Cisco Cisco Identity Services Engine 1.2 开发者指南
Revised: December 8, 2015,
Cisco ISE와 WSA 통합
Cisco ISE와 WSA 통합 개요
Cisco ISE(Identity Services Engine) 및 WSA(Web Security Appliance)를 통합하면 WSA 사용 시 ISE에서 제공되는 다양한 기
능을 활용하여 엔드포인트를 식별하고 적절한 액세스 정책을 적용할 수 있으며 그중에서도 가장 중요한 것은 SGT(TrustSec
Secure Group Tagging) 기능일 것입니다. TrustSec SGT 기능을 사용하면 사용자를 서로 다른 ID 그룹으로 분류할 수 있습니
다. 예를 들어, 보안 그룹 SGT10에 속한 사용자는 특정한 소셜 네트워킹 사이트에만 액세스할 수 있습니다. WSA에서 액세
스 정책은 ISE가 사용자 세션을 할당하는 SGT 태그를 사용하여 생성됩니다.
능을 활용하여 엔드포인트를 식별하고 적절한 액세스 정책을 적용할 수 있으며 그중에서도 가장 중요한 것은 SGT(TrustSec
Secure Group Tagging) 기능일 것입니다. TrustSec SGT 기능을 사용하면 사용자를 서로 다른 ID 그룹으로 분류할 수 있습니
다. 예를 들어, 보안 그룹 SGT10에 속한 사용자는 특정한 소셜 네트워킹 사이트에만 액세스할 수 있습니다. WSA에서 액세
스 정책은 ISE가 사용자 세션을 할당하는 SGT 태그를 사용하여 생성됩니다.
802.1X 같은 인증 방법은 WSA에서 지원되지 않습니다. ISE로 WSA를 통합하면 더욱 안전한 802.1X 인증 방법을 사용하여
ISE를 통해 WSA 사용자를 인증할 수 있습니다. Cisco pxGrid 기능을 사용하면 Cisco ISE에서 WSA로 컨텍스트 기반 정보
를 공유하여 사용자를 인증하고 적절한 정책을 적용할 수 있습니다.
를 공유하여 사용자를 인증하고 적절한 정책을 적용할 수 있습니다.
ISE-WSA 구축
Cisco ISE와 WSA를 통합하면 인해 사용자의 IP 주소를 기준으로 사용자를 식별할 수 있으며, Cisco WSA는 Cisco ISE에서
IP-사용자 매핑을 가져옵니다. 레이턴시 및 성능에 미치는 영향을 줄이려면 구축 시 Cisco ISE와 WSA 간의 최소 간격을 유
지하는 것이 좋습니다.
지하는 것이 좋습니다.
아래 그림에는 Cisco ISE-WSA 통합 워크플로가 설명되어 있습니다.
2