Entenda o que é Cisco ISE, arquitetura, 802.1X, MAB, RADIUS, TACACS+, profiling, segmentação, alta disponibilidade, hardening e implantação em OT.

Confira!

Cisco Identity Services Engine (ISE) é uma plataforma de controle de acesso à rede e administração de políticas usada para identificar usuários e dispositivos, autenticar conexões, avaliar contexto e aplicar decisões de acesso em switches, redes sem fio, VPNs e outros pontos de entrada. Em uma arquitetura de segurança, o ISE atua como ponto central de decisão: recebe informações da conexão, consulta diretórios e certificados, aplica regras e devolve ao equipamento de rede a autorização correspondente.

Na prática, o Cisco ISE combina funções de RADIUS, TACACS+, Network Access Control (NAC), profiling de endpoints, postura, guest access, BYOD, políticas baseadas em identidade e integração com outras plataformas. Ele não substitui o switch, o firewall ou o diretório corporativo; coordena esses componentes para que a rede aplique políticas de acesso de forma consistente.

Em ambientes industriais e de missão crítica, o principal valor está em diferenciar equipamentos conhecidos, estações de engenharia, servidores, dispositivos temporários e acessos de terceiros. A implantação, porém, precisa respeitar dispositivos legados, indisponibilidade de supplicants, janelas de manutenção e risco operacional. Por isso, o projeto normalmente começa em modo de visibilidade e monitoramento antes de aplicar bloqueios.

O que é Cisco ISE

Cisco ISE é a plataforma de política e controle de acesso da Cisco. Ela recebe solicitações de autenticação dos Network Access Devices, como switches, controladores Wi-Fi e concentradores VPN, e toma decisões com base em identidade, certificado, grupo, perfil do equipamento, local, horário, postura e outros atributos.

O ISE pode atuar em redes corporativas, data centers, instalações industriais, hospitais, instituições de ensino, ambientes logísticos e infraestruturas críticas. Sua função não é apenas validar uma senha. O objetivo é responder quem ou o que está tentando acessar, de onde vem a conexão, qual é o nível de confiança e quais recursos devem ser permitidos.

O artigo sobre RADIUS e 802.1X em ambientes OT explica os fundamentos de autenticação de rede. O Cisco ISE acrescenta uma camada de gestão de políticas, profiling, integrações, relatórios e orquestração sobre esses mecanismos.

Como o Cisco ISE funciona

Quando um dispositivo se conecta a uma porta de switch ou rede Wi-Fi, o equipamento de acesso pode iniciar 802.1X, MAB ou outro fluxo de autenticação. O switch encaminha os atributos da sessão ao ISE por RADIUS. O ISE avalia a política e retorna uma decisão de autorização.

Essa autorização pode permitir acesso normal, aplicar uma VLAN, devolver uma downloadable ACL, atribuir um Security Group Tag, redirecionar o usuário para um portal ou limitar a conexão a serviços específicos. A decisão pode mudar conforme o contexto ou a postura do dispositivo.

O fluxo precisa ser projetado ponta a ponta. Switch, ISE, Active Directory, PKI, DNS, NTP, certificados e firewalls participam da autenticação. Uma falha em qualquer dependência pode impedir o acesso ou provocar fallback para uma política de contingência.

Personas e componentes do ISE

A arquitetura do ISE utiliza personas funcionais que podem coexistir em um mesmo nó ou ser distribuídas em vários appliances físicos ou virtuais.

O Policy Administration Node concentra a administração de políticas, configurações e replicação. O Policy Service Node processa autenticações, autorizações, profiling e serviços de política. O Monitoring and Troubleshooting Node armazena logs, relatórios e dados de diagnóstico.

Em ambientes pequenos, as personas podem compartilhar nós. Em implantações de maior criticidade, elas são distribuídas para aumentar desempenho e disponibilidade. O desenho deve considerar quantidade de endpoints, autenticações por segundo, sessões simultâneas, retenção de logs, sites remotos e latência.

