Cisco ISE, VLAN und 802.1X – Zero Trust in der Praxis

Vom Port zur Identität – warum Netzwerke neu gedacht werden müssen

Identität statt Portnummer – dieser Satz beschreibt den Kern eines Paradigmenwechsels, den wir im Netzwerkdesign heute erleben. Während in klassischen Infrastrukturen die Zuordnung zu einem VLAN noch über den physischen Switch-Port erfolgte, zählen in modernen Architekturen andere Faktoren: Wer greift zu? Mit welchem Gerät? Unter welchen Bedingungen?

In meinen früheren Beiträgen habe ich bereits die Grundlagen von 802.1X und Zero Trust sowie die Entwicklung von VLAN zu VXLAN aufgegriffen. Diese Themen bilden das Fundament, auf dem wir nun weiter aufbauen.

Denn so hilfreich VLANs und klassische Segmentierung über viele Jahre waren – in dynamischen Umgebungen mit hybriden Arbeitsplätzen, mobilen Endgeräten und IoT stoßen sie zunehmend an ihre Grenzen:

• Statisch: Ports sind fest an ein VLAN gebunden – Flexibilität sieht anders aus
• Unflexibel: Anpassungen bedeuten manuellen Aufwand und bergen Fehlerquellen
• Unsicher: Fehlkonfigurationen können ungewollte Zugriffe ermöglichen

Genau hier setzt das Prinzip Zero Trust an. Der Zugriff wird nicht mehr über den physischen Port bestimmt, sondern über Identität, Gerätezustand und Kontext. Lösungen wie die Cisco Identity Services Engine (ISE) in Verbindung mit Microsoft Entra ID ermöglichen eine Steuerung, die sowohl sicher als auch anpassungsfähig ist.

Dieser Beitrag führt die beiden Linien – VLAN-Segmentierung und 802.1X – zusammen und zeigt, wie sie mit Cisco ISE zum Fundament für Zero Trust im Unternehmensnetzwerk werden.

Rückblick: Segmentierung im klassischen Netzwerk

Bevor wir uns Zero Trust und identitätsbasierter Netzwerksicherheit widmen, lohnt ein kurzer Blick zurück: VLANs waren über Jahrzehnte die Basis für logische Trennung im Unternehmensnetzwerk.

• VLANs reduzierten Broadcast-Domänen und ermöglichten es, Abteilungen oder Funktionsbereiche sauber voneinander zu isolieren.
• Mit VTP (VLAN Trunking Protocol) und VTP Pruning konnten Administrator:innen VLANs zentral verwalten und nur dort verteilen, wo sie benötigt wurden. Das sparte Bandbreite, brachte aber auch Risiken: Ein falsch konfigurierter VTP-Server konnte die komplette VLAN-Struktur durcheinanderbringen.
• Der nächste logische Schritt war Inter-VLAN-Routing auf Layer 3 Switches. Erst dadurch konnten Benutzer:innen in unterschiedlichen VLANs kontrolliert miteinander kommunizieren, ein wichtiger Enabler für verteilte Anwendungen.

Doch bei allen Vorteilen hatten VLANs auch klare Einschränkungen:

• Starre Port-Zuordnung: Ein Switch-Port gehört zu genau einem VLAN, unabhängig davon, welches Gerät angeschlossen wird
• Hoher Verwaltungsaufwand: Änderungen erfordern manuelle Konfiguration, die in großen Netzen fehleranfällig ist
• Geringe Kontextsensitivität: Ein Port weiß nichts über das Gerät oder die Identität dahinter

In meinem Beitrag Segmentierung im Wandel – von VLANs zu VXLAN habe ich diese Entwicklung bereits ausführlich dargestellt. Dort geht es auch um moderne Ansätze wie VXLAN und Software Defined Access, die die statische Port-Logik ablösen. Für diesen Beitrag genügt es festzuhalten: VLANs bleiben zwar ein wichtiges Werkzeug, aber sie reichen alleine nicht mehr aus, um die Anforderungen moderner Netzwerke zu erfüllen.

802.1X: Identität als Zugangskriterium

Während VLANs und dACLs die Grundlage für logische Segmentierung bilden, bringt IEEE 802.1X die entscheidende Erweiterung: Der Netzwerkzugang wird nicht mehr nur durch den Port bestimmt, sondern durch die Identität des Endgeräts oder der Benutzer:innen. Damit wird ein Port erstmals kontextabhängig nutzbar.

