Cisco Identity Services Engine
편견 없는 언어
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
번역에 관하여
Cisco는 일부 지역에서 본 콘텐츠의 현지 언어 번역을 제공할 수 있습니다. 이러한 번역은 정보 제공의 목적으로만 제공되며, 불일치가 있는 경우 본 콘텐츠의 영어 버전이 우선합니다.
1. Cisco Identity Services Engine 이용 사례 이해하기
이 섹션은 Cisco Identity Services Engine (ISE)으로 해결할 수 있는 다양한 이용 사례를 이해할 수 있도록 도와줍니다. 이용 사례를 이해하고 소속 조직의 니즈에 무엇이 적합한지 알아보고 필요한 라이선스 수량 및 유형을 확인하고 싶은 고객에게는 이 섹션의 내용이 좋은 출발점이 될 수 있습니다.
Cisco Identity Services 이용 사례
1.1 Guest 및 Secure Wireless Access
1.1.1 Guest가 중요한 이유
많은 조직들이 자사를 단기간 방문하는 게스트들에게 무료 인터넷 액세스를 제공합니다. 이러한 게스트로는 벤더, 리테일 고객, 단기 벤더/계약자 등이 있습니다. ISE는 이러한 방문자들을 위한 계정을 생성하고 감사 목적으로 이를 인증할 수 있는 기능을 제공합니다. ISE가 게스트 액세스를 제공하는 방법으로는 핫스팟(무인증 즉시 액세스), 자가 등록, Sponsored Guest 액세스의 세 가지가 있습니다. ISE는 또한 벤더 관리 시스템과 같은 다른 시스템과의 통합을 통해 게스트 계정을 생성/편집/삭제할 수 있도록 다양한 API를 제공합니다. 또한 최종 사용자가 보는 다양한 포털을 올바른 폰트, 색상, 테마 등으로 고객 브랜드의 룩과 감성에 어울리도록 자유롭게 사용자 정의할 수 있습니다.
1.1.2 Guest 작동 원리
Cisco ISE Guest 이용 사례
ISE는 게스트용 로컬 계정을 생성합니다. 이 계정들은 해당 게스트(스폰서)를 호스팅하는 직원이 빌트인 포털을 이용해 생성하거나 게스트가 직접 일부 기본 정보를 제공하여 생성할 수 있습니다. 게스트는 이메일/SMS를 통해 자격 증명을 수신하여 네트워크에서 본인 인증 시 이를 사용하여 네트워크 액세스 권한을 얻을 수 있습니다. 관리자는 각 사용자에게 부여될 액세스 권한 수준을 정의할 수 있습니다.
필수 라이선스: ISE Essentials
1.1.3 Secure Wireless Access가 중요한 이유
대부분의 조직들은 보안을 구축할 때 가장 먼저 무선 네트워크부터 시작합니다. 무선 네트워크 보안은 모든 조직에 있어서 가장 기본적인 니즈입니다. ISE를 통해 네트워크 관리자는 개인 또는 조직 소유의 휴대폰, 태블릿 또는 노트북 및 기타 무선 “사물”과 같은 허가된 사용자 및 무선 디바이스만 네트워크에 접속할 수 있게 허용하여 네트워크에 대한 액세스를 보호하고 이후 다양한 보안 정책을 실행할 수 있습니다. 인증 및 권한 부여는 ISE의 핵심 기능입니다. 모든 ISE 세션은 사용자나 디바이스에 대한 인증으로 시작합니다. 인증은 액티브 또는 패시브 인증(802.1x 세션 미포함)일 수 있습니다. 인증은 ISE가 ID 소스를 기반으로 사용자를 인증할 때는 802.1x를 사용하여 실시되고, 패시브 인증(Easy Connect에서 사용)에서는 사용자가 Microsoft Active Directory (AD)와 같은 ID 소스를 기반으로 인증을 하고 AD가 ISE에 통지한 후에 ISE가 사용자에 대해 알게 됩니다.
1.1.4보안 무선 액세스의 작동 원리
Cisco ISE Secure Wireless 이용 사례
인증이 정상적으로 완료되면, 패시브 ID 세션(Easy Connect)이든 MAB (MAC Address Bypass)이든 아니면 802 1x이든 관계없이 ISE가 그룹 정보를 바탕으로 올바른 무선 연결을 제공합니다. 이는 사용자를 VLAN, DACL, ACL에 할당하거나 SGT나 SGACL을 할당하는 방법으로 가능합니다.
필수 라이선스: ISE Essentials 또는 ISE Advantage (SGT 또는 SGACL 전용)
1.2자산 가시성
1.2.1왜 자산 가시성인가?
디바이스 종류를 파악하는 것은 해당 디바이스에 부여할 네트워크 액세스 권한의 유형을 결정하는 데 있어서 매우 중요합니다. 예컨대, IP 카메라나 엘리베이터와 같은 빌딩 관리 시스템에는 (빌딩 관리 서비스 네트워크와 같은) 네트워크의 특정 부분에 대한 액세스 권한이 부여되어야 하고, 프린터에는 (IT 서비스와 같은) 네트워크의 또 다른 부분에 대한 액세스 권한이 부여되어야 합니다. 가시성을 확보함으로써 IT 관리자는 네트워크에 있는 디바이스의 종류와 이들에게 올바른 수준의 권한을 제공하는 방법을 효과적으로 판단할 수 있습니다. Basic Asset Visibility는 엔드포인트들의 네트워크 속성을 알려진 프로파일에 매칭함으로써 엔드포인트에 대한 프로파일을 제공합니다. Advanced Asset Visibility는 Deep Packet Inspection (DPI)를 통해 이 디바이스들에 있는 애플리케이션이 네트워크의 다른 엔드포인트 및 서버와 갖는 다양한 대화에 대한 심층 분석을 수행합니다. Basic Asset Visibility가 전통적인 디바이스(프린터, 휴대폰 등)를 중심으로 네트워크의 대부분에 대한 가시성을 제공하는 반면, Advanced Asset Visibility는 보다 버티컬 중심의 IoT 유형 디바이스들에 대한 가시성을 제공합니다.
1.2.2 Basic Visibility (ISE 프로파일링 가시성)의 작동 원리
Cisco ISE Basic Visibility 이용 사례
ISE의 Basic Asset Visibility는 디바이스의 네트워크 통신을 통해 디바이스에 대한 정보를 수집하는 Profiler 서비스를 통해 제공됩니다. 해당 정보를 평가하여 디바이스 종류를 판단합니다.
해당 자산의 가시성을 기반으로 네트워크 자산을 보호하기 위한 다음 단계는 액세스 권한을 실행하는 일입니다. Basic Asset Enforcement는 프로파일별 및 네트워크 액세스 정책에서의 엔드포인트 카테고리화를 지원합니다. 이를 통해 엔드포인트로부터 얻은 가시성을 기반으로 해당 프로파일에 대한 네트워크 권한만 부여되도록 할 수 있습니다. 프린터는 인쇄 서버 또는 인쇄 서비스가 필요한 사람에 대한 액세스 권한만 얻을 수 있고, 모바일 BYOD는 인터넷 서비스와 위험도가 낮은 내부 시스템에 대해서만 액세스 권한을 얻을 수 있게 됩니다.
필수 라이선스: ISE Advantage
1.2.4 Advanced Asset Visibility (Endpoint Analytics 가시성) 작동 원리
Endpoint Analytics는 엔드포인트 프로파일링 정확도를 개선하도록 설계됩니다. Endpoint Analytics는 세분화된 엔드포인트 식별 기능을 제공하고 다양한 엔드포인트에 Label을 할당합니다. 이러한 기능은 Deep Packet Inspection (DPI), 그리고 SD-AVC, Cisco ISE, 기타 타사 컴포넌트와 같은 다른 소스로부터 집계된 다른 프로브를 통해 엔드포인트 속성을 분석하는 방법으로 수행됩니다.
Endpoint Analytics는 인공지능(AI)과 머신러닝을 이용하여 공통 속성을 가진 엔드포인트들을 직관적으로 그룹화하고 IT 관리자가 올바른 엔드포인트 프로파일링 라벨을 선택하기 위한 제안을 제공할 수 있게 도와줍니다. 다요소 분류는 유연한 프로파일링을 위한 라벨 카테고리를 이용하여 엔드포인트를 분류합니다. 이 엔드포인트 라벨들은 Cisco ISE에서 권한 부여 정책을 통해 엔드포인트/엔드포인트 그룹에 대한 올바른 액세스 권한 세트를 제공하기 위한 기초가 되는 사용자 정의 프로파일을 생성하는 데 사용될 수 있습니다.
