08활용 사례와 Identity Logging활용 사례와 Identity Logging
앞에서 본 신원 소스들을 실제 망에서 어떻게 짜 맞추는지 가 결국 가장 궁금한 부분입니다. 이 장은 두 가지를 빠짐없이 정리합니다. 하나는 Log Server에서 Identity Awareness를 켜서 신원 로그(Identity Logging)를 남기는 방법 이고, 다른 하나는 회사 망의 모양별로 Identity Awareness Gateway를 어떻게 배치·구성하는지 를 보여 주는 구성 시나리오(Configuration Scenarios) 입니다. 원문이 시나리오마다 나눠 둔 "보안 과제 → 구성 설계 → 구성 절차 → Best Practice"를 그대로 따라가되, 왜 그렇게 하는지를 함께 풀어 둡니다.
Identity Logging — Log Server에서 켜기
평소 Check Point 로그에는 출발지·목적지 IP 주소 만 남습니다. 그런데 Log Server에서 Identity Awareness를 켜면, 그 로그에 사용자 이름과 컴퓨터 이름 까지 함께 담깁니다. 그러면 관리자가 네트워크 트래픽과 보안 이벤트를 누가, 어느 컴퓨터에서 일으켰는지 단위로 훨씬 잘 분석할 수 있습니다.
원리는 이렇습니다. Log Server는 Active Directory 서버와 통신 하면서 AD에서 뽑아낸 정보를 association map(연관 맵) 이라는 형태로 저장해 둡니다. Security Gateway가 어떤 로그를 만들어 Log Server로 보내면, Log Server는 그 이벤트의 출발지 IP 주소에 해당하는 association map 항목 을 찾아 사용자·컴퓨터 이름을 가져오고, 이 신원 정보를 로그에 덧붙입니다. 즉 Gateway가 직접 신원을 적어 보내는 게 아니라, Log Server가 IP를 단서로 신원을 되붙이는 구조입니다.
시작하기 전에 — 사전 준비
Log Server에서 Identity Awareness를 켜 신원 로깅을 시작하기 전에, 다음 두 가지를 먼저 확인합니다.
- Log Server와 Active Directory 환경의 도메인 컨트롤러 사이에 네트워크 연결 이 되어 있어야 합니다.
- Active Directory 관리자 자격 증명(administrator credentials) 을 미리 확보해 둡니다.
전체 작업은 크게 두 단계입니다 — ① Active Directory 도메인을 구성 하고, ② 데이터베이스를 설치(Install database) 합니다.
신원 로깅 켜기 절차
SmartConsole 에서 다음 순서로 진행합니다.
- SmartConsole 에 로그인합니다.
- 탐색 도구 모음(Navigation Toolbar)에서 Gateways & Servers 를 클릭합니다.
- Log Server 객체 를 엽니다.
- General Properties 페이지의 Management 영역에서 Logging & Status 와 Identity Logging 을 선택합니다. 이때 Identity Awareness Configuration 마법사 가 열립니다.
- Acquire Identities For Logs 창에서 OK 를 클릭합니다.
Active Directory 도메인 구성하기
마법사의 Integration With Active Directory 페이지에서 사용할 Active Directory 도메인을 고르거나 새로 구성합니다.
- Select an Active Directory 목록에서, 이미 구성된 LDAP Account Unit 중 하나를 고르거나 새 도메인을 생성 합니다. 아직 Active Directory를 설정해 둔 적이 없다면 도메인 이름·사용자 이름·암호·도메인 컨트롤러 자격 증명 을 직접 입력해야 합니다.
- Active Directory 자격 증명 을 입력하고 Connect 를 눌러 자격 증명이 맞는지 확인합니다.
- Browser-Based Authentication 이나 Terminal Servers 를 선택했거나, 지금은 Active Directory를 구성하지 않을 거라면 I do not wish to configure Active Directory at this time 를 선택합니다.
- Next 를 클릭합니다.
- 다시 Next 를 클릭해 마법사를 진행합니다.
WMI 성능 고려
신원 로깅에서 한 가지 더 챙길 점은 WMI 부하 입니다. AD Query 가 WMI로 AD 보안 이벤트 로그를 읽어 오므로, 도메인 컨트롤러가 크거나 이벤트가 많으면 WMI 조회가 성능에 영향을 줄 수 있습니다. 로깅 범위와 조회 대상 도메인 컨트롤러 수를 적정하게 조정하세요.
