목차/06. HTTPS Inspection 설정

06HTTPS Inspection 설정HTTPS Inspection 설정

오늘날 인터넷 트래픽의 대부분은 SSL(Secure Sockets Layer) 로 암호화돼 데이터의 기밀성과 무결성을 지킵니다. 그런데 같은 암호화가 양날의 검 입니다. 게이트웨이는 암호화된 채널 안을 들여다볼 수 없으므로, 불법적인 사용자 활동이나 악성 트래픽이 바로 그 HTTPS 터널 속에 숨어 흐를 수 있습니다. 데이터가 HTTPS로 새어 나가거나 위협이 암호화된 채로 들어오는 것을 막으려면 HTTPS Inspection 이 필요합니다. 이 장은 HTTPS Inspection이 왜 필요하고 어떻게 동작하는지, Outbound·Inbound 검사를 게이트웨이에 어떻게 설정하며, CA 인증서를 만들고 내보내고 배포하는지, HTTPS Inspection Rule Base를 어떻게 설계하고, Trusted CA·HTTPS Validation·로그·UserCheck를 어떻게 다루는지 원문 전체를 빠짐없이 풀어 정리합니다.

왜 필요한가

HTTPS Internet 트래픽은 SSL 프로토콜로 암호화돼 사생활과 데이터 무결성을 보장합니다. 하지만 바로 그 암호화 때문에 잠재적 보안 위험 이 따라옵니다. 게이트웨이는 암호화된 트래픽을 그대로는 검사할 수 없으니, 불법 활동이나 악성 트래픽을 가려낼 방법이 없습니다.

이 문제를 풀기 위해 HTTPS Inspection 기능을 켜면, 게이트웨이가 외부 사이트나 서버와 새 SSL 연결을 맺 습니다. 그러면 게이트웨이는 새로 맺은 SSL 연결을 쓰는 HTTPS 트래픽을 복호화해 검사 할 수 있게 됩니다.

HTTPS Inspection에는 두 종류가 있습니다.

  • Outbound HTTPS Inspection — 내부 클라이언트가 외부 사이트·서버로 보내는 악성 트래픽으로부터 보호합니다. DLP 입장에서는 데이터 유출을 잡는 이 Outbound 검사가 핵심 입니다.
  • Inbound HTTPS Inspection — 인터넷이나 외부 네트워크에서 도착하는 악성 요청으로부터 내부 서버를 보호합니다.

게이트웨이는 인증서를 써서 클라이언트 컴퓨터와 보안 웹사이트 사이의 중개자(intermediary) 가 됩니다. 이때 다뤄지는 모든 데이터는 HTTPS Inspection 로그에 비공개로 보관되며, HTTPS Inspection 권한이 있는 관리자만 그 로그의 모든 필드를 볼 수 있어 사용자 사생활을 지킵니다.

HTTPS 패킷 검사 흐름

Outbound 연결

Outbound 연결은 내부 클라이언트에서 외부 서버로 가는 HTTPS 연결입니다. 흐름은 다음과 같습니다.

  1. 내부 클라이언트에서 외부 서버로 가는 HTTPS 요청이 게이트웨이에 도착 합니다.
  2. 게이트웨이가 그 HTTPS 요청을 검사 합니다.
  3. 게이트웨이가 이 요청이 기존 HTTPS Inspection 규칙에 일치하는지 판단 합니다.
    • 규칙에 일치하지 않으면 — 게이트웨이는 HTTPS 페이로드를 검사하지 않습니다.
    • 규칙에 일치하면 — 다음 단계로 넘어갑니다.
  4. 게이트웨이가 OCSP(Online Certificate Status Protocol) 표준 으로 외부 서버의 HTTPS 인증서를 검증합니다.
  5. 게이트웨이가 외부 서버와의 연결을 위한 새 인증서를 생성 합니다.
  6. 게이트웨이가 HTTPS 연결을 복호화 합니다.
  7. 게이트웨이가 복호화한 HTTPS 연결을 검사 합니다.
  8. Security Policy가 이 트래픽을 허용하면, 게이트웨이는 HTTPS 연결을 다시 암호화 합니다.
  9. 게이트웨이가 HTTPS 요청을 외부 서버로 전송 합니다.

