Cisco France Blog / Réseaux / Quoi de neuf dans ISE 3.5 ?

La dernière release de Cisco Identity Services Engine (ISE) 3.5 apporte des innovations dans 3 domaines:

• L’identité et la sécurité
• Le profiling des terminaux
• La plateforme ISE

Je propose de cet article de reprendre rapidement les nouveautés annoncées. N’hésitez pas à vous fier aux release notes  officielles pour avoir tous les détails.

Identité et sécurité

• Autorisation des terminaux avec Entra ID: ISE s’interface avec Entra ID (anciennement connu sous le nom de Azure AD) depuis quelques années pour l’authentification des utilisateurs. Avec cette version 3.5 il est maintenant possible d’authentifier les terminaux en se basant sur des certificats (EAP-TLS). L’authentication User+Machine avec le protocole TEAP est donc maintenant possible même quand toutes les informations sont dans Entra ID.
• CoA basé sur modification d’attribut dans Entra ID: ISE peut être configuré pour détecter les modifications d’attributs dans Entra ID et déclencher une modification des privilèges d’accès au réseau en fonction.
• Support de ROPC pour l’administration des équipements réseau via TACACS+ avec Entra ID: cela aide les clients qui sont passés à Entra ID pour tous leurs cas d’utilisation ISE (authentification du réseau et des endpoints).
• Nouveaux connecteurs pour workloads: possibilité de s’intégrer avec VMWare, AWS, Azure et GCP pour visualiser, et catégoriser les workloads et leurs attribuer dynamiquement des groupes de sécurité (SGT)
• Nouvelles intégrations multi-domaines: intégrations avec Cisco Secure Access et le Cisco Cloud delivered Firewall Management Center (cd-FMC). ISE 3.5 étend ainsi le partage du contexte SGT sur notre offre SASE.
• Meilleure GUI et scale pour TrustSec: Support jusqu’à 10 000 SGT et simplification de l’interface graphique.
• Ajout de mécanismes d’authentification sécurisés (clés API et OAUTH2) dans PXGrid-Direct:  permet l’intégration avec davantage de de plateformes pour obtenir plus de contexte des terminaux dans ISE.
• Améliorations intégration Tenable: Récupération jusqu’à 20 contextes depuis Tenable et amélioration de la sécurisation de l’intégration.

Profiling (classification des terminaux)

• Multi-Factor Classification (MFC): MFC est une solution cloud pour améliorer le profiling des terminaux. La solution MFC permet de classifier les terminaux sur la base de plusieurs attributs simultanément en les comparant à des milliers de profils connus.
• Scan SNMP des terminaux: ISE peut lancer des scans SNMP avec le protocole SNMPv3 pour identifier les terminaux qui supportent ce protocole. Les résultats du scan peuvent être utilisés pour le profiling avec MFC décrit plus haut.
• Création simple de profils personnalisés pour MFC: simplification de la création de profils personnalisés pour MFC (en plus de tous les profils déjà présents sur la plateforme)
• Tableau de bord de suivi des méthodes utilisées pour le profiling: Cisco ISE 3.5 fournit un moyen d’identifier les potentiels  manques de configuration au niveau des protocoles utilisés pour le profiling. L’objectif est d’identifier rapidement les axes d’améliorations pour gagner en pertinence sur le profiling.

Améliorations de la plateforme

• Support de Red Hat OpenShift
• Support IPv6 étendu: ISE supporte maintenant un stack IPv6-only. IPv6 est maintenant supporté pour le portail d’administration, les services communs, les gestionnaires de clés, les communications entre les nœuds ISE, les API, les sondes de profiling, la posture, Trustsec sur HTTPS, pxGrid…
• Sécurité renforcée avec TLS 1.3 pour de nombreuses fonctions: TACACS+, API, portails invités, pxGrid, flux de posture, intégration avec Catalyst Center/Meraki et DUO…
• Support des appliances SNS 3800
• Accès au TAC simplifié sur autorisation: ISE s’intègre dans l’architecture Radkit pour simplifier les opérations de troubleshooting avec le TAC. Je ferai un article sur Radkit prochainement, cela change déjà la donne sur le troubleshooting et ce n’est que le début!
• Support sur les plateformes cloud: – Cisco ISE 3.5 est disponible sur toutes les plateformes prises en charge : AWS, Azure et Oracle cloud (attention au petit délai avant publication de cette dernière version sur ces plateformes)

Pour aller plus loin…

Comme toujours chez Cisco, tout est documenté! N’hésitez pas à lire ces documents s’il vous faut des détails:

• Cisco ISE Release Notes, Release 3.5
• Cisco ISE Administrator Guide, Release 3.5
• Cisco Identity Services Engine Installation Guide, Release 3.5
• Cisco Identity Services Engine Upgrade Journey, Release 3.5
• Cisco Identity Services Engine CLI Reference Guide, Release 3.5
• Cisco Identity Services Engine API Reference Guide
• Cisco Identity Services Engine Network Component Compatibility, Release 3.5
• Network Access Control Capabilities of Network Devices with Cisco Identity Services Engine
• Deploy Cisco Identity Services Engine Natively on Cloud Platforms
• Cisco Secure Network Server 3800 Series Appliance Hardware Installation Guide
• Sponsor Portal User Guide for Cisco Identity Services Engine

Authors

Jerome Durand

Technical Solutions Architect