구매 혹은 리뉴얼하기
구매 혹은 리뉴얼하기
"
NEW! 시스코 커뮤니티의 새로운 Cisco Umbrella 콘텐츠에 대해 자세히 알아보세요!
"
취소
제안사항 사용
자동 제안 기능은 사용자가 입력함에 따라 가능한 일치 항목을 제안하여 검색 결과를 신속하게 좁히는 데 도움이 됩니다.
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
새 글 작성하기
475
VIEWS
1
Helpful
0
의견

4. Introducing Cisco ISE Policy - 4.1 & 4.2

Kai Shin
Cisco Employee
Cisco Employee

날짜: ‎10-23-2023 09:22 AM

4. Introducing Cisco ISE Policy - 4.1 & 4.2

Cisco ISE(Identity Services Engine)는 계층적 정책 시스템을 사용하여 네트워크 액세스를 제어합니다. 이번장에서는 계층 구조의 최상위에 있는 policy sets와 이 policy sets가 사용자를 다음 단계인 authentication policy authorization policy 로 사용하는 방법에 대해 알아봅니다.

 

Hierarchical Policy Control Access

Policy sets Cisco ISE policy control 계층 구조에 최상위에 있으며 control 합니다. Policy sets 에는 상호 관련된 세 가지 주요 기능이 있습니다.

  • Authentication 및 authorization policy 의 논리적 그룹화를 위한 컨테이너 역할을 합니다.
  • Boolean(True 혹은 False)조건을 사용하여 사용자를 네트워크 authentication authorization 를 위한 적절한 정책 그룹으로 사용됩니다.
  • Authorization 세션을 allowed protocol 집합(또는 외부 RADIUS 서버에 대한 프록시)으로 제한합니다.

Policy Set Hierarchy

KaiShin_0-1697975758774.png

Policy sets을 사용하면 몇 가지 기준에 따라 authentication authorization policy 을 그룹화할 수 있습니다. 예를 들어 다음을 기준으로 그룹화할 수 있습니다.

  • Use Case : 무선, 유선, 게스트 또는 endpoints 프로비저닝에 따라 authentication authorization policy 을 그룹화할 수 있습니다. 위 그림에서 유선 사용자는 무선 사용자와 다른 policy sets을 사용합니다.
  • Location : 지역, 캠퍼스 또는 건물 등 조직의 여러 위치에 대해 서로 다른 policy sets을 만들 수도 있습니다. 주 캠퍼스에 있는 사용자가 원격 캠퍼스에 있는 사용자와 다른 리소스를 사용하여 인증하도록 할 수 있습니다. 조직에 적합한 기준을 사용할 수 있습니다..

Policy sets을 만들려면 name, condition 및 allowed protocol 의 resultant set 이라는 세 가지 주요 항목을 구성합니다. 위 그림에 표시된 예제에서 사용자가 유선 이더넷 스위치를 통해 네트워크에 액세스하려고 하면 PolSet1이 선택됩니다. 사용자는 인증에 allowed protocol 집합으로 제한됩니다. 이 경우 MAB(MAC Address Bypass) 또는EAP-TLS만 사용할 수 있습니다. 이들은 AuthC_Policy1에 포함된 rule 에 따라 인증되고 AuthZ_Policy1이라는 authorization policy 을 통해 특정 리소스에 액세스할 수 있는 권한이 부여됩니다.

Policy sets 는 일반적인 액세스 목록과 매우 유사하게 위에서 아래로 처리됩니다. PolSet1이 가장 먼저 나열되므로 해당 조건이 먼저 적용됩니다. 해당 조건이 충족되지 않으면(유선 사용자가 아닌 경우) PolSet2 에서 프로세스 됩니다.

PolSet2 조건은 사용자가 무선 장치를 사용하는지 확인합니다. 무선 장치를 사용하는 경우 사용자는 PEAP 또는 EAP-TLS를 통해서만 인증할 수 있습니다. 이들은 AuthC_Policy2 rule 에 의해 인증되고 AuthZ_Policy2 의 rule 에 따라 권한이 부여됩니다.

Policy Set Application

Policy sets 구성은 각 Cisco ISE Work Center 의 일부입니다. policy sets 에 대해 Cisco ISE main memu Policy configuration section 으로 다시 이동할 필요가 없습니다. Work Center 에서 구성하는 기능은 다르지만 RADIUS 요청 처리는 동일한 방식으로 처리됩니다.

KaiShin_1-1697975772279.png

 Policy sets 는 다음을 포함하여 많은 Cisco ISE 기능의 핵심 구성 요소입니다.

  • Network access
  • Guest access
  • TrustSec
  • BYOD
  • Profiler
  • Posture
  • Device administration (TACACS+ rules)

Policy Set Configuration

Name, condition allowed protocol policy sets을 만듭니다.

각 policy sets 에는 고유한 authentication authorization rules 이 포함되어 있으며, 이러한 rules policy sets 간에 공유하거나 복사할 수 없습니다. 그러나 rule conditions 을 정의하여 condition library 에 저장하고 이렇게 저장된 조건을 재사용할 수 있습니다.

