Skip to main content
繁體中文

Aruba ClearPass 與 Cisco ISE:NAC 平台比較

這份技術參考指南對 Aruba ClearPass 與 Cisco ISE 進行了詳細、供應商中立的比較。它為網路架構師和 IT 經理提供了關於架構、部署複雜性、授權和整合生態系統的可操作見解,以推動明智的 NAC 平台決策。

📖 5 min read📝 1,001 words🔧 2 worked examples3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript
歡迎收聽 Purple 技術簡報。我是主持人,今天我們要討論一個定義幾乎所有主要企業網路安全態勢的決策:Aruba ClearPass 對決 Cisco Identity Services Engine,簡稱 ISE。如果您是網路架構師、技術長或場館營運總監,這集就是為您製作的。我們要跳過行銷用語,直接深入探討這兩個重量級網路存取控制平台的架構、部署複雜性和業務影響。 讓我們設定情境。在體育場、大型零售連鎖店和醫院等環境中,網路邊界已不復存在。您有 IoT 裝置、訪客 BYOD、公司資產和銷售點終端機全都接取同一個存取層。您需要一個策略引擎,能夠對每個連線進行身份驗證、授權和計費,並根據上下文動態分段流量。這就是 NAC 的功能。而目前,ClearPass 和 ISE 是兩大主導力量。 讓我們進行技術深入探討。首先,架構和生態系統。Cisco ISE 深度整合在 Cisco 生態系統中。如果您的環境全都是 Cisco——Catalyst 交換器、Meraki AP、Cisco ASA 或 Firepower 防火牆——ISE 就會利用 pxGrid 和 TrustSec 等專有協定,使用安全群組標籤 (SGT) 來提供極其精細的微分段。它功能強大,但緊密耦合。 另一方面,Aruba ClearPass 從設計之初就是與供應商無關的。它重度依賴 RADIUS、TACACS+ 和標準 REST API 等開放標準。如果您有一個混合環境——例如,Aruba 無線、Juniper 交換和 Palo Alto 防火牆——ClearPass 通常是阻力最小的路徑。它能與所有裝置良好配合,而不需要端到端的專有標記。 接下來,讓我們談談策略建立和管理。ClearPass 使用高度視覺化、由上而下的策略服務模型。您定義一個服務,例如「企業無線 802.1X」,並在其中堆疊您的身份驗證、授權和強制執行設定檔。這很合邏輯且相對直覺。ISE 使用基於規則的矩陣。它極其強大,允許複雜的多條件策略,但學習曲線較陡。這可能感覺像是在設定一個非常複雜的防火牆。 那麼裝置分析呢?兩個平台在這方面都很出色。它們攝入 DHCP、HTTP、MAC OUI 和 SNMP 資料來辨識裝置。如果您使用具備 Device Sensor 的 Cisco 交換器,ISE 就具有優勢,因為它會將深度封包檢測資料直接饋送至 ISE。ClearPass 則以 AI 驅動的 ClearPass Device Insight 作為反制,它使用基於雲端的機器學習來識別不符合標準設定檔的模糊 IoT 裝置。 現在,讓我們看看實作建議和陷阱。無論使用哪個平台,最大的陷阱都是試圖一步到位。不要試圖在第一天就在整個有線和無線網路上強制執行嚴格的 802.1X。您會把事情搞砸,而且服務台會不堪重負。 從可視性開始。以監控模式部署 NAC。讓它分析裝置並記錄身份驗證請求,而不阻擋任何流量。這能讓您知道網路上實際有什麼。接下來,轉向無線端的強制執行,通常從已由 Active Directory 或 MDM 管理的公司筆記型電腦開始。最後,處理有線埠口,這因傳統印表機和非受管 IoT 裝置而變得非常困難。 如果您是在飯店或零售環境中部署,訪客存取至關重要。ClearPass 內建的 ClearPass Guest 模組在這方面略具優勢。它高度可自訂,支援自助註冊、贊助者核准,並能與 Purple 等平台完美整合,以進行進階 WiFi 分析和 Captive Portal 行銷。ISE 的訪客入口網站功能強大,但通常需要更多心力才能達到高標準的自訂。 讓我們根據常見的客戶問題進行快速問答。 問題 1:哪個平台的憑證管理較好?兩者都有內建的憑證授權單位,但 ClearPass Onboard 通常被認為更易於用於 BYOD 憑證佈建。ISE 功能強大,但工作流程可能很複雜。 問題 2:雲端部署呢?兩者傳統上都是本地部署或私有雲虛擬機器。Aruba 正大力推動雲端原生,推出 ClearPass Cloud 和 Aruba Central。Cisco 也正透過雲端選項發展 ISE,但歷史上其虛擬機器佔用資源較大。 問題 3:授權模式有何不同?這是個重要的問題。ClearPass 使用相對簡單、基於端點的模型。您購買基本授權,然後再加上 Onboard 或 Guest 的附加功能。它是可預測的。Cisco 使用 Smart Licensing,分為 Essentials、Advantage 和 Premier 層級。它很複雜,您需要仔細將所需功能對應到正確的層級,以避免超支。 最後,總結和下一步。您該如何選擇? 如果您擁有同質的 Cisco 基礎架構,想要利用 TrustSec 和 pxGrid 進行進階微分段,並且具備內部 Cisco 專業知識來管理其複雜性,請選擇 Cisco ISE。當完全整合到 Cisco 結構中時,它是一個絕對的強力引擎。 如果您有多供應商網路,需要高度可自訂的訪客入口網站,想要更簡單的授權模式,並偏好更直覺的策略建立介面,請選擇 Aruba ClearPass。這是異質環境的務實選擇。 您的下一步是什麼?稽核您目前的網路基礎架構和身份來源。NAC 的效能取決於它所對話的目錄。清理您的 Active Directory,盤點您的交換器供應商,並明確定義您要實現的目標——無論是 PCI 合規性、IoT 分段,還是僅僅更好的可視性。 感謝收聽 Purple 技術簡報。下次見,祝您的網路安全且策略清晰。

