【YESLAB】浅谈网络空间安全之准入③

yeslab官方 · 发表于 2020-3-25 09:54:05

本帖最后由 yeslab官方于 2020-3-25 09:56 编辑

网络空间安全之统一接入
原创老罗 YESLAB

上二期我们已经将准入系统的基本理论和应用作了简单介绍，尽管没有涉及相关配置，但准入系统在网络设计中的思想交待清楚了。至少有一件事我们应该知道——思科准入系统ISE上会有接入网络的用户信息（用户名和密码）和设备信息（什么类型的设备？什么样的操作系统？什么样的应用等）。

如果故事就此打住，ISE还是未免太过小气！思科的安全解决方案的长处就是在它的安全设备之间相互关联，这是其它厂商所没有的！

从而有了思科集成式防御架构！！！

这期我们就介绍一下思科统一接入用到得一个知识点——pxGrid。

Cisco Platform Exchange Grid (pxGrid)支持多厂商、跨平台的网络系统协作，这些协作由IT基础设施的各个部分组成，如安全监视和检测系统、网络策略平台、资产和配置管理、身份和访问管理平台等。当业务或运营需求出现时，生态系统合作伙伴可以使用pxGrid，通过使用pxGrid的Cisco平台的发布/订阅方法，以及使用pxGrid的任何生态系统合作伙伴系统，来交换上下文信息。

Cisco pxGrid提供了一个统一的框架，使生态系统的合作伙伴能够一次性集成到pxGrid，然后与许多平台单向或双向共享上下文，而不需要采用platforn api。pxGrid是完全安全且可定制的，允许合作伙伴仅共享他们希望共享的内容，并仅使用与他们的上下文相关的内容平台。

如果对上面的两段文字描述理解有难度！

我们可以通俗点解释: 就是让ISE通过pxGrid协议将它收集的信息（用户信息和设备信息）吐出来给别的设备使用！

至于什么时候、什么场景下使用就要看我们的网络设计了！同样地我们这期会介绍几个pxGrid在企业网常用的场景给大家。

在此之前我们先看看pxGrid如何工作：

三个角色

1. Providers（信息提供者）：一般指交换机/WLC(采集内容用户信息)、防火墙（采集VPN用户信息）。
2. Collector（信息收集者）：这就是ISE啦。
3. Subscribers（信息订阅者）：任意支持pxGrid的设备。

目前pxGrid仅仅在思科设备上支持，期待它能成为业界标准吧！一起看看它的几个应用场景吧。

场景一

通信过程如下：
1) 远程用户通过SSL VPN接入企业内网。
2) 企业边界防火墙网关通过radius从ISE取得用户认证信息。
3) ISE收集用户信息，接入的终端类型及操作系统信息。
4) 用户访问企业数据中心的各种服务器（出于安全考虑，数据中心有单独防火墙），需要认证。
5) 由于企业边界防火墙已经完成过用户认证，企业数据中心防火墙通过pxGrid从ISE同步该认证信息，所以直接通过认证，无需用户参与！

场景二

通信过程如下：
1) 终端用户通过有线或者无线接入企业内网。
2) 交换机或WLC通过EAP（也可以理解为802.1x)从ISE取得用户认证信息。
3) ISE收集用户信息，接入的终端类型及操作系统信息。
4) 用户访问企业数据中心的各种服务器（出于安全考虑，数据中心有单独防火墙），需要认证。
5) 由于交换机和WLC已经完成过用户认证，企业数据中心防火墙通过pxGrid从ISE同步该认证信息，所以直接通过认证，
无需用户参与！

统一接入的概念是思科安全解决方案中的一大卖点！！！

通过以上两个场景，我们也能看到其作用应当是一次认证，全网通用！

避免了用户多次输入认证信息的麻烦，PxGrid在其中扮演了重要角色。

思科下一代网络架构——DNA(Digital Network Architecture)中SDA(Software Define Access，软件定义接入)中DNAC与ISE的集成也用到了pxGrid。

【了解网络空间安全↓↓↓扫二维码】