BLOG / ISE 3.0 ile Gelen Yeni Özelikler
ISE 3.0 ile
beraber daha sade bir arayüz oluşturulmuş, eski arayüze nazaran daha kullanıcı
dostu ve daha göz yormayan bir arayüz bizi karşılıyor.
Yeni arayüzde menü öğelerinin üst satırı kaldırılırken, yerine sol üst köşeye hamburger buton eklenerek, ISE 3.0 tamamen önceki versiyonlarda olmayan yeni bir görünüm kazandırdığı çok rahat söylenebilir. Menu altında tüm configurasyonların yapılabildiğini söylemekte fayda var.
Karanlık mod farklı bir dokunuş olduğu ve ISE arayüzü için yeni imaj verdiği söylenebilir, önceki versiyonların tamamı beyaz fon üzerine mavi tonlarken, ISE 3.0 ile koyu renkler dahil olmuş oldu. Bununla beraber yine menü de Merakiden tanıdığımız “Make a Wish ” geri bildirim unutulmamış, özellikle kullanıcı / yönetici geri dönüşleri için Cisco’nun sanırım bundan sonraki tüm ürünlerine entegre edeceğini düşündüğüm bu özelliğin cidden her iki taraf için de çok önemli olduğunu düşünüyorum.
Aynı zamanda bu menüye eklenen arama sekmesi sayesinde hem kullanıcı dostu,
hem de yapılmak istenen configurasyona çok hızlı erişilmesi ISE 3.0’ ı bir adım
daha öne çıkarmış
Ek olarak ISE 3.0 sekmeler arasındaki geçiş hızlarıda
eskiye nazaran çok hızlı olduğu gözden kaçmıyor.
En alt
kısma da hem kullanıcı / yönetici deneyimi hem de kolaylıkla geri bildirim
iletilebilmesi (şikayet, istek veya öneri ) için Make a Wish bölümü eklendiğini söylemiştik. Cisco aslında Meraki’den
alıştığımız bu geleneğiyle, kullanıcılara ‘Sizi dinliyoruz, sizin
önerilerinizle sistemlerimizi geliştiriyoruz’ diyor, bu da kullanıcı /
adminlere bu geliştirmelerin içerisinde olma olanağı tanıyor, iki taraflı
olarak hem üretici hem de kullanıcıları aynı açıdan buluşturan hızlı bir geri
bildirim özelliği olduğunu düşünüyorum.
ISE 3.0 ile gelen
kullanıcı dostu özelliklerden bir tanesi de
“interaktif yardım” özelliği, hem sağ üst köşedeki Help Menüsünden, hem
de sağ alt köşede yer alan sekmeden bu bölüme erişilebilir.
Cisco ISE’nin eski
versiyonlarında olmayan bu özellik aslında birçok açıdan kullanıcıya daha hızlı
ve kolay bir kullanım sağlıyor. Örneğin Posture config yapmak istiyoruz,
Posture kısmını tıkladığımızda karşımıza Posture ile ilgili tüm ihtiyacımız
olan sekmeleri çıkarmaktadır.
Ajansız Posture
özelliğini tıkladığımız zaman, karşımıza sihirbaz çıkartarak adım adım konfigürasyon
için gerekli tüm basamaklar karşımıza geliyor. Böylelikle Ajansız Posture
yapmak için yapılması gerekenlerin tamamı çok kolay bir şekilde sağlanmış
olmaktadır, her adımı tamamlayıp (Next) ileri seçeneğini tıkladığımızda,
sonraki adıma geçebilirken, aynı zamanda istediğiniz adımdan başlayarak konfigurasyonları
tanımlayabilme imkanı sağlamaktadır.
Tüm konfigurasyon süresince ihtiyaç olan tüm bileşenler bu sihirbazlar tarafından karşınıza getiriliyor ve sizden ilgili konfigurasyonları tamamlamanız isteniyor.
Burada ilgili konfigurasyonlar için doğru lisanslara sahip olunması gerektiğini unutmamak gerekmektedir.
Endpointlere anyconnect ajan kurmadan da “Microsoft
ve Apple” cihazlar için ajansız posture ISE 3.0 ile kullanılabilmektedir.
·
Son Kullanıcı Görünürlüğü ve Custom Script
Özelliği
Bu özellik sayesinde Windows ve Mac son
kullanıcılarına özel scriptler yazılabilmektedir, dikkat edilmesi gereken
noktalar;
o
Sadece
SuperAdmin yetkisi olan adminler bu scriptleri çalıştırabilmekte,
o
Domain Admin
bilgileri ve/veya Local admin kullanıcı bilgilerine sahip olunmalı,
o
Windows
makinalar için PowerShell,
o
Mac için SSH
erişimi,
o
Hem Mac hem
de Windows için CURL 34+
·
ODBC Multiple Attributes Lookup Özelliği
Attribute’ları manuel olarak belirtmek yerine,
belirtilen giriş özniteliklerine (MAC adresi, kullanıcı adı, called-station-ID
veya cihaz konumu gibi) ODBC veritabanından
VLAN’ı kullanmak için yetkilendirme profili rahatlıkla yapılandırılabilir.
|
|
|
·
Certificate Fingerprinting for Multiple CA s
Özelliği
ISE 3.0 ile gelen bu özellik sayesinde, birden çok
sertifikanın farklı etki alanlarını desteklemesi için güvenli bir mekanizma
sağlanmaktadır ve bu sayede birçok domain birden fazla sertifika tarafından
güvenilirliği arttırılmış olacaktır.
