采用思科身份服务引擎的规划和部署前检查表-Cisco.PDFVIP

采用思科身份服务引擎的规划和部署前检查表 安全访问操作指南系列 作者：Thomas Howard 日期：2012 年 8 月 安全访问操作指南 目录 规划检查表 3 组织 3 安全策略创建和维护 3 规模 3 公共密钥基础设施 (PKI) 3 目录服务 4 网络接入设备(NAD) 4 托管终端 4 无代理终端 4 思科身份服务引擎 (ISE) 5 访客服务 5 监控、报告和故障排除 5 通信 5 支持部门 5 部署检查表 6 安全策略 6 实施状态 6 数字证书 8 网络服务 8 终端 9 网络设备 10 测试场景 11 附录A ：参考 12 Cisco TrustSec 系统： 12 设备配置指南： 12 © 2015 思科系统公司 第 2 页 安全访问操作指南 规划检查表 ® 此检查表旨在作为指南，帮助您了解采用思科 身份服务引擎(ISE) 成功部署Cisco TrustSec 所需的各种组件、 技术和需要执行的组织工作。将此检查表用于更好地预测重要的集成点，以便随时验证其在您的环境中是否 正常运行。 通过回答以下有关组织和运行方面的问题，可帮助您了解一些将影响TrustSec 在您的网络中进行集成和部署 的安全要求、业务流程和组动态。 组织 • 谁是成功部署和运行所需的组织利益相关者？例如：桌面服务、网络工程、网络安全、域管理员、 证书管理员、桌面支持等等。 • 这些组是拥有共同的高管愿景，还是只是孤立工作？ • 哪些组负责策略创建和实施？ • 策略决策者更改策略的法定最少人数是多少？ 安全策略创建和维护 请描述您需要的网络访问策略。具体包括以下方面的授权和处理： • 托管用户，包括对不同的组和角色的独特要求 • 非托管用户：访客、承包商、外部网络、实验室等 • 各种网络访问方法的策略，例如有线、无线、VPN 和虚拟桌面 • 不同位置：站点、大楼、楼层等 • 无代理设备：IP 电话、打印机等 • 是根据终端或用户身份、终端状态，还是根据这二者来进行网络访问授权? 规模 • 您的部署总共涵盖多少位置？ • 您期望随时在网络上看到多少并发终端？ • 需要多少ISE 节点？您的网络中哪些是部署各ISE 节点的最佳位置？ • 您是否会先采用实验室概念验证(PoC) 或有限的生产试点来测试所有必要的场景？ • 您是否会先在监控模式下将TrustSec 部署在您的生产环境中，以便了解情况，然后实施限制？ • 您是否有需要先部署TrustSec 的高风险区域？ • 对于向整个组织扩大试点，您有何规划？ 公共密钥基础设施 (PKI) • 您是否已部署企业PKI 或证书颁发机构(CA) ？选择的是哪个供应商？ • 如未部署，您是否期望安装和管理证书或从公共C