Cisco AnyConnect Secure Mobility Client

데이터시트 Cisco AnyConnect Secure Mobility Client 사용이쉽고, 강력한보안을자랑합니다. Cisco AnyConnect Secure Mobility Client 가전세계에서널리애용되는이유입니다. 그리고매번새로운릴리즈를내놓음으로써다양한종류의 PC 와모바일디바이스를통한원격액세스기능에대해고객의기대치를꾸준히높여왔습니다. 제품개요 모바일근무자는일반적으로다양한장소로이동하며 VPN 을사용합니다. 따라서상시작동 (Always-on) 하는 인텔리전트 VPN 은 AnyConnect 가설치된클라이언트디바이스로하여금최적의네트워크액세스포인트를 자동으로선택하고터널링프로토콜을가장효율적인방식으로사용하도록지원합니다. 지연에민감한트래픽, VoIP(Voice over IP) 트래픽또는 TCP 기반애플리케이션액세스에적합한 DTLS(Datagram Transport Layer Security) 프로토콜이포함될수있습니다. IPsec IKEv2(IP Security Internet Key Exchange version 2) 에대해서도 터널링지원이제공됩니다. 릴리즈 4.x 의애플리케이션당 VPN 기능을사용하면선택한애플리케이션 VPN 액세스를 Apple ios, Google Android(5.0 이상 ), Samsung KNOX 에서실행할수있습니다. AnyConnect 4.x 는강력한통합엔드포인트규정준수를지원합니다. Cisco ASA(Adaptive Security Appliance) 는 엔드포인트의보안포스처에따라 VPN 액세스를제한함으로써기업네트워크의무결성을보호합니다. 유 / 무선환경 전반에걸친엔드포인트포스처평가 (posture assessment) 및치료기능으로다양한안티바이러스, 개인방화벽및 안티스파이웨어제품을인증합니다. 규정준수위반엔드포인트강화기능은액세스가허용되기전에추가적인 시스템검사를실행하고문제가조치될수있도록옵션을제공합니다. AnyConnect Secure Mobility 솔루션은높은보안수준을필요로하는엔터프라이즈모빌리티솔루션에대한원격 액세스기능이외에내장형웹보안, 악성코드위협방어, 피싱방지, 명령및제어콜백차단기능을지원합니다. 웹기반기업리소스접근및클라우드보호서비스에대해신뢰성및높은안정성을제공하려면프레미스기반 Cisco Web Security Appliance 또는클라우드기반 Cisco Cloud Web Security 를선택하십시오. Cisco Umbrella Roaming 은 VPN 이꺼져있더라도디바이스의장소에관계없이악성코드, 피싱, 명령및제어서버에대한 콜백으로부터보호해주는클라우드기반보안서비스입니다. Windows 및 Mac OS X 플랫폼에서네트워크가시성모듈을사용함으로써관리자는엔드포인트애플리케이션 사용을모니터링하여잠재적인비정상행동을찾아내고더많은정보를바탕으로네트워크설계에대해의사결정을 내릴수있습니다. 사용데이터는 IPFIX(Internet Protocol Flow Information Export) 지원네트워크분석툴과공유될 수있습니다. Cisco AMP(Advanced Malware Protection) Enabler 를사용하여 AnyConnect 에서 Cisco Advanced Malware Protection for Endpoints 의구축을지원할수있습니다. 이기능을통해단순 VPN 을사용하는엔드포인트뿐만 아니라 802.1X 네트워크액세스, 포스처등을이용하는 AnyConnect 서비스에대해서도보안을대폭강화시켜 줍니다. 또한엔터프라이즈환경에연결된호스트로부터의공격가능성을줄입니다. Cisco AMP for Endpoints 는 AnyConnect 와는별도로라이센스를구매해야합니다. 2016 Cisco and/or its affiliates. All rights reserved. 해당문서는시스코외부공개용문서입니다. 1/10 페이지

