목차/12. Watermark와 정밀 조정

12Watermark와 정밀 조정Watermark와 정밀 조정

정책의 뼈대를 세웠다면, 이제 나가는 문서에 추적용 Watermark를 입히고, Source·Destination·Protocol을 세밀하게 손보며, 사용자가 DLP 게이트웨이에 어떻게 접근하는지까지 정리하는 단계입니다. 이 장은 DLP 정책을 우리 환경에 딱 맞게 조이는 도구들을 빠짐없이 모았습니다. 워터마크 프로파일을 만들고 충돌을 푸는 법, 부서별 규칙 설계, 프로토콜별 최적화, 그리고 통합 DLP 게이트웨이의 접근 제어와 전용 DLP 게이트웨이의 내부 방화벽 정책 까지 차례로 다룹니다.

Watermark — 나가는 문서에 표식 남기기

Watermark(워터마크) 는 워터마킹 데이터가 담긴 커스텀 XML 파일을 도입할 때 적용 되며, 나가는 Microsoft Office 문서에 보이는 표식이나 보이지 않는 암호화 텍스트를 넣어 추적합니다. 워터마크를 넣을 수 있는 대상은 Office Open XML 형식인 세 가지뿐 입니다.

  • DOCX
  • PPTX
  • XLSX

문서에 워터마크 적용하기 (Watermarking Documents)

정책의 특정 Data Type에 워터마크를 거는 과정입니다.

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭을 보여 줍니다.
  2. 탐색 트리에서 Policy 를 클릭합니다.
  3. 해당 Data Type의 Action 셀을 우클릭하고, Ask·Inform User·Detect 같은 제한적(restrictive) Action 을 선택합니다.
  4. 다시 Action 셀을 우클릭하고 Watermark 프로파일 을 선택합니다. DLP에는 기본 내장 프로파일이 세 개 있습니다.
프로파일동작
Classified페이지 가운데에 "Classified" 라는 단어를 넣습니다.
Invisible only숨김 텍스트(hidden text)만 들어갑니다.
Restricted페이지 아래쪽에 "Restricted" 를 넣고, 발신자(sender)·수신자(recipient)·발송일(send date) 필드를 삽입합니다.
  1. 기존 워터마크 프로파일이 없으면 New 를 클릭해 새로 만듭니다.
  1. Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
  2. SmartConsole에서 정책을 설치(install)합니다.

새 워터마크 프로파일 만들기 (Creating a New Watermark Profile)

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리고 DLP 탭을 보여 줍니다.
  2. 탐색 트리에서 Additional Settings > Watermarks 를 클릭합니다.
  3. New 를 클릭하면 Watermark Profiles 창이 열립니다.
  4. General 페이지에서 워터마크 프로파일의 Name(이름) 을 입력합니다.
  5. Advanced 를 클릭하면 Advanced Settings 창이 열립니다.
  6. Word·Excel·PowerPoint마다 다른 워터마크를 만들려면 Use the same configuration for all supported file types(모든 지원 파일 형식에 동일 구성 사용) 옵션의 체크를 해제 합니다.
  1. 다음 옵션들에 워터마크 세트를 추가합니다. 실제 적용 결과는 문서 안의 Section Break(구역 나누기) 존재 여부와 문서를 만든 MS Word 버전(2007 vs 2010) 에 따라 달라 집니다.

All pages(모든 페이지)

Section BreakWord 2007Word 2010
Yes모든 페이지에 워터마크모든 페이지에 워터마크
No모든 페이지에 워터마크모든 페이지에 워터마크

First page only(첫 페이지만)

Section BreakWord 2007Word 2010
Yes모든 페이지에 워터마크첫 페이지에만 워터마크
No모든 페이지에 워터마크첫 페이지에만 워터마크

Even pages only(짝수 페이지만)

Section BreakWord 2007Word 2010
Yes모든 페이지에 워터마크모든 페이지에 워터마크
No짝수 페이지에만 워터마크짝수 페이지에만 워터마크

Odd pages only(홀수 페이지만)

Section BreakWord 2007Word 2010
Yes모든 페이지에 워터마크모든 페이지에 워터마크
No홀수 페이지에만 워터마크홀수 페이지에만 워터마크
  1. OK 를 클릭합니다.