Die Architektur von 802.1X ist in drei Rollen aufgeteilt. Dieses Zusammenspiel sorgt dafür, dass jedes Gerät vor dem Netzwerkaustausch überprüft wird:

• Authenticator: Das Netzwerkgerät (Switch oder Access Point), das den Zugang kontrolliert
• Supplicant: Das Endgerät (z.B. Notebook oder Smartphone), das sich authentifizieren möchte
• Authentication Server: Meist ein RADIUS-Server wie Cisco ISE, der die Anmeldeinformationen prüft und Policies durchsetzt

Für die Authentifizierung stehen unterschiedliche Methoden zur Verfügung. Sie unterscheiden sich im Sicherheitsniveau und in den Einsatzszenarien:

• EAP-TLS: Zertifikatsbasierte Authentifizierung, sehr sicher, ideal für Unternehmensumgebungen
• PEAP: Kombination aus TLS-Tunnel und Passwort, verbreitet in heterogenen Umgebungen
• EAP-FAST: Cisco-eigene Methode mit Fokus auf Performance und Flexibilität

Ein entscheidender Vorteil von 802.1X ist die Möglichkeit, dynamisch VLANs per RADIUS zuzuweisen. Das bedeutet, dass ein und derselbe Switch-Port je nach Identität oder Gerätekategorie völlig unterschiedliche Rollen einnehmen kann:

• Mitarbeiter:innen erhalten Zugriff auf interne Ressourcen
• Gäste werden in ein VLAN mit reiner Internet-Anbindung verschoben
• IoT-Geräte landen in einem dedizierten VLAN mit minimalen Berechtigungen

Diese Flexibilität schafft die Grundlage für Zero Trust im Netzwerk: Der Zugriff richtet sich nach Wer oder Was sich anmeldet – nicht danach, Wo das Gerät physisch angeschlossen ist.

Mehr Details zur technischen Funktionsweise und zu Best Practices finden sich auch in meinem Beitrag 802.1X und Zero Trust – Identität statt Portnummer.

Cisco ISE: Policy Engine für das Unternehmensnetzwerk

Mit VLANs und 802.1X haben wir die Basis gelegt, um Netzwerkzugang nicht mehr starr, sondern flexibel und identitätsbasiert zu steuern. Doch um Zero Trust wirklich umzusetzen, braucht es eine zentrale Instanz, die Richtlinien verwaltet, Entscheidungen trifft und Zugriff dynamisch steuert. Genau hier kommt die Cisco Identity Services Engine (ISE) ins Spiel.

Cisco ISE ist weit mehr als nur ein RADIUS-Server. Es fungiert als Policy Engine, die Benutzer:innen, Geräte, Rollen und Sicherheitsgruppen zusammenführt und die gesamte Zugriffskontrolle orchestriert. Dadurch lassen sich selbst komplexe Unternehmensnetzwerke übersichtlich und sicher steuern.

Einige typische Szenarien verdeutlichen, wie granular Cisco ISE arbeitet:

• Mitarbeiter-Notebook → Zuweisung zu VLAN 10 mit vollem internen Zugriff
• Gast-Device → Platzierung in VLAN 20 mit Internet-only Zugriff
• IoT-Sensor → Zuordnung zu VLAN 30 mit streng eingeschränkter Kommunikation

Diese Trennung erfolgt nicht mehr über feste Ports, sondern über Richtlinien, die auf Identität und Kontext basieren. Administrator:innen können so sicherstellen, dass jedes Gerät nur das sieht, was es sehen darf.

Besonders interessant ist die Integration mit Microsoft Entra ID (Azure AD). Damit wird es möglich, Identitäten aus der Cloud auch im lokalen Netzwerk zu nutzen, ein entscheidender Schritt in hybriden Infrastrukturen. ISE fungiert hier als Bindeglied zwischen On-Premises-Netzwerk und Cloud-Identität.

Darüber hinaus bietet Cisco ISE zusätzliche Funktionen, die den Sicherheitsansatz von Zero Trust abrunden. Ein Beispiel ist das Posture Assessment: Bevor ein Endgerät Zugriff erhält, wird dessen Sicherheitszustand überprüft (z.B. aktuelle Patches, Antivirenstatus). Nur wenn die Compliance-Richtlinien erfüllt sind, wird der Zugriff gewährt.

Architektur und Rollen

Cisco ISE ist keine einfache Box, die man ins Netzwerk stellt, sondern eine Plattform mit klar gegliederten Rollen, die je nach Größe und Anforderungen einer Organisation verteilt werden können. Dadurch lässt sich ISE flexibel skalieren, von kleinen Umgebungen mit einer Instanz bis hin zu großen Enterprise-Setups mit dutzenden Knoten.

Die wichtigsten Rollen im Überblick:

• Policy Administration Node (PAN):
  Übernimmt die zentrale Verwaltung, Policy-Definition und das Reporting. Der PAN ist der Punkt, an dem Administrator:innen über die Management-Oberfläche Richtlinien anlegen und das System steuern.
• Policy Service Node (PSN):
  Führt die eigentlichen Authentifizierungs- und Autorisierungsentscheidungen aus. Der PSN verarbeitet Anfragen von Switches, Access Points oder Firewalls und setzt die definierten Richtlinien durch.
• Monitoring and Troubleshooting Node (MnT):
  Verantwortlich für Protokollierung, Monitoring und Analyse. Hier laufen die Logs zusammen, sodass Administrator:innen nachvollziehen können, welche Geräte wann und warum Zugriff erhalten oder abgelehnt wurde.