Cisco ISE Advanced Asset Visibility 이용 사례
필수 라이선스:
Basic Asset Visibility and Enforcement - ISE Advantage
Endpoint Analytics Visibility – ISE Advantage
Endpoint Analytics Enforcement – ISE Premier
1.3컴플라이언스 (Posture)
1.3.1 Compliance Visibility가 중요한 이유
공격자는 네트워크의 엔드포인트를 침해하는 고의적인 데이터 손상(랜섬웨어) 및 데이터 유출에 초점을 맞춥니다. 가장 효과적이고 널리 알려진 공격들은 쉽게 치료할 수는 있으나 그렇지 않은 경우도 있습니다. Compliance Visibility를 통해 조직은 사용자 엔드포인트들이 Posture 및/또는 Mobile DeviceManagement (MDM) 및 Enterprise Mobility Management (EMM) 시스템 (지원되는 MDM/EMM 시스템 목록) 통합을 통해 어떻게 기업 정책을 준수하는지 모니터링할 수 있습니다.조직은 ISE의 Posture 엔진이나 MDM을 이용하여 얼마나 많은 엔드포인트가 컴플라이언스 요구사항을 준수하는지 평가하고 부적합한 소프트웨어가 설치되거나 실행되는 것을 방지할 수 있습니다.
1.3.2 How does Compliance work
Cisco ISE Compliance Visibility 이용 사례
Posture는 엔드포인트 내부를 조사하는 설치 및 임시 에이전트를 활용하여 해당 디바이스를 네트워크에 허용하기 전에 운영체제 패치, 안티 멀웨어, 방화벽 등이 설치되고 활성화되고 최신 버전으로 업데이트되어 있는지 확인합니다.
엔드포인트가 회사의 소프트웨어 정책을 준수하는지 볼 수 있는 가시성만으로는 충분하지 않습니다. 고객은 자사의 컴플라이언스 수준에 따른 차별화된 엔드포인트 액세스를 운용하기를 원합니다. Compliance Enforcement는 ISE의 자체 Posture 엔진이나 앞서 언급한 MDM/EMM 통합을 통해 전반적인 컴플라이언스 상태를 확인하고 이를 액세스 권한 정책에 이용할 수 있도록 지원합니다. 이는 ID와 같은 다른 속성과 함께 네트워크 연결을 시도하는 부적합하거나 오염된 엔드포인트로 인한 조직의 리스크 및 전반적인 위협 노출 영역을 줄여주는 강력한 역량을 제공합니다. 이러한 정책은 컴플라이언스 요건을 완전히 만족하는 엔드포인트에 원하는 리소스에 대한 완전한 액세스 권한을 제공하고, 컴플라이언스 요건을 위반한 엔드포인트에 대해서 치료 시스템, 헬프데스크 시스템 및/또는 저위험 서비스에 대해서만 액세스를 부여하도록 할 수 있습니다. 조직은 ISE의 Posture 엔진이나 MDM을 이용하여 얼마나 많은 엔드포인트가 컴플라이언스 요구사항을 준수하는지 평가하고 구버전 및/또는 지원되지 않는 소프트웨어를 사용하는 컴플라이언스 요건을 충족하지 않는 엔드포인트가 중요한 리소스에 액세스하지 못하도록 할 수 있습니다.
필수 라이선스: ISE Premier
1.4 Secure Wired Access
1.4.1 Secure Wired Access가 중요한 이유
유선 네트워크 보안은 비인가 사용자가 자신의 디바이스를 네트워크에 연결하는 것을 방지하기 위한 필수 요소입니다. 네트워크 관리자는 ISE를 이용하여 사용자와 디바이스에 대한 인증 및 권한 부여를 통해 보안 네트워크 액세스를 제공할 수 있습니다. 인증은 액티브 또는 패시브 인증일 수 있습니다. 액티브 인증은 ISE가 ID 소스를 기반으로 사용자를 인증할 때 802 1x를 이용하여 수행됩니다. 패시브 인증은 ISE가 Active Directory (AD) 도메인 로그인이나 기타 간접적 수단을 통해 사용자의 ID를 확인하는 과정이 수반됩니다. 사용자나 디바이스가 정상적으로 인증을 완료하면 권한 부여 과정이 시작됩니다. 권한 부여는 동적 VLAN, 다운로드 가능한 ACL 또는 기타 세그먼테이션 방식을 통해 해당 엔드포인트의 네트워크 액세스 세션을 할당하는 방법으로 수행됩니다.
1.4.2 Secure Wired Access 작동 원리
Cisco ISE Secure Wired Access 이용 사례
ISE는 802.1X, 웹 인증, MAB 및 기타 수단을 통해 사용자와 엔드포인트를 인증합니다. ISE는 ID resolution을 위해 외부 ID 소스에 쿼리를 요청하고 해당 네트워크 디바이스에 지침을 제공하여 적절한 네트워크 정책을 적용할 수 있습니다.
필수 라이선스: ISE Essentials
1.5 Bring Your Own Device (BYOD)
1.5.1 BYOD가 중요한 이유
수많은 조직들이 자사 직원들이 스마트폰과 같은 자신의 개인 디바이스를 회사 무선 네트워크에 연결해서 업무용으로 사용할 수 있도록 하는 정책을 도입해 왔습니다. 이러한 정책을 Bring Your Own Device (BYOD) 정책이라고 합니다. 그러나 이 디바이스들은 개인 소유물인 만큼 소유자는 조직이 해당 엔드포인트를 “관리”하도록 허용하는 관리 소프트웨어를 자신의 디바이스에 설치하기를 꺼려할 것입니다. 이러한 경우 ISE는 디바이스 등록과 서플리컨트 프로비저닝에서부터 인증서 설치에 이르는 전체 BYOD 온보딩 프로세스를 자동화하는 매우 간소화된 방법을 제공합니다. 이 자동화된 방법은 iOS, Android, Windows, macOS 및 ChromeOS와 같은 다양한 운영체제 플랫폼을 실행하는 디바이스에서 지원됩니다. 완전한 사용자 정의를 지원하는 ISE My Devices Portal은 최종 사용자가 다양한 디바이스를 온보딩하고 관리할 수 있도록 해줍니다.
1.5.2 BYOD의 작동 원리
Cisco ISE BYOD 이용 사례
ISE는 BYOD에 대한 전체 온보딩을 자동화하도록 도와주는 여러 요소들을 제공합니다. 여기에는 다양한 종류의 디바이스에 인증서를 생성/배포하도록 도와주는 내장된 Certificate Authority (CA)도 포함됩니다. 이 내장 CA는 완전한 인증서 라이프라이클 관리를 제공합니다. ISE는 또한 최종 사용자가 자신의 BYOD 엔드포인트를 등록하고 분실 시 네트워크 블랙리스트에 등록할 수 있는 최종 사용자를 위한 포털인 My Devices Portal을 제공합니다. BYOD 온보딩은 싱글 SSID 또는 듀얼 SSID 방식을 통해 수행할 수 있습니다. 싱글 SSID 방식에서는 최종 사용자의 디바이스 온보딩 및 연결에 동일한 SSID가 사용되는 반면, 듀얼 SSID 방식에서는 디바이스 온보딩에는 다른 오픈 SSID가 사용되지만 온보딩 프로세스가 완료된 후에는 해당 디바이스가 보안 수준이 더 높은 다른 SSID에 연결됩니다. 보다 완전한 관리 정책을 제공하기를 원하는 고객의 경우 BYOD를 사용하여 최종 사용자가 MDM 온보딩 페이지에도 연결하도록 할 수 있습니다.
필수 라이선스: ISE Advantage
1.6 Rapid Threat Containment (RTC)
1.6.1 Threat Containment의 중요성
Cisco RTC는 손쉽게 네트워크 상의 위협에 대한 해답을 빠르게 얻고 이를 더 빠르게 차단할 수 있게 해줍니다. RTC는 Cisco보안 제품, Cisco 파트너가 제공하는 기술 및 Cisco ISE의 광범위한 네트워크 제어의 개방형 통합을 이용합니다. 통합 네트워크 액세스 제어 기술을 통해 의심스러운 활동, 위협 또는 취약점이 발견되었을 때 사용자의 액세스 권한을 직접 또는 자동으로 변경할 수 있습니다. 감염이 의심되는 디바이스에 대해 중요한 데이터에 대한 액세스는 차단하면서 덜 중요한 애플리케이션은 사용자가 계속해서 사용하도록 허용할 수 있습니다.
1.6.2 Rapid Threat Containment의 작동 원리
Cisco ISE RTC 이용 사례
Cisco ISE는 pxGrid 및/또는 Application Programming Interfaces (APIs)의 보안 파트너들과 통합하여 엔드포인트의 위협 수준을 확인하고 경감 조치를 취할 수 있습니다.
