Cisco ISE: 소개, 요구 사항, 설치. 1 부

1. 소개

가장 작은 회사라도 모든 회사에는 인증, 권한 부여 및 사용자 계정(AAA 프로토콜 제품군)이 필요합니다. 초기 단계에서 AAA는 RADIUS, TACACS+ 및 DIAMETER와 같은 프로토콜을 사용하여 매우 잘 구현되었습니다. 그러나 사용자 수와 회사 수가 증가함에 따라 호스트 및 BYOD 장치의 최대 가시성, 다단계 인증, 다단계 액세스 정책 생성 등의 작업 수도 늘어납니다.

이러한 작업에는 NAC(Network Access Control) 클래스의 솔루션, 즉 네트워크 액세스 제어가 완벽합니다. 일련의 기사에서 시스코 ISE (Identity Services Engine) - 내부 네트워크의 사용자에게 상황 인식 액세스 제어를 제공하기 위한 NAC 솔루션으로, 솔루션의 아키텍처, 프로비저닝, 구성 및 라이선스에 대해 자세히 살펴보겠습니다.

Cisco ISE를 통해 다음을 수행할 수 있다는 점을 간단히 상기시켜 드리겠습니다.

• 전용 WLAN에서 게스트 액세스를 빠르고 쉽게 생성합니다.

• BYOD 장치(예: 직원이 직장에 가져온 가정용 PC)를 감지합니다.

• SGT 보안 그룹 레이블을 사용하여 도메인 및 비도메인 사용자 전반에 걸쳐 보안 정책을 중앙 집중화하고 시행합니다. 트러스트섹);

• 컴퓨터에 설치된 특정 소프트웨어와 표준 준수 여부(포스트링)를 확인합니다.

• 엔드포인트와 네트워크 장치를 분류하고 프로파일링합니다.

• 엔드포인트 가시성을 제공합니다.

• 사용자 기반 정책을 형성하기 위해 사용자의 로그온/로그오프 이벤트 로그, 해당 계정(ID)을 NGFW로 보냅니다.

• Cisco StealthWatch와 기본적으로 통합되어 보안 사고와 관련된 의심스러운 호스트를 격리합니다(더);

• 그리고 AAA 서버의 기타 기능 표준입니다.

업계 동료들은 이미 Cisco ISE에 대해 글을 썼으므로 다음 내용을 읽어 보시기 바랍니다. Cisco ISE 구현 사례, Cisco ISE 구현을 준비하는 방법.

2. 건축

ID 서비스 엔진 아키텍처에는 관리 노드(정책 관리 노드), 정책 배포 노드(정책 서비스 노드), 모니터링 노드(모니터링 노드) 및 PxGrid 노드(PxGrid 노드)의 4개 엔터티(노드)가 있습니다. Cisco ISE는 독립형 또는 분산형으로 설치할 수 있습니다. 독립형 버전에서는 모든 엔터티가 하나의 가상 머신이나 물리적 서버(보안 네트워크 서버 - SNS)에 위치하는 반면, 분산형 버전에서는 노드가 여러 장치에 분산됩니다.

PAN(정책 관리 노드)은 Cisco ISE에서 모든 관리 작업을 수행할 수 있는 필수 노드입니다. AAA와 관련된 모든 시스템 구성을 처리합니다. 분산 구성(노드를 별도의 가상 머신으로 설치할 수 있음)에서는 내결함성을 위해 최대 XNUMX개의 PAN(활성/대기 모드)을 가질 수 있습니다.

PSN(정책 서비스 노드)은 네트워크 액세스, 상태, 게스트 액세스, 클라이언트 서비스 프로비저닝 및 프로파일링을 제공하는 필수 노드입니다. PSN은 정책을 평가하고 적용합니다. 일반적으로 보다 중복되고 분산된 작업을 위해 특히 분산 구성에서 여러 PSN이 설치됩니다. 물론 그들은 인증되고 승인된 액세스를 잠시 동안 제공하는 기능을 잃지 않도록 이러한 노드를 다른 세그먼트에 설치하려고 합니다.

모니터링 노드(MnT)는 네트워크상의 이벤트 로그, 다른 노드의 로그, 정책을 저장하는 필수 노드입니다. MnT 노드는 모니터링 및 문제 해결을 위한 고급 도구를 제공하고 다양한 데이터를 수집 및 연관시키며 의미 있는 보고서도 제공합니다. Cisco ISE를 사용하면 최대 XNUMX개의 MnT 노드를 보유할 수 있으므로 내결함성(활성/대기 모드)이 생성됩니다. 그러나 로그는 활성 노드와 수동 노드 모두에서 수집됩니다.

PxGrid 노드(PXG)는 PxGrid 프로토콜을 사용하고 PxGrid를 지원하는 다른 장치 간의 통신을 허용하는 노드입니다.