In kleineren Umgebungen lassen sich diese Rollen auf einem einzigen Server bündeln. In mittleren und großen Netzwerken hingegen werden PAN, PSN und MnT meist auf mehrere Systeme verteilt, oft redundant ausgelegt. Damit entsteht ein hochverfügbares und skalierbares Design, das mit den Anforderungen des Unternehmens wachsen kann.

Installation und erste Schritte

Cisco ISE kann wahlweise als dedizierte Hardware-Appliance oder als virtuelle Appliance betrieben werden. In der Praxis entscheiden sich die meisten Unternehmen für den Einsatz in einer Virtualisierungsumgebung wie VMware, Hyper-V oder KVM, da sich so Ressourcen flexibel zuweisen und Systeme leichter hochverfügbar gestalten lassen.

Der Installationsprozess folgt im Wesentlichen diesen Schritten:

1. Deployment der Appliance

• Installation des Images (OVA /ISO oder Hardware-Setup)
• Zuweisung der grundlegenden Systemressourcen (CPU, RAM, Storage)

2. Basisnetzwerkkonfiguration

• Vergabe von IP-Adresse, Subnetz und Gateway
• Konfiguration von DNS- und NTP-Servern (besonders kritisch für Zertifikate und Kerberos-Authentifizierung)

3. Erstkonfiguration

• Einrichten von administrativen-Zugangsdaten
• Festlegen der Rolle (PAN, PSN oder MnT) für die jeweilige Instanz
• Integration ins Unternehmensnetzwerk

4. Lizenzierung

• Registrierung über Cisco Smart Licensing
• Aktivieren der benötigten Features (z.B. Device Administration, Posture, Profiling)

Nach der Installation und der Grundkonfiguration kann Cisco ISE bereits erste Authentifizierungs- und Autorisierungsentscheidungen treffen. Üblicherweise beginnt man in einem Pilotbereich, etwa mit einem Switch oder WLAN-Controller,um die Konfiguration zu testen, bevor das System schrittweise ins gesamte Netzwerk ausgerollt wird.

Gerade in dieser Phase ist es sinnvoll, ein Lab-Szenario einzurichten, in dem die Anbindung an Active Directory, RADIUS-Clients und erste Richtlinien erprobt werden können. So lassen sich Fehler vermeiden, bevor produktive Systeme betroffen sind.

Konfiguration und typische Richtlinien

Nach der erfolgreichen Grundinstallation beginnt die eigentliche Arbeit mit Cisco ISE: das Erstellen von Richtlinien, die festlegen, welche Benutzer:innen oder Geräte in welche Netzsegmente gelangen und welche Rechte sie dort erhalten. Die Konfiguration erfolgt über die grafische Oberfläche von ISE und orientiert sich an sogenannten Policy Sets.

Ein typisches Vorgehen sieht folgendermaßen aus:

1. Identity Stores anbinden

• Integration in Active Directory oder Microsoft Entra ID
• Import vorhandener Benutzer:innen- und Gruppenstrukturen

2. RADIUS-Clients definieren

• Registrierung von Switches, Access Points oder Firewalls, die Anfragen an ISE weiterleiten
• Konfiguration der gemeinsamen RADIUS-Secrets

3. Zertifikate hinterlegen

• Installation von Serverzertifikaten für EAP-TLS
• Import von Root- und Zwischenzertifikaten der Unternehmens-PKI

4. Richtlinien erstellen

• Aufbau nach dem Schema IF … THEN …:
  • Wenn Benutzer:in Mitglied der AD-Gruppe Mitarbeiter → dann VLAN 10 mit vollem Zugriff
  • Wenn Gerät Kategorie Gast → dann VLAN 20 mit Internet-only
  • Wenn IoT-Gerät erkannt → dann VLAN 30 mit eingeschränkten Rechten

Beispielrichtlinien in der Praxis

Cisco ISE erlaubt eine feingranulare Differenzierung, die weit über VLANs hinausgeht. Typische Richtlinien in Unternehmensumgebungen sind:

• Administratoren: besondere VLANs mit Zugriff auf Management-Systeme, geschützt durch EAP-TLS
• Externe Gäste: Web-Portal zur Authentifizierung, isoliertes VLAN mit Internetzugang
• IoT-Devices: segmentierte VLANs mit minimalen Kommunikationsrechten
• Mitarbeiter:innen: Zugriff auf interne Ressourcen, dynamische Zuweisung zu Produktions-VLANs

Durch diese Vorgehensweise entsteht ein flexibles Modell, das Netzwerksicherheit und Benutzerfreundlichkeit miteinander verbindet. Anpassungen erfolgen zentral in ISE, eine enorme Vereinfachung im Vergleich zur manuellen Pflege von ACLs oder VLAN-Zuweisungen auf jedem einzelnen Switch.

