Cisco Defense Orchestrator의 기본 사항

Cisco Defense Orchestrator (CDO)는 명확하고 간결한 인터페이스를 통해 정책 관리에 대한 고유한 보기를 제공합니다. ​다음은 CDO를 처음 사용할 때 기본 사항을 다루는 항목입니다.

CDO 테넌트 요청

CDO 테넌트의 30일 무료 평가판을 요청하여 디바이스를 온보딩하고 관리할 수 있습니다. 그런 다음 Cisco 계정 팀에 연락하여 테넌트를 라이선스가 있는 테넌트로 업그레이드할 수 있습니다.

시작하기 전에

SecureX계정을 아직 생성하지 않았으면 생성하십시오. SecureX 계정 생성을 참조하십시오.

절차

  1. https://www.defenseorchestrator.com/new로 진행합니다.

  2. CDO 테넌트를 프로비저닝하려는 지역을 선택합니다.

  3. Sign Up with SecureX(SecureX로 가입)를 클릭합니다.

  4. SecureX 계정으로 로그인합니다.

    성공적으로 로그인하면 등록된 이메일 ID로 테넌트 세부 정보가 포함된 이메일을 받게 됩니다. 선택한 지역에 새 CDO 테넌트가 생성됩니다. 이메일의 지침에 따라 새 CDO 테넌트에 액세스합니다.

    CDO 테넌트에 처음으로 로그인하는 방법에 대한 자세한 내용은 새 CDO 테넌트에 최초 로그인을 참조하십시오.

    CDO 테넌트 및 다양한 테넌트 설정 관리에 대한 자세한 내용은 테넌트 관리를 참조하십시오.

추가 CDO 테넌트 요청

기존 테넌트를 추가로 생성하려면 어카운트 매니저에게 문의하십시오.

라이선스

Cisco Defense Orchestrator에서 디바이스를 온보딩하고 관리하려면, 관리하려는 디바이스에 따라 기본 구독 및 디바이스별 기간 기반 구독을 구매해야 합니다.

라이선스 정보

CDO는 테넌트 자격에 대한 기본 구독과 디바이스 관리를 위한 디바이스 라이선스가 필요합니다. 필요한 테넌트 수에 따라 하나 이상의 CDO 기본 구독을 구입하고 디바이스 모델 번호 및 수량에 따라 디바이스 라이선스를 구입할 수 있습니다. 즉, 기본 구독을 구매하면 CDO 테넌트가 제공되며 CDO를 사용하여 관리하기로 선택한 모든 디바이스에 대해 별도의 디바이스 라이선스가 필요합니다. 배포 계획을 위해 각 CDO 테넌트는 SDC(보안 디바이스 커넥터)를 통해 약 500개의 디바이스를 관리하고 클라우드 커넥터를 사용하는 원하는 수의 디바이스를 관리할 수 있습니다. 자세한 내용은 Secure Device Connector(SDC)를 참조하십시오.

서브스크립션

Cisco Defense Orchestrator 구독은 기간 기반입니다.

  • 기본- 1년, 3년 및 5년 동안의 구독을 제공하고 CDO 테넌트에 액세스하고 적절하게 라이선스가 부여된 디바이스를 온보딩할 수 있는 권한을 제공합니다.

  • 디바이스 라이선스 - 관리하기로 선택한 모든 지원 디바이스에 대해 1년, 3년 및 5년 구독을 제공합니다. 예를 들어 Cisco Firepower 1010 디바이스에 대한 3년 소프트웨어 구독을 구매한 경우, 3년 동안 CDO에서 클라우드 사용 Firewall Management Center를 사용하여 Cisco Firepower 1010 디바이스를 관리하도록 선택할 수 있습니다.

CDO가 지원하는 Cisco 보안 디바이스에 대한 자세한 내용은 CDO에서 지원하는 소프트웨어 및 하드웨어를 참조하십시오.


중요사항


CDO에서 고가용성 디바이스 쌍을 관리하기 위해 두 개의 별도 디바이스 라이선스가 필요하지 않습니다. ASA(Secure Firewall ASA) 또는 FTD(Secure Firewall Threat Defense) 고가용성 쌍이 있는 경우, CDO는 고가용성 디바이스 쌍을 하나의 단일 디바이스로 간주하므로 하나의 ASA 또는 FTD 디바이스 라이선스를 구입하는 것으로 충분합니다.



참고


Cisco 스마트 라이선스 포털을 통해 CDO 라이선스를 관리할 수 없습니다.


소프트웨어 서브스크립션 지원

CDO 기본 구독에는 구독 기간 동안 유효한 소프트웨어 구독 지원이 포함되며 추가 비용 없이 소프트웨어 업데이트, 주요 업그레이드 및 Cisco TAC(Technical Assistance Center)에 대한 액세스를 제공합니다. 소프트웨어 지원이 기본적으로 선택되어 있지만 요구 사항에 따라 CDO 솔루션 지원을 활용할 수도 있습니다.

평가판 라이선스

Cisco Defense Orchestrator 평가판 라이선스

SecureX 계정에서 30일 Cisco Defense Orchestrator 평가판을 요청할 수 있습니다. 자세한 내용은 CDO 테넌트 요청을 참조하십시오.

클라우드 사용 Firewall Management Center 평가 라이선스

클라우드 사용 Firewall Management Center에 90일 평가판 라이선스가 제공되며 그 이후에는 위협 방어 서비스가 차단됩니다.

CDO 테넌트에서 프로비저닝된 클라우드 사용 Firewall Management Center를 가져오는 방법을 알아보려면 CDO 테넌트용 클라우드 사용 Firewall Management Center 요청을 참조하십시오.

클라우드 제공 Firewall Management Center 및 Threat Defense 라이선스

CDO에서 클라우드 사용 Firewall Management Center를 사용하기 위해 별도의 라이선스를 구입할 필요가 없습니다. CDO 테넌트의 기본 구독에는 클라우드 사용 Firewall Management Center에 대한 비용이 포함됩니다.


참고


클라우드 사용 Firewall Management Center는 에어갭 네트워크의 디바이스에 대한 특정 라이선스 예약(SLR)을 지원하지 않습니다.


클라우드 제공 Firewall Management Center용 Threat Defense 라이선스

클라우드 사용 Firewall Management Center에서 관리하는 각 Secure Firewall Threat Defense 디바이스에 대해 개별 라이선스가 필요합니다. 자세한 내용은 Cisco Defense Orchestrator에서 클라우드 사용 Firewall Management Center로 Firewall Threat Defense 관리에서 라이센싱을 참조하십시오.

CDO클라우드 사용 Firewall Management Center으로 마이그레이션된 디바이스에 대한 라이선스를 처리하는 방법을 알아보려면 Management Center에서 Cloud로 Threat Defense 마이그레이션을 참조하십시오.

추가 지원 디바이스 및 라이선스

클라우드 사용 Firewall Management Center, CDO를 통해 Secure Firewall Threat Defense 디바이스를 지원하는 것 외에도 다음 디바이스도 관리합니다.

  • Cisco Secure Firewall ASA

  • Cisco Secure Firewall Cloud Native

  • 온프레미스 Cisco Secure Firewall Management Center

  • Cisco Meraki 보안 어플라이언스

  • Cisco IOS 디바이스

  • SSH를 사용하여 액세스할 수 있는 디바이스

  • Amazon Web Services(AWS) 가상 프라이빗 클라우드(VPC)

  • Duo 관리자 패널

  • Umbrella 조직

CDO 기본 인타이틀먼트 라이선스와 관리하려는 디바이스에 특정한 라이선스가 필요합니다.

SDC(Secure Device Connector)

디바이스 자격 증명을 사용하여 CDO에 디바이스를 온보딩할 때 CDO는 디바이스와 CDO 간의 프록시 통신을 위해 네트워크에서 SDC(Secure Device Connector)를 다운로드하고 구축하는 것이 모범 사례라고 간주합니다. 그러나 원하는 경우 CDO에서 외부 인터페이스를 통해 직접 통신을 수신하도록 디바이스를 활성화할 수 있습니다. ASA(Adaptive Security Appliance), FDM 관리 디바이스, FMC(Firepower Management Center), Secure Firewall Cloud Native 디바이스, SSH 및 IOS 디바이스는 모두 SDC를 사용하여 CDO에 온보딩할 수 있습니다.

SDC는 매니지드 디바이스에서 실행해야 하는 명령과 매니지드 디바이스로 전송해야 하는 메시지에 대해 CDO를 모니터링합니다. SDC는 CDO를 대신하여 명령을 실행하고, 매니지드 디바이스를 대신하여 CDO에 메시지를 전송하고, 매니지드 디바이스에서 CDO로 응답을 반환합니다.

SDC는 AES-128-GCM over HTTPS(TLS 1.2)를 사용하여 서명 및 암호화된 보안 통신 메시지를 사용하여 CDO와 통신합니다. 온보딩된 디바이스 및 서비스에 대한 모든 자격 증명은 브라우저에서 SDC로 직접 암호화되며, AES-128-GCM을 사용하여 저장 상태에서도 암호화됩니다. SDC만 디바이스 자격 증명에 액세스할 수 있습니다. 다른 CDO 서비스는 자격 증명에 액세스할 수 없습니다. SDC와 CDO 간의 통신을 허용하는 방법에 대한 자세한 내용은 매니지드 디바이스에 Cisco Defense Orchestrator 연결의 내용을 참조하십시오.

SDC는 하이퍼바이저의 가상 머신으로 어플라이언스에 설치하거나 AWS 또는 Azure와 같은 클라우드 환경에 설치할 수 있습니다. CDO에서 제공하는 통합된 가상 머신 및 SDC 이미지를 사용하여 SDC를 설치하거나, 고유한 가상 머신을 생성하고 여기에 SDC를 설치할 수 있습니다. SDC 가상 어플라이언스는 CentOS 운영 체제를 포함하며 Docker 컨테이너 내에서 실행됩니다.

각 CDO 테넌트에는 무제한의 SDC가 있을 수 있습니다. 이러한 SDC는 테넌트 간에 공유되지 않으며 단일 테넌트 전용입니다. 단일 SDC에서 관리할 수 있는 디바이스의 수는 해당 디바이스에 구현된 기능 및 해당 구성 파일의 크기에 따라 달라집니다. 그러나 구축을 계획할 때는 1개의 SDC가 약 500개의 디바이스를 지원할 것으로 예상합니다.

테넌트에 대해 둘 이상의 SDC를 구축하면 다음과 같은 이점도 제공됩니다.

  • 성능 저하 없이 CDO 테넌트로 더 많은 디바이스를 관리할 수 있습니다.

  • 네트워크 내의 격리된 네트워크 세그먼트에 SDC를 구축하고 동일한 CDO 테넌트로 해당 세그먼트의 디바이스를 계속 관리할 수 있습니다. 여러 SDC가 없으면 서로 다른 CDO 테넌트를 사용하여 격리된 네트워크 세그먼트에서 디바이스를 관리해야 합니다.

두 번째 또는 후속 SDC를 구축하는 절차는 첫 번째 SDC를 구축할 때와 동일합니다. 테넌트의 초기 SDC는 테넌트의 이름과 숫자 1을 통합하며 CDO의 페이지의 Secure Connectors(보안 커넥터) 탭에 표시됩니다. 각 추가 SDC는 순서대로 번호가 매겨집니다. CDO의 VM 이미지를 사용하여 보안 디바이스 커넥터 구축자체 VM에 보안 디바이스 커넥터 구축 참조

매니지드 디바이스에 Cisco Defense Orchestrator 연결

CDO는 클라우드 커넥터 또는 SDC(Secure Device Connector)를 통해 관리하는 디바이스에 연결합니다.

인터넷에서 디바이스에 직접 액세스할 수 있는 경우 클라우드 커넥터를 사용하여 디바이스에 연결해야 합니다. 디바이스를 구성할 수 있는 경우 클라우드 지역의 CDO IP 주소에서 포트 443에 대한 인바운드 액세스를 허용합니다.

인터넷에서 디바이스에 액세스할 수 없는 경우 CDO가 디바이스와 통신할 수 있도록 네트워크에 온프레미스 SDC를 구축할 수 있습니다. 디바이스를 구성할 수 있는 경우 포트 443(또는 디바이스 관리를 위해 설정한 포트)에서 전체 인바운드 액세스를 허용해야 합니다.

다음을 온보딩하려면 네트워크에 온프레미스 SDC가 필요합니다.

  • 클라우드에서 액세스할 수 없는 ASA 디바이스.

  • 클라우드에서 액세스할 수 없는 FDM 관리 디바이스 및 "자격 증명 온보딩" 방법이 사용됩니다.

  • Cisco IOS 디바이스.

  • SSH 액세스가 가능한 디바이스.

다른 모든 디바이스 및 서비스에는 온프레미스 SDC가 필요하지 않습니다. CDO는 "Cloud Connector"를 사용하여 연결합니다. 인바운드 액세스를 허용해야 하는 IP 주소를 확인하려면 다음 섹션을 참조하십시오.

클라우드 커넥터를 통해 디바이스를 CDO에 연결

클라우드 커넥터를 통해 CDO를 디바이스에 직접 연결할 때는 EMEA, 미국 또는 APJC 지역의 다양한 IP 주소에 대해 포트 443(또는 디바이스 관리를 위해 구성한 모든 포트)에서 인바운드 액세스를 허용해야 합니다.

유럽, 중동 또는 아프리카(EMEA) 지역의 고객이 https://defenseorchestrator.eu/에서 CDO에 연결하는 경우 다음 IP 주소에서의 인바운드 액세스를 허용합니다.

  • 35.157.12.126

  • 35.157.12.15

미국 지역의 고객이 https://defenseorchestrator.com에서 CDO에 연결하는 경우 다음 IP 주소에서의 인바운드 액세스를 허용합니다.

  • 52.34.234.2

  • 52.36.70.147

APJC(아시아-태평양-일본-중국) 지역의 고객이 https://www.apj.cdo.cisco.com/에서 CDO에 연결하는 경우 다음 IP 주소에서의 인바운드 액세스를 허용합니다.

  • 54.199.195.111

  • 52.199.243.0

SDC를 사용하여 CDO에 디바이스 연결

SDC를 통해 CDO를 디바이스에 연결할 때 CDO에서 관리하려는 디바이스는 포트 443(또는 디바이스 관리를 위해 구성한 모든 포트)에서 전체 인바운드 액세스를 허용해야 합니다. 이는 관리 액세스 제어 규칙을 사용하여 구성됩니다.

또한 SDC가 구축된 가상 머신이 매니지드 디바이스의 관리 인터페이스에 네트워크로 연결되어 있는지 확인해야 합니다.

SDC에 ASA 또는 Secure Firewall Cloud Native를 연결하기 위한 특별 고려 사항

특히 ASA 또는 Secure Firewall Cloud Native의 경우 SDC는 ASDM에서 사용하는 것과 동일한 보안 통신 채널을 사용합니다.

관리 중인 ASA 또는 Secure Firewall Cloud Native도 AnyConnect VPN 클라이언트 연결을 허용하도록 구성된 경우 ASDM HTTP 서버 포트를 1024 이상의 값으로 변경해야 합니다. 이 포트 번호는 디바이스를 ASA 또는 Secure Firewall Cloud Native 디바이스에 온보딩할 때 사용되는 포트 번호와 동일합니다.

ASA 또는 Secure Firewall Cloud Native 명령 예

다음 예에서는 ASA 또는 Secure Firewall Cloud Native 외부 인터페이스의 이름이 'outside'이고 AnyConnect 클라이언트가 ASA 또는 Secure Firewall Cloud Native에 구성되어 있으므로, ASDM HTTP 서버가 포트 8443에서 수신 대기 중이라고 가정합니다.

외부 인터페이스를 활성화하려면 다음 명령을 입력합니다.

EMEA:

http 35.157.12.126 255.255.255.255 outside

http 35.157.12.15 255.255.255.255 outside

미국:

http 52.34.234.2 255.255.255.255 outside

http 52.36.70.147 255.255.255.255 outside

아시아 태평양 일본 중국 지역:

http 54.199.195.111 255.255.255.255 outside

http 52.199.243.0 255.255.255.255 outside

AnyConnect VPN 클라이언트를 사용 중인 경우 ASDM HTTP 서버 포트를 활성화하려면 다음 명령을 입력합니다.

http server enable 8443

CDO의 VM 이미지를 사용하여 보안 디바이스 커넥터 구축

디바이스 자격 증명을 사용하여 CDO를 디바이스에 연결하는 경우 네트워크에 SDC를 다운로드하고 배포하여 CDO와 디바이스 간의 통신을 관리하는 것이 가장 좋습니다. 일반적으로 이러한 디바이스는 경계를 기반으로 하지 않으며 공용 IP 주소가 없거나 외부 인터페이스에 대한 개방형 포트가 있습니다. ASA(Adaptive Security Appliance), FDM 관리 디바이스, FMC(Firepower Management Center), Secure Firewall Cloud Native 디바이스, SSH 및 IOS 디바이스는 모두 SDC를 사용하여 CDO에 온보딩할 수 있습니다.

SDC는 매니지드 디바이스에서 실행해야 하는 명령과 매니지드 디바이스로 전송해야 하는 메시지에 대해 CDO를 모니터링합니다. SDC는 CDO를 대신하여 명령을 실행하고, 매니지드 디바이스를 대신하여 CDO에 메시지를 전송하고, 매니지드 디바이스에서 CDO로 응답을 반환합니다.

단일 SDC에서 관리할 수 있는 디바이스의 수는 해당 디바이스에 구현된 기능 및 해당 구성 파일의 크기에 따라 달라집니다. 그러나 구축을 계획할 때는 1개의 SDC가 약 500개의 디바이스를 지원할 것으로 예상합니다. 자세한 내용은 단일 CDO 테넌트에서 여러 SDC 사용를 참조하십시오.

이 절차에서는 CDO의 VM 이미지를 사용하여 네트워크에 SDC를 설치하는 방법을 설명합니다. 이는 SDC를 생성하는 가장 쉽고 신뢰할 수 있는 방법입니다. 생성한 VM을 사용하여 SDC를 생성해야 하는 경우 자체 VM에 보안 디바이스 커넥터 구축을 수행합니다.

시작하기 전에

SDC를 구축하기 전에 다음 사전 요건을 검토합니다.

  • CDO는 엄격한 인증서 확인이 필요하며 SDC와 인터넷 간의 웹/콘텐츠 프록시 검사를 지원하지 않습니다. 프록시 서버를 사용하는 경우 SDC(보안 디바이스 커넥터)와 CDO 간의 트래픽 검사를 비활성화합니다.

  • SDC는 TCP 포트 443 또는 디바이스 관리를 위해 구성한 포트에서 인터넷에 대한 전체 아웃바운드 액세스 권한을 가져야 합니다. CDO에서 관리하는 디바이스는 이 포트의 인바운드 트래픽도 허용해야 합니다.

  • Connect Cisco Defense Orchestrator to the Secure Device Connector(Cisco Defense Orchestrator 연결)를 검토하여 적절한 네트워크 액세스를 확인합니다.

  • CDO는 vSphere 웹 클라이언트 또는 ESXi 웹 클라이언트를 사용하여 SDC VM OVF 이미지 설치를 지원합니다.

  • CDO는 vSphere 데스크톱 클라이언트를 사용한 SDC VM OVF 이미지 설치를 지원하지 않습니다.

  • ESXi 5.1 하이퍼바이저.

  • Cent OS 7 게스트 운영체제.

  • SDC가 하나만 있는 VMware ESXi 호스트의 시스템 요구 사항:

    • VMware ESXi 호스트에는 vCPU 2개가 필요합니다.

    • VMware ESXi 호스트에는 최소 2GB의 메모리가 필요합니다.

    • VMware ESXi에는 프로비저닝 선택에 따라 가상 머신을 지원하기 위해 64GB의 디스크 공간이 필요합니다.

  • docker IP는 SDC의 IP 범위 디바이스 IP 범위와 다른 서브넷에 있어야 합니다.

  • 설치를 시작하기 전에 다음 정보를 수집하십시오.

    • SDC에 사용할 고정 IP 주소

    • 설치 프로세스 중 생성하는 rootcdo 사용자의 비밀번호.

    • 조직에서 사용하는 DNS 서버의 IP 주소

    • SDC 주소가 있는 네트워크의 게이트웨이 IP 주소

    • 시간 서버의 FQDN 또는 IP 주소.

  • SDC 가상 머신은 보안 패치를 정기적으로 설치하도록 구성되며, 이를 위해서는 포트 80 아웃바운드를 열어야 합니다.

프로시저


단계 1

SDC를 생성할 CDO 테넌트에 로그온합니다.

단계 2

CDO 메뉴에서 Tools & Services(툴 및 서비스) > Secure Connectors(보안 커넥터)를 선택합니다.

단계 3

Secure Connectors(보안 커넥터) 페이지에서 파란색 더하기 버튼을 클릭하고 Secure Device Connector(보안 디바이스 커넥터)를 클릭합니다.

단계 4

1단계에서 Download the SDC VM image(SDC VM 이미지 다운로드)를 클릭합니다. 별도의 탭에서 열립니다.

단계 5

.zip 파일의 모든 파일을 추출합니다. 다음과 같이 표시됩니다.

  • CDO-SDC-VM-ddd50fa.ovf

  • CDO-SDC-VM-ddd50fa.mf

  • CDO-SDC-VM-ddd50fa-disk1.vmdk

단계 6

vSphere 웹 클라이언트를 사용하여 VMware 서버에 관리자로 로그인합니다.

참고

 

ESXi 웹 클라이언트를 사용하지 마십시오.

단계 7

지시에 따라 OVF 템플릿에서 보안 디바이스 커넥터 가상 머신을 구축합니다.

단계 8

설정이 완료되면 SDC VM의 전원을 켭니다.

단계 9

새 SDC VM의 콘솔을 엽니다.

단계 10

사용자 이름 cdo로 로그인합니다. 기본 암호는 adm123입니다.

단계 11

프롬프트에 sudo sdc-onboard setup을 입력합니다.

 [cdo@localhost ~]$ sudo sdc-onboard setup

단계 12

비밀번호를 물으면 adm123을 입력합니다.

단계 13

지시에 따라 root 사용자의 새 비밀번호를 생성합니다. 루트 사용자의 비밀번호를 입력합니다.

단계 14

지시에 따라 cdo 사용자의 새 암호를 생성합니다. cdo 사용자의 비밀번호를 입력합니다.

단계 15

Please choose the CDO domain you connect to(연결할 CDO 도메인을 선택하십시오) 메시지가 표시되면 Cisco Defense Orchestrator 도메인 정보를 입력합니다.

단계 16

메시지가 표시되면 SDC VM의 다음 도메인 정보를 입력합니다.

  1. IP 주소/CIDR

  2. 게이트웨이

  3. DNS 서버

  4. NTP 서버 또는 FQDN

  5. Docker 브리지

    또는 docker 브리지가 적용되지 않는 경우 Enter 키를 누릅니다.

단계 17

Are these values valid(이 값이 올바릅니까?) (y/n) 메시지가 나타나면 y를 사용하여 입력을 확인합니다.

단계 18

입력을 확인합니다.

단계 19

"Would you like to setup the SDC now?(지금 SDC를 설정하시겠습니까?) (y/n) 메시지가 나타나면 n을 입력합니다.

단계 20

VM 콘솔에서 자동으로 로그아웃됩니다.

단계 21

SDC에 대한 SSH 연결을 생성합니다. cdo로 로그인하고 비밀번호를 입력합니다.

단계 22

프롬프트에 sudo sdc-onboard bootstrap을 입력합니다.

[cdo@localhost ~]$ sudo sdc-onboard bootstrap 

단계 23

[sudo] 비밀번호를 묻는 메시지가 표시되면 14단계에서 생성한 cdo 비밀번호를 입력합니다.

단계 24

Please copy the bootstrap data form the Secure Connector Page of CDO(CDO의 보안 커넥터 페이지에서 부트스트랩 데이터를 복사하십시오.) 메시지가 표시되면 다음 절차를 수행합니다.

  1. CDO에 로그인합니다.

  2. CDO 메뉴에서 Admin(관리) > Secure Connector(보안 커넥터)를 선택합니다.

  3. Actions(작업) 창에서 Deploy an On-Premises Secure Device Connector(온프레미스 보안 디바이스 커넥터 구축)를 클릭합니다.

  4. 대화 상자의 2단계에서 Copy the bootstrap data(부트스트랩 데이터 복사)를 클릭하고 SSH 창에 붙여넣습니다.

단계 25

Do you want to update these setting(이 설정을 업데이트하시겠습니까?) (y/n) 메시지가 나타나면 n을 입력합니다.

단계 26

Secure Device Connector(보안 디바이스 커넥터) 페이지로 돌아갑니다. 새 SDC의 상태가 Active(활성)로 변경될 때까지 화면을 새로 고칩니다.


자체 VM에 보안 디바이스 커넥터 구축

디바이스 자격 증명을 사용하여 CDO 를 디바이스에 연결하는 경우, 네트워크에서 SDC(Secure Device Connector)를 다운로드하고 구축하여 CDO와 디바이스 간의 통신을 관리하는 것이 모범 사례입니다. 일반적으로 이러한 디바이스는 경계를 기반으로 하지 않으며 공용 IP 주소가 없거나 외부 인터페이스에 대한 개방형 포트가 있습니다. ASA(Adaptive Security Appliance), FDM 관리 장치, FMC(Firepower Management Center) 및 Secure Firewall Cloud Native 디바이스는 모두 디바이스 자격 증명을 사용하여 CDO에 온보딩할 수 있습니다.

SDC는 매니지드 디바이스에서 실행해야 하는 명령과 매니지드 디바이스로 전송해야 하는 메시지에 대해 CDO를 모니터링합니다. SDC는 CDO를 대신하여 명령을 실행하고, 매니지드 디바이스를 대신하여 CDO에 메시지를 전송하고, 매니지드 디바이스에서 CDO로 응답을 반환합니다.

단일 SDC에서 관리할 수 있는 디바이스의 수는 해당 디바이스에 구현된 기능 및 해당 구성 파일의 크기에 따라 달라집니다. 그러나 구축을 계획할 때는 1개의 SDC가 약 500개의 디바이스를 지원할 것으로 예상합니다. 자세한 내용은 단일 CDO 테넌트에서 여러 SDC 사용를 참조하십시오.

이 절차에서는 자체 가상 머신 이미지를 사용하여 네트워크에 SDC를 설치하는 방법을 설명합니다.


참고


SDC를 설치하는 가장 쉽고 신뢰할 수 있는 방법은 CDO의 SDC OVA 이미지를 다운로드하여 설치하는 것입니다. 해당 지침은 CDO의 VM 이미지를 사용하여 보안 디바이스 커넥터 구축의 내용을 참조하십시오.


시작하기 전에

  • CDO는 엄격한 인증서 확인이 필요하며 SDC와 인터넷 간의 웹/콘텐츠 프록시를 지원하지 않습니다.

  • SDC는 TCP 포트 443에서 인터넷에 대한 전체 아웃바운드 액세스 권한을 가져야 합니다.

  • 네트워킹 지침은 Secure Device Connector를 사용하여 Cisco Defense Orchestrator에 연결을 검토하십시오.

