Menegakkan Zero Trust Access dengan Cisco SD-WAN

[ad_1]

Karena aplikasi didistribusikan di cloud, pusat data, SaaS, dan bahkan edge, perusahaan perlu mengaktifkan akses yang aman ke aplikasi ini untuk tenaga kerja mereka dari mana saja. Penyebaran Secure Access Service Edge (SASE) adalah metode pilihan untuk mengaktifkan akses aman ke aplikasi terdistribusi oleh tenaga kerja hybrid dan perangkat IoT yang jumlahnya terus bertambah.

Zero trust adalah salah satu titik awal paling umum bagi perusahaan yang memulai perjalanan SASE mereka. Banyak perusahaan sedang dalam proses menerapkan zero trust atau telah mengadopsinya. Transisi awal terutama didorong oleh sejumlah besar pekerja jarak jauh akibat pandemi. Namun, banyak perusahaan kini beralih ke lingkungan hybrid dengan tenaga kerja yang didistribusikan dari kampus ke kantor cabang dan kantor pusat.

Lingkungan kerja hybrid ini, ditambah dengan ketergantungan yang semakin besar pada cloud terdistribusi dan aplikasi SaaS, memerlukan arsitektur jaringan yang menyediakan aplikasi keamanan zero-trust yang dapat diskalakan dan terdistribusi dekat dengan titik akhir dan orang yang menggunakannya. Ini memaksimalkan pemanfaatan bandwidth tautan WAN sambil memastikan tidak ada kemacetan pusat di mana semua lalu lintas harus dialihkan. Selain itu, untuk menggagalkan ancaman secara real time, TI memerlukan jaringan untuk terus memantau dan mengevaluasi kondisi keamanan perangkat setelah akses aplikasi diberikan.

Peningkatan terbaru pada arsitektur keamanan SD-WAN dirancang untuk mendukung paradigma baru aplikasi terdistribusi dan tenaga kerja hybrid ini. Integrasi yang erat antara Cisco SD-WAN dan Cisco Identity Services Engine (ISE) kini memungkinkan TI menerapkan fitur keamanan tanpa kepercayaan untuk lalu lintas yang melintasi struktur SD-WAN.

Cisco ISE mengonfigurasi postur keamanan dalam struktur SD-WAN untuk Zero Trust

Menyampaikan metodologi Zero Trust untuk lalu lintas SD-WAN memerlukan empat kemampuan utama: kebijakan akses aplikasi berdasarkan postur keamanan yang diinginkan (siapa yang dapat mengakses apa); pemeriksaan keamanan untuk lalu lintas yang diizinkan; lari terus menerus; dan adaptasi langsung terhadap perubahan postur keamanan, semuanya diterapkan dengan model yang konsisten untuk tenaga kerja dan perangkat lokal, seluler, dan jarak jauh.

Baca Juga:  Rasakan Kekuatan Kesederhanaan dengan Upgrade Cisco SD-WAN ini

Cisco ISE mendukung konfigurasi kebijakan postur keamanan dalam struktur SD-WAN. Saat perangkat seseorang atau titik akhir IoT terhubung ke jaringan, postur perangkat dievaluasi berdasarkan kebijakan yang dikonfigurasi, dan keputusan otorisasi dibuat berdasarkan hasil tersebut. Misalnya, hasil penilaian postur perangkat dapat sesuai, tidak sesuai, atau tidak diketahui. Hasil penilaian postur perangkat ini menentukan kebijakan otorisasi, yang dapat mencakup penetapan tag grup keamanan (SGT) dan atribut otorisasi lainnya ke perangkat dan pemiliknya. Detail tentang bagaimana ini dikonfigurasi di Cisco ISE ditangkap dalam artikel dan video teknis ini.

Selain itu, Cisco ISE membagikan tag grup keamanan dan atribut sesi dengan ekosistem Cisco SD-WAN. TI dapat memanfaatkan informasi ini untuk membuat kumpulan identitas dan mengaitkan kebijakan keamanan di Cisco vManage untuk memungkinkan grup pengguna tertentu mengakses aplikasi di seluruh struktur SD-WAN hingga ke edge.

Gambar konsol Cisco vManage pada Gambar 1-3 mengilustrasikan proses bagaimana Cisco vManage mempelajari sekumpulan label grup keamanan dari ISE.