AnyConnect 모빌리티클라이언트는업계최고수준의 VPN 기능을제공할뿐만아니라 IEEE 802.1X 기능을지원하여사용자및디바이스 ID를관리하는단일인증프레임워크와무선네트워크에서유선네트워크로원활하게전환하는데필요한네트워크액세스프로토콜을제공합니다. VPN 기능과마찬가지로, 유선네트워크에서데이터기밀성, 데이터무결성, 데이터출처인증을보장하는 IEEE 802.1AE(MACsec) 를지원하여신뢰할수있는네트워크구성요소간통신을보호합니다. 그림 1에는 Microsoft Windows의 VPN 구성이나와있습니다. 그림 1. Microsoft Windows 의아이콘및샘플 VPN 구성 2016 Cisco and/or its affiliates. All rights reserved. 해당문서는시스코외부공개용문서입니다. 2/10 페이지

그림 2 에는 Apple OS X 의 VPN 구성이나와있습니다. 그림 2. Apple OS X 의아이콘및샘플 VPN 구성 클라이언트모듈 AnyConnect 클라이언트는고도로모듈화된경량형보안클라이언트로, 기업의개별요구사항에따라쉽게맞춤형으로구성할수있는기능을제공합니다. VPN, 802.1X, 컴플라이언스검사, 네트워크가시성, Cisco Umbrella Roaming, Cisco Cloud Web Security와의통합기능, AMP for Endpoints 설치및제거기능등이개별모듈및서비스형태로모두제공되므로, 조직은연결요구사항에따라가장적합한기능을선택할수있습니다. 이를통해 AnyConnect의빠른속도와높은운영효율성을유지하는동시에조직에는유연성과혜택을제공할수있습니다. 2016 Cisco and/or its affiliates. All rights reserved. 해당문서는시스코외부공개용문서입니다. 3/10 페이지

그림 3 은유 / 무선환경에걸친 AnyConnect 통합엔드포인트컴플라이언스기능을보여줍니다. 그림 3. 엔드포인트컴플라이언스점검 기능및이점 표 1 에는 Cisco AnyConnect Secure Mobility Client 의기능과장점이나와있습니다. 표 1. 기능및장점 기능 원격액세스 VPN 장점및설명 폭넓은운영체제지원 Windows 10, 8.1, 8, 7 Mac OS X 10.8 이상 Linux Intel(x64) 모바일플랫폼에대한내용은 AnyConnect Mobile 데이터시트를참조하십시오. 소프트웨어액세스 Cisco.com Software Center 에서다운로드가가능합니다. 최적화된네트워크액세스 : VPN protocol choice SSL(TLS 및 DTLS), IPsec IKEv2 AnyConnect 에대한기술지원및소프트웨어이용자격은모든기간기반 Plus 및 Apex 라이센스에포함되어있으며, Plus 영구라이센스용으로별도로구매가능합니다. 계약번호는 Cisco.com ID 와연결되어야합니다. 자세한내용은 AnyConnect 주문가이드를참조하십시오. AnyConnect 에서는 VPN 프로토콜을선택할수있으므로관리자는비즈니스요구에가장적합한프로토콜을사용할수있음 터널링지원에는 SSL(TLS 1.2 및 DTLS) 및차세대 IPsec IKEv2 포함 DTLS 는 VoIP 트래픽또는 TCP 기반애플리케이션액세스등지연에민감한트래픽에맞게최적화된연결제공 TLS 1.2(HTTP over TLS 또는 SSL) 는웹프록시서버를사용하는환경등제한된환경에서의네트워크연결에대한가용성보장 IPsec IKEv2 는보안정책에서 IPsec 을사용해야하는경우지연에민감한트래픽에맞게최적화된연결제공 2016 Cisco and/or its affiliates. All rights reserved. 해당문서는시스코외부공개용문서입니다. 4/10 페이지

기능 최적의게이트웨이선택 모빌리티지원 암호화 장점및설명 폭넓은구축및연결옵션구축옵션 : 다양한인증옵션 일관된사용자경험 중앙집중식정책제어및관리 고급 IP 네트워크연결 네트워크액세스포인트에대해최적화된연결을선택하므로, 최종사용자는가장가까운위치를결정할필요가없음 모바일사용자를위한설계 IP 주소변경, 연결손실, 절전또는대기모드중에도 VPN 연결이유지되도록구성할수있음 Trusted Network Detection 기능을통해최종사용자가사무실에있으면자동으로연결이끊어지고, 원격위치에있으면자동으로연결되도록 VPN 연결설정가능 AES-256 및 3DES-168 을비롯한강력한암호화지원 ( 보안게이트웨이디바이스에강력한암호화라이센스가설정되어있어야함 ) NSA Suite B 알고리즘, ESPv3 with IKEv2, 4096 비트 RSA 키, Diffie-Hellman 