O ISE, tecnologia exclusiva da Cisco baseada em protocolo RADIUS, é o coração das estratégias inteligentes de proteção de rede – e está no portfólio da Nap IT, que tem o nível Advanced Security Enterprise, por ser certificada nos produtos de segurança da fabricante
Muito embora existam uma série de tecnologias se valendo do protocolo RADIUS (Remote Authentication Dial In User Service) para autenticar e controlar acesso às redes corporativas, nenhum outro produto oferece a capacidade e as funcionalidades do Cisco Identity Services Engine, ou simplesmente ISE. A tecnologia, exclusiva da fabricante americana de equipamentos de rede, é implantada em todo o Brasil por um time qualificado da Nap IT.
A Nap IT é uma Advanced Security Enterprise, ou seja, possui todos os requisitos para ser uma integradora de equipamentos de segurança, caso do ISE. Alexsandro Reimann, Senior Network Engineer da unidade Global Advanced Services da Nap IT, é um dos líderes deste time.
Em entrevista para o Blog da Nap IT, Reimann enumera as vantagens do ISE e sua superioridade sobre outras soluções de controle de acesso à rede, bem como suas funcionalidades, integrações e demanda no Brasil. Fala também sobre a capacidade de entrega de projetos de segurança da Nap IT.
Blog da Nap IT: O que é ISE e quem são seus fornecedores?
Alexsandro Reimann: O Identity Services Engine (ISE) é um produto exclusivo da Cisco. Funciona como um servidor de autenticação e controle de acesso que no mercado é mais conhecido pelo protocolo RADIUS (Remote Authentication Dial In User Service). Porém, o ISE é um produto diferenciado porque incorpora outras funcionalidades além do serviço de RADIUS propriamente dito. Ele consegue atender camadas de autenticação, autorização e auditoria do acesso.
Blog: No que o ISE se difere de tecnologias de segurança de rede convencionais?
Reimann: Principalmente por essa cadeia de autenticação, autorização e auditoria que pode ser utilizada no acesso Wi-Fi ao cabeado ou através de VPN. Isso significa que todo controle de quem está acessando recursos da rede ficam sob a gestão centralizada das políticas do ISE, em que posso determinar ações diferentes baseadas no tipo de usuário e de qual dispositivo solicita o acesso. É possível ter políticas que garantam que um colaborador terá acesso irrestrito se estiver usando um notebook da empresa, mas se estiver usando um smartphone pessoal o ISE consegue detectar e dar acesso limitado, por exemplo, sem acesso a recursos privados da companhia. Diferente de outras soluções de mercado, o ISE tem um recurso chamado Profiling, que ao mesmo tempo questiona o dispositivo em busca das credenciais de acesso e testa esse dispositivo.
Blog: Como exatamente o Profiling funciona?
Reimann: Em uma situação hipotética, eu posso ter uma impressora conectada na rede via cabo. O ISE faz a autenticação de usuário e senha de todas as impressoras. Com esse usuário e senha eu poderia fazer acesso usando outra máquina, mas o ISE identifica de qual impressora vem o acesso. São camadas adicionais que permitem dar a certeza de que aquele equipamento é de quem diz ser.
Blog: Você mencionou recursos de auditoria. O que isso significa?
Reimann: O log do ISE permite uma visão geral do parque instalado, seja de um site único ou todos os sites que a empresa tenha, em um dashboard centralizado que responde aos famosos 5 Ws: who (quem), where (onde), how (como), why (porque), when (quando). Ele me diz que usuário acessou, em que dispositivo, se por cabo ou rede sem fio, e para que. Tudo fica registrado no console do ISE.
Blog: Há outras funcionalidades além das relativas à segurança?
Reimann: Paralelo ao serviço de autenticação, o ISE disponibiliza portais. Posso ter uma rede Wi-Fi única em que todo mundo se conecta, seja funcionário, visitante ou parceiro. Os acessos vão depender das credenciais informadas. Se há um funcionário acessando o Wi-Fi, o ISE retorna acesso privilegiado, se for visitante apresenta um portal em que ele pode se cadastrar e dizer quem está visitando e receber via e-mail um pedido de aprovação. É um serviço automático de self-registration portal. Não precisa ter uma pessoa dedicada, o que o torna bem mais dinâmico.
