Cisco Identity Services Engine (ISE) 3.5 - 基于身份的网络访问控制和策略实施系统

news/2025/9/29 17:44:22/文章来源:https://www.cnblogs.com/sysin/p/19119215

思科身份服务引擎 (ISE) - 下一代 NAC 解决方案 (September 2025 New Release)

请访问原文链接：https://sysin.org/blog/cisco-ise-3/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

思科身份服务引擎 (ISE)

sysin

了解和控制网络上的设备和用户

利用整个堆栈中的情报来执行策略、管理终端并提供可靠访问。零信任的多云 NAC 使之成为可能。

新增功能

Cisco Identity Services Engine，Release 3.5

Cisco Identity Services Engine (ISE) 3.5 版本为网络管理带来了重大增强，重点在于提升安全性和用户体验。此版本引入了完整的单栈 IPv6 支持，扩展了配置范围和受支持的功能，例如门户、RADIUS 服务和 API。新增的 pxGrid API 提升了端点访问能力，而 pxGrid Cloud 已扩展至支持更多区域，并通过 集成目录 提供更便捷的集成方式。针对 Active Directory 加入点的专用资源分配，以及新增的告警和监控功能，进一步加强了 Cisco ISE 的监控能力。从本版本开始，Cognitive Threat Analytics (CTA) 适配器不再支持 基于威胁的网络访问控制 (TC-NAC) 流程，表明安全策略的重点有所调整。

在安全与合规方面，此版本通过 OAuth2 身份验证支持、远程 TAC 支持授权 以及与联邦认证标准（如 DoDIN APL、FIPS 140-3 和 网络设备协同防护配置文件 (NDcPP) v3.0e 的通用准则认证）保持一致，进一步增强了整体合规性。该版本通过 基于 SNMP 的设备画像 以及 使用 EAP-TLS 和 TEAP-TLS 的用户/设备授权，增强了画像和授权能力。安全性方面还增加了 通过 TLS 的 TACACS，并为多个工作流扩展了 TLS 1.3 支持。

用户体验改进包括：在访客密码重置时新增 国家代码下拉选项，以及 受时间限制的调试设置。此外，Cisco ISE 许可策略的变化意味着诸如 pxGrid、pxGrid Direct、Profiling Services 和 TrustSec 等功能，现在将基于活跃端点的数量来消耗许可。不过，目前尚未实施对不符合许可要求的强制执行。

综上所述，这些增强功能为网络管理提供了一个更加全面、安全且用户友好的解决方案。

New features for Cisco ISE release 3.5

API experience（API 体验）

New pxGrid API: Endpoint topic
Endpoint topic 提供对连接到 Cisco ISE 管理的网络设备的端点的访问。

Ease of setup（简化部署）

Single-stack IPv6 support
现在可以使用 IPv6 地址配置 Cisco ISE，从而支持仅 IPv6 的部署。该增强功能是对已有 IPv4 和双栈配置的补充。可以使用 reset-config 命令在 IPv4 与 IPv6 配置之间切换。另外，引入新的 ipv6 default-gateway 命令，用于指定 IPv6 地址作为默认网关。
Support for IPv6 single stack configuration
在 Cisco ISE 3.5 之前，一些功能支持 IPv4 和 IPv6 双栈配置。如果你选择将 Cisco ISE 以 IPv6 单栈方式运行，则以下
功能受到支持：

