06HTTPS Inspection 설정HTTPS Inspection 설정
오늘날 인터넷 트래픽의 대부분은 SSL(Secure Sockets Layer) 로 암호화돼 데이터의 기밀성과 무결성을 지킵니다. 그런데 같은 암호화가 양날의 검 입니다. 게이트웨이는 암호화된 채널 안을 들여다볼 수 없으므로, 불법적인 사용자 활동이나 악성 트래픽이 바로 그 HTTPS 터널 속에 숨어 흐를 수 있습니다. 데이터가 HTTPS로 새어 나가거나 위협이 암호화된 채로 들어오는 것을 막으려면 HTTPS Inspection 이 필요합니다. 이 장은 HTTPS Inspection이 왜 필요하고 어떻게 동작하는지, Outbound·Inbound 검사를 게이트웨이에 어떻게 설정하며, CA 인증서를 만들고 내보내고 배포하는지, HTTPS Inspection Rule Base를 어떻게 설계하고, Trusted CA·HTTPS Validation·로그·UserCheck를 어떻게 다루는지 원문 전체를 빠짐없이 풀어 정리합니다.
왜 필요한가
HTTPS Internet 트래픽은 SSL 프로토콜로 암호화돼 사생활과 데이터 무결성을 보장합니다. 하지만 바로 그 암호화 때문에 잠재적 보안 위험 이 따라옵니다. 게이트웨이는 암호화된 트래픽을 그대로는 검사할 수 없으니, 불법 활동이나 악성 트래픽을 가려낼 방법이 없습니다.
이 문제를 풀기 위해 HTTPS Inspection 기능을 켜면, 게이트웨이가 외부 사이트나 서버와 새 SSL 연결을 맺 습니다. 그러면 게이트웨이는 새로 맺은 SSL 연결을 쓰는 HTTPS 트래픽을 복호화해 검사 할 수 있게 됩니다.
HTTPS Inspection에는 두 종류가 있습니다.
- Outbound HTTPS Inspection — 내부 클라이언트가 외부 사이트·서버로 보내는 악성 트래픽으로부터 보호합니다. DLP 입장에서는 데이터 유출을 잡는 이 Outbound 검사가 핵심 입니다.
- Inbound HTTPS Inspection — 인터넷이나 외부 네트워크에서 도착하는 악성 요청으로부터 내부 서버를 보호합니다.
게이트웨이는 인증서를 써서 클라이언트 컴퓨터와 보안 웹사이트 사이의 중개자(intermediary) 가 됩니다. 이때 다뤄지는 모든 데이터는 HTTPS Inspection 로그에 비공개로 보관되며, HTTPS Inspection 권한이 있는 관리자만 그 로그의 모든 필드를 볼 수 있어 사용자 사생활을 지킵니다.
HTTPS 패킷 검사 흐름
Outbound 연결
Outbound 연결은 내부 클라이언트에서 외부 서버로 가는 HTTPS 연결입니다. 흐름은 다음과 같습니다.
- 내부 클라이언트에서 외부 서버로 가는 HTTPS 요청이 게이트웨이에 도착 합니다.
- 게이트웨이가 그 HTTPS 요청을 검사 합니다.
- 게이트웨이가 이 요청이 기존 HTTPS Inspection 규칙에 일치하는지 판단 합니다.
- 규칙에 일치하지 않으면 — 게이트웨이는 HTTPS 페이로드를 검사하지 않습니다.
- 규칙에 일치하면 — 다음 단계로 넘어갑니다.
- 게이트웨이가 OCSP(Online Certificate Status Protocol) 표준 으로 외부 서버의 HTTPS 인증서를 검증합니다.
- 게이트웨이가 외부 서버와의 연결을 위한 새 인증서를 생성 합니다.
- 게이트웨이가 HTTPS 연결을 복호화 합니다.
- 게이트웨이가 복호화한 HTTPS 연결을 검사 합니다.
- Security Policy가 이 트래픽을 허용하면, 게이트웨이는 HTTPS 연결을 다시 암호화 합니다.
- 게이트웨이가 HTTPS 요청을 외부 서버로 전송 합니다.
Inbound 연결
Inbound 연결은 외부 클라이언트에서 출발해 DMZ나 내부 네트워크의 서버로 들어오는 HTTPS 연결입니다. 흐름은 다음과 같습니다.
