02Mobile Access 소개Mobile Access 소개
직원은 어디서든 사내 메일·캘린더·연락처·업무 시스템에 닿고 싶어 하지만, 그 통로가 보안의 약점이 되어서는 안 됩니다. Mobile Access 는 바로 이 둘을 동시에 푸는 Check Point의 답입니다. 이 장은 Mobile Access가 무엇을 해 주고, 어떤 애플리케이션을 중계하며, 어떻게 관리되고, 본문에 자주 나오는 개념은 무엇이며, 서버·클라이언트 양쪽에서 어떤 보안을 제공하는지 까지 큰 그림을 빠짐없이 잡습니다.
Mobile Access가 하는 일
Check Point Mobile Remote Access VPN Software Blade 는 모바일 기기든 PC든 인터넷만 있으면 사내 애플리케이션에 안전하고 손쉽게 연결 하게 해 주는 솔루션입니다. 이 솔루션은 Layer 3 VPN 과 SSL VPN 을 모두 제공하는 기업급(enterprise-grade) 원격 접속이라, 메일·캘린더·연락처는 물론 일반 사내 응용까지 단순하고 안전하게 쓸 수 있습니다. 동시에 네트워크와 단말(endpoint) 컴퓨터를 위협으로부터 함께 보호 한다는 점이 핵심입니다.
사용자가 마주하는 얼굴은 Mobile Access Portal 입니다. 모바일·원격 근무자가 인터넷을 통해 핵심 자원에 쉽고 안전하게 연결하도록 해 주는 포털입니다. 모바일 기기에서는 Check Point Mobile Apps 가 관리되지 않는(unmanaged) 스마트폰·태블릿에서도 사내 자원으로 암호화된 통신 을 열어 줍니다.
동작의 큰 흐름은 이렇습니다. 원격 사용자가 표준 HTTPS 요청으로 Mobile Access Security Gateway에 접속하면, 게이트웨이는 사용자 이름·비밀번호, 인증서, SecurID 같은 구성된 인증 방식 중 하나 이상으로 사용자를 인증 합니다. 인증을 마친 사용자는 Mobile Access 정책(policy)에 따라 허용된 애플리케이션만 쓸 수 있습니다.
어떤 애플리케이션을 제공하나
Mobile Access는 원격 사용자에게 여러 종류의 사내 응용을 중계합니다. 크게 Web application, file share, Citrix 서비스, Web mail, native application 으로 나뉩니다.
- Web application — 같은 맥락에서 쓰이며 웹 브라우저로 접근하는 URL 묶음 입니다. 예를 들어 재고 관리(inventory management)나 인사 관리(HR management)용 애플리케이션이 여기에 해당합니다.
- file share — 네트워크를 통해 파일을 열고·읽고·쓰고·삭제 하는 동작을 가능하게 하는 프로토콜로 공유되는 파일 모음입니다.
- Citrix — Mobile Access는 사내 XenApp 서버로 잇는 Citrix 클라이언트 연결을 지원합니다.
- Web mail — 두 갈래가 있습니다.
- 내장(Built-in) Web mail — 브라우저로 사내 메일 서버에 접근하게 해 줍니다. IMAP 과 SMTP 프로토콜을 지원하는 어떤 메일 서버든 그 앞단(front end) 역할을 합니다.
- 외부 웹 기반 메일 서비스 — Outlook Web Access(OWA) 나 IBM Lotus Domino Web Access(iNotes) 같은 서비스입니다. 이때 Mobile Access는 클라이언트와 OWA 서버 사이의 세션을 중계(relay) 합니다.
- native application — 사내 서버에 호스팅된 IP 기반 응용 입니다. 사용자가 native application을 쓸 수 있게 허용되면, Mobile Access는 SSL Network Extender 를 실행해 모든 트래픽을 암호화한 채 native 클라이언트로 잇게 합니다.
모바일 기기 지원과 IPv6
모바일 기기에는 다음을 제공합니다.
- Web application 접근.
- 메일·캘린더·연락처 접근.
- 다중 인증(Multi-factor authentication).
또한 Mobile Access는 다음 대상에 대해 IPv6 를 지원합니다.
