ISE - 06 - Cisco Identity Services Engine Architecture

 

Este capítulo profundiza en Cisco ISE después de haber cubierto genéricamente conceptos como AAA, gestión de identidad y EAP/802.1X. Se centra específicamente en Cisco ISE, sus personas, si se instala en appliances físicos o virtuales, y varios escenarios de despliegue comunes.

¿Qué es Cisco ISE?

Cisco Identity Services Engine (ISE) es una plataforma de gestión de políticas de seguridad de red y un componente clave de la arquitectura de confianza cero de Cisco. Su función principal es permitir que la red actúe como punto de aplicación de la seguridad de la red. A diferencia de enfoques donde la política se aplica en dispositivos individuales como firewalls o puntos de acceso, ISE facilita un cambio de paradigma para que sea la red misma quien aplique la seguridad.

ISE funciona como una plataforma centralizada de políticas de seguridad de red y como un servidor RADIUS. Extiende la función AAA (autenticación, autorización y contabilidad) a todos los dispositivos de red. Cuando un usuario o un endpoint intenta acceder a la red, el Network Access Device (NAD) envía los parámetros de autenticación relevantes a ISE. ISE responde al NAD con los detalles de la política de seguridad que deben aplicarse al usuario/endpoint, utilizando pares atributo/valor (AV pairs) de RADIUS.

Una característica clave es la capacidad de implementar la política de autorización por usuario. Al vincular estrechamente la autorización con la autenticación, un administrador de red puede proporcionar acceso diferenciado a todos los usuarios, basándose en su rol (ej. usuario básico vs. administrador de red) o incluso en la forma en que acceden (ej. cableado vs. inalámbrico, ubicación remota vs. campus). ISE proporciona bloques de construcción de políticas granulares que permiten implementar políticas de seguridad por usuario o por grupo.

ISE también ofrece funciones avanzadas:

• Profiling: Integrado de forma nativa en ISE, puede identificar dinámicamente endpoints. Al intentar acceder a la red, ISE puede perfilar el dispositivo, identificando, gestionando y haciendo inventario de los dispositivos basándose en una política de seguridad predefinida. Esto puede determinar el fabricante, la función (teléfono IP, cámara IP, impresora) y realizar otras evaluaciones a nivel de red. El resultado del profiling puede usarse como criterio adicional en la política de autorización.
• Posturing: Va un poco más allá que el profiling, usando un enfoque diferente. Mientras que el profiling usa comunicaciones a nivel de red, el posturing aprovecha la información que reside en el endpoint. Mediante un agente NAC (Network Access Control) en el endpoint, el posturing verifica que el dispositivo cumple con las políticas de seguridad desplegadas (ej. software antivirus, antispyware). Si la postura cumple la política, se permite acceso de red adicional. Si no cumple, se puede aplicar un nivel reducido de acceso o forzar la remediación. La profundidad del posturing se puede mejorar con sistemas de seguridad de software de terceros como Mobile Device Management (MDM).
• Gestión de Endpoints Propios y de Invitados: ISE incluye características para extender políticas granulares a endpoints propiedad de empleados o a endpoints de invitados. El acceso de confianza para dispositivos de empleados puede implementarse incorporando dinámicamente el endpoint a la base de datos de ISE o añadiéndolo manualmente. El acceso de invitado nativo aprovecha portales de invitado integrados, permitiendo a empleados de confianza crear credenciales temporales para visitantes. Estas credenciales se usan para que el invitado se autentique (a través de un portal web o autenticación de red como PEAP), y ISE aplica la política de acceso de invitado relevante al NAD.

Dado el alto nivel de acceso diferenciado que ISE proporciona, es crucial poder monitorizar el nivel de acceso concedido. ISE lo hace de forma nativa, creando un evento de registro por cada acción de autenticación, autorización, profiling o posturing. Estos eventos pueden filtrarse, enviarse a servidores syslog y buscarse para ver detalles de autenticación y autorización de un usuario.

