Lösungsüberblick
Cisco Identity Services Engine –
Technologiepartnernetzwerk
VORTEILE
• Steigerung der Effektivität von
Betriebs- und Security-Plattformen
durch Identitäts- und Geräteerkennung
• Beschleunigte Identifizierung und
Analyse von sowie Reaktion auf
Netzwerkereignisse
• Abstimmung von IT-Plattformen auf
eine konsistente Quelle für Benutzer-,
Geräte- und Richtliniendaten und die
Zugriffskontrolle
Die Cisco® Identity Services Engine (ISE), die
führende Plattform für das Management von
Sicherheitsrichtlinien auf dem Markt, lässt sich
um eine Vielzahl zusätzlicher Funktionen
erweitern. Möglich wird dies durch die
Integration mit Partnerplattformen, die die von
der ISE generierten Identitäts-, Geräte- und
Richtlinieninformationen nutzen.
Partnerlösungen, die mit der ISE integriert werden, können
Informationen aus der Cisco Netzwerkinfrastruktur herauslesen. Auf diese Weise können netzwerkbezogene Aktionen
auf Benutzer und Geräte angewendet werden, etwa Quarantänemaßnahmen, die Blockierung von Zugriffen oder die
Übermittlung von Daten an die ISE, die diese für Entscheidungen zur Netzwerkzugriffsrichtlinie nutzt.
Komplexität wird zur Herausforderung
Unternehmensnetzwerke werden immer komplexer. Das zeigt sich insbesondere beim Management, denn nie
zuvor wurden so viele Geräte und Anwendungen an das Netzwerk angebunden. So mangelt es nicht nur
zunehmend an Transparenz darüber, wer und was auf das Netzwerk zugreift. Auch die Sicherheit gerät immer
mehr zur Herausforderung, da sich mit der großen Zahl an verbundenen Geräten auch die Angriffsfläche
vergrößert. Darauf reagieren IT-Abteilungen in der Regel, indem sie laufend weitere Sicherheitssysteme, zumeist
von unterschiedlichen Anbietern, in ihr Netzwerk integrieren.
Unterschiedliche Lösungen und Anbieter bedeuten jedoch auch voneinander getrennte Informations-Repositorys.
Damit Bedrohungen auf das Netzwerk genau identifiziert und adäquate Gegenmaßnahmen eingeleitet werden können,
müssen alle diese Daten sorgfältig zusammengesetzt werden. Diesen Prozess vereinfacht und optimiert die ISE, indem
sie wertvolle Kontextdaten aus dem gesamten Netzwerk erfasst, konsolidiert und für die verschiedenen Systeme und
Anbieter verfügbar macht. So lässt sich präzise ermitteln, wo die Ursache einer Bedrohung liegt. Die zeitaufwändige
manuelle Korrelation der Daten jedes einzelnen Systems entfällt dabei völlig. Das bedeutet, Bedrohungen können
schneller aufgespürt und Sicherheitsvorfälle behoben werden, noch bevor sie Schaden anrichten.
© 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
Seite 1 von 4
Cisco Platform Exchange Grid und Partnernetzwerk – Highlights
Die ISE ist die führende Plattform für das Management von Sicherheitsrichtlinien auf dem Markt. Sie schafft eine
zentrale Kontrollinstanz, die die rollenbasierte Zugriffskontrolle für Netzwerke und Netzwerkressourcen
automatisiert – bei herausragender Transparenz über alle Benutzer und Geräte hinweg. Dabei erfasst sie
umfangreiche Kontextdaten aus verschiedensten Quellen im Netzwerk (z. B. Endpunkte, Benutzer, Active
Directory-Listen und Netzwerksensoren). Über Cisco Platform Exchange Grid (pxGrid), eine leistungsstarke, in die
ISE integrierte Plattform für den Austausch von Kontextinformationen, können diese Daten von externen und
internen Lösungen unserer Technologiepartner genutzt werden. Dadurch können diese Lösungen effektiver
arbeiten und innovative Funktionen bereitstellen, etwa zur Vereinfachung des Netzwerkmanagements oder zur
Stärkung der Sicherheit.
Das ISE-Partnernetzwerk bietet folgende Integrationen:
●
Enterprise-Mobility-Management und Mobile-Device-Management (EMM/MDM): Die Integration von
ISE und EMM-/MDM-Partnerplattformen ermöglicht die Prüfung des Sicherheitsstatus sowie die Kontrolle
mobiler Endgeräte, die versuchen, auf das Netzwerk zuzugreifen. Diese Aktionen können laufend
durchgeführt werden, sodass jederzeit die Einhaltung der Richtlinien und die korrekte Netzwerkzugriffsstufe
sichergestellt sind.
●
Security-Information- & Event-Management (SIEM) und Threat-Defense (TD): Durch die Integration mit
der ISE bieten SIEM/TD-Partnerplattformen größere Transparenz bei Sicherheitsvorfällen. Denn ergänzt
durch Benutzeridentität, Netzwerkautorisierungsstufen, Endgeräteidentifikation und
Sicherheitsstatusinformationen werden dann alle netzwerkweiten Informationen in einer umfassenden
Ansicht in der Konsole der SIEM/TD-Partnerlösung angezeigt.