  • vCenter 웹 클라이언트 또는 ESXi 웹 클라이언트와 함께 설치된 VMware ESXi 호스트


    참고


    vSphere 데스크톱 클라이언트를 사용한 설치는 지원되지 않습니다.


  • ESXi 5.1 하이퍼바이저.

  • Cent OS 7 게스트 운영체제.

  • SDC만 있는 VM의 시스템 요구 사항:

    • VMware ESXi 호스트에는 CPU 2개가 필요합니다.

    • VMware ESXi 호스트에는 최소 2GB의 메모리가 필요합니다.

    • VMware ESXi에는 프로비저닝 선택에 따라 가상 머신을 지원하기 위해 64GB의 디스크 공간이 필요합니다. 이 값은 필요에 따라 필요한 디스크 공간을 확장할 수 있도록 파티션과 함께 LVM(논리적 볼륨 관리)을 사용한다고 가정합니다.

  • VM의 CPU와 메모리를 업데이트한 후 VM의 전원을 켜고 Secure Connector(보안 커넥터) 페이지에 SDC가 "Active(활성)" 상태로 표시되는지 확인합니다.

  • 이 절차를 수행하는 사용자는 Linux 환경에서 작업하고 파일 편집을 위해 vi 시각적 편집기를 사용하는 데 익숙해야 합니다.

  • CentOS 가상 머신에 온프레미스 SDC를 설치하는 경우 정기적으로 Yum 보안 패치를 설치하는 것이 좋습니다. Yum 구성에 따라 Yum 업데이트를 가져오려면 포트 80 및 443에서 아웃바운드 액세스를 열어야 할 수 있습니다. 또한 업데이트를 예약하려면 yum-cron 또는 crontab을 구성해야 합니다. 보안 운영 팀과 함께 Yum 업데이트를 받기 위해 변경해야 하는 보안 정책이 있는지 확인합니다.


참고


시작하기 전에: 절차의 명령을 복사하여 터미널 창에 붙여넣지 말고 대신 입력하십시오. 일부 명령에는 "n-대시"가 포함되며, 잘라내기 및 붙여넣기 프로세스에서 이러한 명령은 "m-대시"로 적용되어 명령이 실패할 수 있습니다.


프로시저


단계 1

SDC를 생성할 CDO 테넌트에 로그온합니다.

단계 2

CDO 메뉴에서 Tools & Services(툴 및 서비스) > Secure Connectors(보안 커넥터)를 선택합니다.

단계 3

Secure Connectors(보안 커넥터) 페이지에서 파란색 더하기 버튼을 클릭하고 Secure Device Connector(보안 디바이스 커넥터)를 클릭합니다.

단계 4

창의 2단계에서 부트스트랩 데이터를 메모장에 복사합니다.

단계 5

최소 SDC에 할당된 다음 RAM 및 디스크 공간을 사용하여 CentOS 7 가상 머신을 설치합니다.

  • 8GB RAM

  • 10GB 디스크 공간

단계 6

설치가 완료되면 SDC의 IP 주소, 서브넷 마스크 및 게이트웨이를 지정하는 등의 기본 네트워킹을 구성합니다.

단계 7

DNS(Domain Name Server) 서버를 구성합니다.

단계 8

NTP(Network Time Protocol) 서버를 구성합니다.

단계 9

SDC의 CLI와의 손쉬운 상호 작용을 위해 CentOS에 SSH 서버를 설치합니다.

단계 10

Yum 업데이트를 실행한 후 open-vm-tools, nettoolsbind-utils 패키지를 설치합니다.

[root@sdc-vm ~]# yum update -y 
               [root@sdc-vm ~]# yum install -y open-vm-tools net-tools bind-utils 

단계 11

AWS CLI 패키지를 설치합니다. https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html의 내용을 참조하십시오.

참고

 

--user 플래그를 사용하지 마십시오.

단계 12

Docker CE 패키지를 설치합니다. https://docs.docker.com/install/linux/docker-ce/centos/#install-docker-ce의 내용을 참조하십시오.

참고

 

"저장소를 사용하여 설치" 방법을 사용합니다.

단계 13

Docker 서비스를 시작하고 부팅 시 시작되도록 활성화합니다.


 [root@sdc-vm ~]# systemctl start docker
 [root@sdc-vm ~]# systemctl enable docker
 Created symlink from /etc/systemd/system/multiuser.target.wants/docker.service to
     /usr/lib/systemd/system/docker.service. 

단계 14

두 사용자("cdo" 및 "sdc")를 생성합니다. cdo 사용자는 관리 기능을 실행하기 위해 로그인하는 사용자이며(루트 사용자를 직접 사용할 필요가 없음), sdc 사용자는 SDC 도커 컨테이너를 실행하는 사용자입니다.


  [root@sdc-vm ~]# useradd cdo
  [root@sdc-vm ~]# useradd sdc –d /usr/local/cdo

단계 15

cdo 사용자의 비밀번호를 생성합니다.


  [root@sdc-vm ~]# passwd cdo 
  Changing password for user cdo.
  New password: <type password> 
  Retype new password: <type password> 
  passwd: all authentication tokens updated successfully. 

단계 16

cdo 사용자를 "Wheel" 그룹에 추가하여 관리(sudo) 권한을 부여합니다.


   [root@sdc-vm ~]# usermod -aG wheel cdo
   [root@sdc-vm ~]# 

단계 17

Docker가 설치되면 사용자 그룹이 생성됩니다. CentOS/Docker 버전에 따라 "docker" 또는 "dockerroot"라고 부를 수 있습니다. /etc/group 파일을 확인하여 어떤 그룹이 생성되었는지 확인한 다음 sdc 사용자를 이 그룹에 추가합니다.


  [root@sdc-vm ~]# grep docker /etc/group
   docker:x:993:
  [root@sdc-vm ~]#
  [root@sdc-vm ~]# usermod -aG docker sdc
  [root@sdc-vm ~]# 

단계 18

/etc/docker/daemon.json 파일이 없는 경우 파일을 생성하고 아래 내용을 입력합니다. 생성되면 docker 데몬을 다시 시작합니다.

참고

 

"group" 키에 입력한 그룹 이름이 이전 단계의 /etc/group 파일에서 찾은 그룹과 일치하는지 확인합니다.

[root@sdc-vm ~]# cat /etc/docker/daemon.json
         {
            "live-restore": true,
            "group": "docker"
         }
         [root@sdc-vm ~]# systemctl restart docker 
         [root@sdc-vm ~]# 

단계 19

현재 vSphere 콘솔 세션을 사용 중인 경우 SSH로 전환하고 "cdo" 사용자로 로그인합니다. 로그인한 후에는 "sdc" 사용자로 변경합니다. 암호를 묻는 메시지가 표시되면 "cdo" 사용자의 암호를 입력합니다.

[cdo@sdc-vm ~]$ sudo su sdc
               [sudo] password for cdo: <type password for cdo user>
               [sdc@sdc-vm ~]$ 

단계 20

디렉터리를 /usr/local/cdo로 변경합니다.

단계 21

bootstrapdata라는 새 파일을 생성하고 온프레미스 보안 디바이스 커넥터 구축 마법사의 2단계에서 가져온 부트스트랩 데이터를 이 파일에 붙여넣습니다. 파일을 Save(저장)합니다. vi 또는 nano를 사용하여 파일을 생성할 수 있습니다.

단계 22

부트스트랩 데이터는 base64로 인코딩됩니다. 이를 디코딩하고 extractedbootstrapdata라는 파일로 내보냅니다.

[sdc@sdc-vm ~]$ base64 -d /usr/local/cdo/bootstrapdata > /usr/local/cdo/extractedbootstrapdata
              [sdc@sdc-vm ~]$ 

cat 명령을 실행하여 디코딩된 데이터를 확인합니다. 명령 및 디코딩된 데이터는 다음과 같이 표시됩니다.

[sdc@sdc-vm ~]$ cat /usr/local/cdo/extractedbootstrapdata
               CDO_TOKEN="<token string>"
               CDO_DOMAIN="www.defenseorchestrator.com"
               CDO_TENANT="<tenant-name>"
               CDO_BOOTSTRAP_URL="https://www.defenseorchestrator.com/sdc/bootstrap/tenant-name/<tenant-name-SDC>" 

단계 23

다음 명령을 실행하여 디코딩된 부트스트랩 데이터의 섹션을 환경 변수로 내보냅니다.

[sdc@sdc-vm ~]$ sed -e 's/^/export /g' extractedbootstrapdata > sdcenv && source sdcenv
              [sdc@sdc-vm ~]$ 

단계 24

CDO에서 부트스트랩 번들을 다운로드합니다.

[sdc@sdc-vm ~]$ curl -O -H "Authorization: Bearer $CDO_TOKEN" "$CDO_BOOTSTRAP_URL"
               100 10314 100 10314 0 0 10656 0 --:--:-- --:--:-- --:--:-- 10654
               [sdc@sdc-vm ~]$ ls -l /usr/local/cdo/*SDC
               -rw-rw-r--. 1 sdc sdc 10314 Jul 23 13:48 /usr/local/cdo/tenant-name-SDC 

단계 25

SDC tarball의 압축을 풀고 bootstrap.sh 파일을 실행하여 SDC 패키지를 설치합니다.

[sdc@sdc-vm ~]$ tar xzvf /usr/local/cdo/tenant-name-SDC
               <snipped – extracted files>
               [sdc@sdc-vm ~]$
               [sdc@sdc-vm ~]$ /usr/local/cdo/bootstrap/bootstrap.sh
               [2018-07-23 13:54:02] environment properly configured
               download: s3://onprem-sdc/toolkit/prod/toolkit.tar to toolkit/toolkit.tar
               toolkit.sh
               common.sh
               [2018-07-23 13:54:04] startup new container
               Unable to find image 'ciscodefenseorchestrator/sdc_prod:latest' locally
               sha256:d98f17101db10e66db5b5d6afda1c95c29ea0004d9e4315508fd30579b275458: Pulling from
               ciscodefenseorchestrator/sdc_prod
               08d48e6f1cff: Pull complete
               ebbd10b629b1: Pull complete
               d14d580ef2ed: Pull complete
               45421d451ab8: Pull complete
               <snipped – downloads>
               no crontab for sdc

이제 SDC가 CDO에서 "Active(활성)"로 표시됩니다.


다음에 수행할 작업

Terraform 모듈을 사용하여 AWS VPC에 보안 디바이스 커넥터 구축

시작하기 전에

AWS VPC에서 SDC를 구축하기 전에 다음 사전 요건을 검토하십시오.

  • CDO는 엄격한 인증서 확인이 필요하며 SDC와 인터넷 간의 웹/콘텐츠 프록시 검사를 지원하지 않습니다. 프록시 서버를 사용하는 경우 SDC(보안 디바이스 커넥터)와 CDO 간의 트래픽 검사를 비활성화합니다.

  • Connect Cisco Defense Orchestrator to the Secure Device Connector(Cisco Defense Orchestrator 연결)를 검토하여 적절한 네트워크 액세스를 확인합니다.

  • 이 경우 AWS 계정, 하나 이상의 서브넷이 있는 AWS VPC 및 AWS Route53 호스팅 영역이 필요합니다.

  • CDO 부트스트랩 데이터, AWS VPC ID 및 해당 서브넷 ID가 있는지 확인합니다.

  • SDC를 구축하는 프라이빗 서브넷에 NAT 게이트웨이가 연결되어 있는지 확인합니다.

  • 방화벽 관리 HTTP 인터페이스가 실행 중인 포트에서 NAT 게이트웨이에 연결된 탄력적 IP로 이동하는 트래픽을 엽니다.

프로시저


단계 1

Terraform 파일에 다음 코드 줄을 추가합니다. 변수에 대한 입력을 수동으로 입력해야 합니다.

module "example-sdc" {
  source             = "git::https://github.com/cisco-lockhart/terraform-aws-cdo-sdc.git?ref=v0.0.1"
  env                = "example-env-ci"
  instance_name      = "example-instance-name"
  instance_size      = "r5a.xlarge"
  cdo_bootstrap_data = "<replace-with-cdo-bootstrap-data>"
  vpc_id             = <replace-with-vpc-id>
  subnet_id          = <replace-with-private-subnet-id>
}

입력 변수 및 설명 목록은 Secure Device Connector Terraform 모듈을 참조하십시오.

단계 2

Terraform 코드에서 instance_id를 출력으로 등록합니다.

output "example_sdc_instance_id" {
  value = module. example-sdc.instance_id
}

instance_id 를 사용하여 AWS Systems Manager 세션 관리자(SSM)를 통한 문제 해결을 위해 SDC 인스턴스에 연결할 수 있습니다. 사용 가능한 출력 목록은 Secure Device Connector Terraform 모듈의 출력을 참조하십시오.


다음에 수행할 작업

모든 SDC 문제 해결의 경우, AWS SSM을 사용하여 SDC 인스턴스에 연결해야 합니다. 인스턴스에 연결하는 방법에 대한 자세한 내용은 AWS Systems Manager 세션 관리자를 참조하십시오. SSH를 사용하여 SDC 인스턴스에 연결하는 포트는 보안상의 이유로 노출되지 않습니다.

보안 디바이스 커넥터의 IP 주소 변경

시작하기 전에

  • 이 작업을 수행하려면 관리자여야 합니다.

  • SDC는 TCP 포트 443 또는 디바이스 관리를 위해 구성한 포트에서 인터넷에 대한 전체 아웃바운드 액세스 권한을 가져야 합니다.


참고


SDC의 IP 주소를 변경한 후 디바이스를 CDO에 다시 등록할 필요가 없습니다.


프로시저


단계 1

SDC에 대한 SSH 연결을 생성하거나 가상 머신의 콘솔을 열고 CDO 사용자로 로그인합니다.

단계 2

IP 주소를 변경하기 전에 SDC VM의 네트워크 인터페이스 구성 정보를 보려면 ifconfig 명령을 사용합니다.

 [cdo@localhost ~]$ ifconfig

단계 3

인터페이스의 IP 주소를 변경하려면 sudo sdc-onboard setup 명령을 입력합니다.

 [cdo@localhost ~]$ sudo sdc-onboard setup

단계 4

프롬프트에 비밀번호를 입력합니다.

 [sudo] password for cdo:

단계 5

루트 및 CDO 비밀번호를 재설정하라는 프롬프트에 n을 입력합니다.

 Would you like to reset the root and cdo passwords? (y/n):

단계 6

네트워크 재구성 프롬프트에 y를 입력합니다.

 Would you like to re-configure the network? (y/n):

단계 7

메시지가 표시되면 SDC에 할당하려는 새 IP 주소와 SDC VM의 다른 도메인 정보를 입력합니다.

  1. IP Address(IP 주소)

  2. 게이트웨이

  3. DNS 서버

  4. NTP 서버 또는 FQDN

    또는 NTP 서버 또는 FQDN이 적용되지 않는 경우 Enter 키를 누릅니다.

  5. Docker 브리지

    또는 docker 브리지가 적용되지 않는 경우 Enter 키를 누릅니다.

단계 8

값의 정확성을 묻는 메시지가 표시되면 y로 항목을 확인합니다.

 Are these values correct? (y/n):

참고

 

이 명령을 실행하면 이전 IP 주소에 대한 SSH 연결이 끊어지므로, y를 입력하기 전에 값이 정확한지 확인합니다.

단계 9

SDC에 할당한 새 IP 주소를 사용하여 SSH 연결을 만들고 로그인합니다.

단계 10

연결 상태 테스트 명령을 실행하여 SDC가 실행 중인지 확인할 수 있습니다.

 [cdo@localhost ~]$ sudo sdc-onboard status

모든 확인 항목은 녹색으로 [ OK(확인) ]이라고 표시되어야 합니다.

참고

 

VM의 콘솔에서 이 절차를 수행하는 경우 값이 올바른지 확인하면 연결 상태 테스트가 자동으로 실행되고 상태가 표시됩니다.

단계 11

CDO 사용자 인터페이스를 통해 SDC의 연결을 확인할 수도 있습니다. 이렇게 하려면 CDO 애플리케이션을 열고 Tools & Services(도구 및 서비스) > Secure Connectors 페이지로 이동합니다.

단계 12

페이지를 한 번 새로 고치고 IP 주소를 변경한 보안 커넥터를 선택합니다.

단계 13

Actions(작업) 창에서 Request Heartbeat(하트비트 요청)를 클릭합니다.

하트비트 요청 성공 메시지가 표시되고, 마지막 하트비트에 현재 날짜와 시간이 표시되어야 합니다.

중요사항

 

변경한 IP 주소는 GMT 오전 3시 이후에만 SDC의 세부 정보 창에 반영됩니다.

VM에 SDC를 배포하는 방법에 대한 자세한 내용은 자체 VM에 보안 디바이스 커넥터 구축를 참조하세요.


보안 디바이스 커넥터 제거


Warning


이 절차에서는 SDC(보안 디바이스 커넥터)를 삭제합니다. 이는 되돌릴 수 없습니다. 이 작업을 수행한 후에는 새 SDC를 설치하고 디바이스를 다시 연결할 때까지 해당 SDC에 연결된 디바이스를 관리할 수 없습니다. 디바이스를 다시 연결하려면 다시 연결해야 하는 각 디바이스에 대한 관리자 자격 증명을 다시 입력해야 할 수 있습니다.


테넌트에서 SDC를 제거하려면 다음 절차를 수행합니다.

Procedure


Step 1

삭제할 SDC에 연결된 모든 디바이스를 제거합니다. 다음 두 가지 방법 중 하나로 하면 됩니다.

Step 2

CDO 메뉴에서 Tools & Services(툴 및 서비스) > Secure Connectors(보안 커넥터)를 선택합니다.

Step 3

Secure Connectors(보안 커넥터) 페이지에서 파란색 더하기 버튼을 클릭하고 Secure Device Connector(보안 디바이스 커넥터)를 선택합니다.

Step 4

Secure Connector(보안 커넥터) 테이블에서 제거할 SDC를 선택합니다. 이제 디바이스 수가 0이어야 합니다.

Step 5

작업 창에서 Remove(제거)를 클릭합니다. 다음 경고가 표시됩니다.

Warning

 

<sdc_name>을 삭제하려고 합니다. SDC 삭제는 되돌릴 수 없습니다. SDC를 삭제하면 디바이스를 온보딩하거나 다시 온보딩하기 전에 새 SDC를 생성하고 온보딩해야 합니다.

현재 온보딩된 디바이스가 있으므로 SDC를 제거하려면 새 SDC를 설정한 후 해당 디바이스를 다시 연결하고 자격 증명을 다시 제공해야 합니다.

  • 질문이나 우려 사항이 있는 경우 Cancel(취소)을 클릭하고 CDO 지원에 문의하십시오.

  • 계속하려면 <sdc_name>을 입력란에 입력하고 OK(확인)를 클릭합니다.

Step 6

확인 대화 상자에서 계속 진행하려면 경고 메시지에 나와 있는 SDC의 이름을 입력합니다.

Step 7

OK(확인)를 클릭하여 SDC 제거를 확인합니다.


SDC 간에 ASA 이동

CDO는 테넌트당 둘 이상의 SDC 사용을 지원합니다. 다음 절차를 사용하여 한 SDC에서 다른 SDC로 관리형 ASA를 이동할 수 있습니다.

프로시저


단계 1

탐색 모음에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭한 다음 ASA 탭을 클릭합니다.

단계 3

다른 SDC로 이동하려는 ASA를 선택합니다.

단계 4

Device Actions(디바이스 작업) 창에서 Update Credentials(자격 증명 업데이트)를 클릭합니다.

단계 5

보안 디바이스 커넥터 버튼을 클릭하고 디바이스를 이동하려는 SDC를 선택합니다.

단계 6

CDO가 디바이스에 로그인하는 데 사용하는 관리자 사용자 이름과 암호를 입력하고 Update(업데이트)를 클릭합니다. 변경되지 않은 경우 관리자 사용자 이름과 암호는 ASA 온보딩에 사용한 것과 동일한 자격 증명입니다. 이러한 변경 사항을 디바이스에 배포할 필요는 없습니다.

참고

 

모든 ASA가 동일한 자격 증명을 사용하는 경우 한 SDC에서 다른 SDC로 ASA를 대량으로 이동할 수 있습니다. ASA에 다른 자격 증명이 있는 경우 한 번에 하나의 SDC에서 다른 하나로 이동해야 합니다.


Meraki MX 연결 자격 증명 업데이트

Meraki 대시보드에서 새 API 키를 생성하는 경우 CDO에서 연결 자격 증명을 업데이트해야 합니다. 새 키를 생성하려면 Meraki API 키 생성 및 검색에서 자세한 내용을 확인하십시오. CDO에서는 디바이스 자체에 대한 연결 자격 증명을 업데이트할 수 없습니다. 필요한 경우 Meraki 대시보드에서 API 키를 수동으로 새로 고칠 수 있습니다. 자격 증명을 업데이트하고 통신을 다시 설정하려면 CDO UI에서 API 키를 수동으로 업데이트해야 합니다.


Note


CDO가 디바이스를 동기화하지 못하면 CDO의 연결 상태에 "Invalid Credentials(유효하지 않은 자격 증명)"가 표시될 수 있습니다. 이 경우 API 키를 사용하려고 시도했을 수 있습니다. 선택한 Meraki MX의 API 키가 올바른지 확인합니다.


Meraki MX 디바이스에 대한 자격 증명을 업데이트하려면 다음 절차를 사용합니다.

Procedure


Step 1

내비게이션 바에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭한 다음 Meraki 탭을 클릭합니다.

Step 3

연결 자격 증명을 업데이트할 Meraki MX를 선택합니다.

Step 4

Device Actions(디바이스 작업) 창에서 Update Credentials(자격 증명 업데이트)를 클릭합니다.

Step 5

CDO가 디바이스에 로그인하는 데 사용하는 API 키를 입력하고 Update(업데이트)를 클릭합니다. 변경하지 않는 한 이 API 키는 Meraki MX를 온보딩하는 데 사용한 것과 동일한 자격 증명입니다. 이러한 변경 사항을 디바이스에 구축할 필요는 없습니다.


보안 디바이스 커넥터 이름 변경

프로시저


단계 1

CDO 메뉴에서 Tools & Services(툴 및 서비스) > Secure Connectors(보안 커넥터)를 선택합니다.

단계 2

이름을 바꾸려는 SDC를 선택합니다.

단계 3

세부 정보 창에서 SDC 이름 옆에 있는 편집 아이콘 를 클릭합니다.

단계 4

SDC의 이름을 바꿉니다.


Inventory(인벤토리) 창의 보안 디바이스 커넥터 필터를 포함하여 CDO 인터페이스에 SDC 이름이 나타날 때마다 이 새 이름이 나타납니다.

보안 디바이스 커넥터 업데이트

이 절차를 문제 해결 툴로 사용합니다. 일반적으로 SDC는 자동으로 업데이트되므로 이 절차를 사용할 필요가 없습니다. 그러나 VM의 시간 구성이 잘못된 경우 SDC는 업데이트를 수신하기 위해 AWS에 연결할 수 없습니다. 이 절차는 SDC의 업데이트를 시작하며 시간 동기화 문제로 인한 오류를 해결합니다.

Procedure


Step 1

SDC에 연결합니다. SSH를 사용하여 연결하거나 VMware 하이퍼바이저에서 콘솔 보기를 사용할 수 있습니다.)

Step 2

cdo 사용자로 SDC에 로그인합니다.

Step 3

SDC 도커 컨테이너를 업데이트하려면 SDC 사용자로 전환합니다.

 [cdo@sdc-vm ~]$ sudo su sdc
                [sudo] password for cdo: <type password for cdo user>
                [sdc@sdc-vm ~]$ 

Step 4

SDC 툴킷을 업그레이드합니다.

[cdo@sdc-vm ~]$ /usr/local/cdo/toolkit/toolkit.sh upgradeToolkit
               [sdc@sdc-vm ~]$ 

Step 5

SDC를 업그레이드합니다.

[cdo@sdc-vm ~]$ /usr/local/cdo/toolkit/toolkit.sh upgradeSDC
               [sdc@sdc-vm ~]$ 

단일 CDO 테넌트에서 여러 SDC 사용

테넌트에 대해 둘 이상의 SDC를 구축하면 성능 저하 없이 더 많은 디바이스를 관리할 수 있습니다. 단일 SDC에서 관리할 수 있는 디바이스의 수는 해당 디바이스에 구현된 기능 및 해당 구성 파일의 크기에 따라 달라집니다.

테넌트에 SDC를 무제한으로 설치할 수 있습니다. 각 SDC는 하나의 네트워크 세그먼트를 관리할 수 있습니다. 이러한 SDC는 해당 네트워크 세그먼트의 디바이스를 동일한 CDO 테넌트에 연결합니다. 여러 SDC가 없으면 서로 다른 CDO 테넌트를 사용하여 격리된 네트워크 세그먼트에서 디바이스를 관리해야 합니다.

두 번째 또는 후속 SDC를 구축하는 절차는 첫 번째 SDC를 구축할 때와 동일합니다. CDO에서 제공하는 VM 이미지를 사용하여 SDC를 구축하거나 고유한 VM을 설치하고 여기에 SDC를 설치할 수 있습니다. 테넌트의 초기 SDC는 테넌트의 이름과 숫자 1을 통합합니다. 각 추가 SDC는 순서대로 번호가 매겨집니다.

동일한 SDC를 사용하여 CDO에 연결하는 모든 디바이스 찾기

동일한 SDC를 사용하여 CDO에 연결하는 모든 디바이스를 식별하려면 다음 절차를 수행합니다.

Procedure


Step 1

탐색 모음에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

필터 기준이 이미 지정된 경우 Inventory(재고 목록) 테이블 상단에 있는 clear(지우기) 버튼을 클릭하여 CDO로 관리하는 모든 디바이스 및 서비스를 표시합니다.

Step 5

필터 버튼 을 클릭하여 필터 메뉴를 확장합니다.

Step 6

필터의 Secure Device Connectors(보안 디바이스 커넥터) 섹션에서 원하는 SDC의 이름을 확인합니다. Inventory(재고 목록) 테이블에는 필터에서 선택한 SDC를 통해 CDO에 연결하는 디바이스만 표시됩니다.

Step 7

(선택 사항) 필터 메뉴에서 추가 필터를 선택하여 검색을 더욱 구체화합니다.

Step 8

(선택 사항) 작업이 완료되면 Inventory(재고 목록) 테이블 상단에 있는 clear(지우기) 버튼을 클릭하여 CDO로 관리하는 모든 디바이스 및 서비스를 표시합니다.


보안 디바이스 커넥터 오픈 소스 및 서드파티 라이선스 특성

============================================= ===========================

* amqplib *

amqplib copyright (c) 2013, 2014

Michael Bridgen <mikeb@squaremobius.net>

이 패키지 "amqplib"는 MIT 라이선스에 따라 라이선스가 부여됩니다. 사본은 이 디렉토리의 LICENSE-MIT 파일에서 찾거나 다음에서 다운로드할 수 있습니다.

http://opensource.org/licenses/MIT

================================================================================

* async *

Copyright (c) 2010-2016 Caolan McMahon

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* bluebird *

The MIT License (MIT)

Copyright (c) 2013-2015 Petka Antonov

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* cheerio *

Copyright (c) 2012 Matt Mueller <mattmuelle@gmail.com>

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* command-line-args *

MIT 라이선스(MIT)

Copyright (c) 2015 Lloyd Brookes <75pound@gmail.com>

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* ip *

이 소프트웨어는 MIT 라이센스에 따라 라이센스가 부여됩니다.