- 외부 클라이언트에서 내부 서버로 가는 HTTPS 요청이 게이트웨이에 도착 합니다.
- 게이트웨이가 그 HTTPS 요청을 검사 합니다.
- 게이트웨이가 이 요청이 기존 HTTPS Inspection 규칙에 일치하는지 판단 합니다.
- 규칙에 일치하지 않으면 — HTTPS 페이로드를 검사하지 않습니다.
- 규칙에 일치하면 — 다음 단계로 넘어갑니다.
- 게이트웨이가 내부 서버의 인증서를 사용 해 외부 클라이언트와 HTTPS 연결을 맺습니다.
- 게이트웨이가 내부 서버와 새 HTTPS 연결 을 맺습니다.
- 게이트웨이가 HTTPS 연결을 복호화 합니다.
- 게이트웨이가 복호화한 HTTPS 연결을 검사 합니다.
- Security Policy가 이 트래픽을 허용하면, 게이트웨이는 HTTPS 연결을 다시 암호화해 내부 서버로 전송 합니다.
Outbound와 Inbound의 핵심 차이는 쓰는 인증서 입니다. Outbound는 게이트웨이가 연결마다 새로 만든 인증서 로 클라이언트를 속여 중개하고, Inbound는 보호하려는 내부 서버의 원본 인증서 를 그대로 사용합니다.
게이트웨이에 Outbound·Inbound 검사 설정하기
게이트웨이가 Outbound와 Inbound HTTPS를 검사하도록 만드는 전체 작업 흐름 은 네 단계입니다.
- 게이트웨이에서 HTTPS Inspection을 활성화 합니다.
- 검사에 쓸 인증서를 구성 합니다.
- Outbound 검사 — 게이트웨이용 새 인증서를 생성 합니다.
- Inbound 검사 — 내부 서버의 인증서를 가져옵니다(import).
- HTTPS Inspection Rule Base 를 구성합니다.
- Access Control Policy를 설치 합니다.
1단계 — 게이트웨이에서 HTTPS Inspection 활성화
HTTPS Inspection은 게이트웨이마다 각각 켜야 합니다.
- SmartConsole Gateways & Servers 뷰에서 게이트웨이 객체를 편집합니다.
- HTTPS Inspection > Step 3 을 클릭합니다.
- Enable HTTPS Inspection 을 선택합니다.
여러 게이트웨이 중 처음으로 HTTPS Inspection을 켜는 게이트웨이 에서는, HTTPS Inspection용 Outbound CA 인증서를 새로 만들거나 조직에 이미 구성된 CA 인증서를 가져와야 합니다. 이렇게 만든 Outbound 인증서는 그 Security Management Server가 관리하는 모든 게이트웨이가 공통으로 사용 합니다.
Outbound 검사용 CA 인증서 만들기
Outbound CA 인증서는 P12 확장자 파일로 저장 되며, 파일의 개인 키(private key)는 암호로 암호화 됩니다. 게이트웨이는 이 암호를 써서 사용자가 접속하는 사이트의 인증서에 서명합니다.
Outbound CA 인증서를 만든 뒤에는 반드시 내보내(export) 클라이언트에 배포 해야 합니다. 생성한 Outbound CA 인증서를 클라이언트에 설치하지 않으면, 사용자가 HTTPS 사이트에 접속할 때 브라우저에서 SSL 오류 메시지 를 받게 됩니다. 이런 연결을 로그로 남기는 문제 해결 옵션도 따로 설정할 수 있습니다.
Outbound CA 인증서를 만들고 나면 Outbound Certificate 라는 이름의 인증서 객체가 생성됩니다. HTTPS Inspection Rule Base에서 Outbound HTTPS 트래픽을 검사하는 규칙에 이 객체를 사용합니다.
절차
- SmartConsole Gateways & Servers 뷰에서 게이트웨이 객체를 우클릭하고 Edit 을 선택합니다. Gateway Properties 창이 열립니다.
- 탐색 트리에서 HTTPS Inspection 을 선택합니다.
- HTTPS Inspection 페이지의 Step 1 에서 Create 를 클릭합니다. Create 창이 열립니다.
