날짜: 08-13-2023 06:25 PM
Cisco ISE Deployed in the Cloud
클라우드에 Cisco ISE를 배포하면 변화하는 비즈니스 요구 사항을 충족하기 위해 Cisco ISE 배포를 빠르고 쉽게 확장할 수 있습니다. Cisco ISE는 IaC(Infrastructure as Code) 솔루션으로 제공되므로 어디서나 네트워크 액세스와 제어 서비스를 신속하게 배포할 수 있습니다. CFTs(CloudFormation Templates) 또는 Amazon machine images를 통해 AWS(Amazon Web Services)에서 Cisco ISE를 설치하고 실행할 수 있습니다. Cisco는 AWS에 Cisco ISE를 배포할 때 CFT를 사용할 것을 권장합니다.
CFT는 클라우드 배포를 쉽게 생성하고 관리할 수 있는 AWS 솔루션입니다. CFT를 사용하면 AWS에서 virtual private cloud를 생성하여 네트워크를 클라우드로 확장하고 virtual private gateway를 구성하여 IPsec 터널을 통해 조직의 네트워크와 통신할 수 있습니다.
그림은 AWS 클라우드 내의 VPC 서브넷에 배포된 Cisco ISE instance를 보여줍니다. 조직의 필요에 따라 CA(Certificate Authority), Active Directory, DNS, LDAP 서버와 같은 일반적인 서비스를 온프레미스 또는 AWS에 배치할 수 있습니다.
현재 AWS 내에서 사용할 수 있는 Cisco ISE instance는 c5.4xlarge, m5.4xlarge, c5.9xlarge의 세 가지가 있습니다. Policy persona에는 c5.4xlarge 및 c5.9xlarge instance가 권장되며, Admin 및 MnT persona에는 m5.4xlarge instance가 권장됩니다.
instance의 성능 기능은 다음과 같습니다:
Cisco ISE를 처음 사용하며 Cisco ISE 기능을 evaluation하려는 경우 evaluation instance인 t3.xlarge를 사용할 수 있습니다. Evaluation mode에서 Cisco ISE는 100개의 endpoint를 지원하며 90일 동안 모든 Cisco ISE 기능에 액세스할 수 있습니다. 이 evaluation instance에는 4개의 CPU 코어와 16GB RAM만 있으므로 production 환경에는 적합하지 않지만 라이브 환경 내에 배포하기 전에 Cisco ISE에 익숙해지는 데 도움이 될 수 있습니다.
Azure Integration for Admin Access
Microsoft Azure Active Directory는 완전히 클라우드 기반의 identity 및 access management access입니다. 많은 조직에서 SSO(Single Sign-On), MFA(MultiFactor Authentication), conditional access 및 기타 인증 방법을 관리하기 위한 단일 장소로 Azure Active Directory를 활용하고 있습니다. Cisco ISE 버전 3.1부터 Azure Active Directory와의 통합이 ISE 관리 GUI에 대한 관리자 액세스까지 확장되었습니다.
그림은 SSO 액세스를 위해 Azure Active Directory를 사용하여 Cisco ISE 관리자 포털에 로그인하는 관리자의 높은 수준의 워크플로우를 보여줍니다. 워크플로우는 다음과 같습니다.
Identity 공급자인 Azure Active Directory는 요청된 리소스(서비스 공급자)에 대한 사용자의 identity 및 액세스 권한을 확인하고 권한을 부여하는 기관입니다. 서비스 공급자는 사용자가 액세스하려는 호스팅된 리소스 또는 서비스(이 경우 ISE 애플리케이션 서버)입니다. SAML(Security Assertion Markup Language)은 identity 공급자가 서비스 공급자에게 권한 자격 증명을 전달할 수 있는 개방형 표준입니다.
SAML을 통해 사용자는 단일 자격 증명 세트를 사용하여 여러 웹 애플리케이션에 액세스할 수 있습니다. SAML은 사용자, 로그인 및 속성에 대한 정보를 identity 공급자(Azure Active Directory)와 서비스 공급자(ISE) 간에 전달하는 방식으로 작동합니다. SSO를 사용하여 각 사용자가 identity 공급자에 한 번 로그인하면, 사용자가 서비스에 액세스하려고 할 때 Azure Active Directory 공급자가 SAML 특성을 ISE에 전달합니다. ISE는 Azure Active Directory에 권한 부여 및 인증을 요청합니다.
SAML transaction은 identity 공급자와 서비스 공급자 간의 표준화된 통신을 위해 XML을 사용합니다. SAML은 사용자 identity 인증과 서비스 사용 권한 부여를 연결하는 링크입니다.
Multi-DNAC Support
Cisco ISE 릴리스 버전 3.0 이전에서는 Cisco ISE의 단일 배포와 단일 Cisco DNAC(Digital Network Architecture Center) 배포와만 통합될 수 있었습니다. 따라서 Cisco ISE 배포는 최대 200만 개의 endpoint로 확장할 수 있지만 버전 3.0 릴리스 이전에는 단일 배포에 최대 25~100,000개의 endpoint로 제한되어 있었기 때문에 ISE의 DNAC 지원이 제한되었습니다.
릴리스 3.0부터 Cisco DNA Center의 Access Control app의 Cisco ISE의 멀티-DNAC 기능을 사용하면 최대 4개의 Cisco DNA Center 클러스터를 단일 Cisco ISE 시스템과 통합할 수 있으므로 지원되는 endpoint 수가 크게 늘어납니다.
API Gateway
Cisco ISE API gateway는 더 나은 보안 및 트래픽 관리를 제공하기 위해 여러 Cisco ISE 서비스 API에 대한 단일 진입점 역할을 하는 API(Application Programming Interface) 관리 솔루션입니다.
외부 클라이언트의 API 요청은 Cisco ISE의 API gateway로 라우팅됩니다. 내부 알고리즘에 따라 요청은 서비스 API가 실행 중인 Cisco ISE node로 전달됩니다.
Cisco ISE 릴리스 3.0에서는 MnT API가 API gateway를 통해 라우팅됩니다.
API gateway를 사용하도록 설정할 Cisco ISE node를 선택할 수 있습니다. Cisco는 Cisco ISE 배포에서 최소 두 개의 node에서 API gateway를 실행할 것을 권장합니다.
Additional New Features
이 중 일부는 보안 아키텍처에 대한 관리 및 통합 환경을 개선하는 완전히 새로운 기능이며, 일부는 사용성을 개선하고 관리를 간소화하는 기존 기능에 대한 업데이트입니다.
새롭게 업데이트된 기능 중 일부는 다음과 같습니다.
향상된 기능 및 새로운 Cisco ISE 기능의 전체 목록은 다음 릴리스 노트에서 확인할 수 있습니다.
상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.
이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.