Word·PowerPoint 워터마크 텍스트 뒤에 그림자 넣기

워터마크 글자 뒤에 그림자(shadow)를 넣으려면 게이트웨이에서 설정 파일을 직접 손봐야 합니다.

  1. Security Gateway에서 다음을 실행합니다.
   
  1. Security Gateway에서 다음 파일을 편집용으로 엽니다.
   
  1. 다음 속성을 찾습니다.
   
  1. 이 속성의 값을 0에서 1 바꿉니다.
  2. DOCX·PPTX 파일에 대해 워터마크의 투명도(transparency)와 크기(size) 백분율 을 설정합니다. watermark_text_opacity_percentage 속성을 30(투명도 70%에 해당)에서 원하는 값으로 바꿉니다.
  3. 파일을 저장하고 닫습니다.
  4. 다음을 실행합니다.
   

General 페이지에서 워터마크 설정하기

General 페이지에서는 보이는 워터마크의 위치와 텍스트를 다룹니다.

  1. 워터마크의 위치 설정:
    1. 워터마크 그래픽을 클릭하면 Select text location on page(페이지에서 텍스트 위치 선택) 창이 열립니다.
    2. 워터마크를 둘 위치를 클릭합니다.
  2. 워터마크의 텍스트 설정:
    1. 워터마크 텍스트가 있는 필드를 클릭합니다. 새 워터마크를 만들려면 Add watermark text to another location(다른 위치에 워터마크 텍스트 추가)을 클릭합니다. 그러면 텍스트 서식 도구가 나타납니다.
    2. Insert Field 를 클릭해 동적 필드(dynamic field) 를 워터마크에 추가합니다.
    3. Diagonal 버튼을 클릭하면 텍스트를 45도 대각선 으로 보여 줍니다.
  1. 텍스트를 70% 투명 으로 바꾸려면 Transparency 버튼을 클릭합니다.
  2. OK 를 클릭합니다.

Hidden Text 페이지에서 워터마크 설정하기

Hidden Text 페이지에서는 문서에 보이지 않게 삽입되는 암호화 텍스트를 다룹니다.

  1. Add the following hidden text to the document(다음 숨김 텍스트를 문서에 추가)를 선택합니다.
  2. Add 를 클릭하고, 암호화된 숨김 텍스트로 문서에 삽입할 필드를 선택합니다.
  3. 포렌식 추적(forensic tracking)을 위해, 숨김 텍스트는 DLP 워터마크 보기 도구(DLP watermark viewing tool) 로 확인할 수 있습니다(아래 "DLP 워터마크 보기 도구" 참고).
  4. OK 를 클릭합니다.

SmartConsole과 같은 컴퓨터에 Microsoft Office 2007 이상이 설치돼 있으면 미리보기 창(preview pane)에 샘플 파일 위로 워터마크 미리보기가 나타납니다.

  1. Additional Settings > Advanced > Watermarks 섹션에서:
    1. Apply watermarks on Data Loss Prevention rules(DLP 규칙에 워터마크 적용)가 선택돼 있는지 확인합니다.
    2. 문서가 여러 DLP 게이트웨이를 반복해서 통과할 때 기존 워터마크를 어떻게 다룰지 정합니다. 현재 워터마크를 유지(keep)하거나 교체(replace) 할 수 있습니다.

워터마크 프로파일 마무리하기

  • Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
  • SmartConsole에서 정책을 설치합니다.

워터마크 미리보기 (Previewing Watermarks)

SmartConsole > Data Loss Prevention 탭 > Additional Settings > Watermarks 에서, 워터마크는 오른쪽 창에 샘플 문서 위로 미리보기됩니다.