구성 시나리오 — 망 모양별 배치법
Identity Awareness Gateway는 회사 망의 구조에 따라 여러 방식 으로 구성할 수 있습니다. 아래는 대표적인 여섯 가지 시나리오로, 각각 "어떤 보안 과제를 푸는가 → 어떻게 설계하는가 → 어떤 절차로 구성하는가"를 보여 줍니다.
Perimeter Identity Awareness Gateway (경계 게이트웨이)
보안 과제 — 경계(perimeter)의 Security Gateway는 회사 망을 드나드는 모든 인·아웃 트래픽의 1차 관문 입니다. 내부 사용자는 매일 인터넷 자원과 애플리케이션에 접근하는데, 모든 인터넷 앱·사이트가 안전한 것은 아니며 일부는 회사 정책상 제한됩니다. 그렇다고 내부 접근을 전부 막으면 업무상 접근이 꼭 필요한 직원의 생산성이 떨어집니다. Application Control 블레이드로 허용 앱 접근을 통제할 수 있지만, 사용자·컴퓨터 신원 단위의 더 세밀한 Access Control 정책 이 필요합니다. 그래서 Access Role 을 Application Control과 함께 써, 지정한 사용자 그룹만 특정 인터넷 앱에 접근 하도록 만듭니다. 이를 위해 경계 Security Gateway에서 Identity Awareness를 켭니다.
구성 설계
- 경계 Security Gateway를 Routing Mode 로 구성합니다. ISP(인터넷)로 향하는 외부 인터페이스 와 내부 회사 LAN을 향하는 내부 인터페이스 를 각각 지정합니다.
- (선택) DMZ 서버를 보호할 별도의 내부 인터페이스를 따로 둘 수도 있습니다.
- 게이트웨이와 망 사이에 NAT나 Proxy 서버가 없도록 합니다.
- Security Gateway가 내부 AD 도메인 컨트롤러에 연결 되는지 확인합니다.
- 사용자가 Security Gateway의 내부 인터페이스에 접근 할 수 있는지 확인합니다.
- Application Control 블레이드를 구성합니다(자세한 내용은 R82 Quantum Security Gateway Guide 참고).
구성 절차
- Identity Awareness를 켜고 알맞은 신원 소스 를 선택합니다.
- Users·Computers 기반의 Access Role 을 만듭니다. 부서·사용자·컴퓨터 그룹과 망 내 위치를 구분하는 여러 개의 Access Role 을 만들 수 있습니다.
- 만든 Access Role을 해당 Firewall·Application Control 정책의 Source 열 에 추가합니다.
소규모~중규모 본사를 위한 예시 구성에서 각 요소는 다음과 같습니다.
| 항목 | 설명 |
|---|---|
| 1 | 회사 데이터 센터 |
| 2 | 데이터 센터를 보호하는 Identity Awareness Gateway |
| 3 | 경계 Identity Awareness Gateway — User ID가 데이터 센터를 보호하는 게이트웨이로 전달됨 |
| 4 | 내부망 자원 |
| 5 | LDAP 서버(예: Active Directory) |
| 6 | 인터넷 |
Data Center Protection (데이터 센터 보호)
보안 과제 — 데이터 센터에는 민감한 회사 자원과 정보 가 있어, 승인되지 않은 접근으로부터 안전하게 지켜야 합니다. 더불어 데이터베이스를 망가뜨리거나 정보를 훔치는 멀웨어·바이러스 로부터도 보호해야 합니다. 규정을 준수하는 사용자·컴퓨터만 데이터 센터, 특히 일부 애플리케이션에 접근하도록 해야 합니다.
구성 설계
- Security Gateway를 데이터 센터 core switch 바로 앞에 인라인(inline) 으로 둡니다. 이렇게 하면 LAN에서 데이터 센터로 가는 접근을 보호할 수 있습니다.
- Security Gateway에 최소 두 개의 인터페이스 를 두고, 내부 또는 브리지(bridged)로 구성합니다.
- Security Gateway가 Active Directory와 관련 내부 도메인 컨트롤러 모두에 연결되는지 확인합니다.
- LAN 사용자가 "Any Any Any Accept" 정책으로 Security Gateway를 거쳐 데이터 센터에 연결할 수 있는지 확인합니다.
- Security Gateway와 사용자·LAN 사이에 Proxy나 NAT 장치가 없도록 합니다.
구성 절차
- Security Gateway에서 Identity Awareness를 켜고 신원 소스를 선택합니다.
