Cisco Cisco Identity Services Engine 1.2 产品宣传页
Cisco Systems © 2016
124페이지
보안
액세스 방법 가이드
시스템 정의 예외 작업은 구성이 불가능하며 프로파일링 정책 아래에 작업으로 할당할 수 없습니다. 이는
정의된 전환에 따라 자동으로 트리거됩니다. 그러나 관리자는 사용자 지정 예외 작업을 정의할 수 있습니다.
사용자 정의 예외는 프로파일링 정책에서 정적 프로파일링 정책 할당을 적용하고 CoA를 전송할지 지정하는
데 사용할 수 있습니다.
정의된 전환에 따라 자동으로 트리거됩니다. 그러나 관리자는 사용자 지정 예외 작업을 정의할 수 있습니다.
사용자 정의 예외는 프로파일링 정책에서 정적 프로파일링 정책 할당을 적용하고 CoA를 전송할지 지정하는
데 사용할 수 있습니다.
권한
부여 정책이 변경되는 경우 프로파일 전환에 따른 자동 CoA
Cisco ISE Software Release 1.1.1 이전 버전에서는 예외 작업이 일반적으로 프로파일 간 전환(알려진 한
프로파일에서 알려진 다른 프로파일로)에 CoA를 시행하는 데 사용되었으며, 엔드포인트를 프로파일링
정책에 정적으로 할당하는 경우 예기치 않은 부작용이 발생했습니다. ISE 1.1.1부터는 프로파일 전환으로 인해
권한 부여 정책 규칙에 따라 엔드포인트 액세스가 변경되는 경우 ISE 정책 서비스 노드는 CoA를 실행합니다.
결정 로직은 권한 부여 정책 규칙에서 ID 그룹이 사용되는 엔드포인트 ID 그룹의 변경을 기반으로 합니다. 이
개선된 기능에서는 프로파일 간 전환에 CoA를 전송하는 활용 사례를 처리하는 데 예외 작업을 사용해야 할
필요성을 제거했습니다. 또한 엔드포인트에서 동적 프로파일 할당을 유지할 수 있으므로 프로파일링 특성 및
정책 컨피그레이션에 따라 추가적인 전환이 가능합니다.
프로파일에서 알려진 다른 프로파일로)에 CoA를 시행하는 데 사용되었으며, 엔드포인트를 프로파일링
정책에 정적으로 할당하는 경우 예기치 않은 부작용이 발생했습니다. ISE 1.1.1부터는 프로파일 전환으로 인해
권한 부여 정책 규칙에 따라 엔드포인트 액세스가 변경되는 경우 ISE 정책 서비스 노드는 CoA를 실행합니다.
결정 로직은 권한 부여 정책 규칙에서 ID 그룹이 사용되는 엔드포인트 ID 그룹의 변경을 기반으로 합니다. 이
개선된 기능에서는 프로파일 간 전환에 CoA를 전송하는 활용 사례를 처리하는 데 예외 작업을 사용해야 할
필요성을 제거했습니다. 또한 엔드포인트에서 동적 프로파일 할당을 유지할 수 있으므로 프로파일링 특성 및
정책 컨피그레이션에 따라 추가적인 전환이 가능합니다.
사용자 정의 예외 작업은 특정 조건을 충족하는 경우 엔드포인트를 기본 설정 정책 할당에 정적으로 지정하며,
선택적으로 정책 할당 시 CoA가 전송되지 않도록 차단하는 데 적합합니다. 활용 사례의 예로는 제조 시설의
프로세스 제어 엔드포인트 또는 의료 시설의 네트워크 연결 의료 디바이스와 같은 네트워크 디바이스가
있습니다. 이 예에서 관리자는 정책 및 관련 ID 그룹에 엔드포인트를 정적으로 할당해야 할 수 있습니다.
예외를 통한 정적 할당을 사용하면 의사 프로파일 데이터가 엔드포인트의 프로파일을 되돌리고 해당
네트워크 연결에 영향을 미칠 수 있는 위험을 차단할 수 있습니다.
선택적으로 정책 할당 시 CoA가 전송되지 않도록 차단하는 데 적합합니다. 활용 사례의 예로는 제조 시설의
프로세스 제어 엔드포인트 또는 의료 시설의 네트워크 연결 의료 디바이스와 같은 네트워크 디바이스가
있습니다. 이 예에서 관리자는 정책 및 관련 ID 그룹에 엔드포인트를 정적으로 할당해야 할 수 있습니다.
예외를 통한 정적 할당을 사용하면 의사 프로파일 데이터가 엔드포인트의 프로파일을 되돌리고 해당
네트워크 연결에 영향을 미칠 수 있는 위험을 차단할 수 있습니다.
사용자
지정(사용자 정의) 예외 작업 구성
Step 93
이 절차에서는 지정된 조건과 일치하는 경우 정적 프로파일링 정책에 할당되도록 의료 디바이스에
대한 예외 작업을 구성합니다. 디바이스의 예는 이동식 무선 심장 모니터인 Draeger M300입니다.
대한 예외 작업을 구성합니다. 디바이스의 예는 이동식 무선 심장 모니터인 Draeger M300입니다.
주의: 의료 솔루션과 관련된 고유한 규정 준수 요인으로 인해 이 예의 목표는 사용자 지정 예외 작업의
사용을 엄격히 보여주는 것입니다. 의료 디바이스에 대한 네트워크 액세스를 보호하기 위한 방법으로 ISE
프로파일링 서비스가 적절한지 검증하지는 않습니다.
사용을 엄격히 보여주는 것입니다. 의료 디바이스에 대한 네트워크 액세스를 보호하기 위한 방법으로 ISE
프로파일링 서비스가 적절한지 검증하지는 않습니다.
Step 94
Policy(정책)Profiling(프로파일링)으로 이동하고 목록에서 Draeger-M300을 선택합니다.
기본적으로 이 프로파일은 예외 작업을 참조하는 규칙을 포함하지 않습니다. 또한 예외 작업은
정의되어 있지 않습니다(그림 96).
기본적으로 이 프로파일은 예외 작업을 참조하는 규칙을 포함하지 않습니다. 또한 예외 작업은
정의되어 있지 않습니다(그림 96).