Copyright Fedor Indutny, 2012.

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* json-buffer *

Copyright (c) 2013 Dominic Tarr

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다.어떠한 경우에도 저작자 또는 저작권 보유자는 소프트웨어 또는 소프트웨어의 사용 또는 기타 거래와 관련하여 계약, 불법 행위 등으로 인해 발생한 어떠한 클레임, 손해, 또는 기타 책임에 대해서도 책임을 지지 않습니다.

================================================================================

* json-stable-stringify *

이 소프트웨어는 MIT 라이선스에 따라 배포됩니다.

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* json-stringify-safe *

ISC 라이선스

Copyright (c) Isaac Z. Schlueter and Contributors

위의 저작권 고지와 이 허가 고지가 모든 사본에 포함되어 있는 한, 본 소프트웨어를 비용 여부에 상관없이 어떤 목적으로든 사용, 복사, 수정 및/또는 배포할 수 있는 권한이 여기에 부여됩니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자는 본 소프트웨어의 사용 또는 성능과 관련하여 계약, 과실 또는 기타 불법 행위로 인해 발생한 어떠한 직접적, 간접적, 부수적, 특별, 징벌적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다.

================================================================================

* lodash *

Copyright JS Foundation and other contributors <https://js.foundation/>

Underscore.js, copyright Jeremy Ashkenas 기반

DocumentCloud 및 조사 리포터 및 편집자<http://underscorejs.org/>

이 소프트웨어는 많은 개인의 자발적 기여로 구성됩니다. 정확한 기여 내역은 다음에서 제공되는https://github.com/lodash/lodash 개정 내역을 참조하십시오.

다음 라이센스는 다음을 제외하고 이 소프트웨어의 모든 부분에 적용됩니다.

아래에 문서화:

====

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어의 사용 또는 성능과 관련하여 계약, 불법 행위 등으로 인해 발생한 어떠한 직접적, 간접적, 부수적, 특별, 우발적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다.

====

샘플 코드에 대한 저작권 및 관련 권리는 CC0을 통해 포기됩니다. 샘플 코드는 문서의 산문 내에 표시되는 모든 소스 코드로 정의됩니다.

CC0: http://creativecommons.org/publicdomain/zero/1.0/

====

node_modules 및 공급업체 디렉토리에 있는 파일은 자체 라이선스가 있는 이 소프트웨어에서 사용하는 외부에서 유지 관리되는 라이브러리입니다. 용어가 위의 용어와 다를 수 있으므로 해당 용어를 읽어보는 것이 좋습니다.

================================================================================

* log4js *

Copyright 2015 Gareth Jones (다른 많은 사람들의 기여 포함)

Apache 라이선스 버전 2.0("라이선스")에 따라 라이선스가 부여됩니다. 라이센스를 준수하지 않는 한 이 파일을 사용할 수 없습니다. 다음에서 라이센스 사본을 얻을 수 있습니다.

http://www.apache.org/licenses/LICENSE-2.0

해당 법률에서 요구하거나 서면으로 동의하지 않는 한 라이선스에 따라 배포된 소프트웨어는 명시적이든 묵시적이든 어떠한 종류의 보증이나 조건 없이 "있는 그대로" 배포됩니다.라이선스에 따른 권한 및 제한 사항을 관리하는 특정 언어는 라이선스를 참조하십시오.

================================================================================

* mkdirp *

Copyright 2010 James Halliday(mail@substack.net)

이 프로젝트는 MIT/X11 라이선스에 따라 배포되는 무료 소프트웨어입니다.

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* node-forge *

새로운 BSD 라이선스(3개 조항)

Copyright (c) 2010, Digital Bazar, Inc.

All rights reserved.

다음 조건을 충족하는 경우 수정 여부에 관계없이 소스 및 바이너리 형식으로 재배포 및 사용이 허용됩니다.

* 소스 코드의 재배포는 위의 저작권 표시, 이 조건 목록 및 다음 면책 조항을 유지해야 합니다.

* 바이너리 형식의 재배포는 배포와 함께 제공된 설명서 및/또는 기타 자료에 위의 저작권 고지, 이 조건 목록 및 다음 면책 조항을 복제해야 합니다.

* Digital Bazaar, Inc.의 이름이나 기여자의 이름은 특정 사전 서면 허가 없이 이 소프트웨어에서 파생된 제품을 보증하거나 홍보하는 데 사용할 수 없습니다.

이 소프트웨어는 저작권자와 기여자에 의해 "있는 그대로" 제공되며, 명시적 또는 묵시적으로 상품성 및 특정 목적에의 적합성을 포함한 모든 보증이 거부됩니다. 어떠한 경우에도 DIGITAL BAZAAR는 어떠한 직접적, 간접적, 부수적, 특별, 징벌적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다. 이러한 손해가 계약, 엄격한 책임, 불법행위(과실 또는 기타 포함)에 대한 어떠한 책임 이론에 의거하여 발생하였는지 여부와 상관없이, 해당 손해의 가능성이 있음을 사전에 고지받았더라도, 이 소프트웨어의 사용으로 인해 발생하는 어떠한 방식의 책임도 지지 않습니다.

================================================================================

* request *

Apache License

버전 2.0, January 2004

http://www.apache.org/licenses/

사용, 복제 및 배포에 대한 약관

1. 정의.

"라이선스"는 이 문서의 섹션 1에서 9까지 정의된 사용, 복제 및 배포에 대한 조건을 의미합니다.

"라이선스 제공자"는 라이센스를 부여하는 저작권 소유자 또는 저작권 소유자가 승인한 법인을 의미합니다.

"법적 실체"는 행위 실체와 해당 실체를 통제하거나 통제받거나 공통 통제하에 있는 다른 모든 실체의 조합을 의미합니다. 이 정의의 목적상 "통제"는 (i) 계약 또는 기타 방식으로 해당 법인의 지시 또는 관리를 유발하는 직간접적인 권한 또는 (ii) 50%(50%) 또는 더 많은 발행주식, 또는 (iii) 해당 법인의 수익적 소유권.

"귀하"(또는 "귀하의")는 계약 또는 기타 방식으로 본 라이센스에 의해 부여된 권한을 행사하는 개인 또는 법인을 의미하거나 (ii) 다음 중 50% 이상을 소유합니다. 발행주식, 또는 (iii) 그러한 법인의 수익적 소유권.

"소스" 형식은 소프트웨어 소스 코드, 문서 소스 및 구성 파일을 포함하되 이에 국한되지 않는 수정을 위한 기본 형식을 의미합니다.

"개체" 형식은 컴파일된 개체 코드, 생성된 문서 및 다른 미디어 유형으로의 변환을 포함하되 이에 국한되지 않는 소스 형식의 기계적 변환 또는 변환으로 인해 발생하는 모든 형식을 의미합니다.

"저작물"은 저작물에 포함되거나 첨부된 저작권 표시(예는 아래 부록에 제공됨)에 표시된 대로 라이센스에 따라 사용 가능한 소스 또는 개체 형식의 저작물을 의미합니다.

"파생 저작물"은 저작물을 기반으로 하는(또는 저작물에서 파생된) 원본 또는 개체 형식의 모든 저작물을 의미하며 편집 편집, 주석, 정교화 또는 기타 편집이 전체적으로 저자의 원본 저작물을 나타냅니다. 본 라이선스에서 파생물은 저작물 및 그 파생물과 분리된 상태를 유지하거나 인터페이스에 단순히 링크(또는 이름으로 연결)되는 저작물은 포함하지 않습니다.

"기여"는 원본 저작물과 저작물에 포함하기 위해 저작권 소유자 또는 저작권 소유자를 대신하여 제출할 권한이 있는 개인 또는 법인이 라이선스 허가자에게 의도적으로 제출된 저작물 또는 파생물에 대한 편집 또는 추가를 포함한 저작물을 의미합니다. 이 정의에서 \"제출\"은 저작물에 대해 논의하고 개선하기 위해 라이선스 허가자 또는 그 대리인에게 전송되는 모든 형태의 전자, 구두 또는 서면 제출을 의미합니다. 여기에는 저작물을 논의하고 개선할 목적으로 라이선스 허가자 또는 그 대리인이 관리하는 전자 메일 목록, 소스 코드 제어 시스템, 문제 추적 시스템을 통한 커뮤니케이션이 포함되며 이에 국한되지 않습니다. 단, 저작권 소유자가 "기고문이 아님"을 명시적으로 표시하거나 서면으로 지정한 커뮤니케이션은 제외됩니다.

"기여자"는 라이선스 제공자 및 라이선스 제공자가 대신하여 기여물을 받아 작업물에 통합한 모든 개인 또는 법인을 의미합니다.

2. 저작권 라이선스 부여. 이 라이선스의 조건에 따라 각 기여자는 이로써 귀하에게 영구적이고 전 세계적이며 비독점적이고 무료이며 로열티가 없고 취소할 수 없는 저작권 라이선스를 부여합니다. 저작물 및 그러한 파생 저작물을 소스 또는 개체 형태로 재라이선스하고 배포합니다.

3. 특허 라이선스 부여. 본 라이선스의 약관에 따라 각 기여자는 귀하에게 저작물의 제작, 사용, 판매 제안, 판매, 가져오기, 기타 방식의 이전을 위한 영구적, 세계적, 비독점적, 요금 및 로열티 무료, 철회 불가능한(본 섹션에 명시된 경우 제외) 특허 라이선스를 부여합니다. 이러한 라이선스는 기여자가 부여할 수 있는 특허권에만 적용되며, 이는 기여물 단독으로 또는 기여물이 제출된 저작물과의 조합으로 인해 침해될 수 있습니다. 귀하가 저작물 또는 저작물에 통합된 기여가 직접적 또는 기여적 특허 침해를 구성한다고 주장하는 어떤 법인에 대해 특허 소송(소송에서 교차 청구 또는 반소 포함)을 제기하는 경우, 본 라이선스에 따라 귀하에게 부여된 모든 특허 라이선스는 작업은 그러한 소송이 제기된 날짜에 종료됩니다.

4. 재배포. 귀하는 다음 조건을 충족하는 경우 편집 여부에 관계없이 모든 매체와 소스 또는 개체 형식으로 저작물 또는 그 파생 저작물의 사본을 재생산 및 배포할 수 있습니다.

귀하는 저작물 또는 파생 저작물의 다른 수령인에게 본 라이센스의 사본을 제공해야 합니다. 그리고

귀하는 수정된 파일에 귀하가 파일을 변경했음을 알리는 눈에 띄는 통지를 전달해야 합니다. 그리고

파생 저작물의 일부와 관련되지 않은 통지를 제외하고 저작물의 소스 형식에서 가져온 모든 저작권, 특허, 상표 및 귀속 고지를 귀하가 배포하는 파생 저작물의 소스 형식으로 유지해야 합니다. 그리고

저작물이 배포의 일부로 "NOTICE" 텍스트 파일을 포함하는 경우 귀하가 배포하는 모든 파생 저작물에는 그러한 NOTICE 파일에 포함된 귀속 고지의 읽을 수 있는 사본이 포함되어야 합니다. 다음 위치 중 적어도 하나에 있는 2차 저작물: 2차 저작물의 일부로 배포되는 NOTICE 텍스트 파일 내에서 파생 저작물과 함께 제공되는 경우 소스 양식 또는 문서 내에서; 또는 파생 저작물에 의해 생성된 디스플레이 내에서 그러한 제3자 고지가 일반적으로 표시되는 경우. NOTICE 파일의 내용은 정보 제공의 목적으로만 사용되며 이에 따라 라이선스가 편집되지 않습니다. 저작물의 NOTICE 텍스트와 함께 또는 그 부록으로 배포하는 파생물 내 속성 고지로 인해 라이선스가 변경되지 않는 경우, 이러한 추가적인 속성 고지를 추가할 수 있습니다. 귀하는 귀하의 편집 사항에 자신의 저작권 진술을 추가할 수 있으며 편집 사항의 사용, 복제 또는 배포 또는 그러한 파생 저작물 전체에 대한 추가 또는 다른 라이선스 조건을 제공할 수 있습니다. 그렇지 않으면 저작물은 본 라이선스에 명시된 조건을 준수합니다.

5. 기여물 제출. 귀하가 달리 명시하지 않는 한, 귀하가 저작물에 포함하기 위해 라이선스 허가자에게 의도적으로 제출한 모든 기여물은 추가 약관 없이 본 라이선스의 약관에 따라야 합니다. 위의 내용에도 불구하고 여기의 어떠한 내용도 그러한 기여와 관련하여 귀하가 라이선스 제공자와 체결한 별도의 라이선스 계약 조건을 대체하거나 편집하지 않습니다.

6. 상표. 본 라이선스는 저작물의 출처를 설명하고 NOTICE 파일의 내용을 재생산하는 데 합당하고 관례적인 사용에 필요한 경우를 제외하고 라이선스 제공자의 상표명, 상표, 서비스 마크 또는 제품 이름을 사용할 수 있는 권한을 부여하지 않습니다.

7. 보증의 면책조항. 해당 법률에 의해 요구되는 경우나 서면으로 합의된 경우를 제외하고, 라이선서는 작업물(및 각 기여자는 자신의 기여물)을 "있는 그대로" 제공하며, 명시적이거나 묵시적으로 어떠한 종류의 보증이나 조건도 포함하지 않습니다. 이는 제목, 비침해성, 상품성 또는 특정 목적에 대한 적합성에 대한 어떠한 보증이나 조건을 포함합니다. 귀하는 저작물 사용 또는 재배포의 적합성을 판단할 전적인 책임이 있으며 본 라이선스에 따른 귀하의 권한 행사와 관련된 모든 위험을 감수합니다.

8. 책임의 제한. 어떠한 경우에도, 과실(비롯하여 과실포함 책임), 계약 또는 기타 이론에 의한, 해당 법에 의해 요구되는 경우(예: 고의적이고 중대한 과실 행위)나 서면으로 합의된 경우를 제외하고, 어떤 기여자도 본 라이선스로 인한 손해에 대해 법적으로 책임을지지 않습니다. 이는 작업물의 사용 또는 사용 불능으로 인해 발생하는 어떠한 종류의 직접적, 간접적, 특수적, 우발적 또는 결과적 손해(예: 선의의 상실, 작업 중단, 컴퓨터 고장 또는 장애, 그 외 모든 상업적 손해나 손실을 포함)에 대해서도 책임을지지 않습니다. 심지어 해당 기여자에게 그러한 손해의 가능성이 알려져 있더라도 마찬가지입니다.

9. 보증 또는 추가 책임 수락. 저작물 또는 그 파생물을 재배포하는 경우 귀하는 지원, 보증, 면책 또는 본 라이선스와 일치하는 기타 책임 의무 및/또는 권리의 수락을 제공하고 요금을 청구할 수 있습니다. 그러나 이러한 의무를 수락할 때에는 다른 기여자를 대신하여 행동하지 않고 오로지 자신의 명의로, 자신의 책임하에만 행동해야 하며, 해당 보증이나 추가적인 책임을 수락함으로써 발생하는 어떠한 책임에 대해서도 각 기여자를 면책시키고 방어하며 보호하기 위해 보증을 제공하는 경우에만 그렇게 행동할 수 있습니다.

이용 약관의 끝

================================================================================

* rimraf *

ISC 라이선스

Copyright (c) Isaac Z. Schlueter and Contributors

위의 저작권 고지와 이 허가 고지가 모든 사본에 포함되어 있는 한, 본 소프트웨어를 비용 여부에 상관없이 어떤 목적으로든 사용, 복사, 수정 및/또는 배포할 수 있는 권한이 여기에 부여됩니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자는 본 소프트웨어의 사용 또는 성능과 관련하여 계약, 과실 또는 기타 불법 행위로 인해 발생한 어떠한 직접적, 간접적, 부수적, 특별, 징벌적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다.

================================================================================

* uuid *

Copyright (c) 2010-2012 Robert Kieffer

MIT 라이선스- http://opensource.org/licenses/mit-license.php

================================================================================

* validator *

Copyright (c) 2016 Chris O'Hara <cohara87@gmail.com>

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어의 사용 또는 성능과 관련하여 계약, 불법 행위 등으로 인해 발생한 어떠한 직접적, 간접적, 부수적, 특별, 우발적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다.

================================================================================

* when *

오픈 소스 이니셔티브 OSI - MIT 라이선스

http://www.opensource.org/licenses/mit-license.php

Copyright (c) 2011 Brian Cavalier

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 배포, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어의 사용 또는 성능과 관련하여 계약, 불법 행위 등으로 인해 발생한 어떠한 직접적, 간접적, 부수적, 특별, 우발적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다.================================================================================

CDO에 로그인

Cisco Defense Orchestrator(CDO)에 로그인하려면 고객에게 SAML 2.0 호환 IdP(Identity Provider), 다단계 인증 제공자 및 CDO의 사용자 레코드가 있는 계정이 필요합니다.

IdP 어카운트에는 사용자의 자격 증명이 포함되며 IdP는 이러한 자격 증명을 기반으로 사용자를 인증합니다. 다단계 인증은 ID 보안의 추가 레이어를 제공합니다. CDO 사용자 레코드에는 주로 사용자 이름, 연결된 CDO 테넌트 및 사용자의 역할이 포함됩니다. 사용자가 로그인하면 CDO는 IdP의 사용자 ID를 CDO의 테넌트에 있는 기존 사용자 레코드에 매핑하려고 시도합니다. CDO가 일치 항목을 찾으면 사용자는 해당 테넌트에 로그인됩니다.

엔터프라이즈에 자체 SSO(Single Sign-On) ID 제공자가 없는 경우 ID 제공자는 Cisco Secure Cloud Sign-on입니다. Cisco Secure Cloud Sign-On은 다단계 인증에 Duo를 사용합니다. 고객은 원하는 경우 자신의 IdP를 CDO와 통합할 수 있습니다.

CDO에 로그인하려면 먼저 Cisco Secure Cloud Sign-On에서 계정을 생성하고 Duo Security를 사용하여 MFA(Multi-Factor Authentication)를 구성하고 테넌트 최고 관리자가 CDO 레코드를 생성하도록 해야 합니다.

2019년 10월 14일에 CDO는 Cisco Secure Cloud Sign-On을 ID 제공자 및 MFA용 Duo로 사용하도록 기존의 모든 테넌트를 변환했습니다.


참고


  • 자체 SSO(Single Sign-On) ID 제공자를 사용하여 CDO에 로그인하는 경우 Cisco Secure Cloud Sign-On 및 Duo로의 전환이 영향을 미치지 않습니다. 고유한 로그인 솔루션을 계속 사용합니다.

  • CDO 무료 평가판을 사용 중인 경우 이 전환이 영향을 미쳤습니다.


CDO 테넌트가 2019년 10월 14일 이후에 생성된 경우 새 CDO 테넌트에 대한 초기 로그인를 참조하십시오.

2019년 10월 14일 이전에 CDO 테넌트가 존재했다면 Cisco Secure Cloud Sign On ID 제공자로 마이그레이션를 참조하십시오.

CDO 테넌트에 대한 초기 로그인

Cisco Defense Orchestrator(CDO)는 Cisco Secure Cloud Sign-On을 ID 제공자로 사용하며, MFA(multi-factor authentication)에는 Duo를 사용합니다. CDO에 로그인하려면 먼저 Cisco Secure Sign-On에서 계정을 생성하고 Duo를 사용하여 MFA를 구성해야 합니다.

v에는 사용자 ID를 보호하기 위해 추가 보안 레이어를 제공하는 MFA가 필요합니다. MFA 유형인 이중 인증에서는 CDO에 로그인하는 사용자의 ID를 확인하기 위해 두 가지 구성 요소 또는 요소가 필요합니다. 첫 번째 요소는 사용자 이름과 비밀번호이고, 두 번째 요소는 요청 시 생성되는 일회용 비밀번호(OTP)입니다.


중요사항


2019년 10월 14일 이전에 CDO 테넌트가 존재했다면 이 문서 대신 Cisco Secure Cloud Sign On ID 제공자로 마이그레이션를 사용하여 로그인 지침을 사용합니다.


시작하기 전에

DUO Security 설치. 휴대전화에 Duo Security 앱을 설치하는 것이 좋습니다. Duo 설치에 대한 질문은 Duo 이중 인증 가이드: 등록 가이드를 참고하십시오.

시간 동기화. 모바일 디바이스를 사용하여 일회용 비밀번호를 생성합니다. OTP는 시간을 기반으로 하므로 디바이스 시계를 실시간으로 동기화하는 것이 중요합니다. 디바이스 시계가 자동으로 또는 수동으로 올바른 시간으로 설정되었는지 확인합니다.

다음 작업?

새 Cisco Secure Cloud Sign On 계정 생성 및 Duo 다단계 인증 구성를 계속합니다. 이는 4 단계 프로세스입니다. 4단계를 모두 완료해야 합니다.

로그인 실패 문제 해결

실수로 잘못된 CDO 지역에 로그인했기 때문에 로그인에 실패함

적절한 CDO 지역에 로그인했는지 확인합니다. https://sign-on.security.cisco.com에 로그인하면 액세스할 지역을 선택할 수 있습니다. CDO타일을 클릭하여 defenceorchestrator.com에 액세스하거나 CDO(EU)를 클릭하여 defenceorchestrator.eu에 액세스합니다.

Cisco Secure Cloud Sign On ID 제공자로 마이그레이션

2019년 10월 14일, Cisco Defense Orchestrator(CDO)는 모든 테넌트를 MFA(multi-factor authentication)를 위한 ID 제공자 및 Duo로 Cisco Secure Cloud Sign-On으로 변환했습니다. CDO에 로그인하려면 먼저 Cisco Secure Sign-On에서 계정을 활성화하고 Duo를 사용하여 MFA를 구성해야 합니다.

CDO에는 사용자 ID를 보호하기 위해 추가 보안 레이어를 제공하는 MFA가 필요합니다. MFA 유형인 이중 인증에서는 CDO에 로그인하는 사용자의 ID를 확인하기 위해 두 가지 구성 요소 또는 요소가 필요합니다. 첫 번째 요소는 사용자 이름과 비밀번호이고, 두 번째 요소는 요청 시 생성되는 일회용 비밀번호(OTP)입니다.


참고


  • 자체 SSO(Single Sign-On) ID 제공자를 사용하여 CDO에 로그인하는 경우 Cisco Secure Cloud Sign-On 및 Duo로의 전환이 영향을 미치지 않습니다. 고유한 로그인 솔루션을 계속 사용합니다.

  • CDO 무료 평가판을 사용 중인 경우 이 전환이 적용됩니다.

  • CDO 테넌트가 2019년 10월 14일 이후에 생성된 경우 이 문서 대신 새 CDO 테넌트에 대한 초기 로그인에서 로그인 지침을 참조하십시오.


시작하기 전에

마이그레이션하기 전에 다음 단계를 수행하는 것이 좋습니다.

  • DUO Security 설치. 휴대전화에 Duo Security 앱을 설치하는 것이 좋습니다. Duo 설치에 대한 질문은 Duo 이중 인증 가이드: 등록 가이드를 참고하십시오.

  • 시간 동기화. 모바일 디바이스를 사용하여 일회용 비밀번호를 생성합니다. OTP는 시간을 기반으로 하므로 디바이스 시계를 실시간으로 동기화하는 것이 중요합니다. 디바이스 시계가 자동으로 또는 수동으로 올바른 시간으로 설정되었는지 확인합니다.

  • 새 Cisco Secure Sign-On 어카운트 생성 및 Duo 다단계 인증 구성. 이는 4 단계 프로세스입니다. 4단계를 모두 완료해야 합니다.

마이그레이션 후 로그인 실패 문제 해결

잘못된 사용자 이름 또는 암호로 인해 CDO에 로그인하지 못함

해결 방법 CDO에 로그인하려고 할 때 사용자 이름 및 비밀번호가 올바른 데도 로그인이 실패하는 것을 알고 있거나, "비밀번호를 잊음"를 시도하여 사용 가능한 비밀번호를 복원할 수 없는 경우, 새 Cisco Secure Cloud Sign-On 계정을 사용하려면 새 Cisco Secure Cloud Sign On 계정 생성 및 Duo 다단계 인증 구성의 지침에 따라 새 Cisco Secure Cloud Sign-On 계정에 등록해야 합니다.

Cisco Secure Cloud Sign-On 대시보드 로그인에 성공했지만 CDO를 실행할 수 없음

해결 방법 CDO 테넌트와 다른 사용자 이름으로 Cisco Secure Cloud Sign-On 계정을 만들었을 수 있습니다. CDO와 Cisco Secure Sign-On 간의 사용자 정보를 표준화하려면 Cisco TAC(Technical Assistance Center)에 문의하십시오.

저장된 북마크를 사용한 로그인 실패

해결 방법 브라우저에 저장한 이전 북마크를 사용하여 로그인을 시도했을 수 있습니다. 북마크는 https://cdo.onelogin.com을 가리킬 수 있습니다.

해결 방법 https://sign-on.security.cisco.com에 로그인합니다.

  • 해결 방법 아직 Cisco Secure Sign-On 계정을 생성하지 않은 경우 계정을 생성하십시오.

  • 해결 방법 새 계정을 생성한 경우 대시보드에서 Cisco Defense Orchestrator(US), Cisco Defense Orchestrator(EU) 또는 Cisco Defense Orchestrator(APJC)에 해당하는 CDO 타일을 클릭합니다.

  • 해결 방법 https://sign-on.security.cisco.com을 가리키도록 북마크를 업데이트합니다.

Cisco Secure Cloud Sign On 대시보드에서 CDO 실행

Procedure


Step 1

Cisco Secure Cloud Sign-on 대시보드에서 해당 CDO 버튼을 클릭합니다. CDO 타일은 https://defenseorchestrator.com으로 안내하고 CDO(EU) 타일은 https://defenseorchestrator.eu로 안내합니다.

Step 2

두 인증자를 모두 설정한 경우 인증자 로고를 클릭하여 Duo Security 또는 Google Authenticator를 선택합니다.

  • 기존 테넌트에 사용자 레코드가 이미 있는 경우 해당 테넌트에 로그인됩니다.

  • 이미 여러 포털에 사용자 레코드가 있는 경우 연결할 포털을 선택할 수 있습니다.

  • 여러 테넌트에 대한 사용자 레코드가 이미 있는 경우 연결할 CDO 테넌트를 선택할 수 있습니다.

  • 기존 테넌트에 대한 사용자 레코드가 아직 없는 경우 CDO에 대해 자세히 알아보거나 평가판 테넌트를 요청할 수 있습니다.

포털 보기는 여러 테넌트에서 통합된 정보를 검색하고 표시합니다. 자세한 내용은 멀티 테넌트 포털 관리을 참조하십시오.

테넌트 보기에는 사용자 레코드가 있는 여러 테넌트가 표시됩니다.


테넌트에서 슈퍼 관리자 관리

테넌트의 슈퍼 관리자 수를 제한하는 것이 가장 좋습니다. 슈퍼 관리자 권한을 가져야 하는 사용자를 결정하고 User Management(사용자 관리)를 검토한 다음 다른 사용자의 역할을 "Admin(관리자)"으로 변경합니다.

