Cisco Clean Access

Cisco NAC Appliance

데이터시트


Cisco NAC Appliance(Clean Access)
Cisco NAC Appliance


Cisco® NAC Appliance(구 Cisco Clean Access)는 설치하기 쉬운 네트워크 접근 제어(NAC: Network Admission Control) 제품으로서, 네트워크 관리자가 사용자의 네트워크 액세스를 허용하기 전에 유무선 사용자와 원격 사용자 및 이들의 시스템을 미리 인증하고, 권한을 부여하며, 평가 및 치료를 수행합니다. Cisco NAC Appliance는 네트워크에서 사용되는 랩톱, 데스크톱, 그 외 기타 회사의 업무용 장치에 대해 네트워크 보안 정책의 준수 여부를 확인하고, 네트워크에 대한 액세스를 허용하기 전에 발견된 취약점을 해결합니다.

제품 개요

Cisco NAC Appliance는 엔드 투 엔드 솔루션으로서 네트워크 관리자가 사용자의 네트워크 액세스를 허용하기 전에 사용자와 사용자의 시스템을 인증하고, 권한을 부여하며, 평가 및 치료를 수행합니다. 고급 네트워크 보안 제품인 Cisco NAC Appliance는 다음과 같은 기능을 제공합니다.
- 네트워크에서 사용자, 사용자의 장치 및 사용자 역할을 인식합니다. 악성 코드가 손상을 일으키기 전에 인증 시점에서 이를 확인하는 첫 단계가 이루어집니다.
- 시스템의 보안 정책 준수 여부를 평가합니다. 사용자 유형, 장치 유형 또는 운영체제에 따라 다양한 보안 정책을 지원합니다.
- 부적합한 시스템 액세스는 보안 정책을 통해 차단, 격리 및 복구합니다. 규정을 준수하지 않는 부적합한 컴퓨터는 검역소로 이동되고, 관리자의 재량에 따라 치료 과정이 이루어집니다.
Cisco NAC Appliance는 다음 세 가지 요소와 관계 없이 모든 장치에 대해 보안 평가와 치료 서비스를 적용할 수 있습니다.
- 장치 타입: Cisco NAC Appliance는 Windows, Mac, Linux 시스템, 랩톱, 데스크톱, PDA 또는 프린터와 IP 전화와 같은 회사의 업무용 장치 등 네트워크에서 사용되는 모든 장치에 대해 보안 정책을 시행할 수 있습니다.
- 장치 소유자: Cisco NAC Appliance는 회사, 직원, 계약직원 및 손님의 시스템에 대해 보안 정책을 적용할 수 있습니다.
- 장치 액세스 방식: Cisco NAC Appliance는 LAN, WLAN, WAN 또는 VPN을 통해 연결되는 장치에 대해 NAC(네트워크 접근 제어)를 적용합니다.
Cisco NAC Appliance는 여러 작동 시나리오에 따라 고유한 정책을 시행할 수 있습니다. 따라서 별도의 제품이나 추가 모듈을 구입하지 않아도 됩니다.

주요 기능 및 이점

Cisco NAC Appliance를 네트워크에 보완할 경우 다음과 같은 이점을 얻을 수 있습니다.
- 액세스 조건을 준수함으로써 안정적이고 정상적인 네트워크 상태를 유지할 수 있음
- 바이러스, 웜, 스파이웨어, 기타 악성 프로그램을 능동적으로 차단함
- 정기적인 검사와 치료를 통해 사용자 시스템에 대한 취약점을 최소화함
- 사용자 시스템의 복구 및 업데이트 프로세스를 자동화함으로써 상당한 비용 절감 효과를 얻을 수 있음

Single Sign-On을 통한 통합 인증

Cisco NAC Appliance는 Kerberos, LDAP(Lightweight Directory Access Protocol), RADIUS, Active Directory, S/Ident 등과 기본적으로 통합되므로 대부분의 인증 양식에서 인증 프록시로서 지원됩니다. 최종 사용자의 불편함을 덜기 위해 VPN 클라이언트, 무선 클라이언트 및 Windows Active Directory 도메인에 대해 Single Sign-On 방식의 로그인을 지원합니다. 관리자는 역할 기반 액세스 제어를 통해 서로 다른 수준의 권한으로 여러 사용자의 프로필을 유지 관리할 수 있습니다.

취약점 평가

Cisco NAC Appliance는 Windows, Mac OS 및 Linux 기반 운영체제와 시스템뿐만 아니라, 콘솔, PDA, 프린터, IP 전화와 같이 네트워크에서 사용되는 모든 장치에 대해서 검사를 수행합니다. 네트워크 기반 검사를 수행하거나, 필요할 경우 사용자가 정의한 검사 방법을 사용할 수도 있습니다. Cisco NAC Appliance는 등록 키 설정, 서비스 실행 또는 시스템 파일에 의해 식별되는 모든 애플리케이션에 대해 검사를 수행할 수 있습니다.

