Cisco Systems JapanAdvent Calendar 2024

[Cisco ISE] 使ってみよう Agentless Posture

Last updated at 2024-12-17Posted at 2024-12-17

はじめに

この記事はシスコの有志による Cisco Systems Japan Advent Calendar 2024 の 16日目として投稿しています。

I LOVE ISE ❤️

皆さんにCisco ISEを活用して頂きたいので、Agentless Postureの検証メモをシェアします。

Agentless Posture　ISE 3.Xからサポート

Cisco Identity Services Engine（ISE）のPosture機能は、ネットワークに接続するエンドポイントデバイスが組織のセキュリティポリシーに準拠しているかを評価し、必要に応じて是正措置を講じることで、ネットワークの安全性を確保する重要な機能です。これにより、未承認のデバイスやセキュリティ基準を満たさないデバイスのネットワークアクセスを制限し、組織全体のセキュリティを強化します。

ISE 3.Xでは、エンドポイントにエージェントをインストールせずにPosture評価を行うAgentless Postureがサポートされています。この機能は、主にWindowsおよびMacのクライアントに対応しており、SSHやWMIなどのプロトコルを使用してデバイスの状態をリモートで評価します。Agentless Postureの主な利点は、エンドポイントへのソフトウェアインストールが不要であるため、迅速な展開と管理が可能な点です。ただし、エージェントを使用する場合と比べて、提供されるPosture評価や是正措置の機能が限定的であることに留意する必要があります。

ISE 3.3では、新機能としてAgentless Postureに対するIPv6サポートが追加されました。これにより、IPv6ネットワーク環境でもAgentless Posture機能を活用できるようになり、ネットワーク管理者はより柔軟にセキュリティポリシーを適用できます。

Cisco ISE Postureについて

Agentless Postureの検証をする前に、Posture機能を簡単にご紹介します。

ISE Posture機能は、デバイスがセキュリティポリシーに準拠しているかを、下記のような項目に基づいて評価します:

OSバージョンとパッチ適用状況
アンチウイルスソフトの有効性
ファイアウォール設定
必要なアプリケーションの存在

Posture機能は、接続する前にデバイスを評価することで、準拠している場合はフルアクセスを許可、準拠していない場合は隔離ネットワークに移動して是正措置を指示します。

Cisco ISEのエージェント　種類とその違い

Cisco ISE Posture機能では、デバイスの評価を実施するために4種類のエージェントが用意されており、それぞれ用途や対象デバイスが異なります。

Cisco Secure Agent Posture (フルエージェント):
深いチェックと継続的な監視が必要な管理された企業デバイス向け。
Cisco Secure Agent Stealth Agent:
負荷を抑えた継続的モニタリング向け。
Cisco Secure Agent Temporal Agent:
ゲストや一時的なデバイスの簡易チェック向け。
Agentless Posture:
エージェントをインストールできないデバイスに最適。

1.Cisco Secure Agent Posture

•	詳細なPostureチェック（例：アンチウイルス、ファイアウォール、特定アプリの状態確認）。
•	自動リメディエーション（例：パッチ適用、設定変更）。
•	ネットワーク接続後も継続的にデバイスの準拠状況を監視。

2. Cisco Secure Agent Stealth Agent

•	必要最小限のセキュリティチェックを実行。
•	ユーザーが意識することなく、負荷を抑えたモニタリングを提供。

3. Cisco Secure Agent Temporal Agent

•	簡易的なPostureチェックを実行し、ネットワークアクセス前に準拠状況を確認。
•	セッション終了後に削除される。

4. Agentless Posture

•	エージェント不要の簡易チェック
•	手動リメディエーションの指示を提供。

Agentless Postureの主な利点は、エンドポイントへのソフトウェアインストールが不要であるため、迅速な展開と管理が可能な点です。ただし、エージェントを使用する場合と比べて、提供されるPosture評価や是正措置の機能が限定的であることに留意する必要があります。

Agentless Postureを試してみよう

設定に関する詳細情報はコチラをご覧ください。ここでは複雑な箇所や間違えやすいポイント掲載します。

Windows端末上でmsedge.exeのプロセスが動作しているか否かでコンプライアンス準拠/非準拠/不明を判断します。

動作している場合：コンプライアンス準拠
動作していない場合：コンプライアンスン非準拠
判定不能な場合：コンプライアンス不明
※ISEは3.1.0.518を使用（3.0以降でAgentless Posture対応）

セットアップの流れは以下となります。
1.Postureの状態設定
2.Posutreの要件設定
3.クライアントプロビジョニング
4.アクセスポリシー

1. Posture条件の作成

ISE管理画面で、Work Centers > Posture > Policy Elements > Conditionsを選択。
新しい条件を作成し、評価基準を定義（例: OSバージョン、パッチ適用状況）。

2. ポリシールールの作成

Work Centers > Posture > Posture Policyで、新しいポリシールールを作成。
適用する条件をルールに追加し、Agentless Postureを有効化。

3. クライアントプロビジョニング

クライアントプロビジョニングは、ISE全般で使われている用語で、セットアップ等のために端末へ何かしらを配布する事を意味します。

※エージェントのリソースがない場合は、以下の方法でダウンロード

4. 端末側の設定

端末側の設定もAgentless Postureの動作に影響を与えます。こちらではWindows端末での設定例を掲載します。詳細はコチラをご覧下さい。

5.評価結果の確認

デバイスがネットワークに接続すると、Agentless Postureが自動的にポスチャ評価を行い、その結果がライブログに出力されます。

PCに.ps1というshell Scriptがダウンロードされていることが分かります。

まとめ

Cisco ISEは、ネットワークに接続するユーザーとデバイスをリアルタイムで管理・制御するための強力なプラットフォームです。ネットワークセキュリティを向上させるだけでなく、ゼロトラストの実現やBYOD管理の効率化にも貢献します。

ISE 3.Xでは、さらに柔軟性と機能性が向上し、セキュリティポリシーの適用が一層効率的に行えるようになっています。ネットワークの安全性と管理効率を強化したい組織にとって、ISEは重要なソリューションとなるでしょう。

参考資料

Agentless Posture設定
https://www.cisco.com/c/ja_jp/support/docs/security/identity-services-engine/222260-configure-posture-agentless.html
Agentless Postureデモ画
https://www.youtube.com/watch?v=R_jc-iBzhOo

Agentless Postureの構成、検証、トラブルシューティング
（端末設定参考）
https://community.cisco.com/t5/security-knowledge-base/how-to-agentless-posture-configuration-validation-amp/ta-p/4152763

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up