CDO에서 지원하는 소프트웨어 및 하드웨어

CDO 설명서에서는 CDO가 지원하는 소프트웨어 및 디바이스에 대해 설명합니다. CDO가 지원하지 않는 소프트웨어 및 디바이스는 지적하지 않습니다. 소프트웨어 버전 또는 디바이스 유형에 대한 지원을 명시적으로 요청하지 않는 경우 지원되지 않습니다.

클라우드 디바이스 지원 정보

다음 표에서는 클라우드 기반 디바이스에 대한 소프트웨어 및 디바이스 유형 지원에 대해 설명합니다. 아래 표의 디바이스 유형에 대한 온보딩 및 기능에 대한 자세한 내용은 관련 링크를 참조하십시오.

디바이스 유형

메모

Amazon Web Services VPC

AWS VPC는 AWS 콘솔을 통해 업데이트를 수신합니다. 플랫폼 및 사용 가능한 서비스에 대한 자세한 내용은 AWS 설명서를 참조하십시오.

CDO에 온보딩하기 전에 AWS 콘솔에서 AWS VPC를 시작해야 합니다.

Google Cloud Platform

Google Cloud Platform(GCP)은 GCP 콘솔을 통해 업데이트를 수신합니다. 플랫폼 및 사용 가능한 서비스에 대한 자세한 내용은 Google Cloud 설명서를 참조하십시오. 확인

Microsoft Azure

Azure는 Azure 콘솔을 통해 업데이트를 수신합니다. 플랫폼 및 사용 가능한 서비스에 대한 자세한 내용은 Azure 설명서를 참조하십시오.

브라우저 지원

CDO는 다음 브라우저의 최신 버전을 지원합니다.

  • Google Chrome

  • Mozilla Firefox

Cisco Defense Orchestrator 플랫폼 유지 관리 일정

Cisco Defense Orchestrator 유지 관리 일정

CDO은 새로운 기능과 품질 개선으로 매주 플랫폼을 업데이트합니다. 이 일정에 따라 업데이트가 3시간 동안 이루어질 수 있습니다.

대부분의 경우 업데이트는 목요일에 완료되지만 필요한 경우 금요일 및 일요일의 유지 관리 시간이 사용됩니다.

표 1. CDO 유지 관리 일정

요일

시간

(24시간제)

목요일

09:00 UTC - 12:00 UTC

금요일

09:00 UTC - 12:00 UTC

일요일

09:00 UTC - 12:00 UTC

이 유지 관리 기간 동안 테넌트에 계속 액세스할 수 있으며 클라우드 사용 Firewall Management Center가 있는 경우, 해당 플랫폼에도 액세스할 수 있습니다. 또한 CDO에 온보딩한 디바이스가 보안 정책을 계속 적용합니다.


참고


유지 관리 기간 동안 관리하는 디바이스에 구성 변경 사항을 배포하는 데 CDO을 사용하지 않는 것이 좋습니다.


CDO를 중지하거나 클라우드 사용 Firewall Management Center과 통신을 중단되는 오류가 있는 경우, 해당 오류는 유지 관리 기간을 벗어나더라도 영향을 받는 모든 테넌트에서 가능한 한 빨리 해결됩니다.

클라우드 제공 Firewall Management Center 유지 관리 일정

테넌트에 배포된 클라우드 사용 Firewall Management Center을 보유한 고객은 CDO클라우드 사용 Firewall Management Center 환경을 업데이트하기 약 1주일 전에 알림을 받습니다. 테넌트의 슈퍼 관리자 및 관리 사용자는 이메일로 알림을 받습니다. CDO는 또한 모든 사용자에게 예정된 업데이트를 알리는 배너를 홈페이지에 표시합니다.

테넌트에 대한 업데이트는 최대 1시간이 걸릴 수 있으며 테넌트 지역에 할당된 유지 관리 날짜의 3시간 유지 관리 시간 내에 이루어집니다. 테넌트가 업데이트되는 동안에는 클라우드 사용 Firewall Management Center 환경에 액세스할 수 없지만, CDO의 나머지 부분에 계속 액세스할 수 있습니다.

표 2. 클라우드 제공 Firewall Management Center 유지 관리 일정

요일

시간

(24시간제)

지역

수요일

04:00 UTC - 07:00 UTC

유럽, 중동 또는 아프리카(EMEA)

수요일

17:00 UTC - 20:00 UTC

아시아-태평양-일본(APJ)

목요일

09:00 UTC - 12:00 UTC

아메리카

테넌트 관리

Cisco Defense Orchestrator(CDO)는 설정 페이지에서 테넌트 및 개별 사용자 계정의 특정 측면을 사용자 지정할 수 있는 기능을 제공합니다. CDO 메뉴의 왼쪽 탐색 패널에서 Settings(설정)를 클릭합니다.

일반 설정

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

일반 CDO 설정에 관한 다음 항목을 참조하십시오.

사용자 설정

CDO UI를 표시할 언어를 선택합니다. 이 선택은 이 변경을 수행하는 사용자에게만 영향을 미칩니다.

테넌트 설정

변경 요청 추적 활성화

변경 요청 추적을 활성화하면 테넌트의 모든 사용자에게 영향을 미칩니다. 변경 요청 추적을 활성화하려면 다음 절차를 따르십시오.

Procedure

Step 1

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

Step 2

General(일반) 탭을 클릭합니다.

Step 3

변경 요청 추적 아래의 슬라이더를 클릭합니다.

확인되면 인터페이스의 왼쪽 하단 모서리에 변경 요청 도구 모음이 나타나고 변경 로그의 변경 요청 드롭다운 메뉴가 나타납니다.


Cisco 지원에서 테넌트를 볼 수 없도록 설정

Cisco 지원에서는 지원 티켓을 해결하거나 두 개 이상의 고객에게 영향을 미치는 문제를 사전에 해결하기 위해 사용자를 테넌트와 연결합니다. 그러나 원하는 경우 계정 설정을 변경하여 Cisco 지원이 테넌트에 액세스하지 못하도록 할 수 있습니다. 이렇게 하려면 "Cisco 지원에서 이 테넌트를 볼 수 없도록 방지" 아래의 버튼을 밀어서 녹색 확인 표시를 표시합니다.

Cisco 지원에서 테넌트를 볼 수 없도록 하려면 다음 절차를 따르십시오.

Procedure

Step 1

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

Step 2

General(일반) 탭을 클릭합니다.

Step 3

Cisco 지원팀에서 이 테넌트를 볼 수 없도록 방지 아래의 슬라이더를 클릭합니다.


디바이스 변경 사항 자동 수락 옵션 활성화

디바이스 변경에 대한 자동 수락을 활성화하면 Defense Orchestrator가 디바이스에서 직접 수행된 모든 변경 사항을 자동으로 수락할 수 있습니다. 이 옵션을 비활성화된 상태로 두거나 나중에 비활성화하는 경우 수락하기 전에 각 디바이스 충돌을 검토해야 합니다.

디바이스 변경 사항에 대한 자동 수락을 활성화하려면 다음 절차를 따르십시오.

Procedure

Step 1

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

Step 2

General(일반) 탭을 클릭합니다.

Step 3

Enable the option to auto-accept device changes(디바이스 변경 사항을 자동으로 수락하는 옵션 활성화) 아래의 슬라이더를 클릭합니다.


기본 충돌 탐지 간격

이 간격은 CDO가 변경 사항을 위해 온보딩된 디바이스를 폴링하는 빈도를 결정합니다. 이 선택은 이 테넌트로 관리되는 모든 디바이스에 영향을 주며 언제든지 변경할 수 있습니다.


Note


하나 이상의 디바이스를 선택한 후 Inventory(재고 목록) 페이지에서 사용 가능한 Conflict Detection(충돌 탐지) 옵션을 통해 이 선택 항목을 오버라이드할 수 있습니다.


이 옵션을 구성하고 충돌 탐지를 위한 새 간격을 선택하려면 다음 절차를 수행합니다.

Procedure

Step 1

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

Step 2

General Settings(일반 설정) 탭을 클릭합니다.

Step 3

Default Conflict Detection Interval(기본 충돌 탐지 간격)의 드롭다운 메뉴를 클릭하고 시간 값을 선택합니다.


자동 구축 예약 옵션 활성화

자동 구축을 예약하는 옵션을 활성화하면 편리한 날짜와 시간에 향후 구축을 예약할 수 있습니다. 활성화되면 단일 또는 반복 자동 구축을 예약할 수 있습니다. 자동 구축을 예약하려면 자동 구축 예약을 참조하십시오.

전용 의 보류 중인 변경 사항이 있는 경우 디바이스에 대한 CDO의 변경 사항은 디바이스에 자동으로 구축되지 않습니다. 디바이스가 Conflict Detected(충돌 탐지됨) 또는 Not Synced(동기화되지 않음)와 같이 Synced(동기화됨) 상태가 아닌 경우 예약된 구축이 실행되지 않습니다. 예약된 구축이 실패한 모든 인스턴스가 작업 페이지에 나열됩니다.

Enable the Option to Schedule Automatic Deployments(자동 구축 예약 옵션 활성화)가 해제된 경우 예약된 모든 구축이 삭제됩니다.


Important


CDO를 사용하여 디바이스에 대해 둘 이상의 예약된 구축을 생성하는 경우 새 구축이 기존 구축을 덮어씁니다. API를 사용하여 디바이스에서 둘 이상의 예약된 구축을 생성하는 경우, 새 구축을 예약하기 전에 기존 구축을 삭제해야 합니다.


자동 구축을 예약하는 옵션을 활성화하려면 다음 절차를 따르십시오.

Procedure

Step 1

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

Step 2

General Settings(일반 설정) 탭을 클릭합니다.

Step 3

Enable the option to schedule automatic deployment(자동 구축을 예약하는 옵션 활성화) 아래의 슬라이더를 클릭합니다.


웹 분석

웹 분석은 페이지 히트를 기반으로 익명의 제품 사용 정보를 Cisco에 제공합니다. 이 정보에는 확인한 페이지, 특정 페이지를 사용한 시간, 브라우저 버전, 제품 버전, 디바이스 호스트 이름 등이 포함됩니다. Cisco는 이 정보를 활용해 기능 사용 패턴을 확인하고 제품을 개선할 수 있습니다. 모든 사용량 데이터는 익명으로 전송되며 민감한 데이터는 전송되지 않습니다.

웹 분석은 기본적으로 활성화됩니다. 웹 분석을 비활성화하거나 나중에 활성화하려면 다음 절차를 따르십시오.

Procedure

Step 1

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

Step 2

General Settings(일반 설정) 탭을 클릭합니다.

Step 3

웹 분석 아래의 슬라이더를 클릭합니다.


테넌트 ID

테넌트 ID는 테넌트를 식별합니다. 이 정보는Cisco TAC(Technical Assistance Center)에 문의해야 하는 경우에 유용합니다.

테넌트 이름

테넌트 이름도 테넌트를 식별합니다. 테넌트 이름은 조직 이름이 아닙니다. 이 정보는Cisco TAC(Technical Assistance Center)에 문의해야 하는 경우에 유용합니다.

알림 설정

테넌트와 연결된 디바이스가 특정 작업을 수행할 때마다 CDO에서 이메일 알림을 받도록 구독할 수 있습니다. 이러한 알림은 테넌트와 연결된 모든 디바이스에 적용되지만, 모든 디바이스 유형이 사용 가능한 모든 옵션을 지원하는 것은 아닙니다. 또한 아래에 나열된 CDO 알림에 대한 변경 사항은 실시간으로 자동 업데이트되며 구축이 필요하지 않습니다.

CDO의 이메일 알림은 작업 유형 및 영향을 받는 디바이스를 나타냅니다. 디바이스의 현재 상태 및 작업 내용에 대한 자세한 정보를 알아보려면 CDO에 로그인하여 영향을 받는 디바이스의 변경 로그를 검토하는 것이 좋습니다.

왼쪽 탐색 모음에서 Settings(설정) > Notification Settings(알림 설정)를 클릭합니다.

디바이스 워크플로우에 대한 알림 전송


Note


이러한 설정을 변경하거나 알림을 수동으로 구독하려면 최고 관리자 사용자 역할이 있어야 합니다. 자세한 내용은 사용자 역할을 참조하십시오.


알림을 받을 디바이스 워크플로우 시나리오를 모두 선택해야 합니다. 다음 작업을 수동으로 확인합니다.

  • 구축 - 이 작업은 하며, SSH 또는 IOS 디바이스에 대한 통합 인스턴스는 포함하지 않습니다.

  • 백업 - 이 작업은 FDM 관리 디바이스에만 적용됩니다.

  • 업그레이드 - 이 작업은 ASA 및 FDM 관리 디바이스에만 적용됩니다.

  • FTD를 클라우드로 마이그레이션 - 이 작업은 FTD

    Device Manager를 FMC에서 CDO로 변경할 때 적용됩니다.

디바이스 이벤트에 대한 알림 전송


Note


이러한 설정을 변경하거나 알림을 수동으로 구독하려면 최고 관리자 사용자 역할이 있어야 합니다. 자세한 내용은 사용자 역할을 참조하십시오.


알림을 받을 디바이스 워크플로우 시나리오를 모두 선택해야 합니다. 다음 작업을 수동으로 확인합니다.

  • 오프라인 상태 - 이 작업은 테넌트와 연결된 모든 디바이스에 적용됩니다.

  • 온라인 재전환 - 이 작업은 테넌트와 연결된 모든 디바이스에 적용됩니다.

  • 충돌 탐지됨 - 이 작업은 테넌트와 연결된 모든 디바이스에 적용됩니다.

백그라운드 로그 검색을 위해 알림 전송

이러한 설정을 변경하거나 알림을 수동으로 구독하려면 최고 관리자 사용자 역할이 있어야 합니다. 자세한 내용은 사용자 역할을 참조하십시오.

테넌트에 로그인한 사용자가 백그라운드 검색을 생성하면 알림을 받습니다. 알림을 받을 디바이스 워크플로우 시나리오를 모두 선택해야 합니다. 다음 작업을 수동으로 확인합니다.

  • 검색 시작 - 검색이 시작되면 알림을 받습니다. 이는 즉시 검색 및 예약된 검색에 모두 적용됩니다.

  • 검색 완료 - 검색이 종료되면 알림을 받습니다. 이는 즉시 검색 및 예약된 검색에 모두 적용됩니다.

  • 검색 실패 - 검색이 실패하면 알림을 받습니다. 이는 즉시 검색 및 예약된 검색에 모두 적용됩니다. 매개변수 또는 쿼리를 확인하고 다시 시도하십시오.

가입자

Subscribe to receive alerts(알림 수신 구독) 토글을 활성화하여 테넌트 로그인과 연결된 이메일을 알림 목록에 추가합니다. 메일링 리스트에서 이메일을 제거하려면 토글을 선택 취소하여 회색으로 표시합니다.

특정 사용자 역할은 이 설정 페이지의 구독 작업에 제한적으로 액세스할 수 있습니다. 최고 관리자 사용자 역할의 사용자는 이메일 항목을 추가하거나 제거할 수 있습니다. 자신이 아닌 다른 사람 또는 대체 이메일 연락처를 구독 중인 사용자 목록에 추가하려면 을 클릭하고 이메일을 수동으로 입력합니다.


Warning


사용자를 수동으로 추가하는 경우 올바른 이메일을 입력해야 합니다. CDO는 테넌트와 연결된 알려진 사용자에 대한 이메일 주소를 확인하지 않습니다.


CDO 알림 보기

알림 아이콘을 클릭하여 테넌트에서 발생한 최신 알림을 확인합니다. CDO의 알림은 30일 후에 알림 목록에서 제거됩니다.


Note


Send Alerts When(알림 전송 시기) 섹션에서 선택한 사항은 CDO에 표시되는 알림 유형에 영향을 미칩니다.


서비스 통합

메시징 앱에서 수신 Webhook를 활성화하고 앱 대시보드에서 직접 CDO 알림을 수신합니다. CDO에서 이 옵션을 활성화하려면 선택한 앱에서 수신 Webhook를 수동으로 허용하고 Webhook URL을 검색해야 합니다. 자세한 내용은 CDO 알림에 대한 서비스 통합 활성화를 참조하십시오.

CDO 알림을 위한 서비스 통합 활성화

서비스 통합을 활성화하여 지정된 메시징 애플리케이션 또는 서비스를 통해 CDO 알림을 전달합니다. 알림을 받으려면 메시시 프로그램에서 웹후크 URL을 생성하고 CDONotification Settings(알림 설정) 페이지에서 해당 웹후크를 CDO에 지정해야 합니다.

CDO는 기본적으로 Cisco Webex 및 Slack을 서비스 통합으로 지원합니다. 이러한 서비스로 전송되는 메시지는 채널 및 자동화된 봇용으로 특별히 형식이 지정됩니다.


참고


알림 설정 페이지에서 선택한 Notification Settings(알림 설정)은 메시지 프로그램으로 전달되는 이벤트입니다.


Webex Teams에 대해 수신 Webhook
시작하기 전에

CDO 알림은 지정된 작업 공간에 표시되거나 비공개 메시지에 자동 봇으로 표시됩니다. Webex Teams이 웹후크를 처리하는 방법에 대한 자세한 정보는 개발자용 Webex를 참조하십시오.

Webex Teams에 대해 수신 웹후크를 허용하려면 다음 절차를 따르십시오.

프로시저

단계 1

Webex Teams 응용프로그램을 엽니다.

단계 2

창의 왼쪽 하단에서 Apps(앱) 아이콘을 클릭합니다. 이 작업은 기본 브라우저의 새 탭에서 Cisco Webex App Hub를 엽니다.

단계 3

수신 웹후크를 찾으려면 검색창을 사용하세요.

단계 4

Connect(연결)을 선택합니다. 이 작업은 새 탭에서 애플리케이션을 허용하는 OAuth 인증을 엽니다.

단계 5

Accept(수락)을 선택합니다. 탭은 자동으로 애플리케이션의 구성 페이지로 리디렉션됩니다.

단계 6

다음을 구성합니다.

  • Webhook 이름 - 이 애플리케이션에서 제공하는 메시지를 식별하기 위한 이름을 입력합니다.

  • 공간 선택 - 드롭다운 메뉴를 사용하여 Space(공간)를 선택합니다. 공간이 이미 Webex 팀에 존재해야 합니다. 공간이 존재하지 않는 경우 Webex Teams에서 새 공간을 만들고 애플리케이션의 구성 페이지를 새로 고쳐 새 공간을 표시할 수 있습니다.

단계 7

Add(추가)를 선택합니다. 선택한 Webex Space는 애플리케이션이 추가되었다는 알림을 받게 됩니다.

단계 8

웹후크 URL을 복사합니다.

단계 9

CDO에 로그인합니다.

단계 10

왼쪽 탐색 모음에서 Settings(설정) > Notification Settings(알림 설정)를 클릭합니다.

단계 11

Service Integrations(서비스 통합)으로 스크롤합니다.

단계 12

파란색 플러스 버튼을 클릭합니다.

단계 13

Name(이름)을 입력합니다. 이 이름은 구성된 서비스 통합으로 CDO에 나타납니다. 구성된 서비스로 전달되는 이벤트에는 나타나지 않습니다.

단계 14

드롭다운 메뉴를 확장하고 Webex를 서비스 유형으로 선택합니다.

단계 15

서비스에서 생성한 웹후크 URL을 붙여넣습니다.

단계 16

OK(확인)를 클릭합니다.


Slack용 수신 Webhook

CDO 알림은 지정된 채널에 표시되거나 비공개 메시지에 자동 봇으로 표시됩니다. Slack이 수신 웹후크를 처리하는 방법에 대한 자세한 내용은 Slack 앱을 참조하십시오.

Slack에 대해 수신 웹후크를 허용하려면 다음 절차를 따르십시오.

프로시저

단계 1

Slack계정에 로그인합니다.

단계 2

왼쪽 패널에서 아래로 스크롤하여 Add Apps(앱 추가)를 선택합니다.

단계 3

Incoming Webhooks(수신 웹후크)에 대한 애플리케이션 디렉토리를 검색하고 앱을 찾습니다. Add(추가)를 선택합니다.

단계 4

Slack 워크스페이스의 관리자가 아닌 경우, 조직의 관리자에게 요청을 보내고 앱이 계정에 추가될 때까지 기다려야 합니다. Request Configuration(요청 구성)을 선택합니다. 선택적 메시지를 입력하고 Submit Request(요청 제출)을 선택합니다.

단계 5

워크스페이스에 수신 웹후크 앱이 활성화되면 Slack 설정 페이지를 새로고침하고 Add New Webhook to Workspace(워크스페이스에 새 웹후크 추가)를 선택합니다.

단계 6

​​​​​드롭다운 메뉴를 사용하여 CDO 알림을 표시할 Slack 채널을 선택합니다. Authorize(승인)을 선택합니다. 요청이 활성화되기를 기다리는 동안 이 페이지에서 다른 곳으로 이동하려면 Slack에 로그인하고 왼쪽 상단 모서리에서 작업 공간 이름을 선택하기만 하면 됩니다. 드롭다운 메뉴에서 Customize Workspace(작업 공간 사용자 지정)을 선택하고 Configure Apps(앱 구성)을 선택합니다. Custom Integrations(사용자 지정 통합) > Manage (관리)로 이동합니다. Incoming Webhooks(수신 웹후크)를 선택하여 앱의 랜딩 페이지를 연 다음 탭에서 Configuration(구성)을 선택합니다. 그러면 이 앱이 활성화된 작업 공간 내의 모든 사용자가 나열됩니다. 계정 구성만 보고 편집할 수 있습니다. 작업 공간 이름을 선택하여 구성을 편집하고 계속 진행합니다.

단계 7

Slack 설정 페이지는 앱의 구성 페이지로 리디렉션됩니다. 웹후크 URL을 찾아 복사합니다.

단계 8

CDO에 로그인합니다.

단계 9

왼쪽 탐색 모음에서 Settings(설정) > Notification Settings(알림 설정)를 클릭합니다.

단계 10

Service Integrations(서비스 통합)으로 스크롤합니다.

단계 11

파란색 플러스 버튼을 클릭합니다.

단계 12

Name(이름)을 입력합니다. 이 이름은 구성된 서비스 통합으로 CDO에 나타납니다. 구성된 서비스로 전달되는 이벤트에는 나타나지 않습니다.

단계 13

드롭다운 메뉴를 확장하고 서비스 유형으로 Slack을 선택합니다.

단계 14

서비스에서 생성한 웹후크 URL을 붙여넣습니다.

단계 15

OK(확인)를 클릭합니다.


사용자 지정 통합을 위한 수신 웹후크
시작하기 전에

CDO는 사용자 지정 통합을 위한 메시지 형식을 지정하지 않습니다. 사용자 지정 서비스 또는 애플리케이션을 통합하기로 선택한 경우 CDO는 JSON 메시지를 보냅니다.

수신 웹후크를 활성화하고 웹후크 URL을 생성하는 방법에 대한 서비스 설명서를 참조하십시오. 웹후크 URL이 있으면 아래 절차를 사용하여 웹후크를 활성화합니다.

프로시저

단계 1

선택한 사용자 지정 서비스 또는 애플리케이션에서 웹후크 URL을 생성하고 복사합니다.

단계 2

CDO에 로그인합니다.

단계 3

왼쪽 탐색 모음에서 Settings(설정) > Notification Settings(알림 설정)를 클릭합니다.

단계 4

Service Integrations(서비스 통합)으로 스크롤합니다.

단계 5

파란색 플러스 버튼을 클릭합니다.

단계 6

Name(이름)을 입력합니다. 이 이름은 구성된 서비스 통합으로 CDO에 나타납니다. 구성된 서비스로 전달되는 이벤트에는 나타나지 않습니다.

단계 7

드롭다운 메뉴를 확장하고 서비스 유형으로 Custom(사용자 지정)을 선택합니다.

단계 8

서비스에서 생성한 웹후크 URL을 붙여넣습니다.

단계 9

OK(확인)를 클릭합니다.


로깅 설정

월별 이벤트 로깅 한도와 한도가 재설정될 때까지 남은 일수를 확인합니다. 저장된 로깅은 Cisco cloud가 수신한 압축된 이벤트 데이터를 나타냅니다.

지난 12개월 동안 테넌트가 받은 모든 로깅을 보려면 View Historical Usage(기록 히스토리 보기) 를 클릭합니다.

추가 스토리지를 요청하는 데 사용할 수 있는 링크도 있습니다.

SAML SSO(Single Sign-On)를 Cisco Defense Orchestrator와 통합

Cisco Defense Orchestrator(CDO)는 Cisco Secure Sign-On을 SAML Single Sign-On Identity Provider(IdP) 및 MFA(다단계 인증)용 Duo Security로 사용합니다. 이는 CDO의 기본 인증 방법입니다.

그러나 고객이 자신의 SAML SSO(Single Sign-On) IdP 솔루션을 CDO와 통합하려는 경우 IdP가 SAML 2.0 및 IdP(Identity Provider) 시작 워크플로를 지원하는 경우라면 가능합니다.

자체 SAML 솔루션을 CDO와 통합하려면 지원 부서에 문의하여 케이스를 생성해야 합니다. 지침은 Cisco Secure Cloud Sign-On ID 제공자 통합 가이드를 참조하십시오.


Attention


케이스를 열 때 요청이 올바른 팀에 전달되도록 Manually Select A Technology(수동으로 A 기술 선택)를 선택하고 SecureX - Sign-on and Administration(SecureX - 로그인 및 관리)을 선택했는지 확인합니다.


SSO 인증서 갱신

ID 공급자(IdP)는 일반적으로 SecureX SSO와 통합됩니다. Cisco TAC 사례를 열고 metadata.xml 파일을 제공하십시오. 자세한 내용은 Cisco SecureX Sign-On 타사 ID 제공자 통합 가이드를 참조하십시오.


주의


사례를 열 때 기술 수동 선택을 선택하고 요청이 올바른 팀에 전달되도록 SecureX - 로그온 및 관리를 선택했는지 확인합니다.


(레거시만 해당) IdP(Identity Provider) 통합이 CDO와 직접 통합된 경우 CDO TAC로 지원 티켓을 열고 metadata.xml 파일을 제공하십시오.


참고


IdP를 CDO와 직접 통합하는 대신 SecureX SSO와 통합하는 것이 매우 좋습니다.


API 토큰

개발자는 CDO REST API 호출을 할 때 CDO API 토큰을 사용합니다. 호출이 성공하려면 REST API 인증 헤더에 API 토큰을 삽입해야 합니다. API 토큰은 만료되지 않는 "장기" 액세스 토큰입니다. 그러나 이를 갱신하고 취소할 수 있습니다.

CDO 내에서 API 토큰을 생성할 수 있습니다. 이러한 토큰은 생성 직후 일반 설정 페이지가 열려 있는 동안에만 표시됩니다. CDO에서 다른 페이지를 열고 일반 설정페이지로 돌아가면, 토큰이 분명히 발급었지만 토큰이 더 이상 표시되지 않습니다.