그룹 24, 확장 SHA2(SHA-256 & SHA-384) 와같은차세대암호화 IPsec IKEv2 연결에만적용됨. AnyConnect Apex 라이센스가필요함. Microsoft Installer 를포함한사전구축 ActiveX(Windows 전용 ) 및 Java 를사용하는자동보안게이트웨이구축 ( 초기설치시관리자권한필요 ) 연결모드 : 시스템아이콘으로독립형으로실행 브라우저에서시작 ( 웹실행 ) 클라이언트리스포털에서시작 CLI 로시작 API 로시작 RADIUS NTLM(NT LAN Manager) 에대한비밀번호만료 (MSCHAPv2) 가포함된 RADIUS RADIUS OTP(One-Time Password) 지원 ( 상태및응답메시지특성 ) RSA SecurID(SoftID 통합포함 ) Active Directory 또는 Kerberos 내장형 CA(Certificate Authority) 디지털인증서또는스마트카드 ( 시스템인증서지원포함 ), 자동선택또는사용자선택 곧만료될예정이거나오래된비밀번호를사용한 LDAP(Lightweight Directory Access Protocol) 일반 LDAP 지원 인증서및사용자이름 / 비밀번호멀티팩터인증결합 ( 이중인증 ) 풀터널 (Full-tunnel) 클라이언트모드는 LAN 환경과같이일관된사용자환경을필요로하는원격액세스사용자지원 다중전달방법으로 AnyConnect 의폭넓은호환성보장 사용자는푸시업데이트지연가능 고객경험피드백옵션제공 정책을로컬에서구성하거나미리구성할수있으며, VPN 보안게이트웨이에서자동으로업데이트할수있음 웹페이지또는애플리케이션을통한손쉬운구축을지원하는 AnyConnect 용 API 신뢰할수없는인증서를확인하여사용자에게경고 인증서를로컬에서보고관리할수있음 IPv4 및 IPv6 네트워크와의공개연결 내부 IPv4 및 IPv6 네트워크리소스에액세스 관리자제어기반의스플릿터널링및전체터널링네트워크액세스정책 액세스제어정책 Google Android(Lollipop) 및 Samsung KNOX 에대한애플리케이션당 VPN 정책 ( 릴리즈 4.0 에서새롭게지원 : Cisco ASA 5500-X 와 OS 9.3 이상및 AnyConnect 4.0 라이센스필요 ) IP 주소할당메커니즘 : 정적 내부풀 DHCP(Dynamic Host Configuration Protocol) RADIUS/LDAP(Lightweight Directory Access Protocol) 2016 Cisco and/or its affiliates. All rights reserved. 해당문서는시스코외부공개용문서입니다. 5/10 페이지

기능 강력한통합엔드포인트컴플라이언스 (Apex 라이센스필요 ) 클라이언트방화벽정책 장점및설명 유 / 무선환경의엔드포인트보안상태평가및치료 (Cisco Identity Services Engine NAC Agent 대체 ). Identity Services Engine 1.3 이상과 Identity Services Engine Apex 라이센스가필요함. ISE Posture(ISE 와함께연동 ) 및 Hostscan(VPN 전용 ) 은네트워크액세스를허용하기전에엔드포인트시스템에악성코드차단소프트웨어, Windows 서비스팩 / 패치상태, 다양한기타소프트웨어서비스가있는지여부를확인함 관리자는실행중인프로세스를기반으로사용자지정포스처확인을정의할수있음 ISE Posture 및 Hostscan 은원격시스템에서워터마크존재유무를탐지할수있음. 워터마크는기업소유의자산을식별하는데사용할수있으며그에따라차별화된액세스를제공함. 워터마크확인기능에는시스템레지스트리값, 필요한 CRC32 체크섬과일치하는파일존재유무, 다양한기타기능이포함됨. 컴플라이언스위반애플리케이션에대한추가기능이지원됨. 기능은운영체제에따라다름. 자세한내용은 Host Scan 지원차트를참조. 스플릿터널링컨피그레이션을위한추가적인보호기능제공 AnyConnect 클라이언트와함께사용할경우로컬액세스예외허용가능 ( 예 : 인쇄, 테더링디바이스지원등 ) IPv4 용포트기반룰및 IPv6 용네트워크 /IP ACL(Access Control List) 지원 Windows 및 Mac OS X 플랫폼에사용가능 현지화영어외에도다음언어가지원됩니다. 