header_image.png

執行摘要

對於正在評估網路存取控制 (NAC) 平台的企業網路架構師和技術長 (CTO) 而言,選擇通常會聚焦在兩大主導力量:Aruba ClearPass 與 Cisco Identity Services Engine (ISE)。這兩個平台都提供強大的身份驗證、授權和計費 (AAA) 功能,確保每個端點——從公司筆記型電腦到無頭 IoT 感測器——在獲得網路存取之前都能被安全地分析和分段。然而,它們的架構理念有顯著差異。Cisco ISE 深度嵌入 Cisco 生態系統中,利用 pxGrid 和 TrustSec 等專有協定,在同質環境中提供無與倫比的微分段。相反地,Aruba ClearPass 從設計之初就是一個與供應商無關的策略引擎,它利用 RADIUS 和 REST APIs 等開放標準,在多供應商網路中無縫整合。本指南對這兩個平台進行務實、深入的比較,探討它們的功能、部署複雜性和授權模式,以協助您將 NAC 策略與組織的營運現實和合規要求保持一致。

技術深入探討

架構與生態系統整合

ClearPass 與 ISE 之間的根本差異在於它們對生態系統整合的方法。Cisco ISE 在以 Cisco 為中心的環境中蓬勃發展。它利用 Cisco TrustSec 框架內的安全群組標籤 (SGTs),在 Catalyst 交換器、Meraki 存取點和 Firepower 防火牆上實施細粒度、可擴展的存取控制,而不完全依賴傳統的基於 IP 的存取控制列表 (ACLs)。pxGrid (Platform Exchange Grid) 協定進一步增強了這一點,它使 ISE 能夠與第三方安全解決方案共享豐富的上下文資料,從而建立一個緊密的自動化威脅回應生態系統。