장치 검역소

Cisco NAC Appliance는 요건을 준수하지 않는 부적합한 시스템은 검역소로 보내어, 이러한 시스템의 치료 리소스에 대한 액세스는 허용하면서 감염의 확산을 예방합니다. 이러한 차단은 /30만큼 작은 서브넷을 사용하거나, 검역소 VLAN을 사용하여 수행됩니다.

자동 보안 정책 업데이트

자동 보안 정책 업데이트는 시스코 소프트웨어의 유지보수 표준 패키지의 일부입니다. 이러한 업데이트는운영체제 중요 업데이트, 안티바이러스 소프트웨어의 바이러스 정의 업데이트 또는 안티스파이웨어 정의 업데이트를 확인하는 정책을 비롯한 가장 일반적인 네트워크 액세스 조건에 대해 미리 정의된 정책을 제공합니다. 이러한 예방적 기능을 통해 업데이트된 정책을 Cisco NAC Appliance를 통해 지속적으로 유지 관리해주므로 네트워크 관리자의 관리 비용을 줄일 수 있습니다.

중앙 집중화된 관리

관리자는 Cisco NAC Appliance의 웹 기반 관리 콘솔을 통해 복구에 필요한 관련 치료 패키지뿐만 아니라, 각 역할에 필요한 검사 유형을 정의할 수 있습니다. 하나의 관리 콘솔에서 여러 서버를 관리할 수 있습니다.

치료 및 복구

검역소 차단 기능은 운영체제 패치, 업데이트, 바이러스 정의 파일 또는 Cisco Security Agent와 같은 엔드포인트 보안 솔루션을 제공해주는 치료 서버에 장치 액세스를 제공합니다. 관리자는 옵션으로 제공되는 에이전트를 통해 자동 치료를 설정할 수 있습니다. 또는 치료 지시를 지정할 수 있습니다.

유연한 배치 모드

Cisco NAC Appliance는 고객의 네트워크 환경에 맞출 수 있는 다양한 배치 모드를 제공합니다. 고객의 환경에 따라, 가상 IP 게이트웨이 또는 실제 IP 게이트웨이로 제품을 배치할 수도 있고, 에지 또는 중앙에서 배치할 수도 있으며, Layer 2 또는 Layer 3 클라이언트 액세스를 사용할 수도 있고, 대역 내 또는 대역 외 네트워크 트래픽을 사용할 수도 있습니다.

배치 모드

Cisco NAC Appliance는 다양한 배치 모델이 지원되므로 고객의 네트워크에 가장 적합한 방법으로 배치 할 수 있습니다. 표 1은 배치 옵션에 대한 설명입니다.

표1. Cisco NAC Appliance의 배치 옵션

배치 모델 옵션
트래픽 전달 모드 - 가상 게이트웨이(브리징 모드)
- 실제 IP 게이트웨이/NAT 게이트웨이(라우팅 모드)
실제 배치 모델 - 에지
- 중앙
클라이언트 액세스 모드 - Layer 2(클라이언트가 Cisco Clean Access Server와 인접한 경우)
- Layer 3(클라이언트가 Cisco Clean Access Server로부터 떨어진 경우)
트래픽 흐름 모델 - 대역 내(Cisco Clean Access Server에서 항상 사용자 트래픽을 즉시 처리함)
- 대역 외(인증, 보안 평가 및 치료 중에만 Cisco Clean Access Server에서 트래픽을 처리함)

제품 아키텍처

Cisco NAC Appliance는 다음 세 가지 구성요소로 이루어집니다.

- Cisco Clean Access Server - 평가를 실행하고, 엔드포인트 준수에 기반하여 액세스 권한을 시행하는 장치입니다. 검사에 통과되기 전까지 사용자는 포트 레이어 차원에서 차단되고, 신뢰할 수 있는 네트워크에 대한 액세스도 제한됩니다. Cisco Clean Access Server는 온라인 동시 사용자 수에 따라 100, 250, 500, 1500, 2500명이 이용할 수 있습니다. 한 회사에 수용 규모가 다른 여러 서버가 있을 수 있습니다. 예를 들어, 회사 본부에는 1500인용 Cisco Clean Access Server가 필요하지만, 지사에는 100인용 서버가 필요할 수 있습니다.

- Cisco Clean Access Manager - 역할, 검사, 규칙 및 정책을 설정하는 중앙의 웹 기반 콘솔입니다. Cisco Clean Access Manager는 크기에 따라 다음 세 가지 종류가 있습니다. Cisco Clean Access Server를 최대 3대까지 관리할 수 있는 Cisco Clean Access Lite Manager와, 최대 20대까지 관리할 수 있는 Cisco Clean Access Standard Manager, 그리고 최대 40대까지 관리할 수 있는 Cisco Clean Access Super Manager가 있습니다.

