구매 혹은 리뉴얼하기
구매 혹은 리뉴얼하기
취소
제안사항 사용
자동 제안 기능은 사용자가 입력함에 따라 가능한 일치 항목을 제안하여 검색 결과를 신속하게 좁히는 데 도움이 됩니다.
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
새 글 작성하기
298
VIEWS
0
Helpful
0
의견

1.4 Cisco ISE Functions

Kai Shin
Cisco Employee
Cisco Employee

날짜: ‎08-09-2023 09:39 PM

Cisco ISE Functionality

Cisco secure access 솔루션의 핵심은 Cisco ISE(Identity Services Engine)입니다. 이 솔루션은 유선, 무선, VPN 인프라 전반에서 컨텍스트 인식 접속 제어를 위한 중앙 집중식 identity-based 정책 플랫폼을 제공합니다. Cisco ISEauthentication, authorization accounting(AAA), TACACS+, posture, profiling, guest management 기능을 하나의 통합 어플라이언스에 결합하여 정책 관리, 모니터링, 문제 해결을 위한 단일 포인트를 제공합니다.

KaiShin_0-1691572287997.png

스위치, 라우팅, 무선 인프라는 정책 시행을 위한 빌딩 블록을 제공합니다. Cisco ISE NADs(Network Access Devices)와 함께 작동하여 엔드포인트가 적절한 리소스에만 액세스할 수 있도록 합니다.

Cisco ISE 중앙 모니터링 기능은 사용자 identity 및 엔드포인트 정보를 수집하고 이 정보를 전체 솔루션의 다른 구성 요소와 공유합니다. 추가 기능은 엔드포인트에 설치된 소프트웨어 요소(: Cisco AnyConnect Mobility Client, Cisco NAC(Network Admission Control) agents, MDM(Mobile Device Management))로 사용할 수 있습니다.

Cisco ISE는 디바이스 관리를 위한 TACACS+, 다른 플랫폼과의 정보 공유를 위한 Cisco PxGrid(Platform Exchange Grid), Cisco SDN(Software Defined Network) - Cisco DNA(Digital Network Architecture)와의 통합을 지원합니다.

AAA RADIUS Services

통합 RADIUS 서비스는 일반적으로 최종 사용자 네트워크 액세스에 사용되는 authentication, authorization accounting(AAA)을 지원합니다. 사용자 identity는 내부 Cisco ISE 데이터베이스, 백엔드 Microsoft Active Directory 또는 LDAP(Lightweight Directory Access Protocol) 서버에 대해 유효성을 검사할 수 있습니다.

KaiShin_1-1691572288002.png

지원되는 기본 인증 방법에는 802.1X, MAB(Mac Authentication Bypass), 웹 인증(WebAuth)의 세 가지가 있습니다.

802.1X 인증은 일반적인 엔드포인트에 사용됩니다. 이 표준 기반 인증 방법은 회사 직원의 액세스에 사용되는 유선 및 무선 연결에 사용됩니다.

MAB 802.1X 기능이 없지만 연결 시 관리자가 MAC 주소를 알고 있는 엔드포인트에 사용됩니다. 이러한 장치에는 IP 카메라, 프린터, handheld 스캐너 및 기타 장치와 같은 특수 품목이 포함됩니다.

엔드포인트에 802.1X 기능이 없고 MAC 주소를 알 수 없는 경우, 개인 사용자 장치와 마찬가지로 WebAuth를 사용하여 웹 페이지를 통해 인증하여 사용자를 확인할 수 있습니다.

인증에 따라 사용자가 네트워크에 액세스할 수 있는지 여부가 결정됩니다. Cisco ISE RADIUS 서비스가 사용자 신원을 확인하고 계정 속성을 처리한 후 authorization profile을 세션에 적용할 수 있습니다. Cisco ISE는 이 authorization policyRADIUS Acces-Accept으로 NAD에 보냅니다. authorization policy는 사용자가 수행할 수 있는 작업을 제어합니다. 그러면 계정에서 사용자 작업, 로그인한 시간과 위치, 액세스한 내용 등을 추적합니다.

AAA TACACS+ Services

통합 TACACS+ 서비스는 일반적으로 네트워크 장치에 대한 관리 액세스에 사용되는 AAA를 활성화합니다. 관리자 identity는 내부 Cisco ISE 데이터베이스, 백엔드 Microsoft Active Directory 또는 LDAP 서버에 대해 유효성을 검사할 수 있습니다.

KaiShin_2-1691572288006.png

네트워크 관리자는 SSH, Telnet, HTTP/HTTPS 또는 노트북이나 기타 장치에서 시리얼 포트 연결을 사용하여 네트워크 장치에 연결합니다.