간편한클라이언트관리 프로파일편집기 진단 FIPS(Federal Information Processing Standard) 보안모빌리티및네트워크가시성 웹보안통합 (Cloud Web Security 라이센스필요 ) 체코어 (cs-cz) 독일어 (de-de) 스페인어 (es-es) 프랑스어 (fr-fr) 일본어 (ja-jp) 한국어 (ko-kr) 폴란드어 (pl-pl) 중국어간체 (zh-cn) 중국어 ( 대만 )(zh-tw) 네덜란드어 (nl-nl) 헝가리어 (hu-hu) 이탈리아어 (it-it) 포르투갈어 ( 브라질 )(pt-br) 러시아어 (ru-ru) 관리자는헤드엔드 (Head-end) 보안어플라이언스에서소프트웨어및정책업데이트를자동으로구축할수있으므로, 클라이언트소프트웨어업데이트와관련된관리작업이제거됨 관리자는최종사용자구성에어떤기능을사용할지결정할수있음 도메인로그인스크립트를사용할수없을경우관리자는연결및연결해제시엔드포인트스크립트를트리거할수있음 관리자는최종사용자에게표시될메시지에대해사용자지정및현지언어화를할수있음 Cisco ASDM(Adaptive Security Device Manager) 에서직접 AnyConnect 정책을사용자지정할수있음 온 - 디바이스통계및로깅정보사용가능 디바이스에서로그를볼수있음 Cisco 또는관리자에게로그를분석용으로손쉽게이메일전송할수있음 FIPS 140-2 Level 2 규격 ( 플랫폼, 기능및버전제한적용 ) 세계최대의 SaaS(software-as-a-service) 웹보안제공자인 Cloud Web Security 를사용하여기업네트워크에서악성코드를차단하고직원의웹사용제어및보호 클라우드에서호스팅되는컨피그레이션및동적로딩지원 프레미스기반서비스외에도클라우드기반서비스까지지원하여조직에다양한선택옵션제공 Web Security Appliance 와통합 신뢰할수있는네트워크탐지지원 사용자위치와관계없이모든트랜잭션에보안정책적용 보안수준이높은상시작동네트워크연결과액세스가불가능할경우네트워크연결을허용또는거부하는정책필요 핫스팟및종속포털탐지 2016 Cisco and/or its affiliates. All rights reserved. 해당문서는시스코외부공개용문서입니다. 6/10 페이지

기능 Cisco Umbrella Roaming(Cisco Umbrella Roaming 라이센스필요 ) 네트워크가시성모듈 (Apex 라이센스필요 ) AMP(Advanced Malware Protection) for Endpoints Enabler(AMP for Endpoints 라이센스별도 ) 장점및설명 폭넓은운영체제지원 Windows 10, 8.1, 8, 7 네트워크액세스관리자및 802.1X VPN 이꺼져있는경우로밍디바이스에대해보안적용 로밍디바이스에서자동으로악성코드, 피싱및 C2 콜백차단 디바이스위치와관계없이간단한보호방법제공 VPN 이꺼져있거나스플릿터널 ( 터널외통신에적용 ) 을사용하는경우 DNS 기반보안을적용하기위해엔드포인트리디렉션활용 사용자, 엔드포인트, 애플리케이션, 위치및대상에대한풍부한상황정보로엔드포인트플로우포착 온프레미스및오프프레미스에서유연한수집설정 애플리케이션사용을모니터링하여잠재적인동작이상징후식별 보다많은정보에입각한네트워크설계결정지원 사용데이터를 IPFIX(Internet Protocol Flow Information Export) 지원네트워크분석툴과공유할수있음 Cisco AMP for Endpoints 를배포및사용설정하여 AnyConnect 엔드포인트에대한위협차단서비스지원간소화 원격엔드포인트까지엔드포인트위협서비스를확장하여엔드포인트위협보호범위확대 보다사전대응적인보호기능을제공하여원격엔드포인트에대한공격이신속하게완화되도록함 Mac OS X 10.8 이상 미디어지원 이더넷 (IEEE 802.3) 네트워크인증 EAP(Extensible Authentication Protocol) 방식 무선암호화방식 ( 해당 802.11 NIC 지원필요 ) Wi-Fi(IEEE 802.11a/b/g/n) IEEE 802.1X-2001, 802.1X-2004 및 802.1X-2010 기업이단일 802.1X 인증프레임워크를구축하여유선네트워크및무선네트워크모두에액세스할수있도록지원 