Inbound 연결

Inbound 연결은 외부 클라이언트에서 출발해 DMZ나 내부 네트워크의 서버로 들어오는 HTTPS 연결입니다. 흐름은 다음과 같습니다.

  1. 외부 클라이언트에서 내부 서버로 가는 HTTPS 요청이 게이트웨이에 도착 합니다.
  1. 게이트웨이가 그 HTTPS 요청을 검사 합니다.
  2. 게이트웨이가 이 요청이 기존 HTTPS Inspection 규칙에 일치하는지 판단 합니다.
    • 규칙에 일치하지 않으면 — HTTPS 페이로드를 검사하지 않습니다.
    • 규칙에 일치하면 — 다음 단계로 넘어갑니다.
  3. 게이트웨이가 내부 서버의 인증서를 사용 해 외부 클라이언트와 HTTPS 연결을 맺습니다.
  4. 게이트웨이가 내부 서버와 새 HTTPS 연결 을 맺습니다.
  5. 게이트웨이가 HTTPS 연결을 복호화 합니다.
  6. 게이트웨이가 복호화한 HTTPS 연결을 검사 합니다.
  7. Security Policy가 이 트래픽을 허용하면, 게이트웨이는 HTTPS 연결을 다시 암호화해 내부 서버로 전송 합니다.

Outbound와 Inbound의 핵심 차이는 쓰는 인증서 입니다. Outbound는 게이트웨이가 연결마다 새로 만든 인증서 로 클라이언트를 속여 중개하고, Inbound는 보호하려는 내부 서버의 원본 인증서 를 그대로 사용합니다.

게이트웨이에 Outbound·Inbound 검사 설정하기

게이트웨이가 Outbound와 Inbound HTTPS를 검사하도록 만드는 전체 작업 흐름 은 네 단계입니다.

  1. 게이트웨이에서 HTTPS Inspection을 활성화 합니다.
  2. 검사에 쓸 인증서를 구성 합니다.
    • Outbound 검사 — 게이트웨이용 새 인증서를 생성 합니다.
    • Inbound 검사내부 서버의 인증서를 가져옵니다(import).
  3. HTTPS Inspection Rule Base 를 구성합니다.
  4. Access Control Policy를 설치 합니다.

1단계 — 게이트웨이에서 HTTPS Inspection 활성화

HTTPS Inspection은 게이트웨이마다 각각 켜야 합니다.

  1. SmartConsole Gateways & Servers 뷰에서 게이트웨이 객체를 편집합니다.
  2. HTTPS Inspection > Step 3 을 클릭합니다.
  3. Enable HTTPS Inspection 을 선택합니다.

여러 게이트웨이 중 처음으로 HTTPS Inspection을 켜는 게이트웨이 에서는, HTTPS Inspection용 Outbound CA 인증서를 새로 만들거나 조직에 이미 구성된 CA 인증서를 가져와야 합니다. 이렇게 만든 Outbound 인증서는 그 Security Management Server가 관리하는 모든 게이트웨이가 공통으로 사용 합니다.

Outbound 검사용 CA 인증서 만들기

Outbound CA 인증서는 P12 확장자 파일로 저장 되며, 파일의 개인 키(private key)는 암호로 암호화 됩니다. 게이트웨이는 이 암호를 써서 사용자가 접속하는 사이트의 인증서에 서명합니다.

Outbound CA 인증서를 만든 뒤에는 반드시 내보내(export) 클라이언트에 배포 해야 합니다. 생성한 Outbound CA 인증서를 클라이언트에 설치하지 않으면, 사용자가 HTTPS 사이트에 접속할 때 브라우저에서 SSL 오류 메시지 를 받게 됩니다. 이런 연결을 로그로 남기는 문제 해결 옵션도 따로 설정할 수 있습니다.

Outbound CA 인증서를 만들고 나면 Outbound Certificate 라는 이름의 인증서 객체가 생성됩니다. HTTPS Inspection Rule Base에서 Outbound HTTPS 트래픽을 검사하는 규칙에 이 객체를 사용합니다.

