Skip to content

3.1 Security Architecture Overview

3.1.1 Zero Trust Security Model

┌─────────────────────────────────────────────────────────────────────────────┐
│                    ZERO TRUST SECURITY ARCHITECTURE                         │
├─────────────────────────────────────────────────────────────────────────────┤
│                                                                             │
│  ╔═══════════════════════════════════════════════════════════════════════╗  │
│  ║                    IDENTITY-BASED ACCESS                              ║  │
│  ║                                                                       ║  │
│  ║  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐   ║  │
│  ║  │   WHO?      │  │   WHAT?     │  │   WHERE?    │  │   WHEN?     │   ║  │
│  ║  │             │  │             │  │             │  │             │   ║  │
│  ║  │ User ID     │  │ Device Type │  │ Location    │  │ Time of Day │   ║  │
│  ║  │ AD Group    │  │ Posture     │  │ Network     │  │ Duration    │   ║  │
│  ║  │ Role        │  │ Compliance  │  │ Zone        │  │ Session     │   ║  │
│  ║  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘   ║  │
│  ║         │                │                │                │          ║  │
│  ║         └────────────────┴────────────────┴────────────────┘          ║  │
│  ║                                  │                                    ║  │
│  ║                                  ▼                                    ║  │
│  ║  ┌───────────────────────────────────────────────────────────────┐    ║  │
│  ║  │                     CISCO ISE                                 │    ║  │
│  ║  │                                                               │    ║  │
│  ║  │   Policy Decision Point (PDP)                                 │    ║  │
│  ║  │   • Authentication                                            │    ║  │
│  ║  │   • Authorization                                             │    ║  │
│  ║  │   • Posture Assessment                                        │    ║  │
│  ║  │   • Profiling                                                 │    ║  │
│  ║  │   • SGT Assignment                                            │    ║  │
│  ║  │                                                               │    ║  │
│  ║  └───────────────────────────────────────────────────────────────┘    ║  │
│  ║                                  │                                    ║  │
│  ║                                  ▼                                    ║  │
│  ║  ┌───────────────────────────────────────────────────────────────┐    ║  │
│  ║  │                  ACCESS DECISION                              │    ║  │
│  ║  │                                                               │    ║  │
│  ║  │   ┌─────────────┐  ┌─────────────┐  ┌─────────────┐           │    ║  │
│  ║  │   │   PERMIT    │  │   DENY      │  │  QUARANTINE │           │    ║  │
│  ║  │   │   + SGT     │  │             │  │   + Remediate│           │    ║  │
│  ║  │   └─────────────┘  └─────────────┘  └─────────────┘           │    ║  │
│  ║  │                                                               │    ║  │
│  ║  └───────────────────────────────────────────────────────────────┘    ║  │
│  ╚═══════════════════════════════════════════════════════════════════════╝  │
│                                                                             │
│  ENFORCEMENT POINTS:                                                        │
│  ────────────────────                                                       │
│  • Fabric Edge Nodes (SGT inline tagging)                                   │
│  • Border Nodes (SGT-to-SGACL enforcement)                                  │
│  • Firewalls (SGT-aware policies)                                           │
│  • Wireless Controllers (SGT assignment)                                    │
│                                                                             │
└─────────────────────────────────────────────────────────────────────────────┘

3.1.2 Defense-in-Depth Layers

Layer Component Security Function
Layer 1 Endpoint AMP, DUO MFA, Posture Agent
Layer 2 Access Network 802.1X, MAB, Profiling
Layer 3 Fabric SGT, VXLAN encryption, micro-segmentation
Layer 4 Transit IPsec, MACsec, encrypted WAN
Layer 5 Perimeter Firewall, IPS, Web Proxy
Layer 6 Data Center Segmentation, workload protection
Layer 7 Application WAF, API security
Layer 8 Visibility SIEM, Stealthwatch, threat detection