03보안 정책(Security Policy)보안 정책(Security Policy)
Security Policy 는 네트워크 트래픽을 통제하고, 데이터 보호·자원 접근에 관한 조직 규칙을 패킷 검사(packet inspection)로 강제하는 규칙(rule)과 설정(setting)의 묶음 입니다. Check Point은 한 종류의 정책만 두지 않고 목적이 서로 다른 여러 종류의 보안 정책 을 제공합니다. 이 장은 그 종류들이 각각 무엇을 하고, SmartConsole 어디에서 다루며, 규칙(rule)이 어떤 칸(column)들로 짜이는지 를 빠짐없이 풀어 정리합니다. 정책 하나하나의 깊은 구성은 해당 전용 가이드에서 다루므로, 이 장은 "어떤 정책이 무엇을 위한 것인지"를 잡는 지도 역할을 합니다.
Check Point이 제공하는 보안 정책 종류는 다음과 같습니다 — Access Control Policy, Threat Prevention Policy, HTTPS Inspection Policy, Data Loss Prevention Policy, Geo Policy, Mobile Access Policy. 차례로 살펴봅니다.
Access Control Policy — 접근 통제의 본체
가장 핵심이 되는 Access Control Policy 는 지정한 출발지(source)에서 지정한 목적지(destination)로, 지정한 프로토콜을 통한 접근을 통제 합니다. 이 정책은 세 개의 Rule Base로 이루어집니다 — Access Control Rule Base, NAT Rule Base, Desktop Rule Base. 더 깊은 내용은 R82 Security Management Administration Guide 와 통합 정책을 다룬 sk120964(ATRG: Unified Policy)를 참고하면 됩니다(Access Control 정책 상세).
Access Control Rule Base
Access Control Rule Base 는 단순한 규칙과 세밀한 규칙을 하나로 통합(unified)해, 정해진 출발지에서 정해진 목적지로 정해진 프로토콜을 통한 접근을 제어 합니다. 게이트웨이에 Identity Awareness Software Blade를 켜면, Access Role 객체를 규칙의 출발지·목적지로 사용 할 수 있어 개인이나 사용자 그룹별 규칙을 손쉽게 만들 수 있습니다.
찾아가는 길은 이렇습니다.
- SmartConsole 로 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
- Access Control 영역에서 Policy 를 클릭합니다.
규칙(rule)은 다음 칸들로 짜입니다.
| 칸(Column) | 들어가는 값 |
|---|---|
| No | 규칙 번호 |
| Name | 규칙 이름(예: "Your Rule Name") |
| Source | 특정 출발지 객체(Specific Source objects) |
| Destination | 특정 목적지 객체(Specific Destination objects) |
| VPN | 특정 또는 모든 VPN Community |
| Services & Applications | 특정 또는 모든 Service 객체, 특정 또는 모든 Application 객체 |
| Action | Accept · Drop · Reject · User Auth · Client Auth 중 하나 |
| Time | Any 또는 특정 Time 객체 |
| Track | Log(Accounting 포함) · Alert · None |
| Install On | Policy Targets(정책 설치 대상) |
NAT Rule Base
NAT Rule Base 는 네트워크 주소 변환(Network Address Translation, NAT)을 위한 자동(automatic) 규칙과 수동(manual) 규칙 을 담습니다. 자세한 내용은 R82 Security Management Administration Guide 를 참고하세요.
찾아가는 길은 이렇습니다.
- SmartConsole 로 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
- Access Control 영역에서 NAT 를 클릭합니다.
규칙은 변환 전(Original) 값과 변환 후(Translated) 값 을 나란히 적는 구조입니다.
| 칸(Column) | 들어가는 값 |
|---|---|
| No | 규칙 번호(자동 생성 규칙은 NAT Rules for X (Y-Z) 형태로 묶임) |
| Original Source | Original 또는 특정 객체 |
| Original Destination | Original 또는 특정 객체 |
| Original Services | Original 또는 특정 객체 |
| Translated Source | 특정 출발지 객체 |
| Translated Destination | 특정 목적지 객체 |
| Translated Services | 특정 또는 모든 Service 객체 |
| Install On | Policy Targets 또는 특정 Security Gateway·Cluster 객체 |
| Comments | 메모(Your Comment) |
Desktop Rule Base
Desktop Rule Base 는 Remote Access Client에 적용되는 Desktop Security 정책 입니다. 이 정책은 Security Management Server에 설치되며, Remote Access Client가 VPN Site 업데이트를 수행할 때 내려받 습니다. 일단 내려받고 나면, 이 정책이 Remote Access Client 컴퓨터의 접근 통제를 결정 합니다. 더 깊은 내용은 SmartDashboard Help(F1)를 참고하세요.
쓰기 전에 갖춰야 할 전제 조건이 있습니다.
- Security Gateway(또는 Cluster) 객체에서 IPsec VPN 과 Policy Server Software Blade를 켭니다.