절차

  1. SmartConsole Gateways & Servers 뷰에서 게이트웨이 객체를 우클릭하고 Edit 을 선택합니다. Gateway Properties 창이 열립니다.
  2. 탐색 트리에서 HTTPS Inspection 을 선택합니다.
  3. HTTPS Inspection 페이지의 Step 1 에서 Create 를 클릭합니다. Create 창이 열립니다.
  4. 필요한 정보를 입력합니다.
항목설명
Issued by (DN)조직의 도메인 이름을 입력합니다.
Private key passwordCA 인증서의 개인 키를 암호화하는 데 쓸 암호를 입력합니다.
Retype private key password위 암호를 한 번 더 입력합니다.
Valid fromCA 인증서가 유효한 날짜 범위를 선택합니다.
  1. OK 를 클릭합니다.
  2. CA 인증서를 내보내고 구성합니다(아래 생성한 CA 내보내기·구성 참고).

내부 서버용 CA 인증서 가져오기

조직에 이미 구성된 CA 인증서를 가져오거나, 한 Security Management Server에서 만든 CA 인증서를 다른 Security Management Server에서 쓰기 위해 가져올 수 있습니다.

HTTPS Inspection이 켜진 게이트웨이를 관리하는 각 Security Management Server마다 다음을 해야 합니다.

  • CA 인증서를 가져옵니다(import).
  • Security Management Server가 CA 인증서 파일을 복호화하고 사용자용 인증서에 서명할 때 쓸 암호를 입력 합니다. 이 암호는 CA 인증서를 새 Security Management Server로 가져올 때만 사용합니다.

CA 인증서를 가져오는 절차

  1. CA 인증서가 다른 Security Management Server에서 만들어진 것이라면, 그것이 만들어진 Server에서 먼저 인증서를 내보냅니다(아래 Security Management Server에서 인증서 내보내기 참고).
  2. SmartConsole Gateways & Servers 뷰에서 게이트웨이 객체를 우클릭하고 Edit 을 선택합니다. Gateway Properties 창이 열립니다.
  3. 탐색 트리에서 HTTPS Inspection 을 선택합니다.
  4. HTTPS Inspection 페이지의 Step 1 에서 Import 를 클릭합니다. Import Outbound Certificate 창이 열립니다.
  5. 인증서 파일을 찾아 지정합니다.
  6. 개인 키 암호(private key password)를 입력합니다.
  7. OK 를 클릭합니다.
  8. CA 인증서가 다른 Security Management Server에서 만들어진 것이라면, 클라이언트에 구성 합니다(아래 생성한 CA 내보내기·구성 참고).

Security Management Server에서 인증서 내보내기

조직에서 Security Management Server를 두 대 이상 쓴다면, CA 인증서를 다른 Server들로 가져오기 전에 먼저 그것이 만들어진 Server에서 export_https_cert CLI 명령 으로 내보내야 합니다.

명령 구문은 다음과 같습니다.

export_https_cert [-local] | [-s server] [-f certificate file name under FWDIR/tmp][-help]

CA 인증서를 내보내려면 Security Management Server에서 다음 명령을 실행합니다.

$FWDIR/bin/export_https_cert -local -f [FWDIR/tmp 아래의 인증서 파일 이름]

예시:

$FWDIR/bin/export_https_cert -local -f mycompany.p12

생성한 CA 내보내기·구성

HTTPS Inspection이 쓰는 생성 CA 인증서 때문에 사용자가 경고를 받지 않도록, 그 생성 CA 인증서를 클라이언트의 신뢰할 수 있는 CA(trusted CA) 로 설치해 줍니다. Windows GPO 같은 다양한 배포 방식으로 CA를 뿌릴 수 있습니다. 이렇게 하면 생성 CA가 클라이언트 컴퓨터의 신뢰할 수 있는 루트 인증서 저장소 에 추가됩니다.

사용자가 일반적인 업데이트를 돌리면 생성 CA가 CA 목록에 들어오고, 그 뒤로는 브라우저 인증서 경고를 받지 않 게 됩니다.

GPO로 인증서 배포하기

  1. 게이트웨이의 HTTPS Inspection 창에서 Export certificate 를 클릭합니다.
  2. CA 인증서 파일을 저장합니다.
  3. Group Policy Management Console 을 써서 인증서를 Trusted Root Certification Authorities 인증서 저장소에 추가합니다.
  4. 정책을 조직의 클라이언트 컴퓨터들로 푸시(push)합니다.
  1. 클라이언트 한 대에서 HTTPS 사이트에 접속해 배포를 테스트합니다. CA 인증서에 Issued by 필드에 입력했던 이름 이 표시되는지 확인합니다.