En resumen, ISE es una solución integral para políticas de seguridad de red. Al combinar RADIUS con políticas granulares basadas en contexto, permite distribuir una política de seguridad unificada por toda la red, asegurando que la política desplegada a cada usuario/endpoint sea lo más segura posible.

Personas

Para manejar sus diversas responsabilidades a escala en un entorno empresarial, Cisco ISE utiliza una arquitectura distribuida basada en personas. Las personas son las diferentes funciones dentro de un despliegue de ISE necesarias para su correcto funcionamiento, y se ejecutan dentro de los nodos de ISE. Un nodo ISE es un appliance individual (virtual o físico) configurado para ejecutar una o más de las cuatro personas. Un único nodo puede ejecutar una, múltiples o incluso todas las personas en despliegues pequeños.

Las cuatro personas son:

• Administración
• Monitorización
• Policy Services
• pxGrid

Descripción detallada de las personas:

• Persona de Administración: Posiblemente la más importante. Permite a los administradores de red configurar y administrar la política de seguridad (autenticación, autorización, profiling, posturing, etc.) a través de su interfaz gráfica de usuario (GUI). El nodo que ejecuta esta persona se llama Admin node o Policy Administration node (PAN). Es el centro de control central de Cisco ISE. Todas las políticas se configuran en el PAN y luego se sincronizan con los otros nodos/personas. El PAN también maneja el licenciamiento y actúa como raíz para la autoridad certificadora integrada. Puede haber un máximo de dos nodos con la Persona de Administración: un PAN primario y uno secundario para redundancia.
• Persona de Monitorización: Actúa como el servidor de logging centralizado para el ISE cube. Un nodo con esta persona se llama Monitoring and Troubleshooting (MnT) node. Puede haber un máximo de dos nodos MnT en un ISE cube (primario y secundario para redundancia). Su función es proporcionar funciones de monitorización y resolución de problemas. Los eventos de autenticación y autorización de los PSNs se envían al nodo MnT, que los consolida y procesa para informes. También es crucial para la resolución de problemas, ya que registra detalles de los intentos de acceso, permitiendo ver la causa de los fallos. Centralizar los logs en el MnT node evita que cada PSN tenga que manejar sus propios informes y facilita la correlación de eventos.
• Persona de Policy Services: A menudo se le llama "el caballito de batalla". Un nodo que ejecuta esta persona (llamado Policy Services node (PSN)) actúa como el servidor RADIUS para el ISE cube. Maneja las solicitudes de autenticación, realiza búsquedas de identidad, evalúa políticas y emite el resultado de la autorización. Las políticas configuradas en el PAN se sincronizan con los PSNs. Cada NAD se configura para usar uno o más PSNs como servidores RADIUS. Los PSNs pueden autenticar usuarios y proporcionar la política de autorización de forma autónoma, sin comunicarse de vuelta al PAN. Si un endpoint es candidato para profiling o posturing, el PSN también es responsable de enviar un mensaje Change of Authorization (CoA) al NAD para forzar una reautenticación. El PSN también aloja los portales web para acceso de invitado y patrocinio, y puede ser la CA emisora para la CA integrada de ISE. Maneja el profiling de endpoints y puede proporcionar servicios adicionales como TC-NAC, SGT Exchange Protocol, administración de dispositivos (TACACS+) y servicio de identidad pasiva. Puede haber hasta 50 PSNs por ISE cube para escalabilidad y distribución de carga.
• Persona pxGrid: La última persona en un ISE cube. pxGrid es el bus de comunicación publish and subscribe (pub/sub) de Cisco. Está diseñado para ser un sistema de intercambio de datos de seguridad escalable y seguro, permitiendo compartir grandes cantidades de datos de manera eficiente.

Appliances Físicos o Virtuales

Al planificar un despliegue de Cisco ISE, debes decidir si usar appliances físicos o virtualizar ISE. La decisión depende de factores como el tamaño del despliegue, presupuesto, escalabilidad, topología de red y estructura organizacional (quién gestiona el entorno VMware).