미리보기 방법:

  1. Security Management Server에서 샘플 Office 파일을 내려받습니다.
  2. 그 파일들에 워터마크를 적용합니다.

샘플 미리보기 파일의 이름은 다음과 같습니다 — example.docx, example.pptx, example.xlsx. 문서를 열거나 미리보려면 컴퓨터에 Microsoft Office 2007 이상과 SmartConsole 이 설치돼 있어야 합니다.

User-Added Files(사용자 추가 파일) 에도 워터마크를 미리볼 수 있습니다.

  1. 미리보기 창의 드롭다운 박스를 열면 Select File 창이 열립니다.
  2. Add 를 클릭하고 Word·Excel·PowerPoint 파일을 찾아 엽니다. 이제 Select File 창은 User Added FilesSample Files 로 나뉩 니다.
  3. 추가한 파일을 선택하면 워터마크가 적용된 모습으로 미리보입니다.

MS Office 문서에서 워터마크 보기

DLP 게이트웨이가 워터마킹한 Office 문서는 다음 방법으로 워터마크를 확인합니다.

Office 문서이동 경로
WordView > Print Layout 또는 Full Screen Reading
ExcelView > Page layout > Print Layout
PowerPointPowerPoint에는 여러 내장 레이어가 있습니다. DLP 워터마크는 슬라이드 레이아웃 레이어 위, 슬라이드 콘텐츠 레이어 아래 에 놓입니다. 즉 워터마크는 항상 슬라이드 콘텐츠 아래 에 보입니다.

워터마크 충돌 해결하기 (Resolving Watermark Conflicts)

DLP 게이트웨이가 스캔할 때, 문서가 첨부된 이메일이 여러 DLP 규칙에 동시에 매칭 될 수 있습니다. 규칙들이 서로 다르고 충돌하는 워터마크 프로파일을 가졌다면, 보이는 워터마크의 충돌과 숨김 텍스트의 충돌을 각각 해결해야 합니다.

보이는 워터마크 충돌 해결

나가는 문서가 여러 규칙에 매칭되고 각 규칙이 다른 워터마킹 프로파일을 지정하면 충돌이 생깁니다. 예컨대 서로 다른 프로파일이 가운데에 다른 텍스트를 지정하면, 규칙 우선순위(rule precedence)에 따라 여러 프로파일을 병합(merge) 해 충돌을 풉니다. 규칙 우선순위는 ACTIONSEVERITY 우선순위 로 결정됩니다.

우선순위가 정해지면, 다음 기준으로 병합 프로파일이 만들어집니다.

  • 우선순위가 가장 높은 규칙 의 보이는 워터마크는 모두 문서에 추가됩니다.
  • 두 번째로 높은 규칙의 보이는 워터마크는 첫 번째 것과 충돌하지 않을 때만 추가됩니다.
  • 세 번째로 높은 규칙의 보이는 워터마크는 앞의 두 규칙이 추가한 것과 충돌하지 않을 때만 추가됩니다.

이 과정은 모든 워터마크가 병합 프로파일에 추가될 때까지 반복됩니다. 예를 들어 각각 커스텀 워터마크 프로파일을 가진 DLP 규칙 세 개가 있고, 한 이메일이 셋 모두에 매칭된다고 합시다.

DLP Data RulePrecedence(우선순위)Watermark Profile 이름그래픽 번호
Rule_A1W11
Rule_B2W22
Rule_C3W33
  • Rule_1은 Rule_2·Rule_3보다 우선순위가 높습니다.
  • Rule_2는 Rule_3보다 우선순위가 높습니다.

