这个博客的许多读者从那时起就意识到思科收购SourceFire,以及Marty Roesch等网络安全行业传奇人物在公司内部担任领导职务,思科的倡议是所有安全产品都是开放的,并与其他产品互操作。
另一个非常大的收购是OpenDNS, OpenDNS的首席执行官现在领导着思科所有的安全业务。思科的文化是关于思科产品,以及非思科产品更好地协同工作。
+也在网络世界:有个足球雷竞技app思科ONE简化了安全购买+
对于许多人来说,思科作为一个推动开放和标准的供应商,是令人震惊的。我不知道为什么,因为思科花了毕生精力创建网络协议,然后帮助它们成为所有人都可以使用的标准。但我离题了。
这种开放的行为的例子可以发现在api存在和被添加到的许多安全产品,但它也可以看到在发展中标准的东西比如pxGrid安全数据(上下文)共享,开源TrustSec安全组交换协议(提升),采用现有的标准,包括结构化威胁信息表达(STIX)、通用漏洞评分系统(CVSS)和指标信息可信自动交换(TAXII)。
用于集成的开放系统的一个很好的例子是快速威胁遏制解决方案集。有许多快速威胁遏制集成,如使用思科火力管理中心和身份服务引擎的快速威胁遏制。这是一个伟大的系统,名字很冗长。我很抱歉,但是我必须把它缩短为RTC w/ FMC & ISE,否则它就太长了,无法放入幻灯片,在页面上阅读也太长了。:)
带FMC和ISE的RTC是FMC通过ISE隔离端点的能力。因此,当FMC看到一些妥协指标、触发某些Snort IPS签名或通过AMP发现恶意软件时,FMC可以通过ISE触发动作。反过来,ISE可以决定触发器发生时该做什么。ISE可以将用户踢出网络,或者更改用户和端点的上下文,以便在网络基础设施中执行不同的操作。很酷,对吧?
图1说明了这个过程。
亚伦Woland
虽然RTC主要在思科设备之间销售,但它并不仅限于思科产品。ISE中的自适应网络控制(ANC)功能对任何希望通过pxGrid甚至通过RESTful API集成ISE的人都是开放的。当与pxGrid集成时,订阅应用程序能够从ISE接收上下文信息,使其产品更有用,并通过ANC触发操作。
然而,当与API集成时,任何定制应用程序都可以触发这些ANC分配——即使它们不是思科的DevNet合作伙伴社区的一部分。我们会回来的。
在ISE内部,非国大的政策是在>自适应网络控制>策略列表.非国大的政策不是你想的那样。它们可以简单地看作是名称空间或分类。可以将端点分类(分配)给ANC名称空间(策略),当分类发生时,将向网络发送授权变更(CoA)。但是,除非您在授权策略中指定了应该分配的结果,例如限制访问、拒绝访问或应用特定的TrustSec标记,否则不会发生授权更改。
图2显示了ANC policy的一个示例集,而图3显示了授权策略中那些ANC分配的使用。
亚伦Woland
亚伦Woland
您可以看到,通过在授权策略顶部或例外区域的授权规则中利用ANC分类,您将为该分类分配特定的授权结果。理论上,您可以为每个ANC分类类型分配不同的授权规则。
授权结果会影响整个环境中的网络策略。通过分配一个简单TrustSec标签,你可以改变的行为通过终点的交通ASA,火力设备,思科网络基础设施,也许经过解密SSL的交通网络安全设备,甚至影响防火墙策略在一个检查站防火墙。是的,你没看错。
为了说明对ANC分类的端点分配,我们将利用RESTful API并使用一个简单的REST工具来为我们完成这项工作。这将模拟客户端应用程序应该做什么,或者您可以用自己的定制集成做什么。
图4显示了使用PostMan工具查询REST API以获得ANC策略列表,而图5显示了将端点分配到其中一个ANC策略(也就是分类)。
亚伦Woland
亚伦Woland
你的选择几乎是无限的。