- Mobile Access Portal
- Capsule Workspace
추가로 SSL Network Extender 는 Capsule Workspace Access의 일부로 macOS 를 지원 합니다.
Web application·file share·Citrix·Web mail의 상세는 애플리케이션 장에서, native application은 별도의 SSL Network Extender (SNX) Administration Guide 에서 다룹니다.
어떻게 관리하나
운영 부담을 줄이도록, Mobile Access는 별도 콘솔이 아니라 기존 Check Point 관리 체계 안에 녹아 있습니다.
- 모든 Check Point Security Gateway를 관리하는 Security Management Server 가 Mobile Access Security Gateway도 그대로 관리합니다.
- 구성은 SmartDashboard 의 Mobile Access 탭과 Access Control Rule Base 에서 합니다.
- Mobile Access 사용자와 관련 네트워크 객체(network object)는 SmartConsole 에 나타납니다.
- Mobile Access 로그는 SmartConsole의 Logs & Events 뷰에서 SmartLog 로 봅니다.
자주 나오는 개념
본문에 반복해서 등장하는 개념을 미리 짚어 둡니다.
Authentication(인증)
Mobile Access Portal에 접속하는 모든 원격 사용자는 지원되는 인증 방식 중 하나 이상으로 반드시 인증 받아야 합니다. 사용자에게는 여러 로그인 옵션과 다중 인증(multi-factor authentication)이 지원됩니다. 자세한 내용은 인증 장에서 다룹니다.
Authorization(권한 부여)
Authorization 은 인증된 원격 사용자가 사내 LAN의 어떤 내부 응용에 실제로 닿을 수 있는지를 결정 합니다. 원격 사용자에게 권한이 없으면, Mobile Access Security Gateway가 제공하는 서비스로의 접근은 허용되지 않 습니다. 인증을 마친 사용자는 Mobile Access 정책에 따라 응용을 엽니다. 자세한 내용은 권한 장을 참고하세요.
Endpoint Compliance Scanner
Check Point Endpoint Security on Demand 스캐너는 단말 컴퓨터가 endpoint compliance 정책을 따르는지 검사 합니다. 예를 들어 endpoint compliance 정책은 단말 클라이언트가 최신 Anti-Virus 시그니처와 활성화된 Firewall 을 갖추도록 요구할 수 있습니다. 단말이 정책을 충족하면 포털 접근이 허용 됩니다. 자세한 내용은 Endpoint 준수 장을 참고하세요.
Secure Workspace
최종 사용자는 Check Point 고유의 가상 데스크톱(virtual desktop) 을 쓸 수 있습니다. 이 가상 데스크톱은 사용자 세션 동안 데이터를 보호하고, 세션이 끝난 뒤에는 캐시를 지웁니다. Secure Workspace 는 클라이언트 쪽에 쌓인 세션 한정 데이터를 모두 보호하는데, 보호된 디스크 공간과 파일 암호화로 접속 세션 중에 만들어진 파일을 지킵니다. 그리고 세션이 끝나면 보호된 세션 캐시를 청소해, 공용 PC에 무심코 남았을 기밀 데이터의 노출을 없 앱니다.
Protection Levels
Protection Level 은 연결성(connectivity)과 보안 사이의 균형 을 유지합니다. 사용자가 자원에 접근하기 전에 충족해야 하는 보안 요구사항으로, 예컨대 어떤 응용은 사용자가 특정 인증 방식을 쓰도록 요구하는 Protection Level을 가질 수 있습니다. Mobile Access에는 미리 정의된 세 가지 Protection Level — Permissive, Normal, Restrictive 가 있습니다. 설정을 편집하거나 새 Protection Level을 정의할 수도 있습니다.
Session
인증을 마친 원격 사용자에게는 Mobile Access 세션(session) 이 배정됩니다. 세션은 사용자가 로그아웃하거나 연결이 타임아웃될 때까지 이어지는, 게이트웨이와의 통신 기간입니다.