병합 프로파일(4)은 모든 프로파일에서 요소를 가져와 만들어집니다.

p.251
p.251
  • W1의 워터마크는 전부 병합 프로파일(4)에 추가됩니다.
  • W2에서는 가운데 워터마크만 추가됩니다(오른쪽 위 모서리 워터마크는 더 높은 우선순위의 W1이 이미 놓은 자리를 덮어쓰지 못합니다).
  • W3에서는 오른쪽 아래 모서리 워터마크만 추가됩니다(가운데 위 위치는 더 높은 우선순위의 W1이 이미 차지했습니다).

병합 프로파일의 이름 — 병합 프로파일이 기존 프로파일들(숨김 텍스트나 보이는 워터마크)에서 요소를 가져오면, 그 프로파일들의 이름이 병합 프로파일 이름에 합쳐집니다. 위 예에서 병합 프로파일 이름은 세미콜론으로 구분된 W1;W2;W3 가 됩니다. 이 이름이 Logs & Events 뷰의 DLP Watermark Profile 열에 표시됩니다.

숨김 텍스트 워터마크 충돌 해결

서로 다른 프로파일이 보이지 않는 텍스트를 지정하면, 우선순위가 가장 높은 규칙에 붙은 프로파일의 텍스트만 사용됩니다. 우선순위는 DLP Rule Base의 ACTIONSEVERITY 우선순위에서 나옵니다.

ACTION 우선순위

ActionPriority
Ask User1
Inform User2
Detect3

숨김 텍스트는 ACTION 우선순위가 가장 높은 규칙의 프로파일 에서 가져옵니다. 두 규칙이 모두 Ask User라 ACTION 우선순위가 같으면, 그때 SEVERITY 를 봅니다.

SEVERITY 우선순위

SeverityPriority
Critical1
High2
Medium3
Low4

예를 들어 문서가 첨부된 이메일이 다음 두 규칙에 매칭된다고 합시다.

DataActionSeverityWatermark Profile
Rule 1Ask UserLowW1
Rule 2DetectCriticalW2

Rule 1의 ACTION(Ask User)이 Rule 2의 ACTION(Detect)보다 우선순위가 높으므로 Rule 1이 우선 합니다. Rule 2의 SEVERITY가 더 높음에도, W1 프로파일의 숨김 텍스트가 적용 됩니다. 규칙을 다음처럼 바꾸면:

DataActionSeverityWatermark Profile
Rule 1Inform UserLowW1
Rule 2Inform UserMediumW2

ACTION 우선순위가 같으니 SEVERITY를 봅니다. Medium이 Low보다 높으므로 W2 프로파일의 숨김 텍스트가 추가되고 Rule 2가 우선 합니다. ACTION과 SEVERITY가 모두 같으면:

DataActionSeverityWatermark Profile
Rule 1Inform UserLowW1
Rule 2Inform UserLowW2

이때는 Data 열에 있는 규칙 이름을 기준으로 한 내부 계산 에 따라 우선순위가 정해집니다.

워터마크 기능 켜고 끄기

워터마크 옵션은 여러 방법으로 끌 수 있습니다.

  • Database Tool (GuiDBEdit Tool) 에서 — enable_watermarking_feature 속성을 찾아 값을 FALSE 로 설정합니다.
  • DLP > Additional Settings > Advanced > Watermarks 섹션에서 Apply watermarks on DLP rules 의 체크를 해제 합니다.

워터마크를 끄면 DLP 규칙 베이스 아래쪽에 Watermarks are not applied on the DLP policy 라는 경고가 표시됩니다. 그 경고의 Apply 를 클릭하면 Advanced Settings 창이 열려, 다시 DLP 규칙에 워터마크를 켤 수 있습니다.

DLP 워터마크 보기 도구 사용하기 (DLP Watermark Viewing Tool)

포렌식 추적을 위해, 숨김 텍스트는 DLP 워터마크 보기 도구로 복호화해 읽을 수 있습니다. 워터마킹된 문서의 숨김 텍스트를 보는 방법은 다음과 같습니다.

  1. 문서 한 개 또는 문서가 든 폴더를 DLP 게이트웨이로 복사합니다.
  2. Security Gateway에서 다음을 실행합니다.
   

