Protect Anywhere, Access Everywhere – Forefront Edge 1편, Forefront TMG의 통합 위협 관리(UTM)


Unified Security(통합 보안)과 관련된 세미나를 준비하면서, 만들어놓았던 데모 인프라가 없어지기 전에, 관련된 포스팅을 모두 해보겠다는 생각에.. 오늘은 Forefront Edge에 대한 이야기를 포스팅해볼려고 합니다.

Microsoft 통합 보안 전략의 기본 요소에는 무엇이 있을까요?
SAS(Security Assessments Sharing)? Microsoft 통합 보안 전략의 핵심…

앞선 몇개의 포스팅에서 Microsoft의 통합 보안은 인프라적으로는 크게 가장 바깥단(Edge), 서버단, 클라이언트단(EndPoint)로 나누어져 있습니다. 가장 바깥단에 배치될 수 있다고 생각하는 인프라는 방화벽(Firewall), 프록시(Proxy), 침입 탐지(IPS) 정도로 생각할 수 있는데요. 지금까지의 다양한 보안 솔루션은 각기 다른 장비 및 기술로 인해, 관리자가 다양한 분야를 관리해야 하는 부담이 있었습니다. 뿐만 아니라, 모바일 장치의 증가와 모바일 오피스 근로자가 늘어나면서, 내부 인프라가 아닌, 사외 인프라에서도 안전하게 내부 인프라에 접근할 수 있어야 하며, 마치 회사 내부에 있는 것과 마찬가지로 접근성에 제한이 없어야 한다는 요구사항이 생겼죠.

정리하면, 현재 네트워크 가장자리(Edge)에 배치될 다양한 솔루션에 요구되는 것은 언제 어디서든지 안전하게 내부 인프라에 접근 가능, 그리고 내부 인프라와 동일한 접근성 제공입니다. 어찌보면 조금은 이율배반적인 요구사항이지 않을까요?

불과 4-5년전까지만 하더라도, 보안의 핵심은 외부로부터의 위협 차단이 주목적이었습니다.(Block) 그렇지만, 지금은 외부의 위협 차단은 너무나 당연한 요소이며, 안전하게 내부에 있는 인프라를 외부의 적합한 사용자에게 제공하는(Enable) 것이 더 중요하다는 것이죠.

Microsoft의 Forefront 기술에서 이러한 목적은 크게 두가지 제품을 통해서 제공되고 있습니다. Forefront TMG, Forefront UAG..

2006년에 출시된 ISA Server 2006은 외부로부터의 위협 차단, 그리고 내부 인프라의 안전한 게시라는 두가지 요소를 다하고 있었지만, 2010년의 기술 로드맵에서는 두가지 요소가 분리되어, 외부 위협 요소의 차단은 Forefront TMG가 담당하며, 안전한 인프라의 제공은 Forefront UAG가 담당합니다.

Forefront-TMG10_h_rgb

먼저 Forefront TMG에 대해서 살펴보죠. 당연히 TMG의 경우에는 ISA Server 2006의 기술을 업그레이드하고, 추가적인 신규 기술을 탑재하였기에, ISA Server 2006에서 가능하던 요소는 모두 사용이 가능합니다. VPN 기술의 경우에는 Windows Server 2008에서부터 제공하던 SSTP VPN을 사용할 수 있게하였고, 지금부터 설명드릴 UTM(Unified Threat Management) 기술이 대폭적으로 추가되었습니다.

요사이 많이 발생하는 보안 이슈는 외부로의 공격도 공격이지만, 내부의 사용자가 적법한 방법론을 통해서 외부에 접근한 후, 모르는 사이 악성 코드가 내부로 유입되는 경우도 많으며, 뜻하지 않은 외부 장비가 내부 네트워크에 접속하여 사내 인프라를 위협하기도 합니다. 지금까지의 방화벽과 프록시의 요구사항에 몇가지가 더 필요하게 되었다는 의미입니다. 종종 들려오는 이야기에 따르면, 내부에서 외부로 HTTPS로 접속한 후, 악성 코드가 보안 채널을 통해 들어오는 경우도 많다고 하죠. HTTPS 연결의 경우, 잘 아시겠지만, Application Layer를 확인할 수 있는 장비 및 소프트웨어에서도 암호화가 되어져 있기에, 확인이 불가능하다는 것이 가장 큰 문제였습니다.

image

TMG의 경우에는 웹으로 접근하는 HTTP, HTTPS를 모두 확인이 가능하게 설계되어져 있으며, 이러한 웹 연결 패킷에 포함된 악성 코드도 확인할 수 있습니다. 그럼 어떠한 엔진을 통해서 악성 코드를 확인할까요?

