Tehnologiile cloud sunt un element fundamental in drumul unei companii spre digitalizare. Contextul actual de pandemie nu face decat sa sublinieze foarte puternic acest lucru. Piata de cloud public va valora anul viitor, conform Gartner, peste 480 de miliarde de USD, ceea ce reprezinta o crestere de 21% comparative cu anul acesta. Avantajele cloud-ului sunt evidente: viteza mare de deployment, scalabilitate, redundata si livrarea eficienta a unor servicii software.
Incepand cu versiunea 3.1 Cisco ISE este disponibil ca o solutie de tipul Infrastrucure as Code (IaC) in cloud-ul AWS. Cisco ISE in cloud va permite organizatiilor sa extinda politicile de acces la retea, resurse si servicii oriunde este necesar acest lucru intr-un mod simplu, rapid si foarte eficient din punct de vedere operational. Cisco ISE poate fi instalat in AWS:
– lansand o instanta de tip EC2 AMI (Amazon Machine Images) dintre cele disponibile de mai jos:
– folosind un CFT (CloudFormation Template). Un CFT este o solutie inovativa AWS care permite crearea si gestionarea cu usurinta a unei infrastructure cloud prin folosirea de model predefinit.
Caracteristici principale
#1. Cisco ISE este una dintre cele mai scalabile solutii de Network Access Control (NAC) disponibile acum pe piata. Acest lucru se datoreaza arhitecturii multi-node (PAN, PSN, MnT). Aplicarea politicilor de acces este realizata prin PSN. Pentru a acomoda retele foarte dense se recomanda folosirea mai multor PSN-uri. Pentru o usurinta mai mare in configurarea serviciilor de NAC pe echipamentele de retea se poate folosi un load balancer. In loc sa se configureze adresele tuturor PSN-urilor se va configura numai adresa load balancer-ului. Acesta va ajuta si la distribuirea traficului specific intre nodurile ISE si switch-uri, access point-uri, controller-e wireless LAN si firewall-uri. ISE poate interopera cu load balancer-e de la orice vendor, inclusiv cu AWS ELB (Elastic Load Balancer). ELB poate balansa traficul de RADIUS si TACACS+ intre echipamentele de retea si instantele EC2 de ISE.
#2. Intotdeauna este bine sa avem un backup al instantelor critice pentru infrastructura IT. Backup-ul periodic si cat mai frecvent este util pentru restaurare in cazul in care datele sunt pierdute din motive variate, dar si pentru procesul de migrare al unei instante on-premises in cloud-ul AWS. Backup-ul pentru o masina de ISE necesita un “repository” care in cloud-ul AWS are ca storage un bucket S3. ISE este un produs cloud-ready care poate beneficia de toate aspectele specifice cloud-ului atunci cand vine vorba de operatiunile de backup si restore.
#3. Licentierea pentru instanta virtuala de ISE este simplificata in versiunea 3.1 Modelul traditional oferea cate o licenta specifica pentru fiecare tip de deployment in parte: small, medium si large. Cisco ISE 3.1 necesita o singura licenta, “common vm license”, pentru orice tip de instalare.
#4. Cisco ISE este o solutie NAC validata prin programul AWS FTR (Foundational Technical Review) care certifica software-ul in ceea ce priveste cele mai bune practici AWS pentru arhitectura cloud. Aceasta complianta asigura clientii Cisco si AWS ca ISE este un produs validat in termeni de securitate, fiabiliate si operationalitate.
#5. Automatizarea este o alta trasatura fundamentala a unui ecosistem cloud. Echipele de DevOps folosesc adesea unelte de Infrastructure as Code ca Ansible si Terraform in operatiunile lor de zi cu zi care vizeaza platformele cloud. Pe masura ce echipa de operatiuni devine responsabila de deployment-ul instantelor ISE, ea trebuie sa se familiarizeze cu modul specific de operare solutiei de NAC. Pentru a usura acest lucru, Cisco ISE dispune de o colectie open-source de playbook-uri Ansible si Terraform (providers) prin care timpul de deployment se reduce la cateva minute.
Intotdeauna mutarea unor servicii sau aplicatii in cloud-ul public aduce un intreg orizont de posibilitati. Cisco ISE 3.1 vine si profita la maxim de toate noile posibilitati: deployment rapid si automatizat, scalabilitate neegalata in industrie, fiabilitate si redundata native.
Specialisitii Dendrio va pot ajuta in procesul de migrare a solutiei de Network Access Control Cisco ISE din infrastructura on-premise in cloud-ul AWS sau sa creati un mediu greenfield, de la zero, cu instante noi si cu o configuratie nou-nouta.
Mihai Dumitrascu, Sr Systems Engineer