파일 하나의 이름, 또는 여러 파일이 든 디렉터리 경로를 입력합니다. 3. 출력에는 프로파일에 포함된 숨김 필드(hidden fields) 가 나타납니다.

숨김 텍스트 복호화에 쓰는 키(key)는 Security Management Server에 저장되어 Security Gateway로 내려 받아집니다. 같은 Security Management Server가 관리하는 DLP 게이트웨이들은 같은 키와 공통의 (무작위) ID를 공유 합니다. 이 무작위 ID는 그 게이트웨이에 DLP 정책을 설치한 Security Management Server를 식별합니다. 따라서 보기 도구는 같은 Security Management Server가 관리하는 게이트웨이가 추가한 텍스트만 보여 줍니다. 예컨대 문서가 서로 다른 Security Management Server가 관리하는 세 DLP 게이트웨이를 거쳤다면, 각 Security Gateway에 파일을 복사해 각각에서 도구를 실행해야 하며, 도구는 그 게이트웨이가 추가한 숨김 텍스트만 보여 주고 다른 Server가 관리하는 게이트웨이가 추가한 텍스트는 보여 주지 않습니다.

Source·Destination 정밀 조정

규칙 베이스에서 기본값인 Source(My Organization)와 Destination(Outside My Org)은 SmartConsole에 정의된 어떤 네트워크 객체·사용자·그룹으로든 바꿀 수 있고, DLP 전용으로 사용자 정의를 정밀 조정할 수도 있습니다.

도메인 객체 만들기

Gmail·Hotmail 같은 특정 도메인을 Source나 Destination으로 쓰려면 도메인 객체를 만듭니다.

  1. SmartConsole에서 Objects > Object Explorer(CTRL+E)를 클릭합니다.
  2. New > Network Object > More > Domain 을 클릭하면 New Domain 창이 열립니다.
  3. Enter Object Name 에 도메인의 URL을 입력합니다.
  4. FQDN 체크를 해제 합니다.
  5. OK 를 클릭합니다.
  6. SmartConsole 세션을 Publish합니다.

부서별로 다른 규칙 만들기

규칙의 Source 를 특정 사용자·그룹·호스트·네트워크·VPN으로 두고, DestinationOutside 로 두면, 그 규칙은 Source에서 그 Source의 바깥 어디로든 가는 데이터 전송 을 검사합니다. 이렇게 한 사용자 그룹에 특화된 DLP 규칙 이 만들어집니다.

또는 Destination을 다른 사용자·그룹·호스트 등으로 두면, 두 사용자 그룹 사이의 데이터 전송 을 검사·통제하는 규칙이 됩니다.

예시 1 — 재무 부서가 급여 정보를 직원에게 흘리지 못하게

  • Source = Finance(재무 부서의 사용자·그룹·네트워크를 포함하는 그룹)
  • Destination = Outside Source(My Organization 내부든 외부든, Finance 바깥 어디든)
  • Data Type = Salary Reports(스프레드시트 또는 급여 정규식 ([0-9]*),[0-9][0-9][0-9].[0-9][0-9] 과 직원 이름을 매칭하는 Data Type Group)
DataSourceDestinationAction
Salary ReportsFinanceOutside SourcePrevent

예시 2 — 정규직이 임시직에게 고객 목록을 보내지 못하게

  • Source = My Organization
  • Destination = Temps(임시직 사용자 계정 그룹)
  • Data Type = Customer Names(고객 이름 사전으로 커스터마이즈한 내장 Data Type)
DataSourceDestinationAction
Customer NamesMy OrganizationTempsPrevent

예시 3 — 부서마다 다른 규칙

법무(Legal) 부서는 법률 회사에 기밀 법률 문서를 보냅니다. 그 회사로는 보낼 수 있어야 하지만, 내부든 외부든 다른 누구에게도 새 나가면 안 됩니다. HR은 법률 계약서를 모든 직원에게 보내야 하지만, 조직 외부로 새 나가면 안 됩니다. 그 밖의 모든 부서는 회사 템플릿 기반 법률 문서를 누구에게도 보낼 이유가 없되, HR에 계약서를 회신하는 경우만 예외 입니다.

