목차/03. Identity Source 종류와 비교

03Identity Source 종류와 비교Identity Source 종류와 비교

Identity Source(신원 소스)Identity Awareness 게이트웨이가 네트워크에 트래픽을 일으킨 사용자 이름과 컴퓨터를 어떻게 알아내는지 를 정합니다. Identity Awareness 정책은 결국 "이 트래픽이 누구의 것인가"를 알아야 동작하는데, 그 "누구"를 채워 넣어 주는 출처가 바로 Identity Source입니다. 소스는 여러 종류가 있고 각각 잘 맞는 환경과 목적이 다르므로, 이 장은 모든 소스 종류를 하나씩 빠짐없이 풀어 설명하고, 마지막에 어떤 상황에 무엇을 골라야 하는지를 비교표로 정리합니다.

Identity Awareness가 다루는 신원의 종류는 네 가지입니다 — 네트워크(Networks), 사용자·사용자 그룹(Users and user groups), 컴퓨터·컴퓨터 그룹(Computers and computer groups), Remote Access 클라이언트(Remote Access Clients) 입니다. 예를 들어 IT 부서와 영업 부서 역할(Access Role)에게만 FTP로 파일 공유를 허용하는 규칙은 다음과 같은 모습이 됩니다.

Name        Source                Destination  Services  Action
─────────────────────────────────────────────────────────────
IT_dept     IT_dept / Sales_dept  *Any         ftp       accept
& Sales
File Sharing

여기서 규칙의 Source 칸에 들어간 IT_dept·Sales_dept 같은 신원은, 아래에서 설명할 Identity Source들이 게이트웨이에 알려 준 정보로 채워집니다.

소스를 얻는 두 가지 방식

게이트웨이는 신원을 두 가지 경로로 받아들입니다.

  • 일부 소스에서는 게이트웨이가 직접 신원을 얻습니다(예: AD Query는 게이트웨이가 도메인 컨트롤러와 직접 통신).
  • 다른 소스에서는 엔드포인트 기기나 Windows 서버에 설치된 Identity Client가 신원을 얻어 게이트웨이에 공유 합니다(예: Identity Agent, Identity Collector).

여기서 한 가지 알아 둘 점은, Identity Client의 버전이 Identity Awareness 게이트웨이의 버전과 다를 수 있다 는 것입니다. 즉 게이트웨이를 업그레이드하지 않아도 최신 클라이언트를 쓸 수 있습니다. 최신 Identity Client는 sk134312 에서 내려받습니다.

한눈에 보는 소스 목록

본격적으로 들어가기 전에, 게이트웨이가 다루는 신원 소스 전체를 한 줄씩 정리하면 다음과 같습니다.

Identity Source신원을 얻는 방식(요약)
Browser-Based Authentication게이트웨이의 인증 웹 포털(Captive Portal) 또는 Transparent Kerberos Authentication 으로 취득
Active Directory Query (AD Query)Microsoft Active Directory에서 클라이언트 없이(clientless) 매끄럽게 취득
Identity Agents사용자 엔드포인트 컴퓨터 에 설치한 Identity Agent로 취득
Terminal ServersTerminal Servers·Citrix XenApp·Citrix XenDesktop을 호스팅하는 Windows 애플리케이션 서버에 설치한 Identity Agent로 취득
RADIUS AccountingRADIUS Accounting Client 가 보내는 회계 요청에서 직접 취득(RFC 2866)
Identity CollectorAD 도메인 컨트롤러·Cisco ISE·NetIQ eDirectory 서버에 설치한 Identity Collector로 취득
Identity Web API유연하게 신원을 생성 하는 방법 제공(HTTPS REST)
Remote AccessOffice Mode로 동작하는 Mobile Access·IPsec VPN 클라이언트가 접속할 때 취득

각 소스의 자세한 동작은 아래에서 하나씩 풀어 봅니다.

Browser-Based Authentication

Browser-Based Authentication 은 두 가지 취득 방식 중 하나로 신원을 얻고 사용자를 인증합니다 — Captive PortalTransparent Kerberos Authentication 입니다.

Captive Portal

Captive Portal 은 웹 인터페이스로 사용자를 인증합니다. 사용자가 보호된 웹 자원에 접근하려 하면, 웹 브라우저에 뜨는 양식에 인증 정보를 입력하게 합니다. Captive Portal은 다음 조건이 모두 충족될 때 나타납니다.

