10Endpoint 준수 검사와 Secure WorkspaceEndpoint 준수 검사와 Secure Workspace
원격 접속에서 가장 큰 위험은 보호가 허술한 단말이 사내망으로 들어오는 통로가 되는 것 입니다. 집에 있는 개인 PC나 공항·카페의 공용 컴퓨터가 그대로 회사 자원에 닿으면, 거기에 깔린 악성코드나 스파이웨어가 함께 따라 들어올 수 있습니다. Mobile Access는 이 위험을 두 가지 장치로 막습니다 — 접속을 허용하기 전에 단말의 상태를 검사하는 Endpoint Security on Demand(약칭 ESOD, Endpoint 준수 스캐너)와, 세션 동안 단말 위에 격리된 가상 작업 공간을 띄우는 Secure Workspace 입니다. 이 장은 두 기능을 차례로 빠짐없이 다룹니다 — 무엇을 검사하는지, 규칙은 어떤 종류가 있는지, SmartDashboard와 CLI에서 어떻게 구성하는지, 최종 사용자는 무엇을 보게 되는지까지 모두 풀어 둡니다.
Endpoint Security on Demand
무엇을, 왜 검사하는가
Check Point Endpoint Security on Demand 스캐너 는 접속하려는 단말이 미리 정의해 둔 준수 정책(Endpoint Compliance policy)에 맞는지 스캔 해서 단말 준수를 강제합니다. 예를 들어 어떤 준수 정책은 단말에 최신 Anti-Virus가 깔려 있고 Firewall이 켜져 있는지 를 확인하도록 만들 수 있습니다. 단말이 이 정책에 부합하면(준수, compliant) 사용자는 포털 접근을 허용받습니다.
이렇게 단말이 보안 정책을 지키도록 보장 함으로써, Endpoint Security on Demand는 보호되지 않은 단말에서 비롯되는 위협 — 데이터 유출이나 과도한 대역폭 소비 같은 — 으로부터 기업을 지킵니다.
준수 정책은 규칙(rule) 들로 이뤄집니다. 한 정책은 예컨대 "단말에 승인된 Anti-Virus 응용이 있어야 하고, 스파이웨어가 없어야 한다"고 명시할 수 있습니다. 또 "사내 데이터·응용에 완전히 접근하려면 그 단말이 조직이 관리(managed)하는 기기여야 한다"고 요구할 수도 있습니다.
Security Gateway에서는 Endpoint Compliance Policy 와 Secure Workspace Policy 를 조합해 다음과 같은 정책을 강제할 수 있습니다 — 조직이 관리하지 않는 기기이거나 특정 강제 정책을 만족하지 못하는 클라이언트가 Security Gateway에 접속하려 하면, 반드시 Check Point Secure Workspace를 거치도록 하는 것입니다. 이렇게 하면 권한 없는 정보 접근을 원천 차단할 수 있습니다.
준수 정책의 세분성 (Granularity)
관리자는 준수를 포털 접근의 조건으로 둘 수도, 특정 응용 접근의 조건으로 둘 수도 있습니다. 덕분에 포털과 개별 Mobile Access 응용에 서로 다른 보안 등급 을 매길 수 있습니다.
Endpoint Compliance 정책은 두 곳에 배정합니다.
- Mobile Access Security Gateway 에 배정 — 단말은 이 정책을 준수해야 포털에 로그인 할 수 있습니다.
- Protection Level 에 배정 — Protection Level은 다시 Mobile Access 응용에 연결되므로, 그 응용에 한해 더 강한 검사 를 묶을 수 있습니다(권한).
여기서 세 가지 규칙을 기억하세요.
- Endpoint Compliance 정책이 Security Gateway 에 배정돼 있으면, 단말은 포털 로그인 전에 그 정책을 준수 해야 합니다.
- 단말이 Security Gateway의 Endpoint Compliance 정책을 준수하지 못하면, 사용자에게 Check Point Secure Workspace 사용을 강제 할 수 있습니다.
- 응용에 추가 보호를 주려면, Endpoint Compliance 정책을 Protection Level 에 배정하고 그 Protection Level을 응용에 배정해 게이트웨이가 강제하는 준수 보호를 "강화(harden)" 할 수 있습니다.
응용에 Protection Level이 걸려 있으면, 그 응용에 접근하려는 단말은 Security Gateway에 연결된 정책과 Protection Level에 연결된 정책을 모두 준수해야 합니다. 어느 경우든 스캔은 포털 로그인 전에 단 한 번만 수행 되며, 모든 정책의 준수 여부는 그 한 번의 스캔 결과로 판정됩니다.
준수 정책의 규칙 유형
서로 다른 보안 응용을 위해 여러 종류의 Endpoint Compliance 규칙이 있습니다. 같은 유형의 규칙을 설정만 달리해 여러 개 둘 수도 있습니다. 모든 규칙은 공통적으로 비준수 시 취할 동작과, 비준수일 때 사용자에게 보일 오류 메시지(보완 방법 등 remediation 정보) 를 함께 지정합니다.
Windows Security Rule
Windows 특화 점검을 수행합니다. 예를 들면 다음과 같습니다.
- 단말에 최신 Windows Service Pack 이 있는지 확인.
- 내장 Microsoft Windows 자동 업데이트(Automatic Updates) 시스템의 켜짐/꺼짐 상태 확인.
- 단말에 Microsoft Windows Hotfix·패치 가 있는지 확인.
- Windows 패치를 그 ID 로 강제.
Windows를 쓰는 단말은 이 점검을 통과해야 네트워크에 접근할 수 있습니다. 규칙에 든 Hotfix 중 최소 하나가 단말에서 활성 이어야 그 단말을 준수로 보고 포털 접근을 허용합니다.
Anti-Spyware Application Rule
Windows 단말이 네트워크 접근을 위해 갖춰야 할 Anti-Spyware 응용을 고릅니다. 적절한 Anti-Spyware 소프트웨어가 단말에서 실행 중이고, 버전과 바이러스 시그니처 파일이 최신 인지 보장합니다.
규칙에 든 Anti-Spyware 응용 중 최소 하나가 단말에서 활성 이어야 준수로 판정합니다. 편의를 위해 Anti-Spyware 강제 규칙에는 지원되는 Anti-Spyware 공급자가 미리 구성 돼 있습니다. 지원되지 않는 공급자를 요구하려면 Custom Check Rule 을 쓰세요.
Anti-Virus Application Rule
단말이 네트워크 접근을 위해 갖춰야 할 Anti-Virus 응용을 고릅니다. 적절한 Anti-Virus 소프트웨어가 단말에서 실행 중이고, 버전과 바이러스 시그니처 파일이 최신 인지 보장합니다.
규칙에 든 Anti-Virus 응용 중 최소 하나가 단말에서 활성 이어야 준수로 판정합니다. 편의를 위해 Anti-Virus 강제 규칙에도 지원되는 Anti-Virus 공급자가 미리 구성 돼 있고, 지원되지 않는 공급자는 Custom Check Rule로 요구합니다.
Firewall Application Rule
Windows·Linux·Macintosh 단말이 네트워크 접근을 위해 갖춰야 할 개인용 Firewall 응용을 고릅니다. 적절한 Firewall 소프트웨어가 설치·활성화·실행 중 인지 보장합니다.
규칙에 든 Firewall 응용 중 최소 하나가 단말에서 활성 이어야 준수로 판정합니다. 마찬가지로 지원되는 Firewall 공급자가 미리 구성 돼 있고, 지원되지 않는 공급자는 Custom Check Rule로 요구합니다.
Custom Check Rule
다른 규칙 유형이 잡지 못하는 점검을, Windows·Linux·Macintosh 단말에 대해 직접 수행합니다. 예를 들면 다음과 같습니다.
- 독자(custom) 응용 — 미리 정의된 유형을 보완하는 독자 스파이웨어 스캐너나 특수 보안 솔루션 등.
- 특정 파일 점검.
- 단말의 레지스트리 키 나 실행 중인 프로세스 점검.
- 프로세스·파일의 비영어(localized) 이름 점검.
