Cisco ISE Deep Dive — Zero Trust의 핵심, Identity Services Engine 완전 분석

Network Security / NAC

Cisco ISE Deep Dive

Zero Trust Architecture의 핵심 엔진, Cisco Identity Services Engine의 아키텍처부터 배포 모델, 핵심 기능, 라이선스까지 프리세일즈 관점에서 완전 분석

2026.03.23 약 25분 읽기 ISE 3.4 기준

Cisco ISE란 무엇인가

Cisco Identity Services Engine(ISE)은 업계 표준의 NAC(Network Access Control) 솔루션이자, Cisco Zero Trust Architecture의 Policy Decision Point(PDP)입니다. 단순히 "누가 네트워크에 접속하는가"를 판단하는 것을 넘어, 사용자·디바이스·위치·시간·보안 상태를 종합적으로 평가하여 동적 접근 제어를 수행합니다.

핵심 포지셔닝

ISE는 단독 제품이 아니라 Cisco 전체 보안 아키텍처의 중심축입니다. Catalyst Center(구 DNA Center), Firepower, Secure Endpoint, Duo 등과 연동하여 통합 보안 패브릭을 구성합니다. ISE 없이는 SD-Access Fabric도, TrustSec도 구현할 수 없습니다.

ISE가 해결하는 핵심 과제는 다음과 같습니다:

Pervasive Visibility — 네트워크에 연결되는 모든 것을 식별하고 분류
Dynamic Access Control — 컨텍스트 기반 정책으로 접근 권한을 실시간 제어
Automated Threat Containment — 위협 탐지 시 자동 격리 및 치료
Compliance Enforcement — Posture 평가를 통한 보안 규정 준수 강제
Secure Segmentation — SGT 기반 마이크로세그멘테이션

아키텍처 개요 — 3 Building Blocks

ISE 아키텍처는 세 가지 핵심 구성 요소로 이루어집니다:

┌─────────────────────────────────────────────────────────────┐ │ CISCO ISE ARCHITECTURE │ ├───────────────────┬───────────────────┬─────────────────────┤ │ │ │ │ │ INFRASTRUCTURE │ POLICY │ ENDPOINTS │ │ │ │ │ │ Switches │ Authentication │ Laptops / PCs │ │ Routers │ Authorization │ Smartphones │ │ WLC │ Posture │ IoT Devices │ │ Firewall │ Profiling │ Printers │ │ VPN Gateway │ Guest Access │ IP Phones │ │ AD / LDAP │ BYOD │ Medical Devices │ │ │ Segmentation │ OT Endpoints │ │ │ │ │ └───────────────────┴───────────────────┴─────────────────────┘

Infrastructure

스위치, 라우터, WLC, 방화벽, VPN 게이트웨이 등 네트워크 장비와 AD/LDAP 같은 외부 Identity Source가 포함됩니다. 이들은 ISE에 RADIUS 요청을 보내고, ISE의 정책 결정 결과(VLAN 할당, dACL, SGT 등)를 실행하는 Policy Enforcement Point(PEP) 역할을 합니다.

Policy

ISE의 핵심 두뇌입니다. Authentication(인증), Authorization(인가), Posture(보안 상태 평가), Profiling(디바이스 프로파일링), Guest/BYOD, Segmentation 정책을 정의하고 실행합니다.

Endpoints

네트워크에 접속하는 모든 단말입니다. 802.1X, MAB(MAC Authentication Bypass), Web Authentication 등의 메커니즘으로 ISE에 인증 요청을 수행합니다.

Node Persona 완전 분석

ISE에서 Persona란 각 ISE 노드가 수행하는 역할(기능)을 의미합니다. 하나의 노드에 여러 Persona를 할당할 수 있고, 분산 배포 시 Persona별로 전용 노드를 구성할 수 있습니다.

Persona	약칭	핵심 기능	배포 제한
Administration	PAN	전체 설정 관리, 정책 구성, 라이선스 관리, 인증서 관리. ISE의 "Control Plane"	분산 배포 시 최대 2개 (Primary + Secondary)
Policy Service	PSN	RADIUS 인증/인가 처리, Posture 평가, Guest Portal, Profiling, BYOD, Client Provisioning	배포당 최대 수십 개 (성능 요구에 따라)
Monitoring	MnT	로그 수집, 실시간 모니터링, 리포팅, 알람. ISE의 "Data Plane for Logs"	최대 2개 (Primary + Secondary)
pxGrid	pxGrid	외부 시스템과의 Context 공유 (SGT, Session 정보 등). WebSocket 기반 (v2.0)	최대 4개 (HA 구성)

설계 권장사항

Monitoring과 Policy Service Persona는 동일 노드에 함께 구성하지 않는 것이 권장됩니다. MnT 노드의 로그 처리 부하가 PSN의 인증 처리 성능에 영향을 줄 수 있기 때문입니다. 프로덕션 환경에서는 반드시 전용 MnT 노드를 분리하세요.