Erweiterte Features von Cisco ISE

Über die reine Authentifizierung hinaus entfaltet Cisco ISE seine Stärke durch eine Reihe von erweiterten Funktionen. Diese Module sorgen dafür, dass der Netzwerkzugang nicht nur kontrolliert, sondern auch intelligent an den Kontext angepasst wird.

Profiling

Cisco ISE kann Endgeräte automatisch identifizieren, auch wenn diese keine Benutzeranmeldung durchführen.

• Mechanismus: Geräte werden anhand von Attributen wie DHCP-Requests, SNMP-Abfragen oder MAC-OUI erkannt
• Beispiel: Ein Drucker oder eine IP-Kamera wird automatisch als solcher klassifiziert und erhält ein vordefiniertes Profil
• Nutzen: Administrator:innen sparen Zeit und erhöhen die Genauigkeit der Richtlinien

Praxisbeispiel

In einer Produktionshalle wird ein neues Barcode-Scanner-System installiert. Die Geräte melden sich ohne Benutzereingabe im Netzwerk an. Cisco ISE erkennt anhand von DHCP-Optionen und MAC-OUI, dass es sich um Scanner handelt, und weist automatisch ein passendes Profil zu. Über dieses Profil wird das Gerät in ein dediziertes VLAN mit restriktiven Richtlinien verschoben, ohne dass die IT-Abteilung manuell eingreifen muss.

Posture Assessment

Neben der Identität zählt auch der Gesundheitszustand des Geräts.

• Prüfungen: Installierte Patches, aktiver Virenschutz, Firewall-Status oder Registry-Einträge
• Workflow: Nicht-konforme Geräte werden zunächst in ein Quarantäne-VLAN verschoben und erst nach Erfüllung der Compliance-Vorgaben freigegeben
• Nutzen: Höhere Sicherheit durch konsequente Einhaltung von Unternehmensrichtlinien

Praxisbeispiel

Eine Mitarbeiterin verbindet ihr Notebook mit dem Unternehmensnetzwerk. ISE prüft, ob das Gerät die aktuellen Sicherheits-Patches installiert hat. Da ein kritisches Windows-Update fehlt, wird das Notebook automatisch in ein Quarantäne-VLAN verschoben. Von dort aus kann es nur noch den Update-Server erreichen. Sobald das Update eingespielt ist, wird der Zugriff auf das Produktionsnetz automatisch freigeschaltet.

Guest Services

Für Gäste und externe Partner bietet ISE eine integrierte Portallösung.

• Self-Service-Portale: Gäste können sich selbst registrieren oder von einem Sponsor (z.B. Empfang) freigeschaltet werden
• Onboarding: WLAN- oder LAN-Zugang mit zeitlich begrenzten Rechten
• Nutzen: Komfort für Gäste bei gleichzeitiger Entlastung der IT-Abteilung

Praxisbeispiel

Ein Besucher meldet sich am Empfang an und registriert sein Gerät über das Self-Service-Portal von Cisco ISE. Ein Mitarbeiter genehmigt den Zugang per Sponsorenfreigabe. Anschließend erhält das Gerät temporäre Zugangsdaten und wird automatisch einem Gast-VLAN oder über Security Group Tags (SGTs) einer Gastrolle zugeordnet. Damit kann der Besucher ins Internet, ohne interne Ressourcen zu erreichen.

Security Group Tags (SGTs)

Ein leistungsfähiges Konzept, das die klassische VLAN-Logik ablöst.

• Mechanismus: Geräte und Benutzer:innen werden mit einem Tag versehen, das ihre Rolle beschreibt
• Richtlinien-Anwendung: Zugriff wird nicht über IP-Adressbereiche, sondern über die Rolle gesteuert, unabhängig vom Standort
• Nutzen: Flexible, skalierbare Segmentierung, die vor allem in Verbindung mit Cisco TrustSec und Software Defined Access ihre Stärke ausspielt

Praxisbeispiel

Ein Unternehmen setzt IP-Kameras ein, die selbst kein 802.1X unterstützen. Über Profiling erkennt Cisco ISE die Geräte automatisch und weist ihnen ein passendes Profil zu. Anschließend werden die Kameras per SGT in eine IoT-Sicherheitsgruppe verschoben, die ausschließlich Zugriff auf den Video-Server hat. So bleiben die Geräte funktionsfähig, ohne dass sie ein Risiko für andere Netzbereiche darstellen.

Change of Authorization (CoA)

Eine Funktion, die oft unterschätzt wird.

• Mechanismus: Richtlinien lassen sich während einer bestehenden Session dynamisch anpassen
• Beispiel: Ein Notebook meldet sich an, besteht aber erst nach einem Update den Posture Check. Über CoA wird der Zugriff in Echtzeit hochgestuft, ohne erneute Anmeldung
• Nutzen: Hohe Flexibilität und dynamische Reaktion auf Veränderungen im Netzwerk

Praxisbeispiel

Ein Außendienstmitarbeiter verbindet sich im Büro mit dem WLAN. Zunächst werden ihm aufgrund eines fehlenden Antiviren-Updates nur eingeschränkte Zugriffsrechte zugewiesen. Sobald die Antivirus-Software aktualisiert ist, löst ISE einen CoA aus, und der Switch weist dem Gerät sofort die regulären Zugriffsrechte zu, ohne dass der Benutzer die Verbindung neu aufbauen muss.

