思科 ISE 3.4 釋出,新增功能概覽

sysin發表於2024-08-15

Cisco Identity Services Engine (ISE) 3.4 - 基於身份的網路訪問控制和策略實施系統

Cisco ISE sysin

對於許多網路和安全管理員來說,聽到最新版本思科 ISE 的新功能可能有點令人困惑 - 我們知道您希望親自使用它並瞭解它將如何增強您的網路。今天,漫長數週的等待終於實現了,Cisco ISE 3.4 已準備好供您下載並部署到您的網路上。

如果您還沒有聽說過最新版本的 Cisco ISE 3.4 中提供的功能,請將此作為您的入門讀物。最大的收穫是通用策略,它涉及解決客戶最大的問題之一:不同領域的分散且不一致的策略。

通用策略 旨在簡化和統一組織整個網路中的安全策略實施。該解決方案使管理員能夠無縫地將一致的訪問和分段控制應用於所有裝置、使用者和應用程式。這些分段和訪問策略是基於從這些終端裝置收集的交換資訊而構建的。

該解決方案使用思科 ISE 作為中央交換中心,整合網路和安全域,規範上下文資訊 (sysin),並促進不同元件之間的安全通訊。這種創新方法透過簡化複雜網路環境的管理,增強了跨不同訪問模式和位置的零信任安全性。通用政策目前處於測試階段,預計將於今年秋季全面釋出。

作為通用策略解決方案的一部分,我們重新編寫了與以應用程式為中心的基礎設施 (ACI) 的整合,允許使用者直接從以下位置建立與多個 APIC 資料中心(包括單 Pod 和多 Pod 結構)的雙向連線思科 ISE 並開始交換 SGT/EPG/ESG 上下文。

除了通用策略之外,Cisco ISE 3.4 版本還包含許多其他功能。

Active Directory 首選 DC 選擇

從思科 ISE 3.4 開始,管理員現在可以手動確定域控制器 (DC) 的優先順序,從而更好地控制使用哪個 DC 進行身份驗證和授權。如果 Active Directory 發生故障,思科 ISE 將自動切換到列表中的下一個 DC,確保使用者仍然可以訪問資源。一旦首選 DC 再次可用,思科 ISE 將無縫故障恢復,恢復原始優先順序順序。

對於那些討厭等待的人來說是個好訊息!隨著思科 ISE 3.4 的釋出,系統重啟時間 已大幅縮短至幾分鐘,具體時間根據每個節點的具體角色而略有不同。重新啟動之間不再需要長時間的咖啡休息時間。

思科 ISE 3.4 建立在思科 ISE 3.2 中引入的 pxGrid Direct 框架的基礎上,該框架簡化了與缺乏本機 pxGrid 支援的配置管理資料庫 (CMDB) 伺服器的整合,思科 ISE 3.4 將帶來多項關鍵增強功能:

  • 立即同步 :在 CMDB 內發生重大更改的情況下,管理員將不再需要等待計劃的更新。思科 ISE 3.4 將使管理員能夠啟動按需同步,保證思科 ISE 訪問最新的端點資訊。
  • URL 推送器和持久資料庫 :客戶現在可以靈活地將包含端點資料的 JSON 檔案直接推送到思科 ISE 的持久資料庫中。這為那些沒有 CMDB 的人帶來了新的可能性,因為他們仍然可以透過方便地將資料推送到思科 ISE 來利用 pxGrid Direct。與內部端點資料庫不同,該資料庫將是持久的並且不會被清除。

保留使用設定

在以前版本的思科 ISE 中,對錶格顯示的任何自定義(例如列選擇、順序或寬度)將在離開頁面時重置。藉助思科 ISE 3.4,即使切換瀏覽器或裝置,也將儲存並保留首選表設定。不再需要重複調整——個性化檢視將繼續存在。

本地化 ISE 安裝

此增強功能允許管理員直接從 ISE 伺服器上儲存的本地 ISO 檔案重新安裝 ISE,從而將安裝時間從傳統的 5-7 小時顯著縮短至僅 1-2 小時。這種簡化的過程在需要重新安裝的情況下特別有用,例如系統恢復或升級。透過最大限度地減少停機時間並加速安裝過程,本地化 ISE 安裝功能可提高運營效率,確保更快的恢復時間 (sysin),並最終為 IT 團隊節省寶貴的時間。這一改進凸顯了思科致力於提供強大、使用者友好的解決方案,以最佳化網路安全基礎設施的效能和可靠性。

