Microsoft 통합 보안 전략의 기본 요소에는 무엇이 있을까요?


오랜만에 기술적인 이야기를 드리는 포스팅을 쓰는 것 같습니다.

오늘은 통합 보안의 주요 기술인 SAS(Security Assessments Sharing)을 포스팅하기 전, Microsoft가 보안 플랫폼에서 어떠한 기본 플랫폼을 가지고 있는지를 먼저 살펴보려고 합니다. Smile Forefront로 시작하는 제품군이 너무너무 많아서, 도대체 이것들이 뭐하는 것이니? 라는 질문을 꽤 많이 받았기에 이에 대한 정리성 포스팅으로 생각하시면 됩니다. 개별적 기술의 세부 사항은 또다른 포스팅을 해야할 것으로 보입니다. 기본적인 소개 포스팅 이 자체만도 상당히 길어질 것 같기에.. ㅜㅜ

image

제가 2006년도 즈음부터 사용했던 통합 보안 포트폴리오입니다. 위의 그림은 그당시의 제품군의 이름이 명시되어져 있습니다만, Microsoft는 Security를 꽤 긴 시간동안 단품 기술(Silo)가 아닌, 통합, 연동(Unified, Integrated)된 형태로 바라보고 있었습니다.

자 그럼 2010년도 상반기의 모습은 어떨까요?

Microsoft의 보안 로드맵에는 크게 6가지 정도의 영역이 있습니다.

  1. Network Edge
  2. Server Security
  3. EndPoint(Client) Security
  4. Identity Security
  5. Information Protection
  6. Integrated, Unified Technology

Forefront-TMG10_h_bLForefront-UAG10_h_bL

먼저 네트워크의 가장 바깥단(Edge)을 책임지고 있는 Forefront TMGForefront UAG가 여기에 해당됩니다. 네트워크의 가장 자리에 배치되는 기술은 How to defence(어떻게 막을 것인가)와 How to Publish(어떻게 게시할 것인가)를 고민하게 되는데, 통합 위협 관리(UTM)적인 요소를 TMG가 맡고 있으며, 엔드포인트의 보안 상태에 따라 각기 다른 보안 설정을 적용하여 안전하게 외부로 인프라의 노출을 책임지는 UAG로 나눠져 있습니다. TMG의 경우에는 이전의 ISA Server 2006의 최신 버전이며, UAG의 경우에는 기존 IAG Server 2007의 최신 버전입니다. 두 제품 모두 현재 출시된 상태이며, 사용이 가능합니다. 어제 네트워크 전문가 따라잡기 커뮤니티에서 발표드렸던 내용이 이 두가지 기술에 Microsoft가 하고자 하였던 부분이 무엇인지를 언급드렸습니다.

Forefront-Protect10-ExchSrvr_h_rgbForefront-Sec10Sharept_h_rgbForefront-Sec10-OCS_h_rgb

두번째 영역은 바로 서버(Server)에 대한 영역입니다. 사내의 인프라에는 지식 근로자분들을 위한 다양한 서버가 배치되어져 있습니다. Microsoft의 인프라에는 Exchange Server(메시징), SharePoint(포탈), Office Communication Server(IM)이 여기에 해당됩니다. 사내의 인프라에도 기본적인 보안 적용 방안이 필요합니다. 메시징에는 많은 양의 스팸과 메일에 첨부된 여러 파일에 대한 검사가 필요하며, 포탈 역시 사용자 분들께서 어떠한 형태로든 이용이 가능하므로, 추가적인 보안 감지 방안이 필요하다는 것이죠. 이에 대해 Forefront Protection for Server의 컨셉으로 기술을 제공하고 있습니다. Exchange Server 2007과 2010을 지원하는 FPOE(Forefront Protection for Exchange)는 이미 Exchange Server 2010과 함께 출시되었으며, SharePoint 2007과 2010을 지원하는 FPOS(Forefront Protection for SharePoint)는 SharePoint 2010이 출시되는 금년 5~6월중에 출시될 예정입니다.

Forefront-OPExch_h_rgb

또한 사내의 보안 서버의 적용이 어려우신 케이스에 대해서는 온라인 서비스의 형태로 보안 솔루션을 제공해드리기도 합니다. FOPE(Forefront Online Protection for Exchange)가 이에 해당됩니다.