- 필요한 정보를 입력합니다.
| 항목 | 설명 |
|---|---|
| Issued by (DN) | 조직의 도메인 이름을 입력합니다. |
| Private key password | CA 인증서의 개인 키를 암호화하는 데 쓸 암호를 입력합니다. |
| Retype private key password | 위 암호를 한 번 더 입력합니다. |
| Valid from | CA 인증서가 유효한 날짜 범위를 선택합니다. |
- OK 를 클릭합니다.
- CA 인증서를 내보내고 구성합니다(아래 생성한 CA 내보내기·구성 참고).
내부 서버용 CA 인증서 가져오기
조직에 이미 구성된 CA 인증서를 가져오거나, 한 Security Management Server에서 만든 CA 인증서를 다른 Security Management Server에서 쓰기 위해 가져올 수 있습니다.
HTTPS Inspection이 켜진 게이트웨이를 관리하는 각 Security Management Server마다 다음을 해야 합니다.
- CA 인증서를 가져옵니다(import).
- Security Management Server가 CA 인증서 파일을 복호화하고 사용자용 인증서에 서명할 때 쓸 암호를 입력 합니다. 이 암호는 CA 인증서를 새 Security Management Server로 가져올 때만 사용합니다.
CA 인증서를 가져오는 절차
- CA 인증서가 다른 Security Management Server에서 만들어진 것이라면, 그것이 만들어진 Server에서 먼저 인증서를 내보냅니다(아래 Security Management Server에서 인증서 내보내기 참고).
- SmartConsole Gateways & Servers 뷰에서 게이트웨이 객체를 우클릭하고 Edit 을 선택합니다. Gateway Properties 창이 열립니다.
- 탐색 트리에서 HTTPS Inspection 을 선택합니다.
- HTTPS Inspection 페이지의 Step 1 에서 Import 를 클릭합니다. Import Outbound Certificate 창이 열립니다.
- 인증서 파일을 찾아 지정합니다.
- 개인 키 암호(private key password)를 입력합니다.
- OK 를 클릭합니다.
- CA 인증서가 다른 Security Management Server에서 만들어진 것이라면, 클라이언트에 구성 합니다(아래 생성한 CA 내보내기·구성 참고).
Security Management Server에서 인증서 내보내기
조직에서 Security Management Server를 두 대 이상 쓴다면, CA 인증서를 다른 Server들로 가져오기 전에 먼저 그것이 만들어진 Server에서 export_https_cert CLI 명령 으로 내보내야 합니다.
명령 구문은 다음과 같습니다.
export_https_cert [-local] | [-s server] [-f certificate file name under FWDIR/tmp][-help]CA 인증서를 내보내려면 Security Management Server에서 다음 명령을 실행합니다.
$FWDIR/bin/export_https_cert -local -f [FWDIR/tmp 아래의 인증서 파일 이름]예시:
$FWDIR/bin/export_https_cert -local -f mycompany.p12생성한 CA 내보내기·구성
HTTPS Inspection이 쓰는 생성 CA 인증서 때문에 사용자가 경고를 받지 않도록, 그 생성 CA 인증서를 클라이언트의 신뢰할 수 있는 CA(trusted CA) 로 설치해 줍니다. Windows GPO 같은 다양한 배포 방식으로 CA를 뿌릴 수 있습니다. 이렇게 하면 생성 CA가 클라이언트 컴퓨터의 신뢰할 수 있는 루트 인증서 저장소 에 추가됩니다.
사용자가 일반적인 업데이트를 돌리면 생성 CA가 CA 목록에 들어오고, 그 뒤로는 브라우저 인증서 경고를 받지 않 게 됩니다.
GPO로 인증서 배포하기
- 게이트웨이의 HTTPS Inspection 창에서 Export certificate 를 클릭합니다.
- CA 인증서 파일을 저장합니다.
- Group Policy Management Console 을 써서 인증서를 Trusted Root Certification Authorities 인증서 저장소에 추가합니다.
- 정책을 조직의 클라이언트 컴퓨터들로 푸시(push)합니다.
- 클라이언트 한 대에서 HTTPS 사이트에 접속해 배포를 테스트합니다. CA 인증서에 Issued by 필드에 입력했던 이름 이 표시되는지 확인합니다.