어떤 엔드포인트에서 명백한 위협이 탐지되면 pxGrid 에코시스템 파트너가 즉시 ISE에 감염된 엔드포인트를 직접 또는 자동으로 격리하도록 지침을 전달할 수 있습니다. 격리에는 해당 디바이스를 관찰을 위해 샌드박스로 이동시키고 복구를 위해 치료 영역으로 이동시키거나 완전히 제거하는 과정이 포함될 수 있습니다. ISE는 또한 표준화된 Common Vulnerability Scoring System (CVSS) 분류와 Structured Threat Information Expression (STIX) 위협 분류를 수신하여 사용자의 보안 점수를 바탕으로 이들의 액세스 권한을 그레이스풀하게 직접 또는 자동으로 변경할 수 있습니다.
Cisco ISE는 75개 이상의 pxGrid 에코시스템 파트너들과 통합하여 여러 이용 사례를 이행합니다. 이 기술 파트너들과 통합 관련 기술 정보는 다음 링크를 참조하세요. https://community.cisco.com/t5/security-documents/ise-design-amp- integration-guides/ta-p/3621164
에코시스템 파트너 전체 목록: https://cisco.com/go/csta
필수 라이선스: ISE Premier
1.7 세그먼테이션
1.7.1 세그먼테이션이 중요한 이유
네트워크 세그먼테이션은 중요한 비즈니스 자산을 보호하기 위한 검증된 기술이지만, 기존의 세그먼테이션 방식들은 너무 복잡합니다. Cisco Group Based Policy/TrustSec 소프트웨어 정의 세그먼테이션은 VLAN 기반 세그먼테이션보다 더 간단하게 실행할 수 있습니다. 정책은 보안 그룹을 통해 정의됩니다. IETF의 개방형 기술로서 Open Daylight 내에서 이용할 수 있고 타사 및 Cisco 플랫폼 상에서 지원됩니다. ISE는 스위치, 라우터, 무선 및 방화벽 규칙들의 관리를 간소화하는 세그먼테이션 컨트롤러입니다. Group Based Policy / TrustSec Segmentation은 기존 세그먼테이션보다 낮은 비용으로 보다 강력한 보안을 제공합니다. Forrester Consulting의 고객 분석 보고서에 따르면 운영비는 80% 감소하고 정책 변경 속도는 98% 증가하는 것으로 나타났습니다.
1.7.2세그먼테이션 작동 원리
Cisco ISE Segmentation 이용 사례
위 그림은 사용자와 디바이스를 보안 그룹에 할당하여 이들의 그룹 멤버십을 네트워크 전체에 알림으로써 해당 경로에 있는 모든 실행 디바이스가 그룹 간 인가된 통신을 기반으로 정책을 평가할 수 있도록 하는 것을 보여줍니다.
소프트웨어 정의 액세스
세그먼테이션은 소프트웨어 정의 액세스(SDA)의 핵심 요소입니다. 동시에 Cisco Digital Network Architecture (DNA) Controller와 ISE가 네트워크 세그먼테이션과 그룹 기반 정책을 자동화합니다. ID 기반 정책과 세그먼테이션은 VLAN과 IP 주소로부터 보안 정책 정의를 분리합니다. 소프트웨어 정의(SD) 액세스 설계 및 배포 가이드는 그룹 기반 정책의 구성과 배포에 대해 설명합니다.
Cisco ISE SDA 통합 이용 사례
세그먼테이션을 회사의 네트워크 전체로 확장하기 위해 ISE는 Application Policy Infrastructure Controller – Data Center (APIC- DC)라는 이름으로도 알려진 Cisco Application Centric Infrastructure (ACI) Controller와 인터페이스로 접속하여 EPG 이름을 확인하고 Software Group (SG) 이름과 해당 EPG 값, SGT 값 및 Virtual Routing and Forwarding (VRF) 이름을 공유합니다. 이를 통해 Cisco ISE는 트래픽이 이 도메인들을 통과할 때 TrustSec-ACI 식별자를 변환하기 위해 경계 디바이스가 얻는 SG-EPG 변환 테이블을 생성하고 채울 수 있습니다. TrustSec – ACI Policy Plane 통합 가이드는 ACI와 Policy Plane 통합의 구성에 대한 개요를 제공합니다.
TrustSec 기술은 50개 이상의 Cisco 제품군에서 지원되며 개방형 소스 및 타사 제품과 호환됩니다. ISE는 라우터, 스위치, 무선 및 보안 제품에 대한 정책 컨트롤러의 역할을 합니다. TrustSec 기능에 대한 자세한 내용은 플랫폼 기능 매트릭스에서 확인할 수 있습니다. 빠른 시작 구성 가이드는 샘플 환경을 단계적으로 구성하면서 일반적인 TrustSec 네트워크 배포에 대해 설명합니다.
필수 라이선스: ISE Advantage
참고: SDA를 통한 세그먼테이션에 필요한 라이선스: Advantage 또는 Premier on ISE 및 Cisco DNA Premier / Cisco DNA Advantage. 자세한 내용은 SDA 주문 가이드를 참조하세요.
1.8 보안 에코시스템 통합
1.8.1 보안 에코시스템 통합이 중요한 이유
ISE는 엔드포인트에 관한 컨텍스트 기반 데이터를 디바이스 타입, 위치, 액세스 시간, 보안 포스쳐, 해당 자산과 관련된 사용자 등의 측면에서 구축합니다. 이러한 속성들을 기반으로 Scalable Group Tag (SGT)를 이용하여 엔드포인트를 태깅할 수 있습니다. 이러한 풍부한 컨텍스트 기반 인사이트는 효과적인 네트워크 액세스 제어 정책을 실행하기 위해 사용될 수 있고 서비스 강화를 위해 에코시스템 파트너들과 공유할 수도 있습니다. 예컨대, Cisco Next Generation Firewall (NGFW)에서는 디바이스 타입, 위치, 사용자 그룹 등 ISE로부터 수신되는 ID 컨텍스트를 바탕으로 정책을 작성할 수 있습니다. 반대로, 타사 시스템으로부터의 특정 컨텍스트가 ISE로 제공되어 감지 및 프로파일링 능력을 강화하고 Threat Containment를 위해 사용될 수 있습니다. 이 플랫폼들 간 컨텍스트 교환은 Cisco® pxGrid 또는 REST APIs를 통해 수행될 수 있습니다.
ISE의 External RESTful Services (ERS)는 REST API의 특정 이용 사례들을 위한 컨텍스트 공유(인입/인출) 및 ISE 관리 목적에 기여합니다.
1.8.2 보안 에코시스템 통합의 작동 원리
Cisco ISE 보안 통합
이 플랫폼들 간 컨텍스트 교환은 Cisco® pxGrid 또는 REST APIs를 통해 수행될 수 있습니다.
Cisco ISE는 75개 이상의 pxGrid 에코시스템 파트너들과 통합하여 기술 파트너들을 구현합니다. 통합에 관한 기술 정보는 다음 링크를 참조하세요. https://community.cisco.com/t5/security-documents/ise-design-amp-integration-guides/ ta-p/3621164
에코시스템 파트너 전체 목록: https://cisco.com/go/csta
필수 라이선스: ISE Advantage
1.9 Device Administration (TACACS+)
1.9.1 Device Administration이 중요한 이유
네트워크 및 보안 관리자들은 일반적으로 기업 내 네트워크 및 보안 디바이스를 관리하고 모니터링하는 업무를 책임집니다. 디바이스 수가 적을 때는 관리자 사용자, 권한 및 구성 변경을 지속적으로 파악하는 일이 그리 어렵지 않습니다. 그러나 네트워크 내 디바이스가 수십개, 수백개, 수천개로 증가할 경우 자동화와 원활한 워크플로우 없이 이 디바이스들을 관리하는 것은 끔찍한 일이 될 수 있습니다. ISE는 네트워크 운영자별로 다른 권한을 제공할 수 있게 해주는 TACACS+ 프로토콜을 사용하여 UI 내 제어된 공간 내에서 명확한 워크플로우와 모니터링 기능을 통해 디바이스 관리 업무를 자동화할 수 있는 능력을 제공합니다.
1.9.2 Device Administration의 작동 원리
Cisco ISE Device Administration 이용 사례
네트워크 관리자가 네트워크 디바이스에 연결하려고 할 때 해당 디바이스가 ISE로 “연결 요청”을 보내면 ISE가 자격 증명을 요청합니다. 자격 증명은 ID 소스를 기반으로 인증됩니다.