Custom Check 규칙은 특정 버전과 수정 날짜(modification date) 를 점검하도록 구성할 수도 있습니다.
OR Group of Rules
이 규칙은 앞서 정의해 둔 규칙들의 목록 을 담습니다. 단말은 그 목록에 든 규칙 중 하나 이상만 만족하면 "OR Group of Rules" 규칙을 충족한 것으로 봅니다.
Spyware Scan Rule
단말에 존재하는 스파이웨어 유형별로 취할 동작 을 선택합니다. 스파이웨어 위협 유형에 대한 보호를 바꿀 수 있습니다. 유형별 의미는 다음과 같습니다.
| 스파이웨어 유형 | 설명 |
|---|---|
| Dialer | 사용자의 전화 접속(dial-up) 설정을 바꿔, 지역 ISP 대신 다른 네트워크(보통 유료 번호나 국제 전화번호)로 접속하게 만드는 소프트웨어. |
| Worm | 통신을 방해하거나 소프트웨어·데이터를 손상시키려고 네트워크를 통해 스스로 복제 하는 프로그램. |
| Keystroke Logger | 사용자 입력(키 입력·마우스 동작)을 기록 하는 프로그램. 일부는 기록한 정보를 제3자에게 전송합니다. |
| Hacker Tool | 컴퓨터에 대한 권한 없는 접근이나 데이터 추출을 쉽게 만들어 주는 도구. |
| Remote Administration Tool | 원격 시스템 접근·제어를 허용하는, 상용으로 개발된 소프트웨어. |
| Trojan | 무해한 응용으로 위장한 악성 프로그램. |
| Adware | 광고를 표시하거나, 웹 사용 습관을 기록해 사용자 동의·인지 없이 마케터·광고주에게 전달 하는 프로그램. |
| Other | 위 어디에도 맞지 않으면서, 사용자 컴퓨터에서 몰래 바람직하지 않은 동작 을 하는 모든 비요청(unsolicited) 소프트웨어. |
| Screen Logger | 사용자의 모니터에 표시되는 내용을 기록 하는 소프트웨어. |
| Tracking Cookie | 사용자의 인터넷 활동 정보를 마케터에게 전달 하는 데 쓰이는 쿠키. |
| Browser Plug-in | 브라우저 기능을 바꾸거나 추가하는 소프트웨어. 기본 검색 페이지를 클릭당 과금 사이트로 바꾸거나, 홈페이지를 바꾸거나, 브라우저 이력을 제3자에게 전송 합니다. |
스파이웨어 규칙에서도 비준수 시 취할 동작과 사용자에게 보일 오류 메시지(보완 방법 등) 를 함께 정합니다. 또한 Mobile Access가 스파이웨어로 인식하지만 여러분이 정당하다고 보는 시그니처 는 예외로 둘 수 있습니다(아래 "스캔에서 스파이웨어 시그니처 제외하기" 참고).
Endpoint Compliance 로그
단말이 Endpoint Compliance 정책 규칙 중 하나 이상을 준수하지 못하면, Mobile Access는 "Endpoint Security on Demand" 범주(category)의 전용 로그를 만듭니다. 로그 항목은 SmartLog 에 나타나며 다음을 담습니다.
- 권한 실패를 일으킨 규칙의 ID와 이름.
- 그 규칙이 속한 정책들.
- 로그의 "info" 필드 에 담기는 설명. 관리자는 두 가지 로깅 수준 중에서 고를 수 있습니다(구성 방법은 "Endpoint Compliance 로그 구성하기" 절 참고).
두 로깅 수준은 다음과 같습니다.
- Summary(요약) — 스캔 1회당 SmartLog에 로그 항목 단 하나 만 기록합니다. 이 항목은 정책을 준수하지 못한 단말을 보여 주며, 스캔 날짜·시각, 출발지 IP, Endpoint Compliance 스캔 ID 를 남깁니다.
- Details(상세) — Summary 정보에 더해, 비준수 규칙마다 로그 항목을 하나씩 추가합니다. 예를 들어 추적 쿠키를 걸러내는 Spyware Scan 규칙이라면 다음 필드를 담은 로그가 생성됩니다.
- Malware name:
unwantedexample - Malware type:
3rd party cookie
- Malware name:
Description: symptom type: URL. Symptom value:
cookie:bob@unwantedexample.net.
Endpoint Compliance 구성 흐름
Endpoint Compliance 강제를 구성하는 전체 흐름은 다음과 같습니다. 각 단계는 이어지는 절에서 자세히 다룹니다.
- 준수 정책 계획 — Mobile Access 포털과 응용의 보안 등급을 정합니다. 예컨대 "단일 정책만 준수하면 모든 응용에 접근해도 되는가? 더 민감한 자원이 있다면 그 응용에는 더 엄격한 정책을 둘 것인가?"를 결정합니다.
- ICSInfo 도구 사용 — 강제 규칙을 만들 모든 Endpoint 보안 응용을 깔아 둔 독립 테스트 컴퓨터를 마련하고, ICSInfo 도구를 실행해 규칙을 올바른 형식으로 정의하는 데 필요한 정보를 얻습니다.
- 준수 정책 생성 — 정책은 규칙으로 이뤄지고, 준수하려면 정책 안의 모든 규칙 을 준수해야 합니다. 규칙은 여러 정책에서 재사용할 수 있으나, 어느 정책에도 들어 있지 않은 규칙은 쓰이지 않 습니다. 구성 도구에는 조직 필요에 맞게 편집할 수 있는 미리 정의된 규칙 이 여럿 들어 있습니다.
- 응용·게이트웨이에 준수 설정 구성 — 어떤 정책을 어떤 응용·Security Gateway에 배정할지 정합니다. 포털 접근을 스캔 통과의 조건으로 두려면 정책을 Security Gateway에 배정 하고, 응용 접근을 조건으로 두려면 정책을 Protection Level에 배정한 뒤 그 Protection Level을 응용에 배정 합니다.
- 구성 마무리 — Endpoint 스캔 결과의 추적 옵션을 정하고, 보안 정책을 저장·설치합니다.
준수 정책 계획하기
SmartDashboard에서 구성을 시작하기 전에 약간의 계획이 필요합니다. Mobile Access 포털(즉 Security Gateway)과 포털 응용 각각에 보안 등급 을 정해야 합니다. 방법은 여러 가지이고, 정책을 얼마나 세밀하게 만들어야 하는지에 따라 최선의 방법이 달라집니다.
Basic Approach(기본 방식) — 가장 단순한 방식으로, Security Gateway와 그를 통해 접근하는 모든 응용에 단일 Endpoint Compliance 정책 을 정의합니다. 이 방식에서는 게이트웨이를 거치는 모든 응용이 게이트웨이의 준수 정책으로 보호되고, 정책을 준수하는 단말은 포털과 모든 응용에 접근합니다.
| 자원 | Endpoint Compliance 정책 |
|---|---|
| Security Gateway A | Low Security |
| Web App P | 게이트웨이 요구사항에 의존 |
| Web App Q | 게이트웨이 요구사항에 의존 |
| File Share R | 게이트웨이 요구사항에 의존 |
Advanced Approach(고급 방식) — 한 개(또는 소수)의 응용만 다른 응용보다 더 엄격한 보안 요구사항 을 가질 때 적절합니다. 추가 요구사항은 별도의 Endpoint Compliance 정책으로 명시하며, 게이트웨이 정책에 더해 추가로 강제 됩니다. 모든 사용자는 포털에 들어가려면 게이트웨이 정책의 임계(threshold) 요구사항을 만족해야 하고, 추가 요구사항이 있는 응용 링크를 누른 사용자는 그 추가 요구사항까지 만족해야만 그 응용에 접근합니다.
