Protect Anywhere, Access Everywhere – Forefront Edge 2편, Forefront UAG의 세분화된 보안(Granular Security) 관리


지난 Protect Anywhere, Access Everywhere - Forefront Edge 1편, Forefront TMG의 통합 위협 관리(UTM)에서는 Forefront TMG의 통합 위협 관리(UTM) 이야기를 나눠보았는데요. 오늘은 Network Edge 기술의 이어지는 이야기로 Forefront UAG의 세분화된 보안(Granular Security) 관리를 살펴보겠습니다.

Forefront-UAG10_h_rgb

사내 인프라로 접근하고자하는 다양한 외부 장치들이 있죠. 요새 세미나에서 많이 언급드린 내용이지만, 2015년정도가 되면 가트너 조사결과 150억대의 장치가 인터넷에 접속해서 웹 환경을 이용할 것이라 예상하고 있습니다. 사내 인프라를 안전하게 지키는 것과 더불어, 외부에서 마치 내부와 동일한 사용자 경험을 제공할 수 있는 접속 환경을 만들어주는 것도 IT(보안) 담당자의 큰 미션으로 부각되고 있습니다.

인터넷에서 사내로 접속하는 장치들은 크게 2가지로 구분됩니다. 회사에서 관리를 받고 있는 장치가 외부로 나가있는 경우(근로자의 랩탑이 대표적, 관리 가능한 모바일 장치 - 외람된 이야기지만, Windows 모바일 계열은 System Center Mobile Device Manager로 관리가 가능합니다), 그리고 회사에서 전혀 관리를 할 수 없는 장치가 접속하는 경우(PC방, 집이 대표적)입니다.

이 두가지 유형의 장치가 내부 인프라에 접근할 때 보안 관리자는 여러 고민에 빠지게 됩니다. 이 장치를 신뢰할 수 있을까? 이 장치가 우리 조직에서 요구하는 최소한의 보안 정책(방화벽, 안티 멀웨어, 각종 플랫폼 설정)을 따르고 있을까? 조금더 일상적인 예로 바꾸면.. 안티 멀웨어 기술이 설치되지 않은 운영 체제에서 업로드하는 파일(메일에 첨부도 포함)은 신뢰할 수 없는 것과 같습니다.

지금까지의 보안 기술은 대부분, 막을 것이냐(Block), 열 것이냐(Enable)를 생각하지만, 이제 열 것이냐? 에 대해서도 어떻게 열 것인가를 나눌 수 있어야 합니다. 이를 Granular Security(세분화된 보안 관리)라고 부릅니다.

Forefront UAG의 경우에는 이러한 세분화된 보안 정책 설정이 가능합니다. Forefront UAG는 SSL VPN과 유사한 형태로 내부 인프라로의 접근을 제공합니다. SSL VPN은 별도의 클라이언트를 이용하여 접근하지만, Forefront UAG는 SSL 포탈을 제공하여 사용자가 접근을 할 수 있게 합니다.

imageimage

최초 사용자가 포탈에 접근할 경우, 위의 그림의 끝점 준수(엔드포인트 보안 확인)를 확인하여, 사내에서 설정한 보안 정책에 맞지 않으면, 접속을 차단할 수 있습니다. 이러한 액세스 정책 요구 사항으로 설정할 수 있는 부분은 대부분의 기본적인 보안 확인 사항을 반영할 수 있습니다. Forefront UAG의 기본 관리에서

image

기본 포탈의 세션 접근 정책내에 Firewall is enabled라는 정책을 설정한 것을 보실 수 있습니다. 어떻게 만들어졌는지를 살펴보면..

image

Any Personal Firewall이라고 설정된 부분이 방화벽을 확인하는 정책인 것입니다. 필요하다면, 여러 설정을 동시에 적용할 수 도 있습니다. 이러한 보안 설정은 Windows 플랫폼뿐만 아니라, Mac, Linux까지도 확인이 가능한 것을 보실 수 있습니다. Microsoft 인프라를 사용하시는 분들께서는 미리 UAG에서 생성되어져 있는 기본 정책 템플릿을 이용할 수 있습니다.

