות בענן במהירות ובקלות ולצרף אותן להתקנות קיימות או התקנות חדשות. באמצעות אוטומציה ו-APIs , ISE מאפשר את הגמישות לרוץ בכל מקום לפי צרכי הארגון".

ניר וקשי מסכם: "בעולם הדינמי של היום חברות לא יכולות להרשות לעצמן להיות ללא ידיעה מי ומה מחובר לרשת, ללא אפשרות לבצע שינויים דינמיים בהרשאות הגישה לרשת בהתאם לסוג ההתקן ולמידת הסיכון שלו לרשת, וללא יכולת יעילה לבצע סגמנטציה מהירה ופשוטה ללא תלות בכתובות IP. מהניסיון שלנו באפיונים ובהטמעות השונות – אין ארגון שיכול להתקיים ללא פתרון כמו Cisco ISE".

רוצים לדעת עוד?

אנחנו כאן בשבילכם – ניר וקשי, מנהל פעילות Cisco בבזק בינלאומי NirV@bezeqint.co.il

השאירו פרטים וניצור קשר בהקדם