네트워크 액세스 보호(NAP)... 이제는 고민해야 할 때...

보안 센터(Security Center)라고 많이 들어보셨는지요? 컴퓨터의 기본 보안 설정이 문제가 발생했을 경우, 사용자에게 친철히(!) 위험 요소를 알려주고, 수정을 요청합니다. Windows 방화벽, 안티 바이러스, 업데이트와 관련된 사항에 대해서, 사용자는 문제 발생시 이를 알 수 있게 되고, 이에 대해 처리할 기회를 얻게 됩니다.

언제나 회사, 조직내 전산을 책임지시고 있는 분들의 고민중에 하나가 조직내 모든 컴퓨터들에 대한 보안 관리입니다. 보안 센터와 같은 알려주는 기능이 아닌, 조직내 보안 정책 또는 컴플리언스에 맞는 사항을 사용자에게 설정하고, 이를 위배했을 경우, 이를 재반영하고자 합니다.

예제는 다음과 같습니다, 아래와 같은 회사의 정책이 있다고 가정하겠습니다.

1. Windows 방화벽 사용
2. 최소 하나이상의 안티바이러스 프로그램 사용 및 최신 엔진 업데이트
3. 최소 하나이상의 안티스파이웨어 프로그램 사용 및 최신 엔진 업데이트
4. 자동 업데이트 사용
5. Windows 및 각종 응용 프로그램에 대한 패치 상태 적용

한명의 사용자가 조직내에서 P2P 프로그램을 사용하기 위해 Windows 방화벽의 사용을 중지했습니다. 이럴 경우, 보안 센터에서는 경고가 나올 것입니다. 이를 IT 관리자는 파악할 수 없으며, 이러한 방화벽의 사용을 바로 재설정해줄 수는 없습니다.(물론 일정한 주기 간격으로 설정을 해줄수는 있습니다만, 실시간으로는 불가능합니다.)

보안에서는 지속적인(Ongoing)이라는 단어가 매우 중요합니다. 최초 확인시 합격(Pass)한 사용자가 이후, 해당 확인 기능을 중지시켰을 때, 이에 대해 Windows 관리자분들께서는 추가적인 솔루션을 도입하지 않는한, 제어 및 재적용이 불가능했었습니다. 더 좋은 예제가 있습니다.

조직내 방문하는 사용자 또는 조직의 컴퓨터를 가정/회사에서 모두 사용하는 경우, 해당 컴퓨터가 보안상 문제가 전혀 없는지에 대해서는 누구도 장담할 수 없습니다. 해당 컴퓨터가 바이러스가 걸려있는지, 패치 상태가 정상적인지를 네트워크 접근전 확인한 후, 이에 대한 검사가 완료되면 네트워크의 접근을 허용하는 시나리오.. 뿐만 아니라, 문제가 있는 컴퓨터에 대해서 네트워크 레벨단의 격리(Quarantine)와 더불어 설정의 반영 및 패치의 설치...가 되는 시나리오... 정리하면

보안과 컴플리언스(Compliance)의 지속적인 평가(Evaluation)

작년부터 심심치 않게 들려오는 단어가 있습니다. 바로 Microsoft의 NAP(Network Access Protection - 네트워크 접근 보호), Cisco의 NAC(Network Admission Control). 두가지가 해당 시나리오의 전반적인 인프라를 꾸며줍니다.

두 회사 기술의 큰 목표는 상당히 유사합니다. 보안적으로 문제가 있는 컴퓨터는 네트워크 접근시 이를 확인하여, 격리를 한다는 것입니다. 여기서 격리라고 함은, 최소의 서버(패치 서버, 안티 바이러스 서버, 엔진 서버등...)에만 접근이 가능하고, 조직내 주요 시스템에 대해서는 보안 확인 사항을 모두 통과(Pass)한 사용자와 컴퓨터만 가능하게 하겠다는 것입니다.

Microsoft NAP의 경우, 해당 격리에 대한 시나리오로 운영 체제 시스템을 이용한 격리와 네트워크 장비 레벨에서의 격리(802.1X - VLAN, 인증)이 가능하며, Cisco NAC은 장비 레벨에서의 격리를 골자로 하고 있습니다. 당연히 두 회사의 기술은 모두 클라이언트에 관련 모듈(Agent)가 설치되어야 합니다. (NAP - NAP Agent, NAC - Cisco Trusted Agent)

Windows Vista와 차기 Windows Server인 CodeName LongHorn에는 기본적으로 NAP용 클라이언트 Agent가 내장되어져 있습니다. Windows XP Service Pack 2 클라이언트에 대해서는 별도의 업데이트 형태로 NAP용 클라이언트 Agent를 배포할 예정입니다. 즉, Microsoft Windows내에 내장된 모듈을 바로 이용하실 수 있기 때문에, IT 관리자 입장에서는 인프라만 구성하시면 바로 운용이 가능합니다.

 

2006년 9월 Microsoft와 Cisco는 NAP, NAC 모듈에 대해서 상호 운영성을 발표했습니다. NAP, NAC에 대해 둘 중 한가지, 모두 사용했을 경우, 고객이 최상의 보안 상태를 보호받을 수 있도록 양측의 모듈을 연동하는 작업을 진행중에 있습니다. 이에 관련된 아키텍쳐와 프로세스는 관련 White Paper를 참고하시기 바랍니다.

차기 Windows Server인 CodeName LongHorn의 Public Beta 3 발표가 얼마 남지 않았습니다. 항상 보안에 대한 관리는 기본임과 동시에 발전적인 방향으로 나아가야 합니다. 조직내 보안을 담당하시는 분들께서는 지금쯤이면 네트워크 액세스 보호(NAP)에 대해서 조금은 관심을 가지실 때가 되지 않았나 생각합니다. 기본적인 이해를 바탕으로 차후 출시할 Windows Server CodeName LongHorn Beta 3 버전을 이용하셔서 조직내 보안 컴플리언스 관리에 있어 보다 향상되고, 안전한 관리적 가치를 느껴보시는 것이 어떨까요?