  • Captive Portal이 켜져 있고,
  • 해당 정책 규칙에 Redirect 옵션이 켜져 있으며,
  • 방화벽 또는 Application & URL Filtering 규칙이, 신원이 확인된 사용자만 접근할 수 있는 자원에 신원이 확인되지 않은 사용자의 접근을 막을 때.

여기에 더해, Transparent Kerberos Authentication 이 켜져 있지만 인증에 실패한 경우에도 Captive Portal이 나타납니다.

Captive Portal에서 사용자는 다음을 할 수 있습니다.

  • 사용자 이름과 암호를 입력 합니다(게이트웨이 객체 > Identity Awareness 페이지 > Browser-Based Authentication 옆 Settings > Users Access 섹션에서 구성).
  • 게스트 사용자(guest user) 자격 증명을 입력합니다(같은 Users Access 섹션에서 구성).
  • Identity Agent를 내려받는 링크를 클릭합니다(Settings > Identity Agent Deployment from the Portal 섹션에서 구성).

Captive Portal로 신원을 얻는 흐름은 다음과 같습니다. 등장 요소는 사용자(1)·Identity Awareness 게이트웨이(2)·Captive Portal(3)·Active Directory 도메인 컨트롤러(4)·내부 데이터센터(5) 입니다.

  1. 사용자(1)가 내부 데이터센터(5) 에 접근하려 합니다.
  2. 게이트웨이(2)는 사용자를 알아보지 못하고, 사용자의 웹 브라우저를 Captive Portal(3) 로 리다이렉트합니다.
  3. 사용자가 평소 사무실에서 쓰는 자격 증명(예: AD)이나, Check Point가 지원하는 다른 인증 방식(예: LDAP, Check Point 내부 자격 증명, RADIUS)을 입력합니다.
  4. 자격 증명이 게이트웨이로 전달되고, 게이트웨이는 이를 AD 서버(4) 에서 찾아 확인합니다.
  5. 사용자가 데이터센터(5)의 요청한 URL에 접근합니다.

Transparent Kerberos Authentication

Transparent Kerberos Authentication 은 사용자가 따로 입력하지 않아도 웹 브라우저에서 인증 데이터를 받아 사용자를 인증합니다. 인증에 성공하면 사용자는 곧장 목적지로 갑니다. 실패하면 Captive Portal에서 직접 자격 증명을 입력해야 합니다. 흐름은 다음과 같습니다.

  1. 사용자가 내부 데이터센터에 접근하려 합니다.
  2. 게이트웨이는 사용자를 알아보지 못하고 브라우저를 Transparent Authentication 페이지 로 리다이렉트합니다.
  3. Transparent Authentication 페이지가 브라우저에게 스스로 인증할 것을 요청합니다.
  4. 브라우저가 Active Directory에서 Kerberos 티켓 을 받아 Transparent Authentication 페이지에 제시합니다.
  5. Transparent Authentication 페이지가 그 티켓을 게이트웨이에 보내고, 게이트웨이는 사용자를 인증한 뒤 브라우저를 원래 요청했던 URL로 리다이렉트합니다.
  6. 어떤 이유로든 Kerberos 인증이 실패하면, 게이트웨이는 브라우저를 Captive Portal로 리다이렉트합니다.

자세한 설정은 Identity Source — Browser-Based Authentication을 참고하세요.

AD Query

AD Query설정이 쉽고 클라이언트가 필요 없는(clientless) 신원 취득 도구입니다. Active Directory 통합에 기반해 동작하며, 사용자에게는 완전히 투명 합니다(사용자는 자신이 식별되고 있다는 것을 의식하지 못합니다). AD Query는 다음 두 조건이 맞을 때 동작합니다.

  • 식별된 사용자나 컴퓨터가 인증 요청을 일으키는 자원에 접근 할 때 — 예를 들어 로그인할 때, 화면 잠금을 풀 때, 네트워크 드라이브를 공유할 때, Exchange로 메일을 읽을 때, 인트라넷 포털을 쓸 때.
  • 관리자가 신원 취득 방식으로 AD Query 를 선택했을 때.