FQDN 到 SGT 對映

在思科 ISE 3.4 中,我們解決了 TrustSec 管理員在地理分散式或雲部署場景中面臨的挑戰,在這些場景中,相同的完全限定域名 (FQDN) 可能會解析為不同的 IP 地址,具體取決於 DNS 伺服器。這可能會導致難以將相同的 SGT 一致地應用於 FQDN 的所有例項。

思科 ISE 3.4 引入了增強的 FQDN 到 SGT 對映功能。管理員現在可以選擇多個節點來解析 FQDN,確保所有生成的 IP 地址都與相應的 SGT 準確關聯。無論 DNS 解析如何變化,這項新功能都可以簡化不同網路環境中的策略實施。

思科 ISE 和 TrustSec NAD 之間的 Pac-less 通訊

思科 ISE 3.4 引入了 Pac-less 通訊,這是一種在思科 ISE 和 TrustSec 網路裝置之間進行通訊的簡化方法。這項創新消除了管理員管理 PAC 檔案的需要,從而減少了開銷並簡化了流程 (sysin)。Pac-less 通訊需要網路裝置上的 Cisco IOS-XE 17.5.1 或更高版本,但無需在 Cisco ISE 端進行配置更改。網路裝置本身將向思科 ISE 通報其支援的功能,從而進一步簡化部署和管理。

日誌檔案管理

我們從您那裡得知,在重負載下對 Cisco ISE 進行故障排除可能是一項挑戰,尤其是當日志檔案快速填滿並且關鍵資訊可能被隱藏時。思科 ISE 3.4 透過增強的日誌管理功能解決了這個問題。現在,管理員可以進行精細控制,允許他們設定最大檔案大小和每個元件保留的日誌檔案數量。這意味著不再擔心在高峰時段錯過關鍵細節。

正如您所知,最新版本的思科 ISE 中包含很多功能,可以讓您的工作變得更加輕鬆。單擊此處瞭解有關 思科 ISE的更多資訊。

你準備好開始了嗎

免費下載 Cisco ISE 3.4

File Name File Information Release Date Size
Cisco-vISE-1200-3.4.0.608.ova ISE 3.4 OVA file - 1200GB disk for Medium or Large (Recommend for PAN or MnT). 1-Aug-24 14582.39 MB
Cisco-vISE-2400-3.4.0.608.ova ISE 3.4 OVA file - 2400GB disk for Extra Large with 37xx support (Recommend for PAN or MnT). 1-Aug-24 14604.64 MB
Cisco-vISE-300-3.4.0.608.ova ISE 3.4 OVA file - 300GB disk for Eval, Small, Medium (Recommend for Evaluation, PSN or PxGrid). 1-Aug-24 14595.70 MB
Cisco-vISE-600-3.4.0.608.ova ISE 3.4 OVA file - 600GB disk for Small or Medium (Recommend for PAN or MnT). 1-Aug-24 14606.03 MB
ise-3.4.0.608.SPA.x86_64.iso Cisco ISE Software Version 3.4 full installation. This ISO file can be used for installing ISE on SNS-36x5, SNS-37x5 Appliances, as well as for VM installation on VMWare/KVM/Hyper-V Virtualization platforms. 1-Aug-24 13958.75 MB
ise-upgradebundle-3.1.x-3.3.x-to-3.4.0.608.SPA.x86_64.tar.gz Upgrade bundle for upgrading ISE version 3.1, 3.2, 3.3 to 3.4. This is a signed bundle for image integrity. 1-Aug-24 14962.79 MB
ise-urtbundle-3.4.0.608-1.0.0.SPA.x86_64.tar.gz Upgrade Readiness Tool (URT) to validate config DB upgrade from 3.1, 3.2, 3.3 to 3.4. This is a signed bundle for image integrity. 1-Aug-24 575.00 MB

百度網盤連結:https://sysin.org/blog/cisco-ise-3/

更多:{% post_link cisco %}

相關文章