목차/02. Identity Awareness 소개

02Identity Awareness 소개Identity Awareness 소개

전통적인 방화벽은 트래픽을 오직 IP 주소만 보고 감시 합니다. 이 방식으로는 그 주소 뒤에 누가, 어떤 컴퓨터가 있는지 전혀 드러나지 않습니다. Identity Awareness사용자·컴퓨터의 신원(identity)을 IP 주소에 매핑 해 이 빈틈을 메우는 기능입니다. 이렇게 신원이 IP에 붙으면 훨씬 세밀한 Access Control 정책 을 만들 수 있고, 데이터 감사(auditing)도 한결 정확 해집니다.

이 장에서는 Identity Awareness가 무엇을 해 주는지, 어떤 순서로 시작하는지, Access Role 객체란 무엇인지, 그리고 지금 알려진 한계는 무엇인지 를 원문이 담은 내용 그대로 빠짐없이 풀어 정리합니다.

무엇을 해 주나

Identity Awareness는 다재다능하고 확장성 있는(versatile and scalable) 솔루션 입니다. Active Directory 환경이든 아니든 모두에 어울리고, 직원(employee)이든 게스트(guest) 사용자든 폭넓게 아우릅니다. 동작 원리는 출발지(Source)·목적지(Destination) IP 주소를 활용해 사용자와 컴퓨터를 식별 하는 것이며, 이렇게 알아낸 신원을 Access Control 정책 규칙의 매칭 기준(matching criteria) 으로 씁니다.

대표적인 활용 사례를 보면 그림이 분명해집니다. 어떤 회사가 사용자 역할(role)에 따라 민감한 데이터 접근을 제한 하고 싶다고 합시다. Identity Awareness가 있으면 관리자는 특정 사용자 그룹만 특정 자원에 접근 하도록, 그것도 그들이 어떤 기기를 쓰든 상관없이 적용되는 규칙을 만들 수 있습니다. 예를 들어 "Finance 그룹 직원만 재무 보고서에 접근" 하는 규칙을, 그들이 사무실에서 일하든 원격에서 일하든 똑같이 강제할 수 있습니다.

Access Control 정책에 넣을 수 있는 기준은 다음 두 가지입니다.

  • 사용자 또는 사용자 그룹(User or User Group) 신원
  • 컴퓨터 또는 컴퓨터 그룹(Computer or Computer Group) 신원

이 두 기준을 조합하면, 지정한 컴퓨터에서(또는 아무 컴퓨터에서나) 트래픽을 보내는 지정 사용자 를 위한 규칙을 만들 수 있고, 반대로 지정한 컴퓨터의 아무 사용자나 를 위한 규칙도 만들 수 있습니다. "특정 사용자가 특정 PC에서만", "특정 PC라면 누구든" 같은 표현이 모두 정책으로 옮겨지는 셈입니다.

게이트웨이는 이 신원을 구성된 Identity Source에서 얻 습니다. 어떤 Identity Source가 있고 서로 어떻게 다른지는 해당 장에서 자세히 비교합니다.

신원이 트래픽에 붙으면 로그도 훨씬 풍부 해집니다. Identity Awareness를 구성한 뒤에는 SmartConsole의 Logs & Events > Logs 탭에서 IP 주소뿐 아니라 사용자(user)와 컴퓨터 이름(computer name) 기준으로도 로그 를 볼 수 있고, Logs & Events > Access Control 뷰에서 관련 이벤트를 확인할 수 있습니다.

또 하나 중요한 능력이 있습니다. 한 Identity Awareness Security Gateway자신이 취득한 신원 정보를 다른 Identity Awareness Security Gateway와 공유 할 수 있다는 점입니다. 덕분에 여러 Security Gateway를 거쳐 가야 하는 사용자도 단 한 번만 식별 되면 됩니다. 이 고급 환경의 구조는 Identity Sharing과 PDP·PEP에서 다룹니다.

시작하기 — 전체 구성 순서

Identity Awareness를 처음부터 켜는 과정은 다음 순서를 따릅니다. 각 단계가 어떤 가이드·SK 문서를 참고해야 하는지까지 함께 적어 둡니다.

  1. Management Server 설치 — 사용 중인 버전의 Installation and Upgrade Guide 를 참고합니다.
  2. Security Gateway 설치 — 마찬가지로 해당 버전의 Installation and Upgrade Guide 를 참고합니다.
  3. 필요한 Identity Client 설치 — 환경에 맞는 Identity Client를 설치합니다(sk134312 참고).
  4. SmartConsole에서 Security Gateway 구성 — 아래 하위 단계를 차례로 진행합니다.
    • 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
    • 대상 Security Gateway 객체 를 엽니다.
    • Identity Awareness Software Blade 를 활성화하고, 이어 뜨는 Identity Awareness Configuration 마법사 를 따라 진행합니다(게이트웨이에서 Identity Awareness 켜기).
    • 왼쪽에서 Identity Awareness 페이지를 클릭합니다.
    • 환경에 맞는 Identity Source와 그 설정 을 구성합니다(Identity Source 종류와 비교).
    • OK 를 클릭합니다.
  5. SmartConsole에서 Access Role과 Access Control 정책 구성 — 필요한 Access Role 을 만들고 방화벽 규칙(Rule Base)에 적용합니다(Access Role 만들기, 그리고 방화벽 Rule Base에서 Identity Awareness 사용하기 참고).
  6. SmartConsole에서 Access Control 정책 설치 — 만든 정책을 게이트웨이에 설치합니다.
  7. 로그 확인Logs & Events 뷰의 Logs 탭에서 로그를 살펴봅니다.

Access Role 객체란

SmartConsole에서는 Access Role 객체를 만들어 지정한 사용자·컴퓨터·네트워크 위치(network location)를 하나의 객체로 묶 을 수 있습니다. 즉 "누가, 어떤 컴퓨터에서, 어느 위치에 있을 때"를 한 덩어리로 정의해 두는 것입니다.

이렇게 만든 Access Role 객체는 규칙에서 출발지(Source) 또는 목적지(Destination) 파라미터 로 사용할 수 있습니다.

하나의 Access Role 객체는 다음 객체들 가운데 하나 이상 을 포함합니다.

알려진 한계 (Known Limitations)

마지막으로, 환경을 설계할 때 반드시 함께 고려해야 할 현재 알려진 제약 입니다.