Security Cloud Control에 디바이스 온보딩

라이브 디바이스와 모델 디바이스를 모두 Security Cloud Control에 온보딩할 수 있습니다. 모델 디바이스는 Security Cloud Control를 사용하여 보고 편집할 수 있는 업로드된 구성 파일입니다.

대부분의 라이브 디바이스 및 서비스는 Secure Device Connector가 Security Cloud Control를 디바이스 또는 서비스에 연결할 수 있도록 개방형 HTTPS 연결을 필요로 합니다.

이 장에는 다음 섹션이 포함되어 있습니다.

Secure Device Connector

Secure Device Connector(SDC)는 Cisco 디바이스가 Security Cloud Control와 통신하도록 허용하는 인텔리전트 프록시입니다. 디바이스 자격 증명을 사용하여 인터넷을 통해 직접 연결할 수 없는 디바이스를 Security Cloud Control에 온보딩하는 경우, 네트워크에서 SDC를 구축하여 디바이스와 Security Cloud Control 간의 통신을 프록시할 수 있습니다. 아니면 원하는 경우 Security Cloud Control에서 외부 인터페이스를 통해 직접 통신을 수신하도록 디바이스를 활성화할 수 있습니다.

ASA(Adaptive Security Appliances), Meraki MXs, Secure Firewall Management Center 디바이스, 일반 SSH 및 iOS 디바이스는 모두 SDC를 사용하여 Security Cloud Control에 온보딩할 수 있습니다. 클라우드 제공 Firewall Management Center 에서 관리하는 Secure Firewall Threat Defense 디바이스는 SDC를 사용한 온보딩이 필요하지 않으며, 프록시를 통한 온보딩을 지원하지 않습니다. 위협 방어 디바이스에 클라우드 제공 Firewall Management Center에 연결하기 위한 적절한 DNS 설정 및 아웃바운드 인터넷 연결성이 있는지 확인합니다. 자세한 내용은 온보딩 개요를 참조하십시오.


참고

Secure Device Connector 및 Secure Event Connector를 생성하려면 슈퍼 관리자 사용자 역할이 필요합니다.

SDC는 매니지드 디바이스에서 실행해야 하는 명령과 매니지드 디바이스로 전송해야 하는 메시지에 대해 Security Cloud Control를 모니터링합니다. SDC는 Security Cloud Control를 대신하여 명령을 실행하고, 매니지드 디바이스를 대신하여 Security Cloud Control에 메시지를 전송하고, 매니지드 디바이스에서 Security Cloud Control로 응답을 반환합니다.

SDC은 AES-128-GCM over HTTPS(TLS 1.3)를 사용하여 서명 및 암호화된 보안 통신 메시지를 통해 Security Cloud Control와 통신합니다. 온보딩된 디바이스 및 서비스에 대한 모든 자격 증명은 브라우저에서 SDC로 직접 암호화되며, AES-128-GCM을 사용하여 저장 상태에서도 암호화됩니다. SDC만 디바이스 자격 증명에 액세스할 수 있습니다. 다른 Security Cloud Control 서비스는 자격 증명에 액세스할 수 없습니다.

SDCSecurity Cloud Control 간의 통신을 허용하는 방법에 대한 자세한 내용은 매니지드 디바이스에 Security Cloud Control 연결의 내용을 참조하십시오.

SDC는 모든 Ubuntu 인스턴스에 설치할 수 있습니다. 편의를 위해 SDC CLI가 사전 설치되어 있는 강화된 Ubuntu 22 인스턴스용 OVA를 제공합니다. CLI는 가상 머신을 구성하고, 필요한 모든 시스템 패키지를 설치하며, 호스트에서 SDC를 Docker 컨테이너로 부트스트랩하는 데 도움이 됩니다. 또는 자체 Ubuntu 인스턴스(현재 테스트 중인 버전 20~24)를 롤링하고 CLI를 별도로 다운로드할 수도 있습니다.

Security Cloud Control 테넌트에는 무제한의 SDC가 있을 수 있습니다. 이러한 SDC는 테넌트 간에 공유되지 않으며 단일 테넌트 전용입니다. 단일 SDC에서 관리할 수 있는 디바이스의 수는 해당 디바이스에 구현된 기능 및 해당 구성 파일의 크기에 따라 달라집니다. 그러나 구축을 계획할 때는 1개의 SDC가 약 500개의 디바이스를 지원할 것으로 예상합니다.

테넌트에 대해 둘 이상의 SDC를 구축하면 다음과 같은 이점도 제공됩니다.

  • 성능 저하 없이 Security Cloud Control 테넌트로 더 많은 디바이스를 관리할 수 있습니다.

  • 네트워크 내의 격리된 네트워크 세그먼트에 SDC를 구축하고 동일한 Security Cloud Control 테넌트로 해당 세그먼트의 디바이스를 계속 관리할 수 있습니다. 여러 SDC이 없으면 서로 다른 Security Cloud Control 테넌트를 사용하여 격리된 네트워크 세그먼트에서 디바이스를 관리해야 합니다.

단일 호스트에서 여러 SDC를 실행할 수 있으며, 실행하려는 각 SDC에 대해 부트스트랩 절차를 따르십시오. 테넌트의 초기 SDC는 테넌트의 이름과 숫자 1을 통합하며 Security Cloud ControlServices(서비스) 페이지에 있는 Secure Connectors(보안 커넥터) 탭에 표시됩니다. 각 추가 SDC는 순서대로 번호가 매겨집니다.

자세한 내용은 Secure Device Connector 및 Secure Event Connector 실행을 위한 VM 구축을 참조하십시오.

매니지드 디바이스에 Security Cloud Control 연결

Security Cloud Control는 클라우드 커넥터 또는 SDC(Secure Device Connector)를 통해 관리하는 디바이스에 연결합니다.

인터넷에서 디바이스에 직접 액세스할 수 있는 경우 클라우드 커넥터를 사용하여 디바이스에 연결해야 합니다. 디바이스를 구성할 수 있는 경우 클라우드 지역의 Security Cloud Control IP 주소에서 포트 443에 대한 인바운드 액세스를 허용합니다.

인터넷에서 디바이스에 액세스할 수 없는 경우 Security Cloud Control가 디바이스와 통신할 수 있도록 네트워크에 온프레미스 SDC를 구축할 수 있습니다.

포트 443(또는 디바이스 관리를 위해 구성한 포트)에서 디바이스 서브넷/IP의 전체 인바운드 액세스를 허용하도록 디바이스를 구성합니다.

FDM 관리 디바이스는 인터넷에서 직접 액세스할 수 있는지 여부에 따라 디바이스 자격 증명, 등록 키 또는 일련 번호를 사용하여 Security Cloud Control에 온보딩할 수 있습니다. FDM 관리 디바이스가 인터넷에 직접 액세스할 수 없는 네트워크에 상주하는 경우, 디바이스의 일부로 제공되는 보안 서비스 익스체인지 커넥터는 보안 서비스 익스체인지 클라우드에 연결하여 FDM 관리 디바이스를 온보딩할 수 있습니다.

다음을 온보딩하려면 네트워크에 온프레미스 SDC가 필요합니다.

  • 클라우드에서 액세스할 수 없는 FDM 관리 디바이스 및 자격 증명 온보딩 방법이 사용됩니다.

다른 모든 디바이스와 서비스는 Security Cloud Control이 클라우드 커넥터를 사용하여 연결하므로 온프레미스 SDC가 필요하지 않습니다. 인바운드 액세스를 허용해야 하는 IP 주소를 확인하려면 다음 섹션을 참조하십시오.

클라우드 커넥터를 통해 디바이스를 Security Cloud Control에 연결

클라우드 커넥터를 통해 Security Cloud Control를 디바이스에 직접 연결할 때는 EMEA, 미국 또는 APJ 지역의 다양한 IP 주소에 대해 포트 443(또는 디바이스 관리를 위해 구성한 모든 포트)에서 인바운드 액세스를 허용해야 합니다.

AJP(Asia-Pacific-Japan) 고객이고, https://apj.manage.security.cisco.com에서 Security Cloud Control에 연결하는 경우 다음 IP 주소에서 인바운드 액세스를 허용합니다.

  • 54.199.195.111

  • 52.199.243.0

Australia(호주) (AUS) 지역의 고객이고, https://aus.manage.security.cisco.com에서 Security Cloud Control에 연결하는 경우 다음 IP 주소에서 인바운드 액세스를 허용합니다.

  • 13.55.73.159

  • 13.238.226.118

유럽, 중동 또는 아프리카(EMEA) 지역의 고객이 https://eu.manage.security.cisco.com에서 Security Cloud Control에 연결하는 경우 다음 IP 주소에서의 인바운드 액세스를 허용합니다.

  • 35.157.12.126

  • 35.157.12.15

India(인도) (IN) 지역의 고객이고, https://in.manage.security.cisco.com에서 Security Cloud Control에 연결하는 경우 다음 IP 주소에서 인바운드 액세스를 허용합니다.

  • 35.154.115.175

  • 13.201.213.99

US 지역의 고객이고, https://us.manage.security.cisco.com에서 Security Cloud Control에 연결하는 경우, 다음 IP 주소에서 인바운드 액세스를 허용합니다.

  • 52.34.234.2

  • 52.36.70.147

SDC에 Security Cloud Control 연결

SDC를 통해 Security Cloud Control를 디바이스에 연결할 때 Security Cloud Control에서 관리하려는 디바이스는 포트 443(또는 디바이스 관리를 위해 구성한 포트)에서 SDC 호스트의 전체 인바운드 액세스를 허용해야 합니다. 이는 관리 액세스 제어 규칙을 사용하여 구성됩니다.

또한 SDC가 구축된 가상 머신이 매니지드 디바이스의 관리 인터페이스에 네트워크로 연결되어 있는지 확인해야 합니다.

Secure Device Connector 및 Secure Event Connector 실행을 위한 VM 구축

디바이스 자격 증명을 사용하여 Security Cloud Control를 디바이스에 연결하는 경우 네트워크에 SDC를 다운로드하고 구축하여 Security Cloud Control와 디바이스 간의 통신을 관리하는 것이 가장 좋습니다. 일반적으로 이러한 디바이스는 경계를 기반으로 하지 않으며 공용 IP 주소가 없거나 외부 인터페이스에 대한 개방형 포트가 있습니다.

SDC는 매니지드 디바이스에서 실행해야 하는 명령과 매니지드 디바이스로 전송해야 하는 메시지에 대해 Security Cloud Control를 모니터링합니다. SDC는 Security Cloud Control를 대신하여 명령을 실행하고, 매니지드 디바이스를 대신하여 Security Cloud Control에 메시지를 전송하고, 매니지드 디바이스에서 Security Cloud Control로 응답을 반환합니다.

단일 SDC에서 관리할 수 있는 디바이스의 수는 해당 디바이스에 구현된 기능 및 해당 구성 파일의 크기에 따라 달라집니다. 그러나 구축을 계획할 때는 1개의 SDC가 약 500개의 디바이스를 지원할 것으로 예상합니다. 자세한 정보는 단일 Security Cloud Control 테넌트에서 여러 SDC 사용을 참조하십시오.

이 절차에서는 Security Cloud Control의 VM 이미지를 사용하여 네트워크에 SDC를 설치하는 방법을 설명합니다. 이는 SDC를 생성하는 권장 방법입니다.

시작하기 전에

  • Security Cloud Control는 엄격한 인증서 확인이 필요하며 SDC(Secure Device Connector)와 인터넷 간의 웹 또는 콘텐츠 프록시 검사를 지원하지 않습니다. 프록시 서버를 사용하는 경우 SDC와 Security Cloud Control 간의 트래픽 검사를 비활성화합니다.

  • SDC는 TCP 포트 443 또는 디바이스 관리를 위해 구성한 포트에서 인터넷에 대한 전체 아웃바운드 액세스 권한을 가져야 합니다.

  • Security Cloud Control에서 관리하는 디바이스는 SDC VM의 IP 주소로부터의 인바운드 트래픽을 허용해야 합니다.

  • 매니지드 디바이스에 Security Cloud Control 연결를 Secure Device Connector에 연결을 검토하여 적절한 네트워크 액세스를 확인합니다.

  • 네트워크에서 프록시를 사용하는 경우, 호스트 설정 명령을 실행하기 전에 필요한 모든 세부 정보를 준비합니다. 문제는 잘못된 프록시 설정과 관련이 있습니다. 중요한 세부 정보:

    • IP/호스트 이름.

    • 프록시가 트래픽을 가로채고 자체 인증서를 사용하여 다시 암호화하는지 여부. 이 세부 정보 때문에 SDC VM 설정과 관련된 대부분의 복잡성이 발생합니다.

      • 프록시가 트래픽을 가로채는 경우, VM 구성 시 루트 인증서를 준비하십시오. 메시지가 표시되면 붙여넣어 호스트 및 SDC가 프록시에서 생성한 인증서를 신뢰함을 알 수 있도록 할 수 있습니다.

      • 프록시가 트래픽을 가로채지 않는다면, 여기에 추가로 필요한 것은 없습니다.

    • 다음 항목들은 프록시된 HTTP 및 HTTPS 연결에서 동일할 가능성이 가장 높습니다. 그러나 각 프로토콜마다 다른 프록시를 사용하는 경우, 각각에 대해 다음의 모든 것이 필요합니다.

      • 프록시 IP 주소

      • 사용하는 프록시 포트

      • 프록시 자체에 대한 연결이 HTTPS를 통해 이루어져야 하는지 여부(일반적으로 해당되지 않음). 예를 들어 프록시 주소가 https://proxy.corp.com:80로 나열되어 있으면 Yes로 응답합니다. 나열된 주소가 http://proxy.corp.com:80라면 No로 답해야 합니다. 두 URL 모두 포트 80을 사용하지만 프로토콜이 다르다는 점에 유의합니다.

      • 프록시 인증 세부 정보:

        • 프록시가 인증을 요구하는지 여부(대부분은 요구하지 않음)

        • Yes라면 호스트를 구성할 때 사용할 수 있는 사용자 이름과 비밀번호가 필요합니다.

지원되는 설치

  • Security Cloud Control는 vSphere 웹 클라이언트 또는 ESXi 웹 클라이언트를 사용하여 SDC VM OVF 이미지 설치를 지원합니다.

  • Security Cloud Control는 vSphere 데스크톱 클라이언트를 사용한 SDC VM OVF 이미지 설치를 지원하지 않습니다.

  • Security Cloud Control에서는 자체 Ubuntu 인스턴스에 SDC 설치를 지원합니다. 현재 버전 20LTS부터 24LTS까지 지원됩니다.

  • ESXi 5.1 하이퍼바이저.

시스템 요구 사항

  • 하나의 SDC를 가진 VM의 시스템 요구 사항:

    • vCPU 2개

    • 2GB 메모리

    • 64GB의 디스크 공간

  • 호스트에 추가하는 각 SDC에는 vCPU 1개 및 1GB RAM이 필요합니다.

  • Cisco Security Analytics 및 로깅에 사용되는 구성 요소인 SEC 하나를 탑재한 VM의 시스템 요구 사항:

    • vCPU 최소 4개

    • 8GB 메모리

  • 호스트에 SEC를 추가할 때마다 해당 리소스를 두 배로 늘려야 합니다. 따라서 VMware ESXi 호스트에 SDC 1개와 SEC 1개를 구성할 경우 요구 사항은 다음과 같습니다.

    • vCPU 6개

    • 10GB 메모리

    • 64GB의 디스크 공간

설치 준비

  • 호스트에서 네트워킹을 수동으로 구성하려면 다음 정보를 수집합니다.

    • SDC에 사용할 고정 IP 주소

    • cdo사용자(또는 sudo 액세스 권한이 있는 사용자) 및 'sdc' 사용자(Docker를 실행하는 사용자)에 사용할 비밀번호

    • 조직에서 사용하는 DNS 서버의 IP 주소

    • SDC 주소가 있는 네트워크의 게이트웨이 IP 주소

    • 시간/NTP 서버의 FQDN 또는 IP 주소.

  • SDC 가상 머신은 보안 패치를 정기적으로 설치하도록 구성되며, 이를 위해서는 포트 80 아웃바운드를 열어야 합니다.

    네트워크에서 아웃바운드 연결에 허용/차단 목록을 사용하는 경우, 보안 업데이트를 적용할 수 있도록 ubuntu.com에 대한 연결을 허용해야 합니다.


    참고

    우분투는 체크섬으로 업데이트를 보호하며 HTTPS가 아닌 HTTP만 사용합니다. 보안 업데이트를 받으려면 ubuntu.com에 대한 HTTP 연결을 허용해야 합니다.

VM 구축

SDC 및 SEC를 실행하는 데 사용되는 VM을 구축하는 방법에는 두 가지 옵션이 있습니다.

  1. 아래 단계에 따라 Security Cloud Control에서 제공하는 VMware 이미지를 다운로드합니다.

  2. Ubuntu 20, 22 또는 24를 직접 구축. 자체 Ubuntu 인스턴스를 구축하는 경우, 다음 섹션을 건너뛰고 VM 구성 섹션으로 진행할 수 있습니다.

절차

  1. 왼쪽 창에서 Administration(관리) > Integration(통합) > Secure Connectors(보안 커넥터)를 클릭합니다.

  2. Services(서비스) 페이지에서 Secure Connectors(보안 커넥터) 탭을 선택하고 파란색 플러스 버튼을 클릭한 후 Secure Device Connector(보안 디바이스 커넥터)를 선택합니다.

  3. Download the SDC VM image(SDC VM 이미지 다운로드)를 클릭합니다. 새 탭에서 열립니다.

  4. .zip 파일의 모든 파일을 추출합니다. 다음과 같이 표시됩니다.

    • CDO-SDC-VM-ddd50fa.ovf

    • CDO-SDC-VM-ddd50fa.mf

    • CDO-SDC-VM-ddd50fa-disk1.vmdk

  5. vSphere 웹 클라이언트를 사용하여 VMware 서버에 관리자로 로그인합니다.


    참고

    ESXi 웹 클라이언트를 사용하지 마십시오.

    지시에 따라 OVF 템플릿에서 Secure Device Connector 가상 머신을 구축합니다.

  6. 설정이 완료되면 SDC VM의 전원을 켭니다.

  7. 새 SDC VM의 콘솔을 엽니다.

  8. cdo 사용자 이름으로 로그인합니다. 기본 암호는 adm123입니다.

VM 구성

이제 구축한 VM 이미지의 콘솔을 가져올 수 있으며, 직접 VM을 구축하고 SSH를 활성화한 경우에는 SSH를 통해 접속할 수도 있습니다. SDC 또는 SEC Docker 컨테이너를 실행할 수 있도록 호스트를 준비하려면 구성 스크립트를 실행해야 합니다.

  1. Security Cloud Control 제공 VM을 다운로드한 경우, CLI가 이미 설치되어 있으며 2단계로 진행할 수 있습니다. 자체 VM을 구축한 경우 SSH로 연결하고 명령을 실행하여 CLI를 설치합니다. 

    curl -O https://s3.us-west-2.amazonaws.com/download.defenseorchestrator.com/sdc-cli/sdc-cli-package-latest.tgz && tar -xvf sdc-cli-package-latest.tgz && chmod +x ./install.sh && ./install.sh

  2. 다음 명령어를 실행하여 호스트 구성을 시작합니다.

    sudo sdc host configure

  3. 비밀번호가 표시되면 Security Cloud Control 제공 VM의 경우 adm123을 입력하거나 자체 VM에 대해 선택한 관리자 비밀번호를 입력합니다.

  4. 프롬프트에 따라 sdc 사용자를 구성합니다.

  5. 네트워크 구성에 대한 프롬프트가 표시되면 다음 중 하나를 선택합니다.

    • 이 호스트에 정적 IP를 수동으로 구성: 이 호스트의 IP, 게이트웨이, DNS 서버 등을 지정하고 VM의 시스템 구성에 기록하려는 경우.

    • DHCP: VM에 고정 IP를 할당하는 DHCP 서버가 있는 경우.

    • 정적 IP는 이미 설정되어 있으며, 현재 네트워크 설정을 변경하고 싶지 않습니다.

  6. 프록시 구성에 관한 질문이 표시되면 답변합니다. 이 주제의 상단에 있는 상세 목록을 검토하여 모든 필수 조건 및 잠재적인 프록시 구성 옵션을 확인합니다.

  7. 프록시를 구성한 경우, 모든 프록시 설정을 적용하려면 VM을 재부팅하라는 메시지가 표시됩니다. 그렇지 않은 경우 재부팅을 요청받지 않으며 8단계로 진행할 수 있습니다.

  8. 사용자 지정 인터넷 접속 테스트 URL 설정. 기본적으로 모든 아웃바운드 연결을 차단하는 경우에만 이 작업을 수행하면 됩니다. 해당 사항이 있다면, 허용 목록에 포함된 공개적으로 접근 가능한 웹 URL(예: https://google.com)을 지정합니다.

  9. 최신 보안 패치를 설치합니다. 일부는 운영체제 도구와 Docker 서버가 필요합니다.

  10. 프롬프트가 표시되면, 스크립트가 SSH 구성을 강화하도록 할 것인지 여부를 선택합니다.

    VM을 사용하는 경우 계속 진행합니다. 자체 VM을 사용하고 SSH를 직접 구성하는 경우 현재 구성이 변경되지 않도록 이 단계를 건너뛸 수 있습니다.

  11. SDC 또는 SEC 및 CLI 자체에 대한 자동 업데이트를 활성화하라는 메시지가 표시되면, 이 작업을 수행하여 버그 수정, 패치 및 새로운 기능을 최신 상태로 유지하는 것이 좋습니다. 정책으로 인해 자동 업데이트를 허용할 수 없는 경우에는 Secure Device Connector 업데이트를참조하십시오.

VM에 Secure Device Connector 구축

디바이스 자격 증명을 사용하여 Security Cloud Control를 디바이스에 연결하는 경우, 네트워크에서 SDC(Secure Device Connector)를 다운로드하고 구축하여 Security Cloud Control와 디바이스 간의 통신을 관리하는 것이 모범 사례입니다. 일반적으로 이러한 디바이스는 경계를 기반으로 하지 않으며 공용 IP 주소가 없거나 외부 인터페이스에 대한 개방형 포트가 있습니다. ASA(Adaptive Security Appliance), FDM 관리 디바이스, FMC(Firepower Management Center) 디바이스는 모두 디바이스 자격 증명을 사용하여 Security Cloud Control에 온보딩할 수 있습니다.

SDC는 매니지드 디바이스에서 실행해야 하는 명령과 매니지드 디바이스로 전송해야 하는 메시지에 대해 Security Cloud Control를 모니터링합니다. SDC는 Security Cloud Control를 대신하여 명령을 실행하고, 매니지드 디바이스를 대신하여 Security Cloud Control에 메시지를 전송하고, 매니지드 디바이스에서 Security Cloud Control로 응답을 반환합니다.

단일 SDC에서 관리할 수 있는 디바이스의 수는 해당 디바이스에 구현된 기능 및 해당 구성 파일의 크기에 따라 달라집니다. 그러나 구축을 계획할 때는 1개의 SDC가 약 500개의 디바이스를 지원할 것으로 예상합니다. 자세한 내용은 단일 Security Cloud Control 테넌트에서 여러 SDC 사용를 참조하십시오.

이 절차에서는 자체 가상 머신 이미지를 사용하여 네트워크에 SDC를 설치하는 방법을 설명합니다.


참고

SDC를 설치하는 가장 쉽고 신뢰할 수 있는 방법은 Security Cloud Control의 SDC OVA 이미지를 다운로드하여 설치하는 것입니다.

시작하기 전에

  • Security Cloud Control는 엄격한 인증서 확인이 필요하며 SDC와 인터넷 간의 웹/콘텐츠 프록시를 지원하지 않습니다.

  • SDC가 Security Cloud Control와 통신하려면 TCP 포트 443에서 인터넷에 대한 전체 아웃바운드 액세스 권한이 있어야 합니다.

  • SDC를 통해 Security Cloud Control에 접속하는 디바이스는 포트 443에서 SDC로부터의 인바운드 액세스를 허용해야 합니다.

  • 네트워킹 지침은 Secure Device Connector를 사용하여 Security Cloud Control에 연결을 검토하십시오.

  • vCenter 웹 클라이언트 또는 ESXi 웹 클라이언트와 함께 설치된 VMware ESXi 호스트


    참고

    vSphere 데스크톱 클라이언트를 사용한 설치는 지원되지 않습니다.

  • ESXi 5.1 하이퍼바이저.

  • Ubuntu 22.04 및 Ubuntu 24.04 운영 체제.

  • SDC만 있는 VM의 시스템 요구 사항:

    • VMware ESXi 호스트에는 CPU 2개가 필요합니다.

    • VMware ESXi 호스트에는 최소 2GB의 메모리가 필요합니다.

    • VMware ESXi에는 프로비저닝 선택에 따라 가상 머신을 지원하기 위해 64GB의 디스크 공간이 필요합니다. 이 값은 필요에 따라 필요한 디스크 공간을 확장할 수 있도록 파티션과 함께 LVM(논리적 볼륨 관리)을 사용한다고 가정합니다.

  • 테넌트용 SDC 및 단일 SEC(Secure Event Connector)가 있는 VM의 시스템 요구 사항. (SEC는 Cisco Security Analytics and Logging에서 사용되는 구성 요소입니다.)

    VMware ESXi 호스트에 추가하는 각 SEC에는 4개의 CPU와 8GB의 추가 메모리가 필요합니다.

    따라서 하나의 SDC와 하나의 SEC가 있는 VMware ESXi 호스트에 대한 요구 사항은 다음과 같습니다.

    • VMware ESXi 호스트에는 vCPU 6개가 필요합니다.

    • VMware ESXi 호스트에는 최소 10GB의 메모리가 필요합니다.

    • VMware ESXi에는 프로비저닝 선택에 따라 가상 머신을 지원하기 위해 64GB의 디스크 공간이 필요합니다.

  • VM의 CPU와 메모리를 업데이트한 후 VM의 전원을 켜고 Secure Connector(보안 커넥터) 페이지에 SDC가 "Active(활성)" 상태로 표시되는지 확인합니다.

  • 이 절차를 수행하는 사용자는 Linux 환경에서 작업하고 파일 편집을 위해 vi 시각적 편집기를 사용하는 데 익숙해야 합니다.

  • CentOS 가상 머신에 온프레미스 SDC를 설치하는 경우 정기적으로 Yum 보안 패치를 설치하는 것이 좋습니다. Yum 구성에 따라 Yum 업데이트를 가져오려면 포트 80 및 443에서 아웃바운드 액세스를 열어야 할 수 있습니다. 또한 업데이트를 예약하려면 yum-cron 또는 crontab을 구성해야 합니다. 보안 운영 팀과 함께 Yum 업데이트를 받기 위해 변경해야 하는 보안 정책이 있는지 확인합니다.


참고

시작하기 전에: 절차의 명령을 복사하여 터미널 창에 붙여넣지 말고 대신 입력하십시오. 일부 명령에는 "n-대시"가 포함되며, 잘라내기 및 붙여넣기 프로세스에서 이러한 명령은 "m-대시"로 적용되어 명령이 실패할 수 있습니다.

프로시저

단계 1

SDC를 생성할 Security Cloud Control 테넌트에 로그인합니다.

단계 2

왼쪽 창에서 Administration(관리) > Integration(통합) > Secure Connectors(보안 커넥터)를 클릭합니다.

단계 3

Services(서비스) 페이지에서 Secure Connectors(보안 커넥터) 탭을 선택하고 파란색 플러스 버튼을 클릭한 후 Secure Device Connector(보안 디바이스 커넥터)를 선택합니다.

단계 4

창의 2단계에서 부트스트랩 데이터를 메모장에 복사합니다.

단계 5

최소 SDC에 할당된 다음 RAM 및 디스크 공간을 사용하여 CentOS 7 가상 머신을 설치합니다.

  • 8GB RAM

  • 10GB 디스크 공간

단계 6

설치가 완료되면 SDC의 IP 주소, 서브넷 마스크 및 게이트웨이를 지정하는 등의 기본 네트워킹을 구성합니다.

단계 7

DNS(Domain Name Server) 서버를 구성합니다.

단계 8

NTP(Network Time Protocol) 서버를 구성합니다.

단계 9

SDC의 CLI와의 손쉬운 상호 작용을 위해 CentOS에 SSH 서버를 설치합니다.

단계 10

Yum 업데이트를 실행한 후 open-vm-tools, nettoolsbind-utils 패키지를 설치합니다. 

[root@sdc-vm ~]# yum update -y 
               [root@sdc-vm ~]# yum install -y open-vm-tools net-tools bind-utils

단계 11

AWS CLI 패키지를 설치합니다. https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html의 내용을 참조하십시오.

참고

 

--user 플래그를 사용하지 마십시오.

단계 12

Docker CE 패키지를 설치합니다. https://docs.docker.com/install/linux/docker-ce/centos/#install-docker-ce의 내용을 참조하십시오.

참고

 

"저장소를 사용하여 설치" 방법을 사용합니다.

단계 13

Docker 서비스를 시작하고 부팅 시 시작되도록 활성화합니다.


 [root@sdc-vm ~]# systemctl start docker
 [root@sdc-vm ~]# systemctl enable docker
 Created symlink from /etc/systemd/system/multiuser.target.wants/docker.service to
     /usr/lib/systemd/system/docker.service.

단계 14

두 사용자(cdosdc)를 생성합니다. 루트 사용자에 직접 액세스하지 않고 관리 작업을 수행하려면 cdo 사용자를 사용합니다. sdc 사용자는 SDC 도커 컨테이너를 실행하도록 지정됩니다. 


  [root@sdc-vm ~]# useradd cdo
  [root@sdc-vm ~]# useradd sdc –d /usr/local/cdo

단계 15

sdc 사용자의 비밀번호를 생성합니다. 


  [root@sdc-vm ~]# passwd cdo
  Changing password for user cdo.
  New password: <type password> 
  Retype new password: <type password> 
  passwd: all authentication tokens updated successfully.

단계 16

sdc 사용자를 wheel 그룹에 추가하여 관리(sudo) 권한을 부여합니다. 


   [root@sdc-vm ~]# usermod -aG wheel cdo 
   [root@sdc-vm ~]#

단계 17

Docker가 설치되면 사용자 그룹이 생성됩니다. CentOS/Docker 버전에 따라 "docker" 또는 "dockerroot"라고 부를 수 있습니다. /etc/group 파일을 확인하여 어떤 그룹이 생성되었는지 확인한 다음 sdc 사용자를 이 그룹에 추가합니다. 


  [root@sdc-vm ~]# grep docker /etc/group
   docker:x:993:
  [root@sdc-vm ~]#
  [root@sdc-vm ~]# usermod -aG docker sdc
  [root@sdc-vm ~]#

단계 18

/etc/docker/daemon.json 파일이 없는 경우 파일을 생성하고 아래 내용을 입력합니다. 생성되면 docker 데몬을 다시 시작합니다.

참고

 

"group" 키에 입력한 그룹 이름이 이전 단계의 /etc/group 파일에서 찾은 그룹과 일치하는지 확인합니다.

 
[root@sdc-vm ~]# cat /etc/docker/daemon.json
         {
            "live-restore": true,
            "group": "docker"
         }
         [root@sdc-vm ~]# systemctl restart docker 
         [root@sdc-vm ~]#

단계 19

현재 vSphere 콘솔 세션을 사용 중인 경우 SSH로 전환하고 cdo 사용자로 로그인합니다. 로그인한 후에는 sdc 사용자로 변경합니다. 암호를 묻는 메시지가 표시되면 cdo 사용자의 암호를 입력합니다. 

[CDO@sdc-vm ~]$ sudo su sdc
               [sudo] password for cdo: <type password for cdo user>
               [sdc@sdc-vm ~]$

단계 20

디렉터리를 /usr/local/CDO로 변경합니다.