PSN의 세부 역할 분류

PSN은 용도에 따라 더 세분화할 수 있습니다:

RADIUS PSN — 일반 802.1X/MAB 인증 처리
TACACS+ PSN — 디바이스 관리(Device Administration) 전용
Guest PSN (GPSN) — Guest Portal 전용
TC-NAC PSN — Threat Centric NAC 전용
TrustSec PSN — SGT/SXP 처리 전용
PassiveID PSN — Passive Identity 서비스

배포 모델 (Deployment Models)

Standalone 배포

단일 ISE 노드에 Administration, Policy Service, Monitoring Persona가 모두 활성화됩니다. PoC나 랩 환경에 적합하며, 프로덕션 환경에서는 권장하지 않습니다. 이유는 단순합니다 — 이중화가 없습니다.

Small 배포

2개 ISE 노드를 사용합니다. 두 노드 모두 모든 Persona를 실행하며, Primary/Secondary로 구성합니다. 엔드포인트 수가 적고 단일 사이트인 환경에 적합합니다.

Split 배포

Small에서 규모가 커질 때의 과도기 모델입니다. AAA 부하를 Primary와 Secondary 노드에 분산 처리하되, 각 노드가 전체 워크로드를 처리할 수 있어야 합니다.

Medium 배포

Persona를 분리하기 시작합니다. 전용 PAN/MnT 노드와 별도의 PSN 노드로 구성합니다. AAA 기능은 PSN이 전담하고, PAN은 설정/정책 관리, MnT는 로그/모니터링에 집중합니다.

Large 배포

완전한 Persona 분리가 이루어집니다. 전용 PAN(2대), 전용 MnT(2대), 다수의 PSN, pxGrid 노드로 구성됩니다. 중앙 로그 관리를 위한 전용 로깅 서버 구성이 권장됩니다.

Dispersed (분산) 배포

본사 + 다수의 원격 사이트로 구성된 환경입니다. 각 원격 사이트에 로컬 PSN을 배치하여 AAA 성능을 최적화하고, 중앙의 PAN/MnT로 정책과 로그를 통합 관리합니다.

[ Large Distributed Deployment ] ┌──────────────┐ │ Primary │ │ PAN │◄──── 정책/설정 관리 └──────┬───────┘ │ Sync ┌──────┴───────┐ │ Secondary │ │ PAN │◄──── HA Failover └──────────────┘ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ Primary │ │ pxGrid │ │ pxGrid │ │ MnT │ │ Node #1 │ │ Node #2 │ └──────────────┘ └──────────────┘ └──────────────┘ ┌──────────────┐ │ Secondary │ │ MnT │ └──────────────┘ ┌────────┐ ┌────────┐ ┌────────┐ ┌────────┐ ┌────────┐ │ PSN #1 │ │ PSN #2 │ │ PSN #3 │ │ PSN #4 │ │ PSN #N │ │ Site A │ │ Site A │ │ Site B │ │ Site C │ │ Remote │ └────────┘ └────────┘ └────────┘ └────────┘ └────────┘

핵심 기능 Deep Dive

5-1. Profiling (디바이스 프로파일링)

네트워크에 연결되는 모든 엔드포인트를 자동으로 식별하고 분류합니다. DHCP, HTTP, SNMP, NetFlow, NMAP, DNS 등 다양한 프로브(Probe)를 사용하여 디바이스 정보를 수집하고, 빌트인 프로파일 라이브러리와 AI/ML 기반 분류 엔진을 통해 디바이스 유형을 결정합니다.

ISE 3.4에서는 AI/ML 기반 Multifactor Classification이 도입되어, 미식별 엔드포인트에 대해 자동으로 프로파일과 규칙을 생성할 수 있습니다.

5-2. Posture Assessment (보안 상태 평가)

엔드포인트가 조직의 보안 정책을 준수하는지 평가합니다. 안티바이러스 설치 여부, OS 패치 레벨, 방화벽 상태, 디스크 암호화 등을 확인하고, 비준수 디바이스는 격리 또는 치료(Remediation) VLAN으로 리다이렉트합니다.