image

Microsoft의 Security Response Center에서는 인터넷에 떠도는 다양한 위협 요소에 대한 대응, 그리고 고객의 피드백, 보안 업계의 조언을 바탕으로 악성 코드에 관련된 엔진을 배포하게 됩니다. 해당 엔진은 다양한 Microsoft의 보안 제품(Forefront EndPoint Protection, Server 제품군, 그리고 Security Essentials, Windows Defender)의 엔진으로 제공됩니다. 하루에도 적게는 몇번, 많게는 몇십번씩 업데이트가 제공될만큼 빠른 대응을 자랑합니다. TMG 역시 해당 엔진을 제공받아, 사용자가 내부에서 외부로 연결하는 웹 패킷에 대해서 악성 코드를 Application Layer에서 확인하게 됩니다. 엔진에 대한 업데이트 관리는 Microsoft Update를 직접 이용하거나, WSUS를 이용하여서 관리할 수 있습니다.

image

image

HTTPS의 경우에는 조금 다른 방식을 사용합니다.

image

HTTPS의 경우에는 실제 접속을 하고자하는 서버와 보안 채널이 만들어집니다만, TMG의 경우에는 위의 그림에서처럼, 중간 TMG가 웹 연결을 종단하게 됩니다. 이 경우, TMG에서는 클라이언트와 HTTPS 연결을 맺기 위한 인증서가 설치되게 됩니다. 클라이언트 입장에서는 웹 서버와 보안 채널을 맺는 것이 아니라, TMG와 보안 채널을 맺고, TMG가 다시 외부 웹 서버와 보안 채널을 맺는 것이죠. 이에 TMG에서는 HTTPS 패킷에 대해서도 검사가 가능해집니다. 인증 기관에 대한 신뢰 설정을 위해, TMG의 인증서를 액티브 디렉터리나 다른 방법을 사용하여, 클라이언트로 배포하는 방안도 고민하셔야겠죠.

image

image

이 경우, 개인 정보에 대한 의구심이 드실 수 있습니다. HTTPS를 사용하는 경우가, 대부분 개인 정보 및 중요한 보안 정보를 암호화해서 인터넷에서 노출되지 않게함이 목적인데.. TMG에서 확인하는 것이 문제가 되지 않을까? 당연합니다. 그렇지만 조직내 인프라의 주체는 개인 한명이 아닌, 조직 전체에 있습니다. 이에 개인 정보를 조직의 인프라에 확인하는 것은 문제가 되지 않는다고 합니다. 다만, 사용자에게 이러한 사실을 고지해야할 의무는 있습니다.

image

위와 같이 TMG의 설정을 해놓게되면, 사용자가 HTTPS로 외부 웹 서버에 연결했을 경우,

image

이를 사용자에게 고지합니다. Smile 이정도만이 아닙니다. 침입 탐지 및 방지 시스템을 기본적으로 탑재하고 있고, 이 역시 Microsoft에 제공하는 엔진을 기반으로 처리하게 됩니다.

image

Windows 플랫폼을 주축으로 하여, 보안 업데이트가 적용되지 않은 시스템에 대한 부분이나, 외부로부터의 위협에 대한 감지 및 이에 대한 방어를 엔진에 포함하여, 외부로 사용자가 접근시, 대상 서버에서 보안 취약점을 공격하는 코드나 내부 침입에 대한 방법론을 포함하고 있을 경우, 이를 파악하고 접속을 차단합니다.

앞서 포스팅한 SAS(Security Assessments Sharing)? Microsoft 통합 보안 전략의 핵심…에서 TMG가 사내 인프라에서 악성 코드를 가진 컴퓨터를 파악하는 것도 바로 TMG의 IPS(Intrusion Prevention System)입니다. Smile

image

image

여려 기술들에 대해서 동작 방식과 이에 대한 스크린샷을 포함하다보니, 포스팅이 길어졌네요. 어떠신지요? 사내 보안 관리가 더욱 강화되고, 편리해지실 것 같은 느낌이 오시나요? Forefront TMG는 단순하게 외부에 대한 방어, 내부에서 외부로 접근하는 것에 대한 프록시 및 캐싱을 넘어서, 다양하게 사내를 위협하는 요소들에 대해 통합으로 하나의 콘솔에 관리할 수 있는 UTM으로 제공되고 있습니다. 오늘은 열심히 막고, 차단하는 이야기만 드렸으니, 다음 포스팅에선 Forefront UAG를 통해 어떻게 안전하게 외부로 게시(Publishing)할지를 알아보겠습니다. Smile

Comments (0)

Skip to main content