Group Policy로 인증서 구성하기
이 절차로 Active Directory Domain Services 와 GPO(Group Policy Object) 를 써서 여러 클라이언트 머신에 인증서를 구성할 수 있습니다. 하나의 GPO에는 여러 구성 옵션이 담기며, GPO의 범위(scope)에 속한 모든 컴퓨터에 적용 됩니다.
- Microsoft Windows Server에서 Group Policy Management Console 을 엽니다.
- 인증서 설정을 담을 기존 GPO를 찾거나 새 GPO를 만듭니다. 정책으로 영향을 주려는 사용자가 속한 도메인·사이트·조직 단위에 GPO가 연결 돼 있는지 확인합니다.
- GPO를 우클릭하고 Edit 를 선택합니다. Group Policy Management Editor 가 열리며 정책 객체의 내용을 보여 줍니다.
- Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Publishers 를 엽니다.
- Action > Import 를 클릭합니다.
- Certificate Import Wizard 의 지시를 따라 SmartConsole에서 내보낸 인증서를 찾아 가져옵니다.
- 탐색 창에서 Trusted Root Certification Authorities 를 클릭하고, 5~6단계를 반복해 그 저장소에도 인증서 복사본을 설치합니다.
Inbound HTTPS Inspection 구성
게이트웨이가 Inbound HTTPS Inspection을 하도록 구성합니다.
- SmartConsole Gateways & Servers 뷰에서 게이트웨이 객체를 편집합니다.
- HTTPS Inspection > Step 3 을 클릭합니다.
- Enable HTTPS Inspection 을 선택합니다.
- 조직 게이트웨이 뒤에 있는 서버들의 서버 인증서를 가져옵니다(아래 HTTPS Inspection Policy 참고).
- HTTPS Inspection 정책을 정의합니다.
- 규칙을 만듭니다.
- 각 규칙의 Certificate 열에 서버 인증서를 추가합니다.
Inbound 검사용 서버 인증서 지정
게이트웨이에 서버 인증서를 추가하면 서버 인증서 객체 가 생성됩니다.
조직 밖의 클라이언트가 내부 서버로 HTTPS 연결을 시작하면, 게이트웨이가 그 트래픽을 가로챕니다. 게이트웨이는 들어오는 트래픽을 검사하고 게이트웨이에서 내부 서버로 가는 새 HTTPS 연결 을 만듭니다. HTTPS Inspection을 하려면 게이트웨이가 내부 서버의 원본 인증서와 개인 키 를 사용해야 합니다. 게이트웨이는 이 인증서와 개인 키로 내부 서버와의 SSL 연결을 맺습니다.
서버 인증서(P12 파일)를 게이트웨이로 가져온 뒤에는, 그 객체를 HTTPS Inspection Policy에 추가 합니다. 이 절차는 조직 밖 클라이언트로부터 연결 요청을 받는 모든 서버에 대해 수행합니다.
Inbound 검사용 서버 인증서를 추가하는 절차
- SmartConsole에서 Security Policies > Shared Policies > HTTPS Inspection 으로 갑니다.
- Open HTTPS Inspection Policy In SmartDashboard 를 클릭합니다. SmartConsole이 열립니다.
- Server Certificates 를 클릭합니다.
- Add 를 클릭합니다. Import Inbound Certificate 창이 열립니다.
- Certificate name 과 Description(선택)을 입력합니다.
- 인증서 파일을 찾아 지정합니다.
- Private key password 를 입력합니다. 서버에서 그 인증서의 개인 키를 보호하는 데 썼던 것과 같은 암호 를 입력합니다.
- OK 를 클릭합니다.
서버 인증서를 처음 가져올 때 Successful Import 창이 열려, HTTPS Inspection Rule Base의 어디에 객체를 추가하면 되는지 알려 줍니다. 매번 이 창을 보고 싶지 않으면 Don't show this again 을 클릭한 뒤 Close 를 누릅니다.
HTTPS Inspection Policy
HTTPS Inspection 규칙은 게이트웨이가 HTTPS 트래픽을 어떻게 검사할지 를 정의합니다. 이 규칙은 URL Filtering 카테고리 를 써서 여러 웹사이트·애플리케이션의 트래픽을 식별할 수 있습니다. 예를 들어 사용자 사생활을 보호하려고, 은행·금융기관으로 가는 HTTPS 트래픽은 검사하지 않고 무시 하는 규칙을 둘 수 있습니다.