이 기술의 핵심은 Active Directory의 Security Event Log를 질의해, 거기서 사용자·컴퓨터와 네트워크 주소의 매핑을 뽑아내는 것입니다. 이는 Microsoft 표준 프로토콜인 WMI(Windows Management Instrumentation) 에 기반합니다. 게이트웨이는 AD 도메인 컨트롤러와 직접 통신 하므로 별도의 전용 서버가 필요 없 고, 엔드포인트 클라이언트나 Active Directory 서버에 아무것도 설치하지 않 아도 됩니다.

사용자나 컴퓨터가 네트워크 자원에 연결하면 시스템이 Security Event Log 항목을 생성하고, AD Query가 거기서 신원 정보를 뽑아냅니다. 다만 사용자가 로그아웃할 때는 Security Event Log가 생성되지 않 는데, 이는 Active Directory가 로그아웃 동작을 감지하지 못하기 때문입니다. 이 특성에서 다음 두 가지 한계 가 따라옵니다.

  • User/IP 연관 타임아웃(User/IP association timeout) — 기본 설정된 시간만큼 네트워크가 비활성 상태이면 사용자 세션이 자동으로 닫힙니다. 그 뒤 사용자는 Captive Portal에 다시 접속해 로그인해야 합니다.
  • 같은 IP에서 여러 사용자 계정이 접속 — AD Query는 로그아웃을 감지하지 못하므로, 같은 IP 주소에서 둘 이상의 사용자가 세션을 열어 둘 수 있습니다. 이때 각 계정의 권한은 "User/IP 연관 타임아웃"에 설정된 값에 도달할 때까지 살아 있습니다. 이 상황에서는 사용자가 자신에게 권한이 없는 네트워크 자원에 접근할 수도 있 으므로 주의해야 합니다.

AD Query가 방화벽 Rule Base와 함께 동작하는 흐름은 다음과 같습니다. 등장 요소는 게이트웨이(1)·AD 도메인 컨트롤러(2)·AD 자격 증명으로 로그인하는 엔드포인트 컴퓨터(3)·네트워크 자원(4) 입니다.

  1. 게이트웨이(1)가 AD 도메인 컨트롤러(2)에서 Security Event Log를 가져옵니다.
  2. 사용자가 엔드포인트 컴퓨터(3)에 자신의 AD 자격 증명으로 로그인합니다.
  3. 도메인 컨트롤러(2)가 그 Security Event Log를 게이트웨이(1)로 보냅니다.
  4. 게이트웨이(1)가 사용자 이름(@domain)·컴퓨터 이름·출발지 IP 주소 를 얻습니다.
  5. 엔드포인트(3)의 사용자가 네트워크 자원(4)으로 연결을 엽니다.
  6. 게이트웨이가 사용자 신원을 확인하고, Security Policy에 따라 자원 접근을 허용하거나 차단합니다.

자세한 설정은 Identity Source — AD Query를 참고하세요.

Identity Agents (사용자 엔드포인트 컴퓨터)

Identity Agent사용자 엔드포인트 컴퓨터에 설치하는 전용 클라이언트 에이전트 입니다. 이 에이전트가 신원을 받아 게이트웨이에 보고하며, 관리자가 에이전트를 구성합니다. 경량 에이전트로서 SSO(Single Sign-On)로 사용자를 안전하게 인증 한다는 점이 강점입니다. 사용자 엔드포인트용 Identity Agent의 자세한 내용은 Identity Awareness Clients Administration Guide 를 참고하세요.

Terminal Servers

Terminal Server용 Identity Agent 는 Terminal Servers·Citrix XenApp·Citrix XenDesktop 서비스를 호스팅하는 Windows 기반 애플리케이션 서버에 설치 하는 에이전트입니다. 이 솔루션은 하나의 IP 주소에서 접속하는 여러 사용자 에게 Identity Awareness 정책을 집행할 수 있게 해 줍니다. Microsoft Terminal Servers·Citrix XenApp·Citrix XenDesktop을 호스팅하는 애플리케이션 서버에서는 여러 사용자가 같은 IP로 보이기 때문에, 그 트래픽을 사용자별로 통제하려면 이 기능이 꼭 필요합니다.