O ISE pode ser vinculado a outras soluções, como um agente instalado em cada máquina da rede corporativa em que o ISE passa a fazer o que chamamos de “postura”: além de validar a autenticação, ele informa sobre atualizações do sistema operacional, do antivírus, ou qualquer outra informação do próprio equipamento que o ISE não poderia receber através de autenticação pura e simples. É possível tomar ações baseadas nisso. Há também uma integração com a linha de firewalls da Cisco. Se o usuário já tem acesso à rede e recebe um e-mail com link malicioso, o firewall identifica esse usuário como não-compliance, vulnerável, e informa o ISE que coloca o equipamento em quarentena ou o bloqueia, baseado no conjunto de regras.
Blog: Que porte uma empresa precisa ter para tirar o máximo de proveito do ISE? Atende melhor às grandes?
Reimann: É uma solução que atende pequenas, médias e grandes empresas. Vem disponível em equipamentos físicos, servidores ou máquinas virtuais. As VMs possuem tamanhos baseados na quantidade de usuários e sessões que irão suportar. O ISE funciona com apenas um servidor, mas é claro que aí não vai haver alta disponibilidade e resiliência. É possível trabalhar desde um único appliance até 50. Se for uma grande companhia pode começar pequeno, com um cluster menor, e ao longo do tempo ir adicionando. As licenças são por nó, o cliente compra a quantidade de servidores e cada um tem um número de autenticação suportado baseado nos requisitos de memória.
Blog: É uma tecnologia agnóstica, ou seja, interoperável com equipamentos de outros fabricantes?
Reimann: A base do ISE permite a inserção de equipamentos Cisco e não-Cisco. Quando a gente fala do processo de controle de acesso, o ISE funciona com base em RADIUS, um padrão aberto, não proprietário. A rede pode ter [equipamentos] Cisco, HPE, Fortinet etc., isso não é problema, pois funciona em cima de um protocolo aberto que todos os fabricantes suportam.
Blog: Como o ISE é gerenciado? Pela empresa contratante ou pela Nap IT?
Reimann: O ISE vem como parte de um projeto, tanto a implantação como o treinamento. Tendo as políticas construídas e implementadas no ambiente, a manutenção é muito baixa. Normalmente, os profissionais de tecnologia criam regras baseadas em grupos do Active Directory (AD), da Microsoft, então a gestão de quem vai obter o acesso não fica toda consolidada no próprio ISE. Se o usuário está em determinado grupo ele tem ou não acesso mais privilegiado que o outro. As rotinas de backup são todas automatizadas, se o usuário não está obtendo acesso, foi alterado ou removido, a auditoria vai facilitar o entendimento dessa situação. Adicional a isso, o ISE tem uma função chamada TACACS, que é outro serviço de autenticação que gerencia os equipamentos da rede. É possível acessar somente a configuração ou fazer alterações usando base local de usuários ou base externa.
Blog: Como a Nap IT está preparada para a oferta de ISE?
Reimann: Dentro da Nap IT há um time certificado, especializado. A Nap IT é uma Advanced Security Enterprise, atingiu todos os requisitos para ser certificada em produtos de segurança. Administramos hoje mais de 30 servidores espalhados pelo mundo de diversos clientes, e nosso NOC [Network Operations Center] atende e monitora todo o parque de equipamentos e servidores ISE implementados pelo time de projetos. Os profissionais que trabalham em projetos são certificados em nível Profissional e Expert, e na parte de NOC também é exigida certificações de segurança de nível Associate e Profissional. Dentro dessas certificações, claro, estão outras soluções de segurança, mas quando falamos em topologia de segurança o ISE é a engrenagem central. A partir dele todos os demais equipamentos vão receber uma inteligência adicional.
Blog: Como você avalia a demanda por ISE no Brasil?
Reimann: O mercado ainda carece de um amadurecimento com relação a soluções de segurança. Muitas empresas ainda enxergam como custo opcional. Quando um projeto começa a ficar fora do orçamento, a primeira linha de corte acaba sendo a segurança. Em uma era de vazamento de dados, vejo o controle do acesso à informação como algo crucial. O ISE entra como se fosse vigilante, essa camada de proteção. Estamos falando bastante de ISE, e ultimamente os clientes têm se mostrado mais interessados justamente por conta dos vazamentos, que no ano passado foram diversos.