HTTPS Inspection 규칙은 HTTPS Inspection이 켜진 모든 Software Blade에 적용 됩니다. HTTPS Inspection을 지원하는 Blade는 다음과 같습니다.
- Access Control
- Application Control
- URL Filtering
- Content Awareness
- Threat Prevention
- IPS
- Anti-Virus
- Anti-Bot
- Threat Emulation
- Data Loss Prevention
HTTPS Inspection Policy 열기
- SmartConsole에서 Security Policies > Shared Policies > HTTPS Inspection 으로 갑니다.
- Open HTTPS Inspection Policy In SmartDashboard 를 클릭합니다.
규칙의 필드
HTTPS Inspection Security Policy의 규칙을 관리하는 필드는 다음과 같습니다.
| 필드 | 설명 |
|---|---|
| No. | HTTPS Inspection Rule Base에서의 규칙 번호. |
| Name | 관리자가 이 규칙에 붙이는 이름. |
| Source | 트래픽이 시작되는 곳을 정의하는 네트워크 객체. |
| Destination | 트래픽의 목적지를 정의하는 네트워크 객체. |
| Services | 검사하거나 우회(bypass)할 네트워크 서비스. 기본적으로 443 포트의 HTTPS 와 8080 포트의 HTTP_and_HTTPS proxy 가 검사 됩니다. 목록에 서비스를 추가하거나 삭제할 수 있습니다. |
| Site Category | 검사하거나 우회할 애플리케이션·웹사이트의 카테고리. |
| Action | HTTPS 트래픽이 규칙에 일치할 때 하는 동작. 트래픽을 검사(Inspect) 하거나 무시(Bypass) 합니다. |
| Track | 트래픽이 규칙에 일치할 때 하는 추적·로깅 동작. |
| Install On | HTTPS Inspection 규칙을 받는 네트워크 객체. HTTPS Inspection이 켜진 게이트웨이만 선택할 수 있습니다. |
| Certificate | 이 규칙에 쓰는 인증서. ▸ Inbound — 내부 서버가 쓰는 인증서를 선택합니다. ▸ Outbound — 네트워크의 컴퓨터들에 쓰는 Outbound Certificate 객체를 선택합니다. 규칙에 일치하면 게이트웨이가 선택한 서버 인증서로 출발 클라이언트와 통신합니다. 서버 인증서는 HTTPS Inspection > Server Certificates > Add 에서 만들 수 있습니다. |
| Comment | 규칙을 요약할 수 있는 선택 필드. |
HTTPS Inspection 규칙 구성하기
Outbound와 Inbound 트래픽에 대해 서로 다른 규칙 을 만듭니다.
- Outbound 규칙 은 게이트웨이용으로 생성한 인증서 를 씁니다.
- Inbound 규칙 은 내부 서버마다 다른 인증서 를 씁니다.
또한 민감해서 검사하지 않을 트래픽을 위한 Bypass 규칙 도 만들 수 있습니다.
규칙을 다 만들었으면 Access Control Policy를 설치 합니다.
예제 — HTTPS Inspection Rule Base 샘플
다음은 전형적인 정책의 HTTPS Inspection Rule Base 샘플입니다. (Track·Install On 열은 생략했으며, Track은 None, Install On은 Any 입니다.)
| No | Name | Source | Destination | Services | Site Category | Action | Blade | Certificate |
|---|---|---|---|---|---|---|---|---|
| 1 | Inbound traffic | Any | WebCalendar Server | HTTPS | — | Inspect | Any | WebCalendar Server CA |
| 2 | Financial sites | Any | Internet | HTTPS, HTTP_HTTPS_proxy | Financial Services | Bypass | Any | Outbound CA |
| 3 | Outbound traffic | Any | Internet | HTTPS, HTTP_HTTPS_proxy | Any | Inspect | Any | Outbound CA |
- Inbound traffic — 네트워크 객체 WebCalendarServer 로 가는 HTTPS 트래픽을 검사합니다. 이 규칙은 WebCalendarServer 인증서를 씁니다.
- Financial sites — Financial Services 카테고리로 정의된 웹사이트로 가는 HTTPS 트래픽은 검사하지 않는 Bypass 규칙 입니다. 이 규칙은 Outbound CA 인증서를 씁니다.