相較之下,Aruba ClearPass 則採用異質網路理念。它充當一個通用翻譯器,使用標準的 RADIUS 和 TACACS+ 協定,在 Aruba、Cisco、Juniper 和 Palo Alto 硬體上套用一致的政策。其強大的 REST API 和廣泛的整合生態系統使其能夠輕鬆地從行動裝置管理 (MDM) 平台、防火牆和端點安全代理擷取上下文。對於混合硬體部署的場所,ClearPass 通常為統一政策執行提供較低的進入門檻。

architecture_overview.png

策略引擎與管理介面

ClearPass 中的策略建立是高度視覺化且以服務為導向的。管理員定義一個「服務」(例如「企業 802.1X」),然後依序堆疊身份驗證方法、授權來源和強制執行設定檔。這種由上而下、模組化的方法直覺且簡化了故障排除。

Cisco ISE 則採用基於規則的矩陣,類似於設定一個複雜的防火牆。策略是使用複雜的多條件規則來構建的,這些規則同時評估身份、狀態和上下文。雖然這為複雜的企業場景提供了極大的靈活性和威力,但它需要較陡的學習曲線和細緻的設定管理,以避免產生意外的後果。

comparison_chart.png

裝置分析與可視性

準確的裝置分析對現代 NAC 至關重要,尤其是在 IoT 裝置激增的情況下。這兩個平台都在這方面表現出色,它們利用 DHCP、HTTP、MAC OUI 和 SNMP 資料。ISE 在 Cisco 環境中透過 Device Sensor 具有優勢,它將來自 Cisco 交換器的深度封包檢測資料直接饋送至 ISE 節點。ClearPass 則以 ClearPass Device Insight 作為反制,這是一個由 AI 驅動、基於雲端的解決方案,它利用機器學習來識別躲避標準分析簽章的模糊或偽裝裝置。

實作指南

部署 NAC 平台是一項高風險的作業。設定錯誤可能會將合法使用者鎖定在網路之外,癱瘓業務營運。

  1. 從可視性開始(監控模式): 切勿在第一天就部署強制執行。設定 NAC 以分析裝置並記錄身份驗證請求,而不阻擋流量。這能讓您清楚了解網路上實際存在哪些裝置,並協助識別哪些裝置會導致 802.1X 身份驗證失敗。
  2. 先強制執行無線網路: 無線網路通常比較容易保護,因為裝置習慣進行身份驗證(例如 WPA3-Enterprise)。從由 Active Directory 或 MDM 管理的公司筆記型電腦開始,因為這些裝置可以輕鬆接收必要的憑證。
  3. 處理有線網路: 有線 802.1X 因傳統印表機、非受管 IoT 裝置和「啞」交換器而聲名狼藉。對於無法支援 802.1X 的裝置,請使用 MAC 驗證旁路 (MAB),但使用動態 VLAN 指派或 dACL 嚴格限制其網路存取。
  4. 實作訪客存取: 對於飯店和零售環境,訪客存取是主要關注點。ClearPass Guest 提供一個高度可自訂的入口網站,具備自助註冊和贊助者核准功能,並能與 訪客 WiFi 等平台順利整合,以進行進階分析。ISE 也提供強大的訪客功能,但可能需要更多心力才能達到高度品牌化的體驗。

最佳實務

  • 維護目錄衛生: NAC 的效能取決於它所查詢的身份存放區。確保您的 Active Directory 或 LDAP 是乾淨、準確且最新的。
  • 善用憑證: 盡可能避免使用基於密碼的身份驗證 (PEAP-MSCHAPv2)。部署使用受信任憑證授權單位 (CA) 簽發的憑證的 EAP-TLS,以獲得卓越的安全性和無縫的使用者體驗。
  • 規劃高可用性: NAC 是關鍵的基礎架構元件。在分散式架構中部署冗餘節點,以確保在維護或故障期間持續的網路存取。

故障排除與風險緩解

常見的故障模式通常圍繞在憑證過期、不正確的策略排序或設定錯誤的交換器埠口。

  • 憑證過期: 實作自動化的憑證更新流程(例如 SCEP/EST),以防止突然發生的大規模身份驗證失敗。
  • 策略排序: 在 ClearPass 和 ISE 中,策略都是從上到下進行評估的。確保將更具體的規則放在一般的概括性規則之上,以防止意外的存取。
  • 惡意 AP: 確保您的無線入侵防禦系統 (WIPS) 正在主動監控冒充攻擊。有關詳細策略,請參閱我們關於 Rogue AP 偵測:保護場地 WiFi 免受冒充攻擊 的指南。

