Работая над автоматизацией сетевой инфраструктуры (а эта проблема рано или поздно возникает у любой растущей компанией), перед ИТ-отделом постоянно с разных ракурсов появляется вопрос обеспечения безопасности. Один из наиболее чувствительных и трудно автоматизируемых элементов ИБ является управление доступом и контроль проверки подлинности. Отдельных программных инструментов на рынке достаточно, а вот легко интегрируемых в существующие платформы автоматизации сетей - очень мало.

Одним из таких решений является Cisco Identity Services Engine. Как самостоятельный продукт, а также как часть решений по безопасности от Cisco, ISE известен на рынке давно. Но вот об использовании его как средстве контроля в программируемых виртуальных сетях информации не так много. Особенно эффективен этот инструмент вместе с программной архитектурой Cisco DNA.

Когда Cisco DNA генерирует конфигурации и определяет метки группы безопасности (SGT) с соответствующими правилами, Cisco ISE автоматически получает эти метки и, используя матрицу доступа, программно применяет их. Любое устройство или пользователь, который будет обнаружен Cisco DNA, будет сразу же известен и Cisco ISE (включая любые последующие изменения IP-адреса, учетных данных SNMP, CLI, и т.д.). Что особенно важно, если неавторизованный или скомпрометированный пользователь появился онлайн, ISE позволяет удалить разрешение на доступ и, по сути, «выкинуть его», отменив его метку SGT.