구매 혹은 리뉴얼하기
구매 혹은 리뉴얼하기
취소
제안사항 사용
자동 제안 기능은 사용자가 입력함에 따라 가능한 일치 항목을 제안하여 검색 결과를 신속하게 좁히는 데 도움이 됩니다.
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
새 글 작성하기
223
VIEWS
1
Helpful
0
의견

2.5 New Features in Cisco ISE 3.X

Kai Shin
Cisco Employee
Cisco Employee

날짜: ‎08-13-2023 06:25 PM

Cisco ISE Deployed in the Cloud

KaiShin_0-1691806637129.png

클라우드에 Cisco ISE를 배포하면 변화하는 비즈니스 요구 사항을 충족하기 위해 Cisco ISE 배포를 빠르고 쉽게 확장할 수 있습니다. Cisco ISE IaC(Infrastructure as Code) 솔루션으로 제공되므로 어디서나 네트워크 액세스와 제어 서비스를 신속하게 배포할 수 있습니다. CFTs(CloudFormation Templates) 또는 Amazon machine images를 통해 AWS(Amazon Web Services)에서 Cisco ISE를 설치하고 실행할 수 있습니다. Cisco AWS Cisco ISE를 배포할 때 CFT를 사용할 것을 권장합니다.

CFT는 클라우드 배포를 쉽게 생성하고 관리할 수 있는 AWS 솔루션입니다. CFT를 사용하면 AWS에서 virtual private cloud를 생성하여 네트워크를 클라우드로 확장하고 virtual private gateway를 구성하여 IPsec 터널을 통해 조직의 네트워크와 통신할 수 있습니다.

KaiShin_1-1691806637135.png

그림은 AWS 클라우드 내의 VPC 서브넷에 배포된 Cisco ISE instance를 보여줍니다. 조직의 필요에 따라 CA(Certificate Authority), Active Directory, DNS, LDAP 서버와 같은 일반적인 서비스를 온프레미스 또는 AWS에 배치할 수 있습니다.

현재 AWS 내에서 사용할 수 있는 Cisco ISE instance c5.4xlarge, m5.4xlarge, c5.9xlarge의 세 가지가 있습니다. Policy  persona에는 c5.4xlarge c5.9xlarge instance가 권장되며, Admin MnT persona에는 m5.4xlarge instance가 권장됩니다.

instance의 성능 기능은 다음과 같습니다:

  • c5.4xlarge CPU 코어 16개와 32GB RAM을 갖추고 있으며 전용 PSN으로 실행할 때 최대 활성 endpoint 세션은 40,000개입니다(세 가지 persona를 모두 배포한 경우 10,000).
  • c5.9xlarge 36개의 CPU 코어와 72GB RAM을 갖추고 있으며 전용 PSN으로 실행할 때 최대 활성 endpoint 세션은 100,000(세 가지 persona를 모두 배포한 경우 25,000)입니다.
  • m5.4xlarge는 전용 PAN 또는 MnT가 될 수 있으며 배포당 분산 클러스터에 대해 최대 500,000개의 활성 세션을 허용합니다.

Cisco ISE를 처음 사용하며 Cisco ISE 기능을 evaluation하려는 경우 evaluation instance t3.xlarge를 사용할 수 있습니다. Evaluation mode에서 Cisco ISE 100개의 endpoint를 지원하며 90일 동안 모든 Cisco ISE 기능에 액세스할 수 있습니다. evaluation instance에는 4개의 CPU 코어와 16GB RAM만 있으므로 production 환경에는 적합하지 않지만 라이브 환경 내에 배포하기 전에 Cisco ISE에 익숙해지는 데 도움이 될 수 있습니다.

Azure Integration for Admin Access

Microsoft Azure Active Directory는 완전히 클라우드 기반의 identity access management access입니다. 많은 조직에서 SSO(Single Sign-On), MFA(MultiFactor Authentication), conditional access 및 기타 인증 방법을 관리하기 위한 단일 장소로 Azure Active Directory를 활용하고 있습니다. Cisco ISE 버전 3.1부터 Azure Active Directory와의 통합이 ISE 관리 GUI에 대한 관리자 액세스까지 확장되었습니다.

KaiShin_2-1691806637139.png

그림은 SSO 액세스를 위해 Azure Active Directory를 사용하여 Cisco ISE 관리자 포털에 로그인하는 관리자의 높은 수준의 워크플로우를 보여줍니다. 워크플로우는 다음과 같습니다.