단계 21

bootstrapdata라는 새 파일을 생성하고 온프레미스 Secure Device Connector 구축 마법사의 2단계에서 가져온 부트스트랩 데이터를 이 파일에 붙여넣습니다. 파일을 Save(저장)합니다. vi 또는 nano를 사용하여 파일을 생성할 수 있습니다.

단계 22

부트스트랩 데이터는 base64로 인코딩됩니다. 이를 디코딩하고 extractedbootstrapdata라는 파일로 내보냅니다. 

[sdc@sdc-vm ~]$ base64 -d /usr/local/ CDO/bootstrapdata > /usr/local/CDO/extractedbootstrapdata
              [sdc@sdc-vm ~]$

cat 명령을 실행하여 디코딩된 데이터를 확인합니다. 명령 및 디코딩된 데이터는 다음과 같이 표시됩니다. 

[sdc@sdc-vm ~]$ cat /usr/local/ CDO/extractedbootstrapdata
               CDO_TOKEN="<token string>"
               CDO_DOMAIN="www.defenseorchestrator.com"
               CDO_TENANT="<tenant-name>"
               CDO_BOOTSTRAP_URL="https://www.defenseorchestrator.com/sdc/bootstrap/tenant-name/<tenant-name-SDC>"

단계 23

다음 명령을 실행하여 디코딩된 부트스트랩 데이터의 섹션을 환경 변수로 내보냅니다.

[sdc@sdc-vm ~]$ sed -e 's/^/export /g' extractedbootstrapdata > sdcenv && source sdcenv
              [sdc@sdc-vm ~]$

단계 24

Security Cloud Control에서 부트스트랩 번들을 다운로드합니다. 

[sdc@sdc-vm ~]$ curl -O -H "Authorization: Bearer $CDO_TOKEN" "$CDO_BOOTSTRAP_URL"
               100 10314 100 10314 0 0 10656 0 --:--:-- --:--:-- --:--:-- 10654
               [sdc@sdc-vm ~]$ ls -l /usr/local/ CDO/*SDC
               -rw-rw-r--. 1 sdc sdc 10314 Jul 23 13:48 /usr/local/CDO/tenant-name-SDC

단계 25

SDC tarball의 압축을 풀고 bootstrap.sh 파일을 실행하여 SDC 패키지를 설치합니다. 

[sdc@sdc-vm ~]$ tar xzvf /usr/local/CDO/tenant-name-SDC
               <snipped – extracted files>
               [sdc@sdc-vm ~]$
               [sdc@sdc-vm ~]$ /usr/local/ CDO/bootstrap/bootstrap.sh
               [2018-07-23 13:54:02] environment properly configured
               download: s3://onprem-sdc/toolkit/prod/toolkit.tar to toolkit/toolkit.tar
               toolkit.sh
               common.sh
               [2018-07-23 13:54:04] startup new container
               Unable to find image 'ciscodefenseorchestrator/sdc_prod:latest' locally
               sha256:d98f17101db10e66db5b5d6afda1c95c29ea0004d9e4315508fd30579b275458: Pulling from
               ciscodefenseorchestrator/sdc_prod
               08d48e6f1cff: Pull complete
               ebbd10b629b1: Pull complete
               d14d580ef2ed: Pull complete
               45421d451ab8: Pull complete
               <snipped – downloads>
               no crontab for sdc

이제 SDC가 Security Cloud Control에서 "Active(활성)"로 표시됩니다.

다음에 수행할 작업

구축된 호스트에서 보안 디바이스 커넥터 부트스트랩

Procedure

Step 1

왼쪽 창에서 Administration(관리) > Integration(통합) > Secure Connectors(보안 커넥터)를 클릭합니다.

Step 2

Services(서비스) 페이지에서 Secure Connectors(보안 커넥터) 탭을 선택하고, + 아이콘을 클릭한 후, Secure Device Connector(보안 디바이스 커넥터)를 선택합니다.

Step 3

창의 2단계에서 부트스트랩 데이터를 메모장에 복사합니다.

Step 4

관리자 사용자(일반적으로 cdo)와 선택한 비밀번호를 사용하여 VM에 SSH로 연결합니다.

Step 5

다음 명령을 입력하여 sdc 사용자로 전환합니다. 

sudo su - sdc

Step 6

다음 명령을 사용하여 새 SDC를 부트스트랩합니다.

sdc bootstrap <paste-your-bootstrap-data-here>

Step 7

사용하려는 SDC의 버전을 선택합니다.

SDC 버전에는 세 가지 옵션이 있습니다.

  • SDC 2024 - 대부분의 사용자가 실행하고자 하는 버전입니다.

  • FIPS가 활성화된 SDC 2024 - FedRamp 컴플라이언스가 적용되는 경우 이 버전을 선택합니다.

  • SDC 레거시 - 이 버전은 더 이상 기능 업데이트를 수신하지 않으므로 대신 SDC 2024를 실행하는 것이 좋습니다.

Step 8

CLI는 컨테이너 이미지를 가져와 SDC를 시작합니다. 사용자 인터페이스에서 SDC가 활성화되고 정상 작동하는지 확인할 수 있으며, 호스트에서도 다음 명령을 실행하여 확인할 수 있습니다.

sdc show running
테넌트에 대한 SDC가 표시됩니다.

Terraform을 사용하여 vSphere에 Secure Device Connector 구축

시작하기 전에

이 절차에서는 vSphere용 Security Cloud Control SDC Terraform 모듈Security Cloud Control Terraform 제공자와 함께 사용하여 SDC를 vSphere에 구축하는 방법을 자세히 설명합니다. 이 작업 절차를 수행하기 전에 다음 사전 요구 사항을 검토하십시오.

  • vSphere 데이터센터 버전 7 이상을 보유하고 있습니다.

  • 데이터센터에 관리자 어카운트가 있으며, 다음 작업을 수행할 수 있는 권한이 있습니다.

    • VM 생성

    • 폴더 생성

    • 콘텐츠 라이브러리 생성

    • 콘텐츠 라이브러리에 파일 업로드

  • Terraform 정보

프로시저

단계 1

Security Cloud Control에서 API 전용 사용자를 생성하고 API 토큰을 복사합니다. API 전용 사용자를 생성하는 방법을 알아보려면 API 전용 사용자 생성을 참조하십시오.

단계 2

Security Cloud Control Terraform 제공자의 지침에 따라 Terraform 저장소에서 Security Cloud ControlTerraform 제공자를 구성합니다.

예:

terraform { 
  required_providers { 
    cdo = { 
      source = "CiscoDevNet/cdo" 
      version = "0.7.0" 
    } 
  } 
} 
 
provider "cdo" { 
  base_url = “<the CDO URL you use to access CDO>” 
  api_token = “<the API Token generated in step 1>” 
}

단계 3

Security Cloud Control Terraform 제공자를 사용하여 cdo_sdc 리소스를 생성하는 Terraform 코드를 작성합니다. 자세한 내용은 Security Cloud Control-sdc 리소스에 대한 Terraform 레지스트리를 참조하십시오.

예:

Resource “cdo_sdc” “my-sdc” { 
  name = “my-sdc-in-vsphere” 
}

이 리소스의 bootstrap_data 속성은 Security Cloud Control 부트스트랩 데이터의 값으로 채워지며 다음 단계에서 cdo_sdc Terraform 모듈에 제공됩니다.

단계 4

Security Cloud Control_sdc Terraform 모듈을 사용하여 vSphere에서 SDC를 생성하는 Terraform 코드를 작성합니다.

예:

data "cdo_tenant" "current" {} 
 
module "vsphere-cdo-sdc" { 
  source               = "CiscoDevNet/cdo-sdc/vsphere" 
  version              = "1.0.0" 
  vsphere_username     = "<replace-with-username-with-admin-privileges>" 
  vsphere_password     = "<super-secure-password>" 
  vsphere_server       = "<replace-with-address-of-vsphere-server>" 
  datacenter           = "<replace-with-datacenter-name>" 
  resource_pool        = "<replace-with-resource-pool-name>" 
  cdo_tenant_name      = data.cdo_tenant.current.human_readable_name 
  datastore            = "<replace-with-name-of-datastore-to-deploy-vm-in>" 
  network              = "<replace-with-name-of-network-to-deploy-vm-in>" 
  host                 = "<replace-with-esxi-host-address>" 
  allow_unverified_ssl = <boolean; set to true if your vsphere server does not have a valid SSL certificate> 
  ip_address           = "<sdc-vm-ip-address; must be in the subnet of the assigned network for the VM>" 
  gateway              = "<replace-with-network-gateway-address>" 
  cdo_user_password    = "<replace-with-password-for-cdo-user-in-sdc-vm>" 
  root_user_password   = "<replace-with-password-for-root-user-in-sdc-vm>" 
  cdo_bootstrap_data   = cdo_sdc.sdc-in-vsphere.bootstrap_data 
}

생성된 VM에는 두 명의 사용자( root 사용자와 cdo라는 사용자)가 있으며 VM의 IP 주소는 정적으로 구성됩니다. cdo_bootstrap_data 속성에는 cdo_sdc 리소스가 생성될 때 생성된 bootstrap_data 속성의 값이 지정됩니다.

단계 5

terraform 계획terraform 적용을 사용하여 일반적으로 Terraform을 계획하고 적용합니다.

전체 예시는 CiscoDevNet의 Security Cloud Control 자동화 저장소를 참조하십시오.

SDC가 온보딩 상태를 유지한 경우 원격 콘솔을 사용하여 vSphere VM에 연결하고 cdo 사용자로 로그인한 후에 다음 명령을 실행합니다. 

sdc host status

판독에 따라 수동으로 다음을 실행해야 할 수 있습니다.

sdc host configure

참고

Security Cloud Control Terraform 모듈은 Apache 2.0 라이선스에 따라 오픈 소스 소프트웨어로 게시됩니다. 지원이 필요한 경우 GitHub에서 문제를 제출할 수 있습니다.

Terraform 모듈을 사용하여 AWS VPC에 Secure Device Connector 구축

시작하기 전에

AWS VPC에서 SDC를 구축하기 전에 다음 사전 요건을 검토하십시오.

  • Security Cloud Control는 엄격한 인증서 확인이 필요하며 SDC와 인터넷 간의 웹/콘텐츠 프록시 검사를 지원하지 않습니다. 프록시 서버를 사용하는 경우 SDC(Secure Device Connector)와 Security Cloud Control 간의 트래픽 검사를 비활성화합니다.

  • Secure Device Connector를 사용하여 Security Cloud Control에 연결을 확인하여 커넥터에 대한 적절한 네트워크 액세스를 확인합니다.

  • 이 경우 AWS 어카운트, 하나 이상의 서브넷이 있는 AWS VPC 및 AWS Route53 호스팅 영역이 필요합니다.

  • Security Cloud Control 부트스트랩 데이터, AWS VPC ID 및 해당 서브넷 ID가 있는지 확인합니다.

  • SDC를 구축하는 프라이빗 서브넷에 NAT 게이트웨이가 연결되어 있는지 확인합니다.

  • 방화벽 관리 HTTP 인터페이스가 실행 중인 포트에서 NAT 게이트웨이에 연결된 탄력적 IP로 이동하는 트래픽을 엽니다.

프로시저

단계 1

Terraform 파일에 다음 코드 줄을 추가합니다. 변수에 대한 입력을 수동으로 입력해야 합니다.

module "example-sdc" {
  source             = "git::https://github.com/cisco-lockhart/terraform-aws-cdo-sdc.git?ref=v0.0.1"
  env                = "example-env-ci"
  instance_name      = "example-instance-name"
  instance_size      = "r5a.xlarge"
  cdo_bootstrap_data = "<replace-with-cdo-bootstrap-data>"
  vpc_id             = <replace-with-vpc-id>
  subnet_id          = <replace-with-private-subnet-id>
}

입력 변수 및 설명 목록은 Secure Device Connector Terraform 모듈을 참조하십시오.

단계 2

Terraform 코드에서 instance_id를 출력으로 등록합니다. 

output "example_sdc_instance_id" {
  value = module. example-sdc.instance_id
}

instance_id 를 사용하여 AWS Systems Manager 세션 관리자(SSM)를 통한 문제 해결을 위해 SDC 인스턴스에 연결할 수 있습니다. 사용 가능한 출력 목록은 Secure Device Connector Terraform 모듈의 출력을 참조하십시오.

다음에 수행할 작업

모든 SDC 문제 해결의 경우, AWS SSM을 사용하여 SDC 인스턴스에 연결해야 합니다. 인스턴스에 연결하는 방법에 대한 자세한 내용은 AWS Systems Manager 세션 관리자를 참조하십시오. SSH를 사용하여 SDC 인스턴스에 연결하는 포트는 보안상의 이유로 노출되지 않습니다.


참고

Security Cloud Control Terraform 모듈은 Apache 2.0 라이선스에 따라 오픈 소스 소프트웨어로 게시됩니다. 지원이 필요한 경우 GitHub에서 문제를 제출할 수 있습니다.

온프레미스 Secure Device Connector 및 Secure Event Connector를 CentOS 7 가상 머신에서 Ubuntu 가상 머신으로 마이그레이션

Security Cloud Control의 온프레미스 Secure Device Connector(SDC)는 지금까지 CentOS 7 가상 머신에 설치되었습니다. 이제 CentOS 7은 단종되었으며 Security Cloud Control에 의해 더 이상 사용되지 않으므로, 모든 SDC을 CentOS 7에서 Ubuntu 가상 머신으로 마이그레이션할 수 있도록 이 마이그레이션 프로세스를 생성했습니다.

마이그레이션하기 전에

  • SDC는 TCP 포트 443에서 인터넷에 대한 전체 아웃바운드 액세스 권한을 가져야 합니다.

  • SDC를 실행 중인 Ubuntu 가상 머신은 ASA 및 Cisco IOS 디바이스와 같이 통신하는 디바이스의 관리 인터페이스에 대한 네트워크 액세스 권한이 있어야 합니다.

  • 이전 SDC VM의 IP 주소 또는 FQDN이 디바이스에 도달하기 위해 생성된 모든 네트워킹 규칙은 새 SDC VM의 IP 주소 또는 FQDN으로 다시 생성해야 합니다.

  • 마이그레이션에는 10~15분이 소요됩니다. 이 시간 동안 디바이스는 계속해서 보안 정책을 적용하고 네트워크 트래픽을 라우팅하지만 SDC를 통해 통신할 수 없습니다.

사전 요건

Secure Device Connector 및 Secure Event Connector를 실행하기 위한 VM 구축에 나와 있는 지침에 따라 새 호스트를 구축합니다.

호스트 구성

SDC 및/또는 SEC를 마이그레이션하는 경우 이 절차를 따르십시오.

  1. 여기에서 새 VM 이미지를 다운로드합니다.

  2. CDO-SDC_VM.zip 파일의 압축을 풉니다. 다음과 비슷하게 이름이 지정된 3개의 VM 파일이 표시됩니다.

    • CDO-SDC-VM-708cd33-2024-05-30-2031-disk1.vmdk

    • CDO-SDC-VM-708cd33-2024-05-30-2031.mf

    • CDO-SDC-VM-708cd33-2024-05-30-2031.ovf

  3. 방금 다운로드한 VM을 구축합니다.

  4. 새 VM에 할당된 고정 IP 주소 또는 FQDN을 기록해 둡니다.

  5. SSH를 사용하여 새 VM에 cdo 사용자로 로그인합니다.

  6. 프롬프트에 다음 명령을 입력합니다.

    sudo sdc host configure

    참고

    • 마이그레이션 스크립트의 지시를 잘 따릅니다. 스크립트는 잘 문서화되어 있으며 각 단계를 설명하면서 마이그레이션 프로세스를 안내합니다.

    • 마이그레이션 스크립트가 끝나면 SDC가 새 VM으로 마이그레이션되었음을 알리는 메시지가 표시됩니다. SDC는 마이그레이션 후에도 해당 이름을 그대로 유지합니다.

SDC 마이그레이션

절차:

  1. SSH를 사용하여 이전(CentOS) SDCcdo 사용자로 로그인합니다.

  2. 명령을 사용하여 CLI를 설치합니다.

    curl -O https://s3.us-west-2.amazonaws.com/download.defenseorchestrator.com/sdc-cli/sdc-cli-package-latest.tgz && tar -xvf sdc-cli-package-latest.tgz && chmod +x ./install.sh && ./install.sh

  3. 다음 명령을 실행하고 프롬프트를 따릅니다.

    sudo sdc migrate now

확인:

  1. Security Cloud Control 테넌트에 로그인합니다.

  2. 마이그레이션한 SDC를 선택하고 Actions(작업) 창에서 Request Heartbeat(하트비트 요청)을 클릭합니다.


참고

SDCActive(활성) 상태인지 확인합니다.

SEC 마이그레이션

절차:

  1. SSH를 사용하여 이전(CentOS) SDCcdo 사용자로 로그인합니다.

  2. 명령을 사용하여 CLI를 설치합니다.

    curl -O https://s3.us-west-2.amazonaws.com/download.defenseorchestrator.com/sdc-cli/sdc-cli-package-latest.tgz && tar -xvf sdc-cli-package-latest.tgz && chmod +x ./install.sh && ./install.sh

  3. 다음 명령을 실행하고 프롬프트를 따릅니다.

    sudo sdc eventing migrate

  4. SEC의 새 IP 주소를 가리키도록 디바이스를 구성하거나 이전 호스트를 종료하고 새 호스트에 이전 호스트와 동일한 IP 주소를 할당하여 디바이스를 업데이트할 필요가 없도록 할 수 있습니다.

확인:

SEC 상태에 대한 자세한 내용은 상태 확인을 사용하여 Secure Event Connector의 상태 학습을 참조하십시오.

추가 지침

이전 SDC를 다시 시작하지 않음

마이그레이션이 완료된 후에는 원래의 가상 머신에서 이전 SDC를 다시 시작하지 마십시오.

실패한 마이그레이션 되돌리기

어떤 이유로든 마이그레이션이 실패하거나 결과가 예상과 달라 이전 SDC으로 되돌리려면 아래 지침을 따릅니다.

  1. 새 VM에 로그인하고 SDC 사용자로 전환합니다.

  2. 다음 명령을 사용하여 새 VM에서 SDC가 현재 실행 중이 아닌지 확인합니다.

    docker ps

  3. SDC가 실행 중인 경우 명령을 실행합니다.

    sdc stop

  4. docker ps를 다시 실행하여 SDC 실행이 중지되었는지 확인합니다.

  5. 이전 VM에 로그인하고 다음 명령을 실행합니다.

    sdc migrate revert

  6. 이전 SDC가 활성 상태이고 UI에 표시되면 새 VM으로 돌아가 명령을 실행합니다.

    sdc delete <your-tenant-name-here>

  7. 브라우저를 완전히 새로 고치고 SDC를 클릭한 다음, 이전 호스트의 IP가 사이드바에 표시되는지 확인합니다.

    이 단계를 수행했음에도 새 IP가 계속 표시된다면, 새 상태 확인을 요청하고 브라우저를 새로 고친 후 다시 확인합니다.

  8. SEC 마이그레이션을 되돌리려면 다음 명령을 실행합니다. 
    sdc eventing revert

보안 디바이스 커넥터의 IP 주소 변경

시작하기 전에

  • 이 작업을 수행하려면 관리자여야 합니다.

  • SDC는 TCP 포트 443 또는 디바이스 관리를 위해 구성한 포트에서 인터넷에 대한 전체 아웃바운드 액세스 권한을 가져야 합니다.


참고

SDC의 IP 주소를 변경한 후 디바이스를 Security Cloud Control에 다시 등록할 필요가 없습니다.

프로시저

단계 1

SDC에 대한 SSH 연결을 생성하거나 가상 머신의 콘솔을 열고 CDO 사용자로 로그인합니다.

단계 2

IP 주소를 변경하기 전에 SDC VM의 네트워크 인터페이스 구성 정보를 보려면 다음 명령을 사용합니다.

[cdo@localhost ~]$ ip addr

단계 3

인터페이스의 IP 주소를 변경하려면 다음 명령을 사용하여 호스트 구성을 재시작합니다.

[cdo@localhost ~]$ sdc host configure network

단계 4

프롬프트에 비밀번호를 입력합니다.

단계 5

구성 스크립트는 이후 네트워크 설정에 대해 묻고, 새 IP를 포함한 새 구성 파일을 작성한 후 해당 구성을 적용합니다.

참고

 

이 시점에서 SSH 연결이 끊어집니다.

단계 6

SDC에 할당한 새 IP 주소를 사용하여 SSH 연결을 만들고 로그인합니다.

단계 7

SDC는 자동으로 시작되어야 하지만, 그렇지 않은 경우 다음 명령어를 실행합니다.

[cdo@localhost ~]$ sudo su - sdc
[cdo@localhost ~]$ sdc start

참고

 

VM의 콘솔에서 이 절차를 수행하는 경우 값이 올바른지 확인하면 연결 상태 테스트가 자동으로 실행되고 상태가 표시됩니다.

단계 8

Security Cloud Control 사용자 인터페이스를 통해 SDC의 연결을 확인할 수도 있습니다. 이렇게 하려면 Security Cloud Control 애플리케이션을 열고 Administration(관리) > Integration(통합) > Secure Connectors(보안 커넥터) 페이지로 이동합니다.

단계 9

페이지를 한 번 새로 고치고 IP 주소를 변경한 보안 커넥터를 선택합니다.

단계 10

Actions(작업) 창에서 Request Heartbeat(하트비트 요청)를 클릭합니다. 하트비트 요청 성공 메시지가 표시되고, 마지막 하트비트에 현재 날짜와 시간이 표시되어야 합니다.

Secure Device Connector 제거


Warning

이 절차에서는 SDC(Secure Device Connector)를 삭제합니다. 이는 되돌릴 수 없습니다. 이 작업을 수행한 후에는 새 SDC를 설치하고 디바이스를 다시 연결할 때까지 해당 SDC에 연결된 디바이스를 관리할 수 없습니다. 디바이스를 다시 연결하려면 다시 연결해야 하는 각 디바이스에 대한 관리자 자격 증명을 다시 입력해야 할 수 있습니다.

테넌트에서 SDC를 제거하려면 다음 절차를 수행합니다.

Procedure

Step 1

삭제할 SDC에 연결된 모든 디바이스를 제거합니다.

Step 2

왼쪽 창에서 Administration(관리) > Integration(통합) > Secure Connectors(보안 커넥터)를 클릭합니다.

Step 3

Secure Connectors(보안 커넥터) 탭이 선택된 Services(서비스) 페이지에서 파란색 플러스 버튼을 클릭한 후 Secure Device Connector(보안 디바이스 커넥터)를 선택합니다.

Step 4

Secure Connector(보안 커넥터) 테이블에서 제거할 SDC를 선택합니다. 이제 디바이스 수가 0이어야 합니다.

Step 5

작업 창에서 Remove(제거)를 클릭합니다. 다음 경고가 표시됩니다.

Warning

 

<sdc_name>을 삭제하려고 합니다. SDC 삭제는 되돌릴 수 없습니다. SDC를 삭제하면 디바이스를 온보딩하거나 다시 온보딩하기 전에 새 SDC를 생성하고 온보딩해야 합니다.

현재 온보딩된 디바이스가 있으므로 SDC를 제거하려면 새 SDC를 설정한 후 해당 디바이스를 다시 연결하고 자격 증명을 다시 제공해야 합니다.

  • 질문이나 우려 사항이 있는 경우 Cancel(취소)을 클릭하고 Security Cloud Control 지원에 문의하십시오.

  • 계속하려면 <sdc_name>을 입력란에 입력하고 OK(확인)를 클릭합니다.

Step 6

확인 대화 상자에서 계속 진행하려면 경고 메시지에 나와 있는 SDC의 이름을 입력합니다.

Step 7

OK(확인)를 클릭하여 SDC 제거를 확인합니다.

SDC 간에 ASA 이동

Security Cloud Control는 테넌트당 둘 이상의 SDC 사용을 지원합니다. 다음 절차를 사용하여 한 SDC에서 다른 SDC로 관리형 ASA를 이동할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

다른 SDC로 이동하려는 ASA를 선택합니다.

단계 4

Device Actions(디바이스 작업) 창에서 Update Credentials(자격 증명 업데이트)를 클릭합니다.

단계 5

Secure Device Connector 버튼을 클릭하고 디바이스를 이동하려는 SDC를 선택합니다.

단계 6

Security Cloud Control가 디바이스에 로그인하는 데 사용하는 관리자 사용자 이름과 암호를 입력하고 Update(업데이트)를 클릭합니다. 변경되지 않은 경우 관리자 사용자 이름과 암호는 ASA 온보딩에 사용한 것과 동일한 자격 증명입니다. 이러한 변경 사항을 디바이스에 구축할 필요는 없습니다.

참고

 

모든 ASA가 동일한 자격 증명을 사용하는 경우 한 SDC에서 다른 SDC로 ASA를 대량으로 이동할 수 있습니다. ASA에 다른 자격 증명이 있는 경우 한 번에 하나의 SDC에서 다른 하나로 이동해야 합니다.

보안 디바이스 커넥터 이름 변경

프로시저

단계 1

왼쪽 창에서 Administration(관리) > Integration(통합) > Secure Connectors(보안 커넥터)를 선택합니다.

단계 2

이름을 바꾸려는 SDC를 선택합니다.

단계 3

세부 정보 창에서 SDC 이름 옆에 있는 편집 아이콘 를 클릭합니다.

단계 4

SDC의 이름을 바꿉니다.

Security Devices(보안 디바이스) 창의 Secure Device Connector 필터를 포함하여 Security Cloud Control 인터페이스에 SDC 이름이 나타날 때마다 이 새 이름이 나타납니다.

Secure Device Connector 업데이트

이 절차를 문제 해결 툴로 사용합니다. 일반적으로 SDC는 자동으로 업데이트되므로 이 절차를 사용할 필요가 없습니다. 오류가 발생하면 수동 업데이트를 시작해야 할 수 있습니다.

Procedure

Step 1

SDC에 연결합니다. SSH를 사용하여 연결하거나 하이퍼바이저에서 콘솔 보기를 사용할 수 있습니다.)

Step 2

관리자(일반적으로 cdo)로 SDC에 로그인합니다.

Step 3

SDC 도커 컨테이너를 업데이트하려면 SDC 사용자로 전환합니다.

 [cdo@sdc-vm ~]$ sudo su sdc
                [sudo] password for cdo: <type password for cdo user>
                [sdc@sdc-vm ~]$

Step 4

SDC를 업그레이드합니다.

sdc upgrade

Note

 

SDC 가상 머신의 권장 업데이트 및 유지 관리

조직의 내부 IT 보안 및 패치 관리 정책에 따라 Ubuntu 리눅스에서 실행되는 SDC VM을 모니터링하고 업데이트를 적용해야 합니다. SDC VM이 네트워크 환경 내에서 보안을 유지하고 최적으로 작동하도록 관련 보안 패치를 정기적으로 검토하고 적용할 것을 적극 권장합니다.

단일 Security Cloud Control 테넌트에서 여러 SDC 사용

테넌트에 대해 둘 이상의 SDC를 구축하면 성능 저하 없이 더 많은 디바이스를 관리할 수 있습니다. 단일 SDC에서 관리할 수 있는 디바이스의 수는 해당 디바이스에 구현된 기능 및 해당 구성 파일의 크기에 따라 달라집니다.

테넌트에 SDC를 무제한으로 설치할 수 있습니다. 각 SDC는 하나의 네트워크 세그먼트를 관리할 수 있습니다. 이러한 SDC는 해당 네트워크 세그먼트의 디바이스를 동일한 Security Cloud Control 테넌트에 연결합니다. 여러 SDC가 없으면 서로 다른 Security Cloud Control 테넌트를 사용하여 격리된 네트워크 세그먼트에서 디바이스를 관리해야 합니다.

  • 두 번째 또는 후속 SDC를 구축하는 절차는 첫 번째 SDC를 구축할 때와 동일합니다.

  • 테넌트의 초기 SDC는 테넌트의 이름과 숫자 1을 통합합니다. 각 추가 SDC는 순서대로 번호가 매겨집니다.

동일한 SDC를 사용하는 Security Cloud Control 디바이스

동일한 SDC를 사용하여 Security Cloud Control에 연결하는 모든 디바이스를 식별하려면 다음 절차를 수행합니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

필터 기준이 이미 지정된 경우 Security Devices(보안 디바이스) 페이지 상단에 있는 clear(지우기) 버튼을 클릭하여 Security Cloud Control로 관리하는 모든 디바이스 및 서비스를 표시합니다.

Step 5

필터 버튼 을 클릭하여 필터 메뉴를 확장합니다.

Step 6

필터의 Secure Device Connector(보안 디바이스 커넥터) 섹션에서 원하는 SDC의 이름을 확인합니다. Security Devices(보안 디바이스) 페이지에는 필터에서 선택한 SDC를 통해 Security Cloud Control에 연결하는 디바이스만 표시됩니다.

Step 7

(선택 사항) 필터 메뉴에서 추가 필터를 선택하여 검색을 더욱 구체화합니다.

Step 8

(선택 사항) 작업이 완료되면 Security Devices(보안 디바이스) 페이지 상단에 있는 clear(지우기) 버튼을 클릭하여 Security Cloud Control로 관리하는 모든 디바이스 및 서비스를 표시합니다.

SDC의 오픈소스 및 서드파티 라이선스

============================================= ===========================

* amqplib *

amqplib copyright (c) 2013, 2014

Michael Bridgen <mikeb@squaremobius.net>

이 패키지 "amqplib"는 MIT 라이선스에 따라 라이선스가 부여됩니다. 사본은 이 디렉토리의 LICENSE-MIT 파일에서 찾거나 다음에서 다운로드할 수 있습니다.

http://opensource.org/licenses/MIT

================================================================================

* async *

Copyright (c) 2010-2016 Caolan McMahon

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* bluebird *

MIT 라이선스(MIT)

Copyright (c) 2013-2015 Petka Antonov

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* cheerio *

Copyright (c) 2012 Matt Mueller <mattmuelle@gmail.com>

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* command-line-args *

MIT 라이선스(MIT)

Copyright (c) 2015 Lloyd Brookes <75pound@gmail.com>

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* ip *

이 소프트웨어는 MIT 라이센스에 따라 라이센스가 부여됩니다.

Copyright Fedor Indutny, 2012.

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* json-buffer *

Copyright (c) 2013 Dominic Tarr

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다.어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어 또는 소프트웨어의 사용 또는 기타 거래와 관련하여 계약, 불법 행위 등으로 인해 발생한 어떠한 클레임, 손해, 또는 기타 책임에 대해서도 책임을 지지 않습니다.

================================================================================

* json-stable-stringify *

이 소프트웨어는 MIT 라이선스에 따라 구축됩니다.

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* json-stringify-safe *

ISC 라이선스

Copyright (c) Isaac Z. Schlueter and Contributors

위의 저작권 고지와 이 허가 고지가 모든 사본에 포함되어 있는 한, 본 소프트웨어를 비용 여부에 상관없이 어떤 목적으로든 사용, 복사, 수정 및/또는 구축할 수 있는 권한이 여기에 부여됩니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자는 본 소프트웨어의 사용 또는 성능과 관련하여 계약, 과실 또는 기타 불법 행위로 인해 발생한 어떠한 직접적, 간접적, 부수적, 특별, 징벌적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다.

================================================================================

* lodash *

Copyright JS Foundation and other contributors <https://js.foundation/>

Underscore.js, copyright Jeremy Ashkenas 기반

DocumentCloud 및 조사 리포터 및 편집자<http://underscorejs.org/>

이 소프트웨어는 많은 개인의 자발적 기여로 구성됩니다. 정확한 기여 내역은 다음에서 제공되는https://github.com/lodash/lodash 개정 내역을 참조하십시오.

다음 라이센스는 다음을 제외하고 이 소프트웨어의 모든 부분에 적용됩니다.