KaiShin_2-1697975788309.png

간단한 설정의 경우는 default policy set 만 필요할 수 있습니다. 보다 복잡한 설정의 경우 특정 조직에서 요구하는 대로 별도의 use cases, locations 또는 기타 기준에 대한 별도의 policy sets 가 필요할 수 있습니다.

위 그림에서 보듯이 default 외에 두 개의 policy sets이 만들어졌습니다. Wired Access Policy 라는 이름의 최상위 policy sets DEVICE-Device Type EQUALS All Device Types#Wired 조건에 일치하며 default allowed protocol list 을 사용합니다. 두 번째 policy sets인 Wireless Access Policy 은 DEVICE-Device Type EQUALS All Device Types#Wireless 조건에서 일치하며, default allowed protocol 목록도 사용합니다. 추가된 두 policy sets 중 어느 것과도 일치하지 않는 RADIUS 요청이 있으면 default policy sets 가 사용됩니다.

Allowed Protocols

각 policy sets 에는 policy sets 에 사용할 수 있는 인증 방법을 정의하는 allowed protocol 목록이 첨부되어 있습니다. Policy sets 와 일치하는 조건에 따라 사용 중인 인증 방법의 강도를 조정할 수 있습니다.

KaiShin_3-1697975798089.png

예를 들어 네트워크 액세스에는 EAP가 필요할 수 있고, 더 강력한 액세스 방법이 필요한 네트워크 부분에는 PEAP를 사용해야 할 수 있으며, 802.1X supplicant 를 사용하지 않는 IP 전화, 프린터, 카메라, 게스트 및 기타 장치가 MAB 로 인증될 수 있는 네트워크 영역이 있을 수 있습니다.

기본 policy sets 에 첨부된 Cisco ISE에는 대부분의 보안 인증 방법과 MAB를 지원하는 기본 allowed protocol 목록이 있습니다. allowed protocol 목록을 생성하는 모든 policy sets 에 사용하거나 배포의 보안 요구 사항에 따라 custom allowed protocol 목록을 만들 수 있습니다.

Authentication and Authorization Policies

Cisco ISE policy system 계층 구조의 두 번째 levelauthentication authorization 에 대한 실제 정책으로 구성됩니다.

Authentication policy 은 사용자 자격 증명을 확인할 identity source 또는 identity source sequence를 제어합니다. policy sets 에는 하나의 authentication policy 만 있을 수 있지만 해당 정책에는 여러 rules 이 있을 수 있습니다.

KaiShin_4-1697975809729.png

위 그림에서 PolSet1이라는 이름의 authentication policy 에는 두 개의 rules 이 있으며, policy sets 와 마찬가지로 이러한 rules 은 위에서 아래로 처리됩니다. 첫 번째 rule 에 따라 엔드포인트가 MAB를 통해 인증을 시도하면 해당 자격 증명이 단일 identity source Cisco ISE Internal Endpoints 데이터베이스에 대해 확인됩니다. 이 조건이 충족되지 않으면 두 번째 rule 이 확인됩니다. 802.1X를 사용하는 경우 identity source sequence가 적용됩니다. 먼저 AD_1이라는 Active Directory 가 확인된 다음 LDAP_1이라는 LDAP(Lightweight Directory Access Protocol) 데이터베이스가 확인됩니다.

MAB 또는 802.1X를 사용하든, 사용자 자격 증명이 적절한 데이터베이스에 대해 확인됩니다. 자격 증명이 유효하면 사용자가 인증된 것이므로 사용자가 누구인지 알 수 있습니다. 하지만 사용자가 어떤 작업을 수행하도록 허용할까요?

Authorization policy 은 사용자가 액세스할 수 있는 리소스를 제어합니다. 다시 말하지만 authorization policy 은 하나만 가질 수 있습니다(일부 예외 authorization policies 포함). 이 정책은 모두 위에서 아래로 처리되는 여러 규칙을 가질 수 있습니다.

PolSet1 authorization policy에서 액세스 level Active Directory 그룹 멤버십에 따라 결정됩니다. Employee 그룹의 멤버인 경우에는 적절한 Employee level의 액세스 권한이 부여됩니다. Contractor 그룹의 멤버인 경우에는 더 작은 리소스 집합에만 액세스할 수 있도록 권한이 제한됩니다.

요약하자면, 사용자가 네트워크에 액세스하려고 할 때:

  • 네트워크 액세스 서비스는 policy sets level에서 선택됩니다.
  • Identity source authentication policy level에서 선택됩니다.
  • 네트워크 권한은 authorization policy level에서 선택됩니다.
시작하기

상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.

이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.

빠른 링크

커뮤니티를 보다 손쉽게 둘러보실 수 있는 빠른 링크를 사용해보세요

보안 전문가에게 물어보세요 아이디어 및 뉴스 공유 기술 관련 비디오 게시 또는 보기
Customers Also Viewed These Support Documents