개별 사용자는 특정 테넌트에 대한 자체 토큰을 생성할 수 있습니다. 사용자는 다른 사용자를 대신하여 토큰을 생성할 수 없습니다. 토큰은 계정-테넌트 쌍에 고유하며 다른 사용자-테넌트 조합에 사용할 수 없습니다.

API 토큰 형식 및 클레임

API 토큰은 JSON 웹 토큰(JWT)입니다. JWT 토큰 형식에 대해 자세히 알아보려면 JSON 웹 토큰 소개를 읽어보십시오.

CDO API 토큰은 다음과 같은 클레임 집합을 제공합니다.

  • id - 사용자/디바이스 uid

  • parentId - 테넌트 uid

  • ver - 공개 키의 버전(초기 버전은 0, 예, cdo_jwt_sig_pub_key.0)

  • subscriptions - 보안 서비스 익스체인지 구독 (선택 사항)

  • client_id - "api-client"

  • jti - 토큰 ID

토큰 관리

API 토큰 생성
Procedure

Step 1

왼쪽 내비게이션 바에서 Settings(설정) > General Settings(일반 설정)를 클릭합니다.

Step 2

내 토큰에서 Generate API Token(API 토큰 생성)를 클릭합니다.

Step 3

민감한 데이터를 유지하기 위한 기업의 모범 사례에 따라 안전한 위치에 토큰을 저장하십시오.


API 토큰 갱신

API 토큰은 만료되지 않습니다. 그러나 사용자는 토큰이 분실되거나 손상된 경우 또는 기업의 보안 지침을 준수하기 위해 API 토큰을 갱신하도록 선택할 수 있습니다.

Procedure

Step 1

왼쪽 탐색 모음에서 Settings(설정) > General Settings(일반 설정)를 클릭합니다.

Step 2

내 토큰에서 Renew(갱신)을 클릭합니다. CDO에서 토큰을 생성합니다.

Step 3

민감한 데이터를 유지하기 위한 기업의 모범 사례에 따라 안전한 위치에 새 토큰을 저장하십시오.


API 토큰 취소
Procedure

Step 1

왼쪽 내비게이션 바에서 Settings(설정) > General Settings(일반 설정)를 클릭합니다.

Step 2

내 토큰에서 Revoke(취소)를 클릭합니다. CDO는 토큰을 취소합니다.


ID 제공자 계정과 Cisco Defense Orchestrator 사용자 레코드 간의 관계

Cisco Defense Orchestrator(CDO)에 로그인하려면 고객에게 SAML 2.0 호환 IdP(Identity Provider), 다단계 인증 제공자 및 CDO의 사용자 레코드가 있는 계정이 필요합니다. IdP 어카운트에는 사용자의 자격 증명이 포함되며 IdP는 이러한 자격 증명을 기반으로 사용자를 인증합니다. 다단계 인증은 ID 보안의 추가 레이어를 제공합니다. CDO 사용자 레코드에는 주로 사용자 이름, 연결된 CDO 테넌트 및 사용자의 역할이 포함됩니다. 사용자가 로그인하면 CDO는 IdP의 사용자 ID를 CDO의 테넌트에 있는 기존 사용자 레코드에 매핑하려고 시도합니다. CDO가 일치하는 항목을 찾으면 사용자는 해당 테넌트에 로그인됩니다.

엔터프라이즈에 자체 SSO(Single Sign-On) ID 제공자가 없는 경우 ID 제공자는 Cisco Secure Cloud Sign-on입니다. Cisco Secure Cloud Sign-On은 다단계 인증에 Duo를 사용합니다. 고객은 원하는 경우 자신의 IdP를 CDO와 통합할 수 있습니다.

로그인 워크플로우

다음은 IdP 계정이 CDO 사용자 레코드와 상호 작용하여 CDO 사용자에 로그인하는 방법에 대한 간략한 설명입니다.

Procedure

Step 1

사용자는 인증을 위해 Cisco Secure Cloud Sign-On(https://sign-on.security.cisco.com)과 같은 SAML 2.0 호환 ID 공급자(IdP)에 로그인하여 CDO에 대한 액세스를 요청합니다.

Step 2

IdP는 사용자가 인증되었다는 SAML 어설션을 발행하고 포털은 https://defenseorchestrator.com 또는 https://defenseorchestrator.eu 또는 https://www.apj.cdo.cisco.com/를 나타내는 타일과 같이 사용자가 액세스할 수 있는 애플리케이션을 표시합니다.

Step 3

CDO는 SAML 어설션의 유효성을 검사하고 사용자 이름을 추출한 다음 테넌트 중에서 해당 사용자 이름에 해당하는 사용자 레코드를 찾으려고 시도합니다.

  • 사용자가 CDO의 단일 테넌트에 대한 사용자 레코드를 가지고 있는 경우 CDO는 사용자에게 테넌트에 대한 액세스 권한을 부여하고 사용자의 역할에 따라 수행할 수 있는 작업이 결정됩니다.

  • 사용자가 두 개 이상의 테넌트에 대한 사용자 레코드를 가지고 있는 경우 CDO는 인증된 사용자에게 선택할 수 있는 테넌트 목록을 제공합니다. 사용자는 테넌트를 선택하고 해당 테넌트에 액세스할 수 있습니다. 특정 테넌트에 대한 사용자의 역할에 따라 수행할 수 있는 작업이 결정됩니다.

  • CDO에 인증된 사용자와 테넌트의 사용자 레코드에 대한 매핑이 없는 경우 CDO는 사용자에게 CDO에 대해 자세히 알아보거나 무료 평가판을 요청할 수 있는 기회를 제공하는 랜딩 페이지를 표시합니다.

CDO에 사용자 레코드를 생성해도 IdP에 계정이 생성되지 않고 IdP에 계정을 생성해도 CDO에 사용자 레코드가 생성되지 않습니다.

마찬가지로 IdP에서 계정을 삭제한다고 해서 CDO에서 사용자 기록을 삭제한 것은 아닙니다. 그러나 IdP 계정이 없는 경우 사용자를 CDO에 인증할 방법이 없습니다. CDO 사용자 기록을 삭제한다고 해서 IdP 계정이 삭제된 것은 아닙니다. 그러나 CDO 사용자 레코드가 없는 경우 인증된 사용자가 CDO 테넌트에 액세스할 수 있는 방법이 없습니다.


이 아키텍처의 의미

Cisco Security Cloud 로그인을 사용하는 고객

CDO의 Cisco Secure Cloud Sign-On ID 공급자를 사용하는 고객의 경우 슈퍼 관리자는 CDO에 사용자 레코드를 생성할 수 있으며 사용자는 CDO에 자체 등록할 수 있습니다. 두 사용자 이름이 일치하고 사용자가 올바르게 인증된 경우 사용자는 CDO에 로그인할 수 있습니다.

슈퍼 관리자가 사용자가 CDO에 액세스하지 못하도록 해야 하는 경우 CDO 사용자의 사용자 레코드를 간단히 삭제할 수 있습니다. Cisco Secure Cloud Sign-On 계정은 여전히 존재하며 슈퍼 관리자가 사용자를 복원하려는 경우 Cisco Secure Cloud Sign-On에 사용된 것과 동일한 사용자 이름으로 새 CDO 사용자 레코드를 생성하면 됩니다.

고객이 기술 지원 센터(TAC)에 전화해야 하는 CDO 문제에 직면한 경우 고객은 TAC 엔지니어를 위한 사용자 레코드를 생성하여 테넌트를 조사하고 정보와 제안을 고객에게 다시 보고할 수 있습니다. .

자체 ID 제공자가 있는 고객

자체 ID 공급자가 있는 고객의 경우 ID 공급자 계정과 CDO 테넌트를 모두 제어합니다. 이러한 고객은 CDO에서 ID 공급자 계정 및 사용자 레코드를 만들고 관리할 수 있습니다.

사용자가 CDO에 액세스하지 못하도록 해야 하는 경우, IdP 계정, CDO 사용자 레코드 또는 둘 다를 삭제할 수 있습니다.

Cisco TAC의 도움이 필요한 경우, TAC 엔지니어를 위해 읽기 전용 역할이 있는 ID 공급자 계정과 CDO 사용자 레코드를 모두 생성할 수 있습니다. 그런 다음 TAC 엔지니어는 고객의 CDO 테넌트에 액세스하여 조사하고 고객에게 정보와 제안을 보고할 수 있습니다.3

Cisco Managed Service 제공자

Cisco MSP(Managed Service Provider)가 CDO의 Cisco Secure Cloud Sign-On IdP를 사용하는 경우 Cisco Secure Cloud Sign-On에 자체 등록할 수 있으며 고객은 MSP가 고객의 테넌트를 관리할 수 있도록 CDO에 사용자 레코드를 생성할 수 있습니다. 물론 고객은 원할 때 MSP의 레코드를 삭제할 수 있는 모든 권한을 가집니다.

멀티 테넌트 포털 관리

CDO 다중 테넌트 포털 보기는 여러 테넌트의 모든 디바이스에서 정보를 검색하고 표시합니다. 이 다중 테넌트 포털은 디바이스 상태, 디바이스에서 실행 중인 소프트웨어 버전 등을 보여줍니다.


Note


다중 테넌트 포털에서 여러 지역에 걸쳐 테넌트를 추가하고 해당 테넌트가 관리하는 디바이스를 볼 수 있습니다. 다중 테넌트 포털에서 테넌트를 편집하거나 디바이스를 구성할 수 없습니다.


시작하기 전에

다중 테넌트 포털은 해당 기능이 테넌트에서 활성화된 경우에만 사용할 수 있습니다. 테넌트에 대해 다중 테넌트 포털을 활성화하려면 Cisco TAC에서 지원 티켓을 여십시오. 지원 티켓이 해결되고 포털이 생성되면 포털에서 최고 관리자 역할을 가진 사용자는 여기에 테넌트를 추가할 수 있습니다.

발생할 수 있는 특정 브라우저 관련 문제를 방지하려면 웹 브라우저에서 캐시와 쿠키를 지우는 것이 좋습니다.

멀티 테넌트 포털

포털은 다음 메뉴를 제공합니다.

  • 디바이스:

    • 포털에 추가된 테넌트에 있는 모든 디바이스를 표시합니다. 필터검색 필드를 사용하여 보려는 디바이스를 검색합니다. 디바이스를 클릭하여 상태, 온보딩 방법, 방화벽 모드, 페일오버 모드, 소프트웨어 버전 등을 볼 수 있습니다.

    • 인터페이스는 테이블에서 볼 디바이스 속성을 선택하거나 지울 수 있는 열 선택기 를 제공합니다. 'AnyConnect 원격 액세스 VPN'을 제외하고 다른 모든 디바이스 속성은 기본으로 선택됩니다. 테이블을 사용자 정의하면 CDO는 다음에 CDO에 로그인할 때 선택 사항을 기억합니다.

    • 디바이스를 클릭하면 오른쪽에서 세부 정보를 볼 수 있습니다.

    • 포털 정보를 쉼표로 구분된 값(.csv) 파일로 내보낼 수 있습니다. 이 정보는 디바이스를 분석하거나 액세스 권한이 없는 사람에게 보내는 데 도움이 됩니다. 데이터를 내보낼 때마다 CDO는 새 .csv 파일을 생성합니다. 생성된 파일에는 이름에 날짜와 시간이 포함되어 있습니다.

    • 디바이스를 관리하는 CDO 테넌트에서만 디바이스를 관리할 수 있습니다. 다중 테넌트 포털은 CDO 테넌트 페이지로 연결되는 장치 관리 링크를 제공합니다. 해당 테넌트에 대한 계정이 있고 테넌트가 포털과 동일한 지역에 있는 경우 디바이스에 이 링크가 표시됩니다. 테넌트에 액세스할 수 있는 권한이 없는 경우 디바이스 관리 링크가 표시되지 않습니다. 권한을 얻기 위해 조직의 슈퍼 관리자에게 문의할 수 있습니다.


    Note


    디바이스를 관리하는 테넌트가 다른 지역에 있는 경우 해당 지역의 CDO에 로그인할 수 있는 링크가 표시됩니다. 해당 지역의 CDO 또는 해당 지역의 테넌트에 액세스할 수 없는 경우 디바이스를 관리할 수 없습니다.


  • 테넌트:

    • 포털에 추가된 테넌트를 표시합니다.

    • 이를 통해 슈퍼 관리자는 포털에 테넌트를 추가할 수 있습니다.

    • 를 클릭하면 CDO 테넌트의 메인 페이지를 볼 수 있습니다.

멀티 테넌트 포털에 테넌트 추가

슈퍼 관리자 역할이 있는 사용자는 포털에 테넌트를 추가할 수 있습니다. 여러 지역에 걸쳐 테넌트를 추가할 수 있습니다. 예를 들어 유럽 지역의 테넌트를 미국 지역에 추가하거나 그 반대로 추가할 수 있습니다.


Important


테넌트에 대한 API 전용 사용자를 생성하고 CDO 인증을 위한 API 토큰을 생성하는 것이 좋습니다.



Note


포털에 여러 테넌트를 추가하려면 각 테넌트에서 API 토큰을 생성하고 텍스트 파일에 붙여넣습니다. 그런 다음 토큰을 생성하기 위해 매번 테넌트로 전환하지 않고도 포털에 테넌트를 차례로 쉽게 추가할 수 있습니다.


Procedure

Step 1

왼쪽 내비게이션 바에서 Settings(설정) > General Settings(일반 설정) > My Tokens(내 토큰)를 클릭합니다.

Step 2

Generate API Token(API 토큰 생성)을 클릭한 다음 복사합니다.

Step 3

포털로 이동하여 Tenants(테넌트) 탭을 클릭합니다.

Step 4

오른쪽에 테넌트 추가 버튼을 클릭합니다.

Step 5

토큰을 붙여넣고 Save(저장)를 클릭합니다.


멀티 테넌트 포털에서 테넌트 삭제

Procedure

Step 1

포털로 이동하여 Tenants(테넌트) 탭을 클릭합니다.

Step 2

오른쪽에 나타나는 해당 삭제 아이콘을 클릭하여 원하는 테넌트를 제거합니다.

Step 3

Remove(제거)를 클릭합니다. 연결된 디바이스도 포털에서 제거됩니다.


관리-테넌트 포털 설정

Cisco Defense Orchestrator(Defense Orchestrator)는 설정 페이지에서 다중 테넌트 포털 및 개별 사용자 계정의 특정 측면을 사용자 지정할 수 있는 기능을 제공합니다. 왼쪽 탐색 모음에서 Settings(설정)를 클릭하여 설정 페이지에 액세스합니다.

설정

General Settings(일반 설정)

웹 분석은 페이지 히트를 기반으로 익명의 제품 사용 정보를 Cisco에 제공합니다. 이 정보에는 확인한 페이지, 특정 페이지를 사용한 시간, 브라우저 버전, 제품 버전, 디바이스 호스트 이름 등이 포함됩니다. Cisco는 이 정보를 활용해 기능 사용 패턴을 확인하고 제품을 개선할 수 있습니다. 모든 사용량 데이터는 익명으로 전송되며 민감한 데이터는 전송되지 않습니다.

웹 분석은 기본적으로 활성화됩니다. 웹 분석을 비활성화하거나 나중에 활성화하려면 다음 절차를 따르십시오.

  1. CDO 대시보드 왼쪽의 내비게이션 바에서 Settings(설정)를 클릭합니다.

  2. General Settings(일반 설정)를 클릭합니다.

  3. 웹 분석 아래의 슬라이더를 클릭합니다.

사용자 관리

User Management(사용자 관리) 화면에서 다중 테넌트 포털과 연결된 모든 사용자 레코드를 볼 수 있습니다. 사용자 계정을 추가, 편집 또는 삭제할 수 있습니다. 자세한 내용은 User Management(사용자 관리)를 참조하십시오.

테넌트 전환

포털 테넌트가 둘 이상인 경우 CDO에서 로그아웃하지 않고 다른 포털 또는 테넌트 간에 전환할 수 있습니다.

Procedure

Step 1

다중 테넌트 포털에서 오른쪽 상단 모서리에 나타나는 테넌트 메뉴를 클릭합니다.

Step 2

Switch tenant(테넌트 전환)를 클릭합니다.

Step 3

보려는 포털 또는 테넌트를 선택합니다.


Cisco Success Network

Cisco Success Network는 사용자가 활성화하는 클라우드 서비스입니다. Cisco Success Network를 활성화하면 디바이스와 Cisco cloud간에 보안 연결이 설정되어 사용 정보 및 통계를 스트리밍합니다. 스트리밍 원격 측정은 디바이스에서 관심 있는 데이터를 선택하고 구조화된 형식으로 원격 관리 스테이션에 전송하는 메커니즘을 제공하여 다음과 같은 이점을 제공합니다.

  • 네트워크에서 제품의 효율성을 향상시킬 수있는 활용 가능한 미사용 기능을 알려줍니다.

  • 제품에 사용할 수 있는 추가 기술 지원 서비스 및 모니터링에 대해 알려줍니다.

  • Cisco가 제품을 개선할 수 있습니다.

디바이스는 항상 보안 연결을 설정하고 유지하며 Cisco Success Network에 등록할 수 있습니다. 디바이스를 등록하고 나면 Cisco Success Network 설정을 변경할 수 있습니다.


참고


  • 위협 방어 고가용성 쌍의 경우 활성 디바이스 선택이 대기 디바이스의 Cisco Success Network 설정을 오버라이드합니다.

  • CDO는 Cisco Success Network 설정을 관리하지 않습니다. Firewall Device Manager 사용자 인터페이스를 통해 관리되는 설정 및 원격 분석 정보가 제공됩니다.


Cisco Success Network 활성화 또는 비활성화

초기 시스템 설정 중에 Cisco Smart Software Manager에 디바이스를 등록하라는 메시지가 표시됩니다. 90일 평가 라이선스를 대신 선택한 경우에는 평가 기간이 종료되기 전에 디바이스를 등록해야 합니다. 디바이스를 등록하려면 Cisco Smart Software Manager(Smart Licensing 페이지)에 디바이스를 등록하거나 등록 키를 입력하여 CDO에 등록합니다.

디바이스를 등록할 때는 가상 어카운트가 디바이스에 라이선스를 할당합니다. 디바이스를 등록하면 활성화한 선택 가능한 라이선스도 등록됩니다.

Firewall Device Manager UI를 통해서만 이 옵션을 비활성화할 수 있지만 Cisco Success Network를 비활성화하여 언제든지 이 연결을 끌 수 있습니다. 비활성화하면 클라우드에서 디바이스의 연결이 끊어집니다. 연결 해제는 업데이트 수신 또는 스마트 라이선싱 기능 작동에 영향을 주지 않으므로 이러한 기능은 계속 정상적으로 작동됩니다. 자세한 내용은 Firepower 디바이스 매니저 구성 가이드, 버전 6.4.0+에서 시스템 관리 창의 Cisco Success Network에 연결 섹션을 참조하십시오.

사용자 관리

CDO에서 사용자 레코드를 생성하거나 수정하기 전에 ID 제공자 계정과 Defense Orchestrator 사용자 레코드 간의 관계를 읽고 IdP(Identity Provider) 계정과 사용자 레코드의 상호 작용 방식을 확인하십시오. CDO사용자는 인증을 받고 CDO테넌트에 액세스할 수 있도록 CDO레코드 및 해당 IdP 계정이 필요합니다.

엔터프라이즈에 자체 IdP가 없는 경우 Cisco Secure Sign-On은 모든 CDO 테넌트에 대한 ID 제공자입니다. 이 문서의 나머지 부분에서는 Cisco Secure Sign-On을 ID 제공자로 사용한다고 가정합니다.

User Management(사용자 관리) 화면에서 테넌트와 연결된 모든 사용자 레코드를 볼 수 있습니다. 여기에는 지원 티켓을 해결하기 위해 사용자 어카운트와 일시적으로 연결된 모든 Cisco 지원 엔지니어가 포함됩니다.

테넌트와 연결된 사용자 기록 보기

프로시저


단계 1

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

단계 2

User Management(사용자 관리)를 클릭합니다.

참고

 

Cisco 지원이 테넌트에 액세스하지 못하도록 하려면, General Settings(일반 설정) 페이지에서 계정 설정을 구성합니다.


사용자 관리의 Active Directory 그룹

대량의 사용자에 대해 회전율이 높은 테넌트의 경우 개별 사용자를 CDO에 추가하는 대신 CDO를 AD(Active Directory) 그룹에 매핑하여 사용자 목록 및 사용자 역할을 더 쉽게 관리할 수 있습니다. 새 사용자 추가 또는 기존 사용자 제거와 같은 모든 사용자 변경은 이제 Active Directory에서 수행할 수 있으며 더 이상 CDO에서 수행할 필요가 없습니다.

사용자 관리 페이지에서 AD 그룹을 추가, 편집 또는 삭제하려면 SuperAdmin 사용자 역할이 있어야 합니다. 자세한 내용은 사용자 역할을 참조하십시오.

Active Directory 그룹 탭

Settings(설정) 페이지의 사용자 관리 섹션에는 현재 CDO에 매핑된 Active Directory 그룹에 대한 탭이 있습니다. 가장 중요한 것은 이 페이지에 AD 관리자에서 할당된 AD 그룹의 역할이 표시된다는 것입니다.

AD 그룹 내의 사용자는 Active Directory 그룹 탭이나 사용자 탭에 개별적으로 나열되지 않습니다.

감사 로그 탭

Settings(설정) 페이지의 User Management(사용자 관리) 섹션에는 Audit Logs(감사 로그) 탭이 있습니다. 이 새 섹션에는 CDO 테넌트에 액세스한 모든 사용자의 마지막 로그인 시간과 마지막 로그인 시간에 각 사용자가 보유한 역할이 표시됩니다. 여기에는 명시적 사용자 로그인과 AD 그룹 로그인이 모두 포함됩니다.

다중 역할 사용자

CDO의 IAM 기능에 따른 확장으로 이제 사용자가 여러 역할을 가질 수 있습니다.

사용자는 AD에서 여러 그룹의 일부가 될 수 있으며 각 그룹은 서로 다른 CDO 역할로 CDO에서 정의될 수 있습니다. 로그인 시 사용자가 얻는 최종 권한은 사용자가 속한 CDO에 정의된 모든 AD 그룹의 역할 조합입니다. 예를 들어 사용자가 두 개의 AD 그룹에 속해 있고 두 그룹이 편집 전용 및 배포 전용과 같은 두 가지 다른 역할로 CDO에 추가된 경우, 사용자는 편집 전용 및 배포 전용 권한을 모두 보유하게 됩니다. 이는 여러 그룹 및 역할에 적용됩니다.

AD 그룹 매핑은 CDO에서 한 번만 정의하면 되며, 이후에 다른 그룹 간에 사용자를 추가, 제거 또는 이동하여 사용자에 대한 액세스 및 권한 관리를 AD에서만 독점적으로 수행할 수 있습니다.


참고


사용자가 개별 사용자이자 동일한 테넌트에 있는 AD 그룹의 일부인 경우 개별 사용자의 사용자 역할이 AD 그룹의 사용자 역할을 오버라이드합니다.


시작하기 전에

사용자 관리의 형태로 CDO에 AD 그룹 매핑을 추가하기 전에 AD가 SecureX와 통합되어 있어야 합니다. AD ID 공급자(IdP)가 아직 통합되지 않은 경우 다음 작업을 수행해야 합니다.

  1. Cisco TAC로 지원 사례를 열고 다음 정보와 함께 사용자 지정 AD IdP 통합을 요청하십시오.

    • CDO 테넌트 이름 및 지역.

    • 사용자 지정 라우팅을 정의할 도메인(예: @cisco.com, @myenterprise.com).

    • .XML 형식의 인증서 및 페더레이션 메타데이터.

  2. AD에 다음 사용자 지정 SAML 클레임을 추가합니다. 이 값은 대소문자를 구분합니다.

    • SamlADUserGroupIds - 이 속성은 사용자가 AD에 가지고 있는 모든 그룹 연결을 설명합니다. 예를 들어 Azure에서 아래 스크린샷과 같이 + Add a group claim(+ 그룹 클레임 추가)를 선택합니다.

      그림 1. Active Directory에 정의된 사용자 지정 클레임
    • SamlSourceIdpIssuer - 이 특성은 AD 인스턴스를 고유하게 식별합니다. 예를 들어 Azure에서 + Add a group claim(+ 그룹 클레임 추가)를 선택하고 스크롤하여 아래 스크린샷과 같이 Azure AD 식별자를 찾습니다.

      그림 2. Azure Active Directory 식별자 찾기

사용자 관리를 위한 Active Directory 그룹 추가

프로시저


단계 1

CDO에 로그인합니다.

단계 2

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

단계 3

User Management(사용자 관리) 탭을 클릭합니다.

단계 4

테이블 상단에서 Active Directory Groups(활동 디렉토리 그룹) 탭을 선택합니다.

단계 5

현재 AD 그룹이 없는 경우 Add AD group(AD 그룹 추가)를 클릭합니다. 기존 항목이 있으면 Add(추가) 버튼을 클릭합니다.

단계 6

다음 정보를 입력합니다.

  • 그룹 이름 - 고유한 이름을 입력합니다. 이 이름은 AD의 그룹 이름과 일치하지 않아도 됩니다. CDO에서는 이 필드에 대한 특수 문자를 지원하지 않습니다.

  • 그룹 ID - AD에서 그룹 ID를 수동으로 입력합니다. 그룹 ID의 값은 사용자 지정 클레임 정의의 그룹 ID와 동일해야 합니다. 그룹의 고유 ID에 해당하는 모든 값(예: my-favorite-group, 12345 등)이 될 수 있습니다.

  • AD 발급자 - AD에서 AD 발급자 값을 수동으로 입력합니다.

  • 역할 - 이 AD 그룹에 포함된 모든 사용자의 역할을 결정합니다. 자세한 내용은 사용자 역할을 참조하십시오.

  • (선택 사항) 참고 - 이 AD 그룹에 적용 가능한 참고를 추가합니다.

단계 7

OK(확인)를 선택합니다.


사용자 관리를 위한 Active Directory 그룹 편집

시작하기 전에

CDO에서 AD 그룹의 사용자 관리를 편집하면 CDO가 AD 그룹을 제한하는 방식만 편집할 수 있습니다. CDO에서 AD 그룹 자체를 편집할 수 없습니다. AD 그룹 내의 사용자 목록을 편집하려면 AD를 사용해야 합니다.

프로시저


단계 1

CDO에 로그인합니다.

단계 2

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

단계 3

User Management(사용자 관리) 탭을 클릭합니다.

단계 4

테이블 상단에서 Active Directory Groups(활동 디렉토리 그룹) 탭을 선택합니다.

단계 5

편집할 AD 그룹을 식별하고 Edit(편집) 아이콘을 선택합니다.

단계 6

다음 값을 편집합니다.

  • 그룹 이름 - 고유한 이름을 입력합니다. CDO에서는 이 필드에 대한 특수 문자를 지원하지 않습니다.

  • 그룹 ID - AD에서 그룹 ID를 수동으로 입력합니다. 그룹 ID의 값은 사용자 지정 클레임 정의의 그룹 ID와 동일해야 합니다. 그룹의 고유 ID에 해당하는 모든 값(예: my-favorite-group, 12345 등)이 될 수 있습니다.

  • AD 발급자 - AD에서 AD 발급자 값을 수동으로 입력합니다.