그런 다음 해당 네트워크 디바이스가 ISE에 해당 네트워크 관리자에게 권한을 부여하도록 요청합니다. 네트워크 관리자가 쉘 프롬프트(shell prompt)에 액세스하고 나면 명령을 실행할 수 있습니다. ISE는 개별 명령에 대한 권한도 부여할 수 있게 구성될 수 있습니다.
1.9.3 Device Administration에 대한 라이선스 취득 방법
● Device Administration에 필요한 라이선스: Device Admin 라이선스
● 라이선스: Device Administration 라이선스는 정책 서비스 노드별로 할당됩니다. TACACS+ 서비스를 활성화한 정책 서비스 노드 각각에 대해 Device Administration 라이선스가 필요합니다. TACACS+를 이용한 Device Administration은 엔드포인트를 할당하지 않으며, Device Administration에 대한 네트워크 디바이스 수 제한은 없습니다. 사용자는 레거시 Base 라이선스는 필요하지 않습니다.
● 여기를 눌러 SKU 찾기
이 섹션은 신규 고객이 ISE 배포를 시작하기 위해 필요한 기본적인 구성 요소들을 이해할 수 있도록 도와줍니다. ISE 라이선스, 어플라이언스 및 서비스에 대해 확인하고 싶은 고객은 이 섹션을 읽어보면 많은 도움이 될 것입니다.
Cisco ISE 배포
2.1 라이선스
2.1.1 라이선스 모델에 대한 이해
구독 개요
Cisco ISE 라이선스는 구독 기반으로 제공됩니다. 선택 가능한 표준 구독 기간은 1, 3, 5년입니다. 기간이 만료된 구독은 갱신을 취소하지 않는 한 자동으로 1년이 연장됩니다.
구독 기간 중 기존 구독을 변경할 수 있습니다. 변경은 주문 제품 및/또는 수량 변경이 가능합니다. 수량을 추가하려는 경우 구독 기간 중 언제든지 “변경 구독” 주문을 통해 추가가 가능합니다. 변경 구독 주문을 통해 추가된 수량은 기존 구독 기간이 종료될 때 함께 종료됩니다. 수량을 줄이려는 경우 구독 기간 중에는 불가능하고 구독 갱신 시에만 수량을 줄일 수 있습니다. 여기를 클릭하시면 변경 구독 거래에 관한 자세한 내용을 확인하실 수 있습니다.
Cisco ISE 라이선싱
Cisco ISE 라이선싱은 Cisco ISE 네트워크 리소스를 동시에 이용할 수 있는 엔드포인트 수와 같은 애플리케이션 기능 및 액세스 권한을 관리할 수 있는 능력을 제공합니다. Cisco ISE 라이선싱은 기능 기반 패키지로 제공됩니다. 이에 따라 Essentials, Advantage, Premier 라이선스는 각각 다른 범위의 기능을 지원합니다. 표 1은 라이선스별 지원 기능들에 대한 상세한 정보를 제공합니다.
세션 수 기반
세션 기반 라이선스는 티어별 가격 정책 모델을 따릅니다. 가격은 세션 수와 구독 기간에 따라 달라집니다. 판매팀과 파트너는 고객에 배포된 제품에 적합한 규모를 판단하여 적정한 세션 수(최소 100개)가 선택되도록 해야 합니다. Cisco Commerce (CCW)는 입력된 세션 수에 따른 정확한 가격을 동적으로 결정합니다.
| 세션 수 기반 |
| 100 - 999 |
| 1000 - 2499 |
| 2500 - 4999 |
| 5000 - 9999 |
| 10,000 - 24,999 |
| 25,000 - 49,999 |
| 50,000 - 99,999 |
| 100,000 이상 |
2.1.2 기능 개요
이용 가능한 ISE 라이선스는 다음과 같습니다. 하나의 라이선스에 표시된 기능은 해당 라이선스에만 적용됩니다.
| Cisco ISE 라이선스 패키지 |
주요 특징 |
영구 또는 구독 (구독 기간) |
참고 |
| Essentials |
사용자 기반 가시성 및 실행을 위한 AAA 및 게스트 서비스 제공. |
구독 (1, 3, 5년) |
|
| Advantage |
완전한 IoT 및 사용자 디바이스 가시성, 기본 IoT 디바이스 실행 및 세션에 관한 컨텍스트 공유 제공. Essentials 라이선스의 모든 기능 포함. |
구독 (1, 3, 5년) |
|
| Premier |
고급 IoT 디바이스 실행, 사용자 디바이스 실행 및 클라우드 서비스 제공. Advantage 라이선스의 모든 기능 포함. |
구독 (1, 3, 5년) |
|
| Device Administration (DA) |
디바이스 네트워킹을 위한 Device Administration/TACA CS+ 지원 활성화 |
영구 |
TACACS+ Persona 활성화된 ISE 정책 서비스 노드당 하나의 라이선스 필요. |
| IPSec |
Cisco ISE PSN과 Cisco Network Access Device 간 VPN 통신 활성화 |
영구 |
IPsec VPN에서 NAD로의 통신에 사용되는 ISE PSN (IPsec 터널 최대 150개)당 하나의 라이선스 필요 |
|
|
Cisco ISE 기능 또는 서비스 |
라이선스 |
|||
| Essentials |
Advantage |
Premier |
Essentials |
||
| 네트워크 액세스 |
802.1x, MAC Authentication Bypass와 Easy Connect 및 웹 인증을 포함한 기본 RADIUS 인증, 권한 부여 및 어카운팅 |
✓ |
✓ |
✓ |
X |
| MACsec (전체) |
✓ |
✓ |
✓ |
X |
|
| SSO, SAML, ODBC 기반 인증 |
✓ |
✓ |
✓ |
X |
|
| 게스트 포털 및 스폰서 서비스 |
✓ |
✓ |
✓ |
X |
|
| REST(모니터링) API |
✓ |
✓ |
✓ |
X |
|
| External RESTful Services (CRUD) 지원 API |
✓ |
✓ |
✓ |
X |
|
| PassiveID (Cisco 구독자) |
✓ |
✓ |
✓ |
X |
|
| PassiveID (비Cisco 구독자) |
X |
✓ |
✓ |
X |
|
| 보안 유선 및 무선 액세스 |
✓ |
✓ |
✓ |
X |
|
| 디바이스 등록(My Devices 포털), BYOD 프로비저닝, 내장 Certificate Authority (CA) |
X |
✓ |
✓ |
X |
|
| 세그먼테이션 |
보안 그룹 태깅(Cisco TrustSec® SGT) 및 ACI 통합 |
X |
✓ |
✓ |
X |
| 자산 가시성 |
Basic Asset Visibility and Enforcement (Profiling) |
X |
✓ |
✓ |
X |
| Basic Asset Feed Service |
X |
✓ |
✓ |
X |
|
| Advanced Asset Visibility (Endpoint Analytics) |
X |
✓ |
✓ |
X |
|
| Advanced Asset Enforcement (Endpoint Analytics) |
X |
X |
✓ |
X |
|
| 위치 기반 통합에 기반한 가시성 및 실행 |
X |
✓ |
✓ |
X |
|
| 컨텍스트 공유 및 대응 |
컨텍스트 공유 및 보안 에코시스템 통합 |
X |
✓ |
✓ |
X |
| Endpoint Protection Services (EPS) |
X |
X |
✓ |
X |
|
| Rapid Threat Containment (RTC) (Adaptive Network Control 및 컨텍스트 공유 이용) |
X |
X |
✓ |
X |
|
| 컴플라이언스 |
보안 포스쳐 가시성 및 실행 |
X |
X |
✓ |
X |
| Enterprise Mobility Management (EMM) 및 Mobile Device Management (MDM) 통합을 통한 가시성 및 실행 |
X |
X |
✓ |
X |
|
| 위협 중심 NAC |
X |
X |
✓ |
X |
|
| Device Administration |
Device Administration (TACACS+) |
X |
X |
X |
✓ |
2.1.3 라이선싱 및 예외 사항
ISE 라이선스 종류와 관계없이 아래 표의 예외 사항을 제외한 거의 모든 기능들은 라이선스 세션을 소비합니다.