에이전트 방식은 세 가지입니다:

Persistent Agent (AnyConnect ISE Posture Module) — 상시 설치형, 가장 정밀한 검사
Temporal Agent — 임시 실행형, 설치 불필요
Agentless — 에이전트 없이 외부 MDM/EMM 연동으로 상태 확인

5-3. Guest Access (게스트 접속)

방문자, 계약업체, 임시 사용자를 위한 셀프서비스 포털을 제공합니다. Sponsor Portal을 통해 내부 직원이 게스트 계정을 생성/관리할 수 있으며, Hotspot, Self-Registration, Sponsored Guest 등 다양한 인증 방식을 지원합니다. SAML 2.0 연동을 통해 Social Login도 가능합니다.

5-4. BYOD (Bring Your Own Device)

개인 디바이스의 온보딩 프로세스를 자동화합니다. 사용자가 My Devices Portal을 통해 자신의 디바이스를 등록하면, ISE가 자동으로 인증서를 프로비저닝하고 Supplicant를 설정합니다. Native Supplicant Provisioning(NSP)을 통해 Windows, macOS, iOS, Android를 모두 지원합니다.

5-5. Device Administration (TACACS+)

네트워크 장비의 관리자 접근 제어를 담당합니다. TACACS+ 프로토콜을 사용하여 누가 어떤 장비에 접속할 수 있는지, 어떤 명령어를 실행할 수 있는지를 세밀하게 제어합니다. Command Set과 Shell Profile을 통해 권한 레벨을 정의합니다.

인증 프로토콜과 정책 흐름

지원 인증 방식

방식	프로토콜	사용 시나리오	보안 수준
802.1X	EAP-TLS, PEAP, EAP-FAST, EAP-TTLS	사용자/디바이스 인증서 기반 인증	★★★★★
MAB	RADIUS (MAC 주소)	프린터, IP폰 등 Supplicant 없는 디바이스	★★☆☆☆
Web Auth	HTTP/HTTPS 리다이렉트	게스트 사용자, BYOD 온보딩	★★★☆☆
EasyConnect	AD Login 이벤트 감지	802.1X 없이 AD 로그인 기반 정책 적용	★★★☆☆
PassiveID	AD WMI/Syslog/API	인증 없이 사용자 Identity 매핑	★★☆☆☆

정책 처리 흐름

Endpoint
연결 요청

→

NAD가
RADIUS 전송

→

ISE PSN
Authentication

→

Identity Store
검증 (AD/LDAP)

→

Authorization
Policy 평가

→

결과 반환
(VLAN/dACL/SGT)

ISE의 정책 처리는 Policy Set 단위로 동작합니다. 각 Policy Set은 Condition(조건)으로 매칭되며, 내부에 Authentication Policy와 Authorization Policy가 순서대로 평가됩니다.

// Policy Set 구조 예시
Policy Set: "Wired_802.1X"
  Condition: Wired_802.1X (RADIUS:Service-Type = Framed)
  
  Authentication Policy:
    Rule 1: EAP-TLS → AD (corp.local)
    Rule 2: PEAP  → Internal Users + AD
    Default: DenyAccess
  
  Authorization Policy:
    Rule 1: AD:Group = IT-Admin → Permit_Full_Access + SGT:IT_Admin
    Rule 2: AD:Group = Employee → Permit_Corp_VLAN + SGT:Employee
    Rule 3: Posture:NonCompliant → Quarantine_VLAN
    Default: DenyAccess

TrustSec & SGT 기반 세그멘테이션

Cisco TrustSec은 ISE의 킬러 기능 중 하나입니다. 전통적인 VLAN/ACL 기반 세그멘테이션의 한계를 극복하기 위해, SGT(Security Group Tag)를 IP 패킷에 태깅하여 사용자의 역할(Identity)에 기반한 접근 제어를 수행합니다.

왜 TrustSec인가?

전통적인 ACL 기반 세그멘테이션은 IP 주소에 의존합니다. 사용자가 이동하거나 IP가 변경되면 ACL을 모두 수정해야 합니다. TrustSec은 IP가 아닌 역할(SGT)을 기준으로 정책을 만들기 때문에, 사용자가 어디에서 접속하든 동일한 보안 정책이 적용됩니다.