아래에 문서화:

====

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어의 사용 또는 성능과 관련하여 계약, 불법 행위 등으로 인해 발생한 어떠한 직접적, 간접적, 부수적, 특별, 우발적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다.

====

샘플 코드에 대한 저작권 및 관련 권리는 CC0을 통해 포기됩니다. 샘플 코드는 문서의 산문 내에 표시되는 모든 소스 코드로 정의됩니다.

CC0: http://creativecommons.org/publicdomain/zero/1.0/

====

node_modules 및 공급업체 디렉토리에 있는 파일은 자체 라이선스가 있는 이 소프트웨어에서 사용하는 외부에서 유지 관리되는 라이브러리입니다. 용어가 위의 용어와 다를 수 있으므로 해당 용어를 읽어보는 것이 좋습니다.

================================================================================

* log4js *

Copyright 2015 Gareth Jones (다른 많은 사람들의 기여 포함)

Apache 라이선스 버전 2.0("라이선스")에 따라 라이선스가 부여됩니다. 라이센스를 준수하지 않는 한 이 파일을 사용할 수 없습니다. 다음에서 라이센스 사본을 얻을 수 있습니다.

http://www.apache.org/licenses/LICENSE-2.0

해당 법률에서 요구하거나 서면으로 동의하지 않는 한 라이선스에 따라 구축된 소프트웨어는 명시적이든 묵시적이든 어떠한 종류의 보증이나 조건 없이 "있는 그대로" 구축됩니다.라이선스에 따른 권한 및 제한 사항을 관리하는 특정 언어는 라이선스를 참조하십시오.

================================================================================

* mkdirp *

Copyright 2010 James Halliday(mail@substack.net)

이 프로젝트는 MIT/X11 라이선스에 따라 구축되는 무료 소프트웨어입니다.

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어 또는 소프트웨어의 사용 또는 기타 취급과 관련하여 계약 행위, 불법 행위 또는 기타 행위 등의 클레임, 손해, 또는 기타 책임에 대해 책임을 지지 않습니다.

================================================================================

* node-forge *

새로운 BSD 라이선스(3개 조항)

Copyright (c) 2010, Digital Bazar, Inc.

All rights reserved.

다음 조건을 충족하는 경우 수정 여부에 관계없이 소스 및 바이너리 형식으로 재구축 및 사용이 허용됩니다.

* 소스 코드의 재구축는 위의 저작권 표시, 이 조건 목록 및 다음 면책 조항을 유지해야 합니다.

* 바이너리 형식의 재구축는 구축와 함께 제공된 설명서 및/또는 기타 자료에 위의 저작권 고지, 이 조건 목록 및 다음 면책 조항을 복제해야 합니다.

* Digital Bazaar, Inc.의 이름이나 기여자의 이름은 특정 사전 서면 허가 없이 이 소프트웨어에서 파생된 제품을 보증하거나 홍보하는 데 사용할 수 없습니다.

이 소프트웨어는 저작권자와 기여자에 의해 "있는 그대로" 제공되며, 명시적 또는 묵시적으로 상품성 및 특정 목적에의 적합성을 포함한 모든 보증이 거부됩니다. 어떠한 경우에도 DIGITAL BAZAAR는 어떠한 직접적, 간접적, 부수적, 특별, 징벌적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다. 이러한 손해가 계약, 엄격한 책임, 불법행위(과실 또는 기타 포함)에 대한 어떠한 책임 이론에 의거하여 발생하였는지 여부와 상관없이, 해당 손해의 가능성이 있음을 사전에 고지받았더라도, 이 소프트웨어의 사용으로 인해 발생하는 어떠한 방식의 책임도 지지 않습니다.

================================================================================

* request *

Apache License

버전 2.0, 2004년 1월

http://www.apache.org/licenses/

사용, 복제 및 구축에 대한 약관

1. 정의.

"라이선스"는 이 문서의 섹션 1에서 9까지 정의된 사용, 복제 및 구축에 대한 조건을 의미합니다.

"라이선스 제공자"는 라이센스를 부여하는 저작권 소유자 또는 저작권 소유자가 승인한 법인을 의미합니다.

"법적 실체"는 행위 실체와 해당 실체를 통제하거나 통제받거나 공통 통제하에 있는 다른 모든 실체의 조합을 의미합니다. 이 정의의 목적상 "통제"는 (i) 계약 또는 기타 방식으로 해당 법인의 지시 또는 관리를 유발하는 직간접적인 권한 또는 (ii) 50% 또는 더 많은 발행주식, 또는 (iii) 해당 법인의 수익적 소유권.

"귀하"(또는 "귀하의")는 계약 또는 기타 방식으로 본 라이센스에 의해 부여된 권한을 행사하는 개인 또는 법인을 의미하거나 (ii) 다음 중 50% 이상을 소유합니다. 발행주식, 또는 (iii) 그러한 법인의 수익적 소유권.

"소스" 형식은 소프트웨어 소스 코드, 문서 소스 및 구성 파일을 포함하되 이에 국한되지 않는 수정을 위한 기본 형식을 의미합니다.

"개체" 형식은 컴파일된 개체 코드, 생성된 문서 및 다른 미디어 유형으로의 변환을 포함하되 이에 국한되지 않는 소스 형식의 기계적 변환 또는 변환으로 인해 발생하는 모든 형식을 의미합니다.

"저작물"은 저작물에 포함되거나 첨부된 저작권 표시(예는 아래 부록에 제공됨)에 표시된 대로 라이센스에 따라 사용 가능한 소스 또는 개체 형식의 저작물을 의미합니다.

"파생 저작물"은 저작물을 기반으로 하는(또는 저작물에서 파생된) 원본 또는 개체 형식의 모든 저작물을 의미하며 편집 편집, 주석, 정교화 또는 기타 편집이 전체적으로 저자의 원본 저작물을 나타냅니다. 본 라이선스에서 파생물은 저작물 및 그 파생물과 분리된 상태를 유지하거나 인터페이스에 단순히 링크(또는 이름으로 연결)되는 저작물은 포함하지 않습니다.

"기여"는 원본 저작물과 저작물에 포함하기 위해 저작권 소유자 또는 저작권 소유자를 대신하여 제출할 권한이 있는 개인 또는 법인이 라이선스 허가자에게 의도적으로 제출된 저작물 또는 파생물에 대한 편집 또는 추가를 포함한 저작물을 의미합니다. 이 정의에서 \"제출\"은 저작물에 대해 논의하고 개선하기 위해 라이선스 허가자 또는 그 대리인에게 전송되는 모든 형태의 전자, 구두 또는 서면 제출을 의미합니다. 여기에는 저작물을 논의하고 개선할 목적으로 라이선스 허가자 또는 그 대리인이 관리하는 전자 메일 목록, 소스 코드 제어 시스템, 문제 추적 시스템을 통한 커뮤니케이션이 포함되며 이에 국한되지 않습니다. 단, 저작권 소유자가 "기고문이 아님"을 명시적으로 표시하거나 서면으로 지정한 커뮤니케이션은 제외됩니다.

"기여자"는 라이선스 제공자 및 라이선스 제공자가 대신하여 기여물을 받아 작업물에 통합한 모든 개인 또는 법인을 의미합니다.

2. 저작권 라이선스 부여. 이 라이선스의 조건에 따라 각 기여자는 이로써 귀하에게 영구적이고 전 세계적이며 비독점적이고 무료이며 로열티가 없고 취소할 수 없는 저작권 라이선스를 부여합니다. 저작물 및 그러한 파생 저작물을 소스 또는 개체 형태로 재라이선스하고 구축합니다.

3. 특허 라이선스 부여. 본 라이선스의 약관에 따라 각 기여자는 귀하에게 저작물의 제작, 사용, 판매 제안, 판매, 가져오기, 기타 방식의 이전을 위한 영구적, 세계적, 비독점적, 요금 및 로열티 무료, 철회 불가능한(본 섹션에 명시된 경우 제외) 특허 라이선스를 부여합니다. 이러한 라이선스는 기여자가 부여할 수 있는 특허권에만 적용되며, 이는 기여물 단독으로 또는 기여물이 제출된 저작물과의 조합으로 인해 침해될 수 있습니다. 귀하가 저작물 또는 저작물에 통합된 기여가 직접적 또는 기여적 특허 침해를 구성한다고 주장하는 어떤 법인에 대해 특허 소송(소송에서 교차 청구 또는 반소 포함)을 제기하는 경우, 본 라이선스에 따라 귀하에게 부여된 모든 특허 라이선스는 작업은 그러한 소송이 제기된 날짜에 종료됩니다.

4. 재구축. 귀하는 다음 조건을 충족하는 경우 편집 여부에 관계없이 모든 매체와 소스 또는 개체 형식으로 저작물 또는 그 파생 저작물의 사본을 재생산 및 구축할 수 있습니다.

귀하는 저작물 또는 파생 저작물의 다른 수령인에게 본 라이센스의 사본을 제공해야 합니다. 그리고

귀하는 수정된 파일에 귀하가 파일을 변경했음을 알리는 눈에 띄는 통지를 전달해야 합니다. 그리고

파생 저작물의 일부와 관련되지 않은 통지를 제외하고 저작물의 소스 형식에서 가져온 모든 저작권, 특허, 상표 및 귀속 고지를 귀하가 구축하는 파생 저작물의 소스 형식으로 유지해야 합니다. 그리고

저작물이 구축의 일부로 "NOTICE" 텍스트 파일을 포함하는 경우 귀하가 구축하는 모든 파생 저작물에는 그러한 NOTICE 파일에 포함된 귀속 고지의 읽을 수 있는 사본이 포함되어야 합니다. 다음 위치 중 적어도 하나에 있는 2차 저작물: 2차 저작물의 일부로 구축되는 NOTICE 텍스트 파일 내에서 파생 저작물과 함께 제공되는 경우 소스 양식 또는 문서 내에서; 또는 파생 저작물에 의해 생성된 디스플레이 내에서 그러한 제3자 고지가 일반적으로 표시되는 경우. NOTICE 파일의 내용은 정보 제공의 목적으로만 사용되며 이에 따라 라이선스가 편집되지 않습니다. 저작물의 NOTICE 텍스트와 함께 또는 그 부록으로 구축하는 파생물 내 속성 고지로 인해 라이선스가 변경되지 않는 경우, 이러한 추가적인 속성 고지를 추가할 수 있습니다. 귀하는 귀하의 편집 사항에 자신의 저작권 진술을 추가할 수 있으며 편집 사항의 사용, 복제 또는 구축 또는 그러한 파생 저작물 전체에 대한 추가 또는 다른 라이선스 조건을 제공할 수 있습니다. 그렇지 않으면 저작물은 본 라이선스에 명시된 조건을 준수합니다.

5. 기여물 제출. 귀하가 달리 명시하지 않는 한, 귀하가 저작물에 포함하기 위해 라이선스 허가자에게 의도적으로 제출한 모든 기여물은 추가 약관 없이 본 라이선스의 약관에 따라야 합니다. 위의 내용에도 불구하고 여기의 어떠한 내용도 그러한 기여와 관련하여 귀하가 라이선스 제공자와 체결한 별도의 라이선스 계약 조건을 대체하거나 편집하지 않습니다.

6. 상표. 본 라이선스는 저작물의 출처를 설명하고 NOTICE 파일의 내용을 재생산하는 데 합당하고 관례적인 사용에 필요한 경우를 제외하고 라이선스 제공자의 상표명, 상표, 서비스 마크 또는 제품 이름을 사용할 수 있는 권한을 부여하지 않습니다.

7. 보증의 면책조항. 해당 법률에 의해 요구되는 경우나 서면으로 합의된 경우를 제외하고, 라이선서는 작업물(및 각 기여자는 자신의 기여물)을 "있는 그대로" 제공하며, 명시적이거나 묵시적으로 어떠한 종류의 보증이나 조건도 포함하지 않습니다. 이는 제목, 비침해성, 상품성 또는 특정 목적에 대한 적합성에 대한 어떠한 보증이나 조건을 포함합니다. 귀하는 저작물 사용 또는 재구축의 적합성을 판단할 전적인 책임이 있으며 본 라이선스에 따른 귀하의 권한 행사와 관련된 모든 위험을 감수합니다.

8. 책임의 제한. 어떠한 경우에도, 과실(비롯하여 과실포함 책임), 계약 또는 기타 이론에 의한, 해당 법에 의해 요구되는 경우(예: 고의적이고 중대한 과실 행위)나 서면으로 합의된 경우를 제외하고, 어떤 기여자도 본 라이선스로 인한 손해에 대해 법적으로 책임을지지 않습니다. 이는 작업물의 사용 또는 사용 불능으로 인해 발생하는 어떠한 종류의 직접적, 간접적, 특수적, 우발적 또는 결과적 손해(예: 선의의 상실, 작업 중단, 컴퓨터 고장 또는 장애, 그 외 모든 상업적 손해나 손실을 포함)에 대해서도 책임을지지 않습니다. 심지어 해당 기여자에게 그러한 손해의 가능성이 알려져 있더라도 마찬가지입니다.

9. 보증 또는 추가 책임 수락. 저작물 또는 그 파생물을 재구축하는 경우 귀하는 지원, 보증, 면책 또는 본 라이선스와 일치하는 기타 책임 의무 및/또는 권리의 수락을 제공하고 요금을 청구할 수 있습니다. 그러나 이러한 의무를 수락할 때에는 다른 기여자를 대신하여 행동하지 않고 오로지 자신의 명의로, 자신의 책임하에만 행동해야 하며, 해당 보증이나 추가적인 책임을 수락함으로써 발생하는 어떠한 책임에 대해서도 각 기여자를 면책시키고 방어하며 보호하기 위해 보증을 제공하는 경우에만 그렇게 행동할 수 있습니다.

이용 약관의 끝

================================================================================

* rimraf *

ISC 라이선스

Copyright (c) Isaac Z. Schlueter and Contributors

위의 저작권 고지와 이 허가 고지가 모든 사본에 포함되어 있는 한, 본 소프트웨어를 비용 여부에 상관없이 어떤 목적으로든 사용, 복사, 수정 및/또는 구축할 수 있는 권한이 여기에 부여됩니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자는 본 소프트웨어의 사용 또는 성능과 관련하여 계약, 과실 또는 기타 불법 행위로 인해 발생한 어떠한 직접적, 간접적, 부수적, 특별, 징벌적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다.

================================================================================

* uuid *

Copyright (c) 2010-2012 Robert Kieffer

MIT 라이선스- http://opensource.org/licenses/mit-license.php

================================================================================

* validator *

Copyright (c) 2016 Chris O'Hara <cohara87@gmail.com>

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어의 사용 또는 성능과 관련하여 계약, 불법 행위 등으로 인해 발생한 어떠한 직접적, 간접적, 부수적, 특별, 우발적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다.

================================================================================

* when *

오픈 소스 이니셔티브 OSI - MIT 라이선스

http://www.opensource.org/licenses/mit-license.php

Copyright (c) 2011 Brian Cavalier

본 소프트웨어와 관련 문서 파일(이하 "소프트웨어")의 사본을 획득한 모든 사람은 본 소프트웨어를 제한 없이 다룰 수 있으며, 이에 대한 비용은 부담하지 않습니다. 이는 소프트웨어의 사용, 복제, 수정, 통합, 게시, 구축, 하위 라이선스 부여 및 소프트웨어의 사본을 판매하는 권리를 포함한 제한 없는 권리를 제공합니다. 또한, 소프트웨어를 제공받은 사람에게 이러한 권리를 부여함에 따라 다음의 조건에 따라야 합니다.

위의 저작권 표시와 이 허가 표시는 모든 소프트웨어의 사본 또는 실질적인 부분에 포함되어야 합니다.

본 소프트웨어는 명시적 또는 묵시적인 어떠한 종류의 보증도 포함되지 않은 상태("있는 그대로")로 제공됩니다. 이에는 상업성, 특정 목적에의 적합성 및 타인의 권리를 침해하지 않음 등의 보증이 포함되지만 이에 한정되지는 않습니다. 어떠한 경우에도 저작자 또는 저작권 보유자는 본 소프트웨어의 사용 또는 성능과 관련하여 계약, 불법 행위 등으로 인해 발생한 어떠한 직접적, 간접적, 부수적, 특별, 우발적 또는 결과적 손해(대체 상품 또는 서비스의 조달, 사용, 데이터 또는 이익의 손실, 사업 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다.================================================================================

지원되는 디바이스, 소프트웨어 및 하드웨어

Security Cloud Control는 여러 보안 플랫폼에서 보안 정책과 디바이스 구성을 관리할 수 있는 클라우드 기반 관리 솔루션입니다. Security Cloud Control는 전체 정책 및 구성을 중앙에서 관리합니다.

  • Cisco Secure Firewall ASA, 온프레미스 및 가상 모두

  • Cisco Secure FTD(Firewall Threat Defense), 온프레미스 및 가상 모두

  • Cisco Catalyst SD-WAN Manager

  • Cisco Secure Firewall Management Center, 온프레미스

  • Cisco Meraki MX

  • Cisco IOS 디바이스

  • Cisco Umbrella

  • AWS 보안 그룹

이 문서에서는 Security Cloud Control가 지원하는 디바이스, 소프트웨어 및 하드웨어에 대해 설명합니다. Security Cloud Control가 지원하지 않는 소프트웨어 및 디바이스는 지적하지 않습니다. 소프트웨어 버전 또는 디바이스 유형에 대한 지원을 명시적으로 요청하지 않는 경우 지원되지 않습니다.

Cisco Secure Firewall ASA

Cisco ASA(Adaptive Security Appliance)는 방화벽, VPN, 침입 방지 기능이 통합된 보안 디바이스입니다. 무단 액세스, 사이버 위협 및 데이터 유출로부터 네트워크를 보호하고, 단일 플랫폼에서 강력한 보안 서비스를 제공합니다. Security Cloud Control 는 ASA 디바이스 관리를 지원하며, 구성 관리를 간소화 하고 네트워크 인프라 전반에서 규정 준수 를 보장하는 기능을 제공합니다.

Cisco Secure Firewall Threat Defense

Firewall Threat Defense는 기존 방화벽 기능과 고급 위협 보호 기능을 통합합니다. 침입 방지, 애플리케이션 제어, URL 필터링, 고급 멀웨어 보호 등 포괄적인 보안 기능을 제공합니다. FTD는 ASA 하드웨어 어플라이언스, Cisco 방화벽 하드웨어 어플라이언스 및 가상 환경에 구축할 수 있습니다. Cisco Firewall Management Center, Security Cloud Control, Firewall Device Manager 등 다양한 관리 인터페이스를 통해 Threat Defense 디바이스를 관리할 수 있습니다.

소프트웨어 및 하드웨어 호환성에 대한 자세한 내용은 Cisco Secure Firewall Threat Defense 호환성 가이드를 참조하십시오.

Firewall Device Manager는 Threat Defense 디바이스 관리를 위해 명시적으로 설계된 웹 기반 관리 인터페이스입니다. Threat Defense 디바이스를 구성하고 모니터링하는 간소화된 접근 방식을 제공하므로 소규모 구축 또는 직관적인 인터페이스를 선호하는 조직에 이상적입니다.

FDM은 네트워크 설정, 액세스 제어 정책, NAT 규칙, VPN 구성, 모니터링 및 기본 문제 해결을 위한 기본 구성 기능을 제공합니다. 일반적으로 웹 브라우저를 통해 액세스하는 FDM은 FTD 디바이스에서 직접 사용할 수 있으므로 추가 관리 서버나 어플라이언스가 필요하지 않습니다.

Cisco Catalyst SD-WAN Manager

Security Cloud ControlCatalyst SD-WAN에 대한 중앙 집중식 관리를 제공하여 조직이 네트워크 전반에 걸쳐 보안 정책을 효율적으로 구성, 모니터링 및 시행할 수 있도록 합니다. 이 통합은 또한 Catalyst SD-WAN Manager에서의 고급 문제 해결, 규칙 최적화 및 변경 관리를 용이하게 합니다.

소프트웨어 및 하드웨어 호환성에 대한 자세한 내용은 Cisco Catalyst SD-WAN 디바이스 호환성 가이드를 참조하십시오.

Cisco Secure Firewall Management Center

Security Cloud Control는 안전한 통합을 구축하고, 보안 디바이스를 검색하고, 중앙 집중식 정책 관리를 가능하게 하여 온프레미스 Firewall Management Center의 관리를 간소화합니다. 방화벽 규칙, VPN 설정, 침입 방지 정책과 같은 보안 정책을 FMC의 모든 디바이스에서 효율적으로 관리하고 구축할 수 있습니다.

Cisco Meraki MX

Meraki MX 어플라이언스는 분산 구축을 위해 설계된 엔터프라이즈급 보안 및 SD-WAN 차세대 방화벽 어플라이언스입니다. Security Cloud Control는 Meraki MX 디바이스에서 레이어 3 네트워크 규칙 관리를 지원합니다. Meraki 디바이스를 Security Cloud Control에 온보딩할 경우, 이는 Meraki 대시보드 와 통신하여 디바이스를 관리합니다. Security Cloud Control 는 설정 요청을 Meraki 대시보드 로 안전하게 전송하며, Meraki 대시보드에서 새 설정을 디바이스에 적용합니다. 중앙 집중식 정책 관리, 백업 및 복원, 모니터링 및 보고, 규정 준수 확인, 자동화 기능 등이 Security Cloud Control의 Cisco Meraki MX 지원의 주요 기능입니다.

Cisco IOS 디바이스

Cisco IOS는 라우팅, 스위칭 및 기타 네트워킹 프로토콜을 포함한 네트워크 기능을 관리하고 제어할 수 있습니다. Cisco 네트워크 디바이스를 구성하고 유지 관리하기 위한 일련의 기능과 명령을 제공하여 다양한 규모와 복잡한 네트워크 내에서 효율적인 커뮤니케이션과 관리를 가능하게 합니다.

Cisco Umbrella

Security Cloud Control는 Umbrella ASA 통합과 같은 통합을 통해 Cisco Umbrella를 관리합니다. 이를 통해 관리자는 인터페이스별 정책을 사용하여 Umbrella 구성에 Cisco ASA(Adaptive Security Appliance)를 포함할 수 있습니다. 이러한 통합을 통해 ASA에서는 DNS 쿼리를 Umbrella로 리디렉션할 수 있으며 Umbrella의 DNS 보안, 웹 필터링 및 위협 인텔리전스 기능을 활용하여 네트워크 보안을 강화할 수 있습니다.

AWS 보안 그룹

Security Cloud Control는 AWS(Amazon Web Services) VPC(Virtual Private Clouds, 가상 프라이빗 클라우드를 위한 간소화된 관리 인터페이스를 제공합니다. 주요 기능으로는 AWS 사이트 간 VPN 연결 모니터링, AWS 디바이스 변경 사항 추적, AWS 사이트 간 VPN 터널 보기 등이 있습니다.

Secure Firewall Threat Defense 디바이스 지원 세부 사항

Secure Firewall Threat Defense은 시스코의 차세대 방화벽입니다. 다양한 하드웨어 및 가상 플랫폼에 설치할 수 있습니다. Cisco Secure Firewall Threat Defense 호환성 가이드을 참조하십시오.

Firewall Threat Defense with Secure Firewall Device Manager

Firewall Device Manager를 사용하여 Threat Defense 버전 6.4 이상에 Security Cloud Control 관리 기능을 추가할 수 있습니다. 그러나 이 옵션은 테넌트에서 이미 디바이스 관리자 지원을 사용하도록 설정한 사용자의 요청 시에만 사용할 수 있습니다. 참조:

Snort

Snort 3은 Threat Defense 버전 6.7(디바이스 관리자 포함) 및 버전 7.0(Management Center 포함)부터 Threat Defense를 위한 기본 검사 엔진입니다.


Important

아직 Snort 2 검사 엔진을 사용 중이라면 지금 바로 Snort 3으로 전환하여 탐지 및 성능을 개선합니다. Snort 2는 향후 릴리스에서 더 이상 사용되지 않으며 결국 Threat Defense 업그레이드를 지원하지 않게 됩니다.

FDM-관리 디바이스 온보딩

FDM 관리 디바이스 관리

FDM 관리 Firewall Threat Defense 디바이스만 Security Cloud Control에 온보딩할 수 있습니다. 이러한 디바이스는 클라우드 제공 Firewall Management Center에서 관리할 수 없습니다.

디바이스가 로컬 관리용으로 구성되지 않은 경우 디바이스를 온보딩하기 전에 로컬 관리로 전환해야 합니다. Firepower Device Manager용 Secure Firewall Threat Defense 구성 가이드로컬 및 원격 관리 간 전환 장을 참조하십시오.

라이선싱

일부 상황에서는 스마트 라이선스를 적용할 수 있지만 디바이스를 Security Cloud Control에 온보딩하려면 최소한 라이선스가 설치되어 있어야 합니다.

온보딩 방법

Secure Firewall Device Manager 소프트웨어 버전

90일 평가판 라이선스가 허용됩니까?

온보딩 전에 디바이스에 이미 스마트 라이선스가 부여될 수 있습니까?

온보딩 전에 디바이스를 Cisco Cloud Services에 이미 등록할 수 있습니까?

자격 증명(사용자 이름 및 비밀번호)

6.4 이상

등록 키

6.4 또는 6.5

아니요. 스마트 라이선스를 등록 취소한 다음 디바이스를 온보딩합니다.

해당 없음

등록 키

6.6 이상

아니요. Cisco Cloud Services에서 디바이스를 등록 취소한 다음 디바이스를 온보딩합니다.

제로 터치 프로비저닝

6.7 이상

일련 번호로 디바이스 온보딩

6.7 이상

자세한 내용은 Cisco Firepower System 기능 라이선스를 참조하십시오.

디바이스 주소 지정

FDM 관리 디바이스를 온보딩하는 데 사용하는 주소는 고정 주소인 것이 가장 좋습니다. 디바이스의 IP 주소가 DHCP에 의해 할당된 경우 DDNS(동적 도메인 이름 시스템)를 사용하여 디바이스의 도메인 이름 항목이 변경되는 경우 디바이스의 새 IP 주소로 자동으로 업데이트하는 것이 가장 좋습니다.


참고

FDM 관리 디바이스는 기본적으로 DDNS를 지원하지 않습니다. 사용자 고유의 DDNS를 구성해야 합니다.


중요사항

디바이스가 DHCP 서버에서 IP 주소를 가져오는데 FDM 관리 디바이스의 도메인 이름 항목을 새 IP 주소로 업데이트하는 DDNS 서버가 없거나 디바이스가 새 주소를 수신하는 경우, 관리자가 디바이스에 대해 유지하는 IP 주소를 변경한 다음 디바이스를 다시 연결할 수 있습니다. 등록 키를 사용하여 디바이스를 온보딩하는 것이 더 좋습니다.

내부 인터페이스에서 FDM-관리 디바이스 관리

전용 MGMT 인터페이스에 조직 내에서 라우팅할 수 없는 주소가 할당된 경우, 내부 인터페이스를 사용하여 FDM 관리 디바이스를 관리하는 것이 바람직할 수 있습니다. 예를 들어 데이터 센터나 연구실 내에서만 연결할 수 있습니다.

Figure 1. 인터페이스 주소

원격 액세스 VPN 요구 사항

Security Cloud Control로 관리하는 FDM 관리 디바이스가 원격 액세스 VPN(RA VPN) 연결을 관리하는 경우 Security Cloud Control는 내부 인터페이스를 사용하여 디바이스를 관리해야 합니다.

다음 작업:

FDM 관리 디바이스 구성 절차를 위해 내부 인터페이스에서 FDM-관리 디바이스 관리로 계속하십시오.

내부 인터페이스에서 FDM-관리 디바이스 관리

이 구성 방법:

  • FDM 관리 디바이스가 Security Cloud Control에 온보딩되지 않았다고 가정합니다.

  • 데이터 인터페이스를 내부 인터페이스로 구성합니다.

  • MGMT 트래픽(HTTPS)을 수신하도록 내부 인터페이스를 구성합니다.

  • 클라우드 커넥터의 주소가 디바이스의 내부 인터페이스에 도달하도록 허용합니다.

Before you begin
다음 항목에서 이 구성의 사전 요구 사항을 검토합니다.
Procedure

Step 1

Secure Firewall Device Manager에 로그인합니다.

Step 2

System Settings(시스템 설정) 메뉴에서 Management Access(관리 액세스)를 클릭합니다.

Step 3

Data Interfaces(데이터 인터페이스) 탭을 클릭하고 Create Data Interface(데이터 인터페이스 생성)를 클릭합니다.

  1. Interface(인터페이스) 필드의 인터페이스 목록에서 미리 명명된 "inside(내부)" 인터페이스를 선택합니다.

  2. Protocols(프로토콜)필드에서 아직 HTTPS가 아닌 경우 HTTPS를 선택합니다.

  3. Allowed Networks(허용된 네트워크) 필드에서 FDM 관리 디바이스의 내부 주소에 액세스할 수 있는 조직 내부의 네트워크를 나타내는 네트워크 개체를 선택합니다. SDC 또는 클라우드 커넥터의 IP 주소는 디바이스의 내부 주소에 액세스할 수 있는 주소 중 하나여야 합니다.

    인터페이스 주소 다이어그램에서 SDC의 IP 주소 192.168.1.10은 192.168.1.1에 도달할 수 있어야 합니다.

Step 4

변경 사항 구축. 이제 내부 인터페이스를 사용하여 디바이스를 관리할 수 있습니다.

What to do next

클라우드 커넥터를 사용하는 경우 어떻게 됩니까?

위의 절차를 사용하고 다음 단계를 추가합니다.

  • 내부 인터페이스(192.168.1.1)에 외부 인터페이스(203.0.113.2)를 "NAT"하는 단계를 추가합니다. 인터페이스 주소를 참조하십시오.

  • 위 절차의 3c단계에서 "허용된 네트워크"는 클라우드 커넥터의 공인 IP 주소를 포함하는 네트워크 그룹 개체입니다.

  • 클라우드 커넥터의 공용 IP 주소에서 외부 인터페이스(203.0.113.2)에 대한 액세스를 허용하는 액세스 제어 규칙을 생성하는 단계를 추가합니다. 다양한 Security Cloud Control 지역에 대한 모든 Cloud Connector IP 주소 목록을 참조하십시오.

FDM-관리 디바이스 온보딩

등록 토큰 온보딩 접근 방식은 FDM 관리 디바이스를 Security Cloud Control에 온보딩하는 권장 방법입니다. Cloud Connector에서 FDM 관리 디바이스로의 관리 액세스를 허용하도록 내부 인터페이스를 구성한 후, 사용자 이름과 암호를 사용하여 FDM 관리디바이스를 온보딩합니다. 자세한 내용은 사용자 이름, 암호 및 IP 주소를 사용하여 FDM 관리 디바이스 온보딩을 참조하십시오. 내부 인터페이스의 IP 주소를 사용하여 연결합니다. 위의 시나리오에서 해당 주소는 192.168.1.1입니다.

외부 인터페이스에서 FDM-관리 디바이스 관리

지사에 할당된 하나의 공용 IP 주소가 있고 Security Cloud Control가 다른 위치에서 클라우드 커넥터를 사용하여 관리되는 경우 외부 인터페이스에서 클라우드 제공 Firewall Management Center 디바이스를 관리하는 것이 바람직할 수 있습니다.

Figure 2. 외부 인터페이스에서 디바이스 관리

이 구성은 물리적 MGMT 인터페이스가 더 이상 디바이스의 관리 인터페이스가 아님을 의미하지 않습니다. 클라우드 제공 Firewall Management Center 디바이스가 있는 사무실에 있다면 MGMT 인터페이스의 주소에 연결하여 디바이스를 직접 관리할 수 있습니다.

원격 액세스 VPN 요구 사항

클라우드 제공 Firewall Management Center로 관리하는 디바이스가 원격 액세스 VPN(RA VPN) 연결을 관리하는 경우, 클라우드 제공 Firewall Management Center는 외부 인터페이스를 사용하여 클라우드 제공 Firewall Management Center 디바이스를 관리해야 합니다. 대신 내부 인터페이스에서 FDM-관리 디바이스 관리를 참조하십시오.