- Outbound traffic — 인터넷으로 가는 HTTPS 트래픽을 검사합니다. 이 규칙은 Outbound CA 인증서를 씁니다.
소프트웨어 업데이트 서비스에 대한 검사 우회
Check Point는 항상 허용해야 할 서비스의 승인된 도메인 이름 목록 을 동적으로 업데이트합니다. 이 옵션은 Check Point 업데이트나 Microsoft·Java·Adobe 같은 제3자 소프트웨어 업데이트가 차단되지 않 도록 보장합니다.
소프트웨어 업데이트에 대해 HTTPS Inspection을 우회하려면:
- SmartConsole에서 Manage & Settings > Blades > HTTPS Inspection > Configure In SmartDashboard 로 갑니다.
- SmartDashboard에서 HTTPS Inspection 탭을 클릭합니다.
- Policy 를 클릭합니다.
- Policy 창에서 Bypass HTTPS Inspection of traffic to well known software update services (list is dynamically updated) 를 선택합니다. 이 옵션은 기본적으로 선택 돼 있습니다.
- list 를 클릭하면 승인된 도메인 이름 목록을 볼 수 있습니다.
게이트웨이별 인증서 관리
Gateways 창에는 HTTPS Inspection이 켜진 게이트웨이들이 나열됩니다. 게이트웨이를 선택하고 Edit 를 클릭하면 속성을 편집할 수 있습니다.
CA Certificate 섹션에서는 필요하면 인증서 유효 기간(date range)을 갱신(renew) 하고, 조직의 클라이언트 머신들로 배포하기 위해 내보낼(export) 수 있습니다.
선택한 게이트웨이를 관리하는 Security Management Server에 생성된 CA 인증서가 아직 없다면, Import certificate from file 로 추가할 수 있습니다.
- 조직에 이미 구성된 CA 인증서 를 가져올 수 있습니다.
- 다른 Security Management Server의 CA 인증서 를 가져올 수 있습니다. 가져오기 전에, 그것이 만들어진 Server에서 먼저 내보내야 합니다(Security Management Server에서 인증서 내보내기 참고).
Outbound 검사용 Trusted CA 추가
클라이언트가 웹사이트 서버로 HTTPS 연결을 시작하면 게이트웨이가 그 연결을 가로챕니다. 게이트웨이는 트래픽을 검사하고 게이트웨이에서 지정 서버로 가는 새 HTTPS 연결 을 만듭니다. 게이트웨이가 지정 웹사이트로 안전한 연결(SSL tunnel)을 맺을 때는, 그 사이트 서버의 인증서를 검증 해야 합니다.
HTTPS Inspection에는 미리 구성된 신뢰할 수 있는 CA 목록(Trusted CAs) 이 함께 들어 있습니다. 이 목록은 필요할 때 Check Point가 업데이트하며 게이트웨이로 자동 다운로드 됩니다. 시스템은 기본적으로 Trusted CA 업데이트 파일이 설치 준비됐을 때 알려 주도록 구성돼 있습니다. SmartConsole에서 이 알림은 팝업 알림 으로 뜨거나 Trusted CAs 창의 Automatic Updates 섹션에 표시됩니다. 업데이트를 설치한 뒤에는 반드시 정책을 설치 하세요. 자동 업데이트 옵션을 끄고 Trusted CA 목록을 수동으로 갱신 할 수도 있습니다.
게이트웨이가 사이트로부터 신뢰되지 않는(non-trusted) 서버 인증서 를 받으면, 기본적으로 사용자는 생성 인증서가 아니라 자체 서명(self-signed) 인증서 를 받게 됩니다. 이때 웹사이트 보안 인증서에 문제가 있다는 페이지가 사용자에게 표시되지만, 사용자는 그 웹사이트로 계속 진행할 수 있습니다. 이 기본 설정을 신뢰되지 않는 서버 인증서를 차단 하도록 바꿀 수도 있습니다.
CA 인증서 저장하기
Trusted CAs 목록에서 선택한 인증서를 로컬 파일 시스템에 저장 할 수 있습니다.
- SmartConsole에서 HTTPS Inspection > Trusted CAs 를 엽니다.
- Actions > Export to file 를 클릭합니다.