RADIUS Accounting

게이트웨이를 RADIUS Accounting(RFC 2866) 으로 동작하도록 구성하면, RADIUS Accounting Client에서 직접 사용자·컴퓨터 신원 을 받아 그 정보로 연결에 접근 권한을 적용할 수 있습니다. 전체 흐름은 이렇습니다.

  • RADIUS Accounting 서버(게이트웨이)가 RADIUS Accounting Client 가 생성한 RADIUS Accounting Request에서 신원 데이터를 받습니다.
  • 게이트웨이는 그 요청의 데이터를 가지고 LDAP 서버 에서 사용자·기기의 그룹 정보를 얻습니다.
  • LDAP 서버에서 받은 정보를 바탕으로, 게이트웨이가 사용자와 그 컴퓨터가 일으킨 트래픽에 구성된 Access Control 규칙을 적용 합니다.

구성 요소를 정리하면 다음과 같습니다.

번호구성 요소
1RADIUS Accounting Client 가 켜진 RADIUS 서버. 게이트웨이로 RADIUS Accounting Request를 보냅니다.
2RADIUS Accounting 서버 로 동작하는 Identity Awareness 게이트웨이.
3LDAP 서버. 사용자의 신원 데이터를 게이트웨이로 보냅니다.
4내부 네트워크 자원.
5인터넷.
6원격 노트북·모바일 기기.

자세한 설정은 Identity Source — RADIUS·API·Remote Access를 참고하세요.

Identity Collector

Check Point Identity Collector네트워크의 Windows 서버에 설치하는 전용 클라이언트 에이전트 입니다. 신원과 그에 연결된 IP 주소 정보를 모아 게이트웨이로 보내 신원을 집행하게 합니다. Identity Collector는 한 번에 둘 이상의 Identity Source와 연결 할 수 있으며, 이 소스들은 Query Pool 로 묶어 관리합니다. Identity Collector가 연결할 수 있는 Identity Source는 다음 세 가지입니다.

  • Microsoft Active Directory 도메인 컨트롤러
  • Cisco Identity Services Engine(ISE) 서버
  • NetIQ eDirectory 서버

Query Pool 은 여러 Identity Source를 담는 객체입니다. 각 Query Pool은 하나의 게이트웨이에 할당 되고, Identity Collector는 Query Pool 안의 소스들에서 정보를 모아 해당 게이트웨이로 보냅니다.

예를 들어 한 환경에 Asia.com·Euro.com 두 도메인이 있다고 합시다. 관리자는 Asia 게이트웨이가 Asia.com의 도메인 컨트롤러 4대 모두에서 이벤트를 받고, Europe 게이트웨이 1·2가 Euro.com의 도메인 컨트롤러 6대 모두에서 이벤트를 받기를 원합니다. 그러면 관리자는 Query Pool 두 개 를 만듭니다 — 하나는 Asia.com의 모든 도메인 컨트롤러를 담고, 다른 하나는 Euro.com의 모든 도메인 컨트롤러를 담습니다. 그런 다음 Asia 게이트웨이는 Asia Query Pool에서, 두 Europe 게이트웨이는 Europe Query Pool에서 이벤트를 받도록 구성합니다. 자세한 내용은 Identity Awareness Clients Administration Guide 를 참고하세요.

Identity Web API

Identity Web API 는 ForeScout CounterACT, Aruba Networks ClearPass 같은 타사(3rd party) 보안·신원 제품과 간단히 연동 할 수 있는 유연한 신원 소스입니다. 환경에 맞춰 신원을 만들고 취소하며, 사용자·IP 주소·컴퓨터에 대해 Identity Awareness 블레이드에 질의할 수 있습니다.

Identity Web API는 HTTPS 위에서 REST 프로토콜 을 씁니다. 게이트웨이는 Web API에서 받은 정보로 사용자·컴퓨터를 인증·인가합니다. 사용자·머신에 대한 연관(association)을 만들면, 게이트웨이가 그들의 그룹 멤버십과 Access Role을 계산하게 하거나, 관리자가 그 정보를 직접 제공할 수도 있습니다. Web API는 다음과 같은 상황에 유용합니다.

  • 타사 보안 제품과의 연동 — 예를 들어 타사 보안 공급자가 탐지한 감염 컴퓨터를 격리하기 위해, 특별히 제한된 Access Role을 적용할 수 있습니다.
  • 다른 인증 시스템과의 연동.
  • Identity Awareness 관련 관리 작업의 자동화.

