Cisco ISE als bouwsteen van een Zero Trust-strategie

Authenticatie toepassen op uw wifi-netwerk, maar vervolgens niet weten wie er via het bekabelde netwerk binnenkomt? Hoe onlogisch dat ook klinkt, in de praktijk is dit vaak wel het geval. Een Zero Trust-strategie gaat ervanuit dat niemand op voorhand te vertrouwen is. U wil alleen toegang verlenen tot uw bedrijfsnetwerk aan geautoriseerde gebruikers. Dit betekent dat werkplekken optimaal beveiligd moeten zijn. Of gebruikers nu draadloos verbinding maken, via een VPN óf een kabel. Dat is precies waar Cisco Identity Services Engine (ISE) zich op focust. In dit interview vertelt onze beveiligings-specialist Mauritz van Gelder meer over de vele mogelijkheden van ISE.

Softwaregedefinieerde toegang en handhaven securitybeleid

“Veel organisaties worstelen nog met het bouwen en handhaven van een securitybeleid”, vertelt Mauritz. “Cisco ISE kan daarin een belangrijke rol spelen. Het biedt namelijk tal van mogelijkheden om securitybeleid geautomatiseerd toe te passen en door te trekken naar het interne netwerk. ISE ondersteunt softwaregedefinieerde toegang en binnen IT- en OT-omgevingen wordt netwerksegmentatie geautomatiseerd. Daarom past ISE heel goed in een Zero Trust-strategie. Hoe kun je met zekerheid zeggen dat een gebruiker is wie hij zegt? Daar moet authenticatie voor plaatsvinden, liefst multi-factor. Dankzij een centrale authenticatieserver, regel je met ISE de toegang tot het interne en wifinetwerk.”

Dynamisch toegangsbeheer

“Naast authenticatie biedt ISE ook de mogelijkheid om dynamisch toegangsbeheer toe passen”, vervolgt Mauritz. “Op basis van voorgedefinieerde rollen wordt bepaald tot welke applicaties en diensten een gebruiker wel of geen toegang heeft. Dit is ook mogelijk op basis van het type apparaat. Zo kunt u een medewerker vanaf zijn werklaptop bijvoorbeeld toegang geven tot specifieke data die hij niet vanaf zijn privélaptop kan benaderen. Of apparatuur die niet bij de eigen organisatie in beheer is beperkte toegang verlenen. Zo sluit u onnodige securityrisico’s op voorhand uit.”

Apparaten uitsluiten in de praktijk

Hoe werkt dat in de praktijk, het uitsluiten van apparaten? Een deel van het beleid kan bepaald worden door de status van het apparaat:

• Wordt het apparaat beheerd door de organisatie?
• Beschikt het apparaat minimaal over een bepaalde versie van het OS (bijvoorbeeld Windows 10 update X)
• Beschikt het apparaat over door de organisatie vereiste endpoint protectiesoftware?
• Is de enpoint protectiesoftware up-to-date?

Stel dat een device door de organisatie beheerd wordt, maar niet over een endpoint protectie beschikt of over een recente Windows-versie, dan kan het apparaat potentieel gevaarlijk zijn. Daarom wil je eigenlijk voorkomen dat het device (volledige) toegang heeft tot het netwerk. Via ISE is het mogelijk om dergelijke devices bij het koppelen op het netwerk al op te sporen en beperkt toegang te geven tot het netwerk. De gebruiker kan bijvoorbeeld een melding krijgen om contact op te nemen met de IT-afdeling, om updates te installeren of de endpoint te voorzien van de juiste endpoint protectiesoftware. Al vóórdat de gebruiker de voor hem/haar normale toegang tot het netwerk krijgt.

Weinig controle over apparatuur

In de praktijk is het vaak nog relatief simpel om beveiligingsmaatregelen te omzeilen door apparatuur af te koppelen en een eigen apparaat aan te sluiten wanneer iemand fysieke toegang heeft tot het pand. “Denk aan outlets die gebruikt worden voor het vaste internet, VoIP-toestellen of smart tv’s”, vervolgt Mauritz. “Kwaadwillenden kunnen hier eenvoudig misbruik van maken om direct toegang tot het netwerk te verkrijgen. Met ISE breng je een extra beveiligingslaag aan voor zowel het bekabelde als draadloze netwerk en VPN. Onbekende apparatuur en gebruikers zonder geldige inloggegevens worden in een quarantainenetwerk geplaatst. Hierdoor wordt potentieel kwaadaardig verkeer al voordat het op het netwerk komt gestopt.”