다음 작업:

클라우드 제공 Firewall Management Center 디바이스 구성 절차를 위해 FDM-관리 디바이스의 외부 인터페이스 관리로 계속하십시오.

FDM-관리 디바이스의 외부 인터페이스 관리

이 구성 방법:

  1. FDM 관리 디바이스가 Security Cloud Control에 온보딩되지 않았다고 가정합니다.

  2. 데이터 인터페이스를 외부 인터페이스로 구성합니다.

  3. 외부 인터페이스에서 관리 액세스를 구성합니다.

  4. 클라우드 커넥터의 공용 IP 주소(방화벽을 통해 NAT된 후)가 외부 인터페이스에 도달하도록 허용합니다.

Before you begin
다음 항목에서 이 구성의 사전 요구 사항을 검토합니다.
Procedure

Step 1

Secure Firewall Device Manager에 로그인합니다.

Step 2

System Settings(시스템 설정) 메뉴에서 Management Access(관리 액세스)를 클릭합니다.

Step 3

Data Interfaces(데이터 인터페이스) 탭을 클릭하고 Create Data Interface(데이터 인터페이스 생성)를 클릭합니다.

  1. Interface(인터페이스) 필드의 인터페이스 목록에서 미리 명명된 "outside(외부)" 인터페이스를 선택합니다.

  2. Protocols(프로토콜) 필드에서 아직 HTTPS가 아닌 경우 HTTPS를 선택합니다. Security Cloud Control은 HTTPS 액세스만 필요합니다.

  3. Allowed Networks(허용된 네트워크) 필드에서 방화벽을 통해 NAT된 후 클라우드 커넥터의 공용 IP 주소를 포함하는 호스트 네트워크 개체를 생성합니다.

    Device Management from Outside Interface(외부 인터페이스의 디바이스 관리) 네트워크 다이어그램에서 클라우드 커넥터의 IP 주소인 10.10.10.55는 203.0.113.2로 NAT됩니다. 허용된 네트워크의 경우 값이 203.0.113.2인 호스트 네트워크 개체를 생성합니다.

Step 4

Secure Firewall Device Manager에서 SDC 또는 클라우드 커넥터의 공용 IP 주소에서 FDM 관리 디바이스의 외부 인터페이스로의 관리 트래픽(HTTPS)을 허용하는 액세스 제어 정책을 생성합니다. 이 시나리오에서 소스 주소는 203.0.113.2이고 소스 프로토콜은 HTTPS입니다. 대상 주소는 209.165.202.129이고 프로토콜은 HTTPS입니다.

Step 5

변경 사항 구축. 이제 외부 인터페이스를 사용하여 디바이스를 관리할 수 있습니다.

What to do next

클라우드 커넥터를 사용하는 경우 어떻게 됩니까?

프로세스는 다음 두 가지를 제외하고 매우 유사합니다.

등록 토큰 온보딩 접근 방식은 FDM 관리 디바이스를 Security Cloud Control에 온보딩하는 권장 방법입니다. 클라우드 커넥터에서 관리 액세스를 허용하도록 외부 인터페이스를 구성한 후 FDM 관리 디바이스를 온보딩합니다. 외부 인터페이스의 IP 주소를 사용하여 연결합니다. 이 시나리오에서 해당 주소는 209.165.202.129입니다.

FDM-관리 디바이스를 Security Cloud Control에 온보딩

다음 절차에 따라 아래의 방법으로 FDM 관리Security Cloud Control로 온보딩합니다.

사용자 이름, 비밀번호 및 IP 주소를 사용하여 FDM-관리 디바이스 온보딩

디바이스 자격 증명 및 디바이스의 관리 IP 주소만 사용하여 FDM 관리 디바이스를 온보딩하려면 이 절차를 사용합니다. 이는 FDM 관리 디바이스를 온보딩하는 가장 간단한 방법입니다.

그러나 FDM 관리 디바이스를 Security Cloud Control에 온보딩하는 데 권장하는 방법은 등록 키를 사용하는 것입니다.

Before you begin

Important

Security Cloud ControlFDM 관리 디바이스를 온보딩하기 전에 FDM 관리 디바이스 온보딩매니지드 디바이스에 Security Cloud Control 연결를 읽어 보십시오. 디바이스를 온보딩하는 데 필요한 일반 디바이스 요구 사항 및 온보딩 사전 요건을 제공합니다.

  • 자격 증명 방법을 사용하여 FDM 관리 디바이스를 온보딩하려면 다음 정보가 필요합니다.

    • 디바이스 자격 증명 Security Cloud Control은 디바이스에 연결하는 데 사용됩니다.

    • 디바이스 관리에 사용 중인 인터페이스의 디바이스 IP 주소입니다. 이는 네트워크를 구성한 방법에 따라 관리 인터페이스, 내부 인터페이스 또는 외부 인터페이스일 수 있습니다.

    • 디바이스를 Security Cloud Control에 온보딩하려면 로컬 관리를 위해 Secure Firewall Device Manager이 디바이스를 관리하고 구성해야 합니다. Secure Firewall Management Center에서 관리할 수 없습니다.


Note

https://eu.manage.security.cisco.com에 연결하고 FDM 관리 디바이스에서 소프트웨어 버전 6.4를 실행 중인 경우 이 방법을 사용해야 합니다. 소프트웨어 버전 6.5 이상을 실행하는 FDM 관리 디바이스만 온보딩할 수 있습니다.

Procedure

Step 1

Security Cloud Control에 로그인합니다.

Step 2

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 3

디바이스를 온보딩하려면 파란색 플러스 버튼 를 클릭합니다.

Step 4

FTD를 클릭합니다.

Important

 

FDM 관리 디바이스 온보딩을 시도하면 Security Cloud Control는 테넌트에 대한 일회성 활동인 Secure Firewall Threat Defense EULA(엔드 유저 라이선스 동의서)를 읽고 동의하라는 메시지를 표시합니다. EULA에 동의하면 Security Cloud Control은 EULA가 변경되지 않는 한 동의하라는 메시지를 다시 표시하지 않습니다.

Step 5

온보딩 마법사에서 Use Credentials(자격 증명 사용)를 클릭합니다.

Step 6

디바이스 세부 정보 단계에서 다음을 수행합니다.

  • Secure Device Connector(보안 디바이스 커넥터) 버튼을 클릭하고 네트워크에 설치된 SDC(Secure Device Connector)를 선택합니다. SDC를 사용하지 않으려면 Security Cloud Control은 Cloud Connector를 사용하여 FDM 관리 디바이스에 연결할 수 있습니다.

    선택은 Security Cloud Control를 매니지드 디바이스에 연결하는 방법에 따라 달라집니다.

  • Device Name(디바이스 이름) 필드에 디바이스 이름을 입력합니다. 디바이스의 호스트 이름 또는 선택한 다른 이름일 수 있습니다.

  • Location(위치) 필드에 디바이스 관리에 사용 중인 인터페이스의 IP 주소, 호스트 이름 또는 디바이스의 정규화된 도메인 이름을 입력합니다. 기본 포트는 443입니다.

Important

 
SecureX 또는 Cisco Threat Response(CTR) 어카운트가 이미 있는 경우, 디바이스를 SecureX에 등록하려면 Security Cloud Control 테넌트와 SecureX/CTR 어카운트를 병합해야 합니다. SecureX 포털을 통해 어카운트를 병합할 수 있습니다. 자세한 내용은 Security Cloud Control 및 SecureX 어카운트 병합을 참조하십시오. 어카운트가 병합될 때까지 SecureX에서 디바이스의 이벤트를 보거나 다른 SecureX 기능을 활용할 수 없습니다.

Step 7

Database Updates(데이터베이스 업데이트) 영역에서 Immediately perform security updates, and enable recurring updates(즉시 보안 업데이트를 수행하고 반복 업데이트 활성화)가 기본적으로 활성화됩니다. 이 옵션은 보안 업데이트를 즉시 트리거할 뿐 아니라 매주 월요일 오전 2시에 추가 업데이트를 확인하도록 디바이스를 자동으로 예약합니다. 자세한 내용은 FTD 보안 데이터베이스 업데이트보안 데이터베이스 업데이트 예약을 참조하십시오.

이 옵션을 비활성화해도 FDM을 통해 구성했을 수 있는 이전에 예약된 업데이트에는 영향을 주지 않습니다.

Next(다음)를 클릭합니다.

Step 8

디바이스 관리자의 사용자 이름과 비밀번호를 입력하고 Next(다음)를 클릭합니다.

Step 9

디바이스의 Secure Firewall Device Manager에 보류 중인 변경 사항이 있는 경우 알림이 표시되며, 변경 사항을 되돌리거나 관리자에 로그인하여 보류 중인 변경 사항을 구축할 수 있습니다. Secure Firewall Device Manager에 보류 중인 변경 사항이 없으면 프롬프트가 표시되지 않습니다.

Step 10

(선택 사항) 디바이스의 레이블을 추가합니다. 자세한 내용은 레이블 및 레이블 그룹을 참조하십시오.

등록 키를 사용하여 소프트웨어 버전 6.4 또는 6.5를 실행하는 FDM-관리 디바이스 온보딩

이 절차에서는 등록 키를 사용하여 FDM 관리 디바이스를 온보딩하는 방법을 설명합니다. 이 방법은 Security Cloud ControlFDM 관리 디바이스를 온보딩하는 데 권장되는 방법이고 DHCP를 사용하여 FDM 관리에 IP 주소를 할당한 경우 유용합니다. 어떤 이유로 해당 IP 주소가 변경되더라도 FDM 관리 디바이스는 Security Cloud Control에 연결된 상태로 유지됩니다. 또한 FDM 관리 디바이스는 로컬 영역 네트워크에 주소를 가질 수 있으며 외부 네트워크에 액세스할 수 있는 한 이 방법을 사용하여 Security Cloud Control에 온보딩할 수 있습니다.


Warning

이미 SecureX 또는 CTR(Cisco Threat Response) 어카운트가 있는 경우 디바이스를 SecureX에 등록하려면 Security Cloud Control 테넌트와 SecureX/CTR 어카운트를 병합해야 합니다. 어카운트가 병합될 때까지 SecureX에서 디바이스의 이벤트를 보거나 다른 SecureX 기능을 이용할 수 없습니다. SecureX에서 Security Cloud Control 모듈을 생성하기 전에 어카운트를 병합하는 것을 강력히 권장합니다. SecureX 포털을 통해 어카운트를 병합할 수 있습니다. 자세한 내용은 어카운트 병합을 참조하십시오.

온보딩 전

  • 버전 6.4를 실행하는 고객의 경우 이 온보딩 방법은 미국 지역에서만 지원됩니다, https://us.manage.security.cisco.com.

  • 버전 6.4를 실행하고 EU 지역에 연결하는 고객의 경우 디바이스 사용자 이름, 암호 및 IP 주소를 사용하여 디바이스를 온보딩해야 합니다.

  • 버전 6.5 이상을 실행하고 미국, EU 또는 APJ 지역에 연결하는 고객은 이 온보딩 방법을 사용할 수 있습니다.

  • Security Cloud ControlFDM 관리 디바이스에 연결하는 데 필요한 네트워크 요구 사항에 대해서는 매니지드 디바이스에 Security Cloud Control 연결를 검토하십시오.

  • Secure Firewall Management Center가 아닌 Secure Firewall Device Manager에서 디바이스를 관리하는지 확인합니다.

  • 버전 6.4 및 6.5를 실행하는 디바이스는 등록 키로 온보딩하기 전에 Cisco Smart Software Manager에 등록하지 않아야 합니다. Security Cloud Control에 온보딩하기 전에 해당 FDM 관리의 스마트 라이선스를 등록 취소해야 합니다. 아래의 "스마트 라이선스 Firewall Device Manager 등록 취소"를 참조하십시오.

  • 디바이스에서 90일 평가판 라이선스를 사용 중일 수 있습니다.

  • FDM 관리 디바이스에 로그인하고 디바이스에서 대기 중인 변경 사항이 없는지 확인합니다.

  • DNS가 FDM 관리 디바이스에 올바르게 구성되어 있는지 확인합니다.

  • FDM 관리 디바이스에서 시간 서비스가 올바르게 구성되었는지 확인합니다.

  • FDM 관리 디바이스에 올바른 날짜 및 시간이 표시되는지 확인합니다. 그렇지 않으면 온보딩이 실패합니다.

다음 작업

다음 두 가지 중 하나를 수행합니다.

스마트 라이선스 FDM-관리 디바이스 등록 취소

온보딩하려는 디바이스가 버전 6.4 또는 6.5를 실행 중이고, 이미 스마트 라이선스가 있는 경우, 해당 디바이스는 Cisco Smart Software Manager에 등록되어 있을 가능성이 높습니다. 등록 키를 사용하여 Security Cloud Control에 온보딩하기 전에 Cisco Smart Software Manager에서 디바이스를 등록 취소해야 합니다. 등록을 취소하면 디바이스에 연결된 기본 라이선스 및 선택 가능한 모든 라이선스가 가상 어카운트에서 해제됩니다.

디바이스를 등록 취소한 후에도 디바이스의 현재 구성 및 정책은 계속 원래대로 작동하지만 변경을 수행하거나 변경 사항을 구축할 수는 없습니다.

Procedure

Step 1

Secure Firewall Device Manager를 사용하여 디바이스에 로그인합니다.

Step 2

상단 탭에서 디바이스 아이콘을 클릭합니다.

Step 3

Smart License(스마트 라이선스) 영역에서 View Configuration(구성 보기)을 클릭합니다.

Step 4

Go to Cloud Services(클라우드 서비스로 이동) 기어 메뉴를 클릭하고 Unregister Device(디바이스 등록 취소)를 선택합니다.

Step 5

경고를 확인한 후에 디바이스를 등록 취소하려면 Unregister(등록 취소)를 클릭합니다.

What to do next

Security Cloud Control에 온보딩하기 위해 등록을 취소한 경우 등록 키를 사용하여 소프트웨어 버전 6.4 또는 6.5를 실행하는 FDM-관리 디바이스를 온보딩하는 절차로 계속합니다.

등록 키를 사용하여 소프트웨어 버전 6.4 또는 6.5를 실행하는 FDM-관리 디바이스를 온보딩하는 절차

등록 키를 사용하여 FDM 관리를 온보딩하려면 다음 절차를 수행합니다.

Before you begin

등록 키를 사용하여 소프트웨어 버전 6.4 또는 6.5를 실행하는 FDM-관리 디바이스 온보딩에서 설명하는 사전 요건을 검토하십시오.

Procedure

Step 1

Security Cloud Control에 로그인합니다.

Step 2

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 3

디바이스를 온보딩하려면 파란색 플러스 버튼 를 클릭합니다.

Step 4

FTD를 클릭합니다.

Important

 

FDM 관리 디바이스를 온보딩하려고 하면 Security Cloud Control에서 Firepower Threat Defense EULA(최종 사용자 라이선스 계약)를 읽고 동의하라는 메시지가 표시됩니다. 이는 테넌트의 일회성 활동입니다. 이 동의서에 동의하면 Security Cloud Control는 후속 FDM 관리 온보딩에서 이를 다시 확인하지 않습니다. 나중에 EULA 계약이 변경되는 경우 메시지가 표시되면 다시 동의해야 합니다.

Step 5

Onboard FTD Device(온보드 FTD 디바이스) 화면에서 Use Registration Key(등록 키 사용)를 클릭합니다.

Step 6

Device Name(디바이스 이름) 필드에 디바이스 이름을 입력합니다. 디바이스의 호스트 이름 또는 선택한 다른 이름일 수 있습니다.

Step 7

Database Updates(데이터베이스 업데이트) 영역에서 Immediately perform security updates, and enable recurring updates(즉시 보안 업데이트를 수행하고 반복 업데이트 활성화) 옵션이 기본적으로 활성화됩니다. 이 옵션은 보안 업데이트를 즉시 트리거할 뿐 아니라 매주 월요일 오전 2시에 추가 업데이트를 확인하도록 디바이스를 자동으로 예약합니다. 자세한 내용은 FTD 보안 데이터베이스 업데이트보안 데이터베이스 업데이트 예약을 참조하십시오.

Note

 

이 옵션을 비활성화해도 Secure Firewall Device Manager을 통해 구성했을 수 있는 이전에 예약된 업데이트에는 영향을 주지 않습니다.

Step 8

Create Registration Key(등록 키 생성) 영역에서 Security Cloud Control가 등록 키를 생성합니다.

Note

 

키가 생성된 후 디바이스가 완전히 온보딩되기 전에 온보딩 화면에서 나갈 경우, 온보딩 화면으로 돌아갈 수 없습니다. 그러나 Security Cloud ControlSecurity Devices(보안 디바이스) 페이지에서 해당 디바이스에 대한 자리 표시자를 생성합니다. 디바이스의 자리 표시자를 선택하면 오른쪽에 있는 작업 창에서 해당 디바이스의 키를 볼 수 있습니다.

Step 9

Copy(복사) 아이콘 을 클릭하여 등록 키를 복사합니다.

Note

 

등록 키 복사를 건너뛰고 Next(다음)를 클릭하여 디바이스에 대한 자리 표시자 항목을 완료한 다음 나중에 디바이스를 등록할 수 있습니다. 이 옵션은 디바이스를 먼저 생성하고 나중에 디바이스를 등록하려는 경우 또는 고객 네트워크에 POV(Proof of Value) 디바이스를 설치하는 Cisco 파트너인 경우 유용합니다.

Security Devices(보안 디바이스) 페이지에서 디바이스가 현재 연결 상태인 "Unprovisioned(프로비저닝되지 않음)"에 있음을 확인할 수 있습니다. Unprovisioned(프로비저닝되지 않음) 아래에 표시되는 등록 키를 Firewall Device Manager에 복사하여 온보딩 프로세스를 완료합니다.

Step 10

Security Cloud Control에 온보딩하려는 디바이스의 Secure Firewall Device Manager에 로그인합니다.

Step 11

System Settings(시스템 설정)에서 Cloud Services(클라우드 서비스)를 클릭합니다.

Step 12

Security Cloud Control 타일에서 Get Started(시작하기)를 클릭합니다.

Step 13

Region(지역) 필드에서 테넌트가 할당된 Cisco Cloud 지역을 선택합니다.

Note

 

이 단계는 버전 6.4를 실행하는 FDM 관리 디바이스에는 적용되지 않습니다.

Step 14

Registration Key(등록 키) 필드에 Security Cloud Control에서 생성한 등록 키를 붙여넣습니다.

Step 15

Register(등록)를 클릭한 다음, Accept Cisco Disclosure(Cisco 공개 동의)를 클릭합니다.

Step 16

Security Cloud Control으로 돌아갑니다. 디바이스에 적용할 모든 라이선스를 선택합니다.

자세한 내용은 스마트 라이선스 적용 또는 업데이트를 참조하십시오. Skip(건너뛰기)을 클릭하여 90일 평가 라이선스로 온보딩을 계속할 수도 있습니다.

Step 17

Security Cloud Control로 돌아가 Security Devices(보안 디바이스) 페이지를 열고 디바이스 상태가 "Unprovisioned(프로비저닝되지 않음)"에서 "Locating(찾기 중)", "Syncing(동기화 중)"에서 "Synced(동기화됨)"로 진행되는지 확인합니다.

등록 키를 사용하여 소프트웨어 버전 6.6 이상을 실행하는 FDM-관리 디바이스 온보딩

이 절차에서는 등록 키를 사용하여 버전 6.6 이상을 실행하는 FDM 관리 디바이스를 온보딩하는 방법을 설명합니다. 이 방법은 Security Cloud ControlFDM 관리 디바이스를 온보딩하는 데 권장되는 방법이고 DHCP를 사용하여 FDM 관리에 IP 주소를 할당한 경우 유용합니다. 어떤 이유로 해당 IP 주소가 변경되더라도 FDM 관리 디바이스는 Security Cloud Control에 연결된 상태로 유지됩니다. 또한 FDM 관리 디바이스는 로컬 영역 네트워크에 주소를 가질 수 있으며 외부 네트워크에 액세스할 수 있는 한 이 방법을 사용하여 Security Cloud Control에 온보딩할 수 있습니다.


Warning

이미 SecureX 또는 CTR(Cisco Threat Response) 어카운트가 있는 경우 디바이스를 SecureX에 등록하려면 Security Cloud Control 테넌트와 SecureX/CTR 어카운트를 병합해야 합니다. 어카운트가 병합될 때까지 SecureX에서 디바이스의 이벤트를 보거나 다른 SecureX 기능을 이용할 수 없습니다. SecureX에서 Security Cloud Control 모듈을 생성하기 전에 어카운트를 병합하는 것을 강력히 권장합니다. SecureX 포털을 통해 어카운트를 병합할 수 있습니다. 자세한 내용은 어카운트 병합을 참조하십시오.

버전 6.4 또는 6.5를 실행하는 FDM 관리 디바이스를 온보딩하려면 등록 키를 사용하여 소프트웨어 버전 6.4 또는 6.5를 실행하는 FDM 매니지드 디바이스 온보딩을 참조하십시오.

온보딩 전

  • 이 온보딩 방법은 현재 버전 6.6 이상 및 https://us.manage.security.cisco.com, https://eu.manage.security.cisco.com 또는 https://apj.manage.security.cisco.com에 연결하는 고객에게 제공됩니다.

  • Security Cloud ControlFDM 관리 디바이스에 연결하는 데 필요한 네트워크 요구 사항에 대해서는 매니지드 디바이스에 Security Cloud Control 연결검토하십시오.

  • Secure Firewall Management Center가 아닌 Secure Firewall Device Manager에서 디바이스를 관리하는지 확인합니다.

  • 디바이스는 90일 평가 라이선스를 사용하거나 스마트 라이선스를 사용할 수 있습니다. 버전 6.6 이상을 실행하는 디바이스는 설치된 스마트 라이선스의 등록을 취소하지 않고 등록 키를 사용하여 Security Cloud Control에 온보딩할 수 있습니다.

  • 디바이스를 Cisco Cloud 서비스에 이미 등록할 수 없습니다. 온보딩하기 전에 아래의 "Cisco Cloud Services에서 FDM-관리 디바이스 등록 취소"를 참조하십시오.

  • 디바이스의 Secure Firewall Device Manager UI에 로그인하고 디바이스에서 대기 중인 변경 사항이 없는지 확인합니다.

  • DNS가 FDM 관리 디바이스에 올바르게 구성되어 있는지 확인합니다.

  • FDM 관리 디바이스에서 시간 서비스가 구성되었는지 확인합니다.

  • FDM 관리 디바이스에 올바른 날짜 및 시간이 표시되는지 확인합니다. 그렇지 않으면 온보딩이 실패합니다.

다음 작업:

다음 중 하나를 수행합니다.

Cisco Cloud Services에서 FDM-관리 디바이스 등록 취소

다음 절차는 Cisco Cloud Services에서 디바이스를 등록 취소하기 위한 것입니다. 등록 키를 사용하여 FDM 관리 디바이스를 Security Cloud Control에 온보딩하기 전에 이 방법을 사용합니다.


Note

버전 7.0 이상을 실행하는 가상 FDM 관리 디바이스를 온보딩하는 경우 가상 FDM 관리 디바이스를 Security Cloud Control에 등록하면 성능 계층화된 스마트 라이선싱 선택 항목이 기본 계층인 Variable(변수)로 자동 재설정됩니다. 온보딩 후 Secure Firewall Device Manager UI를 통해 디바이스에 연결된 라이선스와 일치하는 계층을 수동으로 다시 선택해야 합니다.

이 절차를 사용하여 Cisco Cloud Services에 등록되지 않았는지 확인합니다.

Procedure

Step 1

Secure Firewall Device Manager를 사용하여 디바이스에 로그인합니다.

Step 2

상단 탭에서 디바이스 아이콘을 클릭합니다.

Step 3

System Settings(시스템 설정) 메뉴를 확장한 다음 Cloud Services(클라우드 서비스)를 클릭합니다.

Step 4

Cloud Services(클라우드 서비스) 페이지에서 기어 메뉴를 클릭하고 Unregister Cloud Services(클라우드 서비스 등록 취소)를 선택합니다.

Step 5

경고를 확인한 후에 디바이스를 등록 취소하려면 Unregister(등록 취소)를 클릭합니다.

What to do next
버전 6.6 이상을 실행하는 FDM 관리 디바이스를 온보딩하려는 경우 등록 키를 사용하여 소프트웨어 버전 6.6 이상을 실행하는 FDM-관리 디바이스를 온보딩하는 절차을 계속 진행하십시오.
등록 키를 사용하여 소프트웨어 버전 6.6 이상을 실행하는 FDM-관리 디바이스를 온보딩하는 절차

등록 키를 사용하여 FDM 관리 디바이스를 온보딩하려면 다음 절차를 수행합니다.

Procedure

Step 1

Security Cloud Control에 로그인합니다.

Step 2

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 3

디바이스를 온보딩하려면 파란색 플러스 버튼 를 클릭합니다.

Step 4

FTD를 클릭합니다.

Important

 

FDM 관리 디바이스 온보딩을 시도하면 Security Cloud Control에서는 테넌트에 대한 일회성 활동인 EULA(엔드 유저 라이선스 동의서)를 읽고 동의하라는 메시지를 표시합니다. 이 동의서에 동의하면 Security Cloud Control는 후속 온보딩에서 이를 다시 확인하지 않습니다. 나중에 EULA 계약이 변경되는 경우 메시지가 표시되면 다시 동의해야 합니다.

Step 5

Onboard FTD Device(온보드 FTD 디바이스) 화면에서 Use Registration Key(등록 키 사용)를 클릭합니다.

Step 6

Device Name(디바이스 이름) 필드에 디바이스 이름을 입력합니다. 디바이스의 호스트 이름 또는 선택한 다른 이름일 수 있습니다.

Step 7

Database Updates(데이터베이스 업데이트) 영역에서 Immediately perform security updates, and enable recurring updates(즉시 보안 업데이트를 수행하고 반복 업데이트 활성화)가 기본적으로 활성화됩니다. 이 옵션은 보안 업데이트를 즉시 트리거할 뿐 아니라 매주 월요일 오전 2시에 추가 업데이트를 확인하도록 디바이스를 자동으로 예약합니다. 자세한 내용은 FTD 보안 데이터베이스 업데이트보안 데이터베이스 업데이트 예약을 참조하십시오.

Note

 

이 옵션을 비활성화해도 Secure Firewall Device Manager을 통해 구성했을 수 있는 이전에 예약된 업데이트에는 영향을 주지 않습니다.

Step 8

Create Registration Key(등록 키 생성) 단계에서 Security Cloud Control가 등록 키를 생성합니다.

Note

 

키가 생성된 후 디바이스가 완전히 온보딩되기 전에 온보딩 화면에서 나갈 경우, 온보딩 화면으로 돌아갈 수 없습니다. 그러나 Security Cloud ControlSecurity Devices(보안 디바이스) 페이지에서 해당 디바이스에 대한 자리 표시자를 생성합니다. 디바이스의 자리 표시자를 선택하면 해당 페이지에서 해당 디바이스의 키를 볼 수 있습니다.

Step 9

Copy(복사) 아이콘 을 클릭하여 등록 키를 복사합니다.

Note

 

등록 키 복사를 건너뛰고 Next(다음)를 클릭하여 디바이스에 대한 자리 표시자 항목을 완료한 다음 나중에 디바이스를 등록할 수 있습니다. 이 옵션은 디바이스를 먼저 생성하고 나중에 디바이스를 등록하려는 경우 또는 고객 네트워크에 POV(Proof of Value) 디바이스를 설치하는 Cisco 파트너인 경우 유용합니다.

Security Devices(보안 디바이스) 페이지에서 디바이스가 현재 연결 상태인 "Unprovisioned(프로비저닝되지 않음)"에 있음을 확인할 수 있습니다. Unprovisioned(프로비저닝되지 않음) 아래에 표시되는 등록 키를 Firewall Device Manager에 복사하여 온보딩 프로세스를 완료합니다.

Step 10

온보딩 중인 디바이스의 Secure Firewall Device Manager에 로그인합니다.

Step 11

System Settings(시스템 설정)에서 Cloud Services(클라우드 서비스)를 클릭합니다.

Step 12

Region(지역) 필드에서 테넌트가 할당된 Cisco Cloud 지역을 선택합니다.

Step 13

Enrollment Type(등록 유형) 영역에서 Security Account(보안 어카운트)를 클릭합니다.

Note

 

버전 6.6을 실행하는 디바이스의 경우 Security Cloud Control의 Tenancy(테넌시) 탭 제목이 Security Account(보안 어카운트)이며 Secure Firewall Device Manager에서 Security Cloud Control를 수동으로 활성화해야 합니다.

Step 14

Registration Key(등록 키) 필드에 Security Cloud Control에서 생성한 등록 키를 붙여넣습니다.

Step 15

버전 6.7 이상을 실행하는 디바이스의 경우, Service Enrollment(서비스 등록) 영역에서 Enable Security Cloud Control를 선택합니다.

Step 16

Cisco Success Network 등록에 대한 정보를 검토합니다. 참여하지 않으려면 Enroll Cisco Success Network(Cisco Success Network 등록) 확인란의 선택을 취소합니다.

Step 17

Register(등록)를 클릭한 다음 Cisco 고지 사항을 수락합니다. Secure Firewall Device ManagerSecurity Cloud Control에 등록 요청을 보냅니다.

Step 18

Security Cloud Control로 돌아가 Create Registration Key(등록 키 생성) 영역에서 Next(다음)를 클릭합니다.

Step 19

디바이스에 적용할 모든 라이선스를 선택합니다. Next(다음)를 클릭합니다.

Step 20

Security Cloud Control로 돌아가 Security Devices(보안 디바이스) 페이지를 열고 디바이스 상태가 "Unprovisioned(프로비저닝되지 않음)"에서 "Locating(찾기 중)", "Syncing(동기화 중)"에서 "Synced(동기화됨)"로 진행되는지 확인합니다.

디바이스의 일련 번호를 사용하여 FDM-관리 디바이스 온보딩

이 절차는 FDM 관리 디바이스를 Security Cloud Control에 온보딩하고 설정하는 간소화된 방법입니다. 디바이스의 섀시 일련 번호 또는 PCA 일련 번호만 있으면 됩니다. 디바이스를 온보딩할 때 스마트 라이선스를 적용하거나 90일 평가 라이선스를 사용할 수 있습니다.

온보딩 단계를 수행하기 전에 활용 사례를 읽고 개념을 이해해야 합니다.


Important

이러한 FDM 관리 디바이스를 온보딩하는 방법은 버전 6.7 이상을 실행하는 디바이스에서만 사용할 수 있습니다.

활용 사례

  • FDM 관리: 네트워크에 추가되고 인터넷에서 연결되는 새로운 공장 출하 디바이스를 온보딩합니다. 디바이스에서 초기 디바이스 설정 마법사가 완료되지 않았습니다.

  • 디바이스의 일련 번호를 사용하여 구성된 FDM-관리 디바이스 온보딩: 이미 구성된 FDM 관리 디바이스 또는 네트워크에 이미 추가되고 인터넷에서 연결되는 업그레이드된 디바이스를 온보딩합니다. 디바이스에서 초기 디바이스 설정 마법사가 완료되었습니다.


Important

이 방법을 사용하여 디바이스에 대해 지원되는 이전 소프트웨어 버전에서 실행 중인 디바이스를 온보딩하려면 업그레이드 대신 해당 디바이스에서 소프트웨어를 새로 설치(리이미징)해야 합니다.
제로 터치 프로비저닝을 사용하여 FDM-관리 디바이스를 온보딩하기 위한 워크플로우 및 요건

제로 터치 프로비저닝은 새로운 Firepower 1000, Firepower 2100 또는 Secure Firewall 3100 시리즈 디바이스를 자동으로 프로비저닝 및 구성하여, Security Cloud Control에 디바이스를 온보딩하는 것과 관련된 대부분의 수동 작업을 제거하는 기능입니다. 제로 터치 프로비저닝은 직원이 네트워킹 디바이스를 사용한 경험이 적은 원격 사무실 또는 기타 위치를 위한 것입니다.

