04설치와 배치 — Gateway·Bridge·Proxy설치와 배치 — Gateway·Bridge·Proxy

소개에서 본 두 배치 중 Integrated는 기존 Security Gateway에 DLP Blade를 함께 켜 고, Dedicated는 전용 게이트웨이에만 켭니다. SmartConsole에서 게이트웨이/클러스터 객체를 열어 Software Blades 의 Data Loss Prevention 을 누르면 Data Loss Prevention Wizard가 떠 설정을 묻습니다(빠른 시작). 클러스터에서 켜면 모든 멤버에 한꺼번에 적용 됩니다.

클러스터에는 주의할 점이 둘 있습니다. ClusterXL Load Sharing 에서는 Ask 동작을 지원하지 않 으므로, 정책이 Detect·Inform·Prevent만 쓸 때 DLP가 동작합니다. 또 상태 동기화가 2분 간격 이라, 페일오버가 나면 새 Active 멤버가 직전 2분의 DLP 사건을 모를 수 있습니다.

Dedicated DLP Gateway는 Bridge Mode로 두는 것이 권장 됩니다. 다리는 L2 장치처럼 동작해 네트워크 라우팅에 투명 하므로, 기존 토폴로지를 건드리지 않고 끼워 넣을 수 있습니다. 다만 제약이 분명합니다 — 같은 트래픽을 두 인터페이스에서 두 번 봐선 안 되고, bridge 간 라우팅(VLAN 간 포함)은 미지원 입니다. VLAN 트렁크에 연결하면 모든 VLAN이 검사 대상이 되어 특정 VLAN만 빼는 것은 안 되며, bridge와 Layer3 인터페이스 사이 라우팅도 지원하지 않습니다.

본격 차단 전에 정책을 집행하지 않고 데이터 유출 실태만 먼저 파악 하고 싶다면 Mirror Port Mode 가 유용합니다. DLP Gateway를 스위치의 SPAN 포트에 연결하면 통과하는 모든 패킷의 사본을 받 아 SMTP·HTTP 스트림을 재구성하고 DLP 엔진으로 검사하되, 실제 트래픽은 건드리지 않습니다. 최소한의 구성 위험으로 전체 아웃바운드 트래픽을 평가 하기에 좋습니다. Gaia에서는 Monitor Mode가 필요하며(sk70900), R77.10 이상은 인터페이스를 monitor/tap으로 잡으면 기본으로 켜집니다.

대부분 조직은 사용자·그룹을 Active Directory 같은 LDAP 서버 로 관리합니다. DLP Gateway를 AD에 연결하면 사용자와 그룹이 자동으로 My Organization 정의를 채우 고 사용자 검증에도 쓰입니다(Out of the Box). 이 연결은 마법사에서 지금 하거나 나중에 해도 됩니다.

HTTP·HTTPS 트래픽이 Web Proxy를 거쳐 나가는 환경 이라면, 그 트래픽을 검사하도록 게이트웨이를 따로 구성해야 합니다. 프록시가 DLP Gateway와 인터넷 사이 또는 DMZ에 있을 때, Data Loss Prevention > Protocols 에서 HTTP를 켜고 Network Management > Proxy 에서 프록시를 지정합니다. 프록시가 DMZ에 있으면 사용자망과 프록시 사이 HTTP 트래픽을 DLP로 검사 하는 것이 모범 사례입니다. 암호화된 HTTPS까지 보려면 HTTPS Inspection을 함께 켭니다. 절차가 길고 세부적인 부분은 원문을 참고하세요.