  • 역할 - 이 AD 그룹에 포함된 모든 사용자의 역할을 결정합니다. 자세한 내용은 사용자 역할을 참조하십시오.

  • 참고 - 이 AD 그룹에 적용 가능한 참고를 추가합니다.


사용자 관리를 위한 Active Directory 그룹 삭제

프로시저


단계 1

CDO에 로그인합니다.

단계 2

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

단계 3

User Management(사용자 관리) 탭을 클릭합니다.

단계 4

테이블 상단에서 Active Directory Groups(활동 디렉토리 그룹) 탭을 선택합니다.

단계 5

삭제할 AD 그룹을 식별합니다.

단계 6

Delete(삭제) 아이콘을 선택합니다.

단계 7

OK(확인)를 클릭하여 AD 그룹 삭제를 확인합니다.


CDO 사용자 생성

CDO 사용자를 생성하려면 이 두 가지 작업이 필요합니다. 순차적으로 수행할 필요는 없습니다.

이러한 작업이 완료되면 사용자는 Cisco Secure Sign-On 대시보드에서 CDO를 열 수 있습니다.

새 사용자를 위해 Cisco Secure Cloud Sign On 계정 생성

Cisco Secure Cloud Sign-on 계정 생성은 새 사용자가 언제든지 수행할 수 있습니다. 사용자는 할당될 테넌트의 이름을 알 필요가 없습니다.

CDO에 로그인 정보

Cisco Defense Orchestrator(CDO)는 Cisco Secure Sign-On을 ID 제공자로 사용하며, MFA(multi-factor authentication)에는 Duo를 사용합니다. CDO에 로그인하려면 먼저 Cisco Security Cloud Sign On에서 계정을 생성하고 Duo를 사용하여 MFA를 구성해야 합니다.

CDO에는 사용자 ID를 보호하기 위해 추가 보안 레이어를 제공하는 MFA가 필요합니다. MFA 유형인 이중 인증에서는 CDO에 로그인하는 사용자의 ID를 확인하기 위해 두 가지 구성 요소 또는 요소가 필요합니다. 첫 번째 요소는 사용자 이름과 비밀번호이고, 두 번째 요소는 요청 시 생성되는 일회용 비밀번호(OTP)입니다.


Important


2019년 10월 14일 이전에 CDO 테넌트가 존재했다면 이 문서 대신 Cisco Secure Cloud Sign On ID 제공자로 마이그레이션를 사용하여 로그인 지침을 사용합니다.


로그인하기 전에

DUO Security 설치. 휴대전화에 Duo Security 앱을 설치하는 것이 좋습니다. Duo 설치에 대한 질문은 Duo 이중 인증 가이드: 등록 가이드를 참고하십시오.

시간 동기화. 모바일 디바이스를 사용하여 일회용 비밀번호를 생성합니다. OTP는 시간을 기반으로 하므로 디바이스 시계를 실시간으로 동기화하는 것이 중요합니다. 디바이스 시계가 자동으로 또는 수동으로 올바른 시간으로 설정되었는지 확인합니다.

새 Cisco Secure Cloud Sign On 계정 생성 및 Duo 다단계 인증 구성

초기 로그인 워크플로우는 4단계 프로세스입니다. 4단계를 모두 완료해야 합니다.

Procedure

Step 1

새 Cisco Secure Cloud Sign-On 계정 등록

  1. https://sign-on.security.cisco.com으로 이동합니다.

  2. Sign In(로그인) 화면 하단에서 Sign up(등록)를 클릭합니다.

  3. 계정 생성 상자의 필드를 채우십시오.

    다음은 몇 가지 팁입니다.

    • Email(이메일) - CDO에 로그인하는 데 사용할 이메일 주소를 입력합니다.

    • 암호 - 강력한 암호를 입력하십시오.

  4. Create Account(계정 생성)를 클릭한 후.

    Cisco는 등록한 주소로 확인 이메일을 보냅니다. 이메일을 열고 어카운트 활성화를 클릭합니다.

Step 2

Duo를 통한 다단계 인증 설정

다단계 인증을 설정할 때는 모바일 디바이스를 사용하는 것이 좋습니다.

  1. Set up multi-factor authentication(다단계 인증 설정) 화면에서 Configure factor(요인 구성)를 클릭합니다.

  2. Start setup(설정 시작)을 클릭하고 프롬프트에 따라 모바일 디바이스를 선택하고 해당 모바일 디바이스와 어카운트의 페어링을 확인합니다.

    자세한 내용은 Duo Guide to Two Factor Authentication: Enrollment Guide를 참조하십시오. 디바이스에 이미 Duo 앱이 있는 경우 이 어카운트에 대한 활성화 코드를 받게 됩니다. Duo는 하나의 디바이스에서 여러 계정을 지원합니다.

  3. 마법사가 끝나면 Continue to Login(계속 로그인)를 클릭합니다.

  4. 2단계 인증을 사용하여 Cisco Secure Cloud Sign-On에 로그인합니다.

Step 3

(선택 사항) Google OTP를 추가 인증자로 설정

  1. Google Authenticator와 페어링할 모바일 디바이스를 선택하고 Next(다음)를 클릭합니다.

  2. 설정 마법사의 프롬프트에 따라 Google 인증기를 설정합니다.

Step 4

Cisco Secure Sign-On 어카운트에 대한 어카운트 복구 옵션 구성

  1. SMS를 사용하여 계정을 재설정하려면 복원 전화번호를 선택합니다.

  2. 보안 이미지를 선택합니다.

  3. Create My Account(내 계정 생성)를 클릭합니다. 이제 CDO 앱 타일이 있는 Cisco Security Sign-On 대시보드가 표시됩니다. 다른 앱 타일도 표시될 수 있습니다.

    Tip

     

    대시보드에서 타일을 끌어 원하는 대로 정렬하고, 탭을 생성하여 타일을 그룹화하고, 탭의 이름을 바꿀 수 있습니다.


CDO 사용자 이름으로 CDO 사용자 레코드 생성

"슈퍼 관리자" 권한이 있는 CDO 사용자만 CDO 사용자 레코드를 생성할 수 있습니다. 슈퍼 관리자는 위의 Create Your CDO Username(CDO 사용자 이름 생성) 작업에서 지정한 것과 동일한 이메일 주소로 사용자 레코드를 만들어야 합니다.

적절한 사용자 역할이 있는 사용자 레코드를 생성하려면 다음 절차를 수행합니다.

Procedure


Step 1

CDO에 로그인합니다.

Step 2

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

Step 3

User Management(사용자 관리) 탭을 클릭합니다.

Step 4

파란색 더하기 버튼을 클릭하여 새 사용자를 테넌트에 추가합니다.

Step 5

사용자의 이메일 주소를 입력합니다.

Note

 

사용자의 이메일 주소는 Cisco Secure Log-On 계정의 이메일 주소와 일치해야 합니다.

Step 6

드롭다운 메뉴에서 사용자 역할을 선택합니다.

Step 7

OK(확인)를 클릭합니다.


새 사용자가 Cisco Secure Sign-On 대시보드에서 CDO 열기

Procedure


Step 1

Cisco Secure Sign-on 대시보드에서 적절한 CDO 타일을 클릭합니다. CDO 타일은 https://defenseorchestrator.com으로 안내하고 CDO(EU) 타일은 https://defenseorchestrator.eu로 안내합니다.

Step 2

두 인증자를 모두 설정한 경우 인증자 로고를 클릭하여 Duo Security 또는 Google Authenticator를 선택합니다.

  • 기존 테넌트에 사용자 레코드가 이미 있는 경우 해당 테넌트에 로그인됩니다.

  • 이미 여러 포털에 사용자 레코드가 있는 경우 연결할 포털을 선택할 수 있습니다.

  • 여러 테넌트에 대한 사용자 레코드가 이미 있는 경우 연결할 CDO 테넌트를 선택할 수 있습니다.

  • 기존 테넌트에 대한 사용자 레코드가 아직 없는 경우 CDO에 대해 자세히 알아보거나 평가판 테넌트를 요청할 수 있습니다.

포털 보기는 여러 테넌트에서 통합된 정보를 검색하고 표시합니다. 자세한 내용은 여러 CDO 테넌트 관리를 참조하십시오.

테넌트 보기에는 사용자 레코드가 있는 여러 테넌트가 표시됩니다.


Cisco Defense Orchestrator의 사용자 역할

Cisco Defense Orchestrator(CDO)에는 읽기 전용, 편집 전용, 구축 전용, 관리자, 슈퍼 관리자 등 다양한 사용자 역할이 있습니다. 사용자 역할은 각 테넌트의 각 사용자에 대해 구성됩니다. CDO 사용자가 둘 이상의 테넌트에 액세스할 수 있는 경우, 사용자 ID는 동일하지만 테넌트마다 역할이 다를 수 있습니다. 사용자는 한 테넌트에 대해서는 읽기 전용 역할을, 다른 테넌트에서는 슈퍼 관리자 역할을 가질 수 있습니다. 인터페이스 또는 설명서에서 읽기 전용 사용자, Admin 사용자 또는 Super Admin 사용자를 언급하는 경우 특정 테넌트에 대한 사용자의 권한 수준을 의미합니다.

읽기 전용 역할

읽기 전용 역할이 할당된 사용자는 모든 페이지에서 이 파란색 배너를 볼 수 있습니다.
.

읽기 전용 역할의 사용자는 다음을 수행할 수 있습니다.

  • CDO의 모든 페이지 또는 설정을 봅니다.

  • 모든 페이지의 콘텐츠를 검색하고 필터링합니다.

  • 디바이스 구성을 비교하고 변경 로그를 보고 VPN 매핑을 확인합니다.

  • 모든 페이지의 모든 설정 또는 개체에 관한 모든 경고를 봅니다.

  • 자체 API 토큰을 생성, 새로 고침 및 취소합니다. 읽기 전용 사용자가 자신의 토큰을 취소하면 다시 생성할 수 없습니다.

  • 인터페이스를 통해 지원팀에 문의하고 변경 로그를 내보낼 수 있습니다.

읽기 전용 사용자는 다음을 수행할 수 없습니다.

  • 모든 페이지에서 무엇이든 생성, 업데이트, 구성 또는 삭제합니다.

  • 디바이스를 온보딩합니다.

  • 개체 또는 정책과 같은 항목을 만드는 데 필요한 작업을 단계별로 진행하지만 저장할 수는 없습니다.

  • CDO 사용자 레코드를 생성합니다.

  • 사용자 역할을 변경합니다.

  • 액세스 규칙을 정책에 연결하거나 분리합니다.

편집 전용 역할

편집 전용 역할이 있는 사용자는 다음을 수행할 수 있습니다.

  • 개체, 정책, 규칙 세트, 인터페이스, VPN 등을 포함하되 이에 국한되지 않는 디바이스 구성을 편집하고 저장합니다.

  • Read Configuration(구성 읽기) 작업을 통해 이루어진 구성 변경을 허용합니다.

  • 변경 요청 관리 작업을 활용합니다.

편집 전용 사용자는 다음을 수행할 수 없습니다.

  • 디바이스 또는 여러 디바이스에 변경 사항을 배포합니다.

  • 단계적 변경 또는 OOB를 통해 감지된 변경을 폐기합니다.

  • AnyConnect 패키지를 업로드하거나 이러한 설정을 구성합니다.

  • 디바이스에 대한 이미지 업그레이드를 예약하거나 수동으로 시작합니다.

  • 보안 데이터베이스 업그레이드를 예약하거나 수동으로 시작합니다.

  • Snort 2와 Snort 3 버전 사이를 수동으로 전환합니다.

  • 템플릿을 생성합니다.

  • 기존 OOB 변경 설정을 변경합니다.

  • 시스템 관리 설정을 편집합니다.

  • 디바이스를 온보딩합니다.

  • 디바이스를 삭제합니다.

  • VPN 세션 또는 사용자 세션을 삭제합니다.

  • CDO 사용자 레코드를 생성합니다.

  • 사용자 역할을 변경합니다.

배포 전용 역할

배포 전용 역할이 있는 사용자는 다음을 수행할 수 있습니다.

  • 디바이스 또는 여러 디바이스에 단계적 변경 사항을 배포합니다.

  • ASA 디바이스에 대한 구성 변경 사항을 되돌리거나 복원합니다.

  • 디바이스에 대한 이미지 업그레이드를 예약하거나 수동으로 시작합니다.

  • 보안 데이터베이스 업그레이드를 예약하거나 수동으로 시작합니다.

  • 변경 요청 관리 작업을 활용합니다.

배포 전용 사용자는 다음을 수행할 수 없습니다.

  • Snort 2와 Snort 3 버전 사이를 수동으로 전환합니다.

  • 템플릿을 생성합니다.

  • 기존 OOB 변경 설정을 변경합니다.

  • 시스템 관리 설정을 편집합니다.

  • 디바이스를 온보딩합니다.

  • 디바이스를 삭제합니다.

  • VPN 세션 또는 사용자 세션을 삭제합니다.

  • 모든 페이지에서 무엇이든 생성, 업데이트, 구성 또는 삭제합니다.

  • 디바이스를 온보딩합니다.

  • 개체 또는 정책과 같은 항목을 만드는 데 필요한 작업을 단계별로 진행하지만 저장할 수는 없습니다.

  • CDO 사용자 레코드를 생성합니다.

  • 사용자 역할을 변경합니다.

  • 액세스 규칙을 정책에 연결하거나 분리합니다.

VPN 세션 관리자 역할

VPN 세션 관리자 역할은 사이트 투 사이트 VPN 연결이 아닌 원격 액세스 VPN 연결을 모니터링하는 관리자를 위해 설계되었습니다.

VPN 세션 관리자 역할이 있는 사용자는 다음을 수행할 수 있습니다.

  • CDO의 모든 페이지 또는 설정을 봅니다.

  • 모든 페이지의 콘텐츠를 검색하고 필터링합니다.

  • 디바이스 구성을 비교하고 변경 로그를 보고 RA VPN 매핑을 확인합니다.

  • 모든 페이지의 모든 설정 또는 개체에 관한 모든 경고를 봅니다.

  • 자체 API 토큰을 생성, 새로 고침 및 취소합니다. 참고로 VPN 세션 관리자 사용자가 자신의 토큰을 취소하면 토큰을 다시 만들 수 없습니다.

  • 인터페이스를 통해 지원팀에 문의하고 변경 로그를 내보냅니다.

  • 기존 RA VPN 세션을 종료합니다.

VPN 세션 관리자 사용자는 다음을 수행할 수 없습니다.

  • 모든 페이지에서 무엇이든 생성, 업데이트, 구성 또는 삭제합니다.

  • 디바이스를 온보딩합니다.

  • 개체 또는 정책과 같은 항목을 만드는 데 필요한 작업을 단계별로 진행하지만 저장할 수는 없습니다.

  • CDO 사용자 레코드를 생성합니다.

  • 사용자 역할을 변경합니다.

  • 액세스 규칙을 정책에 연결하거나 분리합니다.

관리자 역할

관리 사용자는 대부분의 CDO 측면에 대한 완전한 액세스 권한을 가집니다. 관리 사용자는 다음을 수행할 수 있습니다.

  • CDO에서 개체 또는 정책을 생성, 읽기, 업데이트 및 삭제하고 설정을 구성합니다.

  • 디바이스를 온보딩합니다.

  • CDO의 모든 페이지 또는 설정을 봅니다.

  • 모든 페이지의 콘텐츠를 검색하고 필터링합니다.

  • 디바이스 구성을 비교하고 변경 로그를 보고 VPN 매핑을 확인합니다.

  • 모든 페이지의 모든 설정 또는 개체에 관한 모든 경고를 봅니다.

  • 자체 API 토큰을 생성, 새로 고침 및 취소합니다. 토큰이 취소되면 인터페이스를 통해 지원팀에 문의하고 변경 로그를 내보낼 수 있습니다.

관리 사용자는 다음을 수행할 수 없습니다.

  • CDO 사용자 레코드를 생성합니다.

  • 사용자 역할을 변경합니다.

슈퍼 관리자

슈퍼 관리자는 CDO의 모든 측면에 대한 완전한 액세스 권한을 갖습니다. 슈퍼 관리자는 다음을 수행할 수 있습니다.

  • 사용자 역할을 변경합니다.

  • 사용자 레코드를 생성합니다.


Note


최고 관리자는 CDO 사용자 레코드를 생성할 수 있지만 사용자가 테넌트에 로그인하는 데 필요한 모든 사용자 레코드는 아닙니다. 사용자는 테넌트에서 사용하는 ID 제공자의 계정도 필요합니다. 엔터프라이즈에 자체 SSO(Single Sign-On) ID 제공자가 없는 경우 ID 제공자는 Cisco Secure Cloud Sign-on입니다. 사용자는 Cisco Secure Cloud Sign-On 계정에 자가 등록할 수 있습니다. 자세한 내용은 새 CDO 테넌트에 대한 초기 로그인를 참조하십시오.


  • CDO에서 개체 또는 정책을 생성, 읽기, 업데이트 및 삭제하고 설정을 구성합니다.

  • 디바이스를 온보딩합니다.

  • CDO의 모든 페이지 또는 설정을 봅니다.

  • 모든 페이지의 콘텐츠를 검색하고 필터링합니다.

  • 디바이스 구성을 비교하고 변경 로그를 보고 VPN 매핑을 확인합니다.

  • 모든 페이지의 모든 설정 또는 개체에 관한 모든 경고를 봅니다.

  • 자체 API 토큰을 생성, 새로 고침 및 취소합니다. 토큰이 취소되면 다음을 수행할 수 있습니다.

  • 인터페이스를 통해 지원팀에 문의하고 변경 로그를 내보낼 수 있습니다.

사용자 역할의 기록 변경

사용자 레코드는 사용자의 현재 역할이 기록된 것입니다. 테넌트와 연결된 사용자를 보면 레코드별로 각 사용자의 역할을 확인할 수 있습니다. 사용자 역할을 변경하면 사용자 레코드가 변경됩니다. 사용자의 역할은 사용자 관리 테이블에서 해당 역할로 식별됩니다. 자세한 내용은 User Management(사용자 관리)를 참조하십시오.

사용자 레코드를 변경하려면 슈퍼 관리자여야 합니다. 테넌트에 슈퍼 관리자가 없는 경우 Defense Orchestrator support(Defense Orchestrator 지원)에 문의하십시오.

사용자 역할에 대한 사용자 레코드 생성

CDO 사용자는 인증을 받고 CDO 테넌트에 액세스할 수 있도록 CDO 레코드 및 해당 IdP 계정이 필요합니다. 이 절차는 Cisco Secure Cloud Sign-On의 사용자 계정이 아니라 사용자의 CDO 사용자 레코드를 생성합니다. 사용자가 Cisco Security Cloud Sign On에 계정이 없는 경우, https://sign-on.security.cisco.com으로 이동하고 로그인 화면 하단에서 Sign up(등록)을 클릭하여 자가 등록할 수 있습니다. .


Note


이 작업을 수행하려면 CDO에서 슈퍼 관리자 역할이 있어야 합니다.


사용자 레코드 생성

적절한 사용자 역할이 있는 사용자 레코드를 생성하려면 다음 절차를 수행합니다.

Procedure


Step 1

CDO에 로그인합니다.

Step 2

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

Step 3

User Management(사용자 관리) 탭을 클릭합니다.

Step 4

파란색 더하기 버튼을 클릭하여 새 사용자를 테넌트에 추가합니다.

Step 5

사용자의 이메일 주소를 입력합니다.

Note

 

사용자의 이메일 주소는 Cisco Secure Log-On 계정의 이메일 주소와 일치해야 합니다.

Step 6

드롭다운 메뉴에서 사용자 역할을 선택합니다.

Step 7

v를 클릭합니다.

Note

 

최고 관리자는 CDO 사용자 레코드를 생성할 수 있지만 사용자가 테넌트에 로그인하는 데 필요한 모든 사용자 레코드는 아닙니다. 사용자는 테넌트에서 사용하는 ID 제공자의 계정도 필요합니다. 엔터프라이즈에 자체 SSO(Single Sign-On) ID 제공자가 없는 경우 ID 제공자는 Cisco Secure Sign-on입니다. 사용자는 Cisco Secure Sign-On 계정에 자가 등록할 수 있습니다. 자세한 내용은 새 CDO 테넌트에 대한 초기 로그인를 참조하십시오.


API 전용 사용자 생성

프로시저


단계 1

CDO에 로그인합니다.

단계 2

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

단계 3

User Management(사용자 관리) 탭을 클릭합니다.

단계 4

테넌트에 새 사용자를 추가하려면 파란색 플러스 버튼 를 클릭합니다.

단계 5

API Only User(API 전용 사용자) 확인란을 선택합니다.

단계 6

Username(사용자 이름) 필드에 사용자 이름을 입력하고 OK(확인)를 클릭합니다.

중요사항

 

사용자 이름은 이메일 주소이거나 '@yourtenant' 접미사가 사용자 이름에 자동으로 추가되므로 '@' 문자를 포함할 수 없습니다.

단계 7

드롭다운 메뉴에서 사용자 역할을 선택합니다.

단계 8

OK(확인)를 클릭합니다.

단계 9

User Management(사용자 관리) 탭을 클릭합니다.

단계 10

새 API 전용 사용자의 토큰 열에서 Generate API Token(API 토큰 생성)을 클릭하여 API 토큰을 얻습니다.


사용자 역할에 대한 사용자 레코드 편집

이 작업을 수행하려면 슈퍼 관리자 역할이 있어야 합니다. 슈퍼 관리자가 로그인한 CDO 사용자의 역할을 변경할 경우 역할이 변경되면 해당 사용자는 자동으로 세션에서 로그아웃됩니다. 사용자가 다시 로그인하면 새 역할을 맡게 됩니다.


Note


이 작업을 수행하려면 CDO에서 슈퍼 관리자 역할이 있어야 합니다.



Caution


사용자 레코드의 역할을 변경하면 사용자 레코드와 연결된 API 토큰이 있는 경우 해당 토큰이 삭제됩니다. 사용자 역할이 변경되면 사용자는 새 API 토큰을 생성해야 합니다.


사용자 역할 편집


Note


CDO 사용자가 로그인되어 있고 슈퍼 관리자가 역할을 변경하는 경우, 변경 사항을 적용하려면 사용자가 로그아웃했다가 다시 로그인해야 합니다.


사용자 레코드에 정의된 역할을 편집하려면 다음 절차를 따르십시오.

Procedure


Step 1

CDO에 로그인합니다.

Step 2

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

Step 3

User Management(사용자 관리) 탭을 클릭합니다.

Step 4

사용자 행에서 편집 아이콘을 클릭합니다.

Step 5

역할 드롭다운 메뉴에서 사용자의 새 역할을 선택합니다.

Step 6

사용자 레코드에 사용자와 연결된 API 토큰이 있는 것으로 표시되면 사용자의 역할을 변경하고 결과적으로 API 토큰을 삭제할 것임을 확인해야 합니다.

Step 7

v를 클릭합니다.

Step 8

CDO가 API 토큰을 삭제한 경우 사용자에게 연락하여 새 API 토큰을 생성합니다.


사용자 역할에 대한 사용자 레코드 삭제

CDO에서 사용자 레코드를 삭제하면 Cisco Secure Cloud Sign-On 계정과 사용자 레코드의 매핑이 끊어져 연결된 사용자가 CDO에 로그인할 수 없습니다. 사용자 레코드를 삭제하면 해당 사용자 레코드와 연결된 API 토큰도 삭제됩니다. CDO에서 사용자 레코드를 삭제해도 Cisco Secure Cloud Sign-On에서 사용자의 IdP 계정은 삭제되지 않습니다.


Note


이 작업을 수행하려면 CDO에서 슈퍼 관리자 역할이 있어야 합니다.


사용자 레코드 삭제

사용자 레코드에 정의된 역할을 삭제하려면 다음 절차를 참조하십시오.

Procedure


Step 1

CDO에 로그인합니다.

Step 2

오른쪽 상단의 관리자 드롭다운에서 Settings(설정)를 클릭합니다.

Step 3

User Management(사용자 관리) 탭을 클릭합니다.

Step 4

삭제할 사용자 행에서 휴지통 아이콘 를 클릭합니다.

Step 5

OK(확인)를 클릭합니다.

Step 6

확인을 클릭하여 테넌트에서 계정을 제거할 것임을 확인합니다.


서비스 페이지 정보 보기

Services(서비스) 페이지에 CDO가 제공하는 서비스 목록이 표시됩니다. FMC 탭을 선택하면 CDO 계정에 연결된 클라우드 사용 Firewall Management Center 및 CDO에 온보딩된 모든 온프레미스 Management Center가 나열됩니다. 이러한 온프레미스 Management Center에서 관리하는 디바이스는 Inventory(인벤토리) 페이지에 나열됩니다. Services(서비스) 페이지의 Secure Connector(보안 커넥터) 탭 아래에도 보안 커넥터가 나열됩니다.

파란색 더하기 아이콘()을 클릭하여 FMC 탭을 선택하고 온프레미스 Management Center를 온보딩한 후 오른쪽 창의 옵션을 사용하여 디바이스 작업을 수행할 수 있습니다. 디바이스의 버전, Management Center에서 관리하는 디바이스의 수, 디바이스 유형, 디바이스 동기화 상태 등의 디바이스 정보도 확인할 수 있습니다. 매니지드 디바이스 아이콘을 클릭하면 Inventory(인벤토리) 페이지로 이동하며, 이 페이지에는 선택된 온프레미스 Management Center에서 관리하는 디바이스가 자동으로 필터링되어 표시됩니다. Services(서비스) 페이지에서는 하나 이상의 온프레미스 Management Center를 동시에 선택하여 Management Center 그룹에 대한 작업을 한 번에 수행할 수 있습니다. 클라우드 사용 Firewall Management Center가 선택된 상태에서는 어떤 온프레미스 Management Center도 선택할 수 없습니다. 새 보안 커넥터를 추가하거나 기존 보안 커넥터에 대해 작업을 수행하려면 Secure Connector(보안 커넥터) 탭을 선택하고 를 클릭합니다.

CDO의 메인 메뉴에서 클라우드 사용 Firewall Management Center 애플리케이션 페이지를 엽니다.

Tools & Services(툴 및 서비스) > Firewall Management Center로 이동합니다.

클라우드 사용 Firewall Management Center의 경우 Services(서비스) 페이지에 다음 정보가 표시됩니다.

  • 클라우드 사용 Firewall Management Center가 테넌트에 구축되지 않은 경우, Request FMC(FMC 요청)를 클릭합니다.

  • 클라우드 사용 Firewall Management Center에 구축된 Secure Firewall Threat Defense 디바이스 수.

  • CDO클라우드 사용 Firewall Management Center 페이지 간의 연결 상태.

  • 클라우드 사용 Firewall Management Center의 마지막 하트비트. 이는 클라우드 사용 Firewall Management Center 자체의 상태와 여기에서 관리하는 디바이스 수가 이 페이지의 테이블과 마지막으로 동기화된 것을 나타냅니다.

  • 선택한 클라우드 사용 Firewall Management Center의 호스트 이름.

Cloud-Delivered FMC(클라우드 제공 FMC)를 선택하고 Actions(작업), Management(관리) 또는 Settings(설정) 창의 링크를 사용하여 클릭한 링크와 연결된 구성 작업을 수행할 수 있는 클라우드 사용 Firewall Management Center사용자 인터페이스를 엽니다.