PxGrid  — 모니터링 시스템, 침입 탐지 및 방지 시스템, 보안 정책 관리 플랫폼 및 기타 여러 솔루션 등 다양한 공급업체의 IT 및 정보 보안 인프라 제품의 통합을 보장하는 프로토콜입니다. Cisco PxGrid를 사용하면 API 없이도 많은 플랫폼과 단방향 또는 양방향 방식으로 컨텍스트를 공유할 수 있으므로 기술 활용이 가능해집니다. 트러스트섹 (SGT 태그), ANC(적응형 네트워크 제어) 정책을 변경 및 적용하고 프로파일링을 수행하여 장치 모델, OS, 위치 등을 결정합니다.

고가용성 구성에서 PxGrid 노드는 PAN을 통해 노드 간에 정보를 복제합니다. PAN이 비활성화되면 PxGrid 노드는 사용자 인증, 권한 부여 및 계정을 중지합니다. 

다음은 기업 네트워크에서 다양한 Cisco ISE 엔터티의 작동을 개략적으로 나타낸 것입니다.

그림 1. Cisco ISE 아키텍처

3. 요구사항

Cisco ISE는 대부분의 최신 솔루션과 마찬가지로 가상으로 또는 물리적으로 별도의 서버로 구현할 수 있습니다. 

Cisco ISE 소프트웨어를 실행하는 물리적 장치를 SNS(Secure Network Server)라고 합니다. 중소기업 및 대기업을 위한 SNS-3615, SNS-3655, SNS-3695의 세 가지 모델로 제공됩니다. 표 1은 다음의 정보를 보여줍니다. 데이터 시트 SNS.

표 1. SNS 규모별 비교표

매개 변수

SNS 3615(소형)

SNS 3655(중)

SNS 3695(대형)

독립형 설치에서 지원되는 엔드포인트 수

10000

25000

50000

PSN당 지원되는 엔드포인트 수

10000

25000

100000

CPU(인텔 제온 2.10GHz)

8코어

12코어

12코어

램 

32GB(2GB 16개)

96GB(6GB 16개)

256GB(16GB 16개)

HDD

1GB 600개

4GB 600개

8GB 600개

하드웨어 RAID

아니

RAID 10, RAID 컨트롤러 존재

RAID 10, RAID 컨트롤러 존재

네트워크 인터페이스

2Gbase-T 10개

4Gbase-T 1개 

2Gbase-T 10개

4Gbase-T 1개 

2Gbase-T 10개

4Gbase-T 1개

가상 구현과 관련하여 지원되는 하이퍼바이저는 VMware ESXi(ESXi 11용 최소 VMware 버전 6.0 권장), Microsoft Hyper-V 및 Linux KVM(RHEL 7.0)입니다. 리소스는 위 표와 거의 동일하거나 그 이상이어야 합니다. 그러나 소규모 비즈니스 가상 머신의 최소 요구 사항은 다음과 같습니다. CPU 2 2.0GHz 이상의 주파수로, 16GB RAM и 200 GB HDD. 

기타 Cisco ISE 배포에 대한 자세한 내용은 다음으로 문의하십시오. 우리 또는 자원 #1, 자원 #2.

4. 설치

대부분의 다른 Cisco 제품과 마찬가지로 ISE는 여러 가지 방법으로 테스트할 수 있습니다.

• 디클라우드 – 사전 설치된 실험실 레이아웃의 클라우드 서비스(Cisco 계정 필요)

• GVE 요청 – 요청자 сайта 특정 소프트웨어의 Cisco(파트너를 위한 방법) 다음과 같은 일반적인 설명을 사용하여 케이스를 생성합니다. 제품 유형 [ISE], ISE 소프트웨어 [ise-2.7.0.356.SPA.x8664], ISE 패치 [ise-patchbundle-2.7.0.356-Patch2-20071516.SPA.x8664];

• 파일럿 프로젝트 — 무료 파일럿 프로젝트를 수행하려면 공인 파트너에게 문의하세요.

1) 가상 머신을 생성한 후 OVA 템플릿이 아닌 ISO 파일을 요청한 경우 ISE에서 설치를 선택하라는 창이 나타납니다. 이렇게 하려면 로그인과 비밀번호 대신에 “설치"!

참고 : OVA 템플릿에서 ISE를 배포한 경우 로그인 세부 정보 관리자/MyIseYPass2 (이것과 훨씬 더 많은 내용이 공식에 표시되어 있습니다. 가이드).

그림 2. Cisco ISE 설치

2) 그런 다음 IP 주소, DNS, NTP 등 필수 항목을 입력해야 합니다.

그림 3. Cisco ISE 초기화

3) 그 후 장치가 재부팅되고 이전에 지정한 IP 주소를 사용하여 웹 인터페이스를 통해 연결할 수 있습니다.

