Pilvihallittu verkko vaatii uudenlaista pääsynhallintaa. Pilvipalvelut tuovat IT-infrastruktuurin osalta säästöjä, mutta myös uusia haasteita tietoturvaan. Cisco Access Manager on moderni, Meraki-ekosysteemiin integroitu pilvipohjainen pääsynhallintaratkaisu, joka helpottaa turvallista verkkoon pääsyä ilman monimutkaisia konfigurointeja. Tässä blogissa esittelen Cisco Meraki verkkojen uuteen pääsynhallintaratkaisun, Cisco Access Managerin.
Cisco Access Manager – tärkeimmät ominaisuudet
Pilvihallinta on nykypäivän standardi, mutta verkon turvallisuus ei voi jäädä jälkeen. Access Manager tarjoaa helpon ja skaalautuvan tavan hallita pääsyä ilman erillisiä Radius-palvelimia tai monimutkaisia konfigurointeja. Kaikki tapahtuu tutussa Meraki Dashboardissa.
Cisco Access Manager julkaistiin tukkurien myytäväksi vasta vastikään ja omat odotukseni sen osalta liittyivät lähinnä Microsoft EntraID hakemistoon integrointiin ja hintaan. Kuulin tuloillaan olevasta tuotteesta jo reilu vuosi takaperin ja silloin säikähtelin hieman arvioita, jotka tuleviin hintoihin liittyivät. Oikein hinnoiteltuna tuotteena ratkaisu voisi muuttaa markkinaa ja tasata tietä muulle pilveistämiselle. Yllätyinkin positiivisesti, kun kuulin lopullisen hinnan. Päätin ostaa NFR (Not for Resale) lisenssit heti, jotta pääsisin tutustumaan teknologiaan!
Tässä muutamat keskeisimmät edut Cisco Access Managerin osalta:
- Zero Trust -turvallisuus: Jokainen käyttäjä ja laite voidaan tunnistaa ennen pääsyä verkkoon.
- Helppo käyttöönotto: Ei fyysisiä NAC-laitteita (Network Access Control), kaikki pilvessä.
- Integrointi Microsoft Entra ID:n kanssa: Käyttäjä- ja ryhmäkonteksti suoraan identiteetinhallinnasta.
- Monipuoliset autentikointimenetelmät: EAP-TLS, EAP-TTLS, iPSK ja MAC Authentication Bypass IoT-laitteille.
- Identiteettipohjainen segmentointi: Estää sivuttaisliikkeen ja rajoittaa pääsyn vain tarvittuihin resursseihin.
Käytännön kokemuksia ja rajoituksia
On ollut ilo päästä heti kokeilemaan uutta markkinaan saapunutta teknologiaa ja paketoimaan kaikille pilvimyönteisille asiakkaillemme Meraki-brändättyä joululahjapakettia. Muutamia havaintoja olen kuitenkin ratkaisusta tehnyt.
- Ihan pienimmille organisaatioille Cisco Access Manager ei ole tarkoitettu. Palvelu vaatii laitteina taustalle teknologiaa tukevat MR-tukiasemat ja MS-kytkimet. Above IT:n oma pieni Teleworker Gateway ja sen integroitu WIfi-tukiasema eivät tunnista ainakaan tällä hetkellä Access Manageria Radius-palveluksi ja sama lie totuus myös muille pienemmille tietoturvalaitteille, joihin Wifi on integroitu. Onneksi hyllystämme löytyi yksi MR36 tukiasema, joten pääsin Access Manageria sillä koeponnistelemaan.