Policy Administration Node, PSN e MnT

O Policy Administration Node é responsável pela governança da configuração. A operação deve prever nó primário e secundário, backup, sincronização e procedimento de promoção.

Os Policy Service Nodes ficam próximos logicamente dos equipamentos que enviam RADIUS ou TACACS+. A distribuição reduz latência e evita concentrar todo o processamento em um único ponto. Os switches devem possuir servidores primário e secundário configurados e comportamento de fallback documentado.

O Monitoring and Troubleshooting Node registra autenticações, falhas, mudanças administrativas e eventos. Em projetos críticos, o volume de logs e o prazo de retenção precisam ser dimensionados. A correlação com um SIEM em ambientes OT amplia a capacidade de investigação.

802.1X, MAB e Web Authentication

802.1X é o método preferencial quando o endpoint possui supplicant e pode utilizar credenciais ou certificados. Ele oferece autenticação explícita antes da liberação do acesso.

MAC Authentication Bypass é utilizado quando o dispositivo não suporta 802.1X. O switch envia o endereço MAC ao ISE, que consulta uma base de endpoints e aplica a política correspondente. MAB não oferece a mesma força de autenticação, porque endereços MAC podem ser copiados. Por isso, precisa ser combinado com profiling, segmentação, monitoramento e privilégios mínimos.

Web Authentication pode redirecionar usuários a um portal. É comum em convidados e onboarding, mas raramente é o método adequado para equipamentos industriais sem interface humana.

A política pode utilizar uma sequência controlada: tentar 802.1X, depois MAB e, se necessário, aplicar um estado restrito. O tempo e a ordem dos métodos afetam a disponibilidade da porta.

Autenticação por certificado e EAP-TLS

EAP-TLS utiliza certificados para autenticar endpoint e infraestrutura. É uma das abordagens mais robustas, mas depende de PKI, distribuição de certificados, renovação, revogação e confiança entre componentes.

O projeto deve definir autoridades certificadoras, templates, Extended Key Usage, validade, nomes, cadeia de confiança e comportamento diante de expiração. Em equipamentos industriais, o suporte a EAP-TLS precisa ser confirmado no firmware e não apenas no material comercial.

Certificados não eliminam a necessidade de política. Um endpoint autenticado ainda deve receber apenas os acessos necessários. A integração com diretórios e grupos pode complementar a decisão.

RADIUS e TACACS+

RADIUS é utilizado para controle de acesso à rede. Ele transporta autenticação, autorização e accounting entre o equipamento de acesso e o ISE.

TACACS+ é utilizado principalmente para administração de dispositivos de rede. Ele permite controlar login administrativo, nível de privilégio, autorização de comandos e accounting.

Separar acesso de usuários e administração de equipamentos melhora governança. A equipe que gerencia switches não precisa compartilhar credenciais locais genéricas. O artigo sobre PAM, jump server e bastion host complementa o controle de contas privilegiadas.

Network Access Devices

Switches, controladores Wi-Fi, firewalls e concentradores VPN precisam ser cadastrados como Network Access Devices. O cadastro inclui endereço, grupos, segredos compartilhados, protocolos e atributos.

A organização por grupos facilita políticas. Equipamentos podem ser classificados por site, tipo, ambiente, criticidade e função. Segredos RADIUS não devem ser reutilizados indiscriminadamente.

Em redes Cisco, a integração pode utilizar recursos adicionais de autorização e segmentação. A solução de Redes Cisco precisa considerar ISE, switches, identidade e políticas como partes da mesma arquitetura.

Profiling de dispositivos

Profiling tenta identificar o tipo de endpoint a partir de atributos e comportamentos observados. Podem ser usados dados de RADIUS, DHCP, SNMP, HTTP, DNS, NetFlow e outras fontes.

O perfil não deve ser tratado como prova absoluta de identidade. Ele aumenta contexto e permite diferenciar classes de dispositivos, mas pode produzir falso positivo. Políticas críticas devem combinar múltiplos atributos.