• Portals > 管理门户访问
• Portals > CA 组件（EST 和 SCEP）
• Portals > My Devices
• Portals > 证书签发
• Portals > Guest-Hotspot
• Portals > Guest – 自助注册
• Portals > Guest 赞助人
• Portals > 赞助访客
• Portals > MDM
• Portals > Posture – 客户端配置
• 基础设施 IPv6 单栈支持
• RADIUS > 认证、计费、授权、属性、审计/调试日志、代理 (proxy)、CoA 及策略
• RADIUS > OCSP
• RADIUS > 安全 Syslog 目标
• RADIUS > DACL 下载
• CARS 服务 > SSH 服务器、NTP
• CARS 服务 > 外部仓库：FTP、SFTP、TFTP、NFS、HTTP 和 HTTPS
• CARS 服务 > TCP dump
• CARS 服务 > NNS
Support for “Host header” in OCSP
Cisco ISE 现在支持在必要时为 OCSP 服务器指定 HTTP/1.1 协议中的 Host 头字段。此增强确保在与要求 Host 头的 OCSP 服务器通信时的兼容性，同时仍保留 HTTP/1.0 作为底层协议。
Assign dedicated resources for Microsoft Active Directory join points
可以为每个 PSN（Policy Service Node）中的 Microsoft Active Directory 加入点预留资源。这种资源隔离有助于减少多个 AD 加入点之间资源共享带来的性能影响。
Addition of country code drop-down when resetting the guest password
在自助注册访客重置密码流程中新增国家/地区代码下拉列表。当访客选择通过 “手机” 方式重置密码时，系统会显示国家代码下拉选项，让访客在输入手机号前先选定合适的国家代码。
NTP authentication-key support
在 Cisco ISE 的 CLI 模式下，ntp authentication-key 命令支持多种加密类型，包括 AES128 和 AES256。该命令支持哈希和明文密钥值。为了使带认证的 NTP 同步成功，所配置的密钥必须先被加入信任列表，然后再与 NTP 服务器关联。
TACACS+ support to prevent Active Directory user lockout
“Prevent Active Directory User Lockout”（防止 AD 用户锁定）选项可减少因多次密码错误尝试而导致的锁定次数。此选项同时支持 RADIUS 和 TACACS+ 协议。Cisco ISE 通过这些协议与 AD 进行交互，以管理认证请求并限制失败次数，从而防止锁定。
User and device authorization using Entra ID EAP-TLS and TEAP-TLS
Cisco ISE 现在支持通过 EAP 或 TEAP 链式方式对设备和用户进行授权。这使得可以将基于证书的认证与 Microsoft Entra ID 的实时信息结合使用以做访问控制。在认证过程中，Cisco ISE 评估用户或设备提供的证书，而不直接访问 Entra ID。在授权策略中配置 REST ID Store 属性条件或组，当需要时 Cisco ISE 向 Entra ID 查询用户或设备的组与属性数据，以据此做出授权决策。
Time restricted debug enabling
时间受限调试启用功能允许你选择一个日志级别并设置一个定时器，以在定时器到期后恢复为默认设置。所选节点在计时结束后会恢复默认状态。

Ease of use（易用性）

New TrustSec telemetry attributes
新增了 TrustSec 的遥测（监控）属性，以增强对部署的监控并收集有关 TrustSec 和 Cisco ISE 使用情况的数据，其中包括但
不限于：

• 已创建的 SGACL（安全组访问控制列表）数量
• 安全组（Security Groups）数量
• 配置了 TrustSec 的网络设备数量
• 分配 SGT（Security Group Tag）的策略数量、使用 SGT 的策略数量
• 其他相关的 TrustSec 监控遥测属性
TrustSec policy matrix GUI enhancements
Cisco ISE 中的 TrustSec 策略矩阵在处理大量 SGT（安全组标签）时的性能有显著优化，包括更高效的数据获取与渲染、后台查询优化以加快处理大型 SGT 集合、以及 GUI 滚动和导航的改进。这些增强提升了可扩展性和响应速度，为在大规模策略矩阵管理时提供更流畅的体验。