Het netwerk als een firewall

“Bovendien heeft ISE de mogelijkheid om te integreren met verschillende andere oplossingen”, vertelt Mauritz. “Door middel van de open PxGrid interface wordt het mogelijk om de netwerkapparatuur te gebruiken voor het afdwingen van beveiligingsbeleid. Zo kan je bijvoorbeeld bij een detectie uit Smart Network Monitoring automatisch een apparaat isoleren van het netwerk. Hierdoor kan een ransomwarebesmetting voorkomen worden. De integraties zijn eenvoudig te koppelen via een directe koppeling of via een SOAR-platform als SecureX.”

Gasten toegang geven tot het netwerk

ISE biedt ook de mogelijkheid om gebruikers zonder geldig account toegang te geven tot het netwerk. Deze gebruikers kunnen gezien worden als gebruikers van het netwerk buiten de organisatie en kunnen gecontroleerd toegang krijgen. In dit geval tot een gastennetwerk dat geïsoleerd is van het bedrijfsnetwerk. Mauritz legt uit: “Dit werkt op zowel het bekabelde als het draadloze netwerk. Een gebruiker maakt verbinding met het netwerk en krijgt een splashpage te zien. Deze splashpage kan op verschillende manieren gebruikt worden. Bijvoorbeeld als Pass-through. Hierbij hoeft de gebruiker alleen akkoord te geven op de voorwaarden die voor het gebruik van het gastennetwerk zijn gesteld of met een geldig (gasten)account. Een gastenaccount kan door gebruikers binnen de organisatie aangemaakt worden of door de gebruiker zelf door middel van een zelfregistratie. ISE kan gasten ook pas toegang geven nadat dit is goedgekeurd door iemand binnen de organisatie.”

Er is ook een mogelijkheid om gebruikers binnen de organisatie door middel van deze splashpage toegang te geven tot het netwerk met een persoonlijk device (BYOD). Bij de inlogpagina voor de splashpage kan de gebruiker inloggen met zijn of haar persoonlijke bedrijfslogin. Hierbij wordt een onboard-proces gestart, waarna er toegang tot het gastennetwerk of zelfs bedrijfsnetwerk mogelijk is.

Internet of Things

Tot slot hebben we ook steeds meer te maken met IoT-devices. Veel van deze devices hebben beperkte of zelfs geen authenticatiemogelijkheden, maar hebben we toch nodig op het netwerk. Eén van de mogelijkheden is om devices toegang te geven tot het netwerk aan de hand van hun MAC-adres. “Ieder device beschikt over een uniek MAC-adres waarmee een apparaat zich kan identificeren. Binnen ISE kunnen we deze MAC-adressen bijvoorbeeld koppelen aan een specifieke devicegroep voor IoT-devices. Hierdoor kunnen we deze apparaten ook automatisch binnen het juiste deel van het netwerk plaatsen. Om te voorkomen dat kwaadwillenden zich via een ander MAC-adres als iemand anders voordoen (spoofing) dan zij daadwerkelijk zijn, kan er gebruik gemaakt worden van profiling. Hierbij wordt er aan de hand van specifieke gegevens uit bijvoorbeeld de aanmelding en dhcp-verzoeken gekeken of de eigenschappen van het apparaat daadwerkelijk aantonen dat het apparaat is wie het zegt dat het is. Hierdoor is het mogelijk om spoofing van een MAC-adres tegen te gaan en kwaadwillenden buiten de deur te houden”, besluit Mauritz.

Bent u benieuwd naar de mogelijkheden van Cisco ISE voor de beveiliging van uw netwerk? Of heeft u vragen? Neem dan contact met ons op. Wij denken graag met u mee en ook gefaseerd overgaan behoort tot de mogelijkheden.