보다높은수준의보안액세스가요구되는사용자및디바이스 ID 와네트워크액세스프로토콜을관리 Cisco 의통합유 / 무선네트워크에연결하는사용자의경험최적화 EAP-TLS(Transport Layer Security) 다음 inner method 를사용하는 EAP-PEAP(Protected Extensible Authentication Protocol): EAP-TLS EAP-MSCHAPv2 EAP-GTC(Generic Token Card) 다음 inner method 를사용하는 EAP-FAST(Flexible Authentication via Secure Tunneling): EAP-TLS EAP-MSCHAPv2 EAP-GTC 다음 inner method 를사용하는 EAP-TTLS(Tunneled TLS): PAP(Password Authentication Protocol) CHAP(Challenge Handshake Authentication Protocol) Microsoft CHAP(MSCHAP) MSCHAPv2 EAP-MD5 EAP-MSCHAPv2 LEAP(Lightweight EAP), Wi-Fi 전용 EAP-MD5(Message Digest 5), 관리자가구성, 이더넷전용 EAP-MSCHAPv2, 관리자가구성, 이더넷전용 EAP-GTC, 관리자가구성, 이더넷전용 개방성 WEP(Wired Equivalent Privacy) Dynamic WEP WPA(Wi-Fi Protected Access) Enterprise WPA2 Enterprise WPA Personal(WPA-PSK) WPA2 Personal(WPA2-PSK) CCKM(Cisco CB21AG Wireless NIC 필요 ) 2016 Cisco and/or its affiliates. All rights reserved. 해당문서는시스코외부공개용문서입니다. 7/10 페이지

기능 무선암호화프로토콜 세션재개 이더넷암호화 한번에하나의연결 복잡한서버검증 EAP-Chaining(EAP-FASTv2) ECE(Enterprise Connection Enforcement) 차세대암호화 (Suite B) 크리덴셜유형 원격데스크톱지원 장점및설명 AES(Advanced Encryption Standard) 알고리즘을사용한 CCMP(Counter mode with Cipher Block Chaining Message Authentication Code Protocol) RC4(Rivest Cipher 4) 스트림암호를사용한 TKIP(Temporal Key Integrity Protocol) EAP TLS, EAP-FAST, EAP-PEAP, EAP-TTLS 를사용한 RFC2716(EAP-TLS) 세션재개 EAP-FAST 스테이트리스세션재개 PMK-ID 캐싱 (Proactive Key Caching 또는 Opportunistic Key Caching), Windows XP 전용 미디어액세스제어 : IEEE 802.1AE(MACsec) 키관리 : MKA(MACsec Key Agreement) 유선이더넷네트워크의보안인프라를정의하여데이터기밀성, 데이터무결성및데이터출처인증제공 신뢰할수있는네트워크구성요소간통신보호 네트워크에대해하나의연결만허용하고나머지는연결해제 어댑터간브리징없음 우선순위에따라자동으로이더넷연결 "ends with" 및 "exact match" 규칙지원 이름공통성이없는서버에대해 30 여개규칙지원 기업자산인지아닌지에따라액세스차별화 단일 EAP 트랜잭션에서사용자및디바이스검증 사용자가올바른기업네트워크에만연결하도록보장 사용자가사무실에서서드파티액세스포인트에연결하여인터넷을검색하지못하도록방지 사용자가게스트네트워크에대한액세스를설정하지못하도록방지 번거로운블랙리스트등록을없앰 최신암호화표준지원 Elliptic Curve Diffie-Hellman 키교환 ECDSA(Elliptic Curve Digital Signature Algorithm) 인증서 인터랙티브사용자비밀번호또는 Windows 비밀번호 RSA SecurID 토큰 OTP(One-time password) 토큰 스마트카드 (Axalto, Gemplus, SafeNet ikey, Alladin) X.509 인증서 지원되는운영체제 Windows 10, 8.1, 8, 7 ECDSA(Elliptic Curve Digital Signature Algorithm) 인증서 RDP(Remote Desktop Protocol) 사용시로컬네트워크에대해원격사용자크리덴셜인증 2016 Cisco and/or its affiliates. All rights reserved. 해당문서는시스코외부공개용문서입니다. 8/10 페이지