  • 첫 번째 규칙
    • Source = Legal(법무 부서를 포함하는 그룹)
    • Destination = Outside Source(다른 부서나 조직 외부로 새 나가지 못하게)
    • Data = 내장 Legal Documents
    • Exception = 변호사 이메일 주소로는 전송 허용
    • Action = Ask User
  • 두 번째 규칙
    • Source = HR
    • Destination = Outside My Org
    • Data = 내장 Legal Documents
    • Action = Ask User
  • 세 번째 규칙
    • Source = Legal과 HR을 제외한 모든 그룹의 선택
    • Destination = Outside Source(사용자가 기밀 계약서를 공유하지 못하게)
    • Data = 내장 Legal Documents
    • Exception = HR로는 전송 허용
    • Action = Ask User

DMZ 격리하기 (Isolating the DMZ)

DLP가 DMZ로 가는 데이터 전송을 검사하게 하려면, DMZ를 My Organization의 외부(external)로 구성 합니다. 예컨대 PCI DSS(Payment Card Industry Data Security Standard)의 요구사항 1.4.1은, 보안된 내부 데이터 접근 지점으로/에서 직접적인 인터넷 트래픽을 막기 위해 환경에 DMZ를 포함하도록 요구합니다.

My Organization에서 DMZ로 가는 트래픽이 DLP 검사를 받게 하려면:

  1. DLP 게이트웨이 구성에 DMZ 호스트·네트워크의 정의가 포함 돼 있는지 확인합니다.
  2. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다.
  3. 탐색 트리에서 My Organization 을 클릭합니다.
  4. Networks 섹션에서 다음을 확인합니다.
    • Anything behind the internal interfaces of my DLP Gateways(내 DLP 게이트웨이 내부 인터페이스 뒤의 모든 것)는 선택됨
    • DMZ로 향하는 것으로 표시된 인터페이스 뒤의 모든 것은 선택 안 됨
  5. Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
  6. SmartConsole에서 정책을 설치합니다.

가장 엄격한 보안 정의하기 (Defining Strictest Security)

가능한 한 가장 엄격한 환경을 정의할 수도 있습니다. 이 설정을 쓰면 보안된 환경 안에서·안으로 일어나는 전송이라도 항상 DLP 검사 를 받습니다.

엄격한 My Organization을 정의하는 방법:

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다.
  2. 탐색 트리에서 My Organization 을 클릭합니다.
  3. Email Addresses 섹션에서 정의된 항목을 모두 제거 합니다.
  4. VPN 설정:
    1. VPN 섹션에서 All VPN traffic 을 클릭합니다.
    2. Exclusions 를 클릭합니다.
    3. VPN Communities 창에서 DLP가 검사하지 않을 커뮤니티 를 추가합니다.
    4. OK 를 클릭합니다.
  5. Networks 설정:
    1. Networks 섹션에서 Select specific networks and hosts 를 클릭합니다.
    2. Edit 를 클릭합니다.
    3. Networks and Hosts 창에서 My Organization에 포함할 Check Point 네트워크 객체를 선택합니다.
    4. OK 를 클릭합니다.
  6. Users 설정:
    1. Users 섹션에서 These users, user groups and LDAP groups only 를 클릭합니다.
    2. Edit 를 클릭합니다.
    3. User Groups and Users 창에서 My Organization에 포함할 사용자·사용자 그룹·LDAP 그룹을 선택합니다.
    4. OK 를 클릭합니다.
  7. Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
  8. SmartConsole에서 정책을 설치합니다.