관리자가 관리를 위해 네트워크 장치에 액세스하면 네트워크 장치는 AAA 클라이언트 역할을 합니다. 인증을 위해 네트워크 장치는 사용자 자격 증명을 수집하여 TACACS+ 프로토콜을 통해 AAA 서버로 전달합니다. 자격 증명이 유효하다고 가정하면 사용자는 네트워크 장치에 액세스할 수 있도록 인증됩니다. 권한 부여를 위해서는 사용자가 수행하려는 각 작업이 AAA 서버에 대해 인증되어야 합니다.

계정에서는 관리자의 작업, 로그인한 시간과 네트워크 장치, 수행한 작업 및 기타 정보를 추적할 수 있습니다.

Posture Compliance and MDM Integration

사용자가 회사 네트워크의 보안 영역에 연결할 때는 모든 보안 및 회사 정책을 준수해야 합니다. 그러나 해당 디바이스의 보안 상태를 확인해야 하는 경우, 네트워크 관리자는 수동으로 확인하는 것을 원하지 않습니다.

KaiShin_3-1691572288015.png

Posture를 통해 Cisco ISE는 엔드포인트 보안 기능을 동적으로 검증하고 유지 관리할 수 있습니다. 제한된 클라이언트 액세스만 허용하도록 초기 RADIUS 인증을 구성할 수 있습니다. 초기 클라이언트 액세스 후 Posture는 기업 보안 정책에 정의된 대로 엔드포인트 OS 및 패치 버전, 바이러스 보호 및 기타 규정 준수 요구 사항을 검증할 수 있습니다. 디바이스가 이 기준을 충족하는 경우, CoA(Change Of Authorization)메시지를 사용하여 액세스를 부여할 수 있습니다. 디바이스가 규정을 준수하지 않는 경우 remedication 기능을 사용할 수 있습니다.

이 기능은 엔드포인트가 정의된 보안 표준을 준수하도록 보장하는 데 도움이 되며 타사 MDM(Mobile Device Management)솔루션과의 통합을 통해 더욱 강화할 수 있습니다. Cisco ISE MDM 플랫폼과 통합되어 뛰어난 포지션 규정 준수 및 디바이스 제어 기능을 제공합니다.

Profile Posture 를 사용하여 authorization policy를 결정할 수 있습니다. Authorization는 일반적으로 표준 기반 CoA 메커니즘에 의존합니다. RADIUS 서버는 CoA를 사용하여 초기 authentication authorization 교환 후 엔드포인트의 authorization 수준을 높이거나 낮추도록 NADs에 알립니다.

Profiler

네트워크에 연결된 디바이스의 기능을 이해하면 네트워크 보안을 강화하는 데 도움이 될 수 있습니다. 인증을 통해 사용자가 누구인지 확인할 수 있지만, 사용자가 네트워크에 연결하는 디바이스 유형을 아는 것도 그에 못지않게 중요할 수 있습니다. 예를 들어 802.1X 대신 MAB를 사용하는 디바이스는 올바른 보안 정책과 일치하기 위해 더 많은 컨텍스트 정보가 필요할 수 있습니다. 엔드포인트 기능을 수동으로 확인하려면 시간과 노력이 너무 많이 소요됩니다.

KaiShin_4-1691572288019.png

올바른 라이선스를 통해 ISE는 엔드포인트 데이터를 동적으로 수집하고 네트워크에 연결된 엔드포인트의 기능을 결정할 수 있습니다. 이 컨텍스트 정보를 통해 ISE는 매우 세분화된 정책을 매칭하여 가장 적절한 수준의 네트워크 액세스가 적용되도록 할 수 있습니다.

엔드포인트가 네트워크에 처음 연결될 때 ISE는 해당 엔드포인트에 대한 정보가 거의 없습니다. 초기 인증 후에는 디바이스를 "unknown" 카테고리에 배치할 수 있습니다.

엔드포인트가 네트워크에 연결되면 네트워크와 상호 작용하기 시작합니다. 그러면 profiling service는 해당 상호 작용에서 데이터를 수집하여 HTTP, DNS(Domain Name Server), DHCP RADIUS 서비스와의 상호 작용과 같은 주요 특성을 조사합니다. 그런 다음 profiling service는 이 정보를 사용하여 디바이스 유형을 결정하고 Android, Apple 또는 iPad와 같은 정의된 카테고리에 배치할 수 있습니다. 내부 엔드포인트 데이터베이스는 profiling 결과를 저장하여 후속 authorization 및 카테고리 분류를 간소화합니다.

Cisco ISE가 컨텍스트의 "무엇"을 인식하면 이를 "누가", "어떻게", "어디서", "언제"와 일치시킬 수 있습니다. 이 컨텍스트를 사용하여 매우 세분화된 정책을 만들 수 있습니다: 사용자 'JoeD'가 공용 카페에서 개인 iPad를 사용하여 로그인하면 제한된 액세스 권한이 부여됩니다. 하지만 그가 사무실 책상에서 회사 노트북을 사용하여 로그인하면 더 높은 수준의 액세스 권한을 얻게 됩니다.