클라우드 사용 Firewall Management Center 페이지가 열리면 파란색 물음표 버튼을 클릭하고 Page-level Help(페이지 수준 도움말)를 선택하여 현재 페이지와 수행 가능한 추가 작업에 대해 자세히 알아볼 수 있습니다.

클라우드 사용 Firewall Management Center 디바이스 수 및 상태 업데이트

Cloud-Delivered FMC(클라우드 제공 FMC)를 선택하고 Actions(작업) 창에서 Check for Changes(변경 사항 확인)를 클릭합니다. 테이블의 디바이스 수 및 상태 정보가 이 페이지와 클라우드 사용 Firewall Management Center가 마지막으로 동기화되었을 때 사용 가능한 정보로 업데이트됩니다. 동기화는 10분마다 이루어집니다.

다른 탭에서 CDO 및 클라우드 사용 Firewall Management Center 애플리케이션 열기 지원

클라우드 사용 Firewall Management Center에서 위협 방어 디바이스 또는 개체를 구성할 때 추가 브라우저 탭에서 해당 구성 페이지를 열면 로그아웃하지 않고도 CDO 및 클라우드 사용 Firewall Management Center 포털에서 동시에 작업할 수 있습니다. 예를 들어, 클라우드 사용 Firewall Management Center에서 개체를 생성하고 동시에 보안 정책에서 생성된 CDO의 이벤트 로그를 모니터링할 수 있습니다.

이 기능은 클라우드 사용 Firewall Management Center 포털로 이동하는 모든 CDO 링크에서 사용할 수 있습니다. 새 탭에서 클라우드 사용 Firewall Management Center 포털을 여는 방법:

CDO 포털에서 Ctrl(Windows) 또는 Command(Mac) 버튼을 누른 상태로 해당 링크를 클릭합니다.


참고


한 번 클릭하면 동일한 탭에서 클라우드 사용 Firewall Management Center 페이지가 열립니다.


다음은 새 탭에서 클라우드 사용 Firewall Management Center 포털 페이지를 여는 몇 가지 예입니다.

  • Tools & Services(툴 및 서비스) > Firewall Management Center를 선택하고 Cloud-Delivered FMC(클라우드 제공 FMC)를 선택합니다.

    오른쪽 창에서 Ctrl(Windows) 또는 Command(Mac) 버튼을 누른 상태로 액세스하려는 페이지를 클릭합니다.

  • Objects(개체) > Other FTD Objects(기타 FTD 개체)를 선택합니다.

  • CDO 페이지 오른쪽 상단 모서리에 있는 검색 아이콘을 클릭하고 표시되는 검색 필드에 검색 문자열을 입력합니다.

    검색 결과에서 Ctrl(Windows) 또는 Command(Mac) 버튼을 누른 상태로 화살표 아이콘을 클릭합니다.

  • Dashboard(대시보드) > Quick Actions(빠른 작업)를 선택합니다.

    Ctrl(Windows) 또는 Command(Mac) 버튼을 누른 상태에서 Manage FTD Policies(FTD 정책 관리) 또는 Manage FTD Objects(FTD 개체 관리)를 클릭합니다.


참고


새 CDO 테넌트로 전환하면 새 탭에서 이미 열린 해당 클라우드 사용 Firewall Management Center 포털이 로그아웃됩니다.


디바이스 및 서비스 관리

Cisco CDO(Defense Orchestrator)는 지원되는 디바이스 및 서비스를 보고, 관리하고, 필터링하고, 평가하는 기능을 제공합니다. Inventory(인벤토리) 페이지에서 다음을 수행할 수 있습니다.

  • CDO 관리를 위한 디바이스 및 서비스를 온보딩합니다.

  • 관리 디바이스 및 서비스의 구성 상태 및 연결 상태를 봅니다.

  • 별도의 탭으로 분류된 온보딩된 디바이스 및 템플릿을 봅니다. 재고 목록 페이지 정보 보기을 참조하십시오.

  • 개별 디바이스 및 서비스를 평가하고 조치를 취합니다.

  • 디바이스 및 서비스별 정보를 보고 문제를 해결합니다.

  • 다음에서 관리하는 위협 방어 디바이스의 디바이스 상태를 확인합니다.

    클라우드 사용 Firewall Management Center에서 관리하는 위협 방어 디바이스의 경우, 클러스터에 있는 디바이스의 노드 상태도 볼 수 있습니다.

  • 이름, 유형, IP 주소, 모델 이름, 일련 번호 또는 레이블로 디바이스 또는 템플릿을 검색합니다. 검색은 대/소문자를 구분하지 않습니다. 여러 검색어를 제공하면 검색어 중 하나 이상과 일치하는 디바이스 및 서비스가 나타납니다. 검색을 참조하십시오.

  • 디바이스 유형, 하드웨어 및 소프트웨어 버전, snort 버전, 구성 상태, 연결 상태, 충돌 감지, 보안 디바이스 커넥터 및 레이블을 기준으로 디바이스 또는 템플릿 필터를 필터링합니다. 필터를 참조하십시오.

CDO에서 디바이스의 IP 주소 변경

IP 주소를 사용하여 CDO(Cisco Defense Orchestrator)에 디바이스를 온보딩하면 CDO는 해당 IP 주소를 데이터베이스에 저장하고 해당 IP 주소를 사용하여 디바이스와 통신합니다. 디바이스의 IP 주소가 변경되면 새 주소와 일치하도록 CDO에 저장된 IP 주소를 업데이트할 수 있습니다. CDO에서 디바이스의 IP 주소를 변경해도 디바이스의 구성은 변경되지 않습니다.

CDO가 디바이스와 통신하는 데 사용하는 IP 주소를 변경하려면 다음 절차를 수행합니다.

Procedure


Step 1

내비게이션 바에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

필터검색 기능을 사용하여 필요한 디바이스를 찾을 수 있습니다.

Step 4

IP 주소를 변경할 디바이스를 선택합니다.

Step 5

Device Details(디바이스 세부 정보) 창 위에서 디바이스의 IP 주소 옆에 있는 편집 버튼을 클릭합니다.

Step 6

필드에 새 IP 주소를 입력하고 파란색 확인 버튼을 클릭합니다.

디바이스 자체는 변경되지 않으므로 디바이스의 Configuration Status(구성 상태)는 계속해서 Synced(동기화됨)로 표시됩니다.


CDO에서 디바이스의 이름 변경

모든 디바이스, 모델, 템플릿 및 서비스는 온보딩되거나 CDO에서 생성될 때 이름이 지정됩니다. 디바이스 자체의 구성을 변경하지 않고 해당 이름을 변경할 수 있습니다.

Procedure


Step 1

탐색 모음에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

이름을 변경하려는 디바이스를 선택합니다.

Step 4

Device Details(디바이스 세부 정보) 창 위에서 디바이스의 이름 옆에 있는 편집 버튼을 클릭합니다.

Step 5

필드에 새 이름을 입력하고 파란색 확인 버튼을 클릭합니다.

디바이스 자체는 변경되지 않으므로 디바이스의 Configuration Status(구성 상태)는 계속해서 Synced(동기화됨)로 표시됩니다.


디바이스 및 서비스 목록 내보내기

이 문서에서는 디바이스 및 서비스 목록을 쉼표로 구분된 값(.csv) 파일로 내보내는 방법을 설명합니다. 이 형식이 되면 Microsoft Excel과 같은 스프레드시트 애플리케이션에서 파일을 열어 목록의 항목을 정렬하고 필터링할 수 있습니다.

내보내기 버튼은 디바이스 및 템플릿 탭에서 사용할 수 있습니다. 또한 선택한 디바이스 유형 탭의 디바이스에서 세부 정보를 내보낼 수 있습니다.

디바이스 및 서비스 목록을 내보내기 전에 필터 창을 살펴보고 재고 목록 테이블에 내보내려는 정보가 표시되는지 확인합니다. 모든 필터를 지워 모든 매니지드 디바이스 및 서비스를 확인하거나 정보를 필터링하여 모든 디바이스 및 서비스의 하위 집합을 표시합니다. 내보내기 기능은 Inventory(재고 목록) 테이블에서 확인할 수 있는 내용을 내보냅니다.

Procedure


Step 1

CDO 탐색 모음에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 유형 탭을 클릭하여 해당 탭 아래의 디바이스에서 세부 정보를 내보내거나 All(모두)을 클릭하여 모든 디바이스에서 세부 정보를 내보냅니다.

필터검색 기능을 사용하여 필요한 디바이스를 찾을 수 있습니다.

Step 4

Export list to CSV(CSV로 목록 내보내기)를 클릭합니다.

Step 5

메시지가 표시되면 .csv 파일을 저장합니다.

Step 6

스프레드시트 애플리케이션에서 .csv 파일을 열어 결과를 정렬하고 필터링합니다.


디바이스 구성 내보내기

한 번에 하나의 디바이스 구성만 내보낼 수 있습니다. 다음 절차를 사용하여 디바이스의 구성을 JSON 파일로 내보냅니다.

프로시저


단계 1

내비게이션 바에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

단계 3

해당 디바이스 탭을 클릭합니다.

필터검색 기능을 사용하여 필요한 디바이스를 찾을 수 있습니다.

단계 4

원하는 디바이스를 선택하여 강조 표시하십시오.

단계 5

Actions(작업) 창에서 Export Configuration(구성 내보내기)를 선택합니다.

단계 6

Confirm(확인)을 선택하여 구성을 JSON 파일로 저장합니다.


CDO에 디바이스 대량 다시 연결

관리자는 CDO를 통해 둘 이상의 매니지드 디바이스를 CDO에 동시에 다시 연결할 수 있습니다. CDO가 관리하는 디바이스가 "unreachable(연결할 수 없음)"로 표시되면 CDO는 더 이상 대역 외 구성 변경 사항을 탐지하거나 디바이스를 관리할 수 없습니다. 연결이 끊어지는 데에는 여러 가지 이유가 있을 수 있습니다. 디바이스에 대한 CDO 관리를 복원하는 첫 번째 단계는 디바이스를 다시 연결하는 것입니다.


Note


새 인증서가 있는 디바이스를 다시 연결하는 경우 CDO는 디바이스에서 새 인증서를 자동으로 검토 및 수락하고 계속해서 다시 연결합니다. 그러나 하나의 디바이스에만 다시 연결하는 경우 CDO는 계속해서 다시 연결하려면 인증서를 수동으로 검토하고 수락하라는 메시지를 표시합니다.


Procedure


Step 1

내비게이션 바에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

Step 2

디바이스를 찾으려면 Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

필터를 사용하여 연결 상태가 "unreachable(연결할 수 없음)"인 디바이스를 찾습니다.

Step 4

필터링된 결과에서 다시 연결을 시도할 디바이스를 선택합니다.

Step 5

Reconnect(다시 연결) 을 클릭합니다. CDO는 선택한 모든 디바이스에 적용할 수 있는 작업에 대해서만 명령 버튼을 제공합니다.

Step 6

알림 탭에서 대량 디바이스 다시 연결 작업의 진행 상황을 확인합니다. 대량 디바이스 다시 연결 작업의 성공 또는 실패에 대한 자세한 내용을 보려면 파란색 Review(검토) 링크를 클릭합니다. 그러면 작업 페이지로 이동합니다.

Tip

 

디바이스의 인증서 또는 자격 증명이 변경되어 재연결 실패가 발생한 경우, 해당 디바이스에 개별적으로 다시 연결하여 새 자격 증명을 추가하고 새 인증서를 수락해야 합니다.


테넌트 간 디바이스 이동

디바이스를 CDO 테넌트에 온보딩하면 한 CDO 테넌트 간에 디바이스를 마이그레이션할 수 없습니다. 디바이스를 새 테넌트로 이동하려면 이전 테넌트에서 디바이스를 제거하고 새 테넌트에 다시 온보딩해야 합니다.

디바이스 메모 작성

이 절차를 사용하여 디바이스에 대한 단일 일반 텍스트 메모 파일을 생성합니다.

Procedure


Step 1

내비게이션 바에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

메모를 작성할 디바이스 또는 모델을 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 Notes(메모)를 클릭합니다. .

Step 6

오른쪽의 편집기 버튼을 클릭하고 기본 텍스트 편집기, Vim 또는 Emacs 텍스트 편집기를 선택합니다.

Step 7

메모 페이지를 편집합니다.

Step 8

Save(저장)를 클릭합니다.

메모가 탭에 저장됩니다.

재고 목록 페이지 정보 보기

Inventory(재고 관리) 페이지에는 모든 물리적 및 가상 온보딩된 디바이스와 온보딩된 디바이스에서 생성된 템플릿이 표시됩니다. 이 페이지는 유형에 따라 디바이스 및 템플릿을 분류하고 각 디바이스 유형 전용 해당 탭에 표시합니다. search(검색) 기능을 사용하거나 filter(필터)를 적용하여 선택한 디바이스 유형 탭 내에서 디바이스를 찾을 수 있습니다.

이 페이지에서 다음 세부 정보를 볼 수 있습니다.

  • Device(디바이스) 탭에는 CDO에 온보딩된 모든 라이브 디바이스가 표시됩니다.

  • Templates(템플릿(에는 CDO로 가져온 라이브 디바이스 또는 구성 파일에서 생성된 모든 템플릿 디바이스가 표시됩니다.

레이블 및 필터링

레이블은 디바이스 또는 개체를 그룹화하는 데 사용됩니다. 온보딩 중에 또는 온보딩 후에 언제든지 하나 이상의 디바이스에 레이블을 적용할 수 있습니다. 개체를 생성한 후 개체에 레이블을 적용할 수 있습니다. 디바이스 또는 개체에 레이블을 적용한 후에는 해당 레이블을 기준으로 디바이스 테이블 또는 개체 테이블의 내용을 필터링할 수 있습니다.


참고


디바이스에 적용된 레이블은 연결된 개체로 확장되지 않으며, 공유 개체에 적용된 레이블은 연결된 개체로 확장되지 않습니다.


"group name:label" 구문을 사용하여 레이블 그룹을 생성할 수 있습니다. 예를 들어 Region:East 또는 Region:West입니다. 이 두 레이블을 생성하는 경우 그룹 레이블은 Region(지역)이 되며 해당 그룹의 East(동부) 또는 West(서부) 중에서 선택할 수 있습니다.

디바이스 및 개체에 레이블 적용

디바이스에 레이블을 적용하려면 다음 단계를 수행하십시오.

프로시저


단계 1

디바이스에 레이블을 추가하려면 왼쪽 탐색 창에서 Devices & Services(디바이스 및 서비스)를 클릭합니다. 개체에 레이블을 추가하려면 왼쪽 탐색 창에서 Objects(개체)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

단계 3

해당 디바이스 탭을 클릭합니다.

단계 4

생성된 테이블에서 하나 이상의 디바이스 또는 모델을 선택합니다.

단계 5

오른쪽의 Add Groups and Labels(그룹 및 레이블 추가) 필드에서 디바이스의 레이블을 지정합니다.

단계 6

파란색 + 아이콘을 클릭합니다.


AWS VPC의 레이블 및 태그

AWS VPC를 CDO에 온보딩하는 경우 CDO는 구성의 일부로 모든 AWS VPC 태그를 읽습니다. 즉, AWS에서 복사되어 CDO의 데이터베이스에 저장됩니다. 이러한 태그는 다른 디바이스 유형의 레이블과 마찬가지로 Devices & Services(디바이스 및 서비스) 페이지에서 볼 수 있는 CDO 레이블로 표시됩니다. 기존 레이블을 삭제하거나 CDO에서 새 레이블을 생성하는 경우 이러한 변경 사항은 AWS VPC에 동기화되지 않습니다. AWS 콘솔을 사용하여 수동으로 동일하게 변경해야 합니다. AWS VPC가 온보딩된 후 AWS 콘솔에서 생성되거나 수정된 VPC 태그는 CDO의 구성 사본에 저장되거나 대역 외 변경으로 탐지되지 않습니다.

필터

Inventory(재고 목록)Objects(개체) 페이지에서 다양한 필터를 사용하여 원하는 디바이스 및 개체를 찾을 수 있습니다.

필터링하려면 Devices and Services(디바이스 및 서비스), Policies(정책) 및 Objects(개체) 탭의 왼쪽 창에서 을 클릭합니다.

Inventory(재고 목록) 필터를 사용하면 디바이스 유형, 하드웨어 및 소프트웨어 버전, snort 버전, 구성 상태, 연결 상태, 충돌 탐지, 보안 디바이스 커넥터 및 레이블을 기준으로 필터링할 수 있습니다. 필터를 적용하여 선택한 디바이스 유형 탭 내에서 디바이스를 찾을 수 있습니다. 필터를 사용하여 선택한 디바이스 유형 탭 내에서 디바이스를 찾을 수 있습니다.

개체 필터를 사용하면 디바이스, 문제 유형, 공유 개체, 연결되지 않은 개체 및 개체 유형을 기준으로 필터링할 수 있습니다. 결과에 시스템 개체를 포함하거나 포함하지 않을 수 있습니다. 또한 검색 필드를 사용하여 필터 결과에서 특정 이름, IP 주소 또는 포트 번호를 포함하는 개체를 검색할 수 있습니다.

디바이스 및 개체를 필터링할 때 검색 용어를 결합하여 몇 가지 잠재적 검색 전략을 생성하여 관련 결과를 찾을 수 있습니다.

다음 예제에서는 "문제(사용되었거나 일관성 없음)" 및 추가 값이 있는 공유 개체 및 네트워크 또는 서비스 유형의 개체 검색에 필터를 적용합니다.

동일한 SDC를 사용하여 CDO에 연결하는 모든 디바이스 찾기

동일한 SDC를 사용하여 CDO에 연결하는 모든 디바이스를 식별하려면 다음 절차를 수행합니다.

Procedure


Step 1

탐색 모음에서 Inventory(재고 목록)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

필터 기준이 이미 지정된 경우 Inventory(재고 목록) 테이블 상단에 있는 clear(지우기) 버튼을 클릭하여 CDO로 관리하는 모든 디바이스 및 서비스를 표시합니다.

Step 5

필터 버튼 을 클릭하여 필터 메뉴를 확장합니다.

Step 6

필터의 Secure Device Connectors(보안 디바이스 커넥터) 섹션에서 원하는 SDC의 이름을 확인합니다. Inventory(재고 목록) 테이블에는 필터에서 선택한 SDC를 통해 CDO에 연결하는 디바이스만 표시됩니다.

Step 7

(선택 사항) 필터 메뉴에서 추가 필터를 선택하여 검색을 더욱 구체화합니다.

Step 8

(선택 사항) 작업이 완료되면 Inventory(재고 목록) 테이블 상단에 있는 clear(지우기) 버튼을 클릭하여 CDO로 관리하는 모든 디바이스 및 서비스를 표시합니다.


디바이스 관리를 위한 CLI 매크로

CLI 매크로는 즉시 사용할 수 있는 완전한 형식의 CLI 명령이거나 실행 전에 수정할 수 있는 CLI 명령의 템플릿입니다. 모든 매크로는 하나 이상의 디바이스에서 동시에 실행할 수 있습니다.

여러 디바이스에서 동일한 명령을 동시에 실행하려면 템플릿과 유사한 CLI 매크로를 사용합니다. CLI 매크로는 디바이스 구성 및 관리의 일관성을 유지합니다. 완전한 형식의 CLI 매크로를 사용하여 디바이스에 대한 정보를 가져옵니다. 디바이스에서 즉시 사용할 수 있는 다양한 CLI 매크로가 있습니다.

자주 수행하는 작업을 모니터링하기 위해 CLI 매크로를 생성할 수 있습니다. 자세한 내용은 CLI 매크로 생성을 참조하십시오.

CLI 매크로는 시스템 정의 또는 사용자 정의입니다. 시스템 정의 매크로는 CDO에서 제공하며 편집하거나 삭제할 수 없습니다. 사용자 정의 매크로는 사용자가 생성하며 편집하거나 삭제할 수 있습니다.


Note


디바이스가 CDO에 온보딩된 후에만 디바이스에 대한 매크로를 생성할 수 있습니다.


ASA를 예로 들어 ASA 중 하나에서 특정 사용자를 찾으려면 다음 명령을 실행할 수 있습니다.

show running-config | grep username

명령을 실행할 때 사용자 이름을 검색할 사용자의 사용자 이름으로 대체합니다. 이 명령으로 매크로를 만들려면 동일한 명령을 사용하고 사용자 이름을 중괄호로 묶습니다.

매개변수의 이름은 원하는 대로 지정할 수 있습니다. 이 매개변수 이름을 사용하여 동일한 매크로를 생성할 수도 있습니다.

매개변수 이름은 설명적일 수 있으며 영숫자 문자와 밑줄을 사용해야 합니다. 이 경우 명령 구문은
show running-config | grep
명령의 일부이며 명령을 전송하는 디바이스에 대해 적절한 CLI 구문을 사용해야 합니다.

새 명령에서 CLI 매크로 생성

Procedure


Step 1

CLI 매크로를 생성하기 전에 CDO의 명령줄 인터페이스에서 명령을 테스트하여 명령 구문이 올바른지, 그리고 신뢰할 수 있는 결과를 반환하는지 확인합니다.

Note

 

Step 2

탐색 모음에서 Inventory(재고 목록)를 클릭합니다.

Step 3

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 4

적절한 디바이스 유형 탭을 클릭하고 온라인 및 동기화된 디바이스를 선택합니다.

Step 5

>_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

CLI 매크로 즐겨찾기 스타 를 클릭하여 이미 존재하는 매크로를 확인합니다.

Step 7

더하기 버튼 을 클릭합니다.

Step 8

매크로에 고유한 이름을 지정합니다. 원하는 경우 CLI 매크로에 대한 설명 및 참고 사항을 제공합니다.

Step 9

Command(명령) 필드에 전체 명령을 입력합니다.

Step 10

명령을 실행할 때 수정하려는 명령 부분을 중괄호로 묶인 매개변수 이름으로 교체합니다.

Step 11

Create(생성)를 클릭합니다. 생성한 매크로는 처음에 지정한 디바이스뿐만 아니라 해당 유형의 모든 디바이스에서 사용할 수 있습니다.

명령을 실행하려면 디바이스에서 CLI 매크로 실행을 참조하십시오.


CLI 기록 또는 기존 CLI 매크로에서 CLI 매크로 생성

이 절차에서는 이미 실행한 명령, 다른 사용자 정의 매크로 또는 시스템 정의 매크로에서 사용자 정의 매크로를 생성합니다.

프로시저


단계 1

탐색 모음에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

참고

 

CLI 기록에서 사용자 정의 매크로를 생성하려면 명령을 실행한 디바이스를 선택합니다. CLI 매크로는 동일한 계정의 디바이스 간에 공유되지만 CLI 기록은 공유되지 않습니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

적절한 디바이스 유형 탭을 클릭하고 온라인 및 동기화된 디바이스를 선택합니다.

단계 4

>_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

단계 5

CLI 매크로를 만들려는 명령을 찾아 선택합니다. 다음 방법 중 하나를 사용합니다.

  • 해당 디바이스에서 실행한 명령을 보려면 시계 를 클릭합니다. 매크로로 전환할 항목을 선택하면 명령 창에 명령이 나타납니다.

  • CLI 매크로 즐겨찾기 스타 를 클릭하여 이미 존재하는 매크로를 확인합니다. 변경할 사용자 정의 또는 시스템 정의 CLI 매크로를 선택합니다. 명령 창에 명령이 나타납니다.

단계 6

명령 창의 명령을 사용하여 CLI 매크로 금색 별 를 클릭합니다. 이 명령은 이제 새 CLI 매크로의 기본이 됩니다.

단계 7

매크로에 고유한 이름을 지정합니다. 원하는 경우 CLI 매크로에 대한 설명 및 참고 사항을 제공합니다.

단계 8

명령 필드에서 명령을 검토하고 원하는 대로 변경합니다.

단계 9

명령을 실행할 때 수정하려는 명령 부분을 중괄호로 묶인 매개변수 이름으로 교체합니다.

단계 10

Create(생성)를 클릭합니다. 생성한 매크로는 처음에 지정한 디바이스뿐만 아니라 해당 유형의 모든 디바이스에서 사용할 수 있습니다.

명령을 실행하려면 CLI 매크로 실행을 참조하십시오.


CLI 매크로 실행

Procedure


Step 1

내비게이션 바에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

적절한 디바이스 유형 탭을 클릭하고 하나 이상의 디바이스를 선택합니다.

Step 4

>_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 5

명령 패널에서 별표 를 클릭합니다.

Step 6

명령 패널에서 CLI 매크로를 선택합니다.

Step 7

다음 두 가지 방법 중 하나로 매크로를 실행합니다.

  • 매크로에 정의할 매개변수가 없는 경우 Send(전송)를 클릭합니다. 명령에 대한 응답이 응답 창에 나타납니다. 다 됐습니다.

  • 아래의 Configure DNS 매크로와 같은 매개변수가 매크로에 포함된 경우 >_ View Parameters(매개변수 보기)를 클릭합니다.

Step 8

Parameters(매개변수) 창의 Parameters(매개변수) 필드에 매개변수 값을 입력합니다.

Step 9

Send(보내기)를 클릭합니다. CDO가 성공적으로 명령을 전송하고 디바이스의 구성을 업데이트하면 완료됩니다!

Step 10

명령을 전송한 후 "일부 명령이 실행 중인 구성을 변경했을 수 있습니다."라는 메시지와 함께 두 개의 링크가 표시될 수 있습니다.

  • Write to Disk(디스크에 쓰기)를 클릭하면 이 명령의 변경 사항과 실행 중인 구성의 다른 모든 변경 사항이 디바이스의 시작 구성에 저장됩니다.

  • Dismiss(해제)를 클릭하면 메시지가 사라집니다.


CLI 매크로 편집

사용자 정의 CLI 매크로는 편집할 수 있지만 시스템 정의 매크로는 편집할 수 없습니다. CLI 매크로를 수정하면 모든 디바이스에 대해 변경됩니다. 매크로는 특정 디바이스에 한정되지 않습니다.

Procedure


Step 1

내비게이션 바에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

디바이스를 선택합니다.

Step 5

Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

편집할 사용자 정의 매크로를 선택합니다.

Step 7

매크로 레이블에서 편집 아이콘을 클릭합니다.

Step 8

Edit Macro(매크로 편집) 대화 상자에서 CLI 매크로를 편집합니다.

Step 9

Save(저장)를 클릭합니다.

CLI 매크로를 실행하는 방법에 대한 지침은 Run CLI Macros(CLI 매크로 실행)를 참조하십시오.


CLI 매크로 삭제

사용자 정의 CLI 매크로는 삭제할 수 있지만 시스템 정의 매크로는 삭제할 수 없습니다. CLI 매크로를 삭제하면 모든 디바이스에서 삭제됩니다. 매크로는 특정 디바이스에 한정되지 않습니다.

Procedure


Step 1

내비게이션 바에서 Devices & Services(디바이스 및 서비스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

디바이스를 선택합니다.

Step 5

>_Command Line Interface(명령줄 인터페이스)를 클릭합니다.

Step 6

삭제할 사용자 정의 CLI 매크로를 선택합니다.