제로 터치 프로비저닝 프로세스를 사용하려면, 디바이스를 Security Cloud Control에 온보딩하고 인터넷에 연결할 수 있는 네트워크에 연결한 다음 디바이스의 전원을 켭니다. 자세한 내용은 디바이스의 일련 번호를 사용하여 구성된 FDM-관리 디바이스 온보딩를 참조하십시오.


Note

Security Cloud Control에 온보딩하기 전이나 후에 디바이스의 전원을 켤 수 있습니다. 먼저 디바이스를 Security Cloud Control에 온보딩하고 디바이스의 전원을 켠 다음 브랜치 네트워크에 연결하는 것이 좋습니다. Security Cloud Control에서 디바이스를 온보딩하면 디바이스가 Cisco Cloud의 Security Cloud Control 테넌트 및 Security Cloud Control과 연결되고 자동으로 디바이스 구성이 동기화됩니다.

이 절차를 사용하여 외부 공급업체에서 구매한 디바이스를 온보딩하거나 다른 지역의 다른 클라우드 테넌트에서 이미 관리하는 디바이스를 온보딩할 수도 있습니다. 그러나 디바이스가 이미 외부 벤더의 클라우드 테넌트 또는 다른 지역의 클라우드 테넌트에 등록된 경우 Security Cloud Control는 디바이스를 온보딩하지 않지만 "Device serial number already claimed(디바이스 일련 번호가 이미 클레임됨)" 오류 메시지를 표시합니다. 이러한 경우 Security Cloud Control 관리자는 이전 클라우드 테넌트에서 디바이스의 일련 번호를 등록 취소한 다음 자신의 테넌트에서 Security Cloud Control 디바이스를 클레임해야 합니다. 문제 해결 장에서 디바이스 일련 번호가 이미 클레임됨을 참조하십시오.

디바이스 연결 상태가 "Online(온라인)"으로 변경되고 구성 상태가 "Synced(동기화됨)"로 변경됩니다. FDM 관리 디바이스가 Security Cloud Control에 온보딩됩니다.

하드웨어 후면 패널에서 상태 LED(Firepower 1010), SYS LED(Firepower 2100) 또는 S LED(Secure Firewall 3100)가 녹색으로 깜박이는 것을 볼 수 있습니다. 클라우드에 연결되면 디바이스 LED가 녹색으로 계속 깜박입니다. 디바이스가 Cisco cloud에 연결할 수 없거나 연결 후 연결이 끊어지면 상태 LED(Firepower 1010), SYS LED(Firepower 2100) 또는 M LED(Secure Firewall 3100)가 녹색과 황색으로 번갈아 깜박이는 것을 볼 수 있습니다.

LED 표시등을 이해하려면 제로 터치 프로비저닝을 사용하여 Cisco Firepower 방화벽 설치 동영상를 참조하십시오.


Important

FDM 관리 디바이스 콘솔, SSH 또는 Secure Firewall Threat Defense에 로그인한 경우, 첫 번째 로그인 시 디바이스의 비밀번호를 변경했을 것입니다. Security Cloud Control를 사용하여 디바이스를 온보딩하는 데도 제로 터치 프로비저닝 프로세스를 사용할 수 있습니다. Secure Firewall Threat Defense에 로그인한 후에는 외부 인터페이스를 구성하는 디바이스 설정 마법사 단계를 완료하지 마십시오. 이 단계를 완료하면 디바이스가 클라우드에서 등록 취소되고 제로 터치 프로비저닝 프로세스를 사용할 수 없습니다.

Secure Firewall Threat Defense에 로그인하면 대시보드에 다음 화면이 표시됩니다.

Secure Firewall Threat Defense UI에서 더 이상 진행하지 않고 일련 번호 온보딩 마법사로 이동하여 디바이스를 온보딩합니다. 디바이스 비밀번호가 이미 변경되었으므로, 여기서 Default Password Changed(기본 비밀번호 변경됨)를 선택해야 합니다.

사전 요건
소프트웨어 및 하드웨어 요구 사항

FDM 관리 디바이스는 일련 번호 온보딩을 지원하는 소프트웨어를 실행해야 합니다. 다음 표를 가이드로 사용합니다.

Table 1. 하드웨어 및 소프트웨어 지원
제로 터치 프로비저닝을 지원하는 방화벽 모델 번호

지원되는 방화벽 소프트웨어 버전

소프트웨어 패키지

Firepower 1000 시리즈 디바이스 모델: 1010, 1120, 1140, 1150

6.7 이상

SF-F1K-TDx.x-K9

Firepower 2100 시리즈 디바이스 모델: 2110, 2120, 2130, 2140

6.7 이상

SF-F2K-TDx.x-K9

Secure Firewall 3100 시리즈 디바이스 모델: 3110, 3120, 3130, 3140

7.1 이상

SF-F3K-TDx.x-K9

관리 플랫폼이 올바른 버전을 실행 중인지 확인합니다.

Table 2. FTD Manager 버전 지원
매니저

지원되는 버전

Secure Firewall Device Manager

7.0 이상

온프레미스 방화벽 Management Center

7.2 이상

클라우드 제공 Firewall Management Center

해당 없음
하드웨어 설치를 위한 구성 사전 요건

  • 브랜치 오피스에 있는 네트워크는 192.168.1.0/24 어드레스 스페이스를 사용할 수 없습니다. 이더넷 1/1 (외부)의 네트워크는 192.168.1.0/24 어드레스 스페이스를 사용할 수 없습니다. FTD 6.7을 실행하는 1000 및 2100 Series 디바이스에서 이더넷 1/2 "내부" 인터페이스의 기본 IP 주소는 192.168.1.1이며, 해당 서브넷에 있는 경우 WAN 모뎀이 할당한 DHCP 주소와 충돌할 수 있습니다.

    • 내부—이더넷 1/2, IP 주소 192.168.1.1

    • 외부—이더넷 1/1, DHCP의 IP 주소 또는 설정 중 지정하는 주소

    외부 인터페이스 설정을 변경할 수 없는 경우, 충돌을 방지하기 위해 Secure Firewall Device Manager을 사용하여 이더넷 1/2 "내부" 인터페이스 설정의 서브넷을 변경합니다. 예를 들어 다음 서브넷 설정으로 변경할 수 있습니다.

    • IP 주소: 192.168.95.1

    • DHCP 서버 범위: 192.168.95.5-192.168.95.254

    물리적 인터페이스를 구성하는 단계에 대해 알아보려면 "Secure Firewall Device Manager 구성 가이드"를 참조하십시오. "인터페이스" 장에서 "물리적 인터페이스 구성" 섹션을 참조하십시오.

  • Firewall Threat Defense 디바이스를 Cisco Cloud에 설치하고 연결해야 합니다.

  • 디바이스의 외부 또는 관리 인터페이스는 DHCP 주소 지정을 제공하는 네트워크에 연결해야 합니다. 일반적으로 디바이스는 외부 또는 관리 인터페이스에 기본 DHCP 클라이언트가 있습니다.


    Note

    관리 인터페이스가 DHCP 서버가 있는 네트워크에 연결된 경우 Linux 스택 시작 트래픽에 대해 외부 인터페이스보다 우선적으로 적용됩니다.

  • 외부 또는 관리 인터페이스에서 액세스해야 직렬 온보딩 방법을 위해 다음 보안 서비스 익스체인지 도메인에 액세스할 수 있습니다.

    • 호주 지역

      • api.aus.sse.itd.cisco.com

      • est.sco.cisco.com(전 지역 공통)

      • mx*.aus.sse.itd.cisco.com (현재 mx01.aus.sse.itd.cisco.com 만)

      • dex.aus.sse.itd.cisco.com (customer success용)

      • eventing-ingest.aus.sse.itd.cisco.com (CTR 및 Security Cloud Control용)

      • registration.aus.sse.itd.cisco.com (지역 Cisco cloud에 디바이스를 등록 허용)

    • APJ 지역

      • api.apj.sse.itd.cisco.com

      • est.sco.cisco.com(전 지역 공통)

      • mx*.apj.sse.itd.cisco.com(현재 mx01.apj.sse.itd.cisco.com만)

      • dex.apj.sse.itd.cisco.com(고객 성공용)

      • eventing-ingest.apj.sse.itd.cisco.com(CTR 및 Security Cloud Control용)

      • registration.apj.sse.itd.cisco.com(지역 Cisco Cloud에 디바이스 등록 허용)

    • EU 지역

      • api.eu.sse.itd.cisco.com

      • est.sco.cisco.com(전 지역 공통)

      • mx*.eu.sse.itd.cisco.com(현재 mx01.eu.sse.itd.cisco.com만)

      • dex.eu.sse.itd.cisco.com(고객 성공용)

      • eventing-ingest.eu.sse.itd.cisco.com(CTR 및 Security Cloud Control용)

      • registration.eu.sse.itd.cisco.com(지역 Cisco Cloud에 디바이스 등록 허용)

    • 인도 지역

      • api.in.sse.itd.cisco.com

      • est.sco.cisco.com(전 지역 공통)

      • mx*.in.sse.itd.cisco.com(현재 mx01.in.sse.itd.cisco.com만)

      • dex.in.sse.itd.cisco.com (customer success용)

      • eventing-ingest.in.sse.itd.cisco.com (CTR 및 Security Cloud Control용)

      • registration.in.sse.itd.cisco.com (지역 Cisco cloud에 디바이스 등록 허용)

    • 미국 지역

      • api-sse.cisco.com

      • est.sco.cisco.com(전 지역 공통)

      • mx*.sse.itd.cisco.com(현재 mx01.sse.itd.cisco.com만)

      • dex.sse.itd.cisco.com(고객 성공용)

      • eventing-ingest.sse.itd.cisco.com(CTR 및 Security Cloud Control용)

      • registration.us.sse.itd.cisco.com(지역 Cisco Cloud에 디바이스 등록 허용)

  • 디바이스의 외부 인터페이스에 Cisco Umbrella DNS에 대한 DNS 액세스 권한이 있어야 합니다.

Security Cloud Control에서 디바이스를 클레임하기 전에

Security Cloud Control에서 디바이스를 클레임하기 전에 다음 정보가 있는지 확인합니다.

  • Firewall Threat Defense 디바이스의 섀시 일련 번호 또는 PCA 번호입니다. 이 정보는 하드웨어 섀시 하단 또는 디바이스가 배송된 상자에 있습니다. 다음 예시 그림에서 Firepower 1010 섀시 하단의 일련 번호 "*******X0R9"를 볼 수 있습니다.

  • 디바이스의 기본 비밀번호입니다.

  • 추가 기능을 사용하기 위해 Cisco Smart Software Manager에서 생성된 스마트 라이선스입니다. 그러나 90일 평가 라이선스를 사용하여 디바이스 온보딩을 완료하고 나중에 스마트 라이선스를 적용할 수 있습니다.

제로 터치 프로비저닝Secure Firewall Threat Defense 디바이스 온보딩

Caution

디바이스가 Security Cloud Control에서 온보딩되는 경우 Secure Firewall Device Manager를 사용하여 디바이스 간편 설정을 수행하지 않는 것이 좋습니다. 이로 인해 Security Cloud Control에서 임시 오류가 발생합니다.

Before you begin

  • Firewall Threat Defense 디바이스는 이전에 또는 현재 Firewall Device Manager 또는 Firewall Management Center에서 관리하고 있지 않아야 합니다. 디바이스가 현재 플랫폼에서 관리되는 경우 디바이스의 일련 번호를 사용하여 구성된 FDM-관리 디바이스 온보딩의 내용을 참조하십시오.

  • 온프레미스 방화벽 Management Center로 관리하려는 의도로 디바이스를 온보딩하는 경우 온프레미스 방화벽 Management Center는 버전 7.4 이상을 실행해야 합니다.

Procedure

Step 1

외부 벤더에서 구매한 디바이스를 온보딩하는 경우 먼저 디바이스를 이미지 재설치해야 합니다. 자세한 내용은 Cisco FXOS 문제 해결 가이드의 "이미지 재설치 절차" 장을 참조하십시오.

Step 2

Security Cloud Control에 로그인합니다.

Step 3

탐색창에서 Security Devices(보안 디바이스)를 클릭합니다.

Step 4

디바이스를 온보딩하려면 파란색 플러스 버튼 를 클릭합니다.

Step 5

FTD 타일을 클릭합니다.

Important

 

디바이스 온보딩을 시도하면 Security Cloud Control는 테넌트에 대한 일회성 활동인 EULA(엔드 유저 라이선스 동의서)를 읽고 동의하라는 메시지를 표시합니다. 이 동의서에 동의하면 Security Cloud Control는 후속 온보딩에서 이를 다시 확인하지 않습니다. 나중에 EULA 계약이 변경되는 경우 메시지가 표시되면 다시 동의해야 합니다.

Step 6

Onboard FTD Device(온보드 FTD 디바이스) 화면에서 Use Serial Number(일련 번호 사용)를 클릭합니다.

Step 7

FMC 선택단계에서 드롭다운 메뉴를 사용하여 Security Cloud Control에 이미 온보딩된 온프레미스 방화벽 Management Center를 선택합니다. Next(다음)를 클릭합니다.

온프레미스 방화벽 Management Center에서 버전 7.4 이상을 실행해야 합니다. 온프레미스 방화벽 Management Center이 온보딩되지 않은 경우 온보딩 마법사에 대해 +Onboard(+온프레미스 FMC)를 클릭합니다.

Step 8

Connection(연결) 단계에서 디바이스의 일련 번호와 디바이스 이름을 입력합니다. Next(다음)를 클릭합니다.

Step 9

제로 터치 프로비저닝의 경우 디바이스가 새 제품이거나 이미징을 마친 상태여야 합니다. Password Reset(비밀번호 재설정)의 경우 Yes, this new device has never been logged into or configured for a manager(예, 이 새 디바이스가 관리자에 로그인하거나 구성한 적이 없습니다.)를 선택해야 합니다. 새 비밀번호를 입력하고 디바이스의 새 비밀번호를 확인한 후 Next(다음)를 클릭합니다.

Step 10

Policy Assignment(정책 할당) 단계에서 드롭다운 메뉴를 사용하여 디바이스가 온보딩된 후 구축할 액세스 제어 정책을 선택합니다. 사용자 지정 정책이 없는 경우 Security Cloud Control는 기본 액세스 제어 정책을 자동으로 선택합니다. Next(다음)를 클릭합니다.

Step 11

디바이스에 적용할 모든 라이선스를 선택합니다. Next(다음)를 클릭합니다.

Step 12

(선택사항) 디바이스에 라벨을 추가합니다. Security Cloud Control는 디바이스가 성공적으로 온보딩되면 이러한 레이블을 적용합니다.

What to do next

Security Cloud Control에서는 디바이스 클레임을 시작하고, 오른쪽에 Claiming(클레임 중) 메시지가 표시됩니다. Security Cloud Control에서는 디바이스가 온라인 상태이고 클라우드에 등록되어 있는지 확인하기 위해 1시간 동안 지속적으로 폴링합니다. 클라우드에 등록되면 Security Cloud Control에서 초기 프로비저닝을 시작하고 디바이스를 성공적으로 온보딩합니다. 디바이스에서 LED 상태가 녹색으로 깜박이면 디바이스 등록을 확인할 수 있습니다. 디바이스가 Cisco 클라우드에 연결할 수 없거나 연결 후 연결이 끊어지면 상태 LED (Firepower 1000) 또는 SYS LED (Firepower 2100)가 녹색과 황색으로 번갈아 깜박이는 것을 확인할 수 있습니다.

디바이스가 처음 1시간 이내에 클라우드에 등록되지 않으면 시간 초과가 발생하며, 이제 Security Cloud Control에서 10분마다 주기적으로 폴링하여 디바이스 상태를 확인하고 Claiming(클레임 중) 상태를 유지합니다. 디바이스가 켜져 있고 클라우드에 연결되어 있으면 온보딩 상태를 확인하기 위해 10분 동안 기다릴 필요가 없습니다. 언제든지 Check Status(상태 확인) 링크를 클릭하여 상태를 확인할 수 있습니다. Security Cloud Control에서는 초기 프로비저닝을 시작하고 디바이스를 온보딩합니다.


Important

디바이스 설정 마법사(이미 구성된 FDM 매니지드 디바이스 온보딩 참조)를 이미 완료한 경우 디바이스가 클라우드에서 등록 취소되며, 이 경우 Security Cloud Control에서는 Claiming(클레임 중) 상태를 유지합니다. Secure Firewall Device Manager에서 수동 등록을 완료하여 Security Cloud Control에 추가해야 합니다. (Secure Firewall Device Manager에서 System Settings(시스템 설정) > Cloud Services(클라우드 서비스)로 이동하여 Auto-enroll with Tenancy from Security Cloud Control(테넌시에 자동 등록) 옵션을 선택하고 Register(등록)를 클릭합니다). 그런 다음 Check Status(상태 확인)를 클릭합니다.

디바이스의 일련 번호를 사용하여 구성된 FDM-관리 디바이스 온보딩

이 절차는 이미 로컬 관리용으로 구성된 디바이스에 적용됩니다. 디바이스 설정 마법사가 이미 구성된 FDM 관리 디바이스에서 완료되었으므로 디바이스가 클라우드에서 등록 취소되며, 제로 터치 프로비저닝 프로세스를 사용하여 이러한 디바이스를 Security Cloud Control에 온보딩할 수 없습니다.

디바이스가 관리되거나 구성된 적이 없는 새로운 디바이스인 경우, 제로 터치 프로비저닝을 사용하여 디바이스를 온보딩할 수 있습니다. 자세한 내용은 제로 터치 프로비저닝에 Secure Firewall Threat Defense 디바이스 온보딩를 참조하십시오.


Note

디바이스가 Cisco 클라우드에 연결되어 있지 않으면 상태 LED(Firepower 1000), SYS LED(Firepower 2100) 또는 M LED(Secure Firewall 3100)가 녹색과 황색으로 번갈아 깜박이는 것을 볼 수 있습니다.

다음 작업을 수행하기 위해 디바이스 설정 마법사를 완료했을 수 있습니다.

  • 디바이스는 버전 6.7 이상을 실행해야 합니다.

  • 디바이스의 관리 인터페이스에서 고정 IP 주소를 구성합니다. 인터페이스가 필요한 동적 IP 주소를 가져올 수 없거나 DHCP 서버가 게이트웨이 경로를 제공하지 않는 경우 고정 IP 주소를 구성해야 합니다.

  • PPPoE를 사용하여 주소를 가져오고 외부 인터페이스를 구성합니다.

  • Secure Firewall Device Manager 또는 Secure Firewall Management Center를 사용하여 버전 6.7 이상 디바이스를 실행하는 디바이스를 관리합니다.


Important

Secure Firewall Device Manager에서 Secure Firewall Management Center으로 또는 그 반대로 Secure Firewall Threat Defense 디바이스 관리자를 전환할 수 있습니다. 디바이스가 실행하는 버전에 맞는 Firepower Device Manager용 Cisco Firepower Threat Defense 구성 가이드의 "시스템 관리" 장의 로컬 및 원격 관리 간 전환 섹션에 설명된 단계를 수행합니다.

디바이스를 온보딩하려면 다음을 수행합니다.

Procedure

Step 1

디바이스 일련 번호를 사용하여 FDM 매니지드 디바이스를 온보딩하기 위한 절차에서 온보딩을 위한 요건을 검토합니다.

Step 2

Secure Firewall Device Manager UI에서 System Settings(시스템 설정) > Cloud Services(클라우드 서비스)로 이동하여 Auto-enroll with Tenancy from Security Cloud Control (테넌시에 자동 등록) 옵션을 선택하고 Register(등록)를 클릭합니다.

Step 3

Security Cloud Control에 로그인합니다.

Step 4

탐색창에서 Security Devices(보안 디바이스)를 클릭합니다.

Step 5

FTD 타일을 클릭합니다.

Step 6

Onboard FTD Device(온보드 FTD 디바이스) 화면에서 Use Serial Number(일련 번호 사용)를 클릭합니다.

Step 7

FMC 선택단계에서 드롭다운 메뉴를 사용하여 Security Cloud Control에 이미 온보딩된 온프레미스 방화벽 Management Center를 선택합니다. Next(다음)를 클릭합니다.

온프레미스 방화벽 Management Center에서 버전 7.4 이상을 실행해야 합니다. 온프레미스 방화벽 Management Center이 온보딩되지 않은 경우 온보딩 마법사에 대해 +Onboard(+온프레미스 FMC)를 클릭합니다.

Step 8

Connection(연결) 단계에서 디바이스의 일련 번호와 디바이스 이름을 입력합니다. Next(다음)를 클릭합니다.

Step 9

새 기기가 아니고 관리용으로 이미 구성된 경우, Password Reset(암호 재설정)을 위해 예, 이 새 기기는 비밀번호 재설정을 위해 로그인하거나 관리자용으로 구성된 적이 없습니다를 선택합니다. Next(다음)를 클릭합니다.

Step 10

Policy Assignment(정책 할당) 단계에서 드롭다운 메뉴를 사용하여 디바이스가 온보딩된 후 구축할 액세스 제어 정책을 선택합니다. 사용자 지정 정책이 없는 경우 Security Cloud Control는 기본 액세스 제어 정책을 자동으로 선택합니다. Next(다음)를 클릭합니다.

Step 11

디바이스에 적용할 모든 라이선스를 선택합니다. Next(다음)를 클릭합니다.

Security Cloud Control가 디바이스 연결 상태를 "Online(온라인)"으로 변경하고 구성 상태를 "Synced(동기화됨)" 상태로 변경합니다. FDM 관리 디바이스가 Security Cloud Control에 온보딩됩니다. 하드웨어 후면 패널에서 상태 LED(Firepower 1000), SYS LED(Firepower 2100) 또는 M LED가 녹색으로 깜박이는 것을 볼 수 있습니다. Cisco Cloud에 연결되면 디바이스 LED가 녹색으로 계속 깜박입니다. 디바이스가 Cisco Cloud에 연결할 수 없거나 연결 후 연결이 끊어지면 동일한 상태 LED가 녹색과 황색으로 번갈아 깜박이는 것을 볼 수 있습니다.

FDM-관리 고가용성 쌍 온보딩

Secure Firewall Threat Defense HA 쌍을 Security Cloud Control에 온보딩하려면 쌍의 각 디바이스를 개별적으로 온보딩해야 합니다. 쌍의 두 피어가 모두 온보딩되면 Security Cloud ControlSecurity Devices(보안 디바이스) 페이지에서 단일 항목으로 자동으로 결합됩니다. 디바이스 로그인 자격 증명 또는 등록 키를 사용하여 디바이스를 온보딩합니다. 동일한 방법으로 두 디바이스를 모두 온보딩하는 것이 좋습니다. 또한 대기 모드에 있는 디바이스를 먼저 온보딩하는 경우 Security Cloud Control는 해당 디바이스를 배포하거나 읽을 수 있는 기능을 비활성화합니다. HA 쌍 내의 액티브 디바이스만 읽거나 배포할 수 있습니다.


참고

Security Cloud Control는 등록 키가 있는 디바이스 온보딩을 강력히 권장합니다. 등록 키를 사용한 온보딩은 특정 버전을 실행하는 Firewall Threat Defense 디바이스에서 약간 다릅니다. 자세한 내용은 버전 6.4 또는 버전 6.5를 실행하는 FDM-관리 HA 쌍 온보딩Threat Defense 버전 6.6 또는 버전 6.7 이상을 실행하는 FDM-관리 HA 쌍 온보딩를 참조하십시오.

Security Cloud ControlFirewall Threat Defense HA 쌍을 온보딩하기 전에 다음을 검토합니다.

  • Security Cloud Control에 대한 온보딩 전에 HA 쌍이 이미 형성되어 있습니다.

  • 두 디바이스 모두 정상 상태입니다. 쌍은 기본/활성 및 보조/대기 또는 기본/대기 및 보조/활성 모드일 수 있습니다. 비정상 디바이스는 Security Cloud Control에 동기화되지 않습니다.

  • HA 쌍은 Secure Firewall Management Center가 아니라 Secure Firewall Device Manager이 관리합니다.

  • 클라우드 커넥터는 https://us.manage.security.cisco.com에서 Security Cloud Control에 연결됩니다.

등록 키를 사용하여 FDM-관리 고가용성 쌍 온보딩

등록 키를 사용하여 FDM 관리 HA(고가용성) 쌍을 온보딩하기 전에 다음 사전 요건을 확인합니다.

  • 등록 키로 버전 6.4를 실행하는 디바이스 온보딩은 미국 지역(https://us.manage.security.cisco.com)에 대해서만 지원됩니다. EU 지역(https://eu.manage.security.cisco.com)에 연결하려면 사용자 이름, 비밀번호 및 IP 주소를 사용하여 HA 쌍을 온보딩해야 합니다.

  • 버전 6.5 이상을 실행하고 미국, EU 또는 APJ 지역에 연결하는 고객은 이 온보딩 방법을 사용할 수 있습니다.

  • 버전 6.4 및 6.5를 실행하는 디바이스는 등록 키로 온보딩하기 전에 Cisco Smart Software Manager에 등록하지 않아야 합니다. Security Cloud Control에 온보딩하기 전에 해당 FDM 관리의 스마트 라이선스를 등록 취소해야 합니다. 자세한 내용은 스마트 라이선스 FDM-관리 디바이스 등록 취소를 참조하십시오.

버전 6.4 또는 버전 6.5를 실행하는 FDM-관리 HA 쌍 온보딩

소프트웨어 버전 6.4 또는 6.5를 실행하는 FDM 관리 HA 쌍을 온보딩하려면 디바이스를 한 번에 하나씩 온보딩해야 합니다. 액티브 또는 보조, 기본 또는 보조 디바이스를 온보딩하는지 여부는 중요하지 않습니다.


Note

등록 키를 사용하여 HA 쌍의 디바이스 중 하나를 온보딩하는 경우 동일한 방법으로 다른 피어 디바이스를 온보딩해야 합니다.

버전 6.4 또는 6.5를 실행하는 HA 쌍을 온보딩하려면 다음 단계를 사용합니다.

Procedure

Step 1

피어 디바이스를 온보딩합니다. 쌍 내 첫 번째 디바이스를 온보딩하려면 등록 키를 사용하여 소프트웨어 버전 6.4 또는 6.5를 실행하는 FDM-관리 디바이스를 온보딩하는 절차 를 참조하십시오.

Step 2

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 3

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 4

FTD 탭을 클릭합니다. 디바이스가 동기화되면 디바이스를 선택하여 강조 표시합니다. Device Details(디바이스 세부 정보) 바로 아래에 있는 작업 창에서 Onboard Device(디바이스 온보드)를 클릭합니다.

Step 5

이미 온보딩된 피어 디바이스의 HA Peer Device Name(HA 피어 디바이스 이름) 을 입력합니다. Next(다음)를 클릭합니다.

Step 6

첫 번째 디바이스에 대한 스마트 라이선스를 제공한 경우, Security Cloud Control은 현재 디바이스를 온보딩하는 데 사용할 수 있도록 해당 라이선스를 다시 채웁니다. Next(다음)를 클릭합니다.

Note

 

디바이스 온보딩을 위해 FDM 관리 디바이스의 스마트 라이선스 등록을 취소한 경우, 여기에서 스마트 라이선스를 다시 적용합니다.

Step 7

Security Cloud Control은 온보딩을 준비하는 디바이스에 대한 등록 키를 자동으로 생성합니다. Copy(복사) 아이콘 을 클릭하여 등록 키를 복사합니다.

Step 8

온보딩 중인 디바이스의 Secure Firewall Device Manager UI에 로그인합니다.

Step 9

System Settings(시스템 설정)에서 Cloud Services(클라우드 서비스)를 클릭합니다.

Step 10

Security Cloud Control 타일에서 Get Started(시작하기)를 클릭합니다.

Step 11

Registration Key(등록 키) 필드에 Security Cloud Control에서 생성한 등록 키를 붙여넣습니다.

Step 12

Region(지역) 필드에서 테넌트가 할당된 Cisco Cloud 지역을 선택합니다.

Note

 

이 단계는 버전 6.4에서 실행되는 FDM 관리 디바이스에는 적용되지 않습니다.

Step 13

Register(등록)를 클릭한 다음, Accept Cisco Disclosure(Cisco 공개 동의)를 클릭합니다.

Step 14

Security Cloud Control으로 돌아가서, Create Registration Key(등록 키 생성) 영역에서 Next(다음)을 클릭합니다.

Step 15

Go to Inventory(재고 목록으로 이동)을 클릭합니다. Security Cloud Control는 자동으로 디바이스를 온보딩하고 단일 항목으로 결합합니다. 온보딩하는 첫 번째 피어 디바이스와 마찬가지로 디바이스 상태가 "Unprovisioned(프로비저닝되지 않음)"에서 "Locating(찾는 중)", "Syncing(동기화 중)"에서 "Synced(동기화됨)"로 변경됩니다.

Threat Defense 버전 6.6 또는 버전 6.7 이상을 실행하는 FDM-관리 HA 쌍 온보딩

Threat Defense 버전 6.6 또는 6.7을 실행하는 FDM 관리 HA 쌍을 온보딩하려면 한 번에 하나씩 디바이스를 온보딩해야 합니다. 액티브 또는 보조, 기본 또는 보조 디바이스를 온보딩하는지 여부는 중요하지 않습니다.


Note

등록 키를 사용하여 HA 쌍의 디바이스 중 하나를 온보딩하는 경우 동일한 방법으로 다른 피어 디바이스를 온보딩해야 합니다.

버전 6.6 또는 6.7을 실행하는 HA 쌍을 온보딩하려면 다음 단계를 사용합니다.
Procedure

Step 1

피어 디바이스를 온보딩합니다. 등록 키를 사용하여 소프트웨어 버전 6.6 이상을 실행하는 FDM-관리 디바이스 온보딩의 내용을 참조하십시오.

Step 2

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 3

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 4

FTD 탭을 클릭합니다. 디바이스가 동기화되면 디바이스를 선택하여 강조 표시합니다. Device Details(디바이스 세부 정보) 바로 아래에 있는 작업 창에서 Onboard Device(디바이스 온보드)를 클릭합니다.

Step 5

이미 온보딩된 피어 디바이스의 HA 피어 디바이스 이름을 입력합니다. Next(다음)를 클릭합니다.

Step 6

첫 번째 디바이스에 대한 스마트 라이선스를 제공한 경우, Security Cloud Control은 현재 디바이스를 온보딩하는 데 사용할 수 있도록 해당 라이선스를 다시 채웁니다. Next(다음)를 클릭합니다.

Step 7

Security Cloud Control은 온보딩을 준비하는 디바이스에 대한 등록 키를 자동으로 생성합니다. Copy(복사) 아이콘 을 클릭하여 등록 키를 복사합니다.

Step 8

Security Cloud Control에 온보딩하려는 디바이스의 Secure Firewall Device Manager UI에 로그인합니다.

Step 9

System Settings(시스템 설정)에서 Cloud Services(클라우드 서비스)를 클릭합니다.

Step 10

Enrollment Type(등록 유형) 영역에서 Security/Security Cloud Control Account(보안 어카운트)를 클릭합니다.

Note

 

버전 6.6을 실행하는 디바이스의 경우, Security Cloud Control의 Tenancy(테넌시) 탭의 제목이 Security Account(보안 어카운트)이며 Secure Firewall Device ManagerUI에서 Security Cloud Control를 수동으로 활성화해야 합니다.

Step 11

Region(지역) 필드에서 테넌트가 할당된 Cisco Cloud 지역을 선택합니다.

Step 12

Registration Key(등록 키) 필드에 Security Cloud Control에서 생성한 등록 키를 붙여넣습니다.

