06관리자·사용자 계정 관리관리자·사용자 계정 관리

관리자(Administrator) 는 SmartConsole·CLI·API로 보안 환경을 관리하는 IT 담당자 이고, 사용자(User) 는 환경에서 트래픽을 일으키는 객체 입니다. 가장 중요한 구분은 누가 인증하느냐 입니다 — 관리자는 Security Management Server가, 사용자는 Security Gateway가 인증합니다.

사용자는 모두 SmartConsole에서 직접 정의되어 관리 데이터베이스에 저장 되며(외부 AD 등에 정의된 사용자와 대비), 관리자가 정책을 설치할 때 관련 사용자 데이터가 게이트웨이로 복사 됩니다. 사용자는 접근 규칙(Remote Access VPN·Identity Awareness 등)에서 쓰여, 인가된 사용자에게만 자원 접근을 허용 함으로써 네트워크를 지킵니다.

사용자 계정을 만들 때는 인증 방식 을 고릅니다. Check Point Password(SmartConsole에 설정하는 정적 암호, 게이트웨이 로컬 DB에 저장) 가 가장 단순하고, 이 밖에 OS Password, RADIUS, TACACS, 인증서 기반 방식이 있습니다. 외부 디렉터리를 쓰면 LDAP·User Directory 연동이나 Microsoft Active Directory 로 사용자를 가져옵니다.

사용자는 사용자 그룹 으로 묶어 규칙의 Source로 쓸 수 있고(사용자는 자신이 속한 그룹을 알지 못함), 외부 그룹의 변경은 정책 설치 또는 사용자 데이터베이스 다운로드 후에야 적용됩니다.

관리자도 여러 인증 방식 으로 만듭니다 — 사용자명/암호, 인증서 파일, CAPI 인증서, 그리고 SAML 기반 Identity Provider 로그인 등입니다. 관리자의 권한은 Permission Profile(권한 프로파일) 로 정해 배정합니다.

권한 프로파일은 관리자가 무엇을 볼·바꿀 수 있는지 를 세밀하게 정합니다. 예를 들어 API로 관리에서 본 Management API Login, Gaia API Proxy에서 쓰는 Run One Time Script, 모바일 인증서 발급만 허용하고 나머지는 제한하는 식의 역할 분리 가 가능합니다. 이렇게 업무별로 권한을 쪼개 최소 권한 원칙 을 지키는 것이 핵심입니다.

정리하면, 사용자는 보호 대상으로서 게이트웨이가 인증하고, 관리자는 운영 주체로서 관리 서버가 인증 하며, 각자에게 적절한 인증 방식과 권한 을 부여하는 것이 이 장의 요지입니다. 인증서의 바탕이 되는 ICA(내부 인증 기관)는 인증 인프라에서 다룹니다.