Em OT, profiling ajuda a reconhecer CLPs, IHMs, impressoras, câmeras, telefones e dispositivos sem supplicant. O projeto deve limitar coleta ativa quando houver risco de impacto sobre equipamentos sensíveis.

Posture e conformidade

Posture avalia condições do endpoint, como versão de software, antivírus, criptografia e configurações. É mais comum em estações corporativas gerenciadas.

Em ambientes industriais, a aplicação precisa ser seletiva. Estações de engenharia podem suportar agentes e avaliações; IEDs, CLPs e dispositivos embarcados normalmente não. A política deve respeitar a natureza de cada classe.

O objetivo é impedir que um mecanismo de conformidade corporativo bloqueie um ativo operacional legítimo sem análise de impacto.

Controle de acesso à rede precisa ser desenhado como arquitetura de identidade.

Switches, ISE, diretórios, certificados, DNS, NTP, RADIUS e políticas de contingência precisam funcionar como uma cadeia única.

Conhecer a solução de Redes Cisco

VLANs, dACLs e Security Group Tags

O ISE pode devolver uma VLAN de autorização ou uma downloadable ACL. Essas opções aplicam controle no ponto de acesso.

VLAN dinâmica é simples, mas pode depender de DHCP, roteamento e serviços disponíveis na VLAN de destino. Mudanças podem provocar renovação de endereço e interrupção.

dACL permite aplicar uma lista de controle específica sem manter todas as regras localmente. A disponibilidade do ISE e o comportamento do switch durante reautenticação precisam ser avaliados.

Security Group Tags fazem parte da abordagem Cisco TrustSec. A política pode atribuir um grupo ao endpoint e aplicar controles baseados em identidade em outros pontos da rede. Essa estratégia reduz dependência de endereços IP, mas exige compatibilidade e governança.

Políticas de autenticação e autorização

Políticas de autenticação determinam como a identidade será validada. Políticas de autorização definem o resultado após a autenticação.

Uma política madura considera método, tipo de endpoint, grupo, local, horário, postura e estado operacional. A regra deve ser legível e testável. Conjuntos excessivamente complexos dificultam diagnóstico.

A ordem das regras importa. Uma condição ampla posicionada antes de uma regra específica pode produzir autorização incorreta. Alterações precisam de revisão e evidência.

Cisco ISE em ambientes OT

Em OT, a implantação deve priorizar continuidade. Muitos dispositivos não suportam 802.1X ou possuem firmware antigo. Portas podem atender equipamentos críticos sem possibilidade de reinicialização durante a produção.

Uma abordagem comum começa com visibilidade, coleta de autenticações e profiling. Depois, endpoints são classificados e grupos piloto recebem políticas de baixo impacto. A aplicação de bloqueios ocorre somente após testes e planos de contingência.

MAB pode ser utilizado para ativos legados, combinado com VLAN dedicada, ACL restritiva e monitoramento. Estações de engenharia e notebooks de manutenção podem utilizar 802.1X com certificados e MFA para acessos remotos.

Integração com switches industriais Cisco

Switches industriais Cisco podem atuar como pontos de autenticação e aplicação de políticas. A escolha do modelo, software, licença e recursos precisa ser verificada.

O artigo sobre switch industrial apresenta critérios de ambiente, portas, redundância e hardening. No contexto ISE, também devem ser avaliados suporte a 802.1X, MAB, CoA, dACL, TrustSec, RADIUS e funcionalidades de visibilidade.

A configuração precisa ser padronizada por tipo de porta. Portas de usuário, uplinks, telefones, câmeras e ativos industriais não devem compartilhar indiscriminadamente o mesmo template.

Alta disponibilidade e contingência

A disponibilidade do ISE depende de redundância de PAN, PSN, MnT, virtualização, rede, DNS, NTP, PKI e diretórios.

Os Network Access Devices devem possuir PSNs redundantes e comportamento definido quando todos ficam indisponíveis. A política de fail-open ou fail-close precisa refletir criticidade. Em uma área administrativa, bloquear pode ser aceitável; em uma rede operacional, a consequência pode ser interrupção de processo.