Group Policy로 인증서 구성하기

이 절차로 Active Directory Domain ServicesGPO(Group Policy Object) 를 써서 여러 클라이언트 머신에 인증서를 구성할 수 있습니다. 하나의 GPO에는 여러 구성 옵션이 담기며, GPO의 범위(scope)에 속한 모든 컴퓨터에 적용 됩니다.

  1. Microsoft Windows Server에서 Group Policy Management Console 을 엽니다.
  2. 인증서 설정을 담을 기존 GPO를 찾거나 새 GPO를 만듭니다. 정책으로 영향을 주려는 사용자가 속한 도메인·사이트·조직 단위에 GPO가 연결 돼 있는지 확인합니다.
  3. GPO를 우클릭하고 Edit 를 선택합니다. Group Policy Management Editor 가 열리며 정책 객체의 내용을 보여 줍니다.
  4. Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Publishers 를 엽니다.
  5. Action > Import 를 클릭합니다.
  6. Certificate Import Wizard 의 지시를 따라 SmartConsole에서 내보낸 인증서를 찾아 가져옵니다.
  7. 탐색 창에서 Trusted Root Certification Authorities 를 클릭하고, 5~6단계를 반복해 그 저장소에도 인증서 복사본을 설치합니다.

Inbound HTTPS Inspection 구성

게이트웨이가 Inbound HTTPS Inspection을 하도록 구성합니다.

  1. SmartConsole Gateways & Servers 뷰에서 게이트웨이 객체를 편집합니다.
  2. HTTPS Inspection > Step 3 을 클릭합니다.
  3. Enable HTTPS Inspection 을 선택합니다.
  4. 조직 게이트웨이 뒤에 있는 서버들의 서버 인증서를 가져옵니다(아래 HTTPS Inspection Policy 참고).
  5. HTTPS Inspection 정책을 정의합니다.
    • 규칙을 만듭니다.
    • 각 규칙의 Certificate 열에 서버 인증서를 추가합니다.

Inbound 검사용 서버 인증서 지정

게이트웨이에 서버 인증서를 추가하면 서버 인증서 객체 가 생성됩니다.

조직 밖의 클라이언트가 내부 서버로 HTTPS 연결을 시작하면, 게이트웨이가 그 트래픽을 가로챕니다. 게이트웨이는 들어오는 트래픽을 검사하고 게이트웨이에서 내부 서버로 가는 새 HTTPS 연결 을 만듭니다. HTTPS Inspection을 하려면 게이트웨이가 내부 서버의 원본 인증서와 개인 키 를 사용해야 합니다. 게이트웨이는 이 인증서와 개인 키로 내부 서버와의 SSL 연결을 맺습니다.

서버 인증서(P12 파일)를 게이트웨이로 가져온 뒤에는, 그 객체를 HTTPS Inspection Policy에 추가 합니다. 이 절차는 조직 밖 클라이언트로부터 연결 요청을 받는 모든 서버에 대해 수행합니다.

Inbound 검사용 서버 인증서를 추가하는 절차

  1. SmartConsole에서 Security Policies > Shared Policies > HTTPS Inspection 으로 갑니다.
  2. Open HTTPS Inspection Policy In SmartDashboard 를 클릭합니다. SmartConsole이 열립니다.
  3. Server Certificates 를 클릭합니다.
  4. Add 를 클릭합니다. Import Inbound Certificate 창이 열립니다.
  5. Certificate nameDescription(선택)을 입력합니다.
  6. 인증서 파일을 찾아 지정합니다.
  7. Private key password 를 입력합니다. 서버에서 그 인증서의 개인 키를 보호하는 데 썼던 것과 같은 암호 를 입력합니다.
  8. OK 를 클릭합니다.

서버 인증서를 처음 가져올 때 Successful Import 창이 열려, HTTPS Inspection Rule Base의 어디에 객체를 추가하면 되는지 알려 줍니다. 매번 이 창을 보고 싶지 않으면 Don't show this again 을 클릭한 뒤 Close 를 누릅니다.

