Comments 7
Cisco не покупала Polycom. Они купили Tandberg для ВКС портфолио.
Жалко что для работы большинства интересных фич (которые работают «через» AnyConnect) в качестве клиентской рабочей станции должен быть Windows (ну или на крайний случай Mac).
заказчик категорически отказался передавать нам трафик из своей сети.
Но при этом разрешил всадить во внутреннюю сеть агент? Чудны дела твои, господи...
Настраивали ли Вы кому-нибудь pxGrid для общения с внешними системами?
И если да, то с какими?
И если да, то с какими?
Да, периодически пользуемся этой технологией. Наиболее частые примеры
интеграции в нашей практике, следующие:
1) Интеграция с Firepower при применении динамической авторизации
пользователей в сети по 802.1x — условно пользователь авторизовался,
ISE по политики аутентификации принял решение о том, к какой группе
относится пользователь (например: «доменный пользователь, недоменный
АРМ, посчуринг – не проводился»), и принадлежность к группе используется
на Firepower для применения каких-либо правил (например URL-фильтрации
и запрета приложений P2P).
2) Интеграция с Firepower при применении PassiveID — интересный вариант
взаимодействия, при котором тоже используется PxGrid для передачи на
Firepower информации о пользователях, но когда пользователь «не видит»
процесса аутентификации в сети. ISE получает данные об авторизации
пользователя в домене, профилирует его, проводит посчуринг (клиент
распространяется доменными политиками) и отдает на Firepower результат,
который так же применяется в политиках, как и в предыдущем случае.
3) Интеграция с StealthWatch. StealthWatch наблюдает за поведением сети и
при выявлении аномальных активностей может попросить ISE закарантинить
провинившийся хост.
4) Это решение сейчас на стадии «внутреннего тестирования» — сторонние
вендоры начинают поддерживать интеграцию с ISE по PxGrid, в том числе и
для SGT-меток. Сейчас мы прорабатываем интеграцию с шлюзами Check Point
инфраструктуры TrustSec с применением взаимодействия по PxGrid между
ISE и Checkpoint Identity Collector.
Открытого доступа к этой штуке еще нет (и официально полноценная поддержка будет в версии ПО 80.20, которая еще не вышла).
интеграции в нашей практике, следующие:
1) Интеграция с Firepower при применении динамической авторизации
пользователей в сети по 802.1x — условно пользователь авторизовался,
ISE по политики аутентификации принял решение о том, к какой группе
относится пользователь (например: «доменный пользователь, недоменный
АРМ, посчуринг – не проводился»), и принадлежность к группе используется
на Firepower для применения каких-либо правил (например URL-фильтрации
и запрета приложений P2P).
2) Интеграция с Firepower при применении PassiveID — интересный вариант
взаимодействия, при котором тоже используется PxGrid для передачи на
Firepower информации о пользователях, но когда пользователь «не видит»
процесса аутентификации в сети. ISE получает данные об авторизации
пользователя в домене, профилирует его, проводит посчуринг (клиент
распространяется доменными политиками) и отдает на Firepower результат,
который так же применяется в политиках, как и в предыдущем случае.
3) Интеграция с StealthWatch. StealthWatch наблюдает за поведением сети и
при выявлении аномальных активностей может попросить ISE закарантинить
провинившийся хост.
4) Это решение сейчас на стадии «внутреннего тестирования» — сторонние
вендоры начинают поддерживать интеграцию с ISE по PxGrid, в том числе и
для SGT-меток. Сейчас мы прорабатываем интеграцию с шлюзами Check Point
инфраструктуры TrustSec с применением взаимодействия по PxGrid между
ISE и Checkpoint Identity Collector.
Открытого доступа к этой штуке еще нет (и официально полноценная поддержка будет в версии ПО 80.20, которая еще не вышла).
Спасибо за подробный ответ. Фактически pxGrid вы используете только для взаимодействия м/у продуктами Cisco.
По поводу «сторонние вендоры начинают поддерживать интеграцию» я не соглашусь. На самом деле существуют интеграции которые работают довольно давно (например, у нас она вышла 2.5 года назад), но так как платформа относительно закрытая, то большого интереса в этом нет.
В этом плане OpenDXL (изначально McAfee DXL) мне кажется более ориентированным на сторонние разработки.
По поводу «сторонние вендоры начинают поддерживать интеграцию» я не соглашусь. На самом деле существуют интеграции которые работают довольно давно (например, у нас она вышла 2.5 года назад), но так как платформа относительно закрытая, то большого интереса в этом нет.
В этом плане OpenDXL (изначально McAfee DXL) мне кажется более ориентированным на сторонние разработки.
Sign up to leave a comment.
Практика внедрения Cisco ISE. Взгляд инженера