SSL VPN... 앞으로의 변화...

Microsoft가 지난 5월 SSL-VPN 업체중 하나인 Whale Communication을 인수하였다는 것을 아시고 계실 것입니다.
(https://www.microsoft.com/presspass/press/2006/may06/05-18WhaleCommunicationsPR.mspx)

SSL-VPN을 Microsoft Security Products중 하나로 포지셔닝하고자 함을 읽을 수 있는데, 현재의 ISA Server 2006과 Whale Communications의 E-Gap이 합쳐진다면 어떠한 모습으로 나아갈까요?

SSL-VPN은 기존의 IPSec VPN과 매우 다른 모습으로 기술구현이 됩니다. 그렇다면 IPSec VPN이 있음에도 불구하고, SSL-VPN을 왜 쓰려할까요?

이유는 간단합니다. IPSec VPN보다 접근성도 용이하며, 여러 Policy와 Compliance를 적용하는 모델로는 SSL-VPN이 제격일 수 있습니다. 호텔이나 회사내에서 IPSec VPN을 접근하기 위한 포트들에 대한 블락킹 그리고 클라이언트 소프트웨어에 대한 필요성이 문제가 될 수 있으나, SSL-VPN은 Web환경 접근이 되는 어떠한 장소 및 클라이언트에서도 사용이 가능하다는 것입니다. 그리고 IPSec VPN의 경우, 클라이언트에 대한 패치 및 보안 관리(Policy, Compliance), 클라이언트의 각종 하드웨어에 대한 호환성이 문제점으로 거론되고 있습니다.

그럼 IPSec VPN과 SSL-VPN중 어느 하나가 차후에 VPN 기술로 자리잡을까요? 정답은 상호 보완 관계라는 것입니다.
IPSec VPN의 경우 현재는 Office Connection과 Site-To-Site VPN용으로 사용이 되고 있습니다. 이중 Office Connection용의 위치를 SSL-VPN이 대체할 것으로 보여집니다.

SSL-VPN의 경우 보안 기술은 현재의 SSL 2.0, 3.0, TLS 1.0등을 사용하고 있으며, 기밀성, 상호인증, 무결성에 대해서는 3DES, MD5, RSA등을 사용하고 있습니다.

자 그럼 현재 Microsoft의 Intelligent Application Gateway(IAG) 2007 (기존의 Whale 제품)은 어떠한 대표적인 특징을 가지고 있을까요?

SSL-VPN과 마찬가지로 접속시 HTTPS를 사용한 접속을 하며, 기본적인 Portal 화면을 제공합니다. 클라이언트가 접근시 클라이언트의 Security Compliance - 대표적으로 AV, Firewall - 등을 체크하며, 이러한 Compliance에 맞지 않을 경우, 각종 Policy를 적용할 수 있습니다. 특정 프로그램에 대해서 접근을 못한다던지, 프로그램내에서 업로드는 못하고 다운로드만 한다던지...

Session에 대한 관리도 좀더 직관적으로, 다시 말해 접속 시간에 대한 표시 및 재연결이 가능합니다.

IPSec VPN의 경우, 사내에 접근 가능한 자원들에 대해 방화벽단에서의 추가적인 설정이 필요합니다만, SSL-VPN의 경우, 외부에서 접근할 응용 프로그램이나 웹 사이트, 파일 공유등을 Policy 또는 인증레벨에서 제어할 수 있다는 것도 장점입니다. SSL-VPN Portal 접근시 인증 토큰을 이용하여 SSO도 가능하겠죠?

마지막으로 SSL-VPN 접속 화면에 대해 유연한 커스터마이징 환경을 제공함으로서, 조직은 조직에 맞는 화면을 구성할 수 있다는 것도 매력적이죠 :) 당연히 각 나라별 언어에 대해서도 지원합니다.

IAG 2007과 ISA Server 2006이 하나의 제품이 된다면, 그 임팩트는 실로 대단할 것으로 생각합니다. Application-Layer Firewall과 SSL-VPN의 만남이라.. 생각만 해도 환상적이지 않나요?