Device Onboarding

IT 직원이 사용자의 개인 디바이스를 회사 네트워크에서 사용할 수 있도록 BYOD(Bring Your Own Device) 엔드포인트를 구성하는 프로세스는 시간이 많이 소요될 수 있습니다. 하지만 Cisco ISEself-registration portal을 사용하면 사용자가 직접 자신의 디바이스를 onboarding 할 수 있습니다. 이 포털은 사용자가 쉽게 사용할 수 있으며 IT 부서의 개입을 최소화하여 보다 원활한 사용자 경험을 제공합니다.

KaiShin_5-1691572288023.png

Supplicant provisioning 은 무선 SSID(Service Set Identifier), preshared key, EAP(Extensible Authentication Protocol) 유형 등과 같은 클라이언트 디바이스 구성 매개변수를 자동화합니다. 또한 분실 또는 도난당한 디바이스를 쉽게 차단 및 삭제하고 필요에 따라 복원할 수 있는 기능도 제공합니다.

Supplicant provisioningUDI(Unique Device Identifier), MAC 주소 및 기타 속성을 가진 인증서를 자동으로 프로비저닝합니다. 주요 MDM 플랫폼과의 통합을 통해 사용자 엔드포인트가 기업의 요구 사항을 충족하도록 보장합니다. 이러한 요구 사항에는 디바이스가 '루팅'되었는지 여부와 패치 수준 및 바이러스 업데이트가 올바른지 확인하는 것이 포함될 수 있습니다. 또한 로컬 애플리케이션을 추가, 삭제, 수정하는 기능을 모니터링하고 제한할 수 있으므로 기업 데이터를 컨테이너화할 수 있습니다.

디바이스 온보딩을 통해 Guest network SSID를 사용하여 직원의 자체 등록과 게스트 액세스를 모두 수용할 수 있습니다. 프로비저닝 후 기업 사용자는 안전한 기업 SSID에 연결하며, 게스트는 자격 증명으로 식별할 수 있으므로 원래 guest SSID를 통해 계속 제한된 액세스를 할 수 있습니다.

Guest Management

Cisco ISEguest lifecycle 관리를 위한 완벽한 시스템을 제공합니다.

KaiShin_6-1691572288026.png

Guest 사용자는 sponsored 계정 또는 autonomous 로그인 및 guest portal을 사용하여 제한된 시간 동안 네트워크에 액세스할 수 있습니다. 관리자는 기업의 특정 요구 사항에 따라 guest portal 및 정책을 사용자 지정할 수 있습니다.

Centralized Administration and Monitoring

Cisco ISE AAA 서비스, profiling, posture, guest management, BYOD 서비스를 관리, 모니터링, 구성할 수 있는 중앙 인터페이스를 제공합니다.

KaiShin_7-1691572288030.png

관리 및 모니터링 기능은 클라이언트 활동을 추적하고, 네트워크 정책을 유지 관리하고, 네트워크 리소스를 관리하고, 클라이언트 문제를 진단하는 기능을 향상시킵니다. 중앙 집중식 감사와 기록 및 실시간 보고를 쉽게 사용할 수 있습니다.

Cisco ISE는 정책 생성, 가시성, 보고 및 규정 준수를 간소화하는 대시보드를 제공합니다. 분산 배포된 경우에도 단일 중앙 집중식 인터페이스에 대한 웹 브라우저 연결을 통해 모든 Cisco ISE 구성 요소의 관리 및 모니터링을 수행할 수 있습니다. 또한 Cisco pxGrid 또는 API에서 학습된 엔드포인트 데이터는 ISE에서 수집 및 사용하는 데이터와 병합되므로 네트워크 모니터링에 필요한 관리 접점 수가 줄어듭니다.

pxGrid

Cisco ISE는 네트워크 관리, 모니터링 및 보안 플랫폼 간에 엔드포인트 데이터를 교환할 수 있는 프로토콜인 Cisco pxGrid의 핵심 구성 요소 역할을 합니다.

KaiShin_8-1691572288035.png

ISE가 엔드포인트에 대해 수집하는 컨텍스트 데이터를 교환할 수 있으므로 컨텍스트 정책을 다른 플랫폼에 적용할 수 있습니다. 예를 들어 Cisco Firepower Management Center에서 생성된 방화벽 정책은 IP 주소 대신 SGT(Scalable Group Tags)를 기반으로 할 수 있으므로 해당 정책의 복잡성이 줄어듭니다. 마찬가지로 Cisco Secure Network Analytics(이전 Cisco Stealthwatch Enterprise)에서 구성된 규칙을 사용자 이름/그룹 및 운영 체제와 일치시켜 오탐 및 미탐 경보의 생성 횟수를 줄일 수 있습니다.

0 Helpful
시작하기

상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.

이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.

빠른 링크

커뮤니티를 보다 손쉽게 둘러보실 수 있는 빠른 링크를 사용해보세요

보안 전문가에게 물어보세요 아이디어 및 뉴스 공유 기술 관련 비디오 게시 또는 보기
Customers Also Viewed These Support Documents