投資報酬率與業務影響

licensing_comparison.png

NAC 部署的財務影響不僅限於最初的軟體和硬體成本。

  • Aruba ClearPass: 提供可預測、基於端點的授權模式(永久或訂閱),並具有可模組化附加的 Guest 和 Onboard。這種簡單性通常轉化為在多供應商環境中較低的總擁有成本 (TCO)。
  • Cisco ISE: 採用複雜的 Smart Licensing 模式,包含 Essentials、Advantage 和 Premier 層級。雖然可能更昂貴,但如果您充分利用統一 Cisco 安全架構的進階功能,它將提供卓越的投資報酬率。

最終,成功的 NAC 部署可以降低代價高昂的資料外洩風險,確保符合 PCI DSS 和 GDPR 等標準,並減少手動網路配置的營運開銷。

Key Definitions

802.1X

一種 IEEE 標準,用於基於埠口的網路存取控制,為希望連接到 LAN 或 WLAN 的裝置提供身份驗證機制。

安全企業網路存取的基礎協定,可防止未經授權的裝置在網路上進行通訊。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連接和使用網路服務的使用者提供集中式的身份驗證、授權和計費 (AAA) 管理。

ClearPass 和 ISE 用來與網路交換器和存取點進行通訊的主要協定。

TACACS+ (Terminal Access Controller Access-Control System Plus)

一種由 Cisco 開發的協定,透過一個或多個集中式伺服器為路由器、網路存取伺服器和其他網路運算裝置提供存取控制。

主要用於裝置管理(對登入交換器和路由器的 IT 人員進行身份驗證),將身份驗證與授權分離。

MAC Authentication Bypass (MAB)

一種對不支援 802.1X 的裝置(如印表機或傳統 IoT 裝置)進行身份驗證的方法,使用其 MAC 位址作為身份憑證。

對於無頭裝置的一種必要變通方法,但由於 MAC 位址可被偽造,因此本質上比 802.1X 的安全性低。

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

一種依賴用戶端和伺服器憑證進行相互驗證的 EAP 方法。

被視為無線和有線安全性的黃金標準,可針對憑證盜用提供強大的保護。

TrustSec

一種 Cisco 安全架構,使用安全群組標籤 (SGTs) 根據端點身份和上下文(而非 IP 位址)來強制執行存取控制策略。

Cisco ISE 在同質 Cisco 環境中的一個關鍵區別因素,可實現可擴展的微分段。

pxGrid (Platform Exchange Grid)

一種 Cisco 協定,使安全平台能夠在整個網路基礎架構中共享上下文並自動化威脅回應。

允許 ISE 充當中央情報中心,與防火牆和端點安全工具共享使用者和裝置上下文。

Device Profiling

使用各種資料來源(DHCP、HTTP、SNMP)來識別連接到網路的裝置的類型、作業系統和功能的過程。

對於無法透過 802.1X 進行身份驗證的 IoT 和非受管裝置套用適當的安全策略至關重要。

Worked Examples

一所大型大學校園,混合使用 Aruba 無線控制器和傳統的 Juniper 存取交換器,需要為學生、教職員和 IoT 裝置(投影機、智慧門鎖)實作基於角色的存取控制。他們目前使用 Active Directory 進行身份管理。

鑑於多供應商環境,推薦的解決方案是 Aruba ClearPass。部署將從監控模式開始,以分析各種 IoT 裝置。教職員和學生的筆記型電腦將使用 ClearPass Onboard 進行入職,以佈建 EAP-TLS 憑證,確保密碼驗證的安全性。傳統的 Juniper 交換器將設定為使用 RADIUS 進行 802.1X 身份驗證,而 IoT 裝置則設定 MAC 驗證旁路 (MAB)。ClearPass 策略將根據使用者的 AD 群組(學生 vs. 教職員)或裝置分析(IoT)動態指派 VLAN。

