Skip to Content
05. Security27. TrustSec-SGT

Cisco TrustSec와 SGT — 정체성 기반 마이크로세그멘테이션

정책 모델의 진화 — 지금까지의 ACL·방화벽은 모두 IP 주소를 기준으로 정책을 짭니다. 하지만 BYOD·게스트·VDI 환경에서는 IP가 매번 바뀌고, 방대한 ACL이 관리 불가능해집니다. TrustSec은 정책 단위를 “주소”에서 “역할(role)“로 바꿔 이 문제를 해결합니다.

“IT 관리자는 모든 서버 접근 가능, 영업은 CRM만, 게스트는 인터넷만” 같은 정책을 IP ACL로 쓰면 수백 줄입니다. SGT 기반으로는 한 장의 매트릭스로 끝납니다.

1. 핵심 개념

SGT (Security Group Tag)

모든 패킷에 붙는 16비트 태그. 발신 호스트의 역할(직원/IT/게스트/서버 등)을 나타냅니다.

  • 예: 10 = Employee, 20 = IT, 30 = Guest, 100 = DB_Server, 200 = HR_App

SGACL (Security Group ACL)

SGT 간 정책을 기술하는 매트릭스. “출발 SGT × 도착 SGT → 허용/차단” 형태.

src\dstIT(20)DB_Server(100)HR_App(200)Internet
Employee(10)denydenypermit tcp 443permit
IT(20)permitpermitpermitpermit
Guest(30)denydenydenypermit 80/443 only

CTS (Cisco TrustSec)

위 체계를 Cisco가 구현한 프레임워크. 구성 요소:

  1. Classification — 누가 어떤 SGT인가?
  2. Propagation — SGT를 네트워크 전체에 어떻게 전달하나?
  3. Enforcement — 어디서 정책을 적용하나?

2. Classification — SGT 할당

호스트가 네트워크에 접속하는 순간 SGT가 붙어야 합니다. 방법들:

Dynamic (동적) — 802.1X / MAB + ISE

사용자가 802.1X 인증하면 Cisco ISE가 AD 그룹·디바이스 유형·포스처 결과를 보고 적절한 SGT를 할당합니다.

RADIUS Access-Accept:
  Tunnel-Private-Group-ID = "Employees"
  cisco-av-pair = "cts:security-group-tag=0010-00"

Static (정적)

특정 서브넷이나 인터페이스에 SGT 고정. 서버팜처럼 DHCP/NAC을 안 쓰는 구간에 유용.

SW(config)# cts role-based sgt-map 192.168.100.0/24 sgt 100

VLAN-to-SGT 매핑

기존 VLAN 설계를 유지하면서 SGT 도입하는 이행기 방식.

SW(config)# cts role-based sgt-map vlan-list 10 sgt 10

3. Propagation — 태그 전달

SGT가 붙어도 네트워크 전체에서 보존돼야 정책이 적용됩니다. 전달 방식 3가지:

Inline Tagging (CMD)

이더넷 프레임 안에 Cisco MetaData 헤더를 삽입해 SGT를 실어 나릅니다. 하드웨어 지원 필수(Catalyst 9K, Nexus 등).

[ L2 Header | CMD(SGT) | L3 Header | Payload ]
  • 장점: 빠름, 종단 간 SGT 보존
  • 단점: 구형 스위치 미지원 → 경로 설계 필요

SXP (SGT Exchange Protocol)

SGT 지원 안 되는 장비를 우회하기 위한 TCP 기반 프로토콜. SGT-IP 매핑 테이블을 스위치 간 공유합니다.

SW1(config)# cts sxp enable
SW1(config)# cts sxp connection peer 10.0.0.2 password default mode local listener
  • 장점: 구형 장비가 섞인 환경에서도 SGT 정책 유지
  • 단점: 매핑 테이블 크기에 비례해 메모리 소모

IP-to-SGT Binding Propagation

SXP 대신 pxGrid나 REST API로 ISE와 방화벽 등이 직접 바인딩을 공유하는 방식. 현대 아키텍처에서 주류.

4. Enforcement — 어디서 정책 적용?

매트릭스 기반 SGACL을 적용하는 지점:

분산 enforcement (스위치·라우터)

대상(destination) 장비가 자신의 로컬 SGACL로 필터링.