| Cisco ISE 기능 또는 서비스 |
설명 |
라이선스 소비 |
| PassiveID (Cisco 구독자) |
데이터 센터 내 다른 서버로부터 인증 데이터(사용자 이름, IP 주소 및 MAC) 수집/ 콜레이션/캐싱 및 해당 인증 데이터를 구독 중인 시스템으로 배포 |
아니요 |
| PassiveID (비Cisco 구독자) |
데이터 센터 내 다른 서버로부터 인증 데이터(사용자 이름, IP 주소 및 MAC) 수집/ 콜레이션/캐싱 및 해당 인증 데이터를 구독 중인 시스템으로 배포 |
아니요 |
| 프로파일러 피드 서비스 |
엔드포인트 분류 규칙의 동적 다운로드 |
아니요 |
| My Devices 포털* 및 NSP |
사용자가 자동 Network Supplicant Provisioning (NSP)를 이용해 세션을 추가/ 관리할 수 있는 셀프 서비스 웹 포털 |
아니요 |
| 컨텍스트 공유 |
pxGrid를 통한 Cisco ISE와 타사 시스템 간 사용자 및 엔드포인트 컨텍스트 기반 속성(누가, 무엇을, 어디서, 언제 등) 데이터 교환 |
아니요 |
| Endpoint Protection Services (EPS) |
활성 네트워크 세션의 동적 네트워크 제어를 제공하기 위한 API |
아니요 |
| Cisco TrustSec 및 ACI 통합 |
ACI TrustSec 통합은 Cisco TrustSec과 Application Centric Infrastructure (ACI)의 관리 도메인들을 상호 연결하는 솔루션을 제공하여 일관된 엔드-투-엔드 정책 세그먼테이션을 제공합니다. |
아니요 |
Cisco ISE 라이선스 SKU 보러 가기
참고: 세션을 직접 소비하지 않는 기능의 경우에도 라이선스 수량과 배포된 ISE 내 디바이스 수가 일치해야 합니다.
표 2. 2.1.3 컨텍스트 교환 라이선싱 요구사항
| 인증 메커니즘 |
컨텍스트 공유 대상 |
라이선스 요구사항 |
| Cisco ISE |
Cisco 플랫폼 |
Advantage 1:1 엔드포인트 수 |
| Cisco ISE |
타사 플랫폼 |
Advantage 1:1 엔드포인트 수 |
| 비ISE 인증(AD 등) |
Cisco 플랫폼 |
Essentials |
| 비ISE 인증(AD 등) |
타사 플랫폼 |
Advantage 1:1 엔드포인트 수 |
참고: 하나의 외부 시스템과 공유된 각 활성 엔드포인트의 컨텍스트는 하나의 Advantage 라이선스를 소비합니다. 하나의 외부 시스템과 공유된 각 활성 엔드포인트 세션 정보마다 하나의 1:1 Advantage 라이선스가 요구됩니다. 예컨대, Windows 랩탑이 802.1X를 통해 인증을 수행하면 하나의 Essentials 라이선스가 소비됩니다. 이 엔드포인트의 컨텍스트가 Cisco Stealthwatch나 NGFW와 공유되면 하나의 추가 Advantage 라이선스가 소비됩니다.
2.1.4 Device Admin 라이선스 및 특징
To manage administrative access to network devices.
Take me to the Cisco ISE Device Admin SKUs
2.1.5 IPSec 라이선스 및 특징
Cisco ISE PSN과 Cisco Network Access Device 간 VPN 통신을 지원합니다.
Cisco ISE IPSec SKU 보러 가기
2.1.6 제품 및 솔루션 번들 오퍼링
ISE 라이선스는 Cisco의 다양한 제품 및 솔루션 번들 오퍼링의 일부로도 제공됩니다.
● Enterprise License Agreement
2.2 어플라이언스
Cisco ISE는 물리 및 가상 어플라이언스를 모두 지원합니다. Cisco ISE 어플라이언스에 대한 자세한 내용은 여기를 참조하세요.
2.2.1 하드웨어
배포된 ISE에 있는 Cisco가 제공하는 물리적 어플라이언스입니다.
ISE 어플라이언스에는 항상 최신 버전의 소프트웨어가 포함되어 있지만 소프트웨어 버전을 수동으로 변경하는 것도 가능합니다. 버전 변경 시 소프트웨어를 새로 설치해야 할 수 있습니다. 설치하려는 ISE 릴리즈의 릴리즈 노트 및 관리자 가이드를 참조하세요.
2.2.2 가상 머신(VM)
Cisco ISE 가상 어플라이언스는 VMware ESX/ESXi 5.x 및 6.x에서, KVM은 RedHat Enterprise Linux (RHEL) 7에서 지원됩니다. 가상 어플라이언스는 Cisco ISE 데이터시트에 나와 있는 물리적 플랫폼 구성 이상의 하드웨어에서 실행되어야 합니다. Cisco ISEvirtual target은 다음의 설치 가이드에 나와있는 메모리 및 디스크 공간 요구사항을 만족해야 합니다. Cisco Identity Service 설치 가이드
2.3 서비스
2.3.1 기술 서비스
Smart Net Total Care® 또는 Cisco ISE 물리/가상 어플라이언스용 SWSS 계약을 이용할 수 있습니다. Smart Net Total Care와 Cisco ISE 물리/가상 어플라이언스용 SWSS 계약은 Base 및 Device Admin 배포까지 커버합니다. Cisco Software Support Service (SWSS) Basic은 모든 Cisco ISE 구독 라이선스 기간 동안 제공되지만 Smartnet SNT나 다른 등급의 서비스는 구매해야 해당 SWSS를 활성화할 수 있습니다.
더 높은 서비스 등급인 Software Support Enhanced와 Premium은 Cisco Base 라이선스 및 모든 Cisco ISE 구독 라이선스에 대해 이용할 수 있습니다. 이 등급의 서비스는 Software Support Basic의 모든 기능을 포함하며, 소프트웨어 구성 안내, 보다 빠른 대응 시간과 기술 채택 지원을 제공하는 전문가 서비스와 같은 더 많은 기능을 추가로 제공합니다. Software Support Enhanced 및 Premium은 Subscription Billing Platform (SBP)과 Term and Content의 두 가지 빌링 플랫폼으로 이용 가능합니다. SBP를 통해 ISE 3.0을 구매하는 경우 제품 주문 구성 시 지원 옵션을 이용할 수 있습니다. Term and Content 플랫폼으로 제품을 구매하는 경우에는 CCW의 최상급 ATO PID인 CISE-SW-SUPP를 통해 지원을 이용할 수 있습니다.
2.3.2 컨설팅 서비스
Cisco는 고객이 Cisco의 기술을 통해 자사의 비즈니스 목표를 달성하도록 돕기 위한 컨설팅 서비스를 제공합니다. 예컨대, Cisco 보안 세그먼테이션 서비스는 고객의 세그먼테이션 계획이 성공할 수 있도록 전략적인 인프라 세그먼테이션 접근법을 제공합니다.
이 섹션은 기존의 ISE 고객을 대상으로 ISE에 이용할 수 있는 최신 SKU, 지원 종료되는 ISE SKU, 레거시 및 최신 SKU 비교 등의 정보를 제공합니다.
3.1 주요 내용
Smart License SKU를 이용한 새로운 구독 전용 ISE 라이선싱 모델이 출시됩니다. 이 신규 모델은 ISE Essentials, ISE Advantage, ISE Premier의 세 가지 구독 기반 라이선스 티어로 구성됩니다. 이 신규 모델은 상위 티어가 그 이하 티어의 모든 기능을 이미 포함하는 방식으로 구성되어 있습니다. 예컨대, ISE Premier 라이선스에는 ISE Advantage와 ISE Essential의 모든 기능이 포함되어 있습니다. 마찬가지로 ISE Advantage 라이선스에는 ISE Essential의 모든 기능이 포함됩니다. 모든 티어의 구독 기간은 1년, 3년, 5년 중에서 선택 가능합니다.
3.2 서비스 종료 안내
다양한 ISE 라이선스 및 어플라이언스에 대한 서비스 종료 안내는 여기를 참조하세요.
3.3 Virtual Machine 및 Device Administration 라이선스 행동
레거시 형식과 현재 형식의 라이선스들이 ISE 2.4 이전과 이후 릴리즈에서 어떻게 실행되는지를 안내합니다.
아래 표는 이에 대한 정보를 정리한 것입니다.
| 라이선스 종류 |
2.4 이전 릴리즈 |
2.4 이상 릴리즈 |
| 신규 VM 라이선스 |
실행 없이 라이선싱 |
PAK 및 스마트 라이선싱 실행 포함 라이선싱 |
| 레거시 VM 라이선스 |
실행 없이 라이선싱 |
PAK 및 스마트 라이선싱 실행 포함 라이선싱 |
| 신규 Device Admin 라이선스 |
식별 및 무제한 소비 (배포된 ISE 내 ISE TACACS+ 노드 수 무제한) |
식별 및 ISE TACACS+ 노드 1개 소비 |
| 레거시 Device Admin 라이선스 |
식별 및 ISE TACACS+ 노드 최대 50개 소비 |
Essentials, Advantage 및 Premier 라이선스의 경우, 라이선스 식별 또는 소비 행동에 변화가 없습니다.