| 자원 | Endpoint Compliance 정책 |
|---|---|
| Security Gateway A | Low Security |
| Web App P | 게이트웨이 요구사항에 의존 |
| Web App Q | High Security |
| File Share R | 게이트웨이 요구사항에 의존 |
Very Advanced Approach(매우 고급 방식) — 대부분 또는 모든 응용이 저마다 다른 Endpoint 보안 요구사항 을 가질 때, 응용마다 개별 정책을 정의할 수 있습니다. 이 경우 Security Gateway 자체에는 보안 요구사항이 없어 모든 사용자가 포털에 접근하지만, 응용 링크를 누르면 그 응용의 요구사항을 만족해야만 접근합니다. 응용에 요구사항이 구성돼 있지 않으면 그냥 접근이 허용됩니다.
| 자원 | Endpoint Compliance 정책 |
|---|---|
| Security Gateway A | None |
| Web App P | Low Security |
| Web App Q | High Security |
| File Share R | Medium Security |
준수 정책 규칙 예시
아래 표는 서로 다른 보안 요구사항에 대해 서로 다른 규칙으로 구성된 준수 정책 의 예입니다.
| 규칙 | 설명 | High Security | Medium Security | Low Security |
|---|---|---|---|---|
| 1 | 기본 Windows Security 규칙 | Yes | Yes | No |
| 2 | Anti-Virus 응용 점검 | Yes | Yes | Yes |
| 3 | Firewall 응용 점검 | Yes | Yes | Yes |
| 4 | Spyware Scan 규칙 | Yes | No | No |
ICSInfo 도구 사용하기
Endpoint Compliance 정책 규칙을 정의할 때는 반드시 올바른 형식 을 써야 하는데, 이 형식은 공급자마다 다릅니다. ICSinfo.exe 유틸리티는 컴퓨터를 스캔해, 발견한 모든 지원 보안 프로그램에 대해 올바른 형식의 정보를 담은 XML 파일 을 생성합니다. 준수 규칙을 구성하기 전에 ICSinfo 도구를 먼저 실행하세요.
사용 방법은 다음과 같습니다.
- 강제 규칙을 만들 모든 Endpoint 보안 응용을 깔아 둔 독립(stand-alone) 테스트 컴퓨터 를 마련합니다. 보안 소프트웨어에는 최신 업데이트를 적용 해 두세요.
- Mobile Access Security Gateway에서 테스트 컴퓨터로 ICSinfo 도구를 복사합니다. 도구의 위치는 다음과 같습니다.
ICSinfo.exe를 실행합니다. 이 유틸리티는 감지된 모든 보안 소프트웨어를 올바른 형식의 필요 정보와 함께 나열 합니다. 출력 XML 파일ICSinfo.xml은 브라우저로 열어 볼 수 있고, 각 절은-/+를 눌러 접거나 펼칠 수 있습니다.- 보안 프로그램마다 정보를 기록해 두고, 이를 이용해 Endpoint Compliance 정책 규칙을 만듭니다.
준수 정책 생성하기
준수 정책을 구성하는 절차는 다음과 같습니다.
- SmartConsole 에서 Security Policies > Shared Policies > Mobile Access 를 선택하고 Open Mobile Access Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 Mobile Access 탭을 보이며 열립니다.
- 탐색 트리에서 Endpoint Security on Demand > Endpoint Compliance 를 클릭합니다.
- Edit policies 를 클릭합니다. Endpoint Compliance 정책 구성 도구가 Policies 페이지에서 열립니다.
- 새 정책을 만들거나 기존 정책을 편집합니다.
- 새로 만들려면 New Policy 를 클릭 → Policies > New Policy 페이지가 열립니다.
- 기존 정책을 편집하려면 정책을 선택하고 Edit 를 클릭 → Policies > Edit Policy 페이지가 열립니다.
- 정책에 Name(이름) 과 Description(설명) 을 줍니다.
- Spyware Scan 규칙이 있는 정책의 경우, 단말에 유효한 Anti-Spyware·Anti-Virus 응용이 있을 때 Endpoint Security on Demand의 Spyware Scan이 굳이 필요한지 판단합니다. 필요 없다면 Bypass malware scan if endpoint meets Anti-Virus or Anti-Spyware requirements 를 선택합니다.
- 정책 안에서 미리 정의된 규칙을 추가하거나, 새 규칙을 만들거나, 기존 규칙을 편집합니다. 보안 응용에 따라 규칙 유형이 다르고, 같은 유형의 규칙을 설정만 달리해 여러 개 둘 수 있습니다.
- 미리 정의된 규칙 추가 — Add 클릭 → Add Enforcement Rules 페이지에서 규칙을 골라 OK.
- 새 규칙 생성 — New Rule 클릭 후 규칙 유형 선택.
- 기존 규칙 편집 — 규칙을 선택하고 Edit.
- 규칙을 정의합니다.
- OK 를 클릭 → Edit Policy(또는 New Policy) 페이지로 돌아갑니다.
- OK 를 클릭 → Policies 페이지로 돌아갑니다.
- OK 를 클릭 → 준수 정책 구성이 끝나고 Endpoint Security on Demand > Endpoint Compliance 페이지로 돌아갑니다.
- SmartDashboard를 닫습니다.
- SmartConsole에서 정책을 설치 합니다.
정책을 구성한 뒤에는, 이 정책들을 실제로 쓰도록 Endpoint Compliance 설정을 구성합니다.
응용·Security Gateway에 준수 설정 구성하기
- SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블 클릭합니다. General Properties 페이지가 열립니다.
- 탐색 트리에서 Endpoint Security on Demand > Endpoint Compliance 를 클릭합니다.
- Scan endpoint machine when user connects(사용자가 접속할 때 단말 스캔)를 클릭합니다.
- 다음 세 방식 중 하나를 고릅니다.
- Basic Approach — 포털과 모든 응용에 공통 정책을 구성.
- Medium Approach — 포털에 임계 정책을 두고 특정 응용은 강화.
- Advanced Approach — 응용마다 개별 정책을 구성.
Basic Approach — 포털과 모든 응용에 공통 정책
게이트웨이에 정책을 배정해 접속 시 스캔을 요구하려면:
- Threshold policy: to access any application via this gateway, the endpoint must comply with the following policy 를 클릭합니다.
- 드롭다운에서, 이 게이트웨이로 접근하는 모든 응용에 쓸 Endpoint Compliance 정책을 선택합니다.
- OK 를 클릭합니다.
이어서 응용들이 게이트웨이 설정을 따르도록 합니다.
- Objects Bar에서 Custom Application/Sites > Mobile Applications > Web Applications 를 클릭합니다.
- 응용을 더블 클릭합니다. Web Application 설정 창이 열립니다.
- 탐색 트리에서 Additional Settings > Protection Level 을 클릭합니다.
- This application relies on the security requirements of the gateway(이 응용은 게이트웨이의 보안 요구사항에 의존)가 선택돼 있는지 확인합니다.
- OK 를 클릭합니다.
- 응용마다 이 단계를 반복합니다.
- 정책을 설치합니다.
- Endpoint Compliance 로그를 구성합니다.
Medium Approach — 포털에 임계 정책 + 특정 응용 강화
먼저 Security Gateway 설정:
- Threshold policy: to access any application via this gateway, the endpoint must comply with the following policy 를 클릭합니다.
- 드롭다운에서 이 게이트웨이로 접근하는 응용에 쓸 기본 Endpoint Compliance 정책 을 선택합니다.
- OK 를 클릭합니다.
강화가 필요한 응용에는 Protection Level을 줍니다.
- Objects Bar에서 Custom Application/Sites > Mobile Applications > Web Applications 를 클릭합니다.
- 강화된 Endpoint 보안이 필요한 응용을 더블 클릭합니다.
- 탐색 트리에서 Additional Settings > Protection Level 을 클릭합니다.
- This application has additional security requirements, specified by the following protection level 를 클릭합니다.
- 드롭다운에서 이 응용에 쓸 Protection Level을 선택합니다. 새 Protection Level을 정의하려면 Manage 를 클릭합니다("Mobile Access Applications" 참고).
- OK 를 클릭합니다.
- 응용마다 반복합니다.
- 정책을 설치합니다.
- Endpoint Compliance 로그를 구성합니다.
