01용어 정리용어 정리

Mobile Access 는 Security Gateway에서 켜는 Software Blade 로, 관리·비관리 클라이언트 모두에게 Remote Access VPN을 제공합니다(약어 MAB). 이 블레이드를 켜면 게이트웨이마다 Mobile Access Portal 이 생기는데, 원격 사용자가 표준 HTTPS로 접속해 로그인하면 그 안에서 허용된 웹 앱·메일·파일 공유를 쓰는 클라이언트리스 관문 입니다. 즉 블레이드는 게이트웨이의 기능, 포털은 사용자가 보는 화면 이라고 보면 됩니다(소개, 포털).

클라이언트는 크게 Client-Based(엔드포인트에 설치, 대부분 자원 접근), Clientless(웹 브라우저·HTTPS, 주로 웹 자원), On-demand(브라우저 접속 시 클라이언트 자동 설치) 로 나뉩니다(솔루션). Mobile Access의 핵심은 Clientless·On-demand 쪽이며, 그 보강 장치가 SSL Network Extender(SNX) 입니다 — 포털에서 자동으로 내려받아져, 브라우저만으로는 어려운 native application(사내 서버의 IP 기반 응용)까지 암호화 SSL 터널로 이어 주는 온디맨드 클라이언트입니다. 모바일 기기에서는 Capsule Workspace 가 기기 안에 격리된 컨테이너를 만들어 사내 웹·파일·Exchange를 안전하게 쓰게 하고, Capsule Connect/VPN 은 전체 Layer 3 터널 을 엽니다.

Authentication(인증) 은 "당신이 누구인지" 확인, Authorization(권한 부여) 은 "무엇에 접근할 수 있는지" 결정 입니다. 인증을 통과해야 포털에 들어오고, 권한에 따라 보이는 앱이 달라집니다(인증, 권한). 신뢰의 바탕은 관리 서버에 내장된 인증 기관 ICA(Internal Certificate Authority) 가 발급하는 인증서 이며, DynamicID 는 이메일·문자로 보내는 일회용 비밀번호(OTP)로 다중 인증 을 더합니다.

Endpoint Compliance(Endpoint Security on Demand) 는 접속하려는 단말이 보안 기준(최신 Anti-Virus·활성 Firewall 등)에 맞는지 스캔 해, 미준수 단말의 접근을 막거나 제한합니다(Endpoint 준수). Secure Workspace 는 세션 동안 암호화된 가상 작업 공간을 만들고 종료 시 흔적을 지우는 Check Point 전용 가상 데스크톱입니다(단, R82 기준 단계적 지원 종료 예정). Protection Level 은 자원마다 요구하는 보안 수준(어떤 인증·준수 검사를 거쳐야 하는지) 으로, Permissive·Normal·Restrictive 세 가지가 미리 정의돼 있습니다.

Mobile Access 규칙은 Unified Access Policy(권장, Access Control 정책 안에서 Mobile Application 객체로 규칙 작성)와 Legacy Policy(SmartDashboard의 별도 Mobile Access 정책) 두 방식으로 운영합니다(권한). 이 모두를 받쳐 주는 게 Security Gateway·Security Management Server·SmartConsole 같은 Check Point 공통 구성요소이며, IPS·Anti-Virus 같은 다른 Software Blade가 Mobile Access 트래픽도 함께 지킵니다(블레이드 연동). Remote Access VPN·Identity Awareness·Security Gateway 가이드와 함께 보면 전체 그림이 잡힙니다.