01용어 정리용어 정리

Identity Awareness(IA) 는 사용자·컴퓨터의 신원을 IP 주소에 매핑 해, 전통 방화벽이 IP만 보던 한계를 메웁니다. 덕분에 더 세밀한 Access Control 정책과 정확한 감사 가 가능합니다(소개).

정책에서 신원을 쓰는 객체가 Access Role(액세스 롤) 입니다. 특정 사용자·컴퓨터·네트워크 위치를 하나의 객체로 묶어 규칙의 출발지·목적지로 씁니다(구성).

신원을 얻어 오는 통로가 Identity Source(신원 소스) 입니다. 게이트웨이가 트래픽을 일으킨 사용자·컴퓨터를 어떻게 알아내는지 를 정하는 취득 방법으로, 여러 종류가 있습니다(종류와 비교).

대표적인 신원 소스는 다음과 같습니다. Browser-Based Authentication(Captive Portal·Transparent Kerberos로 웹 인증), AD Query(Active Directory에서 클라이언트 없이 신원 취득), Identity Agent(엔드포인트에 설치한 에이전트로 SSO 인증), Terminal Servers(한 IP에서 여러 사용자를 식별), RADIUS Accounting(RADIUS 회계 요청에서 신원 취득), Identity Collector(AD 도메인 컨트롤러·Cisco ISE 등에서 수집), Identity Web API(JSON 요청으로 유연하게 신원 생성), Remote Access(Office Mode VPN 클라이언트 접속 시 신원 취득) 입니다.

여러 게이트웨이가 신원을 공유하는 구조의 두 축이 PDP와 PEP입니다. PDP(Policy Decision Point) 는 신원 소스에서 신원을 얻어 그룹 멤버십을 조회하고 Access Role을 계산해 다른 게이트웨이와 공유 하고, PEP(Policy Enforcement Point) 는 그 신원을 받아 Rule Base에 적용해 정책을 집행 합니다(Identity Sharing과 PDP·PEP). 이렇게 한 게이트웨이만 조회하고 나머지는 공유받아 신원 소스·디렉터리 부하를 줄입니다.

신원을 더 정교하게 공유·중재하는 메커니즘으로 Identity Broker(게이트웨이 간 신원 중개)와 Identity Conciliation(여러 소스에서 온 신원을 조정)이 있습니다(Identity Broker).

웹 인증에는 Captive Portal(미식별 사용자가 로그인하는 웹 포털)과 Transparent Kerberos Authentication(AD에 이미 로그인한 사용자를 투명하게 SSO 인증)이 쓰입니다(고급 브라우저 인증). 클라우드 연동에는 SAML(표준 인증 프로토콜)·Azure AD(Microsoft 클라우드 신원 서비스)가, AD 환경에는 AD Proxy 가 쓰입니다(연동 인증).

운영에 쓰는 주요 CLI 도구로는 adlog(AD Query 로그), pdp(PDP 프로세스 제어·모니터링), pep(PEP 프로세스), test_ad_connectivity(AD 연결 테스트) 가 있습니다(명령줄·참조).