그림 4. Cisco ISE 웹 인터페이스

4) 탭에서 관리 > 시스템 > 배포 특정 장치에서 활성화되는 노드(엔티티)를 선택할 수 있습니다. 여기서 PxGrid 노드가 활성화됩니다.

그림 5. Cisco ISE 엔터티 관리

5) 그런 다음 탭에서 관리 > 시스템 > 관리자 액세스 > 인증 비밀번호 정책, 인증방법(인증서 또는 비밀번호), 계정 만료일 등을 설정하는 것을 권장합니다.

그림 6. 인증 유형 설정그림 7. 비밀번호 정책 설정그림 8. 시간 만료 후 계정 종료 설정그림 9. 계정 잠금 설정

6) 탭에서 관리 > 시스템 > 관리자 액세스 > 관리자 > 관리자 사용자 > 추가 새로운 관리자를 생성할 수 있습니다.

그림 10. 로컬 Cisco ISE 관리자 생성

7) 새 관리자는 새 그룹 또는 이미 사전 정의된 그룹의 일부가 될 수 있습니다. 관리자 그룹은 탭의 동일한 패널에서 관리됩니다. 관리 그룹. 표 2에는 ISE 관리자, 해당 권한 및 역할에 대한 정보가 요약되어 있습니다.

표 2. Cisco ISE 관리자 그룹, 액세스 수준, 권한 및 제한 사항

관리자 그룹 이름

권한

제한

사용자 정의 관리자

게스트 및 후원 포털 설정, 관리 및 사용자 정의

정책을 변경하거나 보고서를 볼 수 없음

헬프데스크 관리자

기본 대시보드, 모든 보고서, 경고 및 문제 해결 스트림을 볼 수 있는 기능

보고서, 경보 및 인증 로그는 변경, 생성 또는 삭제할 수 없습니다.

신원 관리자

사용자, 권한 및 역할 관리, 로그, 보고서 및 경보 보기 기능

OS 수준에서는 정책을 변경하거나 작업을 수행할 수 없습니다.

MnT 관리자

전체 모니터링, 보고서, 경보, 로그 및 관리

정책을 변경할 수 없음

네트워크 장치 관리자

ISE 개체를 생성 및 변경하고, 로그, 보고서, 기본 대시보드를 볼 수 있는 권한

OS 수준에서는 정책을 변경하거나 작업을 수행할 수 없습니다.

정책 관리자

모든 정책, 프로필 변경, 설정 변경, 보고서 보기 등 전체 관리

자격 증명, ISE 개체를 사용하여 설정을 수행할 수 없음

RBAC 관리자

작업 탭, ANC 정책 설정, 보고 관리의 모든 설정

ANC 이외의 정책을 변경하거나 OS 수준에서 작업을 수행할 수 없습니다.

최고 관리자

모든 설정, 보고 및 관리에 대한 권한은 관리자 자격 증명을 삭제하고 변경할 수 있습니다.

변경할 수 없으며 최고 관리자 그룹에서 다른 프로필을 삭제할 수 없습니다.

시스템 관리자

작업 탭의 모든 설정, 시스템 설정 관리, ANC 정책, 보고서 보기

ANC 이외의 정책을 변경하거나 OS 수준에서 작업을 수행할 수 없습니다.

외부 RESTful 서비스(ERS) 관리자

Cisco ISE REST API에 대한 전체 액세스

로컬 사용자, 호스트 및 보안 그룹(SG)의 인증, 관리에만 사용됩니다.

외부 RESTful 서비스(ERS) 운영자

Cisco ISE REST API 읽기 권한

로컬 사용자, 호스트 및 보안 그룹(SG)의 인증, 관리에만 사용됩니다.

그림 11. 사전 정의된 Cisco ISE 관리자 그룹

8) 탭에서 선택 사항 승인 > 권한 > RBAC 정책 미리 정의된 관리자의 권한을 편집할 수 있습니다.

그림 12. Cisco ISE 관리자 사전 설정 프로필 권한 관리

9) 탭에서 관리 > 시스템 > 설정 모든 시스템 설정을 사용할 수 있습니다(DNS, NTP, SMTP 등). 초기 장치 초기화 중에 누락된 사항이 있으면 여기에서 입력할 수 있습니다.

5. 결론

이것으로 첫 번째 기사를 마칩니다. Cisco ISE NAC 솔루션의 효율성, 아키텍처, 최소 요구 사항 및 배포 옵션, 초기 설치에 대해 논의했습니다.

다음 기사에서는 계정 생성, Microsoft Active Directory와의 통합 및 게스트 액세스 생성에 대해 살펴보겠습니다.

이 주제에 대해 질문이 있거나 제품 테스트에 도움이 필요한 경우 다음으로 문의하십시오. 링크.

우리 채널(텔레그램, 페이스북, VK, TS 솔루션 블로그, Yandex.Dzena).

출처 : habr.com