Kumpulan identitas ditarik dari ISE dan ditampilkan di Cisco SD-WAN vManage
Gambar 1: Kumpulan identitas diekstraksi dari ISE dan ditampilkan di Cisco SD-WAN vManage

Membuat daftar identitas yang menyertakan grup grup keamanan: Daftar identitas digunakan dalam konfigurasi kebijakan keamanan
Gambar 2: Membuat daftar identitas yang menyertakan grup grup keamanan – daftar identitas digunakan dalam konfigurasi kebijakan keamanan

Mengonfigurasi kebijakan keamanan berdasarkan daftar identitas
Gambar 3: Mengonfigurasi kebijakan keamanan berdasarkan daftar identitas

Pemantauan Penjaga Postur Keamanan Terhadap Serangan

Cisco ISE juga mendukung penilaian ulang postur perangkat secara berkala (dijelaskan secara rinci dalam video ini). Setiap perubahan postur akan menyebabkan perubahan otorisasi yang menghasilkan penerapan kebijakan keamanan yang berbeda di tepi SD-WAN. Hal ini memungkinkan jaringan dan titik akhir bekerja secara bersamaan untuk mengaktifkan kemampuan tanpa kepercayaan. Berikut adalah tiga kasus penggunaan untuk mengilustrasikan apa yang mungkin dilakukan dengan integrasi mendalam dari solusi Cisco ISE dan SD-WAN.

  • TI dapat mengonfigurasi kebijakan postur yang memerlukan agen perlindungan antimalware (AMP) yang berjalan di titik akhir untuk mengidentifikasi file berbahaya. Saat pemilik perangkat terhubung ke jaringan, postur dievaluasi dan ditentukan bahwa perangkat tersebut sesuai dengan agen AMP yang sedang berjalan. Status kepatuhan menghasilkan SGT tertentu yang ditetapkan ke lalu lintas dan akses otorisasi terkait. Sebagai bonus dalam hal ini, router SD-WAN tidak akan menjalankan fungsionalitas AMP Jaringan saat berjalan di titik akhir. Namun, jika proses AMP pada titik akhir berhenti secara sukarela atau terpaksa, ISE akan mendeteksinya melalui evaluasi postur berkala. Status ketidakpatuhan titik akhir akan menghasilkan penetapan SGT yang lebih ketat. Pada router SD-WAN, kebijakan untuk lalu lintas yang tidak sesuai akan mengakibatkan eksekusi fungsi AMP berbasis web untuk lalu lintas yang berasal dari titik akhir tersebut. Hasilnya, jaringan dan titik akhir bekerja secara serempak untuk memastikan bahwa kebijakan yang benar terus berjalan dengan benar.
  • TI dapat mengonfigurasi kebijakan postur yang mencegah penyisipan perangkat USB ke titik akhir. Saat perangkat terhubung ke jaringan tanpa USB terpasang, ISE mengevaluasi posturnya sesuai dan oleh karena itu lalu lintas perangkat dapat melewati jaringan. Jika USB terhubung ke perangkat, ISE akan segera mendeteksi status pelanggaran dan melakukan perubahan otorisasi, menetapkan SGT berbeda yang dapat digunakan tepi SD-WAN untuk memblokir semua lalu lintas ke perangkat selama USB terhubung.
  • Dengan Akses Jarak Jauh yang Ditetapkan Perangkat Lunak (SDRA), teknologi utama Cisco SD-WAN lainnya, lalu lintas dari pekerja jarak jauh dan perangkat mereka diproses di tepi SD-WAN dan menjalani penilaian postur ISE. Ini berarti bahwa semua fitur untuk mengakses aplikasi berbasis postur berlaku dan tersedia untuk titik akhir lokal dan jarak jauh.
Baca Juga:  Cisco Catalyst 9000 Core Switches: Jangan Biarkan Inti Anda Rusak

Mulailah Perjalanan ke SASE dengan Cisco SD-WAN Zero Trust Diaktifkan

Cisco SD-WAN menghubungkan tenaga kerja dan perangkat IoT ke aplikasi apa pun menggunakan kemampuan bawaan untuk pengoptimalan aplikasi, keamanan, dan multicloud—semua dalam arsitektur yang mendukung SASE. Zero trust adalah kapabilitas utama SASE, bersama dengan SD-WAN, firewall perusahaan, broker keamanan akses cloud, gateway web aman, perlindungan malware, sistem pencegahan intrusi, pemfilteran URL, dan lapisan DNS keamanan.

Seiring kemajuan organisasi dalam perjalanan SASE mereka, kemampuan keamanan yang kaya dari Cisco SD-WAN memungkinkan fitur tanpa kepercayaan di semua lalu lintas SD-WAN untuk melindungi jaringan dan perangkat dengan cara yang dapat diskalakan, optimal, dan hemat biaya. .

Untuk mempelajari lebih lanjut tentang inovasi di Cisco SD-WAN

Inovasi Cisco menciptakan struktur SD-WAN yang lebih aman dan dapat diskalakan

Cisco Secure SD-WAN Fabric adalah sahabat baru SecOps

Cisco SD-WAN Multi-Region Fabric Menyatukan Perusahaan Terdistribusi

Tetap up to date dengan jaringan Cisco terbaru, dapatkan konten yang dikurasi dari pakar jaringan di Networking Experiences Content Hub.

Membagikan:

[ad_2]

Source link

About Author

Assalamu'alaikum wr. wb.

Hello, how are you? Introducing us Jatilengger TV. The author, who is still a newbie, was born on August 20, 1989 in Blitar and is still living in the city of Patria.