- 위치를 찾아 파일 이름을 입력하고 Save 를 클릭합니다. CER 파일 이 생성됩니다.
HTTPS Validation
SmartConsole의 HTTPS Validation 페이지에서는 다음 옵션을 설정할 수 있습니다.
- Fail mode — 검사 중 오류가 났을 때의 동작.
- HTTPS site categorization mode — HTTPS 사이트 분류 방식.
- Server validation — 서버 인증서 검증.
- Certificate blacklisting — 인증서 블랙리스트.
- Troubleshooting — 문제 해결 옵션.
이 옵션들에 대해 더 알고 싶으면, HTTPS Validation 페이지에서 ? 를 클릭해 Help를 참고하세요.
HTTPS Inspection 로그 보기
HTTPS Inspection을 위한 미리 정의된 로그 쿼리(predefined log query) 는 HTTPS Inspection 정책에 일치했고 로깅하도록 구성된 모든 HTTPS 트래픽 을 보여 줍니다.
- SmartConsole의 Logs & Events > Logs 탭에서 Favorites 를 클릭합니다.
- HTTPS Inspection 쿼리를 선택합니다.
Logs 탭에는 HTTP Inspection Action 필드 가 있습니다. 이 필드 값은 inspect 또는 bypass 입니다. 트래픽에 HTTPS Inspection이 수행되지 않았다면 이 필드는 로그에 표시되지 않 습니다.
UserCheck
UserCheck 기능을 켜면, 게이트웨이가 관리자가 Security Policy에 구성한 규칙에 근거해, 규정 위반 가능성이 있는 행동이나 위험한 인터넷 브라우징에 대해 사용자에게 메시지 를 보냅니다. 이렇게 하면 사용자가 보안 사고를 예방하고 조직의 보안 정책을 배우는 데 도움이 됩니다. UserCheck 객체 를 만들어 Rule Base에서 사용해 사용자와 소통하고, 로그로 남은 사용자 응답을 바탕으로 효과적인 정책 을 발전시킬 수 있습니다.
UserCheck를 지원하는 Software Blade는 다음과 같습니다.
- Data Loss Prevention
- Access Control
- Application Control
- URL Filtering
- Content Awareness
- Threat Prevention
- Anti-Bot
- Anti-Virus
- Threat Emulation
- Threat Extraction
- Zero Phishing
UserCheck 시작하기
- SmartConsole의 게이트웨이 객체에서:
- a. 해당하는 Software Blade들을 활성화 합니다.
- b. 해당하는 UserCheck 설정을 구성 합니다(원문 "Configuring UserCheck" 참고).
- c. (선택) UserCheck Client 를 다운로드해 엔드포인트 컴퓨터에 설치합니다(원문 "UserCheck Client" 참고).
- (선택) SmartConsole의 Global Properties 에서 해당하는 UserCheck 설정을 구성합니다.
- SmartDashboard에서 해당하는 UserCheck Interaction Objects 를 구성합니다(원문 "UserCheck Interaction Objects" 참고).
- SmartDashboard에서 해당하는 Data Loss Prevention Policy 를 구성합니다(원문 "Data Loss Prevention Policies", "Data Loss Prevention by Scenario" 참고).
- SmartConsole에서 게이트웨이 객체에 Access Control Policy를 설치 합니다.
- 추가 구성 — UserCheck 포털의 현지화·맞춤(원문 "Localizing and Customizing the UserCheck Portal" 참고) 등을 진행합니다.
DLP와의 연결
HTTPS Inspection을 켜면 Web Proxy를 거치든 직접 나가든 HTTPS로 흐르는 데이터까지 DLP가 검사 할 수 있게 됩니다(설치와 배치의 Web Proxy 연동과 함께 봅니다). DLP는 위에서 본 HTTPS Inspection을 지원하는 Blade 중 하나 이므로, HTTPS Inspection이 켜진 게이트웨이라면 암호화된 트래픽 속 데이터 유출도 정책에 따라 잡아낼 수 있습니다.
인증서 관련 보조 설정은 고급 설정의 Server Certificates에서도 다룹니다. HTTPS Inspection Rule Base 설계와 인증서 신뢰 체계의 더 깊은 내용은 HTTPS Inspection (Security Management 가이드)를 함께 참고하세요.