Integration / Visibility（集成 / 可视性）

Cisco ISE integration enhancements
通过增强的 Endpoint Topics 设置功能，可以向 Cisco AI Endpoint Analytics 和 pxGrid Cloud 转发端点属性数据，以增强网络可视性和安全性。可以通过 “Enable Endpoint Attributes to Topics” 选项将端点属性从 Cisco ISE 转发到分析平台，也可以使用 “Consume Endpoint Profiles from AI Endpoint Analytics” 选项将 AI Endpoint Analytics 的配置文件数据发布回 Cisco ISE，用于网络访问授权和端点控制。
Export all network devices to repository
在 Cisco ISE 中导出网络设备时，可以选择 “Export All to Repository” 以将所有网络设备导出至一个仓库。导出完成后，系统会向注册邮箱发送包含如何访问导出数据的说明邮件。
ROPC support for TACACS+
Cisco ISE 现在支持 TACACS+ 的 Resource Owner Password Credentials (ROPC) 流程，从而允许使用 Microsoft Entra ID 进行用户认证。这是对之前支持的 EAP-TLS 和 TEAP 流程的补充。
Support for USGv6 command
可以使用 usgv6 命令（在 EXEC 模式）在底层操作系统级别启用、禁用或检查 Cisco ISE 节点的 U.S. Government IPv6 (USGv6) 合规状态。
Support for osquery condition
你可以创建一个 osquery 条件，用于检查端点的 posture 合规状态或从端点获取所需属性。要支持 osquery 条件，必须使用 compliance 模块版本 4.3.3394 或更高版本，以及 Cisco Secure Client 5.1.7 或更高版本。
OAuth2 authentication support for pxGrid Direct
在 Cisco ISE GUI 中为 URL Fetcher 类型的 pxGrid Direct 连接器创建时，现在支持三种认证方式 — Basic、API Key 和 OAuth2。OAuth2 支持 Client Credentials 和 Password 两种流程。令牌过期时，将使用刷新令牌获取新的访问令牌。
Send Change of Authorization after EntraID attribute is changed
当预定义规则检测到 Microsoft Entra ID 中用户或设备属性发生变化时，Cisco ISE 可触发受影响端点会话的重新认证，以确保更新后的网络访问策略得到执行。可通过配置授权策略以监控特定属性，并使用 SAML 检索它们，当属性更改时，Cisco ISE 可发出 CoA 并在重新认证后重新应用更新的访问权限。

Hardware reliability（硬件可靠性）

Support for Cisco Secure Network Server 3800 series appliance
Cisco ISE 支持在 Cisco Secure Network Server (SNS) 3800 系列设备上运行。SNS 3800 系列基于 Cisco UCS C225
M8 机架服务器，专为支持 Cisco ISE 设计。该系列包括以下型号：

• SNS-3815
• SNS-3855
• SNS-3895

SNS-3815 适合小规模部署；SNS-3855 和 SNS-3895 含若干冗余组件（如硬盘、电源），适合需要高可靠性的部署。建议 PAN
和 MnT 角色运行在 SNS-3895 上。
注意：若 SNS-3855 只配置一个硬盘，则建议仅启用 PSN 或 pxGrid 角色。

Software reliability（软件可靠性）

API keys and certificate authentication support for Tenable Security Center

从 Cisco ISE 3.5 起，下列认证方式被支持用于 Tenable Security Center：
• API Keys：输入具有访问权限的用户帐户的访问密钥 (Access key) 和密钥 (Secret key)。此方式支持 Tenable
Security Center 5.13.x 及更高版本。
• 证书认证：从 “Authentication Certificate” 下拉列表中选择所需证书。认证成功后，Cisco ISE 会检索用户在 Tenable Security Center 中配置的模板。启用此选项前，必须在 Tenable Security Center 中配置以允许 SSL 客户端证书。
Workload connectors
Common Policy 是一个用于构建和执行一致访问和分段策略的框架，不论域或应用类型。Workload Connectors 用于该框架中，与本地和云数据中心建立安全连接、导入应用工作负载的上下文、将该上下文标准化为 SGT（安全组标签），并与其他域共享该上下文以构建策略。
Workloads Live Session
在 Cisco ISE GUI 中，可通过 “Operations > Workloads > Workloads > Workloads Live Session” 查看工作负载的实时会话详细信息。
Workload classification rules
可用于对工作负载进行分类，并为其分配主 SGT 与次 SGT。主 SGT 在 pxGrid 会话主题中标记为 “Security Group”，用于通过 SXP 发布 IP 到 SGT 的映射；次 SGT 会作为名为 “Secondary Security Groups” 的有序数组包含在 pxGrid 会话主题中。可以指定规则执行顺序，通过拖放操作更改优先级。
Inbound and outbound SGT domain rules
可创建入站 SGT 域规则，将传入的 SGT 绑定映射到特定的 SGT 域；如果未定义规则，则从工作负载连接器接收到的绑定会发送到默认 SGT 域。也可创建出站 SGT 域规则，为特定 SGT 绑定指定目标域。
Support ACI for global security group
在 Cisco ISE 3.5 中，External EPGs (EEPG) 的命名规则已更改：
- 在 3.4 及以前版本，EEPG 命名格式为 “ISE_SGT_<SGT_TAG>”（“ISE_SGT_” 为固定前缀，后接安全组标签）
- 在 3.5 及之后，命名格式变为 “ISE_<SG_NAME>” （“ISE_” 为固定前缀，后接安全组名称）
  对于已存在的部署，系统不提供自动迁移支持。现有用户须在升级前禁用出站规则，升级完成后重新启用，以避免潜在问题。