- Cisco Clean Access Agent - 보안 평가 기능을 강화하고 치료 서비스를 원활하게 제공하는 읽기 전용의 씬에이전트입니다. Cisco Clean Access Agent는 옵션으로 무료 배포됩니다.
그림 1은 대역 내 배치 모드에서의 Cisco NAC Appliance를 보여 줍니다. 이 구성은 Cisco Aironet® 액세스 지점을 비롯하여 802.11 무선 액세스 지점에서 작동됩니다. 대역 내 모드는 VPN 트래픽의 기본 배치 모드이기도 합니다.

그림 1. 대역 내 모드에서의 Cisco NAC Appliance 아키텍처



그림 2는 대역 외 배치 모드에서의 Cisco NAC Appliance를 보여 줍니다. 이 모드에서 Cisco Clean Access Server는 인증, 보안 평가 및 치료 중에만 대역 내에 있습니다. 사용자의 장치가 성공적으로 로그온되면 해당 장치의 트래픽이 스위치 포트로 바로 연결됩니다.

그림 2. 대역 외 모드에서의 Cisco NAC Appliance 아키텍처



이제 Cisco NAC Appliance는 소프트웨어와 하드웨어를 별도로 주문할 필요가 없는 “완전한” 어플라이언스로 이용하실 수 있습니다. 이러한 변화를 지원하기 위해 시스코는 Clean Access Server와 Clean Access Manager 층을 형성하는 새로운 하드웨어 옵션 세 가지를 도입했습니다. 표 2는 Cisco NAC Appliance의 하드웨어 어플라이언스 버전 사양을 나타냅니다.

표 2. Cisco NAC Appliance의 하드웨어 사양


  Cisco NAC Appliance 3310 Cisco NAC Appliance 3350 Cisco NAC Appliance 3390
제품 - Cisco Clean Access Server(100, 250, 500명 사용자용)
- Cisco Clean Access Lite Manager
- Cisco Clean Access Server(1500, 2500, 3500명 사용자용)
- Cisco Clean Access Standard Manager
Cisco Clean Access Super Manager
프로세서 듀얼 코어 Intel Xeon 2.33GHz 듀얼 코어 Intel Xeon 3.0GHz 2 x 듀얼 코어 Intel Xeon 3.0GHz
메모리 1GB PC2-4200(512MB 2개) 2GB PC2-5300 (1GB 2개) 4GB PC2-5300 (1GB 4개)
메모리 버스 클록 1333MHz FSB 1333MHz FSB 1333MHz FSB
컨트롤러 SATA RAID 컨트롤러 내장 Smart Array E200i 컨트롤러 Smart Array E200i 컨트롤러
하드 디스크 80GB NPH SATA 드라이브 2 x 72GB SFF SAS RAID 드라이브 4 x 72GB SFF SAS RAID 드라이브
착탈식 미디어 CD/DVD-ROM 드라이브 CD/DVD-ROM 드라이브 CD/DVD-ROM 드라이브
네트워크 연결      
Ethernet NIC(네트워크 인터페이스 카드) - 2 x integrated Broadcom 10/100/1000 5708 NIC
- 2 x Intel e1000 Gigabit NIC(PCI-X)
- 2 x integrated Broadcom 10/100/1000 5721 NIC
- 2 x Intel e1000 Gigabit NIC(PCI-X)
- 2 x integrated Broadcom 10/100/1000 5721 NIC
- 2 x Intel e1000 Gigabit NIC(PCI-X)
10BASE-T 케이블 지원 Category (Cat) 3, 4, 5 unshielded twisted pair (UTP), 최대 100m(328피트) Cat 3, 4, 5 UTP, 최대 100m(328피트) Cat 3, 4, 5 UTP, 최대 100m(328피트)
10/100/1000BASE-TX 케이블 지원 Cat 5 UTP, 최대 100m(328피트) Cat 5 UTP, 최대 100m(328피트) Cat 5 UTP, 최대 100m(328피트)
SSL(Secure Sockets Layer) 가속기 카드 없음 Cavium CN1120-NHB-E Cavium CN1120-NHB-E
인터페이스      
직렬 포트 1개 1 개 1 개
USB 2.0 포트 4개(전면 2개, 후면 2개) 4개(전면 1개, 내부 1개, 후면 2개) 4개(전면 1개, 내부 1개, 후면 2개)
키보드 포트 1개 1 개 1 개
비디오 포트 1개 1 개 1 개
마우스 포트 1개 1 개 1 개
외부 SCSI 포트 없음 없음 없음
시스템 장치      
폼 팩터 랙 장착 1 RU 랙 장착 1 RU 랙 장착 1 RU
무게 완전 구성 시 15.87kg(35 lb) 완전 구성 시 15.87kg(35 lb) 완전 구성 시 15.87kg(35 lb)
크기 4.32 x 42.62 x 70.49cm(1.70 x 16.78 x 27.75인치) 4.32 x 42.62 x 70.49cm(1.70 x 16.78 x 27.75인치) 4.32 x 42.62 x 70.49cm(1.70 x 16.78 x 27.75인치)
전원 공급 장치 650W 자동 스위칭, PFC 듀얼 700W (장애대비용) 듀얼 700W (장애대비용)
쿨링 팬 6개. 핫플러그 불가능, 장애대비용 없음 9개. 장애대비용 9개. 장애대비용
BTU 속도 시간당 2910Btus(120VAC), 시간당 2870(240VAC) 시간당 2910Btus(120VAC), 시간당 2870(240VAC) 시간당 2910Btus(120VAC), 시간당 2870(240VAC)