Critical Authentication VLAN, políticas locais e períodos de reautenticação podem participar da contingência. Esses mecanismos precisam ser ensaiados.

Certificados, DNS e sincronismo

Certificados protegem comunicação administrativa, EAP e integrações. Cada função pode utilizar certificados diferentes.

DNS consistente é necessário para resolução e validação. NTP mantém horário comum para certificados, logs e troubleshooting. O artigo sobre servidor NTP em redes e subestações detalha essa dependência.

Renovação de certificados precisa ser planejada antes da expiração. Trocas devem ser testadas com endpoints e Network Access Devices representativos.

A plataforma que controla o acesso também precisa de hardening e governança.

Contas administrativas, certificados, interfaces, backups, atualizações, logs e integrações pxGrid devem seguir menor privilégio e gestão de mudanças.

Conhecer a solução de Endpoint Hardening

Segurança e hardening do Cisco ISE

O ISE é um componente de segurança e também precisa ser protegido. Acesso administrativo deve usar contas nominativas, menor privilégio, MFA quando suportado, segmentação e logs.

Interfaces e portas devem ser liberadas apenas entre origens e destinos necessários. Backups precisam ser protegidos. Atualizações e patches devem seguir homologação.

O guia de hardening para servidores e ambientes OT complementa os controles de plataforma. O hardening dos switches que aplicam as políticas é igualmente importante.

pxGrid e integrações

pxGrid permite compartilhar contexto de identidade e sessão com outras plataformas. Integrações podem utilizar informações do ISE para enriquecer firewalls, SIEM, ferramentas de resposta e sistemas de visibilidade.

Cada integração amplia a superfície e precisa de certificados, permissões, monitoramento e responsabilidade definida. Não se deve compartilhar todos os dados apenas porque a API permite.

A Integração de Sistemas deve documentar origem, destino, atributos, latência e comportamento durante indisponibilidade.

Planejamento da implantação

O projeto começa com inventário de sites, switches, controladores, tipos de endpoint, diretórios, PKI e requisitos de acesso. Em seguida, define arquitetura, personas, capacidade, redundância e integrações.

As políticas devem ser desenhadas com matriz de classes de dispositivos e níveis de acesso. Também é necessário preparar templates de configuração dos switches, plano de migração e rollback.

O Projeto de Telecomunicações deve incluir diagramas, matriz de fluxos, endereçamento, disponibilidade, políticas e critérios de aceite.

Estratégia de implantação gradual

A adoção deve ser gradual. Primeiro, valida-se comunicação RADIUS e coleta de logs. Depois, habilita-se monitor mode, profiling e políticas permissivas.

Um grupo piloto testa 802.1X, MAB, reautenticação, VLAN, dACL e contingência. Resultados são analisados antes da expansão.

Em OT, dispositivos críticos devem ser tratados por classe e janela. A implantação não deve depender de improvisação durante a mudança.

Comissionamento e critérios de aceite

O comissionamento precisa validar autenticação, autorização, accounting, profiling, contingência e logs.

O roteiro mínimo inclui:

  • autenticação 802.1X com credencial e certificado;
  • MAB para dispositivos sem supplicant;
  • autorização por VLAN, dACL ou SGT;
  • falha de PSN e diretório;
  • expiração ou revogação de certificado;
  • CoA e reautenticação;
  • TACACS+ para administração;
  • logs, relatórios e integração com SIEM;
  • rollback e recuperação.

O aceite deve registrar o comportamento esperado e as evidências. O Comissionamento e Aceite Técnico deve comprovar os fluxos ponta a ponta.

O aceite precisa provar política, contingência e recuperação.

802.1X, MAB, VLANs, dACLs, CoA, TACACS+, falha de PSN, indisponibilidade de diretório e certificados devem ser ensaiados com evidências.

Conhecer o serviço de Comissionamento e Aceite Técnico

Diagnóstico de falhas

Falhas de autenticação exigem verificar método, identidade, certificado, diretório, política e logs. O relatório de autenticação mostra qual regra foi avaliada e qual condição falhou.