Advanced Approach — 응용마다 개별 정책
먼저 Security Gateway 설정:
- Security Gateway의 Endpoint Compliance 페이지에서 No threshold: to protect applications, configure endpoint compliance requirements individually per application 을 클릭합니다.
- OK 를 클릭합니다.
이어서 응용마다 개별 정책을 구성합니다.
- Objects Bar에서 Custom Application/Sites > Mobile Applications > Web Applications 를 클릭합니다.
- 강화된 Endpoint 보안이 필요한 응용을 더블 클릭합니다.
- 탐색 트리에서 Additional Settings > Protection Level 을 클릭합니다.
- This application has additional security requirements, specified by the following protection level 를 클릭합니다.
- 드롭다운에서 이 응용에 쓸 Protection Level을 선택합니다. 새로 정의하려면 Manage 를 클릭합니다.
- OK 를 클릭합니다.
- 응용마다 반복합니다.
- 정책을 설치합니다.
- Endpoint Compliance 로그를 구성합니다.
고급 Endpoint Compliance 설정
Endpoint Compliance 스캐너가 단말의 운영체제를 지원하지 않을 때 Security Gateway·응용 접근을 허용할지 여부를 고급 설정에서 정할 수 있습니다.
- SmartDashboard 탐색 트리에서 Endpoint Security on Demand > Endpoint Compliance 페이지를 클릭합니다.
- Edit 를 클릭합니다. Advanced Endpoint Compliance Settings 창이 열립니다.
이 창에서 스캐너가 지원하지 않는 OS의 단말에 대해 접근을 허용할지 결정합니다. Endpoint Compliance 스캐너가 지원하는 OS는 Windows, Mac, Linux 입니다.
OS별 플랫폼 기반 우회 (Platform-Based Bypass Per OS)
일부 OS가 Endpoint Compliance 요구사항을 우회하도록 허용하려면, Advanced Endpoint Compliance Settings 창에서 Allow access 옵션을 선택해야 합니다. 세부는 Mobile Access Release Notes의 OS 호환성 표 를 참고하세요. OS별로 다른 규칙을 두려면 sk34989 를 참고하세요.
Protection Level별 플랫폼 기반 우회
Protection Level 단위로 Endpoint Compliance 설정을 구성하면 응용별로 플랫폼 기반 우회 를 둘 수 있습니다. 기본적으로 모든 고급 설정은 SmartDashboard의 Advanced Endpoint Compliance Settings 페이지 값을 그대로 따릅니다.
Protection Level별 우회 활성화 — Protection Level마다 다른 접근 권한을 두려면 다음을 실행합니다.
cvpnd_settings set useICSRelaxedModeInProtectionLevel true기본값으로 되돌리려면 위 명령에서 true 를 false 로 바꿉니다.
우회할 Protection Level 구성 — SmartDashboard의 Mobile Access 탭에서 Additional Settings > Protection Levels 에 Protection Level 목록이 있습니다. 여기서 각 Protection Level에 배정된 응용에 요구되는 인증·Endpoint 보안 설정을 편집하거나 새 Protection Level을 만들 수 있습니다. 예를 들어 "준수 정책 policy1을 만족할 때만 어떤 응용에 접근하게 하되, iPhone처럼 스캔을 지원하지 않는 단말 도 수용"하려면:
- Endpoint Compliance 정책
policy1을 강제하는 Protection Level(예:ESOD_Relaxed_PL)을 만들거나 사용합니다. - 그 Protection Level을 응용에 배정합니다.
- Protection Level을 "Bypassed" 로 구성합니다.
Mobile Access CLI에서 Expert mode 로 다음을 실행합니다.
cvpnd_settings listAdd ICSRelaxedModeProtectionLevelNames
ESOD_Relaxed_PL다른 Protection Level도 추가할 수 있습니다. Protection Level을 "Bypassed"에서 되돌리려면:
cvpnd_settings listRemove ICSRelaxedModeProtectionLevelNames그리고 화면 지시를 따릅니다. 마지막으로 세밀한 플랫폼 기반 우회를 마무리하려면:
cvpnrestart로 Mobile Access 서비스를 재시작합니다. 게이트웨이가 클러스터의 일부라면 모든 클러스터 멤버에 같은 변경 을 적용하세요.- SmartDashboard에서 Protection Level을 응용에 배정합니다.
- 정책을 설치합니다.
Endpoint Compliance 로그 구성하기
Mobile Access가 만드는 Endpoint Compliance 전용 로그는 SmartLog에서 Endpoint Security on Demand 범주로 볼 수 있고, 핵심 정보는 로그의 info 필드 에 들어 있습니다. 추적 옵션을 구성하려면:
- SmartConsole에서 Security Policies > Shared Policies > Mobile Access 를 선택하고 Open Mobile Access Policy in SmartDashboard 를 클릭합니다.
- 탐색 트리에서 Endpoint Security on Demand > Endpoint Compliance 를 클릭합니다.
- Endpoint Compliance 페이지의 Tracking 섹션에서 Log the endpoint scan results 를 켜 스캔 결과를 로그에 남깁니다.
- Details 또는 Summary 를 선택해 로그 파일에 기록할 상세 수준을 정합니다(두 수준의 차이는 위 "Endpoint Compliance 로그" 참고).
- Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
- SmartConsole에서 정책을 설치합니다.
Security Gateway와 응용에 정책 배정하기
Security Gateway에 배정 —
- Endpoint Compliance 페이지에서 모든 Mobile Access Security Gateway를 Endpoint Security Settings on Mobile Access Security Gateways 섹션에 추가합니다.
- 접근을 스캔 통과의 조건으로 둘 게이트웨이마다 편집해, Threshold policy 를 고르고 Scan the endpoint machine when a user connects 를 선택합니다.
응용에 배정 —
- 응용 접근을 스캔 통과의 조건으로 두려면 정책을 Protection Level에 배정합니다.
- 그 Protection Level을 Mobile Access 응용에 배정합니다.
스캔에서 스파이웨어 시그니처 제외하기
특정 시그니처를 스캔에서 빼려면:
- 단말이 접속 전 Endpoint 준수 스캔을 받도록 Mobile Access를 구성합니다. 정책에는 Spyware Scan 규칙이 포함 돼 있어야 합니다.
- 제외할 스파이웨어가 있는 독립 테스트 컴퓨터를 마련합니다.
- 그 테스트 컴퓨터에서 Mobile Access에 접속해 Endpoint 준수 스캔을 실행합니다. Endpoint Security on Demand가 스파이웨어를 감지하면(Spyware Scan 규칙에 어떤 동작이 구성됐든) 보고서에 그 스파이웨어 이름(예:
Win32.megaspy.passwordthief) 이 포함됩니다. - 스파이웨어 이름을 기록해 둡니다.
- SmartConsole에서 Security Policies > Shared Policies > Mobile Access 를 선택하고 Open Mobile Access Policy in SmartDashboard 를 클릭합니다.
- 탐색 트리에서 Endpoint Security on Demand > Endpoint Compliance 를 클릭합니다.
- Edit Policies 를 클릭합니다.
- 클라이언트에 적용되는 정책을 선택하고 Edit 를 클릭합니다.
- 목록에서 Spyware Scan 규칙 을 선택하고 Edit 를 클릭합니다.
- Software exception list 섹션에서 Add 를 클릭합니다.
- 스파이웨어의 Name 과 Description 을 입력합니다.
- OK 를 세 번 클릭해 정책 편집기를 닫습니다.
- Save 를 클릭합니다.
- SmartDashboard를 닫습니다.
- SmartConsole에서 정책을 설치합니다.
매 로그인마다 스캔하지 않게 하기
기본적으로 단말은 사용자가 로그인할 때마다 스캐너에 의해 스캔됩니다. 이것이 기본값이자 가장 안전한 구성입니다. 다만 한 번 로그인한 뒤에는 지정한 타임아웃이 끝날 때까지 다시 로그인해도 스캔하지 않도록 구성할 수도 있습니다. 구성 세부는 sk34844 를 참고하세요.
스캐너 최종 사용자 흐름
단말의 Endpoint Compliance 스캐너는 ActiveX를 실행하는 브라우저(Windows + Internet Explorer)나 Java를 지원하는 브라우저에서 동작합니다.
Internet Explorer 설정
Internet Explorer로 스캐너를 쓰려면 브라우저가 ActiveX 컨트롤을 내려받아 실행하고 Active Scripting을 허용 하도록 설정돼 있어야 합니다.
- Internet Explorer 메뉴에서 Tools > Internet Options 를 선택합니다.
- Security 탭을 선택합니다.
- Security Settings 창에서 단말이 원격 연결에 쓰는 Web content zone 을 선택합니다.
- Custom Level 을 클릭합니다.
- Security Settings 창에서 다음 옵션을 켜고 OK 를 클릭합니다.
- Download signed ActiveX controls
- Run ActiveX controls and plug-ins
- Script ActiveX controls marked as safe for scripting
- Active scripting
- Privacy 탭 > Medium 설정을 고르고 Advanced 를 클릭합니다.
- Override automatic cookie handling 을 켜고, 1st party cookies 섹션에서 Accept 를 켭니다.
- OK 를 클릭합니다.
최종 사용자 경험
Endpoint Compliance가 켜진 포털에 사용자가 접속하면, 로그인 화면을 보기 전에 단말이 먼저 스캔 됩니다. 스캐너는 ActiveX(Windows + IE)나 Legacy Mobile Access Portal을 통해 단말에 설치됩니다.
로그인 흐름은 다음과 같습니다.
- 브라우저에 Mobile Access 포털 URL을 입력합니다.
- 그 단말에서 스캐너를 처음 쓰는 경우, Check Point Mobile Access Portal Agent 를 내려받아 설치하라는 안내가 뜹니다. 이때 다음 경고가 보일 수 있습니다.
- 연결하려는 Mobile Access 사이트를 신뢰하는가?
- Mobile Access 사이트 서버의 인증서를 신뢰하는가?
- 스캔 동안 진행 표시줄이 보입니다.
- 스캔을 통과하면 Mobile Access 포털 로그인 화면이 나타납니다. 통과하지 못하면, Endpoint Security on Demand가 감지된 유해 소프트웨어와 보안 규칙 위반 을 보여 주는 결과 화면을 띄웁니다.
- 유해 소프트웨어 항목을 클릭하면 감지된 악성코드의 짧은 설명, 하는 일, 권장 제거 방법 이 표시됩니다.
- Continue Anyway 버튼이 있으면, 악성코드를 지우거나 위반을 고치지 않고도 그대로 로그인할 수 있습니다.
- 버튼이 없으면, 악성코드를 제거하거나 위반을 고쳐야만 로그인할 수 있습니다. 고친 뒤 Scan again 을 눌러 다시 스캔합니다.
- 로그인 페이지가 나타나면 평소처럼 로그인합니다.
지원되지 않는 브라우저로 쓸 때
Mobile Access의 Endpoint Security on Demand는 ActiveX나 Java를 지원하는 브라우저 가 필요합니다. 지원되지 않는 브라우저로 포털에 접근할 때의 동작은 다음과 같습니다.
- Endpoint compliance scan Policy 페이지에서 Block access to all applications 가 켜져 있고, 아래 중 하나라도 해당하면 단말은 포털에 접속할 수 없 습니다.
- 악성코드 보호 규칙 중 최소 하나에 Prevent Connectivity 옵션이 켜져 있을 때.
- 강제 규칙(Anti-Virus 또는 Custom) 중 최소 하나에 Restrict 동작이 선택돼 있을 때.
이 경우 Endpoint Security on Demand는 오류 메시지를 띄우고 관리자 Traffic Log에 로그를 남깁니다. - 그 밖의 모든 경우, 사용자는 스캔을 통과하지 않고도 포털에 로그인 할 수 있습니다. 때로는 비호환 메시지와 함께 Continue 버튼이 나타나 로그인을 진행하게 해 주며, 이때도 관리자 Traffic Log에 로그가 남습니다. - 응용의 Protection Level이 스캔을 요구하도록 구성돼 있으면, 사용자는 포털에는 들어가더라도 그 응용은 실행할 수 없 습니다.
지원되지 않는 브라우저의 포털 접근 막기
지원되지 않는 브라우저를 쓰는 사용자가 스캔을 통과하지 않고 포털·응용에 접근하는 것을 막으려면:
- Scan endpoint machine when user connects 옵션을 켜고 임계 정책을 설정합니다(Endpoint Security on Demand > Endpoint compliance 페이지).
- 스캔 통과를 요구하는 Protection Level을 모든 응용에 배정합니다.
- Endpoint Security on Demand가 지원되지 않는 브라우저의 모든 연결을 거부 하도록 강제합니다("고급 Endpoint Compliance 설정" 절 참고).
구성 마무리하기
Endpoint Compliance 페이지에는 다음이 표시됩니다.
- 단말을 스캔하도록 구성된 Mobile Access Security Gateway 수.
- Security Gateway에 요구되는 보안 정책.
- Mobile Access 응용 수와, 각 응용의 강제 수준(full / partial / none).
내용이 조직에 맞으면:
- Save 를 클릭합니다.
- SmartDashboard를 닫습니다.
- SmartConsole에서 정책을 설치합니다.
Secure Workspace
Secure Workspace란
Secure Workspace 는 원격 사용자가 사내 자원에 안전하게 접속하도록 돕는 보안 솔루션입니다. 단말 위에 ="실제(real)" 작업 공간과 분리된 안전한 가상 작업 공간== 을 만들어, 사내 자원은 그 안에서만 다루게 합니다.
이 안전한 환경 밖으로는 Mobile Access Portal을 거치는 것 말고는 어떤 데이터도 나가지 못 합니다. Secure Workspace 사용자는 Secure Workspace 정책이 명시적으로 허용하지 않은 응용·파일·시스템 도구·자원 에는 가상 작업 공간에서 접근할 수 없습니다. 관리자는 정책을 손쉽게 구성해, 기업 요구에 따라 활동을 허용하거나 막을 수 있습니다.
Secure Workspace는 가상 데스크톱에 My Secured Documents 라는 암호화 폴더 를 만들어 임시 사용자 파일을 담고, 세션이 끝나면 이 폴더와 모든 세션 데이터를 삭제 합니다. 그래서 공용 PC에도 흔적이 남지 않습니다.
Secure Workspace를 켠 뒤에는 Security Gateway를 구성해, 모든 사용자가 Secure Workspace를 거쳐 포털에 접속하도록 강제 하거나, Secure Workspace 경유와 단말 직접 접속 중 사용자가 고르게 할 수 있습니다.
사전 요구사항
단말에 Check Point Portal Agent(ActiveX 구성요소)와 SSL Network Extender 가 설치돼 있어야 합니다.
Secure Workspace 켜기
Mobile Access Security Gateway에 대해 Secure Workspace를 켜는 절차는 다음과 같습니다.
- SmartConsole에서 Security Policies > Shared Policies > Mobile Access 를 선택하고 Open Mobile Access Policy in SmartDashboard 를 클릭합니다.
- 탐색 트리에서 Endpoint Security on Demand > Secure Workspace 를 클릭합니다.
- 정책을 구성하려면 Edit policy 를 클릭합니다(세부는 "Secure Workspace 정책 구성하기" 절 참고).
- Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
- SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블 클릭합니다. General Properties 페이지가 열립니다.
- 탐색 트리에서 Mobile Access > Check Point Secure Workspace 를 클릭합니다.
- 게이트웨이에서 Secure Workspace를 켜려면 This gateway supports access to applications from within the Secure Workspace 를 클릭합니다.
- 사용자가 포털에 로그인할 때의 동작을 정하는 옵션을 선택합니다.
- Allow user to choose whether to use Check Point Secure Workspace — 사용자가 Secure Workspace 사용 여부를 고름.
- Users must use Check Point Secure Workspace — 모든 사용자에게 강제.
- User must use Check Point Secure Workspace only if the following Endpoint Compliance policy is not satisfied — 클라이언트가 특정 Endpoint Compliance 정책을 만족하지 못할 때만 Secure Workspace를 강제 하고, 만족하면 선택 사항으로 둡니다.
- Security Gateway에서 강제할 Endpoint Compliance Policy 를 선택합니다. 선택한 정책의 기준을 만족하지 못하면 그 클라이언트는 Secure Workspace를 써야 합니다.
- OK 를 클릭합니다.
- SmartConsole에서 정책을 설치합니다.
고급 Secure Workspace 설정
Endpoint Security on Demand > Secure Workspace 페이지의 Advanced Secure Workspace Settings 섹션에서 Edit 를 클릭하면 설정 창이 열립니다. 여기서 Secure Workspace가 단말 OS를 지원하지 않을 때 Security Gateway·응용 접근을 허용할지 결정합니다. OS별 세부 설정은 sk34989 를 참고하세요.
OS별 플랫폼 기반 우회
일부 OS가 Secure Workspace 요구사항을 우회하도록 허용하려면, Advanced Secure Workspace Settings 창에서 Allow access 옵션을 선택해야 합니다. OS별로 다른 규칙을 두려면 sk34989 를 참고하세요.
Protection Level별 플랫폼 기반 우회
Protection Level 단위로 Secure Workspace 설정을 구성하면 응용별로 플랫폼 기반 우회 를 둘 수 있습니다. 기본적으로 모든 고급 설정은 SmartDashboard의 Advanced Secure Workspace Settings 페이지 값을 따릅니다.
Protection Level별 우회 활성화 — CLI에서 다음을 실행합니다.
cvpnd_settings set useISWRelaxedModeInProtectionLevel true기본값으로 되돌리려면 true 를 false 로 바꿉니다.
우회할 Protection Level 구성 — SmartDashboard의 Mobile Access 탭에서 Additional Settings > Protection Levels 에 Protection Level 목록이 있습니다. 여기서 각 Protection Level의 인증·Endpoint 보안 설정을 편집하거나 새로 만들 수 있습니다. Applications using this protection level can only be accessed from within Check Point Secure Workspace 를 선택하면, 그 Protection Level에 배정된 모든 응용은 오직 Secure Workspace 안에서만 접근됩니다.
다만 "어떤 응용을 Secure Workspace에서만 접근하게 하되, iPhone처럼 Secure Workspace를 지원하지 않는 단말 도 수용"하려면:
- Endpoint Compliance 정책
policy1을 강제하는 Protection Level(예:ESOD_Relaxed_PL)을 만들거나 사용합니다. - 그 Protection Level을 응용에 배정합니다.
- Protection Level을 "Bypassed" 로 구성합니다.
Mobile Access CLI에서 Expert mode 로 다음을 실행합니다.
cvpnd_settings listAdd ISWRelaxedModeProtectionLevelNames
ESOD_Relaxed_PL다른 Protection Level도 추가할 수 있습니다. "Bypassed"에서 되돌리려면:
cvpnd_settings listRemove ISWRelaxedModeProtectionLevelNames그리고 화면 지시를 따릅니다.
Secure Workspace 구성 마무리 —
cvpnrestart로 Mobile Access 서비스를 재시작합니다. 클러스터라면 모든 멤버에 같은 변경 을 적용하세요.- SmartDashboard에서 Protection Level을 응용에 배정합니다.
- 정책을 설치합니다.
Secure Workspace가 허용하는 응용
기본 구성에서 Secure Workspace는 제한된 응용군 에만 접근을 허용합니다. 대부분의 사용자가 Mobile Access Portal로 작업하고 네트워크 호스트에서 정보를 가져오는 데는 이것으로 충분합니다. 지원 응용 목록은 sk114454 를 참고하세요.
Secure Workspace 안의 SSL Network Extender
Secure Workspace 안에서 SSL Network Extender를 쓰면, Secure Workspace 트래픽과 그 바깥의 트래픽이 모두 암호화 됩니다.
Secure Workspace 정책 개요
Secure Workspace는 Secure Workspace 정책 에 따라 단말의 응용·디렉터리 접근을 통제합니다. Mobile Access Security Gateway마다 자기만의 정책 을 가지며, 정책이 하는 일은 다음과 같습니다.
- 사용자가 응용을 실행하도록 허용하거나 거부.
- 응용이 특정 파일·디렉터리에 파일을 저장 하도록 허용.
- 일반 포털 보호 보안 설정과 사용자 경험 동작 정의.
승인된 응용(Approved Applications) 목록은 항목을 추가·편집·삭제할 수 있습니다. Secure Workspace가 종료된 뒤에도 남아야 하는 파일은 Allowed Save locations 라는 위치에 저장하도록 정의할 수 있습니다. 종료 후 필요 없는 임시 파일은 Secure Workspace가 닫힐 때 삭제 되므로 위치를 따로 정의할 필요가 없습니다.
Secure Workspace에는 내장 Firewall 이 있어 Outbound Firewall Rules(승인된 응용이 접근할 수 있는 IP·포트)를 정의합니다. 기본적으로 데스크톱 응용은 모든 주소·포트에 접근할 수 있습니다. 승인된 응용·저장 위치·Outbound Firewall Rules의 설정은 서로 독립적 입니다 — 예컨대 저장 위치는 특정 응용에 한정되지 않고, Outbound Firewall Rules도 모든 응용에 적용됩니다.
Secure Workspace 정책 구성하기
Secure Workspace 정책은 사용자가 Secure Workspace 안에서 겪을 허용 활동과 동작 을 결정합니다.
- SmartConsole에서 Security Policies > Shared Policies > Mobile Access 를 선택하고 Open Mobile Access Policy in SmartDashboard 를 클릭합니다.
- 탐색 트리에서 Endpoint Security on Demand > Secure Workspace 를 클릭합니다.
- Edit policy 를 클릭하면 Secure Workspace Settings 창이 열립니다.
- 이어지는 절에서 설명하는 탭들의 필드를 채웁니다.
General Settings (일반)
Self Protection(자기 보호)
- Enable Secure Workspace Self Protection — 드라이버 수준의 보호 를 더해 환경 변조 시도를 막습니다. 관리자 권한 이 필요하며 Secure Workspace 시작 시 UAC(User Access Control) 프롬프트가 보일 수 있습니다.
- Prevent Secure Workspace startup if the Self Protection driver fails to install — 선택하면 자기 보호 드라이버가 성공적으로 설치돼야만 Secure Workspace가 시작됩니다.
SSL Network Extender
- Allow SSL Network Extender connections only from within Secure Workspace — 사내 자원을 오직 Secure Workspace 안에서만 쓰게 합니다. 조직 보안 정책이 깨끗하고 격리된 환경, 엄격히 허용된 응용 집합에서만 자원 접근을 요구할 때 사용합니다.
Data Protection(데이터 보호)
- Prevent the host PC from printing secure documents — 사용자가 Secure Workspace에서 문서를 인쇄할 수 없 게 합니다.
- Prevent copying clipboard content to the host PC — Secure Workspace 안의 내용을 바깥으로 복사·저장할 수 없 게 합니다.
Application Control Settings (응용 제어)
- Enable Reputation Services to validate the integrity of allowed applications in the Applications Table — 사용자가 승인된 응용이 아닌 응용 을 실행하면, Secure Workspace가 Check Point Reputation Services 에 그 응용이 정당한지 묻습니다. Reputation Services는 세 가지 중 하나로 답합니다 — 신뢰함(Trusted), 신뢰하지 않음(Untrusted), 알 수 없음(Unknown). 응답 처리 방식을 다음 중에서 정합니다.
- Allow Trusted only — Trusted만 허용.
- Allow Trusted and Unknown — Trusted와 Unknown 허용.
Application Table — 승인된 응용은 Secure Workspace 데스크톱에 나타나고 단말에서 실행이 허용됩니다. 목록은 추가·편집·제거할 수 있습니다.
Application Table에서 응용 구성하기
- 응용 추가 — Add Application 클릭.
- 응용 제거 — Remove 클릭.
- 응용 정보 편집 — 표에서 응용의 Display Name 클릭.
응용을 추가·편집할 때 담을 수 있는 정보는 다음과 같습니다.
| 항목 | 설명 |
|---|---|
| Display Name (필수) | 데스크톱에 표시될 승인 응용 이름. |
| Executable File (필수) | 응용의 경로와 파일명(아래 형식 표 참고). |
| Executable Original File Name (선택) | Executable Vendor Name을 함께 고를 때 입력해, 응용 인증서가 요구를 만족하는지 Secure Workspace가 확인하게 합니다. 원본 파일명은 응용 인증서 상세에 표시됩니다. |
| Executable Vendor Name (선택) | 공급자를 고르면 Secure Workspace가 응용 인증서가 그 공급자 서명인지 확인합니다. 같은 응용이라도 다른 공급자면 차단됩니다. |
| File hash (선택) | 응용의 MD5 또는 SHA256 시그니처. 버전마다 하나씩 등 여러 해시 를 추가할 수 있습니다. |
| (해시 유형) | 쓰는 해시 유형(MD5 / SHA256) 선택. |
| Comment (선택) | 응용을 설명하는 주석. |
| Add shortcut to Start Menu (선택) | Secure Workspace의 시작 메뉴에 바로 가기 추가. 응용이 클라이언트에 있을 때만 추가되며, 바로 가기로 실행할 명령줄 인자도 입력할 수 있습니다. |
| Add shortcut to Desktop (선택) | Secure Workspace의 바탕화면에 바로 가기 추가. (동일 조건) |
Executable File 경로는 다음 세 형식 중 하나로 입력합니다.
| 형식 | 동작 |
|---|---|
절대 경로 <disk>:\<folder_path>\<binary_name> | 지정한 위치에서만 바이너리 실행 허용. 프로그램 위치가 PATH에 없으면 전체 경로가 필요. |
파일명 \<binary_name> | 디스크의 모든 위치 에서 그 이름의 바이너리 실행 허용. 위치가 PATH에 있을 때 사용. |
환경 변수 포함 경로 <path_with_env_variable>\<binary_name> | 단말에서 환경 변수를 풀어 그 값을 경로의 일부로 사용. |
Vendor Control Settings (공급자 제어)
Secure Workspace에서 사용자가 접근할 수 있는 응용을 공급자(vendor) 단위 로 구성합니다. 공급자가 신뢰되면 그 공급자의 모든 응용이 신뢰 됩니다. 기본으로 신뢰되는 공급자는 sk114526 을 참고하세요. 목록에 공급자를 추가할 수는 없 습니다.
- 공급자 차단 — 해당 공급자의 체크박스를 해제.
- 공급자 허용 — 해당 공급자의 체크박스를 선택.
Allowed Save Locations (허용 저장 위치)
Allowed Save 위치는 Secure Workspace가 종료된 뒤에도 응용이 파일을 남길 수 있는 위치 입니다. 종료 후 삭제돼도 되는 임시 파일은 위치를 정의할 필요가 없습니다.
위치를 추가하려면:
- Allowed Save locations 탭에서 Add Location 을 클릭합니다.
- 열린 창에 입력합니다.
- Name — 위치의 설명적 이름.
- Path — 위치의 전체 경로.
- Description (선택) — 더 긴 설명.
- Save Location 을 클릭합니다.
Outbound Firewall Rules (아웃바운드 방화벽 규칙)
승인된 응용이 아웃바운드 연결을 만들 때 접근할 수 있는 IP·포트를 정의합니다. 사용 가능한 옵션은 다음과 같습니다.
- Localhost Connection — Do not allow connection to application on host PC — 선택하면 사용자는 Secure Workspace 안의 응용만 쓰고 호스트 PC에는 접근할 수 없 습니다. 해제하면 Secure Workspace 활성 중 호스트 PC에 접근할 수 있으나, 저장은 정의된 위치에만 가능합니다.
- Accept Rules — 표에서 규칙을 선택해 켜고, 해제해 끕니다. 켜진 규칙에 맞는 연결만 허용 됩니다. 기본 규칙은 다음과 같습니다.
- Everywhere — 데스크톱 응용이 모든 주소·포트에 접근하도록 허용.
- Localhost connection — Internet Explorer에 필요. 삭제하지 않는 것이 권장 됩니다.
Virtual Registry Rules (가상 레지스트리 규칙)
Secure Workspace 가상 레지스트리에 독자 규칙(custom rule) 을 추가할 수 있습니다. 이 기능에 대한 자세한 내용은 Check Point 지원에 문의하세요.
User Experience Settings (사용자 경험)
사용자가 무엇을 보고 Secure Workspace와 어떻게 상호작용하는지를 구성합니다.
General
- Prevent Host PC / Secure Workspace desktop switching — 호스트 PC와 Secure Workspace 사이를 전환할 수 없 게 합니다. 일반 데스크톱은 Secure Workspace가 닫혔을 때만 접근할 수 있습니다.
- Display welcome window — 선택하면 "Welcome to Secure Workspace"가 표시됩니다. 항상 표시할지, 사용자가 끌 수 있게 할지 고릅니다.
- Disable "Run" option in Start menu inside Secure Workspace — Secure Workspace의 시작 메뉴에서 Run 명령으로 프로그램을 실행하지 못하게 합니다.
- Hide all system drives — Secure Workspace에 있는 동안 로컬 드라이브를 숨깁니다.
- Prevent to start browser inside Secure Workspace — Secure Desktop 시작 후 인터넷 브라우저 자동 실행을 끕 니다. 결과적으로 SSL Network Extender가 시작되지 않아 VPN 터널이 자동으로 맺어지지 않습니다.
기타
- Desktop Background — Secure Workspace 바탕화면 그림과 그 위치를 바꿉니다.
- Display Start dialog — 직접 꾸민 Start 창을 띄웁니다.
Security Gateway별 정책 구성
SmartDashboard에서 구성한 Secure Workspace 정책은 모든 Mobile Access Security Gateway에 적용 됩니다. 게이트웨이마다 다른 정책을 구성하려면 sk34939 를 참고하세요.
Endpoint Security Reputation Service 연동
Secure Workspace는 Check Point Endpoint Security Reputation Services 와 함께 작동해, 승인되지 않은 응용이 정당한지 확인할 수 있습니다. Reputation Services는 파일명과 MD5 해시 로 프로그램을 식별합니다. 세부는 사용 중인 버전의 R82 Harmony Endpoint Security Server Administration Guide 를 참고하세요. Reputation Services를 쓸 때의 처리 순서는 다음과 같습니다.
- 사용자가 Secure Workspace에서 실행할 프로그램을 고릅니다.
- Secure Workspace가 정책을 확인합니다. 정책이 허용하지 않으면 실행이 차단 됩니다.
- 정책이 허용하면 Secure Workspace가 Reputation Services에 그 프로그램을 질의합니다.
- Reputation Services가 세 응답 중 하나를 반환합니다 — Trusted, Untrusted, Unknown.
- Secure Workspace가 정책에 정의된 대로 응용을 허용·차단합니다.
- Allow Trusted only.
- Allow Trusted and Unknown.
Secure Workspace 최종 사용자 경험
Internet Explorer 보호 모드 끄기
Windows Vista 이상에서 Internet Explorer로 포털을 여는 사용자는 IE Protected Mode를 꺼야 합니다. 끄지 않으면 SSL VPN이 동작하더라도 예기치 못한 오류가 날 수 있습니다. Windows 7 이상에서는 기본으로 켜져 있으며, 켜진 상태는 Internet Options > Security 탭에서 Enable Protected Mode 가 선택돼 있고, 브라우저 창 우측 하단에 "Protected Mode On"으로 확인됩니다.
게이트웨이에 Endpoint Security on Demand가 구성돼 있으면 스캔이 보호 모드 켜짐을 감지해 끄는 안내가 자동 으로 열립니다. 구성돼 있지 않으면 안내는 없지만, 사용자는 SSL VPN 포털을 문제없이 쓰려면 같은 단계로 직접 꺼야 합니다.
SSL VPN 포털용으로 보호 모드를 끄려면:
- Internet Explorer에서 Tools > Internet Options 를 선택하고 Security 탭을 엽니다.
- Trusted Sites 를 선택하고 Enable Protected Mode 체크박스를 해제합니다.
- Sites 를 클릭합니다.
- Trusted sites 창에서 Add 를 클릭하고, Add this website to the zone 에 SSL VPN 포털 주소를 입력합니다. 주소가 Websites 영역에 표시됩니다.
- Close 를 클릭합니다.
- OK 를 클릭합니다.
안내를 자동으로 받지 못한 사용자도 모두 이 단계를 거쳐야 합니다. 작업 후 모든 IE 창을 닫으면, 다음에 IE를 열 때 보호 모드가 꺼져 있습니다.
Secure Workspace로 포털에 로그인하기
Secure Workspace는 사용자가 포털에 로그인할 때 초기화 됩니다. 관리자가 Secure Workspace를 강제하도록 구성했으면 자동으로 일어나고, 사용 여부를 사용자가 고르도록 구성했으면 로그인 화면에 선택 옵션 이 나타납니다.
가상 데스크톱에서 작업하기
Secure Workspace 가상 데스크톱은 보통 Windows 데스크톱과 같은 모습 입니다. 차이는 미리 승인된 제한된 수의 응용·파일만 다룰 수 있고, 기본적으로 인쇄·데스크톱 꾸미기·시스템 구성 작업을 할 수 없 다는 점입니다. 대부분의 사용자는 포털 작업에만 쓰므로 이런 기능이 거의 필요하지 않습니다.
Start Menu와 Taskbar — 가상 데스크톱의 시작 메뉴와 작업 표시줄은 "실제" 것과 똑같이 동작합니다. 어떤 바로 가기·옵션이 보이는지는 Secure Workspace 정책 설정 이 결정합니다.
"실제" 데스크톱에 파일 저장 허용하기 — 사용자가 게이트웨이 뒤 자원에서 받은 파일을 "실제" 데스크톱 폴더에 저장하거나, 단말에서 회사 망으로 파일을 올려야 할 때가 있습니다. 이를 허용하려면 관리자가 보안 데스크톱과 일반 데스크톱 사이 전환을 허용 하도록 정책을 구성해야 하며, 이는 Secure Workspace 정책 편집기의 User Experience Settings 섹션에서 합니다.
단말의 파일·응용 접근하기 — 보통 사용자는 "실제" 데스크톱과 같은 방식으로 Secure Workspace에서 파일에 접근하고 응용을 실행할 수 있습니다. 기본적으로 모든 폴더·파일에 읽기 전용(read-only) 권한 이 있어 Windows 탐색기로 자유롭게 둘러볼 수 있습니다. 그러나 Secure Workspace 권한이 없는 프로그램·파일을 실행·열려 하거나, 권한 없는 "실제" 데스크톱 폴더에 저장하려 하면 오류 메시지 가 뜹니다.
Secure Workspace 안에서 단말 응용 접근하기
SSL Network Extender의 네트워크 모드(Network Mode) 사용자가 Secure Workspace 세션을 시작하면, 허용된 Endpoint 응용이 가상 데스크톱에서 다음과 같이 제공됩니다.
| Native Application에 정의된 형태 | 사용자에게 제공되는 형태 |
|---|---|
| 경로·실행 파일명(이미 설치됨) | Windows 시작 메뉴의 바로 가기 |
| 기본 브라우저로 실행 | 바탕화면의 바로 가기 |
| Mobile Access에서 내려받는 응용 | Mobile Access Portal의 링크 |
Secure Workspace와 실제 데스크톱 전환하기
언제든 작업 표시줄 트레이 영역의 잠금(lock) 아이콘 을 클릭해 Secure Workspace 가상 작업 공간과 "실제" 데스크톱 사이를 오갈 수 있습니다.
Secure Workspace 종료하기
- Windows 시작 메뉴에서 Close Secure Workspace 를 선택합니다. 열린 파일을 저장하라는 확인·알림 이 나타납니다.
- Yes, close it now 를 클릭해 종료를 계속합니다.
Secure Workspace 문제 해결
환경 변수 ISWLOG 가 0(영)으로 설정돼 있으면, Secure Workspace 로그가 자동으로 다음 위치에 저장됩니다.
%temp%\IswTmp\LogsSecure Workspace에 문제가 있으면 이 로그를 살펴보거나 Check Point 기술 지원에 보낼 수 있습니다. 응용이 멈추면 기술 정보를 보내도록 돕는 Secure Workspace 창이 열리며, 프로세스가 멈추거나 불안정할 때 사용자가 직접 이 창을 열 수도 있습니다. 기술 정보를 수집하려면:
- Ctrl+Alt+End 키를 누릅니다. 기술 정보를 보내도록 돕는 Secure Workspace 창이 열립니다.
- 필요한 정보를 채우고 Collect and Send 를 클릭합니다.
- 생성된 파일을 Check Point 지원에 보냅니다.
Endpoint Compliance 업데이트
Check Point는 Endpoint Compliance 업데이트 를 제공합니다. SmartDashboard의 Mobile Access 탭에서 Endpoint Security on Demand 업데이트를 내려받을 수 있고, 정해진 일정에 따라 자동으로 받거나 수동으로 내려받아 설치 할 수 있습니다.
자동 업데이트로 작업하기
업데이트를 주기적으로 확인해 자동으로 받을 수 있습니다. Check Point Download Center에서 받거나, Security Management Server에 미리 받아 둔 업데이트를 설치 하도록 고를 수 있습니다.
자동 업데이트 구성 절차:
- SmartConsole에서 Security Policies > Shared Policies > Mobile Access 를 선택하고 Open Mobile Access Policy in SmartDashboard 를 클릭합니다.
- 탐색 트리에서 Endpoint Security on Demand > Endpoint Compliance Updates 를 클릭합니다.
- Update Configuration 섹션에서 Configure 를 클릭합니다. Automatic Updates 창이 열립니다.
- Activation 탭에서 Enter User Center credentials 를 클릭합니다.
- User Center 이메일 주소와 암호 를 입력합니다.
- Endpoint Security on Demand 탭을 클릭합니다.
- 업데이트 설정을 구성합니다.
- Download Center에서 받으려면 Check Point website 옵션을 선택합니다.
- Security Management Server에서 받으려면 My local Security Management Server 옵션을 선택합니다. 서버가 사용 불가일 때 Download Center에서 받도록 하려면 해당 옵션을 켭니다.
- Endpoint Security on Demand가 사용 가능한 다운로드를 확인하는 간격(분) 을 선택합니다.
- Tracking Configuration 탭에서 추적 옵션을 고릅니다. 로깅 이벤트나 다양한 알림(alert) 유형 을 고를 수 있습니다.
- Security Management Server와 User Center 사이에 프록시 서버 가 있으면 Proxy 탭을 선택해 프록시 호스트명·IP와 포트(예:
8080)를 입력합니다. - OK 를 클릭해 정의를 마칩니다.
- Save 를 클릭합니다.
- SmartDashboard를 닫습니다.
- SmartConsole에서 정책을 설치합니다.
수동 업데이트 수행하기
- SmartConsole에서 Security Policies > Shared Policies > Mobile Access 를 선택하고 Open Mobile Access Policy in SmartDashboard 를 클릭합니다.
- 탐색 트리에서 Endpoint Security on Demand > Endpoint Compliance Updates 를 클릭합니다.
- Update Databases Now 를 클릭합니다.
- Check Point User Center 자격 증명을 입력하고 Next 를 클릭합니다.
- 모든 게이트웨이에 내려받으려면 All supporting gateways 옵션을 고릅니다. 특정 게이트웨이만 고르려면 Select 옵션을 골라 왼쪽 목록에서 해당 게이트웨이를 선택하고 Add 를 클릭합니다.
- Finish 를 클릭합니다. 다운로드 중 진행 표시줄이 나타납니다.
- Save 를 클릭합니다.
- SmartDashboard를 닫습니다.
- SmartConsole에서 정책을 설치합니다.