동작 방식은 이렇습니다. Identity Web API는 HTTPS로 JSON 요청 을 받으며, 각 JSON 요청에는 하나의 명령 또는 여러 명령의 묶음(bulk)이 들어갑니다. 각 API 명령에는 SmartConsole에서 미리 구성한 사전 공유 비밀(shared secret)이 포함 되어야 합니다. 지원하는 명령은 다음과 같습니다.

명령설명
add-identityIP 주소를 사용자나 컴퓨터에 지정한 시간 동안 연관시킵니다.
delete-identity하나의 IP 주소 또는 IP 범위와 일치하는 세션을 취소 합니다.
show-identity한 IP 주소와 관련된 신원, 그리고 Identity Awareness 블레이드가 그 IP에 대해 저장한 정보를 질의 합니다.

자세한 설정은 Identity Source — RADIUS·API·Remote Access를 참고하세요.

Remote Access

Office Mode로 동작하도록 구성된 Mobile Access 클라이언트와 IPsec VPN 클라이언트 는 게이트웨이에 접속할 때 신원을 취득합니다. 이 기능이 동작하려면 같은 게이트웨이에서 Identity Awareness 블레이드와 IPsec VPN 블레이드를 모두 켜야 합니다. 자세한 내용은 사용 중인 버전의 Mobile Access Administration GuideRemote Access VPN Administration Guide 를 참고하세요.

취득 소스 비교 — 어떤 소스를 고를까

핵심은 환경과 목적에 맞춰 하나 이상의 소스를 골라 조합 하는 것입니다. 아래 표는 각 소스의 권장 사용처(Recommended Usage)환경 고려 사항(Environment Considerations) 을 정리한 것입니다.

소스권장 사용처환경 고려 사항
Browser-Based — Captive Portal비-AD 사용자(비-Windows·게스트)의 신원 기반 집행. Identity Agent 환경을 요구할 수도 있음.신원 집행용으로만 쓰며 로깅 목적은 아님. 미식별 사용자는 Captive Portal에서 사용자 이름·암호로 로그인한 뒤 링크를 눌러 목적지로 이동.
Browser-Based — Transparent Kerberos신원 집행 전용(로깅 목적 아님). 이미 도메인에 로그인한 사용자를 투명하게 SSO 인증.AD 환경에서 알려진 사용자가 이미 도메인에 로그인해 있을 때. Identity Agent나 Keep Alive 기능을 쓰지 않음.
AD Query신원 기반 감사·로깅, 인터넷 애플리케이션 제어에서 신원 활용, 내부 네트워크의 기본 신원 집행. 데스크톱 사용자에게 권장.설정이 쉬움(AD 관리자 자격 증명 필요). 관리자 계정을 타사 장비의 서비스 계정으로 쓰기 싫다면 관리자 권한 없이 구성하는 방법(sk43874)도 있음. AD 사용자·컴퓨터만 탐지.
Identity Agent데이터센터의 신원 집행, 민감 서버 보호, 신원 탐지 정확도가 결정적으로 중요할 때.소스 선택 기준은 "Selecting Identity Sources" 참고.
Terminal Servers Identity AgentTerminal Servers·Citrix 환경 에서 한 IP로 접속하는 여러 사용자 식별. Terminal/Citrix 서비스를 호스팅하는 애플리케이션 서버에 설치.소스 선택 기준은 "Selecting Identity Sources" 참고.
RADIUS Accounting인증을 RADIUS 서버가 처리하는 환경.RADIUS Accounting Client가 게이트웨이로 회계 요청을 보내도록 구성해야 하며, RADIUS 클라이언트에 접근 권한을 주고 사전 공유 비밀(shared secret) 을 만들어야 함.
Identity CollectorAD 도메인 컨트롤러·Cisco ISE·NetIQ eDirectory에서 신원을 모아 중앙에서 수집·집행 할 때.Windows 기반 애플리케이션으로, 신원 정보를 모아 게이트웨이로 보내 집행.

여러 소스를 함께 쓰면 같은 사용자의 신원이 여러 경로로 겹쳐 들어올 수 있습니다. 이때 어느 신원을 우선할지는 PDP의 Identity Conciliation이 조정합니다.