こちらが、元記事です。
はじめに
免責事項
本ページおよび、これに対応するコメント記載については、投稿者本人の個人的意見であり、シスコの意見ではありません。本サイトの内容は、情報の提供のみを目的として掲載されており、シスコや他の関係者による推奨や表明を目的としたものではありません。各利用者は、本Webサイトへの掲載により、投稿、リンクその他の方法でアップロードした全ての情報の内容に対して全責任を負い、本Web サイトの利用に関するあらゆる責任からシスコを免責することに同意したものとします。
Common policyとは?
今までは、スイッチ・ルータ-ISE間や、Catalyst Center SD-Access, ACI、Cisco Secure Firewallで利用されていたソリューションでしたが、これが、WANやクラウドの世界、他社様製品にも共通で利用できるようになり、ユースケースが増えています。
参考:
Common Policy
キャンパス、データセンター、SD-WAN、クラウド環境、など複数のネットワークドメインにわたって一貫したセキュリティポリシーを実現するためのフレームワークです。Cisco Identity Services Engine(ISE)がこのCommon Policyの中心的な役割を担い、IPとセキュリティグループタグ(SGT)の紐付けなどのコンテキスト情報を学習・正規化し、さまざまな適用ポイントと共有します。
すべてのデバイスに対して、ネットワークセキュリティを維持し、さまざまな環境にわたって一貫したアクセス制御を確保するために有効な技術です。
PxGrid/SXP
Cisco ISEと他のネットワークシステムやサードパーティプラットフォーム間でこのコンテキスト情報を共有するための通信フレームワークです。PxGridを通じて、SGT情報やIP-to-SGTのマッピングがCisco SD-WAN Manager、Cisco Catalyst Center、Cisco Firepowerなどの適用ポイントに配信され、SGTに基づく一貫したポリシー適用が可能になります。
SGT
エンドポイントやユーザーに割り当てられるタグで、そのセキュリティグループの所属を表します。Common PolicyはこのSGTを用いて、異なるネットワークドメイン間でアクセス制御ポリシーを一貫して分類・適用します。Cisco ISEがSGTとその紐付けを管理し、PxGrid経由で他のシステムと情報を共有して統一されたセキュリティポリシーを実現します。
フレームの考慮
Referense
SGTは、Cisco TrustSecのセキュリティグループを示す16ビットのタグで、認証されたデバイスから発信されるパケットに付与されます。SGTはCisco Meta Data(CMD)という独自のペイロード内に"EtherType 0x8909"で挿入されます。具体的には、イーサネットフレームの中に16ビットのSGTがカプセル化されており、これによりネットワーク全体でセキュリティグループ情報が伝搬されます。
Cisco メタデータ(CMD)フィールドは、この例のように、使用されている送信元 MAC アドレス フィールド(SMAC)または 802.1q フィールドの直後に挿入されます。
L3ルーティングが必要な場合は、VxLANヘッダー内に16ビットのSGTを含めることも可能ですし、VPN 経由で TrustSecでクラウドへ接続するため、IKE プロトコルと IPsec プロトコルが拡張されていますので、IPsec インライン タギングを使用すれば、SGT タグを Encapsulating Security Payload(ESP)パケットで送信することができます。
推しポイント1 
:中央集約されたコンテキスト共有
ユーザーやデバイスを認証するときに認証・認可の仕組みで、ISEが、セキュリティグループタグ(SGT)を付与し、その情報を、ネットワークの各ドメイン間で共有します。このSGTを利用して、ポリシー適用に一貫性を保つことができます。
推しポイント2 
:マイクロセグメンテーションによるゼロトラストセキュリティの拡張
ISEと連携し、Cisco Catalyst Center(SD-Access)、Cisco ACI、Secure Access、Cisco Multi cloud control、およびスイッチでの(TrustSec)、Cisco Secure Router・Cisco Secure Firewallといったアプライアンス製品と連携し、スケーラブルで柔軟なマイクロセグメンテーションを提供します。
推しポイント3 
:運用負担からの解放
キャンパス、支店、データセンター、クラウド環境など、どの環境からのアクセスでも同じポリシーが適用されます。また、デバイスが移動した場合でも、ポリシーが自動的に適用され、IPベースでの通信制御から、管理者の負担を軽減します。
推しポイント4 
:広がりを見せるセキュリティグループタグ(SGT)
また、業界の主要ベンダーとの連携が増えてきています!! ベンダーフリーな技術として、詳細なコンテキスト情報を活用した精緻なアクセス制御とセグメンテーションを実現し、ゼロトラストの考え方をネットワーク全体に適用します。
Cisco ISEのWorkload Connectors機能では、AWSやAzureを含む複数のクラウドプラットフォームの属性(タグ)を利用してポリシー連携が行えます。これにより、クラウド環境のワークロードに対しても一貫したセキュリティポリシーの適用が可能になってきています。
推しポイント5 
:セキュリティ施策・分析強化
Cisco ISE からのリアルタイム エンドポイント コンテキストを使用した、Software as a Service (SaaS ベース) のセキュリティ分析の強化も可能です。
また、セキュリティ SaaS ソリューションから開始されるアクションを通じてエンドポイントをネットワークから分離することで脅威を封じ込めます。
つぶやき: ちなみにCommon Policyとは別アプローチですが、Duo IAMとCisco Secure Accessも連携ができ、DuoがもつユーザのAttibute値を用いてAccess Policy適用も夢ではありません。また、Duo側のRisk base authenticationで、認可した後も、継続して端末の状況を確認し、リスクとしてスコアリング、そのスコアがある一定地を超えると、リスク高いと判断して、通信を遮断する機能もあります。
https://duo.com/docs/risk-based-auth
上記は、MFAが前提のソリューションです。オフィスにあるIoT機器は、機器自体がMFAをサポートしていないものがほとんどであり、適用が難しい範囲です。 Common policyは、IoT機器へも一括したアクセス制御を、IPではなくSGTを用いたグループ単位で制御できますので、DuoソリューションとCommon Policy併用など、いかがでしょう?