  1. 관리자가 웹 브라우저를 사용하여 HTTPS를 사용하여 Cisco ISE 관리 포털 GUI에 연결합니다.
  2. 초기 로그인 페이지에서 관리자는 "SAML로 로그인" 옵션을 선택합니다.
  3. Cisco ISE HTTP 302 리디렉션 메시지를 발행하여 사용자를 Azure Active Directory Microsoft 인증으로 안내하고, 관리자는 Active Directory 자격 증명을 사용하여 로그인합니다.
  4. SSO 포털에 성공적으로 로그인하면 사용자는 Cisco ISE 관리자 GUI에 대한 적절한 액세스 권한을 갖게 됩니다.

Identity 공급자인 Azure Active Directory는 요청된 리소스(서비스 공급자)에 대한 사용자의 identity 및 액세스 권한을 확인하고 권한을 부여하는 기관입니다. 서비스 공급자는 사용자가 액세스하려는 호스팅된 리소스 또는 서비스(이 경우 ISE 애플리케이션 서버)입니다. SAML(Security Assertion Markup Language)identity 공급자가 서비스 공급자에게 권한 자격 증명을 전달할 수 있는 개방형 표준입니다.

SAML을 통해 사용자는 단일 자격 증명 세트를 사용하여 여러 웹 애플리케이션에 액세스할 수 있습니다. SAML은 사용자, 로그인 및 속성에 대한 정보를 identity 공급자(Azure Active Directory)와 서비스 공급자(ISE) 간에 전달하는 방식으로 작동합니다. SSO를 사용하여 각 사용자가 identity 공급자에 한 번 로그인하면, 사용자가 서비스에 액세스하려고 할 때 Azure Active Directory 공급자가 SAML 특성을 ISE에 전달합니다. ISE Azure Active Directory에 권한 부여 및 인증을 요청합니다.

SAML transactionidentity 공급자와 서비스 공급자 간의 표준화된 통신을 위해 XML을 사용합니다. SAML은 사용자 identity 인증과 서비스 사용 권한 부여를 연결하는 링크입니다.

Multi-DNAC Support

Cisco ISE 릴리스 버전 3.0 이전에서는 Cisco ISE의 단일 배포와 단일 Cisco DNAC(Digital Network Architecture Center) 배포와만 통합될 수 있었습니다. 따라서 Cisco ISE 배포는 최대 200만 개의 endpoint로 확장할 수 있지만 버전 3.0 릴리스 이전에는 단일 배포에 최대 25~100,000개의 endpoint로 제한되어 있었기 때문에 ISE DNAC 지원이 제한되었습니다.

KaiShin_3-1691806637143.png

릴리스 3.0부터 Cisco DNA CenterAccess Control app Cisco ISE의 멀티-DNAC 기능을 사용하면 최대 4개의 Cisco DNA Center 클러스터를 단일 Cisco ISE 시스템과 통합할 수 있으므로 지원되는 endpoint 수가 크게 늘어납니다.

API Gateway

Cisco ISE API gateway는 더 나은 보안 및 트래픽 관리를 제공하기 위해 여러 Cisco ISE 서비스 API에 대한 단일 진입점 역할을 하는 API(Application Programming Interface) 관리 솔루션입니다.

KaiShin_4-1691806637150.png

외부 클라이언트의 API 요청은 Cisco ISE API gateway로 라우팅됩니다. 내부 알고리즘에 따라 요청은 서비스 API가 실행 중인 Cisco ISE node로 전달됩니다.

Cisco ISE 릴리스 3.0에서는 MnT API API gateway를 통해 라우팅됩니다.

API gateway를 사용하도록 설정할 Cisco ISE node를 선택할 수 있습니다. Cisco Cisco ISE 배포에서 최소 두 개의 node에서 API gateway를 실행할 것을 권장합니다.

Additional New Features

이 중 일부는 보안 아키텍처에 대한 관리 및 통합 환경을 개선하는 완전히 새로운 기능이며, 일부는 사용성을 개선하고 관리를 간소화하는 기존 기능에 대한 업데이트입니다.

KaiShin_5-1691806637154.png

새롭게 업데이트된 기능 중 일부는 다음과 같습니다.

