Cisco ISE (Identity Service Engine)는 2011년 4월 출시 이래 많은 변화를 거듭하면서 고객의 중앙 집중형 보안 정책 서버 역할을 수행 해왔습니다. 그리고 현재 Cisco ISE 는 NaaS/NaaE(Network as a Sensor/Network as an Enforcer)의 핵심 구성 요소로 기업 고객의 네트워크 인프라 전반에 가시성과 보안성을 제공하고 있습니다.
Cisco ISE는 중앙 집중형 보안 정책 서버입니다. 기업 네트워크 인프라에 사용자가 접근 할 때 사용자 DB를 체크하여 인증, 권한을 부여함으로써 네트워크 보안 및 감사를 효율적으로 제공합니다. 이러한 인증 관리는 우리 주변에서도 쉽게 찾아볼 수 있는데요. 무선 와이파이를 사용하고자 할때 유저명/패스워드를 입력하는 것이 가장 대표적인 예라고 할 수 있습니다.
상당히 간단해보이죠? 네, 단순 인증만 한다면 범용 인증 서버만으로 이와 같은 기능을 구현 가능 할 수도 있습니다. 하지만 동일한 사용자가 서로 다른 단말 즉 PC와 모바일 단말을 모두 사용한다면 이야기는 달라집니다. 인증에 대한 복잡성이 늘어나기 때문이죠.
그러나 Cisco ISE는 네트워크에 접속하는 단말을 구별하여 사용하는 단말에 맞게 보안 정책을 적용하도록 합니다. 기존에 이해하고 있던 인증과 비교해보면 차원이 다른 인증/권한 관리를 가능하도록 합니다. 그리고 또 단말의 상태를 확인하여 보안 위협의 소지가 있는 단말은 네트워크에 연결할 수 없게 차단함으로써 기업의 네트워크를 안전하게 보호할 수 있습니다. 그래서, 시스코는 이 ISE를 인증서버가 아닌 보안 정책 시스템이라 소개하고 있습니다.
우선은 무선만을 예로 들었는데요. 실제 기업들은 유선, 무선, VPN을 이용하여 네트워크로 접속을 하게 됩니다. 그러다 보니 각각 서로 다른 인증 소스를 이용하게 되고, 정책 구현도 각각 달라져 상당히 복잡한 네트워크를 구성하게 되죠. Cisco ISE는 아래와 같은 기능을 통하여 복잡한 네트워크를 위한 다양한 보안 정책을 하나로 통합하여 효과적이고 효율적인 관리를 제공합니다.
- 유선/무선/VPN에 대한 인증, 권한부여(TrustSec기능 포함), 로깅
- 단말 프로 파일링, 단말 상태 체크(포스쳐 기능)
- 게스트 관리 및 포탈 기능
새로 출시된 Cisco ISE 2.0에서는 기존의 기능에 다음과 같은 새로운 기능들을 추가로 선보였습니다.
첫번째는 TACACS+ 기능 입니다.
네트워크 장비 인증의 경우 일반 유저 인증과 다르게, 한번의 인증과 여러번의 권한 부여가 필요 하므로(예를 들어 네트워크 장비의 명령어마다 권한 체크) TACACS+ 프로토콜을 이용하는 것이 Radius 프로토콜을 이용하는 것보다 효율적인 방법입니다. 그동안 TACACS+를 지원 하기 위해서는 Cisco ACS (Access Control System) 소프트웨어가 이 역할을 수행 하였습니다. 하지만 이제는 라이선스 추가만으로 Cisco ISE 에서 TACACS+ 인증을 수행 할 수 있습니다. 더불어 장비마다 적용되는 TACACS+ 설정을 ISE 2.0의 워크센터 기능을 통해 쉽고 간편하게 설정하실 수 있습니다.
두번째는 3rd 파티 네트워크 장비 연동입니다.
Cisco ISE 2.0는 시스코 네트워크 장비 뿐만 아니라 3rd 파티 스위치 및 컨트롤러와 연동 가능 합니다. 예를 들면 인증이 끝난 후 권한을 재부여 하려면, Cisco ISE와 3rd 파티 네트워크 장비의 프로토콜이 서로 동일하게 동작 하여야 네트워크 장비는 권한 변경 요청을 받아 들이게 됩니다. 기존 버전이 시스코 장비하고만 연동되었다면 Cisco ISE 2.0 에서는 타사 장비까지 확장해서 지원합니다. ISE 설정 창에서 Import/Export가 가능한 프로파일 선택으로 쉽게 타사 장비와의 연동을 구성할 수 있습니다.