프로토콜 지정 — 성능과의 균형

DLP 정책의 각 규칙은 데이터 전송의 Protocol(프로토콜) 정의를 갖습니다. 기본값은 Any(켜진 모든 프로토콜에 대해 DLP가 전송을 스캔) 입니다. DLP가 지원하는 프로토콜은 전체 차원(in general), 게이트웨이별, 규칙별 세 수준에서 조절할 수 있습니다.

전체 차원에서 지원 프로토콜 지정

  1. Additional Settings > Protocols 를 엽니다.
  2. 전반적으로 DLP 지원을 줄 프로토콜을 선택합니다.

예컨대 성능이 문제가 되면 여기서 HTTP 체크박스를 해제 해, 정책을 달리 건드리지 않고도 HTTP 게시와 웹메일을 DLP 검사 없이 통과 시킬 수 있습니다.

개별 DLP 게이트웨이의 지원 프로토콜 지정

  1. Additional Settings > Protocols 를 엽니다.
  2. Protocol Settings on DLP Blades 영역에서 DLP 게이트웨이를 선택합니다.
  3. Edit 를 클릭하면 그 Security Gateway의 속성 창이 열립니다.
  4. Security Gateway 속성의 Data Loss Prevention 페이지를 엽니다.
  5. Apply the DLP policy to these protocols only 를 선택하고, 이 DLP 게이트웨이에서 지원할 프로토콜을 고릅니다.

규칙별 지원 프로토콜 지정

  1. Policy 뷰에서 Protocol 열의 더하기(+) 버튼을 클릭합니다. 이 열이 보이지 않으면 열 머리글을 우클릭하고, 표시되는 후보 목록에서 Protocols 를 선택합니다.
  2. 이 규칙에 적용할 프로토콜을 선택합니다.

규칙의 다른 조건에는 맞지만 다른 프로토콜로 보내진 트래픽은 검사되지 않 습니다.

프로토콜에 맞춘 정밀 조정 (Fine Tuning for Protocol)

규칙에 특정 Source나 Destination을 지정하면, 선택한 프로토콜에 맞춰 규칙을 최적화 할 수 있습니다. 기본적으로 규칙은 모든 지원 프로토콜, 또는 Security Gateway에 선택된 기본 프로토콜(Check Point Security Gateway 창에서)을 씁니다.

  • 규칙이 SMTP 같은 메일 전송 프로토콜만 쓰도록 지정하면, Source·Destination은 사용자(사용자 그룹·LDAP Account Unit 포함)나 이메일 주소(특정 이메일·도메인 포함) 가 될 수 있습니다.
  • 규칙이 HTTP나 FTP, 또는 둘만 쓰도록 지정하면, 규칙은 IP 주소로 인식되지 않는 Source·Destination은 무시 합니다.
  • 규칙이 모든 지원 프로토콜 을 쓰면, HTTP·FTP는 IP 주소로 지정할 수 있는 Source·Destination만 인식하고, SMTP는 사용자와 이메일 기반의 Source·Destination 을 인식해 규칙을 적용합니다.

HTTP 포트 추가하기 (Configuring More HTTP Ports)

표준 HTTP 포트(80, 8080) 외의 다른 포트에서 도는 HTTP 전송을 스캔하려면, 비표준 포트를 HTTP 프로토콜에 포함하도록 정의 해야 합니다.

  1. SmartConsole에서 Objects > Object Explorer(Ctrl+E)를 클릭합니다.
  2. New > Service > TCP 를 클릭합니다.
  3. TCP 객체의 이름을 입력합니다.
  4. Protocol 에서 HTTP 를 선택합니다.
  5. 필요하면 Customize 를 클릭해 포트나 포트 범위를 입력합니다.
  6. OK 를 클릭합니다.
  7. Access Control 정책을 설치 합니다.

통합 DLP 게이트웨이 사용자 접근 구성

DLP PortalUserCheck 를 쓰려면, 사용자가 DLP 게이트웨이에 접근할 수 있어야 합니다. 기본적으로 사용자는 게이트웨이의 내부 인터페이스로만 접근할 수 있고, 외부 인터페이스로는 접근할 수 없 습니다.

