04설치와 배치 — Gateway·Bridge·Proxy설치와 배치 — Gateway·Bridge·Proxy
DLP Software Blade를 어디에, 어떤 모드로 켤지를 정하고 실제로 동작하게 만드는 모든 과정을 정리하는 장입니다. 게이트웨이 설치부터 시작해 Trial 라이선스 활성화, Integrated/Dedicated 구성과 클러스터, Data Loss Prevention Wizard 의 각 옵션, Bridge Mode 배치, Active Directory·LDAP 연동, 그리고 Web Proxy 환경에서의 검사 구성까지 — 원문이 절차·표·주의로 나열한 내용을 빠짐없이 풀어 둡니다.
DLP Gateway 설치
DLP Gateway를 설치하는 자세한 방법 자체는 이 가이드가 다루지 않습니다. 설치 절차는 R82 Installation and Upgrade Guide 를 참고하세요. 게이트웨이 설치가 끝난 다음, 그 위에서 DLP Software Blade를 켜고 구성하는 일부터가 이 장의 범위입니다.
DLP Software Blade Trial 라이선스
DLP Software Blade에는 30일 평가(Trial) 라이선스 가 들어 있어, 정식 라이선스를 사기 전에 먼저 써 볼 수 있습니다.
Trial 라이선스를 활성화하는 방법은 간단합니다.
- SmartConsole 에서 해당 Security Gateway 객체를 열고 DLP Software Blade 를 선택합니다.
- SmartConsole 에서 그 DLP Gateway에 정책을 설치(install policy) 합니다.
평가 기간 동안 DLP Gateway에 정책을 설치할 때마다, Trial 라이선스 만료까지 며칠 남았는지를 알려 주는 경고 메시지 가 표시됩니다.
DLP Gateway·Security Cluster 구성
DLP는 두 가지 방식으로 배치합니다. Integrated 구성에서는 기존 Security Gateway의 여러 Software Blade 중 하나로 DLP Software Blade를 함께 켭 니다. Dedicated(전용) 구성에서는 개별 Security Gateway(또는 Security Cluster)에만 DLP Software Blade를 켜서 DLP 전용으로 씁니다.
클러스터에 DLP를 올릴 때는 두 가지를 꼭 기억해야 합니다.
Integrated 환경 구성
Integrated 환경에서는 다음 두 가지를 할 수 있습니다.
- 이미 있는 Security Gateway 또는 Security Cluster에 DLP Blade를 켜기
- 새 Security Gateway 또는 클러스터를 구성 한 뒤 거기에 DLP Blade를 켜기
기존 Security Gateway 또는 클러스터에 DLP를 켜는 절차는 이렇습니다.
- SmartConsole 을 열고 Security Gateway 또는 Security Cluster 객체를 엽니다. General Properties 페이지 가 보이는 Security Gateway 창이 열립니다.
- Security Cluster 인 경우, ClusterXL 페이지에서 High Availability 또는 Load Sharing 모드를 선택합니다. (앞서 말했듯 ClusterXL Load Sharing에서는 DLP 규칙의 Ask 동작이 지원되지 않습니다.)
- Software Blades 영역에서 Data Loss Prevention Software Blade를 클릭합니다.
이때 Data Loss Prevention Wizard 가 열립니다. 4. Data Loss Prevention Wizard를 끝까지 완료합니다(아래 DLP Wizard 참고). 5. 정책을 설치합니다(Install policy).
Dedicated 환경 구성
기존 Security Gateway 또는 Security Cluster 뒤에 전용 DLP Gateway를 두는 절차는 다음과 같습니다.
- 기존 Security Gateway 뒤에 개별 Security Gateway(또는 클러스터)를 설치 합니다.
- SmartConsole 에서 그 개별 Security Gateway 또는 클러스터를 위한 새 객체를 만듭 니다.
DLP Wizard {#dlp-wizard}
DLP Blade를 켜면 뜨는 Data Loss Prevention Wizard 는 DLP가 제대로 동작하는 데 필요한 핵심 정보를 한 번에 묻습니다. 마법사가 제시하는 옵션은 다음과 같습니다.