Step 13

버전 6.7 이상을 실행하는 디바이스의 경우, Service Enrollment(서비스 등록) 영역에서 Enable Security Cloud Control를 선택합니다.

Step 14

Cisco Success Network 등록에 대한 정보를 검토합니다. 참여하지 않으려면 Enroll Cisco Success Network(Cisco Success Network 등록) 확인란의 선택을 취소합니다.

Step 15

Register(등록)를 클릭한 다음, Accept Cisco Disclosure(Cisco 공개 동의)를 클릭합니다. FDM에서 Security Cloud Control에 등록 요청을 전송합니다.

Step 16

Security Cloud Control로 돌아가 Create Registration Key(등록 키 생성) 영역에서 Next(다음)를 클릭합니다.

Step 17

Smart License(스마트 라이선스) 영역에서 FDM 관리 디바이스에 스마트 라이선스를 적용하고 Next(다음)를 클릭하거나 Skip(건너뛰기)을 클릭하여 90일 평가 라이선스로 온보딩을 계속할 수 있습니다(또는 디바이스에 이미 스마트 라이선스가 있는 경우). 자세한 내용은 FTD 디바이스의 기존 스마트 라이선스 업데이트을 참조하십시오.

Note

 

디바이스에서 버전 6.6을 실행 중인 경우 Security Cloud Control와의 통신을 수동으로 활성화해야 합니다. 디바이스의 FDM 관리 UI에서 System Settings(시스템 설정) > Cloud Services(클라우드 서비스)로 이동하여 Security Cloud Control 타일에서 Enable(활성화)을 클릭합니다.

Step 18

Security Cloud Control으로 돌아가 Go to Security Devices(보안 디바이스로 이동)를 클릭합니다. Security Cloud Control는 자동으로 디바이스를 온보딩하고 단일 항목으로 결합합니다. 온보딩하는 첫 번째 피어 디바이스와 마찬가지로 디바이스 상태가 "Unprovisioned(프로비저닝되지 않음)"에서 "Locating(찾는 중)", "Syncing(동기화 중)"에서 "Synced(동기화됨)"로 변경됩니다.

FDM-관리 고가용성 쌍 온보딩

참고

HA 쌍의 첫 번째 디바이스를 어떤 방법으로 온보딩하든 다른 피어 디바이스도 동일한 방법으로 온보딩해야 합니다.

Security Cloud Control 외부에서 생성된 FDM 관리 HA 쌍을 온보딩하려면 다음 절차를 수행합니다.

프로시저

단계 1

HA 쌍 내의 피어 디바이스 중 하나를 온보딩합니다. 사용자 이름, 등록 키 또는 일련 번호를 사용하여 디바이스를 온보딩합니다.

단계 2

디바이스가 동기화되면 Security Devices(보안 디바이스) 페이지에서 Devices(디바이스) 탭을 클릭합니다.

단계 3

FTD 탭을 클릭합니다.

단계 4

디바이스를 선택합니다. Device Details(디바이스 세부 정보) 바로 아래에 있는 작업 창에서 Onboard Device(디바이스 온보드)를 클릭합니다.

단계 5

팝업 창에서 HA 피어의 디바이스 이름 및 위치를 입력합니다.

단계 6

Onboard Device(디바이스 온보드)를 클릭합니다. 두 디바이스가 Security Cloud Control에 성공적으로 동기화되면 HA 쌍이 Security Devices(보안 디바이스) 페이지에 단일 엔터티로 표시됩니다.

FTD 클러스터 온보딩

클러스터된 Secure Firewall Threat Defense 디바이스 온보딩

다음 절차를 사용하여 이미 클러스터링된 Firewall Threat Defense 디바이스를 온보딩합니다.

시작하기 전에

다음 디바이스는 클러스터링을 지원합니다.

  • Secure Firewall 3100 디바이스

  • Firepower 4100 디바이스

  • Firepower 9300 디바이스

  • Firewall Threat Defense Virtual 디바이스(AWS, Azure, VMware, KVM, GCP)

클러스터된 디바이스의 경우 다음과 같은 제한 사항을 참조하십시오.

  • 디바이스는 버전 6.4 이상을 실행해야 합니다.

  • 디바이스는 물리적 또는 가상 Secure Firewall Management Center으로 관리해야 합니다.

  • Firepower 4100Firepower 9300 디바이스는 디바이스의 섀시 관리자를 통해 클러스터링되어야 합니다.

  • Secure Firewall 3100 디바이스, KVM 및 VMware 환경은 Secure Firewall Management Center UI를 통해 클러스터링되어야 합니다.

  • Azure, AWS 및 GCP 환경 클러스터는 자체 환경을 통해 생성하고 Secure Firewall Management Center에 온보딩해야 합니다.

프로시저

단계 1

Security Cloud Control에 로그인합니다.

단계 2

왼쪽 창에서 보안 디바이스를 클릭합니다.

단계 3

디바이스를 온보딩하려면 파란색 플러스 버튼 를 클릭합니다.

단계 4

FTD를 클릭합니다.

단계 5

Management Mode(관리 모드)에서 FTD가 선택되어 있는지 확인합니다.

FTD를 선택하면 Secure Firewall Management Center를 관리 플랫폼으로 유지하게 됩니다. FDM을 선택하면 관리자가 Secure Firewall Management Center에서 Firewall Device Manager 또는 클라우드 제공 Firewall Management Center와 같은 로컬 관리자로 전환됩니다. 관리자를 전환하면 인터페이스 구성을 제외한 모든 기존 정책 구성이 재설정되며 디바이스를 온보딩한 후 정책을 다시 구성해야 합니다.

단계 6

Onboard FTD Device(온보드 FTD 디바이스) 화면에서 Use CLI Registration Key(CLI 등록 키 사용)를 클릭합니다.

단계 7

Device Name(디바이스 이름) 필드에 디바이스 이름을 입력합니다. 디바이스의 호스트 이름 또는 선택한 다른 이름일 수 있습니다.

단계 8

Policy Assignment(정책 할당) 단계에서 드롭다운 메뉴를 사용하여 디바이스가 온보딩된 후 구축할 액세스 제어 정책을 선택합니다. 구성된 정책이 없는 경우 Default Access Control Policy(기본 액세스 제어 정책)를 선택합니다.

단계 9

온보딩 중인 디바이스가 물리적 디바이스인지 가상 디바이스인지 지정합니다. 가상 디바이스를 온보딩하는 경우 드롭다운 메뉴에서 디바이스의 성능 계층을 선택해야 합니다.

단계 10

디바이스에 적용할 기본 라이선스를 선택합니다. Next(다음)를 클릭합니다.

단계 11

Security Cloud Control는 등록 키를 사용하여 명령을 생성합니다. 디바이스의 CLI에 전체 등록 키를 그대로 붙여넣습니다.

단계 12

디바이스의 온보딩이 시작됩니다. 선택적 단계로 Security Devices(보안 디바이스) 페이지를 정렬하고 필터링하는 데 도움이 되도록 디바이스에 레이블을 추가할 수 있습니다. 레이블을 입력하고 파란색 플러스 버튼을 선택합니다. .

다음에 수행할 작업

디바이스가 동기화되면 Security Cloud Control에서 디바이스가 클러스터링되었음을 자동으로 탐지합니다. 여기에서 Security Devices(보안 디바이스) 페이지에서 방금 온보딩한 디바이스를 선택하고 오른쪽에 있는 Management(관리) 창 아래에 나열된 옵션 중 하나를 선택합니다. 다음 작업을 수행하는 것이 좋습니다.

  • 아직 생성하지 않은 경우 사용자 환경에 맞게 보안을 사용자 지정하려면 사용자 지정 액세스 제어 정책을 생성합니다. 자세한 내용은 FDM-관리 액세스 제어 정책를 참조하십시오.

  • Cisco SAL(Security Analytics and Logging)을 활성화하여 Security Cloud Control 대시보드에서 이벤트를 보거나 보안 분석을 위해 디바이스를 Secure Firewall Management Center에 등록합니다.

스마트 라이선스 적용 또는 업데이트

FDM-관리 디바이스에 새 스마트 라이선스 적용

FTD(Firepower Threat Defense) 디바이스를 스마트 라이선싱하려면 다음 절차 중 하나를 수행합니다.

  • 등록 키를 사용하여 온보딩하는 FDM 관리 디바이스의 스마트 라이선스입니다.

  • 등록 키 또는 관리자 자격 증명을 사용하여 디바이스를 온보딩한 후 FDM 관리 디바이스에 스마트 라이선스를 부여합니다.


Note

FDM 관리 디바이스에서 90일 평가 라이선스를 사용 중이거나 라이선스가 등록 취소되었을 수 있습니다.

등록 키를 사용하여 온보딩 시 FDM-관리 디바이스에 스마트-라이선스 부여

Procedure

Step 1

Cisco Smart Software Manager에 로그온하고 새 스마트 라이선스 키를 생성합니다. 새로 생성된 키를 복사합니다. 자세한 내용은 스마트 라이선싱 생성 비디오를 참조하십시오.

Step 2

등록 키를 사용하여 FDM 관리 디바이스 온보딩을 시작합니다. 자세한 내용은 등록 키를 사용하여 소프트웨어 버전 6.6 이상을 실행하는 FDM 매니지드 디바이스 온보딩 또는 등록 키를 사용하여 소프트웨어 버전 6.4 또는 6.5를 실행하는 FDM 매니지드 디바이스 온보딩을 참조하십시오.

Step 3

온보딩 마법사 4단계의 Smart License here(여기에 스마트 라이선스)에서 Activate(활성화) 필드에 스마트 라이선스를 붙여넣고 Next(다음)를 클릭합니다.

Step 4

Security Devices(보안 디바이스)를 클릭합니다.

Step 5

FTD 탭을 클릭하고 온보딩 프로세스의 진행 상황을 확인합니다. 디바이스에서 동기화를 시작하고 스마트 라이선스를 적용합니다.

이제 디바이스가 Online(온라인) 연결 상태임을 확인할 수 있습니다. 디바이스가 온라인 연결 상태가 아닌 경우 오른쪽의 Device Actions(디바이스 작업) 창에서 Manage Licenses(라이선스 관리) > Refresh Licenses(라이선스 새로 고침)를 클릭하여 연결 상태를 업데이트합니다.

Step 6

스마트 라이선스를 FDM 관리 디바이스에 성공적으로 적용한 후 Manage Licenses(라이선스 관리)를 클릭합니다. 디바이스 상태에 "Connected, Sufficient License(연결됨, 라이선스가 충분함)"가 표시됩니다. 필요에 따라 라이선스를 활성화하거나 비활성화할 수 있습니다. 자세한 내용은 FDM 관리 디바이스 스마트 라이선싱 유형을 참조하십시오.

등록 키 또는 자격 증명을 사용하여 디바이스 온보딩 후 FDM-관리 디바이스에 스마트-라이선스 부여

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

FTD 탭을 클릭하고 라이선스를 부여할 디바이스를 선택합니다.

Step 4

오른쪽의 Device Actions(디바이스 작업) 창에서 Manage Licenses(라이선스 관리)를 클릭합니다.

Step 5

화면의 지침에 따라 Cisco Smart Software Manager에서 생성된 스마트 라이선스를 입력합니다.

Step 6

상자에 새 라이선스 키를 붙여넣고 Register Device(디바이스 등록)를 클릭합니다. 디바이스와 동기화되면 연결 상태가 'Online(온라인)'으로 변경됩니다. 스마트 라이선스를 FDM 관리 디바이스에 성공적으로 적용하면 디바이스 상태에 "Connected, Sufficient License(연결됨, 라이선스가 충분함)"가 표시됩니다. 필요에 따라 라이선스를 활성화하거나 비활성화할 수 있습니다. 자세한 내용은 FDM 관리 디바이스 스마트 라이선싱 유형을 참조하십시오.

FTD 디바이스의 기존 스마트 라이선스 업데이트

스마트 라이선스가 있는 FTD 디바이스에 새 스마트 라이선스를 적용할 수 있습니다. 디바이스 온보딩을 위해 선택한 방법에 따라 적절한 절차를 선택합니다.

등록 키를 사용하여 온보딩된 FDM-관리 디바이스에 적용되는 스마트 라이선스 변경

Procedure

Step 1

Security Cloud Control에서 해당 FDM 관리 디바이스를 제거합니다.

Step 2

해당 디바이스의 Secure Firewall Device Manager에 로그인하고 스마트 라이선스를 등록 취소합니다. 자세한 내용은 스마트 라이선스FDM-관리 디바이스 등록 취소를 참조하십시오.

Step 3

Security Cloud Control에서 등록 키를 사용하여 FDM 관리 디바이스를 다시 온보딩합니다. 자세한 내용은 등록 키로 FDM 매니지드 디바이스 온보딩을 참조하십시오.

Step 4

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 5

탭을 클릭합니다.

Step 6

온보딩 프로세스 중에 또는 오른쪽의 Device Actions(디바이스 작업) 창에서 Manage Licenses(라이선스 관리)를 클릭하여 새 스마트 라이선스를 적용합니다.

자격 증명을 사용하여 온보딩된 FDM-관리 디바이스에 적용되는 스마트 라이선스 변경

Procedure

Step 1

해당 디바이스의 Secure Firewall Device Manager에 로그인하고 스마트 라이선스를 등록 취소합니다. 자세한 내용은 등록 키로 FDM 매니지드 디바이스 온보딩을 참조하십시오.

Step 2

Secure Firewall Device ManagerFDM 관리 디바이스에 새 스마트 라이선스를 적용합니다.

  1. Smart License(스마트 라이선스) 영역에서 View Configuration(구성 보기)을 클릭합니다.

  2. Register Now(지금 등록)를 클릭하고 화면의 지침을 따릅니다.

Step 3

Security Cloud Control의 왼쪽 창에서 보안 디바이스를 클릭한 다음 Devices(디바이스) 탭을 클릭합니다.

Step 4

FTD 디바이스를 클릭합니다. Security Cloud Control에서 FDM 관리 디바이스의 구축된 구성 복사본을 만들고 Security Cloud Control 데이터베이스에 저장할 수 있도록 FDM 관리 디바이스 구성 변경 사항이 있는지 확인합니다. 자세한 내용은 구성 변경 사항 읽기, 삭제, 확인 및 구축을 참조하십시오.

FDM-관리 디바이스의 DHCP 주소 지정에 대한 Security Cloud Control 지원

FDM 관리 디바이스에서 사용하는 IP 주소가 변경되면 어떻게 됩니까?

Security Cloud Control에는 DHCP를 사용하여 통신 사업자가 제공한 IP 주소로 디바이스를 온보딩한 많은 ASA(Adaptive Security Appliance) 및 FDM 관리 디바이스 고객이 있습니다.

고정 IP 주소가 변경되었거나 DHCP로 인해 IP 주소가 변경되는 등 어떤 이유로든 디바이스의 IP 주소가 변경되면 Security Cloud Control가 디바이스에 연결하는 데 사용하는 IP 주소를 변경한 후 디바이스를 다시 연결할 수 있습니다.

이 필드는 Security Cloud Control에서 관리하는 브랜치 구축 FDM 관리 디바이스의 경우와 관련하여 우려 사항을 나타냅니다. FDM 관리 디바이스의 외부 인터페이스에는 고정 IP가 필요합니다. 일부 SE의 보기에서는 Security Cloud Control 디바이스가 외부 인터페이스에 대해 구성된 DHCP 주소를 보유한 경우 관리 솔루션으로 FDM 관리를 사용할 수 없습니다.

그러나 이 상황은 원격 브랜치 방화벽에 대한 VPN 터널이 있는 고객에게는 영향을 미치지 않습니다. 대다수의 고객이 브랜치에서 데이터 센터로 다시 연결되는 사이트 간 터널을 보유하고 있습니다. 사이트 간 VPN을 사용하여 디바이스에서 중앙 사이트에 연결하는 경우 외부 인터페이스의 DHCP는 Security Cloud Control 및 모든 관리 플랫폼이 내부 정적 주소 지정 인터페이스(구성된 경우)를 통해 FW에 연결할 수 있기 때문에 문제가 되지 않습니다. 이는 권장되는 방법이며, 이 구축 모드를 사용하는 디바이스(+1000)를 많이 보유한 Security Cloud Control 고객이 있습니다.

또한 인터페이스 IP 주소가 DHCP를 통해 발급된다고 해서 고객이 해당 IP를 사용하여 디바이스를 관리할 수 있는 것도 아닙니다. 이는 최적의 방법은 아니지만, 잠재적으로 Security Cloud Control에서 IP 주소를 정기적으로 변경해야 하는 경험은 고객에게 장애로 여겨지지 않습니다. 이러한 상황은 Security Cloud Control에만 해당되는 것은 아니며 ASDM, FDM 또는 SSH를 비롯한 외부 인터페이스를 사용하는 모든 관리자에서 발생합니다.

FDM-관리 디바이스 라이선싱 유형

스마트 라이선스 유형

다음 표에서는 FDM 관리 디바이스에 사용할 수 있는 라이선스에 관해 설명합니다.

FDM 관리 디바이스 구매 시 기본 라이선스가 자동으로 포함됩니다. 모든 추가 라이선스는 선택 사항입니다.

라이선스

기간

부여된 기능

라이선스(자동 포함)

영구

구독 기간 라이선스가 적용되지 않는 모든 기능.

이 토큰을 사용하여 등록한 제품에서 내보내기 제어 기능을 허용할지도 지정해야 합니다. 현재 거주 국가가 내보내기 제어 표준을 충족하는 경우에만 이 옵션을 선택할 수 있습니다. 이 옵션은 고급 암호화 사용과 고급 암호화를 필요로 하는 기능 사용을 제어합니다.

기간 기준

침입 탐지 및 방지 - 침입 정책은 침입 및 익스플로잇의 트래픽을 분석하고, 선택적으로 문제가 되는 패킷을 삭제할 수 있습니다.

파일 제어 - 파일 정책은 사용자가 특정 유형의 파일을 업로드(전송)하거나 다운로드(수신)하는 것을 탐지하고, 선택적으로 차단할 수 있습니다. 멀웨어 라이선스가 필요한 AMP for Firepower를 사용하면 멀웨어가 포함된 파일을 검사하고 차단할 수 있습니다. 모든 유형의 파일 정책을 사용하려면 라이선스가 있어야 합니다.

보안 인텔리전스 필터링 - 트래픽이 액세스 제어 규칙을 기준으로 분석 대상이 되기 전에 선택한 트래픽을 삭제합니다. 동적 피드를 사용하면 최신 인텔리전스를 기반으로 연결을 즉시 삭제할 수 있습니다.

멀웨어

기간 기준

멀웨어를 확인하는 파일 정책으로서 Cisco AMP(Advanced Malware Protection)를 AMP for Firepower(네트워크 기반 Advanced Malware Protection) 및 Cisco Threat Grid와 함께 사용합니다.

파일 정책은 네트워크를 통해 전송된 파일에서 멀웨어를 탐지하고 차단할 수 있습니다.

URL 라이선스

기간 기준

범주 및 평판 기반 URL 필터링

이 라이선스가 없어도 개별 URL에 대해 URL 필터링을 수행할 수 있습니다.

라이선스 유형에 따라 기간 기준 또는 영구

원격 액세스 VPN 구성 Essentials 라이선스는 RA VPN을 구성하기 위해 내보내기 제어 기능을 허용해야 합니다. 디바이스를 등록할 때 내보내기 요구사항을 충족하는지를 선택합니다.

Firepower Device Manager는 유효한 모든 AnyConnect 라이선스를 사용할 수 있습니다. 제공되는 기능은 라이선스 유형에 따라 달라지지 않습니다. 아직 구매하지 않은 경우 원격 액세스 VPN에 대한 라이선싱 요구 사항을 참조하십시오.

또한 Cisco AnyConnect 주문 가이드, http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf를 참조하십시오.

가상 FDM-관리 디바이스 계층형 라이선스

버전 7.0에는 처리량 요구 사항 및 RA VPN 세션 제한을 기반으로 하는 가상 FDM-관리 디바이스에 대한 성능 계층형 스마트 라이선싱 지원이 추가되었습니다. 사용 가능한 성능 라이선스 중 하나로 가상 FDM-관리 디바이스에 라이선스가 부여되면 RA VPN에 대한 세션 제한이 설치된 가상 FDM-관리 디바이스 플랫폼 엔타이틀먼트 계층에 의해 결정되고 속도 제한기를 통해 적용됩니다.

Security Cloud Control에서는 현재 계층형 스마트 라이선싱을 완전히 지원하지 않습니다. 다음 제한 사항을 참조하십시오.

  • Security Cloud Control를 통해 계층화된 라이선스를 수정할 수 없습니다. Secure Firewall Device Manager UI에서 변경해야 합니다.

  • 클라우드 제공 Firewall Management Center에서 관리할 가상 FDM-관리 디바이스를 등록하면 계층화된 라이선스 선택이 기본 계층인 Variable(변수)로 자동 재설정됩니다.

  • 버전 7.0 이상을 실행하는 가상 FDM-관리 디바이스를 온보딩하고 온보딩 프로세스 중에 기본 라이선스가 아닌 라이선스를 선택하면 계층화된 라이선스 선택이 자동으로 기본 계층인 Variable(변수)로 재설정됩니다.

위에 나열된 문제를 방지하려면 디바이스를 온보딩한 후 가상 FDM-관리 디바이스 라이선스의 계층을 선택하는 것이 좋습니다. 자세한 내용은 스마트 라이선스 관리를 참조하십시오.

디바이스용 스마트-라이선스 보기

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

FTD 탭을 클릭합니다.

Step 4

FDM 관리 디바이스를 선택하여 현재 라이선스 상태를 확인합니다.

Step 5

오른쪽의 Device Actions(디바이스 작업) 창에서 Manage Licenses(라이선스 관리)를 클릭합니다. Manage Licenses(라이선스 관리) 화면에는 다음 정보가 제공됩니다.

  • Smart License Agent(스마트 라이선스 대리인) 상태: 90일 평가판 라이선스를 사용하는지 또는 Cisco Smart Software Manager에 등록했는지 여부를 표시합니다. 스마트 라이선스 대리인 상태는 다음과 같을 수 있습니다.

    • "Connected," "Sufficient Licenses"("연결됨", "충분한 라이선스") - 디바이스가 라이선스 기관에 연결하여 정상적으로 등록되었으며, 어플라이언스에 대한 라이선스 자격이 부여되었습니다. 디바이스는 현재 컴플라이언스 상태입니다.

    • Out-of-Compliance(규정 미준수) - 디바이스에 대해 사용 가능한 라이선스 자격이 없습니다. 라이선스 기능은 계속 작동합니다. 그러나 추가 자격을 구매하거나 확보하여 디바이스의 규정을 준수하는 상태가 될 수 있습니다.

    • Authorization Expired(권한 부여 만료됨) - 디바이스가 90일 이상 라이선싱 기관과 통신하지 않았습니다. 라이선스 기능은 계속 작동합니다. 이 상태에서 스마트 라이선스 에이전트는 권한 부여 요청을 다시 시도합니다. 다시 시도가 성공하면 대리인은 Out-of-Compliance(규정 미준수) 또는 Authorized(권한 있음) 상태로 설정되며 새 권한 부여 기간이 시작됩니다. 이 경우 디바이스를 수동으로 동기화해 보십시오.

  • License Registration(라이선스 등록): 이미 온보딩된 FDM 관리 디바이스에 스마트 라이선스를 적용할 수 있습니다. 등록한 경우 Cisco Smart Software Manager에 대한 연결 상태와 각 라이선스 유형의 상태를 확인할 수 있습니다.

  • License Status(라이선스 상태): FDM 관리 디바이스에서 사용 가능한 라이선스(선택 사항)의 상태를 표시합니다. 라이선스를 통해 제어하는 기능을 사용하도록 라이선스를 설정할 수 있습니다.

선택 가능한 라이선스 활성화 또는 비활성화

90일 평가 라이선스 또는 전체 라이선스를 사용하는 FDM 관리 디바이스에서 필요에 따라 라이선스를 활성화(등록)할 수 있습니다. 라이선스를 통해 제어되는 기능을 사용하려면 라이선스를 활성화해야 합니다.

필요에 따라 기간별 라이선스가 적용되는 기능을 더 이상 사용하지 않으려는 경우 라이선스를 비활성화(해제)할 수 있습니다. 비활성화하는 라이선스는 Cisco Smart Software Manager 어카운트에서 해제되므로 다른 디바이스에 적용할 수 있습니다.

평가 모드에서는 필요에 따라 라이선스의 평가 버전을 활성화하고 모든 작업을 수행할 수도 있습니다. 이 모드에서 라이선스는 디바이스를 등록할 때까지 Cisco Smart Software Manager에 등록되지 않습니다.


Note

평가 모드에서는 라이선스를 활성화할 수 없습니다.
Before you begin

라이선스를 비활성화하기 전에 해당 라이선스를 사용하고 있지 않은지 확인합니다. 라이선스가 필요한 정책은 재작성하거나 삭제합니다.

고가용성 컨피그레이션에서 작동 중인 유닛의 경우 액티브 유닛에서만 라이선스를 활성화하거나 비활성화합니다. 다음번 구성 구축 시에 스탠바이 유닛이 필요한 라이선스를 요청하거나 해제할 때 변경 사항이 스탠바이 유닛에 반영됩니다. 라이선스를 활성화하는 경우에는 Cisco Smart Software Manager 어카운트에 사용 가능한 라이선스가 충분한지 확인해야 합니다. 그렇지 않으면 각 유닛의 컴플라이언스 상태가 서로 다를 수 있습니다.

필요에 따라 라이선스를 활성화하거나 비활성화하려면 다음 절차를 수행합니다.

Procedure

Step 1

Security Devices(보안 디바이스) 페이지에서 원하는 FDM 관리 디바이스를 선택하고 Device Actions(디바이스 작업) 창에서 Manage Licenses(라이선스 관리)를 클릭합니다. 그러면 Manage Licenses(라이선스 관리) 화면이 나타납니다.

Step 2

필요에 따라 각 라이선스의 슬라이더 컨트롤을 클릭하여 라이선스를 활성화하거나 비활성화하도록 설정합니다. 활성화되면 라이선스 상태가 OK(정상)로 표시됩니다.

  • Enabled(활성화됨): Cisco Smart Software Manager 어카운트에 라이선스를 등록하고 제어되는 기능을 활성화합니다. 이제 라이선스를 통해 제어되는 정책을 구성하고 구축할 수 있습니다.

  • Disabled(비활성화됨): Cisco Smart Software Manager 어카운트에서 라이선스를 등록 취소하고 제어되는 기능을 비활성화합니다. 이렇게 하면 새 정책에서 기능을 구성할 수 없으며 해당 기능을 사용하는 정책을 구축할 수도 없습니다.

Step 3

Save(저장)를 클릭하여 변경사항을 저장합니다.

만료되거나 비활성화된 선택 가능한 라이선스의 영향

선택 가능한 라이선스가 만료되어도 해당 라이선스를 필요로 하는 기능은 계속 사용할 수 있습니다. 그러나 라이선스는 컴플라이언스 상태가 아닌 것으로 표시되며, 라이선스를 컴플라이언스 상태로 다시 설정하려면 라이선스를 구매하여 어카운트에 추가해야 합니다.

선택 가능한 라이선스를 비활성화하면 시스템은 다음과 같이 대응합니다.

  • 멀웨어 라이선스: 시스템이 AMP 클라우드 쿼리를 중지하며 AMP 클라우드에서 전송하는 회귀적 이벤트 확인도 중지합니다. 악성코드 탐지를 적용하는 파일 정책을 포함하는 기존 액세스 제어 정책은 재구축할 수 없습니다. 멀웨어 라이선스가 비활성화된 매우 짧은 시간 동안 시스템은 기존에 캐시된 파일 상태를 사용할 수 있습니다. 이 기간이 만료되고 나면 시스템은 해당 파일에 사용할 수 없음 상태를 할당합니다.

  • : 시스템이 더 이상 침입 또는 파일 제어 정책을 적용하지 않습니다. 보안 인텔리전스 정책의 경우 시스템은 더 이상 정책을 적용하지 않고 피드 업데이트 다운로드를 중지합니다. 라이선스가 필요한 기존 정책은 재구축할 수 없습니다.

  • URL: URL 범주 조건이 포함된 액세스 제어 규칙의 URL 필터링이 즉시 중지되며 시스템이 URL 데이터에 대한 업데이트를 더 이상 다운로드하지 않습니다. 범주 및 평판 기반 URL 조건이 들어 있는 규칙을 포함하는 기존 액세스 제어 정책은 재적용할 수 없습니다.

  • : 원격 액세스 VPN 구성을 편집할 수는 없지만, 제거할 수는 있습니다. 사용자는 RA VPN 컨피그레이션을 사용하여 계속 연결할 수 있습니다. 그러나 디바이스 등록을 변경하여 시스템이 더 이상 내보내기 방식을 준수하지 않는 경우에는 원격 액세스 VPN 구성이 즉시 중지되며, 원격 사용자가 VPN을 통해 연결할 수 없습니다.

Firewall Device Manager 모델 생성 및 가져오기

Security Cloud ControlSecurity Cloud Control 테넌트에 있는 FDM 관리 디바이스의 전체 구성을 JSON 파일 형식으로 내보낼 수 있는 기능을 제공합니다. 그런 다음 이 파일을 다른 테넌트에 Firewall Device Manager 모델로 가져와서 해당 테넌트의 새 디바이스에 적용할 수 있습니다. 이 기능은 관리하는 여러 테넌트에서 FDM 관리 디바이스의 구성을 사용하려는 경우에 유용합니다.


Note

FDM 관리 디바이스에 규칙 집합이 포함되어 있으면 구성을 내보낼 때 규칙 집합과 연결된 공유 규칙이 로컬 규칙으로 수정됩니다. 나중에 모델을 다른 테넌트로 가져와 FDM 관리 디바이스에 적용하면 디바이스에 로컬 규칙이 표시됩니다.

FDM-관리 디바이스 구성 내보내기

FDM 관리 디바이스에 다음 구성이 있는 경우 구성 내보내기 기능을 사용할 수 없습니다.

  • 고가용성

  • Snort 3 활성화됨

Procedure

Step 1

왼쪽 창에서 Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

FTD 탭을 클릭합니다.

Step 4

FDM 관리 디바이스를 선택하고 오른쪽 창의 Device Actions(디바이스 작업)에서 Export Configuration(구성 내보내기)을 클릭합니다.

FDM-관리 디바이스 구성 가져오기

Procedure

Step 1

Security Devices(보안 디바이스) 페이지에서 파란색 더하기() 버튼을 클릭하여 구성을 가져옵니다.

Step 2

오프라인 관리를 위해 구성을 가져오려면 Import(가져오기)를 클릭합니다.

Step 3

Device Type(디바이스 유형)FTD로 선택합니다.

Step 4

Browse(찾아보기)를 클릭하고 업로드할 구성 파일(JSON 형식)을 선택합니다.

Step 5

구성이 확인되면 디바이스 또는 서비스에 레이블을 지정하라는 메시지가 표시됩니다. 자세한 내용은 레이블 및 레이블 그룹을 참조하십시오.

Step 6

모델 디바이스에 레이블을 지정한 후에는 Security Devices(보안 디바이스) 목록에서 볼 수 있습니다.

Note

 

구성의 크기 및 다른 디바이스 또는 서비스의 수에 따라 구성을 분석하는 데 시간이 걸릴 수 있습니다.

FDM-관리 디바이스 백업

FDM 관리 디바이스를 이전 상태로 복원할 수 있도록 디바이스의 시스템 구성을 백업하는 데 Security Cloud Control를 사용할 수 있습니다. 백업은 구성만 포함하며 시스템 소프트웨어는 포함하지 않습니다. 디바이스를 완전히 재이미징해야 하는 경우 소프트웨어를 다시 설치해야 합니다. 그런 다음 백업을 업로드하고 구성을 복원할 수 있습니다. Security Cloud Control는 디바이스에 대해 만들어진 마지막 5개의 백업을 저장합니다. 새 백업이 발생하면 최신 백업을 저장하기 위해 가장 오래된 백업이 삭제됩니다.


