02Mobile Access 소개Mobile Access 소개
직원은 어디서든 사내 메일·캘린더·업무 시스템에 접속하길 원하지만, 그 통로가 보안의 약점이 되어서는 안 됩니다. Mobile Access 는 바로 이 둘을 동시에 푸는 Check Point의 답입니다. 이 장은 Mobile Access가 무엇을 해 주고, 어떻게 관리되며, 서버·클라이언트 양쪽에서 어떤 보안을 제공하는지 큰 그림을 잡습니다.
Mobile Access가 하는 일
Mobile Access는 Check Point의 원격 접속 Software Blade로, 노트북이든 모바일 기기든 인터넷만 있으면 사내 애플리케이션에 안전하게 연결 하게 해 줍니다. Layer 3 VPN과 SSL VPN을 모두 지원하므로 메일·캘린더·연락처는 물론 일반 사내 응용까지 쓸 수 있고, 그 과정에서 네트워크와 단말을 위협으로부터 함께 보호 합니다.
사용자가 보는 얼굴은 Mobile Access Portal 입니다. 원격 사용자가 표준 HTTPS 요청으로 게이트웨이에 접속하면, 게이트웨이는 사용자 이름·비밀번호·인증서·SecurID 같은 방식으로 인증한 뒤 Mobile Access 정책에 따라 허용된 애플리케이션만 보여 줍니다. 모바일 기기에서는 Check Point Mobile Apps(Capsule Workspace 등)가 비관리 스마트폰·태블릿에서도 사내 자원에 암호화 통신을 열어 줍니다.
어떤 애플리케이션을 제공하나
Mobile Access는 여러 종류의 사내 응용을 원격 사용자에게 중계합니다. 가장 흔한 것이 브라우저로 접근하는 Web application(예: 재고·인사 관리 시스템처럼 같은 맥락의 URL 묶음) 이고, 네트워크 너머의 파일을 열고 쓰는 file share, 사내 XenApp 서버로 잇는 Citrix 연결도 지원합니다. 메일은 IMAP·SMTP를 지원하는 어떤 메일 서버든 앞단을 대신하는 내장 Web mail 과, Outlook Web Access(OWA)·IBM iNotes 같은 외부 웹메일 중계 두 갈래가 있습니다. 모바일 기기에는 웹 앱·메일/캘린더/연락처 접근과 다중 인증을 제공하며, 포털과 Capsule Workspace 접속에 대해서는 IPv6 인바운드 연결도 지원합니다(단 SNX는 IPv6 미지원). 그리고 브라우저만으로는 어려운 native application(사내 서버의 IP 기반 응용)은 Mobile Access가 SSL Network Extender 를 자동 실행해, 모든 트래픽을 암호화한 채 native 클라이언트로 잇게 합니다. 애플리케이션별 상세는 애플리케이션 장에서 다룹니다.
어떻게 관리하나
운영 부담을 줄이도록, Mobile Access는 별도 콘솔이 아니라 기존 Check Point 관리 체계 안에 녹아 있습니다. 모든 게이트웨이를 관리하는 Security Management Server가 Mobile Access 게이트웨이도 그대로 관리하고, 구성은 SmartDashboard의 Mobile Access 탭과 Access Control Rule Base에서 하며, Mobile Access 사용자·네트워크 객체는 SmartConsole에 나타납니다. 로그는 SmartConsole의 Logs & Events 뷰(SmartLog)에서 봅니다.
자주 나오는 개념
본문에 반복해서 등장하는 개념을 미리 짚어 둡니다. Authentication(인증) 은 사용자가 본인임을 하나 이상의 방식으로 증명하는 단계이고(인증), Authorization(권한 부여) 은 인증된 사용자가 실제로 어떤 사내 응용에 닿을 수 있는지를 정책으로 결정합니다(권한). Endpoint Compliance Scanner(Endpoint Security on Demand)는 접속 전 단말이 보안 정책에 맞는지 검사 하고(Endpoint 준수), Secure Workspace 는 세션 동안 암호화된 가상 데스크톱을 띄워 데이터 유출을 막고 종료 시 흔적을 지웁니다. Protection Level(Permissive·Normal·Restrictive)은 자원마다 요구하는 보안 수준이고, Session 은 인증 후 로그아웃·타임아웃까지 이어지는 통신 기간이며, 앞서 본 SSL Network Extender 가 native 응용 접근을 가능케 합니다.
서버·클라이언트 양쪽의 보안
Mobile Access 게이트웨이는 다른 Security Gateway와 똑같은 보안 기능을 그대로 누리면서, 원격 접속에 특화된 보호를 더 합니다. 서버 쪽에서는 IPS(특히 Web Intelligence 구성요소가 Cross-Site Scripting·버퍼 오버플로·SQL 인젝션·디렉터리 탐색 같은 웹 공격을 막음)와 Anti-Virus 가 Mobile Access 트래픽에도 적용됩니다(블레이드 연동). 클라이언트 쪽에서는 세밀한 권한 정책으로 누가 어떤 앱에 닿을지를 제한하고, 웹 앱 트래픽을 모두 HTTPS로 암호화 하며, 앞서 본 Endpoint Compliance와 Secure Workspace로 단말을 보호하고, 브라우저 캐싱 제어·쿠키 보관·다중 인증 같은 장치로 공용 PC에서의 정보 노출까지 줄입니다.