[ TrustSec SGT 기반 세그멘테이션 ] ┌──────────┐ SGT=10 ┌──────────────┐ SGACL ┌──────────┐ │ Employee │ ────────────► │ Network │ ───────────► │ Server │ │ Laptop │ (Employee) │ Fabric │ Permit/Deny │ Farm │ └──────────┘ │ │ └──────────┘ │ SGT 기반 │ ┌──────────┐ SGT=20 │ 정책 적용 │ SGACL ┌──────────┐ │ Guest │ ────────────► │ │ ───────────► │ Internet │ │ Device │ (Guest) │ │ Permit Only │ Gateway │ └──────────┘ └──────────────┘ └──────────┘

SGT 전파 방식

Inline Tagging — Ethernet 프레임에 직접 SGT 삽입 (Cisco 장비 간)
SXP (SGT Exchange Protocol) — IP-to-SGT 매핑을 교환 (레거시 장비 지원)
pxGrid — ISE에서 외부 시스템으로 SGT 정보 공유

pxGrid — 에코시스템 통합

pxGrid(Platform Exchange Grid)는 ISE와 외부 보안 시스템 간의 실시간 컨텍스트 공유 프레임워크입니다. ISE 3.1부터 pxGrid 2.0(WebSocket 기반)만 지원되며, XMPP 기반의 1.0은 더 이상 사용할 수 없습니다.

pxGrid를 통해 공유되는 대표적인 컨텍스트:

Session Directory — 누가, 어디서, 어떤 디바이스로 접속 중인지
IP-to-SGT 매핑 — TrustSec 태그 정보
Endpoint Profile — 디바이스 분류 정보
Threat/Vulnerability 정보 — 위협 탐지 결과
Adaptive Network Control(ANC) — 격리/치료 명령

프리세일즈 TIP

pxGrid 에코시스템은 50개 이상의 Cisco 및 서드파티 벤더 통합을 지원합니다. Palo Alto, Fortinet, Splunk, ServiceNow 등 고객이 이미 보유한 보안 솔루션과의 연동을 어필할 수 있는 강력한 차별화 포인트입니다. ISE 3.3부터는 pxGrid Direct를 통해 외부 DB의 속성을 직접 가져와 정책에 활용할 수도 있습니다.

ISE 3.4 신규 기능

기능	설명	의의
PAC-less Communication	TrustSec 디바이스와의 TLS 터널 수립 시 PAC 파일 없이 통신	운영 복잡도 대폭 감소
Duo Identity Sync	Duo 연결에 대한 사용자 데이터 동기화를 유연하게 관리	MFA 통합 강화
VTI + Native IPsec	FIPS 140-3 준수 Virtual Tunnel Interface 구성	컴플라이언스 강화
AI/ML Profiling	미식별 엔드포인트 자동 분류 및 규칙 생성	IoT 가시성 향상
Common Policy	동일한 사용자/엔드포인트/앱 컨텍스트를 여러 도메인에 전송	정책 일관성 확보
TAC 케이스 GUI 생성	ISE GUI에서 직접 Cisco TAC 지원 케이스 오픈	운영 편의성
다중 ACI Connector	여러 Cisco ACI 환경과 동시 연동	데이터센터 통합 확장
Native Cloud 배포	AWS, Azure, OCI에 ISE 네이티브 배포 지원	하이브리드 클라우드 대응

EOL 주의

ISE 3.1과 3.2는 2026년 2월 기준 End-of-Sale이 선언되었습니다. ISE 3.3도 동일하게 EoS가 선언되었으므로, 신규 도입 시에는 반드시 ISE 3.4를 기준으로 제안해야 합니다.

하드웨어 & VM 사이징 가이드

SNS 하드웨어 어플라이언스

모델	시리즈	권장 용도	비고
SNS 3815	3800	Small 배포, PSN/pxGrid 전용	신규 (UCS C225 M8 기반)
SNS 3855	3800	Medium 배포, PSN/PAN	이중화 컴포넌트 포함
SNS 3895	3800	Large 배포, PAN/MnT 권장	최대 성능, 이중화 디스크/PSU

VM 배포 최소 요구사항

OVA 템플릿	디스크	권장 Persona
300 GB	300 GB	PSN, pxGrid 전용
600 GB	600 GB	PAN, MnT (최소)
1.2 TB	1.2 TB	PAN, MnT (대규모 로그 보관)

배포 규모별 Active Endpoint 지원 수

배포 규모	Active Endpoints	비고
Small	최대 50,000	SNS 3815 또는 동급 VM
Medium	최대 150,000	SNS 3855 또는 동급 VM
Large	최대 2,000,000	SNS 3895 기준, 다수 PSN 필수

클라우드 네이티브 배포

ISE 3.1부터 AWS, ISE 3.2부터 Azure와 OCI를 지원합니다. ISE 3.4 패치 1부터는 AWS, GCP, Azure, vCenter 등의 Workload Connector 통합도 가능합니다. 클라우드 환경에서의 업그레이드는 백업/복원 방식으로만 수행해야 합니다 (In-place 업그레이드 불가).