Note

백업에는 관리 IP 주소 구성이 포함되지 않습니다. 따라서 백업 파일을 복원할 때는 관리 주소가 백업 복사본에서 대체되지 않습니다. 이로 인해 주소에 대해 수행하는 변경 사항이 유지되며, 다른 네트워크 세그먼트의 다른 디바이스에서도 구성을 복원할 수도 있습니다.

구성 데이터베이스는 백업하는 동안 잠겨 있습니다. 백업 중에는 정책, 대시보드 등을 볼 수는 있지만 구성을 변경할 수는 없습니다. 복원 중에는 시스템을 완전히 사용할 수 없게 됩니다.

여러 디바이스에서 백업 일정을 일관되게 만들기 위해 고유한 기본 백업 일정을 구성할 수 있습니다. 특정 디바이스에 대한 백업을 예약할 때 자신의 기본 설정을 사용하거나 변경할 수 있습니다. 매일에서 월 1회 반복 백업을 예약하고 주문형 백업을 수행할 수 있습니다. 백업을 다운로드한 다음 Firewall Threat Defense 디바이스 관리자를 사용하여 복원할 수도 있습니다.

Security Cloud Control를 사용하여 FDM 관리 디바이스를 백업 및 복원하기 위한 요구 사항 및 모범 사례

  • Security Cloud Control는 소프트웨어 버전 6.5 이상을 실행하는 FDM 관리 디바이스를 백업할 수 있습니다.

  • FDM 관리 디바이스를 등록 키를 사용하여 Security Cloud Control에 온보딩해야 합니다.

  • 두 디바이스가 동일한 모델이며 동일한 버전의 소프트웨어(같은 시기에 릴리스되었을 뿐만 아니라 빌드 번호도 동일해야 함)를 실행하는 경우에만 교체 디바이스에 백업을 복원할 수 있습니다. 예를 들어 소프트웨어 버전 6.6.0-90을 실행하는 FDM 관리 디바이스의 백업은 6.6.0-90을 실행하는 FDM 관리 디바이스로만 복원할 수 있습니다. 백업 및 복원 프로세스를 사용하여 어플라이언스 간에 구성을 복사하지 마십시오. 백업 파일은 어플라이언스를 고유하게 식별하는 정보를 포함하므로 이러한 방식을 통해 공유할 수 없습니다.

  • Security Cloud Control에서 Secure Firewall Threat Defense 백업 기능이 작동하려면, Firewall Threat Defense가 테넌트 지역을 기반으로 이러한 Security Cloud Control URL 중 하나에 액세스해야 합니다.

    • edge.apj.cdo.cisco.com

    • edge.aus.cdo.cisco.com

    • edge.eu.cdo.cisco.com

    • edge.in.cdo.cisco.com

    • edge.us.cdo.cisco.com

  • 포트 443에 HTTPS 프로토콜에 대한 외부 및 아웃바운드 액세스 권한이 있는지 확인합니다. 포트가 방화벽 뒤에서 차단된 경우 백업 및 복원 프로세스가 실패할 수 있습니다.

모범 사례

백업하려는 디바이스는 Security Cloud Control에서 동기화됨 상태여야 합니다. Security Cloud ControlSecurity Cloud Control가 아닌 디바이스에서 디바이스 구성을 백업합니다. 따라서 디바이스가 동기화되지 않은 상태이면 Security Cloud Control의 변경 사항이 백업되지 않습니다. 디바이스가 충돌 감지 상태이면 해당 변경 사항이 백업됩니다.

FDM-관리 온디맨드 디바이스 백업

이 절차는 필요한 경우 복원할 수 있도록 FDM 관리 디바이스를 백업하는 방법을 설명합니다.

시작하기 전에

FDM 관리 디바이스를 백업하기 전에 이러한 요구 사항과 모범 사례를 검토하십시오.

절차
Procedure

Step 1

(선택 사항) 백업에 대한 변경 요청을 생성합니다.

Step 2

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 3

Devices(디바이스) 탭을 클릭합니다.

Step 4

FTD탭을 클릭하고 백업할 디바이스를 선택합니다.

Step 5

오른쪽의 Device Actions(디바이스 작업) 창에서 Manage Backups(백업 관리)를 클릭합니다.

Step 6

Backup Now(지금 백업)를 클릭합니다. 디바이스가 Backing Up(백업 중) 구성 상태로 전환됩니다.

백업이 완료되면 Security Cloud Control는 백업이 시작되기 전의 디바이스 구성 상태를 표시합니다. 변경 로그 페이지를 열어 "Backup completed successfully(백업이 성공적으로 완료되었습니다)."라는 설명이 포함된 최근 변경 로그 레코드를 찾을 수도 있습니다.

1단계에서 변경 요청을 생성한 경우 해당 값으로 필터링하여 변경 로그 항목을 찾을 수도 있습니다.

Step 7

1단계에서 변경 요청을 생성한 경우 더 이상 예기치 않게 변경 사항을 변경 요청과 연결하지 않도록 변경 요청 값을 지우십시오.

단일 FDM-관리 디바이스에 대한 반복 백업 일정 구성

시작하기 전에

FDM 관리 디바이스를 백업하기 전에 이러한 요구 사항과 모범 사례를 검토하십시오.

절차
Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD탭을 클릭하고 백업할 디바이스를 선택합니다.

Step 4

오른쪽의 Device Actions(디바이스 작업) 창에서 Manage Backups(백업 관리)를 클릭합니다.

Step 5

Device Backups(디바이스 백업) 페이지에서 Set Recurring Backup(반복 백업 설정)을 클릭하거나 Recurring Backup(반복 백업) 필드에서 일정을 클릭합니다. Security Cloud Control은 테넌트 내 모든 FDM 관리 디바이스에 대한 기본 백업 일정을 표시합니다. 자세한 내용은 모든 FDM 매니지드 디바이스에 대한 기본 반복 백업 일정 구성을 참조하십시오.

Step 6

백업을 수행할 시간을 24시간 단위로 선택합니다. UTC(Coordinated Universal Time) 시간대로 시간을 예약합니다.

Step 7

Frequency(빈도) 필드에서 매일, 매주 또는 매월을 선택합니다.

  • Daily backups(매일 백업): 예약된 백업에 이름과 설명을 지정합니다.

  • Weekly backups(매주 백업): 백업을 수행할 요일을 선택합니다. 예약된 백업 시간에 이름과 설명을 지정합니다.

  • Monthly backups(매월 백업): Days of Month(날짜) 필드를 클릭하고 백업을 예약할 날짜를 추가합니다. 참고: 31일을 입력했지만 해당 월에 31일이 없는 경우 백업이 수행되지 않습니다. 예약된 백업 시간에 이름과 설명을 지정합니다.

Step 8

Save(저장)를 클릭합니다. Device Backup(디바이스 백업) 페이지에서 Recurring Backup(반복 백업) 필드가 사용자가 설정한 백업 일정으로 교체되고 로컬 시간이 반영됩니다.

디바이스 백업 다운로드

이 절차는 FDM 관리 디바이스의 백업이 포함된 .tar 파일을 다운로드하는 방법을 설명합니다.

Procedure

Step 1

탐색 모음에서 보안 디바이스를 선택합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD 탭과 다운로드할 백업이 있는 디바이스를 클릭합니다.

Step 4

오른쪽의 작업 창에서 Manage Backups(백업 관리)를 클릭합니다.

Step 5

다운로드할 백업을 선택하고 해당 행에서 다운로드 링크 생성 버튼 를 클릭합니다. 버튼이 "백업 이미지 다운로드"로 변경됩니다.

Step 6

이제 버튼에 백업 이미지 다운로드가 표시됩니다. 다음 중 하나를 수행합니다.

  • 복원하려는 디바이스의 Firewall Device Manager에도 연결할 수 있는 디바이스에 있는 경우 백업 이미지 다운로드 버튼을 클릭하고 다운로드한 파일을 저장합니다. 기억할 수 있는 이름으로 저장하십시오.

  • 복원하려는 디바이스의 FDM에도 연결할 수 있는 디바이스에 있지 않은 경우:

    1. 백업 이미지 다운로드 버튼을 마우스 오른쪽 버튼으로 클릭하고 링크 주소를 복사합니다.

      Important

       

      링크 주소는 다운로드 링크 생성 버튼을 클릭한 후 15분이 지나면 만료됩니다.

    2. 이미지를 복원하려는 Secure Firewall Threat DefenseFirewall Device Manager에 도달하는 디바이스에서도 브라우저를 엽니다.

    3. 브라우저 주소 표시줄에 다운로드 링크를 입력하고 해당 디바이스에 백업 파일을 다운로드합니다. 기억할 수 있는 이름으로 저장하십시오.

백업 편집

이 절차를 통해 성공적인 FDM 관리 디바이스 다운로드의 이름 또는 설명을 편집할 수 있습니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD탭을 클릭하고 편집할 디바이스를 선택합니다.

Step 4

오른쪽의 작업 창에서 Manage Backups(백업 관리)를 클릭합니다.

Step 5

편집할 백업과 해당 행을 선택하고 편집 아이콘 를 클릭합니다.

Step 6

백업의 이름이나 설명을 변경합니다. 디바이스 백업 페이지에서 새 정보를 볼 수 있습니다.

백업 삭제

Security Cloud Control는 디바이스에 대해 생성된 마지막 5개의 백업을 저장합니다. 새 백업이 발생하면 최신 백업을 저장하기 위해 가장 오래된 백업이 삭제됩니다. 기존 백업을 삭제하면 보관할 백업과 삭제할 백업을 관리하는 데 도움이 될 수 있습니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD 탭을 클릭하고 삭제할 디바이스를 선택합니다.

Step 4

오른쪽의 Actions(작업) 창에서 Manage Backups(백업 관리)를 클릭합니다.

Step 5

삭제할 백업과 해당 행을 선택하고 휴지통 아이콘을 클릭합니다.

Step 6

OK(확인)를 클릭하여 확인합니다.

디바이스 백업 관리

Security Cloud Control을 사용하여 생성하는 FDM 관리 디바이스의 백업은 Device Backups(디바이스 백업) 페이지에서 확인할 수 있습니다.

Procedure

Step 1

왼쪽 창에서 Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD 탭을 클릭합니다.

Step 4

디바이스 테이블에 FDM 관리 디바이스만 표시하려면 필터 아이콘을 클릭하고 Devices/Services(디바이스/서비스) 아래에서 FDM을 선택합니다.

Step 5

원하는 디바이스를 선택합니다.

Step 6

Device Actions(디바이스 작업) 창에서 Manage Backups(백업 관리)를 클릭합니다. 해당 디바이스의 최신 백업을 5개까지 볼 수 있습니다.

What to do next
백업을 복구하려면 FDM-관리 디바이스에 백업 복원의 내용을 참조하십시오.

FDM-관리 디바이스에 백업 복원

FDM 관리 관리 Firewall Threat Defense 디바이스의 백업을 복원하기 전에 이 정보를 검토하십시오.

  • FDM 관리 Firewall Threat Defense디바이스를 복원하기 전에 이러한 요구 사항과 모범 사례를 검토하십시오.

  • 복원하려는 백업 복사본이 디바이스에 아직 없는 경우 복원 전에 백업을 먼저 업로드해야 합니다.

  • 복원 중에는 시스템을 완전히 사용할 수 없게 됩니다. 백업이 복원되면 디바이스가 재부팅됩니다.

  • 이 절차에서는 디바이스에 복원할 준비가 된 디바이스의 기존 백업이 있다고 가정합니다.

  • 디바이스가 고가용성 쌍의 일부인 경우 백업을 복원할 수 없습니다. 먼저 Device(디바이스) > High Availability(고가용성) 페이지에서 HA를 해제해야 백업을 복원할 수 있습니다. 백업이 HA 구성을 포함하는 경우 디바이스가 HA 그룹에 다시 조인합니다. 두 유닛에서 동일한 백업을 복원하지 마십시오. 이렇게 하면 두 유닛이 모두 액티브로 설정됩니다. 대신 액티브로 설정할 유닛에서 백업을 먼저 복원한 후에 다른 유닛에서 해당하는 백업을 복원합니다.


Note

백업에는 관리 IP 주소 구성이 포함되지 않습니다. 따라서 백업 파일을 복원할 때는 관리 주소가 백업 복사본에서 대체되지 않습니다. 이로 인해 주소에 대해 수행하는 변경 사항이 유지되며, 다른 네트워크 세그먼트의 다른 디바이스에서도 구성을 복원할 수도 있습니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD탭을 클릭하고 복원할 디바이스를 선택합니다.

Step 4

오른쪽의 Device Actions(디바이스 작업)에서 Manage Backups(백업 관리)를 클릭합니다.

Step 5

복원하려는 백업을 선택합니다. 해당 행에서 다운로드 링크 생성 버튼 를 클릭합니다.

Note

 

링크 주소는 다운로드 링크 생성 버튼을 클릭한 후 15분이 지나면 만료됩니다.

Step 6

이제 버튼에 백업 이미지 다운로드가 표시됩니다. 다음 중 하나를 수행합니다.

  • 복원하려는 디바이스의 Firewall Device Manager에도 연결할 수 있는 디바이스에 있는 경우 백업 이미지 다운로드 버튼을 클릭하고 다운로드한 파일을 저장합니다. 기억할 수 있는 이름으로 저장하십시오.

  • 복원하려는 디바이스의 Firewall Device Manager에도 연결할 수 있는 디바이스에 있지 않은 경우:

    1. 백업 이미지 다운로드 버튼을 마우스 오른쪽 버튼으로 클릭하고 링크 주소를 복사합니다.

    2. 이미지를 복원하려는 Firewall Device Manager에 도달하는 디바이스에서도 브라우저를 엽니다.

    3. 브라우저 주소 표시줄에 다운로드 링크를 입력하고 해당 디바이스에 백업 파일을 다운로드합니다. 기억할 수 있는 이름으로 저장하십시오.

Step 7

복원하려는 디바이스의 Firewall Device Manager에 로그온합니다.

Step 8

Firepower Device Manager용 Cisco Firepower Threat Defense 컨피그레이션 가이드 버전 6.5 이상을 엽니다. 시스템 관리 창으로 이동하여 백업 복원을 검색합니다. 해당 지침에 따라 방금 FDM 관리 디바이스에 다운로드한 이미지를 복원하십시오.

Tip

 

이미지를 복원하려면 Firewall Device Manager에 이미지를 업로드해야 합니다.

Step 9

Firewall Device Manager의 프롬프트를 따르십시오. 복원이 시작되면 브라우저와 Firewall Device Manager의 연결이 끊어집니다. 복원이 완료되면 디바이스가 재부팅됩니다.

FDM 소프트웨어 업그레이드 경로

FDM 버전 업그레이드

Security Cloud Control을 사용하여 FDM 관리 방화벽을 업그레이드하는 경우, Security Cloud Control이 업그레이드할 수 있는 버전을 결정하며 이 항목은 필요하지 않습니다. FDM 이미지의 자체 저장소를 유지 관리하고 자체 이미지를 사용하여 FDM 매니지드 디바이스를 업그레이드하는 경우, 이 주제에서는 사용할 수 있는 업그레이드 경로에 대해 설명합니다.

FDM 매니지드 디바이스를 하나의 주요 또는 유지 보수 버전에서 다른 버전으로 직접 업그레이드할 수 있습니다. 예를 들어 버전 6.4.0을 6.5.0으로, 또는 버전 6.4.0을 7.0.1으로 업그레이드 할 수 있습니다. 특정 패치 레벨을 실행할 필요는 없습니다.

직접 업그레이드가 불가능한 경우 업그레이드 경로에 중간 버전(예: 버전 6.4.0 > 7.0.0 > 7.1.0)이 포함되어야 합니다.

Table 3. 주요 릴리스의 업그레이드 경로

대상 버전

대상 버전으로 업그레이드할 수 있는 가장 오래된 릴리스

7.3.x

7.0.0

7.2.x

6.6.0

7.1.x

6.5.0

7.0.x

6.4.0

6.7.x

6.4.0

6.6.x

6.4.0

6.5.0

6.4.0

FDM 매니지드 디바이스 구성

한 버전의 패치를 다른 버전의 패치로 직접 업그레이드할 수 없습니다(예: 버전 6.4.0.1 > 6.5.0.1). 먼저 주요 릴리스로 업그레이드한 다음 해당 릴리스를 패치해야 합니다. 예를 들어 버전 6.4.0.1 > 6.5.0 > 6.5.0.1로 업그레이드해야 합니다.

Firepower 핫픽스

Security Cloud Control는 핫픽스 업데이트 또는 설치를 지원하지 않습니다. 디바이스 모델 또는 소프트웨어 버전에 사용 가능한 핫픽스가 있는 경우 구성된 관리자의 대시보드 또는 UI를 사용하는 것이 좋습니다. 디바이스에 핫픽스가 설치되면 Security Cloud Control가 대역 외 구성 변경 사항을 탐지합니다.

FDM 업그레이드 제거

Security Cloud Control을 사용하여 주요 릴리스, 유지 보수 또는 패치 릴리스 유형을 제거하거나 다운그레이드할 수 없습니다.

Secure Firewall Threat Defense defense 버전 6.7.0부터는 Firepower Device Manager 또는 FTD CLI를 사용하여 성공적으로 업그레이드된 디바이스를 마지막 주요 또는 유지 보수 업그레이드 직전의 상태로 되돌릴 수 있습니다(스냅샷이라고도 함). 패치를 적용한 후 되돌리면 패치도 제거됩니다. 되돌린 후에는 업그레이드와 되돌리기 사이에 변경한 모든 구성을 다시 적용해야 합니다. FDM 버전 6.5.0~6.6.x로의 주요 또는 유지 보수 업그레이드를 되돌리려면 이미지를 재설치해야 합니다. 자세한 내용은 Firepower Device Manager용 Cisco Firepower Threat Defense 구성 가이드의 "시스템 관리" 섹션을 참조하십시오.

FDM 패치 제거

Security Cloud Control 또는 FDM을 사용하여 FDM 패치를 제거할 수 없습니다. 패치를 제거하려면 주 또는 유지 보수 릴리스로 이미지 재설치해야 합니다.

Snort 업그레이드

Snort는 제품의 기본 검사 엔진이며 사용자의 편의를 위해 Secure Firewall Threat Defense 소프트웨어에 패키징됩니다. 버전 6.7에는 언제든지 업그레이드하거나 되돌릴 수 있는 패키지 업데이트가 도입되었습니다. Snort 버전을 자유롭게 전환할 수는 있지만, Snort 2.0의 일부 침입 규칙은 Snort 3.0에는 없을 수 있으며 그 반대의 경우도 마찬가지입니다. 자세한 내용은 버전 6.7.0용 Firepower Device Manager 구성 가이드에서 차이점을 참조하십시오.

Security Cloud Control UI에서 Snort 3을 사용하도록 FDM 관리 디바이스를 업그레이드하거나 Snort 3에서 Snort 2로 다시 되돌리려면 FTD의 경우 각각 Snort 3.0으로 업그레이드Snort 3.0에서 되돌리기를 참조하십시오.

기타 업그레이드 제한 사항

2100 시리즈

Security Cloud Control는 어플라이언스 모드를 실행 중인 경우에만 Firepower 2100 Series 디바이스를 업그레이드할 수 있습니다.

  • Firepower Threat Defense 디바이스는 항상 어플라이언스 모드입니다.

다음에 수행할 작업

이러한 명령에 대한 자세한 내용은 "Cisco Firepower 2100 시작 가이드"를 참조하십시오.

FDM-관리 디바이스 업그레이드 사전 요건

Security Cloud Control는 개별 디바이스 또는 HA 쌍에 설치된 Firewall Device Manager(FDM) 이미지를 업그레이드하는 데 도움이 되는 마법사를 제공합니다.

마법사는 호환 가능한 이미지를 선택하고 설치하고 디바이스를 재부팅하여 업그레이드를 완료하는 프로세스를 안내합니다. Cisco에서는 Security Cloud Control에서 선택한 이미지가 FDM 관리 디바이스에 복사되고 설치된 이미지인지 확인하여 업그레이드 프로세스를 보호합니다. 업그레이드하는 FDM 관리 디바이스는 인터넷에 대한 아웃바운드 액세스 권한이 있어야 합니다.

FDM 관리 디바이스에 인터넷에 대한 아웃바운드 액세스 권한이 없는 경우 Cisco.com에서 원하는 이미지를 다운로드하여 자체 저장소에 저장하고 업그레이드 마법사에 해당 이미지에 대한 맞춤형 URL을 제공하면 Security Cloud Control가 해당 이미지를 사용하여 업그레이드를 수행할 수 있습니다. . 그러나 이 경우에는 어떤 이미지로 업그레이드할지 결정합니다. Security Cloud Control는 이미지 무결성 확인 또는 디스크 공간 확인을 수행하지 않습니다.

구성 사전 요구 사항

  • FDM 관리 디바이스에서 DNS를 활성화해야 합니다. 자세한 내용은 디바이스에서 실행 중인 버전의 Firepower Device Manager용 Cisco Firepower Threat Defense 구성 가이드시스템 관리 장의 "DNS 구성" 섹션을 참조하십시오.

  • Security Cloud Control의 이미지 저장소에서 업그레이드 이미지를 사용하는 경우 FDM 관리 디바이스에서 인터넷에 연결할 수 있어야 합니다.

  • FDM 관리 디바이스가 Security Cloud Control에 성공적으로 온보딩되었습니다.

  • FDM 관리 디바이스에 연결할 수 없습니다.

  • FDM 관리 디바이스가 동기화됩니다.

    • Security Cloud Control에서 보류 중인 변경 사항이 있는 디바이스를 업데이트하고 변경 사항을 수락하지 않으면 업그레이드가 완료된 후 보류 중인 변경 사항이 손실됩니다. 업그레이드하기 전에 보류 중인 변경 사항을 구축하는 것이 가장 좋습니다.

    • Firewall Device Manager에서 변경 사항을 준비했으며 디바이스가 동기화되지 않은 경우 자격 확인 시 Security Cloud Control에서 업그레이드가 실패합니다.

FTD를 실행하는 4100 및 9300 Series

Security Cloud Control는 4100 또는 9300 Series 디바이스에 대한 업그레이드를 지원하지 않습니다. 이러한 디바이스는 Security Cloud Control 외부에서 업그레이드해야 합니다.

소프트웨어 및 하드웨어 요구 사항

Security Cloud Control는 클라우드 관리 플랫폼입니다. 소프트웨어 업데이트는 시간이 지남에 따라 릴리스되며 일반적으로 하드웨어에 의존하지 않습니다.

지원하는 하드웨어 유형에 대한 자세한 내용은 Security Cloud Control에서 지원하는 소프트웨어 및 하드웨어를 참조하십시오.

Firewall Device Manager 소프트웨어를 실행하는 디바이스에는 최적의 성능을 위한 권장 업그레이드 경로가 있습니다. 자세한 내용은 Firepower 소프트웨어 업그레이드 경로를 참조하십시오.

업그레이드 참고 사항

업그레이드 중에는 디바이스에 변경 사항을 구축할 수 없습니다.

단일 FDM-관리 디바이스 업그레이드

시작하기 전에

업그레이드하기 전에 FTD 업그레이드 사전 요건, Firepower 소프트웨어 업그레이드 경로, Security Cloud Control에서 지원하는 디바이스, 소프트웨어 및 하드웨어를 자세히 읽어보십시오.

지원되는 디바이스, 소프트웨어 및 하드웨어을 참조하십시오.

이 문서에서는 원하는 Firepower 소프트웨어 버전으로 업그레이드하기 전에 알아야 할 모든 요구 사항 및 경고에 대해 설명합니다.

Security Cloud Control 저장소의 이미지로 단일 FDM-관리 디바이스 업그레이드

Security Cloud Control의 저장소에 저장된 소프트웨어 이미지를 사용하여 독립형 FDM 관리 디바이스를 업그레이드하려면 다음 절차를 수행합니다.

Procedure

Step 1

탐색 모음에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

FTD 탭을 클릭합니다.

Step 4

업그레이드할 디바이스를 선택합니다.

Step 5

Device Actions(디바이스 작업) 창에서 Upgrade(업그레이드)를 클릭합니다.

Step 6

1단계에서 Use Security Cloud Control Image Repository(이미지 저장소 사용)를 클릭하여 업그레이드할 소프트웨어 이미지를 선택하고 Continue(계속)를 클릭합니다. 업그레이드할 수 있는 디바이스와 호환되는 선택 항목만 표시됩니다.

Step 7

2단계에서는 선택 사항을 확인하고 디바이스에 이미지를 다운로드할지 아니면 이미지를 복사하여 설치하고 디바이스를 재부팅할지를 결정합니다.

Step 8

준비가 되면 Perform Upgrade(업그레이드 수행)를 클릭합니다. Security Devices(보안 디바이스) 페이지에서 업그레이드 중인 디바이스는 "Upgrade in Progress(업그레이드 진행 중)" 구성 상태로 표시됩니다.

Warning

 

진행 중인 업그레이드를 취소하려면 Upgrade(업그레이드) 페이지에서 Abort Upgrade(업그레이드 중단)를 클릭합니다. 업그레이드가 시작된 후 취소하면 Security Cloud Control는 디바이스에서 변경 사항을 구축하거나 확인하지 않으며 디바이스는 이전 구성으로 롤백되지 않습니다. 이로 인해 디바이스가 비정상 상태로 전환될 수 있습니다. 업그레이드 과정 중에 문제가 발생하면 Cisco TAC에 문의하십시오.

Step 9

또는 Security Cloud Control가 나중에 업그레이드를 수행하도록 하려면 Schedule Upgrade(업그레이드 예약) 확인란을 선택합니다. 미래의 날짜 및 시간을 선택하려면 필드를 클릭합니다. 완료되면 Schedule Upgrade(업그레이드 예약) 버튼을 클릭합니다.

Step 10

알림 탭에서 대량 업그레이드 작업의 진행 상황을 확인합니다. 대량 업그레이드 작업의 성공 또는 실패에 대한 자세한 내용을 보려면 파란색 Review(검토) 링크를 클릭합니다. 그러면 Jobs(작업) 페이지로 이동합니다.

Step 11

시스템 데이터베이스를 업그레이드합니다. Firewall Device Manager에서 이 단계를 수행해야 합니다. 자세한 내용은 Firepower Device Manager 버전 6.4용 Cisco Firepower Threat Defense 구성 가이드의 "시스템 데이터베이스 업데이트"를 참조하십시오.

자체 저장소의 이미지로 단일 FDM-관리 디바이스 업그레이드

소프트웨어 이미지를 찾기 위해 URL 프로토콜을 사용하여 독립형 FDM 관리 디바이스를 업그레이드하려면 다음 절차를 수행합니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

FTD 탭을 클릭합니다.

Step 4

업그레이드할 디바이스를 선택합니다.

Step 5

Device Actions(디바이스 작업) 창에서 Upgrade(업그레이드)를 클릭합니다.

Step 6

1단계에서 Specify Image URL(이미지 URL 지정)을 클릭하여 업그레이드할 소프트웨어 이미지를 선택하고 Continue(계속)를 클릭합니다. 업그레이드할 수 있는 디바이스와 호환되는 선택 항목만 표시됩니다.

Step 7

2단계에서는 선택 사항을 확인하고 디바이스에 이미지를 다운로드할지 아니면 이미지를 복사하여 설치하고 디바이스를 재부팅할지를 결정합니다.

Step 8

준비가 되면 Perform Upgrade(업그레이드 수행)를 클릭합니다. Security Devices(보안 디바이스) 페이지에서 업그레이드 중인 디바이스는 "Upgrade in Progress(업그레이드 진행 중)" 구성 상태로 표시됩니다.

Warning

 

진행 중인 업그레이드를 취소하려면 Upgrade(업그레이드) 페이지에서 Abort Upgrade(업그레이드 중단)를 클릭합니다. 업그레이드가 시작된 후 취소하면 Security Cloud Control는 디바이스에서 변경 사항을 구축하거나 확인하지 않으며 디바이스는 이전 구성으로 롤백되지 않습니다. 이로 인해 디바이스가 비정상 상태로 전환될 수 있습니다. 업그레이드 과정 중에 문제가 발생하면 Cisco TAC에 문의하십시오.

Step 9

또는 Security Cloud Control가 나중에 업그레이드를 수행하도록 하려면 Schedule Upgrade(업그레이드 예약) 확인란을 선택합니다. 미래의 날짜 및 시간을 선택하려면 필드를 클릭합니다. 완료되면 Schedule Upgrade(업그레이드 예약) 버튼을 클릭합니다.

Step 10

알림 탭에서 대량 업그레이드 작업의 진행 상황을 확인합니다. 대량 업그레이드 작업의 성공 또는 실패에 대한 자세한 내용을 보려면 파란색 Review(검토) 링크를 클릭합니다. 그러면 Jobs(작업) 페이지로 이동합니다.

Step 11

시스템 데이터베이스를 업그레이드합니다. Firewall Device Manager에서 이 단계를 수행해야 합니다. 자세한 내용은 Firepower Device Manager 버전 6.4용 Cisco Firepower Threat Defense 구성 가이드시스템 데이터베이스 업데이트를 참조하십시오.

업그레이드 프로세스 모니터링

Security Devices(보안 디바이스) 페이지에서 해당 디바이스를 선택하고 업그레이드 버튼을 클릭하여 단일 디바이스의 진행 상황을 볼 수 있습니다. Security Cloud Control에서 해당 디바이스의 디바이스 업그레이드 페이지로 이동합니다.

업그레이드가 실패할 경우 Security Cloud Control에서 메시지를 표시합니다. Security Cloud Control는 업그레이드 프로세스를 자동으로 재시작하지 않습니다.


Warning

자체 서명 인증서가 있는 디바이스를 업그레이드하면 문제가 발생할 수 있습니다. 자세한 내용은 새 인증서 탐지를 참조하십시오.

대량 FDM-관리 디바이스 업그레이드

시작하기 전에

업그레이드하기 전에 FDM 매니지드 디바이스 업그레이드 사전 요건, Firepower 소프트웨어 업그레이드 경로, Security Cloud Control에서 지원하는 디바이스, 소프트웨어 및 하드웨어를 자세히 읽어보시기 바랍니다.

지원되는 디바이스, 소프트웨어 및 하드웨어을 참조하십시오.

이 문서에서는 원하는 Firepower 소프트웨어 버전으로 업그레이드하기 전에 알아야 할 모든 요구 사항 및 경고에 대해 설명합니다.


Note

모두 동일한 소프트웨어 버전으로 업그레이드하는 경우에만 FDM 관리 디바이스를 대량 업그레이드할 수 있습니다.

Security Cloud Control 저장소의 이미지로 대량 FDM-관리 디바이스 업그레이드

Security Cloud Control의 저장소에 저장된 소프트웨어 이미지를 사용하여 여러 FDM 관리 디바이스를 업그레이드하려면 다음 절차를 수행합니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

FTD 탭을 클릭합니다.

Step 4

필터를 사용하여 대량 업그레이드에 포함할 디바이스 목록을 좁힐 수 있습니다.

Step 5

필터링된 디바이스 목록에서 업그레이드할 디바이스를 선택합니다.

Step 6

Device Actions(디바이스 작업) 창에서 Upgrade(업그레이드)를 클릭합니다.

Step 7

Bulk Device Upgrade(대량 디바이스 업그레이드) 페이지에 업그레이드할 수 있는 디바이스가 표시됩니다. 선택한 디바이스 중 업그레이드할 수 없는 디바이스가 있으면 Security Cloud Control에서 업그레이드할 수 없는 디바이스를 볼 수 있는 링크를 제공합니다.