●
Identity-Access-Management und Single-Sign-On (IAM/SSO): IAM/SSO-Partnerintegrationen können
bestehende Richtlinienattribute zur Authentifizierung und Autorisierung durch Informationen zum
Netzwerkkontext ergänzen. So können Authentifizierungsrichtlinien auf Basis von Netzwerk- und
Geräterisikostufen festgelegt und angepasst werden. Partnerlösungen können anhand der ISEInformationen zum Netzwerkkontext zudem Entscheidungen bezüglich der Autorisierung von WebAnwendungen beeinflussen. Dies ermöglicht eine effektivere Kontrolle des Zugriffs auf vertrauliche
Informationen. Entsprechende Richtlinien können für verschiedene Benutzerebenen basierend auf dem
verwendeten Gerät, dem aktuellen Standort sowie der Anwendung erstellt werden, auf die zuzugreifen
versucht wird. Beispielsweise würde für einen mobilen Benutzer, der auf einem iPad via VPN auf
vertrauliche Personaldaten zugreifen möchte, eine komplexere Authentifizierungsrichtlinie gelten als für
einen Benutzer, der diese Informationen über einen unternehmenseigenen Laptop im Büro aufrufen möchte.
●
Schwachstellenanalyse: Durch die Integration der ISE mit Partnerlösungen dieser Art kann die
Schwachstellenanalyse durch Informationen zu Benutzeridentität, Netzwerkautorisierungsstufen,
Netzwerkzugriffsmethode und Sicherheitsstatus ergänzt und in einer umfassenden Ansicht in der
Management-Konsole der entsprechenden Lösung angezeigt werden. So erhalten Sicherheitsanalysten
eine zentrale Benutzeroberfläche, die die Reaktion auf schwerwiegende Vorfälle erleichtert.
●
Netzwerk- und Sicherheitsforensik: Partnerlösungen für Forensik und Paketerfassung liefern durch die
Integration mit der ISE zusätzlich Informationen zu Benutzeridentität, Netzwerkautorisierungsstufen,
Endgeräteidentifikation und Sicherheitsstatus. Alles wird in einer umfassenden Ansicht in der
Managementkonsole der Partnerlösung angezeigt, wobei mithilfe der ISE zudem als Reaktion auf eine
forensische Analyse Korrekturmaßnahmen auf Benutzer und Geräte angewendet werden können.
© 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
Seite 2 von 4
●
OT-Zugriffsrichtlinie und Segmentierung in Kontroll- und SCADA-Netzwerken. Für Netzwerke der
Betriebstechnik (Operational Technology, OT) gelten spezielle Anforderungen. Mit ISE (für
Zugriffsrichtlinien) und pxGrid (für den Austausch von Kontextdaten) können OT-Security-Partner ihre
bestehenden OT-Sicherheitsrichtlinien anhand von ergänzenden Daten zum Geräte- und Netzwerkkontext
präziser formulieren und besser anpassen. Die OT-Monitoring- und Reporting-Funktionen nutzen Daten
zum Geräte- und Netzwerkkontext aus der ISE, um eine detaillierte Übersicht der unterschiedlichen
Gerätetypen bereitzustellen, die auf verschiedene Ressourcentypen im Netzwerk zugreifen.
●
Cloud Access Security Broker (CASB): Cloud Access Security-Produkte überwachen SaaS-Richtlinien
(Software-as-a-Service) und erkennen Verstöße dagegen, etwa durch die Ausschleusung von Daten. Durch
die Integration mit der ISE können CASB-Partnerlösungen über den Benutzerkontext Identität, Gerät und
Zugriffsart zu einem Cloud-Sicherheitsvorfall zuordnen. Über pxGrid Adaptive Network Control (ANC)
können zur Gefahreneindämmung zudem Maßnahmen wie die Quarantänisierung von Benutzern
angewendet werden.
●
Netzwerk- und Anwendungsleistung: Über pxGrid können Partnerlösungen Probleme mit der Netzwerkund Anwendungsleistung anhand des ISE-Kontextes zu Identität, Geräten, Zugriffsart und Standort
transparent lokalisieren. Diese beschleunigt die Ursachenanalyse und die Behebung von
Leistungsproblemen.
Alle diese Partnerlösungen erhalten durch die Integration mit der ISE wichtige Kontextdaten, mit denen sie
effektiver arbeiten und Bedrohungen oder Probleme schneller beseitigen können. Über die ISE können diese
Lösungen zudem dynamisch Quarantänemaßnahmen auf kompromittierte Benutzer oder Geräte anwenden, um
deren Zugriffsrechte angemessen einzuschränken (Abbildung 1).
Abbildung 1.
Integrationspunkte mit Partnerlösungen
© 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
Seite 3 von 4
Cisco Capital
Auf Ihre Ziele abgestimmte Finanzierungslösungen
Mit Cisco Capital können Sie die Technologien erwerben, die Sie benötigen, um Ihre geschäftlichen Ziele zu
erreichen und wettbewerbsfähig zu bleiben. Mit unserer Unterstützung senken Sie Ihre Kapitalausgaben,
beschleunigen Ihr Wachstum und optimieren Ihren Return-on-Investment. Cisco Capital bietet Ihnen flexible
Optionen für die Finanzierung von Hardware, Software, Services und zusätzlichen Drittanbietergeräten – das alles
bei planbarer Zahlung. Cisco Capital ist in mehr als 100 Ländern verfügbar. Mehr dazu hier.
Nächste Schritte
Weitere Informationen zur Cisco Identity Services Engine (ISE) finden Sie unter http://www.cisco.com/go/ise.
Eine Liste der ISE-Technologiepartner finden Sie auf der Seite zum Cisco Security-Partnernetzwerk unter
http://www.cisco.com/c/en/us/products/security/partner-ecosystem.html.
Detaillierte Informationen zu Partnerlösungen finden Sie im Lösungskatalog des Cisco Marketplace unter
http://marketplace.cisco.com/catalog.
www.cisco.com/go/offices
www.cisco.com/go/trademarks
Gedruckt in den USA
© 2015 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
C22-735909-00
10/15
Seite 4 von 4