[Dongclee 의 11월 4번째 포스팅] DirectAccess 클라이언트가 외부에 있으면 보안에 불안하지 않나요?
이동철입니다.
앞서 Genious VPN 이라고 해서 Windows Server 2008 의 DirectAccess 및 Forefront UAG 의 DirectAccess 에 대해서 소개를 드렸지요.
그런데,외부 검증되지 않은 네트워크에서 회사의 DirectAccess 서버를 연결한 뒤, 회사의 인트라넷을 사용하게 되면, 회사의 보안 관리자 입장에서 좀 불안하지 않나요?
당근 불안하겠지요....
그래서, 다소나마 불안감을 해소하기 위해, 회사의 보안 compliance를 DirectAccess 클라이언트들에게 강제적으로 적용하는 방안에 대해서 소개드리고자 합니다.
아 이쯤 얘기하면, 벌써 NAP(Network Access Protection)에 대해서 얘기를 할려고 하는 구나 하고 생각하시겠지요....
맞습니다. Forefront UAG DirectAccess 와 NAP을 연동하게 되면, 아무리 DirectAccess 클라이언트라고 할지라도, 회사의 보안 compliance에 위배되면, 회사 내부 네트워크에 연결할 수 없도록 차단됩니다.
예를 들어,
DirectAccess 클라이언트에 반드시 바이러스 백신 프로그램이 설치되어야 하고,
DirectAccess 클라이언트에 반드시 개인 방화벽이 enable 되어 있어야 하고 등등 기타 여러 가지 compliance를 설정하여 외부 네트워크에 존재하는 DirectAccess 클라이언트들을 보호하도록 강제하는 시스템이 바로 NAP 과 Forefront UAG DirectAccess 의 연동입니다.
간단한 구조도는 아래와 같습니다.
NAP 과 Forefront UAG DirectAccess를 연동하기 위해서는 아래 여러 가지 component가 설치 및 구성되어야 합니다.
- Certificate Authority
- Network Policy Server
- Health Registration Authority
첨부 문서에는 위의 구성 요소에 대한 설치 및 구성에 대한 내용도 포함되어 있습니다.
추후에, NAP의 다른 활용에 대한 포스팅도 하도록 하겠습니다.
11월 마무리 잘 하세요,, 여러분들 모두