구매 혹은 리뉴얼하기
구매 혹은 리뉴얼하기
"
NEW! 시스코 커뮤니티의 새로운 Cisco Umbrella 콘텐츠에 대해 자세히 알아보세요!
"
취소
제안사항 사용
자동 제안 기능은 사용자가 입력함에 따라 가능한 일치 항목을 제안하여 검색 결과를 신속하게 좁히는 데 도움이 됩니다.
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
새 글 작성하기
430
VIEWS
0
Helpful
0
의견

1. Introducing Cisco ISE Architecture - 1.1 & 1.2

Kai Shin
Cisco Employee
Cisco Employee

날짜: ‎08-07-2023 09:16 AM

1.1 Introduction

이 장에서는 Cisco ISE(Identity Services Engine)의 기능 개요와 이러한 기능이 네트워크 보안을 개선하는 데 어떻게 도움이 되는지 소개합니다. 또한 Cisco ISE 기능 및 사용 사례에 대해서도 알아봅니다.

 

1.2 Cisco ISE as a Network Access Policy Engine

Digitization Brings New Security Challenges

기업 IT 환경이 변화함에 따라 조직은 새로운 IT 보안 과제에 직면하고 있습니다. 이러한 변화에는 사물 인터넷(IoT) 디바이스의 확산, 클라우드로의 워크로드 이동, 가상화된 서비스 사용 증가가 포함됩니다. 또한 직원들은 언제 어디서나 BYOD(Bring Your Own Device) 서비스를 사용하여 기업 리소스에 액세스하기를 원합니다.

 

KaiShin_0-1691163811974.png

 

이러한 트렌드는 조직의 민첩성과 수익성을 높일 수 있는 잠재력을 가지고 있지만, 새로운 도전과제를 수반합니다. 이러한 과제에는 누가 네트워크에 연결되어 있는지, 어떤 디바이스를 사용하고 있는지, 어디서 이러한 디바이스를 사용하고 있는지에 대한 가시성이 저하되는 것이 포함됩니다. 디바이스를 볼 수 없으면 제어할 수 없으므로 네트워크 취약성이 증가할 수 있습니다. 이러한 문제를 수동으로 완화하려는 시도는 IT 리소스를 제공하는 데 드는 운영 비용(OPEX)을 증가시킵니다.

이러한 트랜드는 조직의 일상적인 운영에도 도움이 될 수 있지만, 몇 가지 질문에 답할 수 있어야 합니다. e.g., 조직은 어떻게 체계적이고 비용 효율적인 방식으로 보안 액세스 문제를 완화할 수 있을까요? 그리고 그렇게 하려면 무엇이 필요할까요?

 

Visibility and Access Control

조직에는 자산 가시성이 필요합니다. IT 직원은 누가 연결되어 있는지, 어떻게 연결되어 있는지, 어떤 엔드포인트 디바이스를 사용하고 있는지 쉽게 확인할 수 있어야 합니다. 네트워크에 연결된 다양한 사용자와 디바이스를 식별할 수 있는 것은 높은 수준의 보안을 제공하고 규정 준수 표준을 충족하기 위한 첫 번째 단계 중 하나입니다.

 

KaiShin_1-1691163811980.png

 

IT 직원이 네트워크에 연결된 사용자와 디바이스를 파악하면 조직의 액세스 제어 기능, 즉 사용자의 신원과 연결 방식에 따라 사용자와 엔드포인트에 적절한 수준의 액세스를 적용할 수 있는 능력이 향상됩니다. 가시성에는 리소스를 적절하게 분류하기 위해 기업 직원 및 엔드포인트 액세스는 물론 게스트 또는 BYOD 액세스를 식별하는 것이 포함됩니다.

IT 직원은 위협을 더 쉽게 제어하고 억제할 수 있는 리소스를 손쉽게 이용할 수 있어야 합니다. 이러한 위협은 오래되었거나 패치가 적용되지 않은 운영 체제를 사용하는 엔드포인트 또는 적절한 최신 바이러스 또는 멀웨어 보호 소프트웨어가 없는 시스템에서 발생할 수 있으며, 다른 많은 공격 경로에서도 발생할 수 있습니다.

또한 조직은 네트워크 인프라를 구성하는 라우터, 스위치, 방화벽, 기타 어플라이언스 등 네트워크 디바이스 자체에 대한 관리자의 액세스를 제어할 수 있어야 합니다.

IT 직원은 다른 공급업체의 서비스를 사용하더라도 다양한 네트워크 서비스와 다양한 보안 및 사용자 컨텍스트 정보를 공유함으로써 이점을 얻을 수 있습니다.

 

Cisco Identity Services Engine

Cisco ISE(Identity Services Engine)는 중앙 집중식 네트워크 액세스 제어 및 정책 시행 플랫폼입니다. Cisco ISE를 사용하면 단일 관리 인터페이스에서 네트워크 액세스 및 사용 정책을 제어하기 위한 중앙 집중식 정책 관리를 수행할 수 있습니다.

 

KaiShin_2-1691163811987.png

Cisco ISE는 사용자 및 디바이스 액세스에 대한 주요 정보를 수집하고 이 정보를 사용하여 연결 유형에 관계없이 최종 사용자 네트워크 액세스 및 관리 네트워크 디바이스 액세스를 제어합니다. 유선, 무선 및 원격 사용자는 물리적 또는 무선 네트워크에 직접 연결하거나 VPN을 통해 연결할 수 있습니다. 원격으로 연결하든 기업 리소스에 직접 연결하든 사용자는 동일한 통합 액세스 및 제어를 받을 수 있습니다.