Security / Compliance（软件可靠性）

Remote TAC support authorization
远程支持授权允许 Cisco ISE 管理员授权特定 Cisco TAC 专家远程、安全地访问 Cisco ISE 部署（CLI、GUI 或两者），以进行故障排除和信息收集。此访问必须由管理员显式授权，可针对一个或多个节点进行授权。
Cloud Multi-Factor Classification Profiler
Cloud 多因素分类 (MFC) Profiler 通过将观察到的属性与云端共享用于分析，以增强端点分类。相比 ISE 3.4，该功能在云注册期间提供更优的分类标签，并新增对自定义与直接规则的支持。启用方式为：在 GUI 中进入 “Administration > Feed Service > Cloud Multi-Factor Classification Profiler” 选择区域并启用，然后将重定向至 Cisco 认证门户，提示输入 Cisco 登录凭据。
Protocols engine for certificate validation
引入了一个单独服务 “Protocols Engine”，用于在选定场景下验证证书，以提高操作效率。这个协议引擎通过 API 与 Cisco ISE 应用服务器通信。可通过在 CLI 中输入 show application status ise 来查看新服务状态。
Dynamic Reauthorization Scheduler
通过动态重新授权调度器，可以为每个会话设置预定义的过期日期和时间，确保会话仅在指定期限内保持活动状态，从而防止未经授权的长期访问。
Federal and security certification
Cisco ISE 3.5 在安全与合规认证方面进行了增强，以符合 Network Device Collaborative Protection Profile
(NDcPP) v3.0e 的要求（包含 SSH 和认证服务器 PP 模块）。同时，还计划在以下方向获得认证：

• DoDIN APL（美国国防部批准产品清单）认证
• FIPS 140-3 合规性审查
• USGv6 认证与 IPv6 Ready Logo（主机类别）认证
DoDIN APL support
Cisco ISE 3.5 正在进行 DoDIN APL 认证测试（网络接入控制 NAC 分类）。一旦 Cisco 完成测试并获得认证，相关认证细节将发布在 DoDIN APL 官方网站。
FIPS 140-3 support
Cisco ISE 支持 FIPS 140-3 模式。该模式增强了加密安全和合规性，在下列组件中强制执行 FIPS 兼容的协议、算法和密钥长度：IPsec、SSHv2、LDAPS、EAP-TLS、EAP-FAST、pxGrid、pxGrid Direct、TC-NAC Tenable、以及 pxGrid Cloud 组件。FIPS 模式会禁用不兼容的密码套件和协议。
Monitor profiler traffic probes

以下增强提高了 Cisco ISE Profiler 的弹性与稳定性：

• 对于频繁发起探测 (chatty endpoints)，会为其设定预定义的冷却期，以暂停 probe 相关处理，从而降低系统负载
• 根据定义的阈值（中等、高、最大负载）管理 Profiler 队列利用率，优先处理关键任务，在高峰时段维持系统稳定
Profiling policy enhancements
可以在 Cisco ISE 中创建基于 MFC 的分类策略，以使用规则对未识别端点进行分类。标签可通过自定义规则或直接映射规则自动分配，从而保证一致的端点分类过程。Cisco ISE 继续支持前版本的 AI/ML 和系统规则功能，同时在用户体验和界面上有所增强。
SSHD service cryptographic algorithms enhancement

在服务 sshd 下，可使用新的加密算法来管理基于 Cisco ISE CLI 的服务，包括：

• MAC 算法
• 主机密钥算法
• 主机密钥
• 密钥交换算法
• SSH 客户端主机密钥算法
Blast RADIUS vulnerability fix
为应对 “Blast RADIUS 漏洞” (CSCwk67747)，在 External RADIUS Server、RADIUS Token ID Store 和 Network Device Profile 中引入了 “Message-Authenticator Required On Response” 复选框。升级后，该复选框默认未启用，但在新增资源时自动启用。启用后，Cisco ISE 会使任何响应中缺失 Message-Authenticator 属性的数据包无效，从而使该流程失败。
Change of Authorization for dictionary attributes using pxGrid Direct
可以启用对字典属性 (dictionary attributes) 的 Change of Authorization (CoA) 支持（通过 pxGrid Direct）。当 CoA 启用的字典属性值发生变化时，系统会对受影响的端点执行 CoA 端口重置 (Port Bounce) 或重新认证 (Reauthentication)。
Support for TACACS+ over TLS 1.3