세번째는 PxGrid 확장을 통한 자동화입니다.
PxGrid(Platform Exchange Grid)은 1.3 버전에서 추가된 기능 이지만 2.0 에서 더욱 더 많은 SIEM(Security Information and Event Management) 벤더와 연동을 제공하도록 개선되었습니다. Cisco ISE에서의 컨택스트 정보를 보안 장비 및 SIEM 장비와 연동함으로써 보안을 더욱 최적화 할수 있습니다.
예를 들어 시스코 위치 기반 서비스 엔진인 MSE(Mobility Service Engine)와의 연동을 통해 사용자 인증을 할 수 있습니다. 즉, 의사가 무선을 이용하여 환자 데이터에 접근할 때 병원 로비에서는 접근이 불가능 하고, 진료실에서는 접근 가능하도록 하는 등 세부 위치에 따라 추가 보안 통제가 가능합니다.
그리고 또 다른 예를들면, 시스코 차세대 IPS 인 FirePower 에서 탐지/차단된 정보를 Cisco ISE에 알려 주면, ISE 는 네트워크 장비에 유저의 재권한 요청을 하게 되어, 감염된 유저는 네트워크에 접근하지 못하게 하거나 검역소로 자동으로 보낼 수 있습니다.
네번째는 TrustSec 기능을 보다 쉽게 적용 할수 있게 한 것입니다.
네트워크에서 보안 정책을 적용하기 위해서는 네트워크 표준 기술인 VLAN, VRF, MPLS 등을 활용하여 복잡한 네트워크를 분리하고 여기에 다량의 ACL 기술 등을 이용하여 제어하는 것이 일반적이었습니다.
하지만, TrustSec의 경우 ISE의 컨택스트 정보를 이용하여 그룹 태그를 사용자에게 적용하게 됩니다. 그리고 이 태그를 이용하여 물리적인 네트워크 구성에 구애받지 않고 쉽고 편리하게 그룹에 대한 보안 정책을 적용할 수 있습니다.
기존 ISE 버전에서는 여러 단계로 나눠진 설정 화면으로 설정에 어려움을 느끼셨을텐데요. Cisco ISE 2.0 에서는 워크센터를 통해 쉽게 설정하고, 설정된 내용을 편리하게 모니터링할 수 있도록 개선되었습니다.
이외에도 단말 상태 체크(패치 관리, 디스크 암호화 체크), IPv6 기능 등 많은 기능들이 향상 되었습니다.
여러분의 네트워크는 어떻게 보안을 적용 하고 계신가요? 유선, 무선, VPN 사용자를 각각 따로 인증을 하시나요? 동적 IP 환경에서 사용자 추적이 어려워 MAC/IP 관리 솔루션을 사용하고 계시나요? 단말의 상태 체크를 위해서도 별개의 네트워크 접근 관리 솔루션인 NAC을 구입하셨나요? 네트워크 장비 액세스 보안을 위해서 TACACS+ 솔루션을 구입 하셨나요? 네트워크 보안 감사및 리포팅을 위해 또 다른 솔루션을 고민 하시나요?
Cisco ISE 는 이 모든 고민을 한번에 해결 해드립니다. 그리고 ISE는 컨택스트 기반 가시성을 제공하여 네트워크 장비가 보안 센서(감시 장비)로 동작하고 네트워크 장비에서 보안을 적용 할때도 핵심 엔진 역할을 수행하고, SIEM 과 보안 장비와의 연동을 통해 자동화된 보안 적용이 가능합니다. 보다 새로워진 Cisco ISE를 통해 효과적이고 치밀한 기업 보안을 경험해 보시기 바랍니다.
▶ 칼럼 다운 받기(클릭)
Cisco IT Connect
시스코 전문가들의 칼럼에 담긴 최신 IT 트렌드! 이 글은 시스코 김종만 보안 스페셜리스트가 작성한 칼럼입니다. |