| 옵션 | 설명 |
|---|---|
| Email Domain in My Organization | 우리 조직의 도메인을 입력합니다. 그래야 DLP Gateway가 내부 이메일 주소와 외부 주소를 구분 할 수 있습니다. |
| Connect to Active Directory | DLP Gateway가 Active Directory 서버에 접근하도록 켭니다. 그러면 My Organization 정의를 채우는 사용자·사용자 그룹이 자동으로 채워지고 사용자 검증에도 쓰입니다. 지금 해도 되고 나중에 해도 됩니다(아래 AD·LDAP 구성 참고). |
| Activate DLP Gaia Portal for Self Incident Handling | 사용자가 스스로 사건을 처리하는 포털 포트를 활성화합니다. 기본 URL은 https://<DLP Gateway의 IP 주소>/dlp 입니다. |
| Mail Relay | 기존 네트워크 객체 목록에서 메일 서버를 고르거나, New 를 눌러 새 메일 서버(SMTP)를 정의합니다. 메일 서버가 DLP Gateway의 인증을 요구 하면 Authentication 드롭다운을 눌러 자격 증명을 입력합니다. 메일 서버가 Microsoft Exchange 라면, 그 Exchange 서버를 새로 만든 이 DLP Gateway의 SMTP Relay 로 설정 해야 합니다. |
| My Organization Name | 우리 조직을 식별하는 여러 이름·문구를 입력합니다. DLP 기능은 이 이름들로 데이터 유출 사건을 더 정확히 탐지 합니다. |
| Protocols | DLP 정책을 적용할 프로토콜을 선택합니다. |
마법사 완료 후
어떤 플랫폼의 DLP Gateway든 마법사를 끝낸 다음에는 Software Blade를 활성화하고 정책을 설치합니다.
- Data Loss Prevention Software Blade가 켜져 있는지 확인합니다.
- DLP Gateway의 토폴로지(topology)를 검토 합니다. DLP는 기본적으로 내부 네트워크에서 외부 네트워크로 가는 트래픽을 검사 하므로, DLP Gateway 인터페이스를 내부(internal)인지 외부(external)인지 올바르게 정의 해야 합니다. 이 정의는 SmartConsole의 Data Loss Prevention 탭에서 My Organization 을 정의할 때 할 수 있습니다.
- DLP Gateway에만 정책을 설치합니다.
- SmartConsole에서 정책을 설치합니다.
- Install Policy 창에서 DLP Gateways 를 선택 합니다.
Bridge Mode 구성 {#bridge-mode}
DLP는 Bridge Mode로 구성할 수 있으며, 이때 라우팅·IP 주소·VLAN 트렁크에 대해 이 절에서 설명하는 요구 사항을 지켜야 합니다.
현재 제약 사항
- 다리 인터페이스가 둘 이상인 환경 에서는, DLP Gateway가 같은 트래픽을 서로 다른 인터페이스에서 두 번 봐서는 안 됩니다. 트래픽이 한 브리지 세그먼트에서 다른 세그먼트로 흘러서는 안 됩니다.
- 브리지 간 라우팅(inter-bridge routing)은 미지원 입니다. 여기에는 VLAN 간 라우팅(inter-VLAN routing) 도 포함됩니다.
- 다리 인터페이스가 VLAN 트렁크에 연결 되면 모든 VLAN이 DLP 검사 대상 이 됩니다. 특정 VLAN만 빼는 것은 할 수 없습니다.
- 다리 인터페이스와 Layer3 인터페이스 사이의 라우팅 (양방향)은 지원되지 않습니다. 다리 인터페이스의 트래픽은 반드시 다리를 통과하거나 DLP Gateway 자신을 향한 것 이어야 합니다.
- R76부터 Bridge Mode DLP Gateway도 클러스터에 들어갈 수 있는데, High Availability 모드에서만 가능합니다. 다만 이 경우 Ask User 동작과 UserCheck Agent 는 지원되지 않 습니다.
- Bridge Mode DLP Gateway가 클러스터 뒤에 있다면, 그 클러스터는 High Availability 모드 여야 합니다.
- Bond High Availability(HA) 나 Bond Load Sharing(LS)(Link Aggregation 포함)은 다리 인터페이스와 함께 쓸 수 없습니다.
Bridge Mode에서 필요한 라우팅
DLP Gateway와 필요한 서버들 사이에 경로(route)가 있어야 합니다.
- Security Management Server
- DNS server
- Mail server — SMTP Relay 서버를 Security Gateway와 함께 쓰도록 구성한 경우
- Active Directory 또는 LDAP server — Security Gateway와 함께 쓰도록 구성한 경우
또한 기본 경로(default route)가 반드시 있어야 합니다. 이것이 유효한 경로가 아니라면, 적어도 ARP 요청에 응답하는 서버에는 닿아야 합니다. UserCheck 를 켰다면 DLP Gateway와 네트워크 사이의 라우팅을 구성합니다.
Bridge IP 주소 구성
다리 인터페이스는 IP 주소 없이도 구성 할 수 있습니다. 단, UserCheck Client 와 DLP Portal 에 연결할 다른 인터페이스가 Security Gateway에 따로 구성되어 있어야 합니다.
