10Endpoint 준수 검사와 Secure WorkspaceEndpoint 준수 검사와 Secure Workspace
원격 접속의 큰 위험은 보호가 허술한 단말이 사내망의 통로가 되는 것 입니다. Mobile Access는 두 장치로 이를 막습니다 — 접속 전에 단말 상태를 검사하는 Endpoint Security on Demand(ESOD) 와, 세션 동안 격리된 가상 데스크톱을 띄우는 Secure Workspace 입니다. 이 장은 둘을 함께 정리합니다.
Endpoint Compliance — 접속 전 단말 검사
Endpoint Security on Demand(Endpoint 준수 스캐너)는 접속하려는 단말이 미리 정의된 준수 정책에 맞는지 스캔 합니다. 예컨대 최신 Anti-Virus가 깔려 있고 Firewall이 켜져 있는지를 확인해, 준수하면 포털 접근을 허용 합니다. 이렇게 함으로써 보호되지 않은 단말에서 비롯되는 데이터 유출·과도한 대역폭 소비 같은 위협 으로부터 기업을 지킵니다.
준수 정책은 규칙들로 이뤄지며, 적용 단위가 세밀합니다. 정책을 게이트웨이에 배정하면 단말이 준수해야 포털 로그인이 가능 하고, Protection Level에 배정해 응용에 묶으면 그 응용에 한해 더 강한 검사를 강제 할 수 있습니다(권한). 응용에 Protection Level이 걸려 있으면 단말은 게이트웨이 정책과 그 Protection Level 정책을 모두 통과해야 하며, 스캔은 포털 로그인 전에 단 한 번 이뤄지고 그 결과로 모든 정책 준수 여부가 판정됩니다. 비준수 단말에는 Secure Workspace 사용을 강제할 수도 있습니다.
준수 정책의 규칙 유형
정책에는 보안 응용 종류별로 여러 규칙 유형이 있고, 같은 유형을 설정만 달리해 여러 개 둘 수 있습니다. Windows Security Rule 은 Windows 특화 점검(최신 Service Pack, 자동 업데이트 상태, Hotfix·패치) 을 하고, Anti-Spyware·Anti-Virus·Firewall Application Rule 은 각각 해당 종류의 보안 소프트웨어가 단말에서 실행 중이고 버전·시그니처가 최신인지 를 확인합니다(규칙 안의 응용 중 최소 하나가 활성이면 준수로 판정, 지원 공급자는 미리 구성돼 있고 미지원 공급자는 Custom Check로). Custom Check Rule 은 다른 규칙으로 못 잡는 것(독자 응용·특정 파일·레지스트리 키·실행 프로세스, 비영어 이름 등) 을 점검하고, OR Group of Rules 는 여러 규칙 중 하나만 만족해도 통과시키며, Spyware Scan Rule 은 Dialer·Worm·Keystroke Logger·Trojan·Adware·Tracking Cookie 같은 스파이웨어 유형별로 취할 동작 을 정합니다. 모든 규칙은 비준수 시 취할 동작과 사용자에게 보일 안내 메시지(보완 방법 등)를 함께 지정합니다.
운영은 정책을 계획하고(어떤 응용·게이트웨이에 어떤 검사를?), ICSInfo 도구 로 정보를 수집하며, 정책을 만들어 응용·게이트웨이에 배정하는 흐름입니다. 스캔 결과는 Endpoint Compliance Logs 로 남아 누가 준수·비준수였는지 추적 할 수 있고, 매 로그인마다 스캔하지 않게 하거나 특정 스파이웨어 시그니처를 스캔에서 제외하는 조정도 가능합니다. 지원되지 않는 브라우저용 대안과 정책 마무리 절차의 세부는 원문 해당 절을 참고합니다.
Secure Workspace — 세션 격리 가상 데스크톱
Secure Workspace 는 단말 위에 "실제" 작업 공간과 분리된 안전한 가상 작업 공간을 만들어, 그 안에서만 사내 자원을 다루게 합니다. 이 격리 공간 밖으로는 Mobile Access Portal을 통하는 것 말고는 어떤 데이터도 나가지 못하 며, Secure Workspace 정책이 명시적으로 허용하지 않은 응용·파일·시스템 도구·자원에는 접근할 수 없습니다. 세션 중 임시 파일은 가상 데스크톱의 암호화 폴더(My Secured Documents)에 담기고, 세션이 끝나면 이 폴더와 모든 세션 데이터가 삭제 되어 공용 PC에 흔적이 남지 않습니다.
쓰려면 단말에 Check Point Portal Agent(ActiveX)와 SSL Network Extender가 설치돼 있어야 합니다. 게이트웨이를 켤 때 모든 사용자에게 Secure Workspace 경유를 강제 할지, 아니면 단말에서 직접 접속할지 선택 하게 할지 를 정합니다. SSL Network Extender를 Secure Workspace 안에서 쓰면 안팎 트래픽이 모두 암호화됩니다.
Secure Workspace 정책은 게이트웨이마다 따로 두며, 사용자가 어떤 응용을 실행할지, 어떤 파일·디렉터리에 저장할지, 포털 보호·사용자 경험을 어떻게 할지 를 통제합니다. 기본 구성은 제한된 응용군만 허용하지만(목록은 sk114454), 대부분의 포털 작업에는 충분합니다. 특정 Protection Level을 Secure Workspace에서 우회(Bypassed)시키거나 완화 모드로 두는 조정은 CLI에서 cvpnd_settings로 하며, 변경 후에는 cvpnrestart로 서비스를 재시작하고(클러스터라면 모든 멤버에) 정책을 설치합니다. 정책 구성과 최종 사용자 경험, 준수 데이터 업데이트의 세부는 원문 해당 절을 참고하세요.