  • Zero-Touch Provisioning : ZTP(Zero-Touch Provisioning)은 무중단 프로비저닝 메커니즘을 의미합니다. 이 기능은 수동 개입 없이 Cisco ISE 설치, 패치 적용, 핫 패치 적용 및 인프라 서비스 활성화를 자동화합니다. Cisco ISE 3.1에서 활성화된 이 기능은 .img 파일을 매핑하여 필수 매개변수(hostname, IP address, IP netmask, IP default gateway, DNS domain, primary name server, NTP server, system timezone, SSH, username,  password)VM 설치를 자동화하거나 VM 사용자 데이터를 사용하여 VM에 대한 선택 매개변수(IPv6, 패치, 핫 패치, 서비스 및 repository 세부 정보)를 추가함으로써 활용할 수 있습니다.
  • Open API service : Open API는 포트 443에서 작동하는 HTTPS 기반의 REST API입니다. 이제 Cisco ISE에서 사용할 수 있도록 Open API 형식으로 API를 사용할 수 있습니다. Cisco ISE 버전 3.1부터 Repository Management, Configuration Data Backup 및 복원, 정책 관리(RADIUS TACACS+) 및 인증서 관리 Open API를 사용할 수 있습니다.
  • Posture Script Remediation : Posture 수정 스크립트를 생성하고 Cisco ISE에 업로드하여 endpoint의 규정 미준수 문제를 해결할 수 있습니다.
  • Linux에 대한 posture 지원 : Posture는 네트워크에 연결되는 모든 endpoint의 상태를 확인하여 기업 보안 정책을 준수하는지 확인할 수 있는 Cisco ISE의 서비스입니다. Cisco ISE 3.1 Windows Mac 운영 체제 외에 다음과 같은 Linux 운영 체제 버전을 지원합니다.
    • Ubuntu: 18.04 20.04
    • Red Hat: 7.5, 7.9, 8.1, 8.2, 8.3
    • SUSE: 12.3, 12.4, 12.5, 15.0, 15.1, 15.2
  • 업그레이드 옵션 : Administration > System > Upgrade> Upgrade 선택 창에서 Full upgrade Split upgrade 중에서 선택할 수 있습니다.
    • Full Upgrade : Full Upgrade Cisco ISE 배포를 순차적으로 완전히 업그레이드할 수 있는 다단계 프로세스입니다. 이 프로세스는 Split Upgrade 프로세스에 비해 짧은 시간에 모든 node를 병렬로 업그레이드합니다. 모든 node가 병렬로 업그레이드되므로 업그레이드 프로세스 중에는 서비스가 중단됩니다.
    • Split Upgrade : Split Upgrade는 업그레이드 프로세스 중에 사용자가 서비스를 계속 사용할 수 있도록 하면서 Cisco ISE 배포를 업그레이드할 수 있는 다단계 프로세스입니다. Split Upgrade 옵션을 사용하면 업그레이드할 node를 선택할 수 있습니다.
  • Context Visibility Enhancements : 이제 Export Endpoints 대화 상자에서 CSV 파일을 수정하지 않고 Cisco ISE로 가져올 수 있는 속성만 내보내려면 Importable Only확인란을 선택할 수 있습니다. 이 옵션을 사용하면 내보낸 CSV 파일을 Cisco ISE로 가져오기 전에 내보낸 CSV 파일의 열 또는 메타데이터를 수정할 필요가 없습니다. 또한 빠른 필터 또는 고급 필터 옵션을 사용하는 동안 필터링된 내보내기 옵션을 사용하여 필터링된 endpoint만 내보낼 수 있습니다.
  • Authorization Result Alarms : 권한 부여 정책의 결과를 기반으로 알람을 구성할 수 있습니다. 이 기능을 사용하면 네트워킹, 인프라 또는 애플리케이션 변경이 endpoint 권한 부여에 미치는 영향을 모니터링할 수 있습니다. 특정 NDG(Network Device Group)를 선택하여 알람의 범위를 정의할 수 있습니다. 선택한 각 NDG에 대해 새 권한 부여 결과 알람이 생성됩니다.

향상된 기능 및 새로운 Cisco ISE 기능의 전체 목록은 다음 릴리스 노트에서 확인할 수 있습니다.

https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-release-notes-list.html

 

시작하기

상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.

이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.

빠른 링크

커뮤니티를 보다 손쉽게 둘러보실 수 있는 빠른 링크를 사용해보세요

보안 전문가에게 물어보세요 아이디어 및 뉴스 공유 기술 관련 비디오 게시 또는 보기
Customers Also Viewed These Support Documents