필요한 VLAN 트렁크 인터페이스
- VLAN 트렁크에 DLP Gateway를 묶으려면 단 하나의 다리 인터페이스 를 구성해야 합니다.
- 다리에 IP 주소를 구성하는 경우, 그 IP는 다리를 통과하는 어떤 네트워크에도 속하지 않아야 합니다. 사용자는 DLP Gateway의 다리 인터페이스로 트래픽이 흐르는 경로 를 가지고 있어야 하며, Security Gateway는 이 트래픽을 처리하고 원래 트래픽과 같은 VLAN으로 응답 합니다.
- VLAN 트렁크 인터페이스에서는 필요한 브리지 라우팅을 위해 다른 인터페이스 하나를 관리(management) 인터페이스 로 구성해야 합니다.
Active Directory·LDAP 구성 {#ad-ldap}
DLP Gateway가 Microsoft Active Directory 또는 LDAP 서버에 접근하도록 구성하면 다음을 할 수 있습니다.
- DLP Portal 에 Active Directory 자격 증명으로 인증
- UserCheck 에 Active Directory 자격 증명으로 인증
- DLP 정책에 쓸 Active Directory 또는 LDAP 그룹 정의
- My Organization 객체 정의
Active Directory 도메인에 속한 컴퓨터에서 마법사를 실행하면, Data Loss Prevention Wizard가 LDAP account unit 을 자동으로 만들기 위해 Active Directory 자격 증명을 묻습니다. AD 도메인의 컴퓨터에서 마법사를 다시 실행해 LDAP account unit을 만들 수도 있습니다.
절차
- Active Directory 도메인의 멤버인 컴퓨터에서 DLP Gateway 객체를 만듭니다.
- Active Directory 페이지에 Active Directory 자격 증명을 입력합니다. 관리자 권한 자격 증명일 필요는 없 습니다.
Active Directory 서버가 여러 대 라면 추가로 다음을 합니다.
- 생성된 account unit을 검토합니다.
- 불필요한 서버를 제거 합니다.
- 모든 서버에 적절한 우선순위(priority)를 부여 합니다.
LDAP account unit이 더 필요하면 직접(수동) 만들 수 있습니다. 자세한 방법은 R82 Security Management Administration Guide 를 참고하세요.
Data Loss Prevention Wizard 다시 실행하기
AD 도메인에 속하지 않은 컴퓨터에서 DLP Wizard를 실행했다면, 나중에 AD 도메인의 컴퓨터에서 다시 실행 해 LDAP account unit을 만들 수 있습니다.
DLP Wizard를 다시 실행하는 절차는 이렇습니다.
- SmartConsole에서 Gateways & Servers 를 클릭하고 해당 Security Gateway를 더블 클릭합니다. General Properties 페이지가 보이는 Security Gateway 창이 열립니다.
- Data Loss Prevention Software Blade의 선택을 해제 합니다.
- Data Loss Prevention Software Blade를 다시 선택 합니다. 그러면 Data Loss Prevention Wizard가 시작됩니다.
Web Proxy 구성 {#web-proxy}
HTTP·HTTPS 트래픽에 Web Proxy 서버를 쓰는 환경 에서, DLP Gateway가 그 트래픽까지 검사하게 하려면 따로 구성해야 합니다.
아래 절차는 프록시가 DLP Gateway와 인터넷 사이에 있거나 DMZ에 있을 때 쓰는 방법입니다.
R75 이상 DLP Gateway 구성
프록시 구성은 환경에 따라 갈립니다.
- DLP Gateway와 인터넷 사이에 Web 프록시 서버가 하나 면 — Procedure 1 또는 Procedure 2 중 하나를 씁니다.
- 프록시가 둘 이상 이면 — Procedure 2 를 씁니다.
- Procedure 1과 2를 둘 다 구성 하면, DLP Gateway는 Procedure 1에 지정되지 않은 어떤 Web 프록시로 보내진 HTTP·HTTPS 트래픽도 드롭(drop) 합니다.
Procedure 1
- SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블 클릭합니다. General Properties 페이지가 열립니다.
- 내비게이션 트리에서 Data Loss Prevention > Protocols 를 클릭합니다.
- 이 Security Gateway 또는 기본 프로토콜에 대해 HTTP 가 선택되어 있는지 확인합니다.
- 내비게이션 트리에서 Network Management > Proxy 를 클릭합니다.
- 프록시 서버 설정을 구성합니다.
- Global Properties 에 구성된 프록시를 쓰려면 — Use default proxy settings 를 클릭합니다.
- 이 Security Gateway 전용 프록시를 쓰려면 — Use custom proxy settings for this network object 를 클릭하고, Use proxy server 를 클릭한 뒤, Web 프록시 서버의 IP 주소와 Port 를 입력합니다.