플랫폼호환성 AnyConnect는 Cisco ASA 소프트웨어릴리즈 8.0(4) 이상에서실행중인모든 Cisco ASA 5500-X Series Next Generation Firewalls 및 5500 Series Enterprise Firewall Edition 모델과호환가능합니다. 가장최근에릴리즈된소프트웨어를이용하여구축하는것이좋습니다. 특정기능을사용하려면최신의 Cisco ASA 소프트웨어릴리즈또는 ASA 5500-X 모델이필요합니다. Cisco는 Cisco IOS 15.1(2)T 릴리즈이상에서 AnyConnect VPN 액세스에대한보안게이트웨이기능을지원합니다 ( 일부기능은제한 ). 자세한내용은 Cisco IOS SSL VPN에서지원되지않는기능을참조하십시오. 자세한 Cisco IOS 기능지원정보는 http://www.cisco.com/go/fn을참조하십시오. 추가호환성정보는 http://www.cisco.com/en/us/docs/security/asa/compatibility/asa-vpn-compatibility.html에서찾아볼수있습니다. 라이센싱옵션 AnyConnect 4.x 이상에는 AnyConnect Plus 또는 Apex 라이센스가필요합니다. 라이센싱옵션과주문에대한자세한내용은 http://www.cisco.com/c/dam/en/us/products/security/anyconnect-og.pdf의주문가이드에서확인할수있습니다. Cisco Capital 여러분의목표달성을돕는금융지원솔루션 Cisco Capital이목표달성과경쟁력유지에필요한기술도입을도와드리겠습니다. 고객의설비투자부담을줄여드립니다. 성장을가속화하십시오. 투자및 ROI를최적화하십시오. Cisco Capital 파이낸싱은하드웨어, 소프트웨어, 서비스, 보완적인서드파티장비도입에유연성을제공합니다. 또한, 예측가능한비용결제를한번만하면됩니다. Cisco Capital은 100여개국가에서이용가능합니다. 자세히보기추가정보 Cisco AnyConnect Secure Mobility Client 홈페이지 : http://www.cisco.com/go/anyconnect Cisco AnyConnect 설명서 : http://www.cisco.com/c/en/us/support/security/anyconnect-secure-mobilityclient/tsd-products-support-series-home.html Cisco AnyConnect for Mobile Platforms 데이터시트 : http://www.cisco.com/c/en/us/products/collateral/security/anyconnect-secure-mobilityclient/data_sheet_c78-527494.html Cisco ASA 5500-X Series Adaptive Security Appliances: http://www.cisco.com/go/asa Cisco Cloud Web Security http://www.cisco.com/go/cws Cisco AMP for Endpoints http://www.cisco.com/c/en/us/products/security/fireamp-endpoints/index.html Cisco AnyConnect 라이센스계약및개인정보보호정책 : http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/license/end_user/anyc onnect-seula-v4-x.html 2016 Cisco and/or its affiliates. All rights reserved. 해당문서는시스코외부공개용문서입니다. 9/10 페이지