대역 내 모드에서 Cisco NAC Appliance는 모든 네트워크 인프라를 지원하고, 대역 외 모드에서는 SNMP(Simple Network Management Protocol)를 사용하여 스위치와 통신합니다.


시스템 요구사항


옵션으로 제공되는 Cisco Clean Access Agent가 지원되는 시스템 요구사항은 표 3을 참조하십시오.

표 3. Cisco Clean Access Agent의 시스템 요구사항

주요 기능 최소 사양
지원되는 운영체제 Windows XP Professional, Windows XP Home, Windows XP Media Center Edition , Windows XP Tablet PC , Windows 2000, Windows 98, Windows SE, Windows ME, Mac OS X(auth만 해당)
하드 드라이브 공간 하드 드라이브 여유 공간이 최소 10MB 이상 필요
하드웨어
없음(다양한 클라이언트 시스템에서 실행 가능함)

Cisco NAC Appliance는 IP Security(IPsec) VPN 및 WebVPN 클라이언트를 사용하는 무선, 원격 사용자에 대해 Single Sign-On을 지원합니다. 표 4는 Single Sign-On이 지원되는 구성요소를 나타냅니다.

표 4. Single Sign-On이 지원되는 VPN 및 무선 구성요소


제품 클라이언트
Cisco 무선 LAN 컨트롤러  
Cisco ASA 5500 Series Adaptive Security Appliance - Cisco SSL VPN (터널)
- Cisco IPsec VPN 클라이언트
Cisco Catalyst® 6500 시리즈 스위치 및 Cisco 7600 시리즈 라우터를 위한 Cisco WebVPN Service Modules
Cisco VPN 3000 Series Concentrator
Cisco PIX® Security Appliance

Cisco NAC Appliance는 50여개의 벤더에서 개발한 300개 이상의 애플리케이션에 대해 정책 검사를 제공할 수 있도록 사전 구성된 상태로 제공됩니다. 지원되는 최신 애플리케이션 목록을 보려면 http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html("Cisco NAC Appliance Supported AV/AS Product List" 아래에 있음)를 방문하십시오. 이 목록은 꾸준히 추가되고 업데이트됩니다. 참고: 제품에 따라 지원되지 않는 검사 유형도 있습니다. 일부 벤더의 경우 Windows 9x를 지원하지 않습니다. 고객은 사전 구성된 검사뿐만 아니라, Cisco NAC Appliance 규칙 엔진에 대한 전체 액세스를 가질 수 있으며, 지원 목록에 포함되지 않는 타사의 애플리케이션에 적용할 검사와 규칙을 직접 사용자 정의하여 만들 수 있습니다.

서비스 및 지원

시스코는 고객의 성공을 촉진하는 다양한 서비스 프로그램을 제공합니다. 이러한 혁신적인 서비스 프로그램은 수준 높은 인력, 프로세스, 툴 및 파트너의 기술력이 어우러진 것으로서 그 결과는 높은 고객 만족도로 나타납니다. 시스코 서비스는 고객의 네트워크 투자를 보호하고 네트워크 운영을 최적화하며, 새로운 애플리케이션에 대비해 네트워크 인텔리전스와 비즈니스 역량을 높일 수 있도록 도와줍니다. 시스코 서비스에 대한 자세한 내용은 시스코 기술 지원 서비스 또는 시스코 어드밴스드 서비스를 참조하십시오.

추가 정보

Cisco NAC Appliance에 대한 자세한 내용은 http://www.cisco.com/go/nac/appliance를 방문하거나 파트너에 문의하십시오.

<업데이트: 2008년 9월 22일>

Cisco에 문의하세요