- OK 를 클릭합니다.
- Install Policy 를 실행합니다.
이렇게 하면 DLP는 지정된 Web 프록시로 가는 트래픽만 검사 합니다.
Procedure 2
- SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블 클릭합니다. General Properties 페이지가 열립니다.
- 내비게이션 트리에서 Data Loss Prevention > Protocols 를 클릭합니다.
- 이 Security Gateway 또는 기본 프로토콜에 대해 HTTP 가 선택되어 있는지 확인합니다.
- 내비게이션 트리에서 Network Management > Proxy 를 클릭합니다.
- Use custom proxy settings for this network object 를 클릭합니다.
- Use proxy server 를 클릭합니다.
- Web 프록시 서버의 IP 주소와 Port 를 입력합니다.
- OK 를 클릭합니다.
- Install Policy 를 실행합니다.
Pre-R75 DLP Gateway 구성
R75 이전 버전의 DLP Gateway에서, DLP Gateway와 인터넷 사이에 Web 프록시가 하나 면 다음 Procedure 1 을 씁니다.
Procedure 1
- SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블 클릭합니다. General Properties 페이지가 열립니다.
- 내비게이션 트리에서 Data Loss Prevention > Protocols 를 클릭합니다.
- 이 Security Gateway 또는 기본 프로토콜에 대해 HTTP 가 선택되어 있는지 확인합니다.
- 내비게이션 트리에서 Network Management > Proxy 를 클릭합니다.
- 프록시 서버 설정을 구성합니다.
- Global Properties의 프록시를 쓰려면 — Use default proxy settings 를 클릭합니다.
- 이 Security Gateway 전용 프록시를 쓰려면 — Use custom proxy settings for this network object → Use proxy server 를 클릭하고 프록시의 IP 주소와 Port를 입력합니다.
- OK 를 클릭합니다.
- SmartConsole에서 정책을 설치합니다.
이렇게 하면 DLP는 지정된 Web 프록시로 가는 트래픽만 검사합니다. Web 프록시가 둘 이상이면, DLP Gateway를 프록시들과 인터넷 사이에 둡 니다.
내부 Web Proxy를 위한 DLP 구성
DLP Gateway가 Web(HTTP) 프록시 서버(들)와 인터넷 사이에 있을 때 는 다음 절차를 씁니다.
- SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartConsole이 DLP 탭을 엽니다.
- 내비게이션 트리에서 Additional Settings > Protocols 를 클릭합니다.
- HTTP 를 클릭합니다 — 이 Security Gateway에 대해, 또는 기본 프로토콜에 대해 선택합니다.
- OK 를 클릭합니다.
- 내비게이션 트리에서 My Organization 을 클릭합니다.
- Networks 영역에서 Select specific networks and hosts 가 선택되어 있다면 다음을 합니다.
- Edit 를 클릭합니다.
- Networks and Hosts 창에서 내부 Web Proxy가 목록에 있는지 확인합니다. 없으면 Add 를 클릭해 내부 Web Proxy 객체를 선택합니다.
- OK 를 클릭합니다.
- Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
- SmartConsole에서 정책을 설치합니다.
관리 서버 업그레이드 후 Proxy 설정
R70 이하에서 업그레이드한 Security Management Server에서는, DLP Gateway를 거쳐 Web 프록시로 가는 트래픽의 출발지 주소가 원래 클라이언트 IP가 아니라 Security Gateway의 IP 로 들어갑니다. 신규 설치나 R71에서 업그레이드한 설치에서는 원래 클라이언트 IP가 그대로 쓰입니다.
이 문제가 왜 중요하냐면, Security Gateway의 IP가 출발지로 찍힌 트래픽이 트래픽을 로깅하거나 신원(identity) 기반으로 접근을 집행하는 다른 Security Gateway 에 도달하면, 그 출발지 IP가 실제 사용자의 IP를 나타내지 못 하기 때문입니다.
DLP Gateway를 떠나는 트래픽에 클라이언트의 IP를 출발지로 쓰게 하려면 다음을 합니다.
- SmartConsole 컴퓨터에서 다음을 실행합니다.
C:\Program Files\CheckPoint\SmartConsole\R80.30\PROGRAM\Database Tool (GuiDBEdit Tool).exe
- SmartConsole 자격 증명으로 로그인합니다.
- 왼쪽 창에서 Table > Network Objects > network_objects 를 선택합니다.
- 오른쪽 창에서 해당 DLP Gateway 를 선택합니다.
- 아래 창의 Field Name 열에서 firewall_settings 를 선택합니다.
- http_unfold_proxy_conns 속성을 true 로 바꿉니다.