3.4 버전 2.4 이상으로 업그레이드 시 유의사항
3.4.1 ISE Virtual Machine (VM) 노드
레거시 VM 라이선스 구매 고객은 ISE 2.4 이상으로 업그레이드할 때 구매한 VM 라이선스별로 Product Authorization Key (PAK)를 받아야 합니다. PAK는 이메일 (ise-vm- license@cisco.com)로 요청하시면 됩니다. 이메일에 ISE VM 구매를 반영하는 판매 주문 번호와 본인의 Cisco ID를 적어서 보내주십시오. 그러면 Cisco에서 ISE 2.4의 소형, 중형 및 대형 VM 라이선스 도입 전 VM 사양을 반영하는 중형 VM PAK를 제공합니다. 중형 VM PAK는 소형 및 중형 VM에서 사용할 수 있습니다.
PAK를 받기 전 ISE 2.4로 업그레이드하는 경우 배포된 ISE가 경고를 표시하고 이때부터 구매한 신규 라이선스를 사용할 수 있습니다. ISE 2.4에서 이것은 단순히 경고 메시지일 뿐이며 사용자의 ISE 경험을 중단시키지는 않습니다.
ISE 3.0에서는 VM 라이선스를 Smart 라이선스로 변환해야 합니다.
ISE VM 구매에 대한 판매 주문 번호를 확인할 수 없는 경우에는 Cisco 판매 담당자나 파트너에게 문의해 주세요.
3.4.2 어플라이언스 ISE 노드
별도로 조치를 취할 필요가 없습니다. 지원 기간이 남아있는 ISE 어플라이언스는 추가 라이선스 조치 없이 최신 소프트웨어로 업그레이드할 수 있습니다.
3.4.3 Device Admin
별도로 조치를 취할 필요가 없습니다. 레거시 Device Admin 라이선스는 기존의 조건이 그대로 적용됩니다.
레거시 Device Admin 라이선스는 배포된 ISE 전체에 TACACS+ 기능의 사용 권한을 부여합니다. 즉, 50개 ISE PSN 모두에 대해 TACACS+ 기능을 활성화할 수 있습니다.
ISE 2.4로 업그레이드를 해도 동일한 레거시 Device Admin 라이선스로 총 50개의 PSN에 대해 TACACS+ 기능을 활성화할 수 있습니다.
ISE 3.0으로 업그레이드할 경우 Device Admin 라이선스를 Smart 라이선스로 변환해야 합니다.
3.4.4 Base, Plus 및 Apex
이 라이선스들은 ISE 3.0 릴리즈부터 ISE Essentials, Advantage 및 Premier 라이선스로 마이그레이션 되었습니다.
ISE 3.0 업그레이드 시 이 라이선스들의 행동에 대한 자세한 내용은 아래 마이그레이션에 관한 섹션을 참조하세요.
4. 기타 라이선스에서 현재 라이선스로의 마이그레이션
3.0 릴리즈부터는 Smart 라이선스를 구매해야 합니다. ISE 라이선스를 Smart 라이선스로 업그레이드하거나 마이그레이션하기 전 먼저 Smart 계정을 생성하고 구성해야 합니다. Cisco Smart Software Licensing은 디바이스 자등 등록과 라이선스 소비 보고 기능으로 Product Activation Key (PAK)를 사용할 필요가 없어 라이선스를 손쉽게 구매, 배포 및 관리할 수 있습니다. 이 라이선싱은 Cisco Smart Software Manager (CSSM)를 이용하여 필요한 권한을 얻습니다.
과거 기존 라이선스(Base, Plus, Apex) 중 하나를 구매한 고객 중 현재의 라이선스로 마이그레이션하는 방법을 알고 싶으신 분은 여기를 참조하세요.
라이선스 서비스 종료에 관한 정보는 여기를 참조하세요.
라이선싱이나 마이그레이션 관련 문제가 있는 고객은 Cisco Support Case Manager (SCM, https://cs.co/scmswl)에서 해당 ISE 구매에 대한 Cisco 판매 주문 번호로 케이스(SCM에서 ‘라이선싱’ 옵션 선택)를 열어 문제를 해결할 수 있습니다.
4.1 ISE Base 라이선스
이 라이선스는 ISE 3.0 이전 릴리즈에 대해서만 유효합니다. 지원 기능은 인증, 권한 부여, 어카운팅, 게스트, PassiveID, Security Group Tag 등입니다. Cisco ISE Base 라이선스는 현재의 Essentials와 유사한 기능을 제공합니다.
표 3. Cisco ISE Base 라이선스
| 부품 번호(SKU) |
설명 |
| L-ISE-BSE-P1 |
Cisco ISE Base License - 세션 수 100 ~ 249 |
| L-ISE-BSE-P2 |
Cisco ISE Base License - 세션 수 250 ~ 499 |
| L-ISE-BSE-P3 |
Cisco ISE Base License - 세션 수 500 ~ 999 |
| L-ISE-BSE-P4 |
Cisco ISE Base License - 세션 수 1000 ~ 2499 |
| L-ISE-BSE-P5 |
Cisco ISE Base License - 세션 수 2500 ~ 4999 |
| L-ISE-BSE-P6 |
Cisco ISE Base License - 세션 수 5000 ~ 9999 |
| L-ISE-BSE-P7 |
Cisco ISE Base License - 세션 수 10,000 ~ 24,999 |
| L-ISE-BSE-P8 |
Cisco ISE Base License - 세션 수 25,000 ~ 49,999 |
| L-ISE-BSE-P9 |
Cisco ISE Base License - 세션 수 50,000 ~ 99,999 |
| L-ISE-BSE-P10 |
Cisco ISE Base License - 세션 수 100,000 ~ 249,999 |
| L-ISE-BSE-P11 |
Cisco ISE Base License - 세션 수 250,000 이상 |
4.2 ISE Plus 라이선스
이 라이선스는 ISE 3.0 이전 릴리즈에 대해서만 유효합니다. 지원 기능은 프로파일링, 컨텍스트 공유, BYOD (My Devices 포털 포함), Rapid Threat Containment 등입니다.
표 4. Cisco ISE Plus 구독 라이선스
| 설명 |
5년 구독 라이선스 |
3년 구독 라이선스 |
1년 구독 라이선스 |
| 세션 수 100 ~ 249 |
L-ISE-PLS-5Y-S1 |
L-ISE-PLS-3Y-S1 |
L-ISE-PLS-1Y-S1 |
| 세션 수 250 ~ 499 |
L-ISE-PLS-5Y-S2 |
L-ISE-PLS-3Y-S2 |
L-ISE-PLS-1Y-S2 |
| 세션 수 500 ~ 999 |
L-ISE-PLS-5Y-S3 |
L-ISE-PLS-3Y-S3 |
L-ISE-PLS-1Y-S3 |
| 세션 수 1000 ~ 2499 |
L-ISE-PLS-5Y-S4 |
L-ISE-PLS-3Y-S4 |
L-ISE-PLS-1Y-S4 |
| 세션 수 2500 ~ 4999 |
L-ISE-PLS-5Y-S5 |
L-ISE-PLS-3Y-S5 |
L-ISE-PLS-1Y-S5 |
| 세션 수 5000 ~ 9999 |
L-ISE-PLS-5Y-S6 |
L-ISE-PLS-3Y-S6 |
L-ISE-PLS-1Y-S6 |
| 세션 수 10,000 ~ 24,999 |
L-ISE-PLS-5Y-S7 |
L-ISE-PLS-3Y-S7 |
L-ISE-PLS-1Y-S7 |
| 세션 수 25,000 ~ 49,999 |
L-ISE-PLS-5Y-S8 |
L-ISE-PLS-3Y-S8 |
L-ISE-PLS-1Y-S8 |
| 세션 수 50,000 ~ 99,999 |
L-ISE-PLS-5Y-S9 |
L-ISE-PLS-3Y-S9 |
L-ISE-PLS-1Y-S9 |
| 세션 수 100,000 ~ 249,999 |
L-ISE-PLS-5Y-S10 |
L-ISE-PLS-3Y-S10 |
L-ISE-PLS-1Y-S10 |
| 세션 수 250,000 이상 |
L-ISE-PLS-5Y-S11 |
L-ISE-PLS-3Y-S11 |
L-ISE-PLS-1Y-S11 |
4.3 ISE Apex 라이선스
이 라이선스는 ISE 3.0 이전 릴리즈에 대해서만 유효합니다. 지원 기능은 Posture, Enterprise Mobility Device Management Integration, TC-NAC 등입니다.