Examiner's Commentary: 此場景突顯了 ClearPass 在異質環境中的優勢。若在此嘗試部署 ISE,將需要重度依賴標準 RADIUS,而無法受益於 TrustSec,從而失去 ISE 許多進階功能。ClearPass 強大的裝置分析和供應商中立的策略執行提供了一個更簡潔、更易於管理的解決方案。

一家全球零售連鎖店正將其整個網路基礎架構標準化為 Cisco Meraki(AP、交換器和 MX 安全設備)。他們需要強制執行嚴格的微分段,以將銷售點 (POS) 終端機與訪客 WiFi 網路和公司裝置隔離開來,以維持 PCI DSS 合規性。

對於這種同質的 Cisco 環境,Cisco ISE 是最佳選擇。部署將利用 Cisco TrustSec 將安全群組標籤 (SGTs) 指派給不同的端點。POS 終端機在身份驗證後(透過 MAB 或 802.1X)將收到一個特定的 SGT。ISE 然後會將安全群組存取控制列表 (SGACLs) 推送至 Meraki 交換器和 MX 設備,明確拒絕 POS SGT 與訪客或公司 SGT 之間的流量,而與底層 IP 位址或 VLAN 結構無關。

Examiner's Commentary: 這展示了 ISE 在 Cisco 生態系統中的威力。與在數百個零售點維護複雜的基於 IP 的 ACL 相比,使用 SGT 進行分段簡化了策略管理,直接支援了 PCI 合規性工作。

Practice Questions

Q1. 一個醫院網路要求將醫療裝置(輸液幫浦、病人監視器)與訪客 WiFi 網路嚴格隔離。基礎架構包含 Aruba 無線存取點和 Cisco Catalyst 交換器。哪個 NAC 平台最適合此環境?為什麼?

Hint: 考慮網路基礎架構的多供應商性質。

View model answer

推薦的平台是 Aruba ClearPass。雖然 Cisco ISE 功能強大,但其進階分段功能(TrustSec/SGTs)需要端到端的 Cisco 硬體才能發揮最佳效能。ClearPass 可以使用標準 RADIUS 屬性在 Aruba AP 和 Cisco 交換器上有效管理策略,動態指派 VLAN 或 dACL,確保醫療裝置安全地與訪客流量隔離。

Q2. 您的組織正在從基於密碼的 PEAP-MSCHAPv2 無線網路遷移到基於憑證的 EAP-TLS 部署,以提高安全性。您有大量的 BYOD(自帶裝置)人口。您需要 NAC 平台提供哪些關鍵功能來支援此轉換?

Hint: 思考如何將憑證傳遞到非受管的個人裝置。

View model answer

您需要一個強大的入職與憑證佈建入口網站。在 Aruba 生態系統中,這是 ClearPass Onboard;在 Cisco 中,則是 ISE BYOD 入口網站。此功能允許使用者透過連接到開放的配置網路、使用其公司憑證進行身份驗證,並自動下載和安裝所需的 EAP-TLS 憑證和網路設定檔來自助配置其個人裝置,從而最大限度地減少服務台的開銷。

Q3. 在分階段的 NAC 推出過程中,您設定一個交換器埠口進行 802.1X 強制執行。使用者連接了一台不支援 802.1X 的傳統印表機。NAC 平台應使用哪種機制來驗證此裝置?與之相關的主要安全風險是什麼?

Hint: 如何識別無法提供使用者名稱或憑證的裝置?

View model answer

NAC 平台應使用 MAC 驗證旁路 (MAB)。交換器將印表機的 MAC 位址作為使用者名稱和密碼傳送給 NAC 伺服器。主要的安全風險是 MAC 偽裝;攻擊者可以輕鬆發現印表機的 MAC 位址,將其複製到自己的筆記型電腦,並未經授權存取分配給印表機的網段。因此,MAB 必須與嚴格的分析和網路分段(例如,將印表機放在高度受限的 VLAN 中)結合使用。