라이선스 체계

ISE는 Subscription 기반 라이선스 모델을 사용하며, 4가지 계층으로 구성됩니다:

라이선스 Tier	포함 기능	대표 Use Case
Essentials	기본 AAA, 802.1X, MAB, Guest, BYOD, Profiling	기본 NAC 구현
Advantage	Essentials + TrustSec(SGT), pxGrid, ANC, EasyConnect, PassiveID	세그멘테이션, 에코시스템 통합
Premier	Advantage + Posture, TC-NAC, Compliance	엔드포인트 보안 준수 강제
Device Admin	TACACS+ 기반 네트워크 장비 관리	장비 관리자 접근 제어

라이선스 팁

90일 무료 평가 라이선스(최대 100 엔드포인트)를 다운로드하여 PoC를 진행할 수 있습니다. 평가 라이선스는 전체 기능이 포함되어 있어, 고객에게 제품의 모든 역량을 보여줄 수 있는 좋은 수단입니다.

고가용성 (HA) 설계

PAN HA — Automatic Failover

Primary PAN 장애 시 Secondary PAN이 자동으로 승격(Promotion)됩니다. 이 기능을 사용하려면 최소 3개 노드가 필요합니다 — PAN 2개 + Health Check Node(비관리 노드) 1개. Health Check Node가 Primary PAN의 상태를 주기적으로 확인하고, 장애 감지 시 Secondary PAN 승격을 트리거합니다.

주의사항

ISE는 자동 Fallback을 지원하지 않습니다. 자동 Failover 후 원래의 Primary PAN이 복구되면, 해당 노드를 Secondary PAN으로 재구성해야 합니다. 수동 Sync도 필요합니다.

MnT HA

Primary MnT와 Secondary MnT 간 자동 Failover가 지원됩니다. 로그 데이터의 연속성을 보장합니다.

PSN HA — Node Group

PSN 노드들을 Node Group으로 묶으면, 한 PSN에 장애가 발생했을 때 해당 PSN이 처리하던 세션의 URL 리다이렉트 세션이 같은 그룹 내 다른 PSN으로 인계됩니다. 로드 밸런서(F5, Citrix 등)와 함께 사용하면 효과적입니다.

프리세일즈 관점의 핵심 가치 제안

고객 Pain Point → ISE Solution Mapping

고객 Pain Point	ISE 솔루션	기대 효과
"네트워크에 뭐가 붙어있는지 모르겠다"	Profiling + AI/ML Classification	100% 가시성 확보
"VLAN/ACL 관리가 너무 복잡하다"	TrustSec SGT 기반 세그멘테이션	정책 수 90% 감소 (Forrester TEI)
"IoT 디바이스 보안이 걱정된다"	Profiling + Auto-Segmentation	Zero Trust for IoT
"보안 솔루션이 각각 따로 논다"	pxGrid 에코시스템 통합	통합 보안 오케스트레이션
"컴플라이언스 감사가 두렵다"	Posture + 상세 로그/리포팅	자동 규정 준수 + 감사 대응
"하이브리드 클라우드 전환 중이다"	Native Cloud 배포 + IaC	어디서든 동일한 NAC 정책

경쟁 대비 차별화 포인트

유일한 TrustSec/SGT 생태계 — Cisco 인프라와의 네이티브 통합은 어떤 경쟁사도 대체 불가
SD-Access의 필수 구성 요소 — ISE 없이 Fabric은 없다
10년 이상의 시장 지배력 — NAC 시장 점유율 1위, 가장 넓은 에코시스템
pxGrid 50+ 통합 — 멀티벤더 환경에서도 ISE가 중심축
클라우드 네이티브 진화 — On-Prem부터 AWS/Azure/OCI까지

본 문서는 Cisco 공식 문서, Data Sheet, Release Notes, Installation Guide, Performance & Scalability Guide 등을 기반으로 작성되었습니다. ISE 3.4 (2026년 3월 기준) 최신 정보를 반영하였으나, 정확한 스펙과 라이선스는 Cisco 공식 채널을 통해 확인하시기 바랍니다.

저작자표시 비영리 변경금지 (새창열림)

'CCIE EI > Secure LAN - ISE' 카테고리의 다른 글

Cisco ISE 라이센스 지원 체계. (0)	2026.03.14
Cisco ISE SNS3715장비 EoL되다. (0)	2026.03.14
Protect Ransomware Process within ISE with FTD/FMC (0)	2026.02.18