- Varmenne palvelu tarvitaan edelleenkin erikseen. On hienoa, että Meraki pilvihallintaan on vihdoin saatu integroitua pilvipohjainen pääsynhallintapalvelu, joka integroituu suoraan EntraID pilvihakemistoon. Jos siitä kuitenkin haluaa aidosti työasemia verkkoon todentavan palvelun, tarvitaan varmenteita. Olisi ollut hienoa, jos Access Manageriin olisi leivottu sisään pienimpiä organisaatioita tukemaan myös jonkinlainen kevyt pilvipohjainen PKI-ratkaisu (Public Key Infrastrukture). Tällöin se olisi suoraan ratkaissut PK-yrityksen pääsynhallinnan tarpeet pilvipohjaisen itsenäisesti. Nyt tarvitaan erillinen PKI-palvelu, palvelimella tai pilvessä. Onneksi näitäkin on toki markkinassa pilvipalveluna tarjolla, kuten Microsoftin oma Intune Suite lisensointiin sisältyvä Cloud PKI, joka jatkossa tulee sisältymään Microsoft 365 E5 lisensointiin – Näin tämäkin on ainakin isompien yritysten saavutettavissa. Hyvänä huomiona kuitenkin, että useat kolmannen osapuolen pilvi PKI-palvelut sisältävät sisäänrakennettuna myös pilvi Radius palvelut, joten vievätkö ne markkinaosuutta Cisco Access Managerilta? No, ainakin Access Manager integroituu täysin Meraki pilveen ilman erillisiä virityksiä.
- Kytkinten porttien dynaamisessa verkon määrityksessä tarvitaan kytkimille kalliimpia Advantage-lisenssejä, joka saattaa pakottaa yritykset päivittämään Meraki-verkkolaitteiden lisenssejä pykälää kalliimpiin lisensseihin – mikäli tämä on se osa teknologiasta, jota halutaan Meraki-verkoissa hyödyntää.
Teknologia on kuitenkin enemmän kuin tervetullut lisä Meraki portfolioon. Omissa kokeiluissani pilvipohjaisten identiteettien EntraID integrointi pääsynhallinnan tarpeisiin oli helppoa. Nyt Microsoft 365 E5 lisenssoinnin tulevien uudistusten myötä, voin kuvitella teknologian tuovan yhdessä Microsoftin Cloud PKI:n kanssa merkittävää parannusta verkon tietoturvasta huolissaan olevien pilviorganisaatioiden tietoturvaan!
Kenelle ratkaisu sopii?
Cisco Access Manager on siis nyt vihdoin yleisesti saatavilla (GA). Lisenssit ovat tilattavissa tilausmallilla, hintojen alkaessa karkeasti noin 6,50 €/käyttäjä/vuosi tasolta, mikä tekee ratkaisusta hyvin kustannustehokkaan vaihtoehdon perinteisiin NAC-ratkaisuihin tai itse ylläpidettäviin Radius/NPS-palvelimiin verrattuna. Varmennepalvelut ratkaisu tosiaan kuitenkin taustalleen vaatii, mutta niille joilla asia ei tuota ongelmaa, Access Manager tuo oivan lisän Meraki verkkojen tietoturvaan.
Cisco Access Manager on moderni ratkaisu organisaatioille, jotka haluavat yhdistää Zero Trust -turvallisuuden, pilvihallinnan helppouden ja Merakin ekosysteemin. Kaikkea se ei vielä itsessään ratkaise, mutta Microsoft 365 organisaatioille, joissa Meraki verkkoja jo hyödynnetään – ehdottomasti käyttöönoton arvoinen teknologia tietoturvaa lisäämään!
Haluaako tietohallintosi ratkaista lähiverkon pääsynhallintaa? Meillä on kokemusta ja näkemystä useista markkinoilla olevista pilvipohjaisista verkon pääsynhallinta ja varmenne -ratkaisuista tiiviinä osana pilvimallisia Microsoft 365 ympäristöjä. Olemme myös ympäristövastuullisuuteen erikoistunut Cisco kumppani, sinunkin palveluksessasi!
Haluaako tietohallintosi ratkaista lähiverkon pääsynhallintaa? Meillä on kokemusta ja näkemystä useista markkinoilla olevista pilvipohjaisista verkon pääsynhallinta ja varmenne -ratkaisuista tiiviinä osana pilvimallisia Microsoft 365 ympäristöjä. Olemme myös ympäristövastuullisuuteen erikoistunut Cisco kumppani, sinunkin palveluksessasi!