SSL Network Extender
SSL Network Extender 클라이언트는 Mobile Access를 통해 native application에 접근 할 수 있게 해 줍니다. 이 클라이언트는 Mobile Access Portal에서 단말로 자동 다운로드 되므로, 사용자의 PC·노트북에 클라이언트 소프트웨어를 미리 설치·구성해 둘 필요가 없습니다. SSL Network Extender는 응용 트래픽을 안전하고 암호화되며 인증된 SSL 터널을 통해 Mobile Access Security Gateway로 전달 합니다.
서버 쪽 보안 요점 (Server Side Security Highlights)
Mobile Access 게이트웨이는 다른 Security Gateway와 완전히 통합되어 동일한 보안 기능을 그대로 누리면서, 안전한 원격 접속을 위한 여러 보안 기능을 추가로 갖춥니다. 대표적인 것은 다음과 같습니다.
- IPS — 지능형 보안 기술로 알려진 거의 모든 — 그리고 대부분의 알려지지 않은 — 네트워크 공격으로부터 조직을 보호 합니다. 특히 IPS의 Web Intelligence 구성요소는 웹 관련 응용으로 전달되는 악성 코드를 막습니다 — 웜(worm), Cross-Site Scripting, 버퍼 오버플로(buffer overflow), SQL 인젝션, Command 인젝션, 디렉터리 탐색(Directory traversal), HTTP 코드 검사 등이 여기 포함됩니다.
- IPS Service — 새로운 방어 메커니즘을 IPS 콘솔로 내려받아, 기존 방어 메커니즘을 최신 상태로 유지합니다.
- Anti-Virus — Security Gateway에서 켜 둔 많은 Anti-Virus 설정이 Mobile Access 트래픽에도 적용 되어, 최종 사용자와 기업의 바이러스 감염을 막습니다.
블레이드 연동의 상세는 블레이드 연동 장을 참고하세요.
클라이언트 쪽 보안 요점 (Client Side Security Highlights)
클라이언트 쪽에서 제공되는 대표적인 보안 기능은 다음과 같습니다.
- 세밀한 권한 정책(Granular authorization policy) — 인증(authentication), 암호화(encryption), 클라이언트 보안 요구사항 을 기준으로, 어떤 사용자가 어떤 응용에 접근할 수 있는지를 제한합니다.
- HTTPS를 통한 Web Application 지원 — 웹 기반 응용으로 가는 모든 트래픽을 HTTPS로 암호화 합니다. 네트워크 수준의 전면 접근이 아니라 특정 응용 묶음에 대해서만 접근이 허용됩니다.
- Encryption(암호화) — Mobile Access가 쓰는 SSL Network Extender 는 3DES 또는 RC4 알고리즘 으로 트래픽을 암호화합니다.
- 단말의 Endpoint Compliance — 최신 Anti-Virus·Firewall 등 보호가 갱신되지 않은 단말 클라이언트가 일으키는 위협을 예방 합니다(자세한 내용은 Endpoint Security on Demand 참고).
- Secure Workspace — 클라이언트 쪽에 쌓인 세션 한정 데이터를 모두 보호합니다. 데이터 유출을 막는 Check Point 고유의 가상 데스크톱으로, 모든 파일을 암호화하고 사용자 세션이 끝나면 컴퓨터에서 데이터를 삭제 합니다. 관리자는 Protection Level을 이용해 사용자가 사용자 포털이나 민감 자원에 접근할 때 Secure Workspace를 쓰도록 강제 할 수 있습니다.
- 브라우저 캐싱 제어 — 브라우저 캐싱을 끄거나, 어떤 웹 콘텐츠를 브라우저가 캐싱하게 할지 결정할 수 있습니다.
- 쿠키 캡처 — 사내 웹 서버가 원격 클라이언트로 보내는 쿠키를 잡아 둡니다. 대부분의 구성에서 Mobile Access는 쿠키를 캡처해 Security Gateway에 보관 하고, 사내 웹 서버에 요청을 보낼 때 그 쿠키 정보를 붙여 사용자나 웹 서버의 쿠키 전송을 흉내 냅니다.
- 다중 인증·다중 로그인 옵션 지원 — 예를 들어 SecurID 토큰을 쓰거나, SSL 클라이언트 인증서를 일회용(one-time) DynamicID 비밀번호와 결합 해 쓸 수 있습니다.