표 5. Cisco ISE Apex 구독 라이선스
| 설명 |
5년 구독 라이선스 |
3년 구독 라이선스 |
1년 구독 라이선스 |
| 세션 수 100 ~ 249 |
L-ISE-APX-5Y-S1 |
L-ISE-APX-3Y-S1 |
L-ISE-APX-1Y-S1 |
| 세션 수 250 ~ 499 |
L-ISE-APX-5Y-S2 |
L-ISE-APX-3Y-S2 |
L-ISE-APX-1Y-S2 |
| 세션 수 500 ~ 999 |
L-ISE-APX-5Y-S3 |
L-ISE-APX-3Y-S3 |
L-ISE-APX-1Y-S3 |
| 세션 수 1000 ~ 2499 |
L-ISE-APX-5Y-S4 |
L-ISE-APX-3Y-S4 |
L-ISE-APX-1Y-S4 |
| 세션 수 2500 ~ 4999 |
L-ISE-APX-5Y-S5 |
L-ISE-APX-3Y-S5 |
L-ISE-APX-1Y-S5 |
| 세션 수 5000 ~ 9999 |
L-ISE-APX-5Y-S6 |
L-ISE-APX-3Y-S6 |
L-ISE-APX-1Y-S6 |
| 세션 수 10,000 ~ 24,999 |
L-ISE-APX-5Y-S7 |
L-ISE-APX-3Y-S7 |
L-ISE-APX-1Y-S7 |
| 세션 수 25,000 ~ 49,999 |
L-ISE-APX-5Y-S8 |
L-ISE-APX-3Y-S8 |
L-ISE-APX-1Y-S8 |
| 세션 수 50,000 ~ 99,999 |
L-ISE-APX-5Y-S9 |
L-ISE-APX-3Y-S9 |
L-ISE-APX-1Y-S9 |
| 세션 수 100,000 ~ 249,999 |
L-ISE-APX-5Y-S10 |
L-ISE-APX-3Y-S10 |
L-ISE-APX-1Y-S10 |
| 세션 수 250,000 이상 |
L-ISE-APX-5Y-S11 |
L-ISE-APX-3Y-S11 |
L-ISE-APX-1Y-S11 |
5. Cisco ISE 주문(SKU) 및 권한 생성 정보
5.1 Cisco ISE 라이선스 주문
● 모든 Cisco ISE 라이선스는 Cisco Commerce Workspace (CCW)에서 주문 가능하며, Global Price List (GPL)에 포함되어 있습니다.
● Cisco ISE 엔드포인트 세션 기반 라이선스는 세션 100개부터 원하는 수량만큼 주문할 수 있습니다.
● 구독 라이선스 유의사항:
o 구독 라이선스는 1년, 3년(기본) 또는 5년의 구독 기간으로 주문 가능합니다.
o 배포된 ISE 내 모든 Cisco ISE 어플라이언스(물리/가상)에 대한 지원 계약은 ISE 기간제 라이선스 구매 및 이용을 위한 전제 조건입니다.
o 기본적인 라이선스 사용 시작 시점은 즉시입니다. 주문 시 시작일을 현재 날짜에서 최대 60일까지 조정할 수 있습니다. 이러한 계산은 CCW에서 라이선스 기간을 종료일에서부터 역산하거나 시작일에서부터 계산하는 방법으로 수행합니다.
o 기간을 12~60개월 사이에서 정하여 복수의 라이선스가 동시에 종료되도록 기간을 맞출 수 있습니다.
5.1.1 Cisco ISE 라이선스 권한 생성
고객은 구매 당시 동의한 약관에 따라 해당 수량과 기간의 라이선스를 이용할 권한을 부여받게 됩니다.
관련 ISE 릴리즈: 2.2 이상
컴플라이언스 위반: 다음의 경우 라이선스 규정 위반에 해당합니다
(a) 배포된 ISE가 (일시적인 이용량 증가로 인해) 구매한 수량의 125%를 초과하는 세션을 사용하는 경우 또는
(b) 라이선스가 갱신 없이 만료된 경우
컴플라이언스 실행: 배포된 ISE가 연이은 60일 중 45일 동안 규정을 위반한 경우 다음과 같은 영향이 발생합니다.
경보: 라이선스 규정이 위반된 날마다 경보가 발생합니다. 기간제 라이선스의 경우 만료되기 90일, 60일, 30일 전에 경보가 발생하며, 만료 전 30일 동안에도 매일 경보가 발생합니다.
영향: 최종 사용자에게는 아무런 영향이 없습니다. 기존 구성이 중단 없이 계속 작동합니다.
그러나 위반된 라이선스와 관련된 기능들에 대한 가시성 및 관리는 영향을 받게 됩니다.
즉, ISE 관리자는 컴플라이언스 위반이 해소될 때까지 관련 기능에 대해 제한된 읽기 전용 기능만 사용할 수 있습니다.
이러한 실행 조치는 향후 변경될 수 있으며 변경 시 관련 릴리즈 자료를 통해 안내됩니다.
5.1.2 Cisco ISE SKU 개요
Cisco ISE 라이선스 구독의 주문에는 세 가지 SKU 유형이 관련되어 있습니다.:
● 구독 SKU는 구독 기간 및 시작일을 정의하는 데 사용됩니다.
● 제품 SKU는 구독을 구성하는 제품과 수량을 정의하는 데 사용됩니다.
● 지원 SKU는 구독에 대한 지원 등급을 정의합니다.
주문은 ISE 구독 SKU를 선택하는 것으로 시작됩니다. 그런 다음 제품 및 지원 SKU를 선택하여 구독을 구성합니다.
| SKU 유형 |
SKU |
설명 |
| 구독 |
ISE-SEC-SUB |
Cisco Identity Service Engine 구독 |
제품 SKU: ISE Essentials, ISE Advantage, ISE Premier
ISE Essentials, ISE Advantage 및 ISE Premier에 대해 각각 하나의 SKU만 존재합니다. 가격은 티어별 가격 모델을 따르며
Seat 개수와 구독 기간에 따라 동적으로 계산됩니다.
| SKU 유형 |
SKU |
설명 |
| 빌링 |
ISE-E-LIC |
Cisco Identity Service Engine Essentials 구독 |
| ISE-A-LIC |
Cisco Identity Service Engine Advantage 구독 |
|
| ISE-P-LIC |
Cisco Identity Service Engine Premier 구독 |
Cisco ISE 지원
| SKU 유형 |
SKU |
설명 |
| 지원 |
SVS-ISE-SUP-B |
Cisco ISE Basic Support |
| SVS-ISE-SUP-E |
Cisco ISE Enhanced Support |
|
| SVS-ISE-SUP-P |
Cisco ISE Premium Support |
1단계.
구독 SKU 선택. 하나의 Cisco ISE 구독 SKU (ISE-SEC-SUB)가 있습니다. 구독 SKU에 대한 가격은 없습니다. 가격은 제품 SKU가 추가되고 구성될 때 결정됩니다. 각 최종 고객은 하나의 구독만 이용할 수 있으므로 수량은 1을 선택합니다. 제품 수량은 제품 SKU가 구독에 추가될 때 입력됩니다.
구독 SKU를 선택한 다음 ‘옵션 선택’을 누르면 구독 기관과 시작일을 변경할 수 있습니다.
CCW에서 구독 SKU 선택하기
구독 기간의 기본값은 36개월입니다.
CCW에서 구독 기간 변경하기
이때 시작일도 변경이 가능합니다.
서비스 프로비저닝이 실시되고 서비스 시작일부터 구독이 시작됩니다. 서비스 프로비저닝은 주문 정보가 누락 없이 정확한 경우에 한해 최대 72시간까지 소요될 수 있습니다.
2단계. 제품 SKU 선택
구독 기간 설정이 완료되면 그 다음으로 구독에 제품을 추가합니다. 제품 기간은 구독 기간에 의해 결정됩니다. 먼저 구독 구성 요약에서 적합한 제품을 선택합니다. 아래 그림에서는 ISE-P-LIC를 예로 사용했습니다. 제품에 대한 구독 구성을 선택한 다음 해당 세션 수에 따라 알맞은 수량을 입력합니다.
CCW에서 빌링 SKU 선택하기
가격은 주문한 수량과 기간에 따라 동적으로 결정되며 티어별 가격 모델을 기반으로 합니다. 선택된 SKU에 대한 월 가격이 표시됩니다. 그러나 빌링은 해당 구독 기간에 대한 선불 청구가 적용되며, 금액은 소계에 표시됩니다. 아래 그림은 ISE-E-LIC 세션 100개와 ISE-P-LIC 세션 1500개를 3년 간 이용할 때 가격이 동적으로 책정되는 예를 보여줍니다.