HTTPS Inspection Policy

HTTPS Inspection 규칙은 게이트웨이가 HTTPS 트래픽을 어떻게 검사할지 를 정의합니다. 이 규칙은 URL Filtering 카테고리 를 써서 여러 웹사이트·애플리케이션의 트래픽을 식별할 수 있습니다. 예를 들어 사용자 사생활을 보호하려고, 은행·금융기관으로 가는 HTTPS 트래픽은 검사하지 않고 무시 하는 규칙을 둘 수 있습니다.

HTTPS Inspection 규칙은 HTTPS Inspection이 켜진 모든 Software Blade에 적용 됩니다. HTTPS Inspection을 지원하는 Blade는 다음과 같습니다.

  • Access Control
    • Application Control
    • URL Filtering
    • Content Awareness
  • Threat Prevention
    • IPS
    • Anti-Virus
    • Anti-Bot
    • Threat Emulation
  • Data Loss Prevention

HTTPS Inspection Policy 열기

  1. SmartConsole에서 Security Policies > Shared Policies > HTTPS Inspection 으로 갑니다.
  2. Open HTTPS Inspection Policy In SmartDashboard 를 클릭합니다.

규칙의 필드

HTTPS Inspection Security Policy의 규칙을 관리하는 필드는 다음과 같습니다.

필드설명
No.HTTPS Inspection Rule Base에서의 규칙 번호.
Name관리자가 이 규칙에 붙이는 이름.
Source트래픽이 시작되는 곳을 정의하는 네트워크 객체.
Destination트래픽의 목적지를 정의하는 네트워크 객체.
Services검사하거나 우회(bypass)할 네트워크 서비스. 기본적으로 443 포트의 HTTPS 와 8080 포트의 HTTP_and_HTTPS proxy 가 검사 됩니다. 목록에 서비스를 추가하거나 삭제할 수 있습니다.
Site Category검사하거나 우회할 애플리케이션·웹사이트의 카테고리.
ActionHTTPS 트래픽이 규칙에 일치할 때 하는 동작. 트래픽을 검사(Inspect) 하거나 무시(Bypass) 합니다.
Track트래픽이 규칙에 일치할 때 하는 추적·로깅 동작.
Install OnHTTPS Inspection 규칙을 받는 네트워크 객체. HTTPS Inspection이 켜진 게이트웨이만 선택할 수 있습니다.
Certificate이 규칙에 쓰는 인증서. ▸ Inbound — 내부 서버가 쓰는 인증서를 선택합니다. ▸ Outbound — 네트워크의 컴퓨터들에 쓰는 Outbound Certificate 객체를 선택합니다. 규칙에 일치하면 게이트웨이가 선택한 서버 인증서로 출발 클라이언트와 통신합니다. 서버 인증서는 HTTPS Inspection > Server Certificates > Add 에서 만들 수 있습니다.
Comment규칙을 요약할 수 있는 선택 필드.

HTTPS Inspection 규칙 구성하기

Outbound와 Inbound 트래픽에 대해 서로 다른 규칙 을 만듭니다.

  • Outbound 규칙게이트웨이용으로 생성한 인증서 를 씁니다.
  • Inbound 규칙내부 서버마다 다른 인증서 를 씁니다.

또한 민감해서 검사하지 않을 트래픽을 위한 Bypass 규칙 도 만들 수 있습니다.

규칙을 다 만들었으면 Access Control Policy를 설치 합니다.

예제 — HTTPS Inspection Rule Base 샘플

다음은 전형적인 정책의 HTTPS Inspection Rule Base 샘플입니다. (Track·Install On 열은 생략했으며, Track은 None, Install On은 Any 입니다.)

NoNameSourceDestinationServicesSite CategoryActionBladeCertificate
1Inbound trafficAnyWebCalendar ServerHTTPSInspectAnyWebCalendar Server CA
2Financial sitesAnyInternetHTTPS, HTTP_HTTPS_proxyFinancial ServicesBypassAnyOutbound CA
3Outbound trafficAnyInternetHTTPS, HTTP_HTTPS_proxyAnyInspectAnyOutbound CA
  1. Inbound traffic — 네트워크 객체 WebCalendarServer 로 가는 HTTPS 트래픽을 검사합니다. 이 규칙은 WebCalendarServer 인증서를 씁니다.
  2. Financial sitesFinancial Services 카테고리로 정의된 웹사이트로 가는 HTTPS 트래픽은 검사하지 않는 Bypass 규칙 입니다. 이 규칙은 Outbound CA 인증서를 씁니다.
  3. Outbound traffic — 인터넷으로 가는 HTTPS 트래픽을 검사합니다. 이 규칙은 Outbound CA 인증서를 씁니다.