Timeouts podem indicar rede, firewall, segredo RADIUS, PSN indisponível ou atraso de dependências. Uma autorização incorreta pode decorrer de ordem de regras, grupo ou perfil inadequado.

Quando uma porta permanece bloqueada, deve-se verificar estado da sessão no switch, método ativo, VLAN, dACL e resposta de CoA. Diagnóstico deve correlacionar switch e ISE.

Erros comuns

Um erro frequente é iniciar com bloqueio em massa sem inventário. Outro é utilizar MAB como autenticação forte.

Também é inadequado configurar apenas um PSN ou não definir contingência. Dependência de DNS, NTP e certificados costuma ser subestimada.

Políticas excessivamente complexas e sem nomenclatura dificultam operação. Por fim, não se deve aplicar o mesmo tratamento a notebooks corporativos e dispositivos industriais legados.

Conclusão

Cisco ISE centraliza identidade, contexto e políticas de acesso à rede. Ele combina RADIUS, TACACS+, 802.1X, MAB, profiling, postura e segmentação.

O valor depende de arquitetura, inventário, alta disponibilidade, certificados, políticas simples e implantação gradual. Em redes industriais, a continuidade operacional deve orientar cada decisão. Quando projeto, hardening e comissionamento são tratados de forma integrada, o ISE evolui de servidor de autenticação para plataforma de governança do acesso.

Referências técnicas

[1] CISCO. Cisco Identity Services Engine (ISE). Disponível em: https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html. Acesso em: 13 jul. 2026.

[2] CISCO. Cisco Identity Services Engine Administrator Guide. Disponível em: https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-maintenance-guides-list.html. Acesso em: 13 jul. 2026.

[3] IEEE. IEEE 802.1X — Port-Based Network Access Control.

[4] RIGNEY, C. et al. RFC 2865 — Remote Authentication Dial In User Service (RADIUS). IETF, 2000.

[5] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-207 — Zero Trust Architecture. Gaithersburg, 2020.

[6] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-82 Rev. 3 — Guide to Operational Technology Security. Gaithersburg, 2023.

[7] INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 62443 series — Security for industrial automation and control systems.

Perguntas frequentes
O que é Cisco ISE?

Cisco ISE é uma plataforma de política e controle de acesso que autentica usuários e dispositivos, avalia contexto e devolve decisões de autorização a switches, Wi-Fi e VPNs.

Cisco ISE é um servidor RADIUS?

Ele oferece RADIUS, mas também inclui políticas, profiling, postura, guest access, BYOD, TACACS+, relatórios e integrações.

Qual é a diferença entre 802.1X e MAB?

802.1X autentica explicitamente o endpoint por credencial ou certificado. MAB utiliza o endereço MAC e possui menor força de autenticação.

Cisco ISE funciona em redes industriais?

Sim, desde que a implantação respeite dispositivos legados, disponibilidade, contingência e testes graduais.

O ISE precisa de Active Directory?

Não obrigatoriamente, mas pode integrar-se a diretórios, PKI e outras fontes de identidade.

O que são PAN, PSN e MnT?

São personas do ISE: administração de políticas, processamento de autenticações e monitoramento/troubleshooting.

O Cisco ISE pode atribuir VLAN?

Sim. Também pode devolver dACLs, Security Group Tags e outras autorizações.

O que acontece se o ISE ficar indisponível?

O comportamento depende da redundância e das políticas de contingência configuradas nos equipamentos de acesso.

Cisco ISE substitui firewall?

Não. Ele toma decisões de identidade e política, enquanto switches, firewalls e outros controles aplicam parte dessas decisões.

Como testar uma implantação Cisco ISE?

Devem ser testados 802.1X, MAB, autorização, CoA, certificados, redundância, contingência, TACACS+, logs e integração ponta a ponta.

Materiais técnicos complementares

Soluções relacionadas

Serviços relacionados

Identidade, acesso e hardening

Cisco, visibilidade e monitoramento