08권한 부여와 접근 제어권한 부여와 접근 제어

Mobile Access 규칙은 Unified Access Policy(권장)와 Legacy Policy 중 하나 로 운영합니다(시작하기). 통합 정책을 쓰면 Mobile Access Portal·Capsule Workspace·온디맨드 클라이언트 관련 규칙을 모두 Access Control 정책 한곳에서 다루며, Protection Level·Secure Workspace·Endpoint Compliance 같은 기능도 그대로 적용됩니다(단 일부 설정은 여전히 SmartDashboard의 Mobile Access 탭에서 함).

게이트웨이를 통합 정책으로 돌리려면 게이트웨이 객체 > Mobile Access > Policy Source에서 Unified Access Policy를 고르고, Mobile Access 응용이 든 레이어마다 Mobile Access를 활성화 해야 합니다(Ordered Layer·Inline Layer 모두).

통합 정책에서 규칙을 만들 때 지켜야 할 핵심이 몇 가지 있습니다. 응용이 포털이나 Capsule Workspace에 보이게 하려면 반드시 Mobile Application 객체 를 Services & Applications 열에 넣어야 합니다 — 거기에 Any를 두면 허용은 되지만 포털에 보이지 않고(URL 직접 입력 시에만 열림, Capsule Workspace에선 불가), HTTPS 같은 서비스 객체를 두면 Mobile Access의 https 응용과 매칭되지 않습니다. 또 URL Filtering 같은 다른 용도의 응용 객체는 Mobile Access 규칙에서 동작하지 않 으므로, 예컨대 Facebook을 허용하려면 URL Filtering의 Facebook이 아니라 그 URL로 새 Web Application을 만들어야 합니다.

규칙의 구성요소는 이렇게 정리됩니다 — Source 에는 사용자·그룹이나 Mobile/Remote Access 클라이언트를 담은 Access Role, Services & Applications 에는 Mobile Application 객체, VPN 열에는 Any 또는 게이트웨이를 담은 Remote Access Community, Action 은 Accept/Drop(Reject은 Drop처럼 동작), Install On 에는 Mobile Access와 Identity Awareness가 켜지고 Unified Access Policy를 쓰는 게이트웨이 가 들어갑니다. Mobile Access나 IPsec 블레이드를 켜면 게이트웨이는 자동으로 RemoteAccess VPN Community에 들어갑니다.

통합 정책에서 가장 흔한 실수가 규칙 순서입니다. 응용을 허용하는 Mobile Access 규칙은, 그 응용이 쓰는 서비스(HTTP/HTTPS)를 다루는 규칙보다 위에 와야 합니다. 예컨대 OWA(웹 기반 Mobile Access 응용)를 허용하는 규칙을 일반 HTTPS 허용 규칙보다 아래에 두면, 사용자는 포털·Capsule Workspace에서 OWA를 아예 못 보고 접근도 못 합니다. HTTPS 규칙이 먼저 트래픽을 채 가기 때문입니다.

복잡한 정책에서는 Mobile Access Inline Layer 로 깔끔하게 묶는 것이 좋습니다 — 부모 규칙의 Source에 모든 Mobile Access 클라이언트(Capsule Workspace·포털·ActiveSync·SNX 등)를 담은 Access Role을 두고, Action을 Inline Layer로 하여 그 안에서 응용 규칙을 짭니다(끝에는 Action이 Drop인 Cleanup 규칙). Ordered Layer를 여러 개 쓴다면, Mobile Access 레이어보다 앞선 모든 레이어에 Mobile Access 트래픽을 통과시키는 bypass 규칙(Source는 Mobile Access 사용자 Access Role, Action은 Accept) 을 두어야 트래픽이 Mobile Access 레이어까지 흘러갑니다.

Protection Level 은 연결성과 보안의 균형을 맞춘, 미리 정의된 보안 설정 묶음 입니다. 비슷한 요건의 응용들에 같은 수준의 보호를 한 번에 적용할 수 있어, 응용마다 일일이 설정하지 않아도 됩니다. 기본으로 Normal·Restrictive·Permissive 세 가지가 제공 되며, 새로 만들거나 기존 것을 고칠 수 있습니다.

응용을 정의할 때 기본값은 "게이트웨이의 보안 요건을 그대로 따름"(포털에 인증된 사용자는 이 응용에도 인증됨) 이지만, 여기에 별도 Protection Level을 묶으면 포털 요건에 더해 그 응용만의 요건까지 충족해야 합니다. Protection Level 안에서는 허용할 인증 방식(이 중 하나로 인증해야 접근), SMS 인증 강제, 그리고 Endpoint Security(선택한 Endpoint Compliance 정책을 통과해야, 또는 Secure Workspace 안에서만 접근) 를 정합니다(Endpoint 준수).

MDM Cooperative Enforcement 는 제3자 Mobile Device Management 서버와 연동해, 조직 보안 정책을 따르는 관리 기기만 사내 자원에 접속 하게 합니다. Check Point 앱(Capsule Connect·Capsule Workspace)이 게이트웨이로 VPN을 열면, 게이트웨이가 MDM 서버에 기기의 준수 수준을 조회하고, 그 결과와 사용자 권한을 종합해 접근을 허용하거나 차단 합니다. 즉 단말 자체의 관리 상태를 외부 MDM의 판단에 맡겨 강제하는 방식입니다. 지원 벤더와 iOS 버전별 구성은 sk98201·sk98447에 정리돼 있으며, MDM 계정·라이선스 같은 전제 조건과 게이트웨이 설정 절차의 세부는 원문 해당 절을 참고하세요.