SW(config)# cts role-based enforcement
SW(config)# cts role-based enforcement vlan-list 10-20

! SGACL 다운로드는 ISE에서 자동
SW# show cts role-based permissions
IPv4 Role-based permissions default: Permit IP-00
IPv4 Role-based permissions from group 10:Employee to group 100:DB_Server:
  Deny IP-00

중앙 enforcement (방화벽)

ASA/FTD가 SGT 정보를 받아 방화벽 규칙에 통합:

ASA# access-list OUTSIDE_IN extended permit tcp security-group name Employee 
     security-group name HR_App eq 443

실무 선택

  • 남-북(데이터센터 경계): NGFW에서 중앙 enforcement
  • 동-서(내부 마이크로세그멘테이션): 스위치/NSX 레벨 분산 enforcement

5. 왜 필요한가 — IP ACL의 한계

예: 500명 조직

  • 직원: 300명 (역할 5개), 서버: 50대, 게스트: 100 좌석

IP 기반 ACL로 “각 역할이 어떤 서버에 접근 가능”을 정의하면:

  • 300 × 50 = 15,000 조합 (최악의 경우)
  • IP가 바뀌면(DHCP) ACL 무너짐
  • 정책 추가·수정 시 수백 라인 편집
  • 방화벽·스위치마다 중복 유지

SGT 기반:

  • 5(역할) × 10(서버 그룹) = 50 셀 매트릭스
  • IP 변해도 SGT 유지
  • ISE에서 중앙 관리 → 모든 장비 자동 동기화

6. 구성 예제 (요약)

! ISE 통합 (별도 GUI 구성 필요)
aaa new-model
aaa authentication dot1x default group ISE_GROUP
aaa authorization network default group ISE_GROUP

! CTS 활성화
cts authorization list ISE_GROUP
cts role-based enforcement
cts role-based enforcement vlan-list 10-20

! SXP 연결 (구형 장비 우회용)
cts sxp enable
cts sxp default password default
cts sxp connection peer 10.1.1.1 password default mode local listener

! 802.1X 액세스 포트
interface gigabitEthernet 1/0/1
 authentication port-control auto
 dot1x pae authenticator
 cts manual
  policy static sgt 10 trusted

7. 제약·함정

  • 하드웨어 요구사항: 인라인 태깅은 Catalyst 3K-X/9K, ASR 1K+ 등 CTS 지원 장비 필요
  • ISE 필수: 분산 SGACL 다운로드는 ISE 없으면 현실적으로 불가능
  • 단계적 이행 필수: 한 번에 전체 전환 금지 → VLAN 매핑 기반 하이브리드로 6~12개월 이행
  • 가시성 투자: Stealthwatch, ISE pxGrid 없이 “이 태그가 왜 여기로 왔나” 디버깅이 지옥
  • 경쟁 기술: VMware NSX(분산 방화벽), Illumio(호스트 기반 에이전트) 등 호스트 레벨 마이크로세그멘테이션이 데이터센터 내부에선 선호되기도

8. 결론

  • TrustSec/SGT는 IP에서 정체성으로 정책 단위를 바꿔, BYOD·동적 환경에서 ACL 폭증 문제를 해결합니다.
  • 구성 요소는 Classification(802.1X+ISE) + Propagation(Inline/SXP) + Enforcement(SGACL). 셋 다 있어야 작동.
  • 정책 관리는 SGACL 매트릭스로 극단적으로 단순화되며, Zero Trust 모델의 근간이 됩니다(다음 편).
  • 실무 도입은 ISE 중앙 정책 엔진 + 하드웨어 지원 + 6~12개월 이행 계획이 필수. 소규모 조직엔 오버엔지니어링일 수 있으니 규모·요구사항 검토 선행.

출처: Cisco TrustSec Configuration Guide, Cisco ISE Design Guide

태그: TrustSec, SGT, SGACL, Microsegmentation, Identity-Based Security, ISE

→ 다음 편: 28_Zero Trust / SASE / ZTNA — TrustSec이 구현 수단이라면, Zero Trust는 이를 포함한 전체 보안 철학·아키텍처 모델.

26. IPv6 Security28. Zero Trust-SASE-ZTNA