·
PassiveID ve Windows Event API Özelliği
Cisco ISE Sürüm 3.0 ile beraber Pasif Kimlik (Passive
Identity) için MS-Eventing API veya Microsoft Uzaktan Yardım Çağrısı (MSRPC)
protokolü kullanılabilmektedir. Cisco ISE'de Node iletişimi kurmak ve Node lar
arasındaki heartbeats izlemek için MSRPC protokolünü kullanır. Bu seçenek,
Pasif Kimlik hizmeti için WMI protokolüne ek olarak bulunmaktadır. ISE 3.0 ile
gelen bu özellik ile Pasif kimlik, WMI yerine MS RPC API'lerini kullanarak
genel performansı önemli ölçüde iyileştirecektir.
·
API Gateway Özelliği
Cisco ISE ( API Gatwey ) ağ geçidi, daha iyi
güvenlik ve trafik yönetimi sağlamak için birden çok Cisco ISE Hizmet API'sine
tek bir giriş noktası görevi gören bir API yönetim çözümü olarak ISE 3.0 ile
yeni gelen bir özellik olarak karşımıza çıkıyor. Harici istemcilerden gelen API
istekleri, Cisco ISE'deki API ağ geçidine yönlendirilir ve istekler ayrıca, API
Ağ Geçidinde yapılandırılan kurallara göre hizmet verir, API'lerinin çalıştığı
Cisco ISE Node’larına iletilir ( route edilir ).
·
Windows Cihazlar için Device Identifier Değiştirme
Özelliği
Son kullanıcı cihazlarındaki MAC adresinden
bağımsız olarak uygunluğu sorgulamak için ISE ve MDM arasında kullanılan CN/SAN
sertifikası niteliklerine dayalı yeni bir cihaz tanımlayıcısı kullanılmaktadır.
(UDID: Unique Device Identifier)
·
Microsoft SCCM ile Baseline Politikaları Özelliği
ISE 3.0 ile beraber ISE Adminler belirli temel
ilkeleri seçebilir ve yalnızca bu politikalarla uyumluluğu kontrol ettirebilirler.
·
Posture AV/AM Minimum Versiyon Kontrol Etme
Özelliği
Birçok farklı Anti-virüs ve birçok farklı
Anti-malware ürünleri var, bu aşamada oluşturulan politikalar ya çok genel ya
da çok özel kalıyordu, ISE 3.0 ile beraber AV/AM lerin minimum versiyon
belirleyerek, ilgili versiyon üzerinde ise compliant olması sağlanabilecektir.
OPSWAT desteği burada zorunlu olduğunu da atlamamak lazım.
·
Health Check ( Sağlık Kontrolleri ) Özelliği
ISE 3.0 ile gelen adminlerin en sık kullandığı özelliklerden bir tanesi de şüphesiz Health Check ( Sağlık Kontrolü ) özelliği olacaktır. Dağıtımınızdaki tüm Nodeları tanılamak için isteğe bağlı bir sistem durumu denetimi seçeneği sunuyor ISE 3.0’da. Herhangi bir işlemden önce tüm Nodelarda sağlık kontrolü çalıştırmak, varsa, kesintiye neden olabilecek kritik sorunların belirlenmesine yardımcı olmaktadır. Sağlık Kontrolü, tüm bağımlı bileşenlerin çalışma durumunu ve sağlık durumlarını göstermektedir. Bir bileşenin arızalanması durumunda, işlemin sorunsuz bir şekilde yürütülmesi ve sorunu çözmek için sorun giderme önerileri sunuyor olması da ISE 3.0’ın yenilikleri arasında.
Özellikle Upgrade ler öncesinde birçok sorunun
önceden tespit edilip, çözülüp sorunsuz upgrade yapılması için mükemmel bir
çözüm olduğunu söylemekte fayda var.
·
Profillerde İşleve Göre Hata Ayıklama Özelliği
Hata Ayıklama Sihirbazı, ISE Nodelarındaki sorunları gidermek için kullanabileceğiniz önceden tanımlanmış hata ayıklama şablonları içerir. Hata Ayıklama Profillerini ve Hata Ayıklama Günlüklerini rahatlıkla buradan yapılandırabilirsiniz. Bu özelliğin bir diğer artısı Cisco TAC, artık bir Cisco ISE dağıtımında birden çok Node üzerinden hata ayıklama günlüklerini kolayca etkinleştirebilir. Bu özellik daha hızlı sorun gidermeye yardımcı olacaktır. Ayrıca oluşturulan hata ayıklama profilleri birden çok Node üzerinde de kullanılabilir.
·
Daha fonksiyonel TCP Dump Özelliği
ISE 3.0 ile beraber, dosya boyutunu, dosya
sayısını, işlem süresini, bağlı arabirimler dahil olmak üzere hangi
arabirimlerde döküm dosyası ( her zaman ham biçimde / TCP dump formatında)
belirterek toplanan verileri kontrol edebilirsiniz.
·
ISE 3.0 Desteklenen Platformlar ( SNS 35XX
serileri EOL )
·
Platform Destekleri - Cloud
o
Amazon Vmware
Cloud
o
Azure Active
Directory ile SAML SSO Desteği
ISE web portal üzerinden artık Azure
AD SAML 2.0 MFA özelliği, ISE
3.0 ile kullanılabilecektir. ( Guest, BYOD ve My Devices Portal)
ROPC
kullanarak 802.1X Azure AD ( Resource Owner Password Credentials )
ISE
3.0 802.1X ile kullanıcıların kimliğini OAuth ROPC kullanarak doğrudan Azure AD
de doğrulanması sağlanabilmektedir.