06HTTPS Inspection 설정HTTPS Inspection 설정
오늘날 웹 트래픽의 대부분은 SSL로 암호화돼 있어, 암호화된 채널은 게이트웨이가 들여다볼 수 없 습니다. 데이터가 HTTPS로 새어 나가는 것을 막으려면 HTTPS Inspection이 필요합니다.
왜 필요한가
HTTPS는 SSL(Secure Sockets Layer)로 데이터의 기밀성과 무결성을 지키지만, 같은 암호화가 불법 활동과 악성 트래픽을 숨기는 통로 도 됩니다. 게이트웨이는 암호화된 트래픽을 그대로는 검사하지 못하므로, HTTPS Inspection을 켜 게이트웨이가 외부 사이트와 새 SSL 연결을 맺게 합니다. 그러면 게이트웨이가 트래픽을 복호화해 검사할 수 있습니다. 종류는 둘로, Outbound(내부 클라이언트가 외부로 보내는 트래픽 보호) 와 Inbound(인터넷에서 내부 서버로 오는 요청 보호) 입니다. DLP 입장에서는 데이터 유출을 잡는 Outbound가 핵심입니다.
게이트웨이는 인증서를 써서 클라이언트와 보안 웹사이트 사이의 중개자 가 됩니다. 이때 다뤄지는 데이터는 HTTPS Inspection 로그에 보관되며, HTTPS Inspection 권한이 있는 관리자만 모든 필드를 볼 수 있어 사생활을 지킵니다.
검사 흐름 — Outbound
내부 클라이언트가 외부 서버로 HTTPS 요청을 보내면 흐름은 이렇습니다. 요청이 게이트웨이에 도착하면(①) 게이트웨이가 이를 검사하고(②), HTTPS Inspection 규칙에 걸리는지 판단 합니다(③). 규칙에 안 걸리면 페이로드는 검사하지 않고 그냥 보냅니다. 규칙에 걸리면 게이트웨이가 OCSP 표준으로 외부 서버의 인증서를 검증 하고(④), 그 연결을 위한 새 인증서를 만들어(⑤) 연결을 복호화한 뒤(⑥) 검사 합니다(⑦). 검사가 끝난 트래픽은 다시 암호화돼 목적지로 갑니다.
DLP와의 연결
HTTPS Inspection을 켜면 Web Proxy를 거치든 직접 나가든 HTTPS로 흐르는 데이터까지 DLP가 검사 할 수 있게 됩니다(설치와 배치의 Web Proxy 연동과 함께 봅니다). 새 DLP 프로파일에서 HTTPS Inspection이 켜져 있으면 관련 검사가 HTTPS 트래픽에도 적용되는 식으로, 두 기능은 서로 맞물려 동작합니다.
HTTPS Inspection은 DLP 전용 기능이 아니라 게이트웨이 전반에서 쓰는 공통 기능 입니다. 인증서 발급·신뢰 체계, HTTPS Inspection Rule Base 설계, 카테고리별 우회 정책 같은 세부는 분량이 크고 다른 가이드와 겹치므로, 깊은 설정은 Security Gateway 가이드와 Threat Prevention 가이드의 HTTPS Inspection 부분 및 원문을 함께 참고하세요. 인증서 관련 보조 설정은 고급 설정의 Server Certificates에서도 다룹니다.