可以在网络设备上启用通过 TLS 1.3 的 TACACS+ 认证。对于 NAD 的证书验证，Cisco ISE 支持以下 SAN 属性：

• IP 地址 (iPAddress)
• DNS 名称 (dNSName)
• 目录名 (directoryName)

若任一属性匹配，则验证成功；否则验证失败。对于每个 SAN 属性，可支持多个值。管理员可在网络设备页面查看认证状态并配置 TACACS+ over TLS 1.3。
TLS 1.3 support for additional Cisco ISE workflows

在 Cisco ISE 3.5 中，以下工作流支持 TLS 1.3：

• 门户 (Self-Registered Guest 门户、Sponsor 门户、Hotspot 门户)
• pxGrid
• TACACS+
• Cisco Catalyst Center 集成
• Cisco Meraki 集成
• Cisco Duo 集成
• PEAP 工作流
• Posture feed 服务通信
Red Hat OpenShift platform support
Cisco ISE 3.5 支持在 Red Hat OpenShift 平台上运行。你可以在 OpenShift 虚拟化平台上部署 Cisco ISE VM，这样可以在单一平台上运行 VM 和容器工作负载。
Security Identifiers in certificates will not be used for authentication
Cisco ISE 支持一种新的证书格式，其中安全标识符 (SID) 被包含在 SAN 字段中。在认证过程中，证书中的 SID 不会被用于身份验证，从而避免因错误解析 SID 导致的认证失败。

Cisco ISE 支持以下几种 SAN_URI 字段格式：

• SID 和 ID 或 GUID 由逗号分隔（任意顺序）
• SID 和 ID 或 GUID 由冒号分隔（任意顺序）
• 只有 SID
• 只有 ID 或 GUID

所有较新的 Microsoft 证书均以如下格式包含 SID：tag:microsoft.com,2022-09-14:sid:<SID>。

Upgrade（升级）

Full and split upgrade support for patches
支持补丁的完整升级和分拆升级。这意味着在为 Cisco ISE 应用补丁时，可以选择一次性完整升级，或在不同节点之间分批（分拆）升级，以减少停机时间并提高灵活性。

ISE 3.5 下载地址

Cisco Identity Services Engine 3.5.0

请访问：https://sysin.org/blog/cisco-ise-3/

File Information	File Name	Release Date	Size
Cisco ISE Software Version 3.5 full installation. This ISO file can be used for installing ISE on SNS-36x5, SNS-37x5, SNS-38x5 Appliances, as well as for VM installation on VMWare/KVM/Hyper-V Virtualization platforms.	Cisco-ISE-3.5.0.527.SPA.x86_64.iso	20-Sep-2025	14150.90 MB
ISE 3.5 OVA file - 2400GB disk for Extra Large with 38xx support (Recommend for PAN or MnT).	Cisco-vISE-2400-3.5.0.527.ova	22-Sep-2025	14850.96 MB
ISE 3.5 OVA file - 1200GB disk for Medium or Large (Recommend for PAN or MnT).	Cisco-vISE-1200-3.5.0.527.ova	20-Sep-2025	14844.90 MB
ISE 3.5 OVA file - 300GB disk for Eval, Small, Medium (Recommend for Evaluation, PSN or PxGrid).	Cisco-vISE-300-3.5.0.527.ova	20-Sep-2025	14839.58 MB
ISE 3.5 OVA file - 600GB disk for Small or Medium (Recommend for PAN or MnT).	Cisco-vISE-600-3.5.0.527.ova	20-Sep-2025	14842.23 MB
Upgrade bundle for upgrading ISE version 3.2, 3.3, 3.4 to 3.5. This is a signed bundle for image integrity.	ise-upgradebundle-3.2.x-3.4.x-to-3.5.0.527.SPA.x86_64.tar.gz	20-Sep-2025	13715.23 MB
Upgrade Readiness Tool (URT) to validate config DB upgrade from 3.2, 3.3, 3.4 to 3.5. This is a signed bundle for image integrity.	ise-urtbundle-3.5.0.527-1.0.0.SPA.x86_64.tar.gz	20-Sep-2025	867.08 MB