Forefront-EndptProt10_h_rgbWS08-NAP_h_rgb[4]

세번째 영역은 사용자 분들이 직접 사용하는 클라이언트, 다시 말해 엔드포인트(EndPoint)에 대한 보안 영역입니다. 여기에는 기본적으로 안티 멀웨어(안티 바이러스, 안티 스파이웨어)가 해당됩니다. 기존의 Microsoft의 솔루션으로는 Forefront Client Security가 이에 해당되었으며, FCS v1의 차기 버전이 FEP(Forefront Endpoint Protection)이라고 생각하시면 됩니다. 이 역시 금년 5~6월 중에 릴리즈될 예정입니다. FEP의 경우에는 단순히 안티 멀웨어 기술만을 제공하는 것이 아니라, 클라이언트의 보안 상태(보안 업데이트, Windows 방화벽 설정, Windows 기본 보안 설정 상태)를 확인하여 이를 활용할 수 있게 합니다.

Windows Server 2008 시절 엔드포인트 보안의 지속적인(Ongoing) 모니터링 및 대응을 위한 인프라로 NAP(Network Access Protection)을 소개해드렸습니다. FEP 역시 NAP과의 연동을 통해, 클라이언트의 보안 상태에 따라 네트워크를 격리할 수 있는 방법론을 제공해드립니다.(Internet Explorer에서 옵션 하나를 조직의 정책에 맞게 설정하지 않았을 경우까지도 가능합니다.)

image

위의 그림에서 확인이 가능한 것처럼, 사용자가 IE의 스마트스크린이나 피싱 필터를 껐을 경우에 네트워크를 격리할 수 있는 형태로 연결이 가능한 것을 보실 수 있습니다. 이런 형태로 연동이 가능한 Windows의 기본 보안은 계정 상태, BitLocker, DEP 설정, 파일 시스템의 권한 상태, IIS 설정, IE, Office, 이동식 저장소, 다시 시작 정책, 서비스 상태, SQL, UAC, 이벤트 여부까지 가능합니다. 유심히 생각해보시면.. Windows에서 정책적으로 적용해야 하는 보안 컴플라이언스를 거의 100% 커버링할 수 있겠다는 생각을 가지실 수 있습니다.

WS08-ActiveD_h_rgbForefront-IdentityMgr10_h_rgb

네번째 영역은 바로 Identity 계정에 대한 영역입니다. Microsoft 플랫폼에서 Identity는 기본적으로 Windows Server의 Active Directory 기반에서 동작하게 됩니다. 조직내 인프라에서 모든 계정이 전부다 하나의 플랫폼에 저장되어 있는 경우는 매우 드뭅니다. SQL Server, LDAP DB, 또다른 무언가에 ID/Password 형태로 저장이 되게 되며, 조직내 인프라의 모든 게정을 유기적으로 동기화하고, 이를 상호간의 연결해주며, 사용자가 Self-Service적인 형태로 웹 페이지에 접근하여, 그룹을 만들고, 그룹의 소속원을 관리하는 것도 많이 요구되고 있습니다. 이 모든 요구 사항을 IT 관리자가 직접 대응한다면, 업무 부하가 엄청나겠죠. Identity에 대한 연동 및 조직화(Orchestration)을 책임지는 기술로는 Forefront Identity Manager(기존 ILM)이 있습니다. FIM의 경우, 조직내에서 Identity를 저장하기 위해서 사용하는 대부분의 기술을 상호 연계하여 사용하실 수 있으며, FIM Portal을 제공하여, 관리자가 아니더라도, 그룹이나 Identity가 필요한 사용자에 대해 웹 사이트에서 처리를 가능하게 해줍니다.

비즈니스의 요구 사항에 따라 B2B, B2C 시나리오가 많이 요구되고 있습니다. B2B, B2C 시나리오에서 Identity를 누가 관리할 것인가는 항상 IT 관리자의 고민입니다. 보통 리소스를 제공하는 조직에서 이에 대한 계정을 파트너나 고객을 위해서 제공하고 있습니다만, 제공된 계정이 어떠한 형태로 이용될 것인지는 관리가 어렵습니다. 왜냐면 실제 사용하는 대상은 리소스를 가진 조직이 아닌 경우가 대부분이기 때문입니다. 계정을 제공받은 사람이 퇴사하였는지, 그리고 B2B 비즈니스 기간이 종료되어 더이상 제공을 해야할지 여부, 계정을 제공받은 사람만이 이용하는지는 관리가 어려운 것이 좋은 예라고 생각합니다. 이에 대한 해결책으로 Windows Server 2003 R2에서 처음 소개된 ADFS(Active Directory Federation Services)가 제시되고 있습니다. ADFS를 통하여 Identity에 대한 관리 주체를 실제 사용자가 소속된 조직으로 이관함으로서, 보안을 향상시킬 수 있겠죠. Windows Server 2008 R2까지 ADFS 1.0을 기본적으로 탑재하여, WS-*(웹 환경) 기반의 Trust를 구성하실 수 있습니다.

