这个博客的许多读者从那时起就意识到了这一点思科收购SourceFire在美国,网络安全行业的传奇人物Marty Roesch担任了公司的领导职务,思科的计划是开放所有安全产品,并与其他产品互操作。
另一个很大的收购是OpenDNS, OpenDNS的CEO现在领导思科所有的安全业务。思科的文化是关于思科产品和非思科产品更好地合作。
+也在网络世界:足球竞猜app软件Cisco ONE简化了安全采购+
对于许多人来说,想到思科是一个推动开放和标准的供应商,就会感到震惊。我不知道为什么,因为思科花了一辈子的时间来创建网络协议,然后帮助它们成为所有人都可以使用的标准。但我离题了。
这种开放的行为的例子可以发现在api存在和被添加到的许多安全产品,但它也可以看到在发展中标准的东西比如pxGrid安全数据(上下文)共享,开源TrustSec安全组交换协议(提升),采用现有的标准,包括结构化的威胁信息表达(斯蒂克斯),普通危险得分系统(CVSS),可信自动化指标信息交换(TAXII)。
用于集成的开放系统的一个很好的例子可以是快速威胁遏制解决方案集。有许多快速威胁遏制集成,例如与思科火力管理中心和身份服务引擎的快速威胁遏制。这是一个伟大的系统,但名字却很冗长。我很抱歉,但是我必须把它缩短为RTC w/ FMC & ISE,否则它太长了,无法放入一个幻灯片中,在一个页面上阅读也太长了。:)
RTC w/ FMC和ISE是FMC通过ISE隔离终点的能力。因此,当FMC看到一些泄露的迹象,某些Snort IPS签名被触发,或者通过AMP发现恶意软件时,FMC可以通过ISE触发操作。反过来,伊势可以决定当触发事件发生时该做什么。ISE可以将用户从网络中踢出,或者改变用户和端点的上下文,从而在网络基础设施中采取不同的操作。很酷,对吧?
图1说明了这个过程。
亚伦Woland
虽然RTC主要在思科设备之间销售,但它并不仅限于思科产品。ISE中的自适应网络控制(ANC)功能对任何希望通过pxGrid或RESTful API集成到ISE的人都是开放的。当与pxGrid集成时,订阅应用程序能够从ISE接收上下文信息,使他们的产品更有用,并通过ANC触发行动。
然而,当与API集成时,任何自定义应用程序都可以触发这些ANC分配——即使它们不是思科DevNet合作伙伴社区的一部分。我们稍后会讲到。
在伊势,非国大的政策是在伊势操作>自适应网络控制>策略列表。非国大的政策并不是你所想的那样。它们可以简单地看作是名称空间或分类。可以将一个端点分类(分配)到一个ANC名称空间(策略),当分类发生时,将向网络发送一个授权更改(CoA)。但是,除非您在授权策略中指定应该分配的结果,例如限制访问、拒绝访问或应用特定的TrustSec标记,否则不会发生授权更改。
图2显示了一个示例ANC策略集,而图3显示了这些ANC分配在授权策略中的使用。
亚伦Woland
亚伦Woland
您可以看到,通过在授权策略顶部的授权规则或异常区域中利用ANC分类,您将为该分类分配一个特定的授权结果。理论上,您可以为每个ANC分类类型分配不同的授权规则。
该授权结果可能影响整个环境中的网络策略。通过分配一个简单TrustSec标签,你可以改变的行为通过终点的交通ASA,火力设备,思科网络基础设施,也许经过解密SSL的交通网络安全设备,甚至影响防火墙策略在一个检查站防火墙。是的,你没看错。
为了说明将端点分配给ANC分类,我们将利用RESTful API并使用一个简单的REST工具为我们完成这项工作。这将模拟客户机应用程序应该做什么,或者您可以使用自己的自定义集成做什么。
图4显示了使用邮差工具查询REST API以获得ANC策略列表,而图5显示了将端点分配到其中一个ANC策略(也就是分类)。
亚伦Woland
亚伦Woland
你的选择几乎是无限的。