또한 Cisco ISE는 내부 네트워크 및 회사 파일뿐만 아니라 인터넷에 대한 액세스를 규제하는 게스트 및 EMM(Enterprise Mobility Management)기능을 제공합니다. 자동 규칙을 설정하여 직원에게 스폰서십을 제공할 수 있습니다. 이러한 자동화를 통해 전반적인 기업 보안을 유지하고 게스트와 계약직원들이 적시에 액세스하도록 보장할 수 있습니다.

또한 수집된 정보를 사용하여 다양한 정부 및 업계 표준에 대한 규정 준수를 보장할 수 있습니다. 이 정보는 Platform Exchange Grid(pxGrid) 또는 API(Application Programming Interfaces)를 사용하여 Cisco 에코시스템 파트너 디바이스 간에 공유할 수 있습니다. 이러한 데이터 공유는 보안 정보 및 이벤트 관리(SIEM), 모바일 디바이스 관리(MDM), 네트워크 행동 분석(NBA), 침입 방지 시스템(IPS) 등의 서비스 기능을 향상하는 데 사용됩니다.

 

Secure Access Control

Cisco ISE에서 수집하는 정보는 주로 특정 연결 세션의 "컨텍스트"와 관련이 있습니다. Cisco ISE 영역에서 컨텍스트는 연결 시도의 "누가, 무엇을, 어디서, 언제, 어떻게"와 관련이 있습니다. 이 사용자는 누구입니까? 어떤 유형의 디바이스를 사용 중인가요? 언제 연결을 시도하는가? 어디에 위치해 있나요? 어떤 방식으로 연결하려고 하나요? 이러한 기준 중 일부 또는 전부를 기준으로 다양한 수준의 액세스 권한을 부여할 수 있습니다.

 

KaiShin_3-1691163811992.png

Cisco ISE DHCP NetFlow와 같은 프로토콜에서 네트워크에 대한 컨텍스트 데이터를 수집합니다. 또한 Active Directory LDAP(Lightweight Directory Access Protocol) 연동을 통해 사용자 ID에 대한 컨텍스트 데이터를 수집합니다. 또한 상태 또는 규정 준수를 평가할 때 통합 파트너로부터 컨텍스트를 수집합니다.

컨텍스트 ID가 설정되면 Cisco ISE는 이러한 이질적인 데이터를 단일 위치로 통합하여 액세스와 관련하여 보다 충분한 정보에 기반한 결정을 내릴 수 있습니다. Cisco 보안 접속 솔루션은 상황에 대한 포괄적인 가시성과 탁월한 접속 제어를 제공하여 보안 위험을 완화합니다.

Cisco Secure Access System IEEE 802.1X VLAN 제어와 같은 표준 기반 ID 및 시행 모델을 사용합니다. 또한 유연한 인증, Downable Access Control Lists(dACLs), Scalable Group Access(SGA), 디바이스 프로파일링, 규정 준수 상태 평가, 게스트 액세스 관리 등 더 많은 고급 ID 및 시행 기능을 제공합니다. 이러한 기능의 대부분은 Cisco ISENetwork Access Devices(NADs) 간의 긴밀한 통합을 통해 이루어집니다.

 

Cisco ISE Deployment Overview

다음 그림은 일반적인 Cisco ISE 배포에 대한 개략적인 개요를 제공합니다. 다양한 엔드포인트가 이더넷 스위치, 방화벽 또는 Wireless Access Point(AP) 등의 Network Access Device(NAD) 및 관련 Wireless LAN Controller(WLC)에 연결됩니다.

 

KaiShin_4-1691163812001.png

NAD는 사용자가 네트워크 액세스를 위해 연결하는 장치입니다. 따라서 보안 솔루션의 핵심 정책 적용 지점입니다. RADIUS 기반 인증의 경우 Cisco ISE RADIUS 서버 역할을 하고 NAD RADIUS 클라이언트 역할을 합니다.

일반적으로 인증 방법은 네트워크에 대한 보안 액세스를 제공하도록 구성됩니다. 기업 사용자는 IEEE 802.1X 프로토콜을 통해 인증하는 경우가 많으며, 게스트 사용자는 일반적으로 Web Authentication(WebAuth)을 사용하여 인증합니다. 프린터나 손에쥐는 스캐너와 같은 특수 장치는 이러한 인증 방법을 지원하지 않을 수 있으므로 MAC Authentication Bypass(MAB)를 사용합니다.

이러한 인증 요청은 모두 Cisco ISE에서 중앙에서 제어하며, 이러한 요청을 로컬로 인증하거나 백엔드 서비스를 사용할 수 있습니다. 이러한 백엔드 서비스에는 Microsoft Active Directory 또는 LDAP 기반 사용자 이름 및 암호 시스템이 포함됩니다. 솔루션에는 외부 CA(Certificate Authority) 서비스도 포함될 수 있습니다.

Cisco ISE는 인증 요청을 적절하게 인증하거나 거부합니다. 요청을 인증하는 경우 Cisco ISE는 해당 사용자에 대한 액세스 수준을 제어하기 위해 정보를 NAD로 다시 보냅니다. 예를 들어 Cisco ISE는 사용자의 트래픽을 특정 VLAN에 매핑하도록 스위치 또는 WLC를 구성할 수 있습니다. 각 사용자 또는 엔드포인트가 액세스할 수 있는 항목을 제어하기 위해 스위치에 dACL을 보내거나 WLCNamed Access List를 보낼 수 있습니다. 또는 Cisco ISE NAD와 연동하여 사용자 액세스를 제어하기 위해 SGA를 배포할 수 있습니다.

0 Helpful
시작하기

상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.

이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.

빠른 링크

커뮤니티를 보다 손쉽게 둘러보실 수 있는 빠른 링크를 사용해보세요

보안 전문가에게 물어보세요 아이디어 및 뉴스 공유 기술 관련 비디오 게시 또는 보기
Customers Also Viewed These Support Documents