소프트웨어 업데이트 서비스에 대한 검사 우회

Check Point는 항상 허용해야 할 서비스의 승인된 도메인 이름 목록 을 동적으로 업데이트합니다. 이 옵션은 Check Point 업데이트나 Microsoft·Java·Adobe 같은 제3자 소프트웨어 업데이트가 차단되지 않 도록 보장합니다.

소프트웨어 업데이트에 대해 HTTPS Inspection을 우회하려면:

  1. SmartConsole에서 Manage & Settings > Blades > HTTPS Inspection > Configure In SmartDashboard 로 갑니다.
  2. SmartDashboard에서 HTTPS Inspection 탭을 클릭합니다.
  3. Policy 를 클릭합니다.
  4. Policy 창에서 Bypass HTTPS Inspection of traffic to well known software update services (list is dynamically updated) 를 선택합니다. 이 옵션은 기본적으로 선택 돼 있습니다.
  5. list 를 클릭하면 승인된 도메인 이름 목록을 볼 수 있습니다.

게이트웨이별 인증서 관리

Gateways 창에는 HTTPS Inspection이 켜진 게이트웨이들이 나열됩니다. 게이트웨이를 선택하고 Edit 를 클릭하면 속성을 편집할 수 있습니다.

CA Certificate 섹션에서는 필요하면 인증서 유효 기간(date range)을 갱신(renew) 하고, 조직의 클라이언트 머신들로 배포하기 위해 내보낼(export) 수 있습니다.

선택한 게이트웨이를 관리하는 Security Management Server에 생성된 CA 인증서가 아직 없다면, Import certificate from file 로 추가할 수 있습니다.

  • 조직에 이미 구성된 CA 인증서 를 가져올 수 있습니다.
  • 다른 Security Management Server의 CA 인증서 를 가져올 수 있습니다. 가져오기 전에, 그것이 만들어진 Server에서 먼저 내보내야 합니다(Security Management Server에서 인증서 내보내기 참고).

Outbound 검사용 Trusted CA 추가

클라이언트가 웹사이트 서버로 HTTPS 연결을 시작하면 게이트웨이가 그 연결을 가로챕니다. 게이트웨이는 트래픽을 검사하고 게이트웨이에서 지정 서버로 가는 새 HTTPS 연결 을 만듭니다. 게이트웨이가 지정 웹사이트로 안전한 연결(SSL tunnel)을 맺을 때는, 그 사이트 서버의 인증서를 검증 해야 합니다.

HTTPS Inspection에는 미리 구성된 신뢰할 수 있는 CA 목록(Trusted CAs) 이 함께 들어 있습니다. 이 목록은 필요할 때 Check Point가 업데이트하며 게이트웨이로 자동 다운로드 됩니다. 시스템은 기본적으로 Trusted CA 업데이트 파일이 설치 준비됐을 때 알려 주도록 구성돼 있습니다. SmartConsole에서 이 알림은 팝업 알림 으로 뜨거나 Trusted CAs 창의 Automatic Updates 섹션에 표시됩니다. 업데이트를 설치한 뒤에는 반드시 정책을 설치 하세요. 자동 업데이트 옵션을 끄고 Trusted CA 목록을 수동으로 갱신 할 수도 있습니다.

게이트웨이가 사이트로부터 신뢰되지 않는(non-trusted) 서버 인증서 를 받으면, 기본적으로 사용자는 생성 인증서가 아니라 자체 서명(self-signed) 인증서 를 받게 됩니다. 이때 웹사이트 보안 인증서에 문제가 있다는 페이지가 사용자에게 표시되지만, 사용자는 그 웹사이트로 계속 진행할 수 있습니다. 이 기본 설정을 신뢰되지 않는 서버 인증서를 차단 하도록 바꿀 수도 있습니다.

CA 인증서 저장하기

Trusted CAs 목록에서 선택한 인증서를 로컬 파일 시스템에 저장 할 수 있습니다.

  1. SmartConsole에서 HTTPS Inspection > Trusted CAs 를 엽니다.
  2. Actions > Export to file 를 클릭합니다.
  3. 위치를 찾아 파일 이름을 입력하고 Save 를 클릭합니다. CER 파일 이 생성됩니다.