- 사용자용 Access Role 을 만들어 해당 Access Control 정책 규칙에 적용합니다.
Large Scale Enterprise Environment (대규모 기업 환경)
보안 과제 — 복잡한 대규모 기업 망에서는 로컬 망에서 인터넷으로, 그리고 여러 데이터 센터 자원으로 가는 접근을 모두 통제해야 합니다. 데이터 센터의 민감한 자원은 무단 접근으로부터 안전하게 보호하고, 정책을 준수하는 사용자·컴퓨터에게만 접근을 허용하며, 망과 데이터 센터를 멀웨어·봇·바이러스로부터 지켜야 합니다. 경계 게이트웨이 시나리오와 마찬가지로, 모든 내부 접근을 막으면 생산성이 떨어지므로 Access Role + Application Control 로 신원 단위의 세밀한 통제를 합니다.
구성 설계
- 경계와 데이터 센터 앞쪽에 Security Gateway를 새로 두거나 기존 것을 활용합니다.
- 경계 Security Gateway는 Routing Mode 로 설치하고, 인터넷으로 가는 외부 인터페이스 하나, 내부망으로 가는 내부 인터페이스 하나 이상을 둡니다.
- 데이터 센터와 경계의 모든 Security Gateway가 서로 직접 통신 할 수 있도록 합니다.
- 각 Security Gateway가 Active Directory 내부 도메인 컨트롤러 에 연결되는지 확인합니다.
- "Any Any Any Accept" 정책 상태에서 LAN 사용자가 해당 자원에 연결되는지 확인합니다.
- 게이트웨이와 망 사이에 NAT나 Proxy 서버가 없도록 합니다.
구성 절차
- Security Gateway에서 Identity Awareness를 켭니다.
- 경계와 데이터 센터 각 Security Gateway마다 신원 소스 방식을 선택합니다.
- 사용자용 Access Role 을 만들어 해당 Firewall 보안 규칙에 적용합니다.
- 정책에 Access Role을 추가합니다.
- Gateway Properties > Identity Awareness 탭에서 Share local identities with other gateways(로컬 신원을 다른 게이트웨이와 공유)를 선택합니다.
- 경계 Security Gateway에 정책을 설치(Install Policy)합니다.
| 항목 | 설명 |
|---|---|
| 1 | 회사 데이터 센터들 |
| 2 | 데이터 센터를 보호하는 Identity Awareness Gateway |
| 3 | 경계 Identity Awareness Gateway — User ID가 데이터 센터를 보호하는 게이트웨이들로 전달됨 |
| 4 | 내부망 자원 |
| 5 | LDAP 서버(예: Active Directory) |
| 6 | 인터넷 |
이 시나리오에는 신원을 공유·획득하는 Best Practice 권장 구성 이 따라옵니다.
신원 정보를 서로 공유할 Security Gateway 목록을 지정하려면 이렇게 합니다.
- Gateway Properties > Identity Awareness 를 엽니다.
- Get identities from other gateways(다른 게이트웨이에서 신원 가져오기)를 선택합니다.
- 신원을 가진 Security Gateway를 선택합니다.
Network Segregation (망 분리)
보안 과제 — 망은 내부 사용자가 머무는 여러 세그먼트와 서브넷 으로 나뉩니다. 망에 접속한 사용자가 바이러스·멀웨어를 다른 컴퓨터·서버로 퍼뜨릴 위험이 있습니다. 목표는 다음과 같습니다.
- 규정을 준수하는 사용자·컴퓨터만 여러 세그먼트를 가로질러 통과·연결되도록 합니다.
- 서버와 인터넷에 접속하는 사용자를 인증합니다.
- 세그먼트 간 접근은 Security Gateway가 통제합니다.
- LAN과 데이터 센터 간 접근도 Security Gateway가 통제합니다.
- LAN과 인터넷 간 접근은 각 세그먼트의 Security Gateway나 경계 Security Gateway 가 통제합니다.
- 각 세그먼트의 Security Gateway는 선택한 방식으로 사용자를 인증 합니다.
구성
- 각 세그먼트의 Security Gateway를 Bridge Mode 로 구성합니다.
- Security Gateway와 LAN 사이에 Proxy나 NAT 장치가 없도록 합니다.
- Security Gateway가 각 세그먼트에 구성된 Active Directory 도메인 컨트롤러(복제된 도메인 컨트롤러) 와 통신할 수 있도록 합니다.