CCW에서 빌링 SKU 수량을 선택할 때 동적으로 책정되어 표시되는 가격
3단계. 서비스 SKU 선택
제품을 추가한 후 다음 단계는 해당 구독에 대한 서비스 등급을 정하는 것입니다. 세 가지 서비스 등급에 해당하는 세 개의 Cisco ISE 서비스 SKU가 있습니다. 구독에 대한 서비스를 구성하려면 먼저 구독 구성 요약에서 Cisco ISE 서비스 옵션을 선택합니다.
Basic Support는 표준 서비스 모델로서 기본으로 선택되어 있습니다. Enhanced Support 또는 Premium Support는 서비스 옵션에서 적절한 서비스 수준을 선택하여 구매할 수 있습니다. Enhanced Support와 Premium Support의 가격은 제품 원가에 대한 비율에 따라 동적으로 계산되며 연 최소 가격 요건을 만족해야 합니다.
CCW에서 서비스 SKU 선택하기
견적 및 주문 관련 문의
견적이나 주문에 관한 문의는 cs-support@cisco.com으로 문의하거나 <TBD>에서 케이스를 열어 주세요.
5.1.3 Cisco ISE Device Admin SKU
Device Administration 트랜잭션에서 운영되는 Policy Service Node당 하나의 ISE Device Administration 라이선스가 필요합니다.
표 6. Cisco ISE Device Administration 라이선스
| 파트 번호(SKU) |
설명 |
| L-ISE-TACACS-ND= |
Cisco ISE Device Admin Node 라이선스 |
IPsec VPN에서 NAD로의 통신에 사용되는 Policy Services Node당 하나의 Cisco ISE IPsec 라이선스가 필요합니다. Policy Services Node당 최대 150개의 IPsec 터널이 있습니다.
표 7. Cisco ISE IPsec 라이선스
| 파트 번호(SKU) |
설명 |
| L-ISE-IPSEC |
Cisco Identity Services Engine IPsec 라이선스 |
5.2 Cisco ISE 어플라이언스 SKU
배포된 Cisco ISE에 대해 SNS-3515 또는 SNS-3595 Secure Network Server를 선택할 때는 적합한 소프트웨어 옵션을 선택해야 합니다.
● Cisco Secure Network Server 3515의 경우 SW-3515-ISE-K9
● Cisco Secure Network Server 3595의 경우 SW-3595-ISE-K9
표 8. Cisco ISE Hardware Appliance 라이선스
| 하드웨어 SKU |
제품 설명 |
비고 |
| SNS-3515-K9 |
ISE 애플리케이션용 소형 Secure Network Server |
고객은 업그레이드 또는 신규 구매 중에서 선택해야 합니다. |
| SNS-3595-K9 |
ISE 애플리케이션용 대형 Secure Server |
고객은 업그레이드 또는 신규 구매 중에서 선택해야 합니다. |
| SNS-3615-K9 |
ISE 애플리케이션용 소형 Secure Network Server |
고객은 소프트웨어 옵션을 선택해야 합니다. |
| SNS-3655-K9 |
ISE 애플리케이션용 중형 Secure Network Server |
고객은 소프트웨어 옵션을 선택해야 합니다. |
| SNS-3695-K9 |
ISE 애플리케이션용 대형 Secure Network Server |
고객은 소프트웨어 옵션을 선택해야 합니다. |
표 9. Cisco Secure Network Server용 예비 컴포넌트
| Secure Network Server |
컴포넌트 부품 번호 |
컴포넌트 설명 |
| 3515/3595 |
UCS-HD600G10K12G |
600-GB 12-Gb SAS 10K RPM SFF 하드 디스크, 핫 플러거블, 드라이브 슬레드 장착 |
| 3615/3655/3695 |
UCS-HD600G10K12N |
600-GB 12-Gb SAS 10K RPM SFF 하드 디스크, 핫 플러거블, 드라이브 슬레드 장착 |
| 3515/3595/3615/3655/3695 |
UCSC-PSU1-770W= |
770W 전원 공급 장치 |
| 3515/3595/3615/3655/3695 |
N20-BKVM= |
KVM 케이블 |
| 3515/3595/3615/3655/3695 |
UCSC-RAILB-M4= |
레일 키트 |
표 10. Cisco ISE Virtual Machine 라이선스
| 서비스 부품 번호 |
제품 설명 |
VM 어플라이언스 사양 |
|
R-ISE-VMS-K9= |
Cisco ISE Virtual Machine 소형 |
SNS-3515 또는 동급의 경우 16GB RAM 이상 및 12 CPU 코어 이상 |
| SNS-3615 또는 동급의 경우 32GB RAM 이상 및 16 CPU 코어 이상 |
||
|
R-ISE-VMM-K9= |
Cisco ISE Virtual Machine 중형 |
SNS-3595 또는 동급의 경우 64GB RAM 이상 및 16 CPU 코어 이상 |
| SNS-3655 또는 동급의 경우 96GB RAM 및 24 CPU 코어 이상 |
||
|
R-ISE-VML-K9= |
Cisco ISE Virtual Machine 대형 |
500,000개 이상의 동시 세션을 지원하는 클러스터 내 MnT의 경우 256GB RAM 이상 및 16 CPU 코어 이상 |
| SNS3695 또는 동급의 경우 256GB RAM 이상 및 24 CPU 코어 이상 |
6. 구독 갱신, 취소 및 변경
Cisco ISE 구독은 최초 주문 시 자동 갱신을 선택 해제하지 않는 한 12개월 단위로 자동 갱신됩니다. 이때 견적이나 주문은 필요하지 않습니다. 최초 구독 기간이 만료되기 120일 전부터 갱신 안내문이 고객 또는 파트너에게 발송됩니다. 고객 또는 파트너는 새 구독 기간이 시작될 때 청구서를 수신하게 됩니다.
구독 갱신은 새 구독 기간이 시작되기 60일 전까지 취소할 수 있습니다. 새 구독 기간이 시작되기 60일 전까지 취소하지 않으면 구독이 자동으로 갱신됩니다. 구독 기간 중 구독을 취소하고 남은 기간에 대한 크레딧을 받는 것은 허용되지 않습니다.
수동 갱신
고객이나 파트너가 원할 경우 구독을 12, 36 또는 60개월의 표준 기간으로 수동 갱신할 수 있습니다. 수동 갱신의 경우 아래 변경 구독 절차와 동일한 절차로 견적이 생성됩니다. 이 절차를 통해 새 견적이 생성됩니다. 견적이 승인되면 표준 절차에 따라 주문으로 변환됩니다.
구독 취소
구독 갱신은 새 구독 기간이 시작되기 60일 전까지 취소할 수 있습니다. 새 구독 기간이 시작되기 60일 전까지 취소하지 않으면 구독이 자동으로 갱신됩니다. 구독 기간 중 구독을 취소하고 남은 기간에 대한 크레딧을 받는 것은 허용되지 않습니다.
구독 변경(변경 구독)
구독 기간 중 언제든지 제품, 수량 또는 구독 기간을 변경할 수 있습니다. 구독을 변경하려면 Cisco Commerce Change- Subscription Job Aide를 참조하세요. 새 구독을 생성하여 제품이나 Seat를 추가하려는 경우 주문 오류가 발생하게 됩니다.
ISE 3.0부터 ISE 라이선스는 Smart 라이선스로만 제공됩니다. 이전 릴리즈를 사용 중인 경우에는 기존의 Product Authorization Key 기반 라이선스나 Smart 라이선스 중 하나로 사용할 수 있습니다. PAK 기반 라이선스 사용 시 라이선스 파일이 배포된 ISE로 이동합니다. 구매한 ISE 라이선스를 Smart 라이선스로 변환하는 방법에 대한 자세한 내용은 Cisco Smart 소프트웨어 라이선싱을 참조하세요.
Cisco는 라이선스 등록 포털에서 다양한 라이선스 관리 툴을 제공합니다. 포털에 접속하려면 유효한 Cisco.com ID와 비밀번호가 필요합니다. Cisco 라이선스 등록 포털의 주요 특징은 다음을 포함합니다.
● 간소화된 자산 관리: 고객에게 등록된 PAK와 라이선스가 설치된 디바이스를 식별합니다.
● 자동화된 소프트웨어 활성화: PAK 등록 및 라이선스 파일 배포를 신속하게 처리합니다.
● 라이선스 이전: 기존 라이선스를 새로운 Cisco ISE Administration 노드로 재호스팅합니다.
● 디바이스 교체: “Return Materials Authorization (RMA)”를 사용하여 교체 PAK 및 라이선스를 요청합니다.