HTTPS Validation

SmartConsole의 HTTPS Validation 페이지에서는 다음 옵션을 설정할 수 있습니다.

  • Fail mode — 검사 중 오류가 났을 때의 동작.
  • HTTPS site categorization mode — HTTPS 사이트 분류 방식.
  • Server validation — 서버 인증서 검증.
  • Certificate blacklisting — 인증서 블랙리스트.
  • Troubleshooting — 문제 해결 옵션.

이 옵션들에 대해 더 알고 싶으면, HTTPS Validation 페이지에서 ? 를 클릭해 Help를 참고하세요.

HTTPS Inspection 로그 보기

HTTPS Inspection을 위한 미리 정의된 로그 쿼리(predefined log query) 는 HTTPS Inspection 정책에 일치했고 로깅하도록 구성된 모든 HTTPS 트래픽 을 보여 줍니다.

  1. SmartConsole의 Logs & Events > Logs 탭에서 Favorites 를 클릭합니다.
  2. HTTPS Inspection 쿼리를 선택합니다.

Logs 탭에는 HTTP Inspection Action 필드 가 있습니다. 이 필드 값은 inspect 또는 bypass 입니다. 트래픽에 HTTPS Inspection이 수행되지 않았다면 이 필드는 로그에 표시되지 않 습니다.

UserCheck

UserCheck 기능을 켜면, 게이트웨이가 관리자가 Security Policy에 구성한 규칙에 근거해, 규정 위반 가능성이 있는 행동이나 위험한 인터넷 브라우징에 대해 사용자에게 메시지 를 보냅니다. 이렇게 하면 사용자가 보안 사고를 예방하고 조직의 보안 정책을 배우는 데 도움이 됩니다. UserCheck 객체 를 만들어 Rule Base에서 사용해 사용자와 소통하고, 로그로 남은 사용자 응답을 바탕으로 효과적인 정책 을 발전시킬 수 있습니다.

UserCheck를 지원하는 Software Blade는 다음과 같습니다.

  • Data Loss Prevention
  • Access Control
    • Application Control
    • URL Filtering
    • Content Awareness
  • Threat Prevention
    • Anti-Bot
    • Anti-Virus
    • Threat Emulation
    • Threat Extraction
    • Zero Phishing

UserCheck 시작하기

  1. SmartConsole의 게이트웨이 객체에서:
    • a. 해당하는 Software Blade들을 활성화 합니다.
    • b. 해당하는 UserCheck 설정을 구성 합니다(원문 "Configuring UserCheck" 참고).
    • c. (선택) UserCheck Client 를 다운로드해 엔드포인트 컴퓨터에 설치합니다(원문 "UserCheck Client" 참고).
  2. (선택) SmartConsole의 Global Properties 에서 해당하는 UserCheck 설정을 구성합니다.
  3. SmartDashboard에서 해당하는 UserCheck Interaction Objects 를 구성합니다(원문 "UserCheck Interaction Objects" 참고).
  4. SmartDashboard에서 해당하는 Data Loss Prevention Policy 를 구성합니다(원문 "Data Loss Prevention Policies", "Data Loss Prevention by Scenario" 참고).
  5. SmartConsole에서 게이트웨이 객체에 Access Control Policy를 설치 합니다.
  6. 추가 구성 — UserCheck 포털의 현지화·맞춤(원문 "Localizing and Customizing the UserCheck Portal" 참고) 등을 진행합니다.

DLP와의 연결

HTTPS Inspection을 켜면 Web Proxy를 거치든 직접 나가든 HTTPS로 흐르는 데이터까지 DLP가 검사 할 수 있게 됩니다(설치와 배치의 Web Proxy 연동과 함께 봅니다). DLP는 위에서 본 HTTPS Inspection을 지원하는 Blade 중 하나 이므로, HTTPS Inspection이 켜진 게이트웨이라면 암호화된 트래픽 속 데이터 유출도 정책에 따라 잡아낼 수 있습니다.

인증서 관련 보조 설정은 고급 설정의 Server Certificates에서도 다룹니다. HTTPS Inspection Rule Base 설계와 인증서 신뢰 체계의 더 깊은 내용은 HTTPS Inspection (Security Management 가이드)를 함께 참고하세요.