Lizenzierung

Cisco bietet ISE in verschiedenen Lizenzstufen an, die sich in Funktionsumfang und Einsatzszenarien unterscheiden. Das Modell ist auf Skalierbarkeit und Flexibilität ausgelegt:

• ISE Essentials
  Grundlegende Funktionen für 802.1X-Authentifizierung und Policy-Enforcement. Ideal für Organisationen, die den klassischen Netzwerkzugang absichern möchten.
• ISE Advantage
  Enthält zusätzlich erweiterte Funktionen wie Profiling, Posture Assessment und Guest Services. Damit lassen sich nicht nur Benutzer:innen, sondern auch Geräte kontextabhängig einbinden.
• ISE Premier
  Deckt den vollen Funktionsumfang ab und beinhaltet u.a. die Integration mit Software Defined Access (SDA) sowie Funktionen wie Security Group Tags (SGTs) und erweiterte Analysen.

Seit der Umstellung auf Cisco Smart Licensing (ab ISE 3.x) erfolgt die Lizenzverwaltung zentral über das Cisco Smart Account Portal. Klassische Lizenz-PAKs werden nicht mehr eingesetzt, ein Punkt, der bei Migrationen häufig zu Fragen führt.

In der Praxis beginnen viele Unternehmen mit Essentials und erweitern später auf Advantage oder Premier, sobald komplexere Szenarien wie IoT-Integration oder dynamische Segmentierung umgesetzt werden sollen.

Integration mit Firewalls

Ein weiterer Mehrwert von Cisco ISE liegt in der Möglichkeit, Sicherheitsinformationen an Firewalls und Security-Systeme weiterzugeben. Dies geschieht in der Regel über Cisco pxGrid oder über direkte Schnittstellen. PxGrid ermöglicht den bidirektionalen Austausch von Kontextinformationen (z.B. Benutzer, Geräte, Security Group Tags) mit einer Vielzahl von Partnerlösungen.

• Cisco Firepower Integration: Firewalls können über ISE-Informationen dynamisch Richtlinien anwenden, etwa, um kompromittierte Geräte sofort zu blockieren oder bestimmte SGTs mit spezifischen Regeln zu verknüpfen
• Third-Party Firewalls: Auch Hersteller wie Palo Alto oder Fortinet lassen sich über pxGrid anbinden, sodass Security-Informationen aus ISE in die übergreifende Sicherheitsarchitektur einfließen
• SIEM-Integration: Über pxGrid können zudem Systeme wie Splunk oder IBM QRadar angebunden werden, um sicherheitsrelevante Events aus ISE in einem zentralen Monitoring- und Korrelationstool auszuwerten
• EDR- und MDM-Anbindung: Über pxGrid können auch Endpoint Detection & Response-Systeme (z.B. Cisco Secure Endpoint) und Mobile Device Management-Lösungen wie Microsoft Intune eingebunden werden, um Gerätesicherheit und Compliance-Status direkt in die Zugriffskontrolle einfließen zu lassen

Praktisches Beispiel: Meldet ISE ein Gerät als nicht compliant, kann die Firewall eines Drittanbieters automatisch strengere Regeln anwenden, etwa nur noch Zugriff auf das Update-Repository erlauben, bis das Gerät wieder konform ist. Parallel dazu wird das Ereignis an ein angebundenes SIEM-System weitergegeben. Dort lässt sich der Vorfall mit anderen sicherheitsrelevanten Daten korrelieren, sodass Administrator:innen sofort einen umfassenden Überblick über den Vorfall erhalten und bei Bedarf automatisierte Reaktionen anstoßen können.

Damit wird ISE nicht nur zur Policy Engine für das Netzwerk, sondern auch zum Sensor und Orchestrator für die gesamte Sicherheitsinfrastruktur.

Troubleshooting mit Cisco ISE

Auch in gut geplanten Umgebungen können Probleme beim Netzwerkzugang auftreten. Häufig liegt die Ursache nicht in Cisco ISE selbst, sondern in der Interaktion mit Endgeräten, Zertifikaten oder den beteiligten Netzwerkkomponenten. Ein strukturierter Troubleshooting-Ansatz hilft, Fehler schnell einzugrenzen und zu beheben.

Typische Problemfelder:

• Abgelaufene Zertifikate: Einer der häufigsten Fehlerquellen bei EAP-TLS. Ohne gültige Zertifikate scheitert die Authentifizierung sofort.
• Fehlkonfigurierte Supplicants: Clients mit falschen oder fehlenden 802.1X-Einstellungen verweigern die Anmeldung.
• Policy-Mismatch: Unterschiedliche Konfigurationen auf Switches, Access Points und in ISE können zu Inkonsistenzen führen.
• VLAN-Zuordnungsfehler: Unklare oder widersprüchliche Richtlinien führen dazu, dass Geräte im falschen VLAN landen oder keinen Zugriff erhalten.