사용자 접근은 SmartConsole에서 DLP 게이트웨이 객체의 Data Loss Prevention 페이지 안 Accessibility 섹션에서 구성합니다. 선택지는 다음과 같습니다.

  • Through all interfaces(모든 인터페이스로) — 외부 인터페이스를 포함해 모든 인터페이스로 사용자가 DLP 게이트웨이에 접근하게 합니다.
  • Through internal interfaces(내부 인터페이스로) — DLP 게이트웨이 객체의 Topology 페이지에서 Internal로 정의된 인터페이스 로만 접근하게 합니다. Topology에서 인터페이스가 Not Defined 거나 Interface leads to DMZ 면, DLP Accessibility 관점에서는 내부 인터페이스로 치지 않 습니다. 이것이 기본 옵션 이며, 외부 Security Gateway 인터페이스로부터의 무단 접근을 막으려면 권장됩니다. 이 옵션이 의미를 가지려면 DLP 게이트웨이의 내부·외부 인터페이스 토폴로지가 올바르게 정의 돼 있어야 합니다.
    • Including VPN encrypted interfaces(VPN 암호화 인터페이스 포함) — 라우트 기반 VPN 터널(VTI)을 맺는 데 쓰이는 인터페이스를 포함합니다.
  • According to the Firewall policy(방화벽 정책에 따라) — SmartConsole 관리자가 정의한 Firewall Rule Base 규칙에 따라 접근을 허용합니다. DLP를 위해 어떤 포트를 열지 직접 결정하고 싶을 때 이 옵션을 씁니다. 적용 대상 포트는 다음과 같습니다.
FeatureServiceTCP Port
DLP PortalTCP HTTP80
DLP PortalTCP HTTPS443
DLP PortalTCP18300
UserCheckTCP HTTPS443
Reply-to-emailTCP HTTPS25

예컨대 원격 사이트나 원격 사용자가 DLP 게이트웨이에 접근하게 하려면, 해당 VPN Community에서 DLP 게이트웨이로 가는 UserCheck 서비스(포트 18300)와 HTTPS(포트 443) 접근을 허용하는 규칙을 추가 합니다. 또 SMTP 통신을 허용할 Source IP 주소 도 정의할 수 있는데, 이는 보통 사용자로부터 이메일을 받는 Mail Server 입니다.

전용 DLP 게이트웨이의 내부 방화벽 정책

전용(dedicated) DLP 게이트웨이미리 정의된 고정 내부 방화벽 정책(Internal Firewall Policy)을 적용 합니다. 이 정책은 DLP Portal·UserCheck·SMTP 같은 UserCheck 서비스에 사용자가 접근 하게 해 주며, 묵시적 규칙(implied rules) 으로 구성됩니다.

이 내부 방화벽 정책은, 관리자가 SmartConsole의 Data Loss Prevention 탭 Policy 페이지에서 정의하는 DLP Policy 와도 무관 하고, SmartConsole에서 명시적으로 정의하는 Access Control Policy 와도 무관 합니다.

Install Policy를 하면 게이트웨이 유형에 따라 적용 대상이 다릅니다.

  • 통합(integrated) DLP Security GatewayFirewall Policy 와 DLP Policy 를 적용합니다.
  • 전용 DLP 게이트웨이Internal Firewall Policy 와 DLP Policy 를 적용합니다.

내부 방화벽 정책은 DLP 게이트웨이에서 다음 서비스·포트만(그 외에는 일절 안 됨) 사용자가 접근 하게 합니다.

FeatureServiceTCP Port
DLP PortalTCP HTTP80
DLP PortalTCP HTTPS443
DLP PortalTCP18300
UserCheckTCP HTTPS443
WebUITCP4434
Reply-to-emailSMTP25
Secure ShellSSH22
ICMPICMP requests