image

역시나 어느 정도 감이 오셨죠? 이렇게 설정 가능한 정책은 기본적인 보안을 확인할 수 있는 대부분을 손쉽게 설정하실 수 있으며, WMI에 대한 지식이 조금 있으시다면.. WMI 쿼리를 이용하여, 다양한 분야의 플랫폼 보안을 확인하실 수 있습니다. 중요한 점은 단순하게 하나의 장소에서만 확인하는 것이 아니라, 포탈에 접속할 때, 사내 인프라에 접속하거나, 이용하는 시나리오 별로 적용이 가능하다는 것입니다.

image

기본 포탈 접속 정책에 맞고, 계정 인증을 통과하여, 포탈에 접속하였을 때도, 현재의 보안 상태에 따라서 접속 가능한 인프라를 구분지을 수 있습니다. 위의 그림에서는 Remote Desktop to DC라는 항목은 제가 안티 바이러스 프로그램이 설치되어져 있어야만 접근할 수 있게 해놓았으므로, 현재 보안 정책 요구 사항에 맞지 않아서 접속이 안되다는 메시지를 볼 수 있습니다.

image

물론, 이 웹페이지는 모두 커스터마이징이 가능하고, 원하는 형태로 수정/추가할 수 있습니다. 그리고 UAG에서 제공 가능한 내부 인프라는 거의 99% 모든 인프라에 대해서 UAG 포탈에서 보안 확인 후, 접속을 시킬 수 있습니다. 모든 접속은 HTTPS 기반으로 이루어지고요.

image

Exchange Server OWA로의 접근에 대해서는 앞서 언급드린 데로, 파일을 첨부하거나(Upload), 첨부된 파일을 내려받거나(Download), 즉 상황에 따라서 별도의 보안 정책을 반영할 수 있습니다. 이경우, 파일을 첨부하려고 할 때, 보안 정책 요구 사항에 맞지 않으면 기능을 사용할 수 없죠. 파일 서버에 대한 접근도 동일하게..

image

image

Forefront UAG는 NAP(Network Access Protection)과의 연동을 통하여, 접속시 통과를 하였더라도, 사용자의 고의 또는 어떠한 연유로던 보안 사항이 위배되면, 다시 네트워크를 격리하는 설정을 하실 수도 있습니다.

스크린샷이 많다보니, 또 내용이 길어져가네요. 언제나 하나의 포스팅에서 하나의 기술을 정리하는 것은 꽤 긴 이야기가 필요한 것 같습니다. Smile 마지막으로 Forefront UAG의 중요한 기술은 바로 DNS64, NAT64입니다. 자세한 포스팅은 역시나 시간이 허락할 때 별도로 할 예정입니다만, 간단하게 말씀드리면, Windows Server 2008 R2와 Windows 7에서 제공하는 엔터프라이즈 기술중 DirectAccess가 있습니다. DirectAccess를 통해 접속 가능한 내부 인프라는 IPv6를 지원해야 합니다. 그러나 이를 지원하지 않는 레가시 시스템, 또는 너무 많아서 IPv6 설정이 내부에 모두 하기가 어려운 경우, NAT64와 DNS64를 이용하여 처리할 수 있는데요. 바로 Forefront UAG에 DNS64, NAT64가 구현되어져 있습니다. 두 기술이 필요한 DirectAccess 시나리오에서는 Forefront UAG가 설치되어야 합니다. 자세한 기술 이야기는 본사의 해당 팀 블로그 포스팅을 링크합니다.

image

Forefront TMG가 내/외부 위협 요소를 방어할 수 있는 부분이라면, Forefront UAG는 내부 인프라를 외부에서 접속하는 장치의 보안 형태에 따라 세밀하게 구분하여 제공할 수 있는 게시(Publishing) 기술을 제공합니다. 접속시 사용하는 통신 기술은 HTTPS 터널을 사용하니, 접속의 편리함도 보장을 하면서 말이죠. Microsoft의 Network Edge 보안 기술은 다양한 고객층, 업계에서 요구하고 있는 사항들을 기술적으로 안전하면서도 편리하게 구현하기 위해 노력한 흔적을 다양한 곳에서 찾아볼 수 있습니다. Smile

Comments (0)

Skip to main content