- 세그먼트 전체 사용자를 담당하는 공통 도메인 컨트롤러 가 있다면, 모든 Security Gateway가 그 도메인 컨트롤러에 연결되는지 확인합니다.
- 각 Security Gateway에서 Identity Awareness를 켜고 적절한 신원 소스 방식 을 선택합니다.
- Identity Awareness 탭에서 Share local identities with other gateways 옵션을 해제 합니다.
- 단, 신원을 한 Security Gateway(예: 경계 게이트웨이)와 공유 하고 싶다면 이 옵션을 켜 둔 채, 세그먼트 Security Gateway에서는 Get identities from other gateways 를 끕니다. 그런 다음 경계 Security Gateway로 가서 Get identities from other gateways 를 켭니다.
- Identity Agent 를 쓴다면, 액세스 세그먼트마다 해당 Security Gateway의 DNS/IP 를 에이전트 설정에 지정합니다.
Distributed Enterprise with Branch Offices (지사를 둔 분산 기업)
보안 과제 — 분산 기업에서는 원격 지사에서 VPN 링크를 타고 본사 내부망으로 멀웨어·바이러스가 넘어올 위험이 있습니다. 동시에 원격 지사에서 데이터 센터와 인터넷 접근을 요청하는 사용자에게 승인된 접근 을 제공해야 합니다.
구성 설계
- 원격 지사는 사용자 수가 비교적 적으므로 저용량 Security Gateway 를 둘 수 있습니다.
- 원격 지사 Security Gateway는 IP Routing Mode 로 구성하고 본사 Security Gateway로 VPN 링크 를 맺습니다. 이제 이 지사 게이트웨이가 경계 방화벽 겸 VPN 게이트웨이 로 동작합니다.
- 지사 Security Gateway는 지사 사용자를 식별·학습 한 뒤 VPN으로 본사 망에 연결합니다.
- 지사 Security Gateway는 이 신원을 본사의 내부·경계 Security Gateway와 공유 합니다. 지사 사용자가 데이터 센터에 접속하려 하면, 본사 데이터 센터의 Security Gateway가 추가 인증 없이 그 사용자를 식별합니다.
| 항목 | 설명 |
|---|---|
| 1 | 내부망 자원 — 지사 |
| 2 | 지사 Identity Awareness Gateway — User ID가 본사 게이트웨이로 전달됨 |
| 3 | LDAP 서버(예: Active Directory) |
| 4 | 인터넷 |
| 5 | 경계 회사 Identity Awareness Gateway |
| 6 | 데이터 센터를 보호하는 Identity Awareness Gateway |
| 7 | 회사 데이터 센터 |
| 8 | 내부망 자원 — 본사 |
구성
- 원격 지사의 성능 가이드라인에 맞는 Security Gateway를 고릅니다.
- 지사 Security Gateway를 Routing Mode 로 구성하고, 필요하면 site-to-site VPN 을 지정합니다.
- 데이터 센터에는 Security Gateway를 인라인으로 구성합니다(Bridge Mode 권장).
- 경계에는 내부망을 보호하는 Security Gateway를 Routing Mode 로 구성합니다. 이 경계 게이트웨이가 지사용 VPN 게이트웨이 역할을 겸할 수 있습니다.
- Identity Awareness를 켜고 신원을 얻을 적절한 방식 을 선택합니다.
- Access Role 을 만들어 지사·경계·데이터 센터 Security Gateway 의 보안 정책에 적용합니다.
- 지사와 본사·데이터 센터 Security Gateway 간에 신원을 공유합니다.
- a. Identity Awareness 탭으로 갑니다.
- b. Get identities from other gateways 와 Share local identities with other gateways 를 모두 선택합니다.
이 시나리오에도 권장 구성이 따릅니다.
Wireless Campus (무선 캠퍼스)
보안 과제 — 무선 망으로 Wi-Fi 기기를 쓰는 직원, 게스트, 협력업체 에게 접근을 허용합니다. 게스트·협력업체는 회사 유선 연결을 쓰지 못해 WLAN으로 접속 해야 하는 경우가 있고, 자기 기기에 다른 엔드포인트 에이전트를 설치할 권한이 없 습니다. 또 스마트폰 같은 모바일 기기가 무선 접속을 활발히 쓰며, 이런 기기에는 에이전트를 설치할 수 있습니다. 이 기기들은 Active Directory 도메인에 속하지 않 고, 무선 망 자체는 망 접근 측면에서 충분한 보안 수준을 주지 못합니다.