클라우드 서비스에 대응하기 위해, 다양한 Identity를 연계하고자 하는 모습이 여러 곳에서 보이고, 이를 커버하기 위해, ADFS의 확장이 필요하였습니다. 이러한 Identity에 대한 기반(Foundation)을 프레임워크화시키고, 클라우드의 다양한 서비스와 Identity를 연계할 수 있는 무언가가 필요해졌다는 의미입니다. 이를 위해 ADFS 2.0을 코드네임 Geneva(팀블로그)라는 이름하에 개발을 시작하였고, 현재 2.0 RC까지 도달한 상태입니다.

image

다섯번째 영역은 정보에 대한 보안(Information Protection)입니다. IRM(Information Right Management), DRM(Data Right Management)라고 부르는 것이 여기에 해당됩니다. 단순하게 데이터 하나에 대한 보안을 적용하는 것뿐만 아니라, 2008년도에 가장 많이 발생한 보안 사고중 하나인 장비 도난, 분실에 대한 보안도 해당됩니다.

image

Windows Vista부터 BitLocker라는 기술을 통해 Laptop에 대한 분실, 데스크톱에 대한 도난시 하드디스크를 분리하여도 해당 데이터를 사용할 수 없게 하는(암호화해놓는) 기술을 제공하고 있었으며, Windows 7에서는 Bitlocker to Go라는 이름으로 이동식 저장 장치(USB, 외장형 하드 디스크)에 대해서도 보안 기술을 제공하였습니다. Windows Device Control을 이용하여 Windows에 이동식 저장 장치가 연결되었을 경우, 이를 사용하게 할 것인지, 단순히 읽기만 하게 할 것인지도 그룹 정책을 이용하여 반영할 수 있었죠.

Windows Server의 RMS(Right Management Service)를 활용하여 Office 문서에 대한 보안, 메일 하나에 대한 보안을 적용할 수 있는 것도 2003년 즈음부터 제공하고 있었습니다. 물론 ADFS를 통하여 B2B간에서도 RMS를 확장하여 적용할 수 있도록 2008에서 업그레이드되었고요.

Forefront-ProtectionMgr10_h_rgb

여섯번째로 언급한 통합, 연동 보안 기술은 다음 포스팅으로 미루고자 합니다. 이 자체만으로도 꽤 긴 이야기를 드려야하거든요. 살짝만 언급해드리면, FPM(Forefront Protection Manager, Codename Stirling – 2007년 TechED에서 처음 발표)이 해당 역할을 담당하게 되며, 여기의 중요한 보안 기술로는 SAS(Security Assessments Sharing)이 들어가게 됩니다.

자.. 어떠신가요? 생각보다 정말 많죠? 어떤 생각이 드시나요? 공부할게 참 많다~ 라는 생각이 첫번째로 드실거라 생각합니다. 꼬알라 역시 통합 보안에 대한 이야기를 세미나나 여러 자리에서 드릴때.. 데모 환경 하나 꾸미는 것도 1-2시간에 완료되기 참 어려운 실정입니다. (16G인 데모서버의 메모리가 부족할 정도니.. ㅜㅜ) 그러나, 이 포스팅으로 아.. 이 제품이 뭐하는 놈이구나 정도는 아셨으면 좋겠습니다 Smile

image

지난 4-5년동안 보안의 기본적인 생각이 방어(Block)에서 안전한 사용(Enable)로 바뀌었고, 단품 기술이었던 보안이(Silo) 상호 유기적인(Seamless) 연동을 시장에서 요구하고 있습니다. 이러한 흐름은 가격 위주(Cost)의 보안 접근에서 보안에 대한 플랫폼적인 접근으로 바뀌고 이에 대한 전반적인 가치(Value)를 바라보고 있기 때문이죠. 이러한 큰 그림에서 보안을 접근하고 있는 벤더는 Microsoft가 유일합니다.

생각보다 이야기가 참 길었습니다. 다음 포스팅에서는 FPM을 통한 상호 연동 및 통합 이야기를 드려보죠~! Smile

Comments (0)

Skip to main content