• Appliances Físicos: Se llaman Secure Network Server (SNS) appliances. Los modelos más recientes (al momento de escribir el libro) son los SNS-36xx, disponibles en tres factores de forma: SNS-3615 (pequeño), SNS-3655 (mediano) y SNS-3695 (grande). Las especificaciones de estos appliances incluyen detalles sobre procesador, núcleos, memoria, disco duro, RAID por hardware, interfaces de red y fuentes de alimentación.
• Appliances Virtuales: Si optas por virtualizar, es crítico asegurarse de que las máquinas virtuales tengan reservas de recursos de hardware iguales a las especificaciones de los appliances físicos. La falta de reservas de recursos es una causa común de problemas (bases de datos corruptas, etc.). Cisco ofrece OVAs (open virtual appliances) con reservas de recursos preconfiguradas y fijas para ayudar a evitar este problema. Los archivos OVA para ISE Versión 2.7 están disponibles para diferentes factores de forma virtual (equivalentes a SNS-3615, SNS-3655, SNS-3695) con diferentes tamaños de disco (300 GB, 600 GB, 1.2 TB, 2.4 TB). Si tu empresa ya tiene una infraestructura virtualizada, puedes usar appliances virtuales, idealmente en infraestructura Cisco UCS. Es fundamental garantizar las reservas de recursos de CPU virtual, memoria y espacio en disco para asegurar el correcto funcionamiento de ISE y evitar que otras VMs afecten su rendimiento. ISE soporta entornos virtuales VMware, Microsoft Hyper-V y Linux KVM.

Debes escalar adecuadamente tu despliegue (físico o virtual) para la base de usuarios anticipada y la redundancia necesaria.

Escenarios de Despliegue de ISE

La arquitectura básica AAA no cambia con la escala. Un endpoint se conecta a un NAD, que envía la solicitud de autenticación a un PSN de ISE a través de RADIUS. Lo que sí cambia es el número de nodos de ISE desplegados, qué personas corren en cada nodo y dónde se colocan en la red. ISE puede desplegarse como un solo nodo (standalone), dos nodos o en un despliegue distribuido.

• Despliegue de Nodo Único: El tipo de despliegue más básico. Toda la infraestructura ISE reside en un solo appliance (físico o virtual). Este nodo es responsable de todas las personas: Administración, Monitorización y Policy Services. También puede ejecutar servicios opcionales (pxGrid, administración de dispositivos, TC-NAC), pero esto afectará la escalabilidad. No hay redundancia. Si el appliance falla, la autenticación y autorización de red pueden no estar disponibles. El máximo de endpoints soportados en un nodo único es 10,000 para SNS-3615 (o equivalente virtual) o 50,000 para SNS-3695 (o equivalente virtual). Debido a la falta de redundancia, este despliegue solo se recomienda para pruebas en laboratorio.
• Despliegue de Dos Nodos: Incorpora redundancia, muy recomendada en producción. Las personas de ISE se distribuyen en dos appliances (físicos, virtuales o una mezcla). Esto a veces se conoce como despliegue distribuido. Las personas de Administración y Monitorización tienen nodos primario y secundario. La persona de Policy Services no tiene designaciones primarias/secundarias; un PSN siempre está "activo" si el servicio está habilitado. El NAD decide a qué PSN enviar las solicitudes RADIUS. En un despliegue básico de dos nodos, ambos nodos ejecutan todos los servicios y son espejos exactos. Si un nodo cae, el otro puede realizar las autenticaciones. Al equilibrar los roles primario/secundario, se logra la configuración más resiliente con solo dos appliances. Si el PAN primario falla, no hay sincronización hasta que el PAN secundario se promueve a primario ("warm spare"). Para el balanceo de carga del PSN, se puede configurar la mitad de los NADs para usar un nodo como primario y la otra mitad para usar el otro nodo como primario. Si un PSN o un appliance falla, el NAD lo detecta y envía el 100% de las consultas RADIUS al PSN restante. Para garantizar el 100% de redundancia con dos nodos, la carga total (10,000 para SNS-3615 o 50,000 para SNS-3695) debe ser manejable por un solo appliance en caso de fallo.