Werkzeuge und Vorgehen:

• ISE-Logs: Bieten Einblicke in Policy-Hits und RADIUS-Attribute, die bei der Fehlersuche entscheidend sind.
• MnT-Modul (Monitoring and Troubleshooting): Hier lassen sich Authentifizierungsversuche detailliert nachvollziehen, inklusive Ursache für Ablehnungen.
• Packet Captures: Bei hartnäckigen Fehlern können Mitschnitte (z.B. EAPoL-Pakete) helfen, den Handshake zwischen Client, Authenticator und ISE zu analysieren.

Praxisempfehlung: Viele Unternehmen setzen auf einen Pilotbereich, um Konfigurationen zunächst im Kleinen zu testen. So lassen sich typische Fehlerbilder frühzeitig erkennen, bevor ein Rollout das gesamte Netzwerk betrifft. Ergänzend empfiehlt es sich, Troubleshooting-Prozesse klar zu dokumentieren – von der Zertifikatsprüfung bis zur Policy-Validierung.

Status Quo und Ausblick

Heute ist Cisco ISE längst mehr als ein RADIUS-Server. Die Plattform hat sich zu einer zentralen Schaltstelle für Netzwerkzugang und Sicherheitsrichtlinien entwickelt. Mit Funktionen wie 802.1X-Authentifizierung, dynamischer VLAN-Zuweisung, Posture Assessment, Profiling und Security Group Tags ist sie das Rückgrat vieler Zero-Trust-Implementierungen im Enterprise-Umfeld.

In der aktuellen Betrachtung zeichnet sich das folgende Bild ab:

• ISE ist fest im Portfolio von Cisco verankert und wird kontinuierlich weiterentwickelt.
• Die Integration in hybride Identitätswelten mit Microsoft Entra ID oder anderen Cloud-Diensten gewinnt an Bedeutung.
• Viele Unternehmen nutzen ISE als Basis für Software Defined Access (SDA) und setzen auf die Kombination von VXLAN und rollenbasierten Policies.
• Die Plattform ist ausgereift, stabil und wird auch von unabhängigen Quellen (z.B. Analysten und Branchenmedien) als führende Lösung im Bereich Network Access Control (NAC)

Der Blick nach vorn zeigt, wohin sich die Cisco-Infrastruktur entwickelt:

• Automatisierung: Mit SDA und APIs wird die manuelle Pflege klassischer Regeln zunehmend überflüssig. Richtlinien lassen sich automatisiert verteilen und dynamisch anpassen.
• Integration von KI: Lösungen wie Cisco AI Canvas deuten an, dass sich auch die Zugriffskontrolle künftig durch KI unterstützen lässt, z.B. durch automatisierte Erkennung von Anomalien oder Policy-Empfehlungen.
• Cloud-First-Strategie: Immer mehr Funktionen werden so erweitert, dass sie nahtlos mit Cloud-Identitäten zusammenarbeiten – ein Schlüssel für hybride Szenarien.
• Adaptive Security: Sicherheit wird in Echtzeit kontextabhängig gesteuert. Kompromittierte Geräte oder Benutzer:innen werden sofort isoliert, ohne dass Administrator:innen manuell eingreifen müssen.

Damit steht Cisco ISE im Zentrum einer Entwicklung, die vom klassischen NAC-System hin zu einer intelligenten, cloud-integrierten und KI-gestützten Sicherheitsplattform führt. Unternehmen, die heute in ISE investieren, schaffen sich nicht nur ein Werkzeug für den aktuellen Betrieb, sondern auch ein zukunftsfähiges Fundament für Zero Trust und darüber hinaus.

Zero Trust im Netzwerk – Zusammenspiel von Cisco und Microsoft

Zero Trust ist längst mehr als ein Buzzword – es ist das Sicherheitsmodell, das den modernen Netzwerkzugang prägt. Dabei geht es nicht um ein einzelnes Produkt, sondern um Prinzipien, die konsequent umgesetzt werden müssen.

Die drei Kernprinzipien von Zero Trust lassen sich wie folgt zusammenfassen:

• Assume Breach: Sicherheitsverletzungen werden als möglich einkalkuliert, weshalb Zugriffe kontinuierlich überwacht und überprüft werden
• Use Least Privilege Access: Benutzer:innen und Geräte erhalten stets nur die Rechte, die sie für ihre Aufgabe benötigen
• Verify Explicitly: jede Anfrage wird explizit geprüft, unabhängig davon, ob das Gerät im internen LAN oder extern im Internet steht

Damit diese Prinzipien praktisch greifen, müssen Netzwerk-Policies (Cisco) und Cloud-Identitäten (Microsoft) eng verzahnt werden. Hier spielt das Zusammenspiel von Cisco ISE und Microsoft Entra ID (ehem. Azure AD) eine zentrale Rolle.