구성 설계
- Security Gateway를 Wireless Switch 앞에 Bridge Mode 로 구성합니다.
- Security Gateway가 인터넷이나 필요한 망 자원 에 접근할 수 있는지 확인합니다.
- Security Gateway가 Active Directory나 RADIUS 같은 인증 서버에 연결되는지 확인합니다.
- Security Gateway와 WLAN 망 사이에 NAT나 Proxy 장치가 없도록 합니다.
구성 절차
- Security Gateway에서 Identity Awareness를 켭니다.
- 신원 소스로 Browser-Based Authentication 을 선택합니다.
- 게이트웨이 속성에서 게스트를 등록합니다.
- a. Identity Awareness 탭으로 갑니다.
- b. Browser-Based Authentication Settings 에서 Unregistered guests login(미등록 게스트 로그인)을 선택합니다.
- c. Settings 에서 게스트가 자격 증명으로 입력할 필드 를 고릅니다.
- Log out users when they close the portal browser(포털 브라우저를 닫으면 사용자 로그아웃)를 선택합니다.
Identity Agents 자가 등록(self-provisioning) 테스트
Identity Agent를 켜 구성하고, Captive Portal을 통한 Identity Agent 자가 등록 을 다음과 같이 시험합니다.
- 브라우저를 열어 웹 자원에 접속합니다. 그러면 Captive Portal 로 redirect됩니다.
- 사용자 자격 증명을 입력합니다.
- Captive Portal의 안내대로 클라이언트를 설치 합니다.
- 인증 창에서 클라이언트를 통해 사용자 자격 증명 을 입력합니다.
- 연결을 확인합니다.
Dedicated Identity Acquisition Security Gateway (전용 신원 획득 게이트웨이)
보안 과제 — 데이터 센터나 인터넷 접근을 보호하는 Security Gateway가 여럿이고, 그 접근이 신원 획득에 좌우되는 상황입니다. 이 게이트웨이들은 여러 블레이드를 돌리며 무거운 트래픽 검사 를 합니다. 신원 획득·인증이 게이트웨이 성능에 영향을 주지 않도록, 이 기능만 별도의 Security Gateway로 분리(offload) 할 수 있습니다.
이 전용 Security Gateway 는 다음을 합니다.
- 사용자 신원을 얻습니다.
- 사용자를 인증합니다.
- 학습한 신원을 망의 모든 Security Gateway와 공유 합니다.
구성 설계 — 전용 Identity Awareness Security Gateway로 쓸 알맞은 어플라이언스를 고릅니다. 모든 사용자가 이 Security Gateway로 인증 합니다. AD Query를 켜면 이 전용 게이트웨이가 WMI로 모든 Active Directory 도메인 컨트롤러 와 통신합니다.
| 항목 | 설명 |
|---|---|
| 1 | 내부망 자원 |
| 2 | 내부망을 보호하는 Identity Awareness Gateway — User ID가 회사 게이트웨이로 전달됨 |
| 3 | 회사 데이터 센터 |
| 4 | 데이터 센터를 보호하는 Identity Awareness Gateway |
| 5 | LDAP 서버(예: Active Directory) |
| 6 | 전용 Identity Awareness Security Gateway |
| 7 | 경계 회사 Identity Awareness Gateway |
| 8 | 인터넷 |
구성 절차
- 전용 신원 획득 Security Gateway에서 Identity Awareness 기능을 켜고 신원 방식 을 선택합니다.
- (나머지) Security Gateway에서는 Identity Awareness를 켜고 Get identities from other gateways 와 Share local identities with other gateways 를 선택합니다.
정리
핵심을 한 줄로 묶으면 이렇습니다. Log Server에서 Identity Awareness를 켜면 로그에 사용자·컴퓨터 이름이 붙어 분석이 쉬워지며, 이때 AD Query는 도메인 관리자 자격 증명이 필요하고 WMI 부하를 살펴야 합니다. 그리고 망 구성은 경계·데이터 센터·대규모·세그먼트·지사·무선·전용 게이트웨이 라는 형태별 시나리오로 정리되는데, 공통 원칙은 NAT/Proxy를 사이에 두지 않고, 도메인 컨트롤러 연결을 확보하며, Access Role로 신원 정책을 짜고, Get / Share identities 옵션으로 게이트웨이 간 신원을 적절히 주고받는 것입니다.