• Despliegues Distribuidos: A medida que el despliegue crece más allá de dos nodos PSN, se pueden tener PSNs dedicados.
• Despliegue Híbrido: Puedes tener hasta 5 PSNs. En este modelo, las personas de Administración y Monitorización corren juntas en un solo nodo (con redundancia para este par), y hay PSNs dedicados. Esto permite distribuir las funciones de PSN, reducir el tiempo de ida y vuelta (acercar el PSN a los NADs) y dedicar PSNs a funciones específicas (TC-NAC, pxGrid, SXP). La figura 6-3 muestra un despliegue de siete nodos (dos nodos PAN+MnT redundantes y cinco PSNs dedicados). Separar los PSNs del PAN/MnT asegura que las llamadas RADIUS sigan funcionando incluso si PAN/MnT fallan. El número de endpoints soportados en un despliegue híbrido con PAN+MnT en SNS-3695 es 50,000.

• Despliegue Completamente Distribuido: Para escalar más allá de 50,000 sesiones activas concurrentes o más de 5 PSNs, las personas de Administración y Monitorización deben ejecutarse en nodos dedicados. Una vez que todas las personas están en nodos dedicados (PAN, MnT, PSN separados), la escala puede alcanzar 2,000,000 de sesiones activas concurrentes en ISE Versión 2.7 con el appliance SNS-3695. En este modelo, se soporta un máximo de 50 PSNs más hasta 4 PSNs dedicados a pxGrid. La figura 6-4 ilustra un despliegue completamente distribuido.

Es importante conocer los límites de escala para las diferentes versiones de ISE y modelos de appliance (Tabla 6-5). Por ejemplo, el máximo de endpoints en un despliegue completamente distribuido con ISE 2.6 y 2.7 usando SNS-3695 PAN y MnT es 2,000,000. En un despliegue híbrido con PAN+MnT en SNS-3695, el máximo es 50,000. En un despliegue standalone con SNS-3695, el máximo es 50,000. El número máximo de PSNs en un despliegue completamente distribuido con ISE 2.6 y 2.7 es 50 (para SNS-3595 o 3695 PAN). En un híbrido, el máximo de PSNs es 5. Se soportan hasta 4 nodos pxGrid activos en despliegues completamente distribuidos y 2 en despliegues híbridos (posiblemente coubicados o dedicados, reduciendo PSNs). Otros límites incluyen NADs (100,000), grupos de dispositivos de red (10,000), bosques de Active Directory (50), controladores de AD (100), usuarios internos (300,000), invitados internos (1,000,000), certificados de usuario/servidor/confianza (1,000,000/1000/1000), portales de usuario (600), endpoints (2,000,000), sets de políticas (200), reglas de autenticación (1000) y reglas de autorización (3000).

Solo un nodo puede ejecutar la función TC-NAC en ISE Versión 2.7, independientemente del tamaño del despliegue.

Respuestas a las Preguntas de Q&A

1. ¿Cuáles son las cuatro personas de ISE en ISE Versión 2.7? Las cuatro personas son Administración, Monitorización, Policy Services y pxGrid.

2. ¿Cuál es el número máximo de endpoints soportados en un único ISE cube, con todas las personas corriendo en appliances físicos SNS-3695? Asumiendo un despliegue completamente distribuido (PAN, MnT y PSN separados), el máximo de endpoints soportados en un único ISE cube con appliances SNS-3695 (para PAN y MnT) es de 2,000,000 en ISE Versión 2.7.

3. ¿Qué se conoce comúnmente como un despliegue híbrido de ISE? Un despliegue híbrido de ISE es aquel en el que las personas de Administración y Monitorización se combinan en dos appliances (para redundancia), y la persona de Policy Services está sola en cada uno de los otros appliances dedicados.

4. ¿Qué persona es responsable de recibir las solicitudes RADIUS Access-Request, autenticar la entidad y realizar las decisiones de política para la autorización? La persona responsable de estas funciones es la persona de Policy Services. Un nodo con esta persona activada actúa como servidor RADIUS.

5. ¿Qué persona aloja los portales web usados para la autenticación de usuarios invitados? La persona responsable de alojar los portales web para acceso de invitado es la persona de Policy Services.