Conditional Access als Schlüsselkomponente

Während Cisco ISE den Zugriff im lokalen Netzwerk steuert, übernimmt Microsoft Entra ID die Durchsetzung von Richtlinien in der Cloud. Eine besondere Rolle spielen dabei die Conditional Access Policies:

• Sie erlauben die dynamische Steuerung des Zugriffs abhängig von Identität, Gerätezustand, Standort oder Risikoeinschätzung
• Sie ergänzen die Netzwerk-Segmentierung um Cloud-basierte Schutzmechanismen, die unabhängig vom Standort greifen

Ein Beispiel: Selbst wenn ein Gerät im LAN erfolgreich über 802.1X und ISE authentifiziert wurde, kann Entra ID über Conditional Access zusätzliche Faktoren wie Multi-Faktor-Authentifizierung (MFA) oder die Compliance-Prüfung durch Intune erzwingen.

Hintergrund: Abschaltung alter Funktionen

Microsoft hat angekündigt, dass der klassische Multi-Factor Authentication (MFA) Server für Azure und Microsoft 365 Ende September endgültig deaktiviert wird. Unternehmen, die bislang noch auf diesen Legacy-Ansatz gesetzt haben, müssen ihre Architektur modernisieren. Die Zukunft liegt eindeutig bei Conditional Access Policies, die flexibler sind, besser skalieren und nahtlos in Zero-Trust-Strategien integriert werden können.

Praxisbeispiel

Eine Mitarbeiterin meldet sich im Unternehmensnetzwerk an.

• Cisco ISE prüft die Geräte-Compliance und weist den Zugriff auf interne Ressourcen zu
• Parallel dazu kontrolliert Entra ID, ob die Anmeldung von einem vertrauenswürdigen Standort kommt und erzwingt bei Bedarf eine MFA-Abfrage
• Erst wenn beide Prüfungen erfolgreich sind, erhält die Benutzerin Zugriff auf lokale wie cloudbasierte Anwendungen

Damit entsteht ein durchgängiges Zero-Trust-Modell, das Cisco ISE im lokalen Netzwerk mit den Cloud-Funktionalitäten von Microsoft Entra ID verbindet – und mit Conditional Access Policies die Brücke zwischen beiden Welten schlägt.

Weitere Informationen zur Cisco-Perspektive finden sich im Cisco Zero Trust Portal, und Microsoft bietet mit dem Zero Trust Guidance Center die passende Ergänzung für den Cloud-Teil.

Zukünftige Entwicklungen rund um Cisco ISE und Zero Trust

Der Trend geht klar in Richtung Automatisierung, Cloud-Integration und KI-gestützte Sicherheit. Cisco positioniert ISE längst nicht mehr nur als klassisches NAC-System, sondern als zentralen Baustein einer größeren Sicherheitsarchitektur. Für die kommenden Jahre lassen sich mehrere Entwicklungen erkennen:

API-First und Automatisierung

Cisco entwickelt ISE zunehmend API-gesteuert weiter. Richtlinien lassen sich direkt aus Automatisierungs-Workflows wie Ansible oder Terraform heraus anpassen. Damit hält auch das Konzept von Infrastructure as Code (IaC) Einzug in den Bereich der Network Access Control.

Cloud-Integration und Hybrid-Szenarien

Bereits heute sind erste Integrationen in Kombination mit Cisco SDA und TrustSec sichtbar. ISE wird zunehmend enger mit Cloud-Identitäten wie Microsoft Entra ID verknüpft. Ziel ist es, einheitliche Richtlinien für On-Premises- und Cloud-Ressourcen zu schaffen.

Adaptive Security durch KI

Mit Initiativen wie Cisco AI Canvas wird künstliche Intelligenz schrittweise Teil der Netzwerkarchitektur. Möglich sind Funktionen wie Anomalieerkennung, automatische Policy-Vorschläge oder kontextabhängige Reaktionen. Damit könnte ISE künftig nicht nur Richtlinien auswerten, sondern auch aktiv Empfehlungen zur Optimierung geben.

Compliance und Standardisierung

Cisco ISE entwickelt sich zu einer Plattform, die technische Umsetzung und Governance miteinander verbindet. Regulatorische Vorgaben wie NIST 800-207 oder ISO 27001 treiben die Einführung von Zero-Trust-Architekturen weiter voran und finden in ISE eine praxisgerechte Umsetzung.

Auch in Europa gewinnt das Thema an Bedeutung: Mit den Arbeiten der ETSI (European Telecommunications Standards Institute) entsteht ein zusätzlicher Referenzrahmen für Zero Trust, der speziell europäische Anforderungen berücksichtigt. Für global agierende Unternehmen bedeutet das, dass Cisco ISE nicht nur US-amerikanische, sondern auch europäische Standards in Zero-Trust-Sicherheitsarchitekturen abbilden kann.