Step 7

CLI 매크로 레이블에서 휴지통 아이콘 를 클릭합니다.

Step 8

CLI 매크로를 제거할지 확인합니다.


개체

개체는 하나 이상의 보안 정책에서 사용할 수 있는 정보의 컨테이너입니다. 개체를 사용하면 정책 일관성을 쉽게 유지할 수 있습니다. 단일 개체를 만들고 다른 정책을 사용하고 개체를 편집할 수 있으며 해당 변경 사항은 개체를 사용하는 모든 정책에 전파됩니다. 개체가 없는 경우 동일한 변경이 필요한 모든 정책을 개별적으로 편집해야 합니다.

디바이스를 온보딩하면, CDO는 해당 디바이스에서 사용하는 모든 개체를 인식하고, 저장한 다음, Objects(개체) 페이지에 나열합니다. Objects(개체) 페이지에서 기존 개체를 편집하고 보안 정책에 사용할 새 개체를 생성할 수 있습니다.

CDO은 여러 디바이스에서 사용되는 개체를 shared object(공유 개체)라고 부르고 Objects(개체) 페이지에서 이 배지 로 식별합니다.

때때로 공유 개체는 일부 "문제"를 발생시키고 더 이상 여러 정책 또는 디바이스에서 완벽하게 공유되지 않습니다.

  • Duplicate objects(중복 개체)는 이름은 다르지만 값은 같은 동일한 디바이스에 있는 두 개 이상의 개체입니다. 이러한 개체는 일반적으로 비슷한 용도로 사용되며 다른 정책에서 사용됩니다. 중복 개체는 다음 문제 아이콘 로 식별됩니다.

  • Inconsistent objects(일관성 없는 개체) 는 이름은 같지만 값이 다른 두 개 이상의 디바이스에 있는 개체입니다. 때로는 사용자가 동일한 이름과 콘텐츠로 다른 구성으로 개체를 생성하지만 시간이 지남에 따라 이러한 개체의 값이 달라져 불일치가 발생합니다. 일관성 없는 개체는 다음 문제 아이콘 로 식별됩니다.

  • 사용되지 않는 개체는 디바이스 구성에 존재하지만 다른 개체, 액세스 목록 또는 NAT 규칙에서 참조하지 않는 개체입니다. 사용되지 않는 개체는 다음 문제 아이콘 로 식별됩니다.

규칙 또는 정책에서 즉시 사용할 개체를 생성할 수도 있습니다. 규칙 또는 정책과 연결되지 않은 개체를 생성할 수 있습니다. 규칙이나 정책에서 연결되지 않은 개체를 사용하는 경우, CDO는 해당 개체의 복사본을 생성하고 해당 복사본을 사용합니다.

Objects(개체) 메뉴로 이동하거나 네트워크 정책의 세부 정보에서 확인하여 CDO에 의해 관리되는 개체를 볼 수 있습니다.

CDO은 한 위치에서 지원되는 디바이스 전체에 걸쳐 네트워크 및 서비스 개체를 관리할 수 있습니다. CDO에서는 다음과 같은 방법으로 개체를 관리할 수 있습니다.

  • 다양한 기준에 따라 모든 개체를 검색하고 모든 개체를 필터링합니다.

  • 디바이스에서 중복되거나, 사용되지 않거나, 일관성이 없는 개체를 찾고 이러한 개체 문제를 통합, 삭제 또는 해결하십시오.

  • 연결되지 않은 개체를 찾아 사용하지 않는 경우 삭제합니다.

  • 여러 디바이스에서 공통적인 공유 개체를 검색합니다.

  • 변경 사항을 커밋하기 전에 일련의 정책 및 디바이스에 대한 개체 변경 사항의 영향을 평가합니다.

  • 다양한 정책 및 디바이스와 개체 및 개체의 관계 집합을 비교합니다.

  • CDO에 온보딩된 후 디바이스에서 사용 중인 개체를 캡처합니다.

온보딩된 디바이스에서 개체를 생성, 편집 또는 읽는 데 문제가 있는 경우 자세한 내용은 문제 해결 Cisco Defense Orchestrator를 참조하십시오.

개체 유형

다음 표에서는 CDO를 사용하여 디바이스에 대해 생성하고 관리할 수 있는 개체에 대해 설명합니다.

공유 개체

CDO(Cisco Defense Orchestrator)는 이름과 콘텐츠가 동일한 여러 디바이스의 개체인 공유 개체를 호출합니다. 공유 개체는 이 아이콘으로 식별됩니다.
Objects(개체) 페이지에서 공유 개체를 사용하면 한 곳에서 개체를 수정할 수 있으며 변경 사항은 해당 개체를 사용하는 다른 모든 정책에 영향을 미치므로 정책을 쉽게 유지 관리할 수 있습니다. 공유 개체가 없으면 동일한 변경이 필요한 모든 정책을 개별적으로 수정해야 합니다.

공유 개체를 볼 때 CDO는 개체 테이블에 있는 개체의 내용을 표시합니다. 공유 개체는 정확히 동일한 내용을 갖습니다. CDO는 세부 정보 창에서 개체 요소의 결합된 보기 또는 "평평한" 보기를 보여줍니다. 세부 정보 창에서 네트워크 요소는 간단한 목록으로 병합되며 명명된 개체와 직접 연결되지 않습니다.

개체 재정의

개체 오버라이드를 사용하면 특정 디바이스에서 공유 네트워크 개체의 값을 오버라이드할 수 있습니다. CDO는 오버라이드를 구성할 때 지정한 디바이스에 해당하는 값을 사용합니다. 이름은 같지만 값이 다른 두 개 이상의 디바이스에 있는 개체에 대하여 CDO는 이러한 값이 오버라이드 되기 때문에 Inconsistent objects(일관성 없는 개체)로 식별하지 않습니다.

대부분의 디바이스에 대한 정의가 해당하는 개체를 생성하고 다른 정의가 필요한 일부 디바이스의 개체에 대한 특정 변경 사항을 지정하는 오버라이드를 사용할 수 있습니다. 모든 디바이스에 오버라이드가 필요한 개체를 생성할 수도 있습니다. 하지만 이 경우 모든 디바이스에 단일 정책을 생성할 수 있습니다. 개체 오버라이드는 필요한 경우 개별 디바이스의 정책을 바꾸지 않고도 디바이스 전반에 걸쳐 사용이 가능한 작은 공유 정책 집합을 생성하도록 합니다.

예를 들어 각 사무실에 .프린터 서버가 있고, 프린터 서버 개체인 print-server를 만든 시나리오를 생각해 보십시오. ACL에는 프린터 서버가 인터넷에 액세스하는 것을 거부하는 규칙이 있습니다. 프린터 서버 개체에는 한 사무실에서 다른 사무실로 변경하려는 기본값이 있습니다. 값이 다를 수 있지만 개체 오버라이드를 사용하고 규칙과 "프린터-서버" 개체를 모든 위치에서 일관되게 유지함으로써 이 작업을 수행할 수 있습니다.


Note


일관되지 않은 개체가 있는 경우 오버라이드를 통해 개체를 단일 공유 개체로 결합할 수 있습니다. 자세한 내용은 불일치 개체 문제 해결를 참조하십시오.


연결 해제된 개체

규칙 또는 정책에서 즉시 사용할 개체를 생성할 수 있습니다. 규칙이나 정책과 연결되지 않은 개체를 생성할 수도 있습니다. 규칙이나 정책에서 연결되지 않은 개체를 사용할 때, CDO는 해당 개체의 사본을 생성하고 해당 사본을 사용합니다. 연결되지 않은 원래 개체는 야간 유지 관리 작업에 의해 삭제되거나 사용자가 삭제할 때까지 사용 가능한 개체 목록에 남아 있습니다.

개체와 연결된 규칙 또는 정책이 실수로 삭제된 경우 모든 구성이 손실되지 않도록 연결되지 않은 개체는 사본으로 CDO에 남아 있습니다.

연결되지 않은 개체를 보려면 개체 탭의 왼쪽 창에서 를 클릭하고 Unassociated (연결되지 않음) 확인란을 선택합니다.

개체 비교

Procedure


Step 1

왼쪽의 CDO 탐색 바에서 Objects(개체)를 클릭하고 옵션을 선택합니다.

Step 2

페이지에서 개체를 필터링하여 비교하려는 개체를 찾습니다.

Step 3

Compare(비교) 버튼 를 클릭합니다.

Step 4

비교할 개체를 최대 3개까지 선택합니다.

Step 5

화면 하단에서 개체를 나란히 봅니다.

  • 개체 세부 정보 제목 표시줄에서 위쪽 및 아래쪽 화살표를 클릭하면 개체 세부 정보를 더 많이 또는 더 적게 볼 수 있습니다.

  • 세부 정보 및 관계 상자를 확장하거나 축소하여 더 많거나 적은 정보를 확인합니다.

Step 6

(선택 사항) 관계 상자는 개체가 사용되는 방식을 보여줍니다. 디바이스 또는 정책과 연결될 수 있습니다. 개체가 디바이스와 연결된 경우 디바이스 이름을 클릭한 다음 View Configuration(구성 보기)을 클릭하여 디바이스 구성을 볼 수 있습니다. CDO는 디바이스의 구성 파일을 표시하고 해당 개체에 대한 항목을 강조 표시합니다.


필터

Inventory(재고 목록)Objects(개체) 페이지에서 다양한 필터를 사용하여 원하는 디바이스 및 개체를 찾을 수 있습니다.

필터링하려면 Devices and Services(디바이스 및 서비스), Policies(정책) 및 Objects(개체) 탭의 왼쪽 창에서 을 클릭합니다.

Inventory(재고 목록) 필터를 사용하면 디바이스 유형, 하드웨어 및 소프트웨어 버전, snort 버전, 구성 상태, 연결 상태, 충돌 탐지, 보안 디바이스 커넥터 및 레이블을 기준으로 필터링할 수 있습니다. 필터를 적용하여 선택한 디바이스 유형 탭 내에서 디바이스를 찾을 수 있습니다. 필터를 사용하여 선택한 디바이스 유형 탭 내에서 디바이스를 찾을 수 있습니다.

개체 필터를 사용하면 디바이스, 문제 유형, 공유 개체, 연결되지 않은 개체 및 개체 유형을 기준으로 필터링할 수 있습니다. 결과에 시스템 개체를 포함하거나 포함하지 않을 수 있습니다. 또한 검색 필드를 사용하여 필터 결과에서 특정 이름, IP 주소 또는 포트 번호를 포함하는 개체를 검색할 수 있습니다.

디바이스 및 개체를 필터링할 때 검색 용어를 결합하여 몇 가지 잠재적 검색 전략을 생성하여 관련 결과를 찾을 수 있습니다.

다음 예제에서는 "문제(사용되었거나 일관성 없음)" 및 추가 값이 있는 공유 개체 및 네트워크 또는 서비스 유형의 개체 검색에 필터를 적용합니다.

개체 필터

필터링하려면 Objects(개체) 탭의 왼쪽 창에서 을(를) 클릭합니다.

  • All Objects(모든 개체) - 이 필터는 CDO에 온보딩된 모든 디바이스에서 사용 가능한 모든 개체를 제공합니다. 이 필터는 모든 개체를 찾아보거나 하위 필터를 검색하거나 추가로 적용하기 위한 시작점으로 유용합니다.

  • Shared Objects(공유 개체) - 이 빠른 필터는 CDO가 두 개 이상의 디바이스에서 공유하는 것으로 확인한 모든 개체를 표시합니다.

  • Objects By Device(디바이스별 개체) - 선택한 디바이스에 있는 개체를 볼 수 있도록 특정 디바이스를 선택할 수 있습니다.

하위 필터 – 각 기본 필터에는 선택 범위를 좁히기 위해 적용할 수 있는 하위 필터가 있습니다. 이러한 하위 필터는 네트워크, 서비스, 프로토콜 등의 개체 유형을 기반으로 합니다.

이 필터 표시줄에서 선택한 필터는 다음 기준과 일치하는 개체를 반환합니다.

* 두 디바이스 중 하나에 있는 개체. (디바이스를 지정하려면 Filter by Device(디바이스별 필터링)를 클릭합니다.) AND는

* 일치하지 않는 개체 AND는

* 네트워크 개체 또는 서비스 개체 AND

* 개체 명명 규칙에 "group"이라는 단어가 있습니다.

Show System Objects(시스템 개체 표시)를 선택했으므로 결과에 시스템 개체와 사용자 정의 개체가 모두 포함됩니다.

시스템 개체 필터 표시

일부 디바이스는 공통 서비스에 대해 사전 정의된 개체가 함께 제공됩니다. 이러한 시스템 개체는 이미 생성되어 규칙 및 정책에서 사용할 수 있으므로 편리합니다. 개체 테이블에는 여러 시스템 개체가 있을 수 있습니다. 시스템 개체는 편집하거나 삭제할 수 없습니다.

Show System Objects(시스템 개체 표시)는 기본적으로 꺼져 있습니다. 개체 테이블에 시스템 개체를 표시하려면 필터 표시줄에서 Show System Objects(시스템 개체 표시)를 선택합니다. 개체 테이블에서 시스템 개체를 숨기려면 필터 표시줄에서 Show System Objects(시스템 개체 표시)를 선택하지 않은 상태로 둡니다.

시스템 개체를 숨기면 검색 및 필터링 결과에 포함되지 않습니다. 시스템 개체를 표시하면 개체 검색 및 필터링 결과에 포함됩니다.

개체 필터 구성

원하는 만큼 기준을 필터링할 수 있습니다. 더 많은 범주를 필터링할수록 예상되는 결과는 줄어듭니다.

Procedure

Step 1

왼쪽의 CDO 탐색 바에서 Objects(개체)를 클릭하고 옵션을 선택합니다.

Step 2

페이지 상단의 필터 아이콘 을 클릭하여 필터 패널을 엽니다. 선택한 필터를 선택 취소하여 실수로 필터링된 개체가 없는지 확인합니다. 또한 검색 필드를 살펴보고 검색 필드에 입력되었을 수 있는 텍스트를 삭제합니다.

Step 3

특정 디바이스에 있는 것으로 결과를 제한하려면 다음을 수행합니다.

  1. Filter By Device(디바이스별 필터링)를 클릭합니다.

  2. 모든 디바이스를 검색하거나 디바이스 탭을 클릭하여 특정 종류의 디바이스만 검색합니다.

  3. 필터 기준에 포함할 디바이스를 선택합니다.

  4. OK(확인)를 클릭합니다.

Step 4

검색 결과에 시스템 개체를 포함하려면 Show System Objects(시스템 개체 표시)를 선택합니다. 검색 결과에서 시스템 개체를 제외하려면 Show System Objects(시스템 개체 표시)의 선택을 취소합니다.

Step 5

필터링할 개체 Issues(문제)를 선택합니다. 두 개 이상의 문제를 선택하면 선택한 범주의 개체가 필터 결과에 포함됩니다.

Step 6

문제가 있었지만 관리자가 무시한 개체를 확인하려면 Ignored(무시됨) 문제를 선택합니다.

Step 7

두 개 이상의 디바이스 간에 공유되는 개체를 필터링하는 경우 Shared Objects(공유 개체)에서 필수 필터를 선택합니다.

  • Default Values(기본값): 기본값만 있는 개체를 필터링합니다.

  • Override Values(값 재정의): 오버라이드된 값이 있는 개체를 필터링합니다.

  • Additional Values(추가 값): 추가 값이 있는 개체를 필터링합니다.

Step 8

규칙 또는 정책의 일부가 아닌 개체를 필터링하는 경우 Unassociated(연결되지 않음)를 선택합니다.

Step 9

필터링할 개체 유형을 선택합니다.

Step 10

Objects(개체) 검색 필드에 개체 이름, IP 주소 또는 포트 번호를 추가하여 필터링된 결과 중에서 검색 기준으로 개체를 찾을 수도 있습니다.


필터 기준에서 디바이스를 제외해야 하는 경우

필터링 기준에 디바이스를 추가하면 결과에 디바이스의 개체가 표시되지만 해당 개체와 다른 디바이스의 관계는 표시되지 않습니다. 예를 들어 ObjectA가 ASA1과 ASA2 간에 공유된다고 가정합니다. ASA1에서 공유 개체를 찾기 위해 개체를 필터링하는 경우 ObjectA를 찾을 수 있지만 Relationships(관계) 창에는 해당 개체가 ASA1에 있다는 것만 표시됩니다.

개체와 관련된 모든 디바이스를 보려면 검색 기준에 디바이스를 지정하지 마십시오. 다른 기준으로 필터링하고 원하는 경우 검색 기준을 추가하십시오. CDO가 식별하는 개체를 선택한 다음 관계 창을 살펴봅니다. 개체와 관련된 모든 디바이스 및 정책이 표시됩니다.

개체 무시

사용되지 않거나 중복되거나 일관성이 없는 개체를 해결하는 한 가지 방법은 해당 개체를 무시하는 것입니다. 개체가 사용되지 않거나 중복되거나 일관성이 없더라도 해당 상태에 대한 타당한 이유가 있다고 판단하고 개체 문제를 해결되지 않은 상태로 두도록 선택할 수 있습니다. 나중에 무시된 개체를 해결해야 할 수도 있습니다. CDO는 개체 문제를 검색할 때 무시된 개체를 표시하지 않으므로 무시된 개체에 대한 개체 목록을 필터링한 다음 결과에 따라 조치를 취해야 합니다.

Procedure


Step 1

왼쪽의 CDO 탐색 바에서 Objects(개체)를 클릭하고 옵션을 선택합니다.

Step 2

무시된 개체를 필터링하고 검색합니다.

Step 3

Object(개체) 테이블에서 무시를 취소할 개체를 선택합니다. 한 번에 하나의 개체를 무시 취소할 수 있습니다.

Step 4

세부 정보 창에서 Unignore(무시)를 클릭합니다.

Step 5

요청을 확인합니다. 이제 문제별로 개체를 필터링하면 이전에 무시되었던 개체를 찾아야 합니다.


개체 삭제

단일 개체 또는 여러 개체를 삭제할 수 있습니다.

단일 개체 삭제


Caution


클라우드 사용 Firewall Management Center가 테넌트에 구축된 경우:

페이지의 네트워크 개체 및 그룹에 대한 변경 사항은 Objects(개체) > Other FTD Objects(기타 FTD 개체) 페이지의 해당 클라우드 사용 Firewall Management Center 네트워크 개체 또는 그룹에 반영됩니다.

한 페이지에서 네트워크 개체 또는 그룹을 삭제하면 두 페이지 모두에서 개체 또는 그룹이 삭제됩니다.


Procedure

Step 1

왼쪽의 CDO 탐색 모음에서 Objects(개체)를 선택하고 옵션을 선택합니다.

Step 2

개체 필터와 검색 필드를 사용하여 삭제하려는 개체를 찾아 선택합니다.

Step 3

Relationships(관계) 창을 검토합니다. 개체가 정책 또는 개체 그룹에서 사용되는 경우 해당 정책 또는 그룹에서 개체를 제거할 때까지 개체를 삭제할 수 없습니다.

Step 4

작업 창에서 Remove(제거) 아이콘 를 클릭합니다.

Step 5

OK(확인)을 클릭하여 개체 삭제를 확인합니다.

Step 6

변경 사항을 Review and deploy(검토 및 배포)하거나, 한 번에 여러 변경 사항을 기다렸다가 배포합니다.


사용되지 않는 개체 그룹 삭제

디바이스를 온보딩하고 개체 문제를 해결하기 시작하면 사용하지 않는 개체를 많이 찾습니다. 한 번에 최대 50개의 사용하지 않는 개체를 삭제할 수 있습니다.

프로시저

단계 1

Issues(문제) 필터를 사용하여 미사용 개체를 찾습니다. 디바이스 필터를 사용하여 디바이스 없음을 선택하여 디바이스와 연결되지 않은 개체를 찾을 수도 있습니다. 개체 목록을 필터링하면 개체 확인란이 나타납니다.

단계 2

개체 테이블 머리글에서 Select all(모두 선택) 확인란을 선택하여 개체 테이블에 나타나는 필터에 의해 발견된 모든 개체를 선택합니다. 또는 삭제할 개별 개체에 대한 개별 확인란을 선택합니다.

단계 3

작업 창에서 Remove(제거) 아이콘 를 클릭합니다.

단계 4

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.


네트워크 개체

네트워크 개체는 호스트 이름, 네트워크 IP 주소, IP 주소의 범위, FQDN(인증된 도메인 이름) 또는 CIDR 표기법으로 표현된 서브 네트워크를 포함할 수 있습니다. 네트워크 그룹은 그룹에 추가하는 네트워크 개체 및 기타 개별 주소 또는 서브 네트워크의 모음입니다. 네트워크 개체 및 네트워크 그룹은 액세스 규칙, 네트워크 정책 및 NAT 규칙에서 사용됩니다. CDO를 사용하여 네트워크 개체 및 네트워크 그룹을 생성, 업데이트 및 삭제할 수 있습니다.

제품 간 네트워크 개체 재사용

클라우드 사용 Firewall Management Center가 포함된 Cisco Defense Orchestrator 테넌트가 있는 경우:

Secure Firewall Threat Defense, FDM 관리 위협 방어, ASA 또는 Meraki 네트워크 개체 또는 그룹을 생성하면 클라우드 사용 Firewall Management Center를 구성할 때 사용되는 Objects(개체) > Other FTD Objects(기타 FTD 개체) 페이지의 개체 목록에도 개체의 복사본이 추가되며, 그 반대의 경우도 마찬가지입니다.

한 페이지에서 네트워크 개체 또는 그룹에 대한 변경 사항은 두 페이지의 개체 또는 그룹 인스턴스에 적용됩니다. 한 페이지에서 개체를 삭제하면 다른 페이지에서도 개체의 해당 복사본이 삭제됩니다.

예외:

  • 클라우드 사용 Firewall Management Center에 대해 동일한 이름의 네트워크 개체가 이미 있는 경우 Secure Firewall Threat Defense, FDM 관리 위협 방어, ASA 또는 Meraki 네트워크 개체는 Cisco Defense OrchestratorObjects(개체) > Other FTD Objects(기타 FTD 개체) 페이지에서 복제되지 않습니다.

  • 온프레미스 Secure Firewall Management Center에서 관리하는 온보딩된 위협 방어 디바이스의 네트워크 개체 및 그룹은 Objects(개체) > Other FTD Objects(기타 FTD 개체) 페이지에 복제되지 않으며, 클라우드 사용 Firewall Management Center에서 사용할 수 없습니다.

    클라우드 사용 Firewall Management Center마이그레이션된 온프레미스 Secure Firewall Management Center 인스턴스의 경우, 네트워크 개체 및 그룹이 FTD 디바이스에 구축된 정책에서 사용되었다면 네트워크 개체 및 그룹이 CDO 개체 페이지에 복제됩니다.

  • CDO와 클라우드 사용 Firewall Management Center 간에 네트워크 개체 공유 는 새로운 테넌트에서 자동으로 활성화되지만 기존 테넌트에 대해서는 요청해야 합니다. 네트워크 개체를 클라우드 사용 Firewall Management Center와 공유하지 않는 경우 TAC에 문의하여 테넌트에서 기능을 활성화하십시오.

네트워크 개체 보기

CDO를 사용하여 생성한 네트워크 개체와 온보딩된 디바이스 구성에서 인식되는 CDO가 Objects(개체) 페이지에 표시됩니다. 개체 유형으로 레이블이 지정됩니다. 이렇게 하면 개체 유형으로 필터링하여 원하는 개체를 빠르게 찾을 수 있습니다.

Objects(개체) 페이지에서 네트워크 개체를 선택하면 Details(세부 정보) 창에 개체의 값이 표시됩니다. Relationships(관계) 창에는 개체가 정책에서 사용되는지 여부와 개체가 저장된 디바이스가 표시됩니다.

네트워크 그룹을 클릭하면 해당 그룹의 콘텐츠가 표시됩니다. 네트워크 그룹은 네트워크 개체에 의해 제공되는 모든 값의 복합물입니다.

AWS 보안 그룹 및 클라우드 보안 그룹 개체

AWS 보안 그룹과 클라우드 보안 그룹 개체 간의 관계

AWS(Amazon Web Services) 콘솔의 보안 그룹은 보안 그룹에 포함된 인스턴스 및 기타 엔터티에 대한 가상 방화벽 역할을 하는 규칙 모음입니다. 보안 그룹은 다른 보안 그룹, 포트, 포트 범위, IPV4 또는 IPV6 주소, 서브넷 및 로드 밸런서와 연결할 수 있습니다.

AWS VPC를 CDO에 온보딩할 때 AWS 보안 그룹은 CDO 클라우드 보안 그룹 개체로 변환됩니다. AWS 콘솔은 둘 이상의 소스, 대상 또는 포트/포트 범위를 포함하는 규칙을 지원하지 않습니다. CDO의 단일 규칙 내에서 둘 이상의 소스, 대상 또는 포트/포트 범위를 정의하고 구축하는 경우, CDO는 AWS VPC에 구축하기 전에 규칙을 별도의 규칙으로 변환합니다. 예를 들어 하나의 보안 그룹 "A"에서 다른 보안 그룹 "B" 및 IPv6 주소로의 트래픽을 허용하는 아웃바운드 규칙을 CDO에서 생성하는 경우 CDO는 이를 두 개의 개별 규칙으로 AWS에 구축합니다. 보안 그룹 개체 A에서 보안 그룹 개체 B 및 (2)로의 트래픽을 차단하여 보안 그룹 개체 A에서 IPv6 주소로의 아웃 바운드 트래픽을 허용합니다.

보안 그룹은 개별 AWS VPC와 연결되며 디바이스 유형 간에 공유할 수 없습니다. 즉, 클라우드 보안 그룹 개체를 ASA, FTD, IOS, SSH 또는 Meraki 디바이스와 공유할 수 없습니다.

AWS와 기타 관리 디바이스 간 개체 공유

서비스 개체

프로토콜 개체

프로토콜 개체는 덜 일반적으로 사용되는 또는 레거시 프로토콜을 포함하는 서비스 개체 유형입니다. 프로토콜 개체는 이름 및 프로토콜 번호로 식별됩니다. CDO는 ASA 및 Firepower(FDM 관리) 구성에서 이러한 개체를 인식하고 사용자가 쉽게 찾을 수 있도록 자체 필터인 "프로토콜"을 제공합니다.

ICMP 개체

ICMP(Internet Control Message Protocol) 개체는 ICMP 및 IPv6-ICMP 메시지를 위한 서비스 개체입니다. CDO는 ASA 및 Firepower 구성에서 해당 디바이스가 온보딩되고 사용자가 개체를 쉽게 찾을 수 있도록 해당 디바이스에 "ICMP" 필터를 제공할 때 이러한 개체를 인식합니다.

CDO를 사용하면 ASA 구성에서 ICMP 개체를 제거하거나 이름을 바꿀 수 있습니다. CDO를 사용하여 Firepower 구성에서 ICMP 및 ICMPv6 개체를 생성, 업데이트 및 삭제할 수 있습니다.


Note


ICMPv6 프로토콜의 경우 AWS는 특정 인수 선택을 지원하지 않습니다. 모든 ICMPv6 메시지를 허용하는 규칙만 지원됩니다.