Step 8

또는 Security Cloud Control가 나중에 업그레이드를 수행하도록 하려면 Schedule Upgrade(업그레이드 예약) 확인란을 선택합니다. 미래의 날짜 및 시간을 선택하려면 필드를 클릭합니다. 완료되면 Schedule Upgrade(업그레이드 예약) 버튼을 클릭합니다.

Step 9

1단계에서 Use Security Cloud Control Image Repository(CDO 이미지 저장소 사용)를 클릭하여 업그레이드할 소프트웨어 이미지를 선택합니다. 업그레이드할 수 있는 디바이스와 호환되는 선택 항목만 표시됩니다. Continue(계속)를 클릭합니다.

Step 10

2단계에서는 선택 사항을 확인하고 디바이스에 이미지를 다운로드할지 아니면 이미지를 복사하여 설치하고 디바이스를 재부팅할지를 결정합니다.

Step 11

준비가 되면 Perform Upgrade(업그레이드 수행)를 클릭합니다. Security Devices(보안 디바이스) 페이지에서 업그레이드 중인 디바이스는 "Upgrade in Progress(업그레이드 진행 중)" 구성 상태로 표시됩니다.

Warning

 

진행 중인 업그레이드를 취소하려면 Upgrade(업그레이드) 페이지에서 Abort Upgrade(업그레이드 중단)를 클릭합니다. 업그레이드를 시작한 후 취소하면 Security Cloud Control는 디바이스에서 변경 사항을 구축하거나 폴링하지 않습니다. 업그레이드를 취소한 후에도 디바이스가 이전 구성으로 롤백되지 않습니다. 이로 인해 디바이스가 비정상 상태로 전환될 수 있습니다. 업그레이드 과정 중에 문제가 발생하면 Cisco TAC에 문의하십시오.

Step 12

알림 탭에서 대량 업그레이드 작업의 진행 상황을 확인합니다. 대량 업그레이드 작업의 성공 또는 실패에 대한 자세한 내용을 보려면 파란색 Review(검토) 링크를 클릭합니다. 그러면 Jobs(작업) 페이지로 이동합니다.

Step 13

시스템 데이터베이스를 업그레이드합니다. Firewall Device Manager에서 이 단계를 수행해야 합니다. 디바이스가 실행 중인 버전에 대한 Firepower Device Manager용 Cisco Firepower Threat Defense 구성 가이드시스템 데이터베이스 업데이트를 참조하십시오.

자체 저장소의 이미지를 사용하여 대량 FDM-관리 디바이스 업그레이드

소프트웨어 이미지를 찾기 위해 URL 프로토콜을 사용하여 여러 FDM 관리 디바이스를 업그레이드하려면 다음 절차를 수행합니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

FTD 탭을 클릭합니다.

Step 4

필터를 사용하여 대량 업그레이드에 포함할 디바이스 목록을 좁힐 수 있습니다.

Step 5

필터링된 디바이스 목록에서 업그레이드할 디바이스를 선택합니다.

Step 6

Device Actions(디바이스 작업) 창에서 Upgrade(업그레이드)를 클릭합니다.

Step 7

Bulk Device Upgrade(대량 디바이스 업그레이드) 페이지에 업그레이드할 수 있는 디바이스가 표시됩니다. 선택한 디바이스 중 업그레이드할 수 없는 디바이스가 있으면 Security Cloud Control에서 업그레이드할 수 없는 디바이스를 볼 수 있는 링크를 제공합니다.

Step 8

또는 Security Cloud Control가 나중에 업그레이드를 수행하도록 하려면 Schedule Upgrade(업그레이드 예약) 확인란을 선택합니다. 미래의 날짜 및 시간을 선택하려면 필드를 클릭합니다. 완료되면 Schedule Upgrade(업그레이드 예약) 버튼을 클릭합니다.

Step 9

1단계에서 Specify Image URL(이미지 URL 지정)을 클릭하여 업그레이드할 소프트웨어 이미지를 선택하고 Continue(계속)를 클릭합니다.

Step 10

2단계에서는 선택 사항을 확인하고 디바이스에 이미지를 다운로드할지 아니면 이미지를 복사하여 설치하고 디바이스를 재부팅할지를 결정합니다.

Step 11

준비가 되면 Perform Upgrade(업그레이드 수행)를 클릭합니다. Security Devices(보안 디바이스) 페이지에서 업그레이드 중인 디바이스는 "Upgrade in Progress(업그레이드 진행 중)" 구성 상태로 표시됩니다.

Warning

 

진행 중인 업그레이드를 취소하려면 Upgrade(업그레이드) 페이지에서 Abort Upgrade(업그레이드 중단)를 클릭합니다. 업그레이드가 시작된 후 취소하면 Security Cloud Control는 디바이스에서 변경 사항을 구축하거나 폴링하지 않으며 디바이스는 이전 구성으로 롤백되지 않습니다. 이로 인해 디바이스가 비정상 상태로 전환될 수 있습니다. 업그레이드 과정 중에 문제가 발생하면 Cisco TAC에 문의하십시오.

Step 12

알림 탭에서 대량 업그레이드 작업의 진행 상황을 확인합니다. 대량 업그레이드 작업의 성공 또는 실패에 대한 자세한 내용을 보려면 파란색 Review(검토) 링크를 클릭합니다. 그러면 Jobs(작업) 페이지로 이동합니다.

Step 13

시스템 데이터베이스를 업그레이드합니다. Firewall Device Manager에서 이 단계를 수행해야 합니다. 자세한 내용은 Firepower Device Manager 버전 6.4용 Cisco Firepower Threat Defense 구성 가이드의 "시스템 데이터베이스 업데이트"를 참조하십시오.

대량 업그레이드 프로세스 모니터링

Security Devices(보안 디바이스) 페이지에서 해당 디바이스를 선택하고 업그레이드 버튼을 클릭하여 대량 업그레이드에 포함된 단일 디바이스의 진행 상황을 볼 수 있습니다. 왼쪽 창에서 Jobs(작업)을 클릭하고 대량 작업을 확장하여 진행 세부 정보를 볼 수도 있습니다.

업그레이드가 실패할 경우 Security Cloud Control에서 메시지를 표시합니다. Security Cloud Control는 업그레이드 프로세스를 자동으로 재시작하지 않습니다.

FDM-관리 고가용성 쌍 업그레이드

트래픽 중단 없이 HA 쌍을 업그레이드합니다. 스탠바이 디바이스는 보조 디바이스가 업그레이드되는 동안 트래픽 탐지를 계속 처리합니다.

HA 쌍을 업그레이드할 때 Security Cloud Control는 업그레이드를 시작하기 전에 자격 확인을 실행하고 이미지 위치를 복사하거나 식별합니다. 고가용성 쌍의 보조 디바이스는 현재 활성 디바이스인 경우에도 먼저 업그레이드됩니다. 보조 디바이스가 Security Cloud Control 활성 디바이스인 경우 페어링된 디바이스는 업그레이드 프로세스의 역할을 자동으로 전환합니다. 보조 디바이스가 성공적으로 업그레이드되면 디바이스가 역할을 전환한 다음 새 스탠바이 디바이스가 업그레이드됩니다. 업그레이드가 완료되면 기본 디바이스가 액티브 상태가 되고 보조 디바이스가 스탠바이 상태가 되도록 디바이스가 자동으로 구성됩니다.

업그레이드 프로세스 중에는 HA 쌍에 구축하지 않는 것이 좋습니다.

시작하기 전에

Security Cloud Control(보안 클라우드 제어) 저장소의 이미지로 FDM-관리 HA 쌍 업그레이드

Security Cloud Control의 저장소에 저장된 소프트웨어 이미지를 사용하여 FDM 관리 HA 쌍을 업그레이드하려면 다음 절차를 수행합니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

FTD 탭을 클릭합니다.

Step 4

업그레이드할 HA 쌍을 선택합니다.

Step 5

Device Actions(디바이스 작업) 창에서 Upgrade(업그레이드)를 클릭합니다.

Step 6

1단계에서 Use Security Cloud ControlImage Repository(이미지 저장소 사용)를 클릭하여 업그레이드할 소프트웨어 이미지를 선택하고 Continue(계속)를 클릭합니다. 업그레이드할 수 있는 디바이스와 호환되는 선택 항목만 표시됩니다.

Step 7

2단계에서는 선택 사항을 확인하고 디바이스에 이미지를 다운로드할지 아니면 이미지를 복사하여 설치하고 디바이스를 재부팅할지를 결정합니다.

Step 8

준비가 되면 Perform Upgrade(업그레이드 수행)를 클릭합니다. Security Devices(보안 디바이스) 페이지에서 업그레이드 중인 디바이스는 "Upgrade in Progress(업그레이드 진행 중)" 구성 상태로 표시됩니다.

Warning

 

진행 중인 업그레이드를 취소하려면 Upgrade(업그레이드) 페이지에서 Abort Upgrade(업그레이드 중단)를 클릭합니다. 업그레이드가 시작된 후 취소하면 Security Cloud Control는 디바이스에서 변경 사항을 구축하거나 폴링하지 않으며 디바이스는 이전 구성으로 롤백되지 않습니다. 이로 인해 디바이스가 비정상 상태로 전환될 수 있습니다. 업그레이드 과정 중에 문제가 발생하면 Cisco TAC에 문의하십시오.

Step 9

또는 Security Cloud Control가 나중에 업그레이드를 수행하도록 하려면 Schedule Upgrade(업그레이드 예약) 확인란을 선택합니다. 미래의 날짜 및 시간을 선택하려면 필드를 클릭합니다. 완료되면 Schedule Upgrade(업그레이드 예약) 버튼을 클릭합니다.

Step 10

알림 탭에서 대량 업그레이드 작업의 진행 상황을 확인합니다. 대량 업그레이드 작업의 성공 또는 실패에 대한 자세한 내용을 보려면 파란색 Review(검토) 링크를 클릭합니다. 그러면 Jobs(작업) 페이지로 이동합니다.

Step 11

시스템 데이터베이스를 업그레이드합니다. 이 단계는 FDM에서 수행해야 합니다. 자세한 내용은 Firepower Device Manager 버전 6.4용 Cisco Firepower Threat Defense 구성 가이드의 "시스템 데이터베이스 업데이트"를 참조하십시오.

자체 저장소의 이미지로 FDM-관리 HA 쌍 업그레이드

소프트웨어 이미지를 찾기 위해 URL 프로토콜을 사용하여 FDM 관리 HA 쌍을 업그레이드하려면 다음 절차를 수행합니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

FTD 탭을 클릭합니다.

Step 4

업그레이드할 HA 쌍을 선택합니다.

Step 5

Device Actions(디바이스 작업) 창에서 Upgrade(업그레이드)를 클릭합니다.

Step 6

1단계에서 Specify Image URL(이미지 URL 지정)을 클릭하여 업그레이드할 소프트웨어 이미지를 선택하고 Continue(계속)를 클릭합니다. 업그레이드할 수 있는 디바이스와 호환되는 선택 항목만 표시됩니다.

Step 7

2단계에서는 선택 사항을 확인하고 디바이스에 이미지를 다운로드할지 아니면 이미지를 복사하여 설치하고 디바이스를 재부팅할지를 결정합니다.

Step 8

준비가 되면 Perform Upgrade(업그레이드 수행)를 클릭합니다. Security Devices(보안 디바이스) 페이지에서 업그레이드 중인 디바이스는 "Upgrade in Progress(업그레이드 진행 중)" 구성 상태로 표시됩니다.

Warning

 

진행 중인 업그레이드를 취소하려면 Upgrade(업그레이드) 페이지에서 Abort Upgrade(업그레이드 중단)를 클릭합니다. 업그레이드가 시작된 후 취소하면 Security Cloud Control는 디바이스에서 변경 사항을 구축하거나 폴링하지 않으며 디바이스는 이전 구성으로 롤백되지 않습니다. 이로 인해 디바이스가 비정상 상태로 전환될 수 있습니다. 업그레이드 과정 중에 문제가 발생하면 Cisco TAC에 문의하십시오.

Step 9

또는 Security Cloud Control가 나중에 업그레이드를 수행하도록 하려면 Schedule Upgrade(업그레이드 예약) 확인란을 선택합니다. 미래의 날짜 및 시간을 선택하려면 필드를 클릭합니다. 완료되면 Schedule Upgrade(업그레이드 예약) 버튼을 클릭합니다.

Step 10

알림 탭에서 대량 업그레이드 작업의 진행 상황을 확인합니다. 대량 업그레이드 작업의 성공 또는 실패에 대한 자세한 내용을 보려면 파란색 Review(검토) 링크를 클릭합니다. 그러면 Jobs(작업) 페이지로 이동합니다.

Step 11

시스템 데이터베이스를 업그레이드합니다. Firewall Device Manager에서 이 단계를 수행해야 합니다. 자세한 내용은 Firepower Device Manager 버전 6.4용 Cisco Firepower Threat Defense 구성 가이드의 "시스템 데이터베이스 업데이트"를 참조하십시오.

업그레이드 프로세스 모니터링

Security Devices(보안 디바이스) 페이지에서 해당 디바이스를 선택하고 업그레이드 버튼을 클릭하여 단일 디바이스의 진행 상황을 볼 수 있습니다. Security Cloud Control에서 해당 디바이스의 디바이스 업그레이드 페이지로 이동합니다.

업그레이드 중에 시스템은 시스템 라이브러리를 업데이트하는 동안 HA를 일시 중단합니다. 여기에는 자동 구축이 포함되며 전체 업그레이드 프로세스 동안 정상 상태가 아닐 수 있습니다. 이것은 예상되는 동작입니다. 이 프로세스의 마지막 부분을 수행하는 동안에는 SSH 연결에 디바이스를 사용할 수 있으므로 업그레이드를 적용한 후 바로 로그인하는 경우 HA가 일시 중단된 상태로 표시될 수 있습니다. 업그레이드 프로세스 중에 시스템에 문제가 발생하고 HA 쌍이 일시 중단된 것으로 보이는 경우, 액티브 디바이스의 Firewall Device Manager 콘솔에서 HA를 수동으로 재개합니다.


Note

업그레이드가 실패할 경우 Security Cloud Control에서 메시지를 표시합니다. Security Cloud Control는 업그레이드 프로세스를 자동으로 재시작하지 않습니다.


Warning

자체 서명 인증서가 있는 디바이스를 업그레이드하면 문제가 발생할 수 있습니다. 자세한 내용은 새 인증서 탐지를 참조하십시오.

Snort 3.0으로 업그레이드

Snort 3은 최신 snort 엔진 또는 Firepower 버전 6.7 이상에서 사용 가능한 오픈 소스 IPS(Intrusion Prevention System)를 사용하는 강력한 전처리기입니다. Snort 엔진은 악의적인 네트워크 활동을 정의하는 데 도움이 되는 일련의 규칙을 사용하며, 이러한 규칙을 사용하여 일치하는 패킷을 찾고 사용자에게 알림을 생성아며 이상적으로는 패킷 스니퍼, 패킷 로거 또는 더 전통적으로는 독립형 네트워크 IPS로 사용됩니다.

Snort 3에서는 이제 사용자 지정 침입 정책을 생성할 수 있습니다. Snort 3를 실행하는 모든 FDM 관리 디바이스에는 Cisco의 Talos Intelligence Group(Talos)에서 사전 정의된 침입 정책 집합이 있습니다. Snort 3에서는 이러한 기본 정책을 변경할 수 있지만, 보다 강력한 정책을 위해 기반 위에 구축하는 것이 좋습니다.

Snort 2에서는 맞춤형 정책을 생성할 수 없습니다.

Snort 2에서 Snort 3으로 전환

Snort 버전을 자유롭게 전환할 수는 있지만, Snort 2.0의 일부 침입 규칙은 Snort 3.0에는 없을 수 있으며 그 반대의 경우도 마찬가지입니다. 기존 규칙에 대한 규칙 동작을 변경한 경우에는 해당 변경 사항이 유지되지 않습니다. 해당 변경 사항은 Snort 3으로 전환했다가 다시 Snort 2로 전환하거나 Snort 3으로 다시 전환하는 경우에는 유지되지 않습니다. 두 버전에 모두 있는 규칙의 규칙 동작에 대한 변경 사항은 유지됩니다. Snort 3과 Snort 2의 규칙 간 매핑은 일대일 또는 일대 다수가 될 수 있으므로 변경 사항을 가장 효과적으로 유지할 수 있습니다.

Snort 2에서 Snort 3으로 업그레이드하도록 선택하는 경우 Snort 엔진 업그레이드는 시스템 업그레이드와 유사합니다. 네트워크에 대한 트래픽 모니터링 중단을 최소화하려면 유지 보수 기간에 업그레이드하는 것이 좋습니다. Snort 버전 전환이 규칙이 트래픽을 처리하는 방식에 미치는 영향에 대해서는 Firepower Device Manager 구성 가이드침입 정책 관리(Snort3)를 참조하십시오.


Tip

Security Devices(보안 디바이스) 페이지에서 Snort 버전으로 필터링할 수 있으며, 선택한 디바이스의 세부 정보 창에 디바이스에서 실행 중인 현재 버전이 표시됩니다.

Snort 3 제한 사항

라이선스 요건

Snort 엔진이 침입 및 멀웨어 애널리틱스을 위해 트래픽을 처리하도록 허용하려면 FDM 관리 디바이스에 대해 활성화된 라이선스가 있어야 합니다. Firewall Device Manager을 통해 이 라이선스를 활성화하려면 Firewall Device Manager UI에 로그인하고 Device(디바이스) > View Configuration(구성 보기) > Enable/Disable(활성화/비활성화)로 이동하여 라이선스를 활성화합니다.

하드웨어 지원

다음 디바이스는 Snort 3을 지원합니다.

  • FTD 1000 Series

  • FTD 2100 Series

  • FTD 4100 Series

  • AWS를 사용하는 FTD 가상

  • Azure를 사용하는 FTD 가상

  • FTD를 사용하는 ASA 5500-X 시리즈

소프트웨어 지원

디바이스는 Firewall Device Manager 버전 6.7 이상을 실행하고 있어야 합니다. Security Cloud Control에서는 버전 6.7 이상을 실행하는 디바이스에 대해 Snort 3 기능을 지원합니다.

FTD 1000 및 2000 Series의 경우 FXOS 패치 지원에 대한 자세한 내용은 FXOS 번들 지원을 참조하십시오.

구성 제한 사항

디바이스에 다음 구성이 있는 경우 Security Cloud Control는 Snort 3으로의 업그레이드를 지원하지 않습니다.

  • 디바이스가 버전 6.7 이상에서 실행되고 있지 않습니다.

  • 디바이스에 보류 중인 변경 사항이 있는 경우 업그레이드하기 전에 변경 사항을 구축합니다.

  • 디바이스가 현재 업그레이드 중인 경우 디바이스가 동기화될 때까지 디바이스를 업그레이드하거나 구축하지 마십시오.

  • 디바이스가 가상 라우터로 구성된 경우


Note

Snort 버전을 업그레이드하거나 되돌리는 경우, 시스템은 Snort 2 침입 정책과 Snort 3 침입 정책 간의 변경 사항을 구현하기 위해 자동으로 구축됩니다.

규칙 집합 및 Snort 3

현재 Snort 3은 전체 기능을 지원하지 않습니다. Security Cloud Control 규칙 집합은 Snort 3 디바이스에서 지원되지 않습니다. 디바이스를 Firewall Device Manager 6.7 이상으로 동시에 업그레이드하고 Snort 2에서 Snort 3로 업그레이드하는 경우, 업그레이드 전에 구성된 모든 규칙 집합이 분리되고 그 안의 규칙이 개별 규칙으로 저장됩니다.

Snort 3에 대해 구성된 디바이스와 관련된 규칙 집합 지원의 전체 목록은 규칙 집합의 내용을 참조하십시오.

디바이스와 침입 방지 엔진을 동시에 업그레이드

Security Cloud Control를 사용하면 디바이스를 버전 6.7 및 Snort 3로 업그레이드할 수 있습니다. FDM 관리 디바이스를 업그레이드 하려면 다음 절차를 사용합니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD 탭을 클릭하고 업그레이드할 디바이스를 하나 이상 선택합니다.

Step 4

오른쪽의 Device Actions(디바이스 작업) 창에서 Upgrade(업그레이드)를 클릭합니다.

Step 5

업그레이드 토글을 FTD System Upgrade(FTD 시스템 업그레이드)로 설정합니다.

Step 6

(선택 사항) Security Cloud Control가 나중에 업그레이드를 수행하도록 하려면 Schedule Upgrade(업그레이드 예약) 확인란을 선택합니다. 미래의 날짜 및 시간을 선택하려면 필드를 클릭합니다.

Step 7

1단계에서 업그레이드 방법을 선택합니다. Security Cloud Control 이미지 저장소 및 자체 저장소의 이미지를 사용합니다.

  • Use Security Cloud Control Image Repository(CDO 이미지 저장소 사용) - 이 옵션을 클릭하여 업그레이드할 소프트웨어 이미지를 선택하고 Continue(계속)를 클릭합니다. 업그레이드할 수 있는 디바이스와 호환되는 선택 항목만 표시됩니다.

  • Specify Image URL(이미지 URL 지정) - 이 옵션을 클릭하여 현재 저장소에 저장되어 있는 소프트웨어 이미지를 선택하고 Continue(계속)를 클릭합니다. 업그레이드할 수 있는 디바이스와 호환되는 선택 항목만 표시됩니다.

Step 8

2단계에서는 선택 사항을 확인하고 디바이스에 이미지를 다운로드할지 아니면 이미지를 복사하여 설치하고 디바이스를 재부팅할지를 결정합니다.

Step 9

Upgrade to Snort 3 Engine(Snort 3 엔진으로 업그레이드)을 선택합니다.

Step 10

준비가 되면 Perform Upgrade(업그레이드 수행)를 클릭합니다. Security Devices(보안 디바이스) 페이지에서 업그레이드 중인 디바이스는 "Upgrade in Progress(업그레이드 진행 중)" 구성 상태로 표시됩니다.

Warning

 

진행 중인 업그레이드를 취소하려면 Upgrade(업그레이드) 페이지에서 Abort Upgrade(업그레이드 중단)를 클릭합니다. 업그레이드가 시작된 후 취소하면 Security Cloud Control는 디바이스에서 변경 사항을 구축하거나 확인하지 않으며 디바이스는 이전 구성으로 롤백되지 않습니다. 이로 인해 디바이스가 비정상 상태로 전환될 수 있습니다. 업그레이드 과정 중에 문제가 발생하면 Cisco TAC에 문의하십시오.

침입 방지 엔진 업그레이드

Snort 2가 설치된 버전 6.7을 이미 실행 중인 디바이스의 경우 다음 절차를 사용하여 Snort 엔진만 버전 3으로 업데이트합니다.

Procedure

Step 1

탐색 모음에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD 탭을 클릭하고 업그레이드할 디바이스를 하나 이상 선택합니다.

Step 4

오른쪽의 Device Actions(디바이스 작업) 창에서 Upgrade(업그레이드)를 클릭합니다.

Step 5

업그레이드 토글을 Intrusion Prevention Engine(침입 방지 엔진)으로 설정합니다.

Step 6

Upgrade to Snort Engine 3.0(Snort 엔진 3.0으로 업그레이드)을 클릭합니다.

Step 7

Security Devices(보안 디바이스) 페이지에서 업그레이드 중인 디바이스는 "Upgrade in Progress(업그레이드 진행 중)" 구성 상태로 표시됩니다.

업그레이드 프로세스 모니터링


경고

진행 중인 업그레이드를 취소하려면 Upgrade(업그레이드) 페이지에서 Abort Upgrade(업그레이드 중단)를 클릭합니다. 업그레이드가 시작된 후 취소하면 Security Cloud Control는 디바이스에서 변경 사항을 구축하거나 확인하지 않으며 디바이스는 이전 구성으로 롤백되지 않습니다. 이로 인해 디바이스가 비정상 상태로 전환될 수 있습니다. 업그레이드 과정 중에 문제가 발생하면 Cisco TAC에 문의하십시오.

Security Devices(보안 디바이스) 페이지에서 해당 디바이스를 선택하고 업그레이드 버튼을 클릭하여 단일 디바이스의 진행 상황을 볼 수 있습니다. Security Cloud Control에서 해당 디바이스의 디바이스 업그레이드 페이지로 이동합니다.

업그레이드가 실패할 경우 Security Cloud Control에서 메시지를 표시합니다. Security Cloud Control는 업그레이드 프로세스를 자동으로 재시작하지 않습니다.


경고

자체 서명 인증서가 있는 디바이스를 업그레이드하면 문제가 발생할 수 있습니다. 자세한 내용은 새 인증서 탐지를 참조하십시오.

FDM-관리 디바이스용 Snort 3.0에서 되돌리기

Snort 2.0의 일부 침입 규칙은 Snort 3.0에 없을 수 있습니다. 2.0으로 다운그레이드하는 경우, 생성한 사용자 지정 침입 정책이 사용자 지정 정책에 사용된 기본 정책으로 변환됩니다. 가능한 한 규칙 작업 재정의가 유지됩니다. 두 개 이상의 사용자 지정 정책이 동일한 기본 정책을 사용하는 경우, 대부분의 액세스 제어 정책에 사용되는 사용자 지정 정책의 재정의는 유지되며 다른 사용자 지정 정책의 재정의는 손실됩니다. 이러한 "중복" 정책을 사용하는 액세스 제어 규칙은 이제 가장 많이 사용되는 사용자 지정 정책에서 생성된 기본 정책을 사용합니다. 모든 사용자 지정 정책이 삭제됩니다.

Snort 3.0에서 복귀하도록 선택하기 전에 Firepower Device Manager 구성 가이드침입 정책 관리(Snort2)를 읽고 Snort 엔진 버전 전환이 현재 규칙 및 정책에 어떤 영향을 미치는지 확인합니다.


Note

버전 2로 되돌려도 Firepower 소프트웨어 버전은 제거되지 않습니다.

Snort 3.0에서 되돌리기

Snort 버전을 변경하는 경우 시스템에서는 자동 구축을 수행하여 변경을 구현합니다. 개별 디바이스는 Snort 3.0에서 버전 2로만 되돌릴 수 있습니다.

침입 방지 엔진을 되돌리려면 다음 절차를 수행합니다.

Procedure

Step 1

탐색창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD탭을 클릭하고 되돌릴 디바이스를 클릭합니다.

Step 4

오른쪽의 Device Actions(디바이스 작업) 창에서 Upgrade(업그레이드)를 클릭합니다.

Step 5

업그레이드 토글을 Intrusion Prevention Engine(침입 방지 엔진)으로 설정합니다.

Step 6

1단계에서는 Snort 버전 3에서 되돌릴 것임을 확인하고 Revert to Snort Engine 2(Snort 엔진 2로 복귀)를 클릭합니다.

Step 7

Security Devices(보안 디바이스) 페이지에서 업그레이드 중인 디바이스는 "Upgrade in Progress(업그레이드 진행 중)" 구성 상태로 표시됩니다.

보안 데이터베이스 업데이트 예약

FDM 관리 디바이스에 대한 보안 데이터베이스를 확인하고 업데이트하는 예약된 작업을 생성하려면 다음 절차를 수행합니다.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD 탭을 클릭하고 원하는 FDM 관리 디바이스를 선택합니다.

Step 4

Actions(작업) 창에서 Security Database Updates(보안 데이터베이스 업데이트) 섹션을 찾아 추가 + 버튼을 클릭합니다.

Note

 

선택한 디바이스에 대해 기존에 예약된 작업이 있는 경우 편집 아이콘을 클릭하여 새 작업을 생성합니다. 새 작업을 생성하면 기존 작업을 덮어씁니다.

Step 5

다음을 사용하여 예약된 작업을 구성합니다.

  • Frequency(빈도) - 업데이트를 매일, 매주 또는 매월 수행하도록 선택합니다.

  • Time(시간) - 시간을 선택합니다. 표시되는 시간은 UTC입니다.

  • Select Days(요일 선택) - 업데이트를 수행할 요일을 선택합니다.

Step 6

Save(저장)를 클릭합니다.

Step 7

디바이스의 구성 상태가 "데이터베이스 업데이트 중"으로 변경됩니다.

예약된 보안 데이터베이스 업데이트 편집

FDM 관리 디바이스에 대한 보안 데이터베이스를 확인하고 업데이트하기 위해 기존의 예약된 작업을 편집하려면 다음 절차를 따르십시오.

Procedure

Step 1

왼쪽 창에서 보안 디바이스를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

FTD 탭을 클릭하고 원하는 FDM 관리 디바이스를 선택합니다.

Step 4

Actions(작업) 창에서 데이터베이스 업데이트 섹션을 찾고 편집 아이콘을 클릭합니다.

Step 5

다음을 사용하여 예약된 작업을 수정합니다.

  • Frequency(빈도) - 업데이트를 매일, 매주 또는 매월 수행하도록 선택합니다.

  • Time(시간) - 시간을 선택합니다. 표시되는 시간은 UTC입니다.

  • Select Days(요일 선택) - 업데이트를 수행할 요일을 선택합니다.

Step 6

Save(저장)를 클릭합니다.

Step 7

디바이스의 구성 상태가 "데이터베이스 업데이트 중"으로 변경됩니다.

FDM-관리 디바이스 보안 데이터베이스 업데이트

FDM 관리 디바이스에서 보안 데이터베이스를 업데이트하면 SRU(침입 규칙), SI(보안 인텔리전스), VDB(취약성 데이터베이스) 및 지리위치 데이터베이스가 업데이트됩니다. Security Cloud Control UI를 통해 보안 데이터베이스를 업데이트하도록 선택하는 경우 언급된 모든 데이터베이스가 업데이트됩니다. 업데이트할 데이터베이스는 선택할 수 없습니다.

보안 데이터베이스 업데이트는 되돌릴 수 없습니다.


Note

보안 데이터베이스를 업데이트할 때 일부 패킷이 삭제되거나 검사되지 않은 상태로 통과될 수 있습니다. 유지 보수 기간에 보안 데이터베이스 업데이트를 예약하는 것이 좋습니다.

온보딩 중 FDM-관리 디바이스 보안 데이터베이스 업데이트

FDM 관리 디바이스를 Security Cloud Control에 온보딩할 때 온보딩 프로세스의 일부를 통해 데이터베이스에 대해 예약된 반복 업데이트를 활성화할 수 있습니다. 이 옵션은 기본적으로 선택되어 있습니다. 활성화되면 Security Cloud Control는 보안 업데이트를 즉시 확인하고 적용할 뿐 아니라 디바이스에서 추가 업데이트를 확인하도록 자동으로 예약합니다. 디바이스가 온보딩된 후 예약된 작업의 날짜 및 시간을 수정할 수 있습니다.

보안 데이터베이스 업데이트를 정기적으로 확인하고 적용하려면 온보딩 프로세스 중에 자동 스케줄러를 활성화하는 것이 좋습니다. 이렇게 하면 디바이스가 항상 최신 상태로 유지됩니다. FDM 관리 디바이스를 온보딩하는 동안 보안 데이터베이스를 업데이트하려면, 등록 키로 FDM 매니지드 디바이스 온보딩을 참조하십시오.


Note

등록 키 방법을 사용하여 디바이스를 온보딩하는 경우 디바이스를 스마트 라이선스로 등록해서는 안 됩니다. 라이선스를 등록하는 것이 좋습니다. 다른 방법으로, 디바이스의 사용자 이름, 비밀번호 및 IP 주소를 사용하여 디바이스를 온보딩할 수 있습니다.

온보딩 후 FDM-관리 디바이스 보안 데이터베이스 업데이트

FDM 관리 디바이스가 Security Cloud Control에 온보딩된 후 업데이트를 예약하여 보안 데이터베이스 업데이트를 확인하도록 디바이스를 구성할 수 있습니다. 업데이트가 예약된 디바이스를 선택하여 언제든지 이 예약된 작업을 수정할 수 있습니다. 자세한 내용은 보안 데이터베이스 업데이트 예약을 참조하십시오.