Strategische Einordnung

Ein zentraler Referenzrahmen ist NIST Special Publication 800-207, die Zero Trust als Architekturmodell beschreibt. Cisco ISE fügt sich nahtlos in diese Vorgaben ein, indem es Identität, Kontext und Policy Enforcement im Netzwerk verbindet. Im NAC-Umfeld (Network Access Control) wird ISE häufig als Referenzlösung genannt, nicht zuletzt im Vergleich zu Mitbewerbern wie Aruba ClearPass oder FortiNAC. Durch den umfassenden Funktionsumfang mit Profiling, Posture Assessment und Security Group Tags (SGTs) hebt sich ISE als besonders leistungsfähige Plattform für Zero-Trust-Strategien hervor.

Diese Entwicklungen machen deutlich: Cisco ISE bleibt nicht beim klassischen Netzwerkzugang stehen, sondern entwickelt sich Schritt für Schritt zu einer intelligenten, adaptiven Sicherheitsplattform. Unternehmen profitieren damit nicht nur von einer stabilen Grundlage für heutige Zero-Trust-Strategien, sondern sichern sich auch die Möglichkeit, künftige Innovationen – von Cloud-Integration bis hin zu KI-gestützter Automatisierung – nahtlos einzubinden.

Fazit und Ausblick

Zusammenfassend lässt sich festhalten: klassische Segmentierung mit VLANs ist weiterhin ein solides Fundament, reicht jedoch allein nicht mehr aus, um den heutigen Sicherheitsanforderungen gerecht zu werden. Erst durch die Kombination mit 802.1X und einer zentralen Policy-Engine wie Cisco ISE wird aus starren Netzen eine flexible und identitätsbasierte Architektur.

Die wichtigsten Erkenntnisse lassen sich wie folgt zusammenfassen:

• Cisco ISE verbindet die Ebenen: es sorgt dafür, dass Richtlinien konsistent durchgesetzt werden und Identität, Gerätezustand und Rolle zusammenwirken
• Identität wird Schlüssel: mit 802.1X und dynamischen Mechanismen entscheidet nicht der Port, sondern Wer oder Was sich anmeldet
• Microsoft Entra ID ergänzt das Modell: durch Integration von Cloud-Identitäten entsteht ein durchgängiges Zero-Trust-Konzept für hybride Infrastrukturen
• VLANs bleiben Basis: sie strukturieren Netzwerke nach wie vor zuverlässig, bilden aber nur die erste Ebene

Der Blick in die Zukunft zeigt, wohin die Reise geht:

• Automatisierung: Mit Technologien wie Cisco SDA lassen sich Richtlinien netzwerkweit ausrollen, ohne manuelle Konfiguration an jedem Switch.
• Künstliche Intelligenz: Neue Ansätze wie Cisco AI Canvas oder Microsoft Entra ID Protection bringen adaptive Sicherheit ins Spiel. Angriffe können in Echtzeit erkannt und automatisiert abgewehrt werden.
• Nahtlose Integration: Die Grenzen zwischen On-Premises und Cloud verschwimmen weiter. Ein konsistentes Sicherheitsmodell über beide Welten hinweg wird zum Standard.

Damit ist klar: Zero Trust im Unternehmensnetzwerk ist kein theoretisches Modell, sondern bereits heute mit den richtigen Werkzeugen umsetzbar. Die Rolle von Cisco ISE als Policy Engine und die enge Verzahnung mit Microsoft Entra ID machen den Unterschied – und legen den Grundstein für die nächste Evolutionsstufe moderner Netzwerke.

Quellenangabe

(Abgerufen am 28.09.2025)

Cisco – Offizielle Informationen und Dokumentation

• Cisco Duo – Case Studies und Kundenbeispiele
• Cisco Identity Services Engine (ISE)
• Cisco ISE – Getting Started
• Cisco Live BRKSEC-2079 (PDF-Datei)
• Cisco Whitepaper – Zero Trust (PDF-Datei)
• Cisco Zero Trust

Cisco ISE – Tutorials und Videos

• Cisco ISE – offizieller YouTube-Kanal
• Cisco ISE – Videoübersicht
• Cisco ISE in der Praxis
• Einführungsvideo zu Cisco ISE

Technische Guides und Blogs

• Ciscozine: 802.1X Interface Configuration Guide
• Ciscozine: 802.1X Introduction & Principles
• Hagel IT: Einführung in Cisco ISE
• TechTarget: Cisco Identity Services Engine (ISE)

Sicherheit und aktuelle Entwicklungen

• Heise: Angriffe auf Cisco ISE – jetzt patchen

Weiterlesen hier im Blog

• IEEE 802.1X und Zero Trust im Netzwerk – Identität statt Portnummer
• Looperkennung im Ethernet – STP, RSTP und Sicherheit im Cisco-Netz
• Segmentierung im Wandel – von VLANs zu VXLAN im Cisco-Netzwerk
• Wenn Router Entscheidungen treffen – Routingprotokolle im Cisco-Netzwerk verstehen