Tuesday, January 20, 2015
Cisco ISE - Identity Services Engine
Umas das ferramentas recém lançadas pela Cisco é o Cisco ISE(Identity Services Engine). Hoje na versão 1.3, o Cisco ISE adquiriu um status de elevada importância em ambientes corporativos devido ao esplendoroso crescimento das redes Wireless. Mas afinal, Cisco ISE é uma ferramenta para Wireless ou uma ferramenta para Security ?
A resposta dessa pergunta é : Depende. Cisco ISE parece ter sido concebido para ser uma ferramenta de Wireless. Um dos pontos fortes do ISE é sua habilidade de gerenciar redes Guests e BYOD, conceitos estes que se tornam cada vez mais e mais comuns em qualquer ambiente corporativo.
Porém, me parece que desde o início o Cisco ISE tinha pretensões bem maiores. Já no início era comentado que mais tarde ele viria a substituir o Cisco ACS como autenticador TACACS. Essa promessa ainda não foi concretizada e, até onde acompanhei, o ACS estava Up to Date, mas acredito sim que isso venha a acontecer.
De uma forma ou de outra, eu acho que minha pergunta é pertinente. Eu propriamente tenho interesse enorme ao delimitar esse tema. Onde trabalho, o ISE é tratado como uma ferramente de Segurança. Desta forma, em um projeto que envolva a implantação de um ISE, quase todos quando Wireless está relacionado, o time de Segurança passa a ser envolvido. É certo que eu já tive a oportunidade de entregar um projeto com ISE. Neste caso eu fiz todo o processo.
Com profissional de tecnologia com foco em Wireless, eu defendo que o ISE não deve ser visto como um firewall. O ISE se tornou a inteligência da rede Wireless. Após ele,uma Wireless Controller é um mero switch para os Access Points. O ISE fica responsável por uma etapa muito mais complexa do processo.
Talvez não seja possível resolver essa questão de forma tão simples. Isso pode envolver decisões estratégicas dentro de uma empresa, mas acho que vale o debate. Porque não vejo o ISE como um Firewall. Vejo o ISE mais como uma plataforma de gerência,como uma estrutura muito mais complexa do que a de um Firewall.
Como contrapartida deste debate, eu acredito que a melhor saída para nós profissionais de Wireless é se dedicar em conhecer a fundo essa ferramente. Ignorá-la ou mesmo não conhecê-la profundamente, forcará a delimitação desse escopo. Com isso, estaremos negligenciando uma parte importante de um projeto de Wireless.
Entregar a gerência dessa ferramenta ao profissional de segurança é entregar boa parte da inteligência de um ambiente e, tenham certeza, qualquer erro na configurações de um ISE poderá lhe obrigar a debugar uma Wireless Controller atrás de um problema que não vai existir.
Ao dominar os detalhes da ferramenta, por outro lado, permitirá que você possa interferir nesse processo mesmo que informalmente. Ou, ,pelo menos,poderá lhe ajudar a prever comportamentos e se defender quando o problema não estiver no seu lado do projeto.
Minha dica final é essa. Se você é ou pretende ser um profissional de Wireless, considere o ISE como uma plataforma de ambiente Wireless e domine-a. ISE não é um mero Firewall. É uma extensão da rede Wireless e como tal precisa ser dominado por um profissional de rede Wireless.
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment