목차/03. 보안 정책(Security Policy)

03보안 정책(Security Policy)보안 정책(Security Policy)

Security Policy네트워크 트래픽을 통제하고, 데이터 보호·자원 접근에 관한 조직 규칙을 패킷 검사(packet inspection)로 강제하는 규칙(rule)과 설정(setting)의 묶음 입니다. Check Point은 한 종류의 정책만 두지 않고 목적이 서로 다른 여러 종류의 보안 정책 을 제공합니다. 이 장은 그 종류들이 각각 무엇을 하고, SmartConsole 어디에서 다루며, 규칙(rule)이 어떤 칸(column)들로 짜이는지 를 빠짐없이 풀어 정리합니다. 정책 하나하나의 깊은 구성은 해당 전용 가이드에서 다루므로, 이 장은 "어떤 정책이 무엇을 위한 것인지"를 잡는 지도 역할을 합니다.

Check Point이 제공하는 보안 정책 종류는 다음과 같습니다 — Access Control Policy, Threat Prevention Policy, HTTPS Inspection Policy, Data Loss Prevention Policy, Geo Policy, Mobile Access Policy. 차례로 살펴봅니다.

Access Control Policy — 접근 통제의 본체

가장 핵심이 되는 Access Control Policy지정한 출발지(source)에서 지정한 목적지(destination)로, 지정한 프로토콜을 통한 접근을 통제 합니다. 이 정책은 세 개의 Rule Base로 이루어집니다 — Access Control Rule Base, NAT Rule Base, Desktop Rule Base. 더 깊은 내용은 R82 Security Management Administration Guide 와 통합 정책을 다룬 sk120964(ATRG: Unified Policy)를 참고하면 됩니다(Access Control 정책 상세).

Access Control Rule Base

Access Control Rule Base단순한 규칙과 세밀한 규칙을 하나로 통합(unified)해, 정해진 출발지에서 정해진 목적지로 정해진 프로토콜을 통한 접근을 제어 합니다. 게이트웨이에 Identity Awareness Software Blade를 켜면, Access Role 객체를 규칙의 출발지·목적지로 사용 할 수 있어 개인이나 사용자 그룹별 규칙을 손쉽게 만들 수 있습니다.

찾아가는 길은 이렇습니다.

  1. SmartConsole 로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
  3. Access Control 영역에서 Policy 를 클릭합니다.

규칙(rule)은 다음 칸들로 짜입니다.

칸(Column)들어가는 값
No규칙 번호
Name규칙 이름(예: "Your Rule Name")
Source특정 출발지 객체(Specific Source objects)
Destination특정 목적지 객체(Specific Destination objects)
VPN특정 또는 모든 VPN Community
Services & Applications특정 또는 모든 Service 객체, 특정 또는 모든 Application 객체
ActionAccept · Drop · Reject · User Auth · Client Auth 중 하나
TimeAny 또는 특정 Time 객체
TrackLog(Accounting 포함) · Alert · None
Install OnPolicy Targets(정책 설치 대상)

NAT Rule Base

NAT Rule Base네트워크 주소 변환(Network Address Translation, NAT)을 위한 자동(automatic) 규칙과 수동(manual) 규칙 을 담습니다. 자세한 내용은 R82 Security Management Administration Guide 를 참고하세요.

찾아가는 길은 이렇습니다.

  1. SmartConsole 로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
  3. Access Control 영역에서 NAT 를 클릭합니다.

규칙은 변환 전(Original) 값과 변환 후(Translated) 값 을 나란히 적는 구조입니다.

칸(Column)들어가는 값
No규칙 번호(자동 생성 규칙은 NAT Rules for X (Y-Z) 형태로 묶임)
Original SourceOriginal 또는 특정 객체
Original DestinationOriginal 또는 특정 객체
Original ServicesOriginal 또는 특정 객체
Translated Source특정 출발지 객체
Translated Destination특정 목적지 객체
Translated Services특정 또는 모든 Service 객체
Install OnPolicy Targets 또는 특정 Security Gateway·Cluster 객체
Comments메모(Your Comment)

Desktop Rule Base

Desktop Rule BaseRemote Access Client에 적용되는 Desktop Security 정책 입니다. 이 정책은 Security Management Server에 설치되며, Remote Access Client가 VPN Site 업데이트를 수행할 때 내려받 습니다. 일단 내려받고 나면, 이 정책이 Remote Access Client 컴퓨터의 접근 통제를 결정 합니다. 더 깊은 내용은 SmartDashboard Help(F1)를 참고하세요.

쓰기 전에 갖춰야 할 전제 조건이 있습니다.

  1. Security Gateway(또는 Cluster) 객체에서 IPsec VPNPolicy Server Software Blade를 켭니다.
  2. 정책 패키지(Policy Package)에서 Desktop Security 를 활성화합니다.

Desktop Policy는 두 개의 Rule Base 로 이루어집니다.

  • Inbound Rules — 클라이언트 컴퓨터를 향해 들어오는 연결을 통제합니다.
  • Outbound Rules — 클라이언트 컴퓨터가 시작하는 연결을 통제합니다.

찾아가는 길은 이렇습니다.

  1. SmartConsole 로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
  3. Access Control 영역에서 Desktop 을 클릭합니다.
  4. Open Desktop Policy in SmartDashboard 를 클릭합니다.
  5. 위쪽에서 Desktop 탭을 클릭합니다.

규칙은 다음 칸들로 짜입니다.

칸(Column)들어가는 값
No규칙 번호
SourceAny 또는 특정 출발지 객체
DesktopAll Users@Any 또는 특정 User Group 객체
ServiceAny 또는 특정 Service 객체
ActionAccept · Block · Encrypt 중 하나
TrackNone · Log · Alert
Comment메모(Your Comment)

Threat Prevention Policy — 봇·바이러스 검사

Threat Prevention Policy시스템이 봇(bot)과 바이러스를 잡기 위해 연결을 어떻게 검사할지 정합니다. 정책의 핵심 구성 요소는 Rule Base이며, 규칙은 Malware 데이터베이스와 네트워크 객체 를 사용합니다. 게이트웨이에 Identity Awareness를 켜면, Access Role 객체를 규칙의 범위(scope)로 사용 할 수 있어 개인·그룹별 규칙을 쉽게 만들 수 있습니다. 더 깊은 내용은 R82 Threat Prevention Administration Guide 를 참고하세요.

찾아가는 길은 이렇습니다.

  1. SmartConsole 로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
  3. Threat Prevention 영역에서 Policy 를 클릭합니다.

규칙은 다음 칸들로 짜입니다.

칸(Column)들어가는 값
No규칙 번호
Name규칙 이름(Your Rule Name)
Protection/Site/File/BladeN/A(예외 규칙에서는 사용자가 지정한 특정 객체)
Protected Scope특정 객체
Source특정 출발지 객체
Destination특정 목적지 객체
ServicesAny 또는 특정 Service 객체
ActionBasic · Optimized · Strict 또는 사용자 정의 프로파일(Your Profile)
TrackNone · Log · Alert, 추가로 Packet Capture · Forensics
Install OnPolicy Targets 또는 특정 Security Gateway·Cluster 객체
Comments메모(Your Comment)

HTTPS Inspection Policy — 암호화 트래픽 들여다보기

HTTPS Inspection Policy암호화된 HTTP/HTTPS 트래픽을 검사 하게 해 줍니다. 게이트웨이는 HTTPS가 암호화되어 있어 그대로는 내용을 볼 수 없 습니다. 그래서 HTTPS Inspection 기능을 켜면, 게이트웨이가 외부 사이트·서버와 새로운 SSL 연결을 맺고, 이 새 연결을 통해 HTTPS 트래픽을 복호화·검사 할 수 있게 됩니다.

이 검사 결과는 다음 Software Blade들이 활용합니다.

  • Anti-Bot
  • Anti-Virus
  • Application Control
  • Content Awareness(Data Awareness)
  • Data Loss Prevention
  • IPS
  • Threat Emulation
  • URL Filtering

더 깊은 내용은 R82 Security Management Administration Guide 를 참고하세요. 찾아가는 길은 이렇습니다.

  1. SmartConsole 로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
  3. HTTPS Inspection 영역에서 Policy 를 클릭합니다.

규칙은 다음 칸들로 짜입니다.

칸(Column)들어가는 값
No규칙 번호
Name규칙 이름(Your Rule Name)
SourceAny 또는 특정 객체
DestinationAny(APPI_global_obj_Internet) 또는 특정 목적지 객체
ServicesTLS default services 또는 특정 Service 객체
Category/Custom ApplicationAny 또는 특정 객체
ActionInspect 또는 Bypass
TrackNone · Log · Alert
BladeAll 또는 특정 Blade
Install OnPolicy TLS Targets 또는 특정 Security Gateway·Cluster 객체
CertificateOutbound Certificate, 또는 Inbound Inspection용 사용자 인증서
Comment메모(Your Comment)

Data Loss Prevention Policy — 데이터 유출 차단

Data Loss Prevention Policy(DLP)는 보호 대상 데이터가 조직 밖으로 나가기 전에 잡아내, 의도치 않은 데이터 유출을 막 습니다. 더 깊은 내용은 R82 Data Loss Prevention Administration Guide 를 참고하세요.

찾아가는 길은 다른 정책보다 조금 깁니다.

  1. SmartConsole 로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
  3. 왼쪽 트리에서 Blades 를 클릭합니다.
  4. Data Loss Prevention 영역에서 Configure in SmartDashboard 를 클릭합니다.
  5. 위쪽에서 Data Loss Prevention 탭을 클릭합니다.
  6. 왼쪽 트리에서 Policy 를 클릭합니다.

규칙은 칸이 많은 편입니다. 카테고리 이름은 Category Name(Y-Z) 형태로 묶입니다.

칸(Column)들어가는 값
No규칙 번호
Name규칙 이름(Your Rule Name)
FlagNo Flag · Follow Up · Improve Accuracy
Data특정 Data Type(Specific Data Type)
SourceMy Organization 또는 특정 출발지 객체
DestinationOutside My Org 또는 특정 목적지 객체
ProtocolAny · E-mail · FTP · HTTP
ActionDetect · Inform User · Ask User · Prevent · Watermark
Exceptions없음, 또는 이 규칙에 추가된 예외 개수(셀을 더블클릭해 확인)
TrackEmail · Log · Alert, 그리고 사건(incident) 저장 방식
SeverityLow · Medium · High · Critical
CategoryDLP Blades Any
Time(시간 지정)
CommentNone 또는 특정 카테고리, 메모

Geo Policy — 지역 기반 정책

Geo Policy특정 지리적·정치적 위치를 오가는 트래픽에 대한 정책 을 만듭니다. 더 깊은 내용은 R82 Security Management Administration Guide 와 SmartConsole 온라인 도움말(F1)을 참고하세요.

찾아가는 길은 이렇습니다.

  1. SmartConsole 로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
  3. Access Control 영역에서 Policy 를 클릭합니다.
  4. sk126172를 따라 Source·Destination 칸에 Updatable Object를 사용합니다.

규칙은 다음 칸들로 짜입니다.

칸(Column)들어가는 값
Country특정 Country 객체
DirectionFrom and To Country · From Country · To Country
ActionAccept 또는 Drop
TrackNone · Log · Alert
Comments메모(Your Comment)

Mobile Access Policy — 모바일 접속 통제

Mobile Access PolicyMobile Access Security Gateway를 통해 접속할 때, 어떤 사용자 그룹이 어떤 애플리케이션에 접근할 수 있는지 통제합니다. 더 깊은 내용은 R82 Mobile Access Administration Guide 를 참고하세요.

찾아가는 길은 이렇습니다.

  1. SmartConsole 로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
  3. 왼쪽 트리에서 Blades 를 클릭합니다.
  4. Mobile Access 영역에서 Configure in SmartDashboard 를 클릭합니다.
  5. 위쪽에서 Mobile Access 탭을 클릭합니다.
  6. 왼쪽 트리에서 Policy 를 클릭합니다.

규칙은 다음 칸들로 짜입니다.

칸(Column)들어가는 값
No규칙 번호
UsersAll Users 또는 특정 User 객체
ApplicationsAny 또는 특정 Custom Application 객체
Install OnAny 또는 특정 Security Gateway 객체
Comment메모(Your Comment)

정리

지금까지 본 여섯 종류의 정책은 각각 다른 일을 맡아 함께 네트워크를 지킵니다 — Access Control은 접근의 본체를 통제하고, Threat Prevention은 봇·바이러스를 검사하며, HTTPS Inspection은 암호화 트래픽을 들여다보고, DLP는 데이터 유출을 막고, Geo Policy는 지역 기반으로 트래픽을 걸러 내며, Mobile Access는 모바일 접속을 통제합니다. 각 정책의 상세 구성은 해당 전용 가이드(Security Management · Threat Prevention · DLP · Mobile Access 관리자 가이드)에서 다룹니다. 이어지는 Software Blade 총람이 정책들을 실제로 집행하는 기능 모듈들 을 소개합니다.