- 정책 패키지(Policy Package)에서 Desktop Security 를 활성화합니다.
Desktop Policy는 두 개의 Rule Base 로 이루어집니다.
- Inbound Rules — 클라이언트 컴퓨터를 향해 들어오는 연결을 통제합니다.
- Outbound Rules — 클라이언트 컴퓨터가 시작하는 연결을 통제합니다.
찾아가는 길은 이렇습니다.
- SmartConsole 로 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
- Access Control 영역에서 Desktop 을 클릭합니다.
- Open Desktop Policy in SmartDashboard 를 클릭합니다.
- 위쪽에서 Desktop 탭을 클릭합니다.
규칙은 다음 칸들로 짜입니다.
| 칸(Column) | 들어가는 값 |
|---|---|
| No | 규칙 번호 |
| Source | Any 또는 특정 출발지 객체 |
| Desktop | All Users@Any 또는 특정 User Group 객체 |
| Service | Any 또는 특정 Service 객체 |
| Action | Accept · Block · Encrypt 중 하나 |
| Track | None · Log · Alert |
| Comment | 메모(Your Comment) |
Threat Prevention Policy — 봇·바이러스 검사
Threat Prevention Policy 는 시스템이 봇(bot)과 바이러스를 잡기 위해 연결을 어떻게 검사할지 정합니다. 정책의 핵심 구성 요소는 Rule Base이며, 규칙은 Malware 데이터베이스와 네트워크 객체 를 사용합니다. 게이트웨이에 Identity Awareness를 켜면, Access Role 객체를 규칙의 범위(scope)로 사용 할 수 있어 개인·그룹별 규칙을 쉽게 만들 수 있습니다. 더 깊은 내용은 R82 Threat Prevention Administration Guide 를 참고하세요.
찾아가는 길은 이렇습니다.
- SmartConsole 로 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
- Threat Prevention 영역에서 Policy 를 클릭합니다.
규칙은 다음 칸들로 짜입니다.
| 칸(Column) | 들어가는 값 |
|---|---|
| No | 규칙 번호 |
| Name | 규칙 이름(Your Rule Name) |
| Protection/Site/File/Blade | N/A(예외 규칙에서는 사용자가 지정한 특정 객체) |
| Protected Scope | 특정 객체 |
| Source | 특정 출발지 객체 |
| Destination | 특정 목적지 객체 |
| Services | Any 또는 특정 Service 객체 |
| Action | Basic · Optimized · Strict 또는 사용자 정의 프로파일(Your Profile) |
| Track | None · Log · Alert, 추가로 Packet Capture · Forensics |
| Install On | Policy Targets 또는 특정 Security Gateway·Cluster 객체 |
| Comments | 메모(Your Comment) |
HTTPS Inspection Policy — 암호화 트래픽 들여다보기
HTTPS Inspection Policy 는 암호화된 HTTP/HTTPS 트래픽을 검사 하게 해 줍니다. 게이트웨이는 HTTPS가 암호화되어 있어 그대로는 내용을 볼 수 없 습니다. 그래서 HTTPS Inspection 기능을 켜면, 게이트웨이가 외부 사이트·서버와 새로운 SSL 연결을 맺고, 이 새 연결을 통해 HTTPS 트래픽을 복호화·검사 할 수 있게 됩니다.
이 검사 결과는 다음 Software Blade들이 활용합니다.
- Anti-Bot
- Anti-Virus
- Application Control
- Content Awareness(Data Awareness)
- Data Loss Prevention
- IPS
- Threat Emulation
- URL Filtering
더 깊은 내용은 R82 Security Management Administration Guide 를 참고하세요. 찾아가는 길은 이렇습니다.
- SmartConsole 로 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
- HTTPS Inspection 영역에서 Policy 를 클릭합니다.
규칙은 다음 칸들로 짜입니다.
| 칸(Column) | 들어가는 값 |
|---|---|
| No | 규칙 번호 |
| Name | 규칙 이름(Your Rule Name) |
| Source | Any 또는 특정 객체 |
| Destination | Any(APPI_global_obj_Internet) 또는 특정 목적지 객체 |
| Services | TLS default services 또는 특정 Service 객체 |
| Category/Custom Application | Any 또는 특정 객체 |
| Action | Inspect 또는 Bypass |
| Track | None · Log · Alert |
| Blade | All 또는 특정 Blade |
| Install On | Policy TLS Targets 또는 특정 Security Gateway·Cluster 객체 |
| Certificate | Outbound Certificate, 또는 Inbound Inspection용 사용자 인증서 |
| Comment | 메모(Your Comment) |
Data Loss Prevention Policy — 데이터 유출 차단
Data Loss Prevention Policy(DLP)는 보호 대상 데이터가 조직 밖으로 나가기 전에 잡아내, 의도치 않은 데이터 유출을 막 습니다. 더 깊은 내용은 R82 Data Loss Prevention Administration Guide 를 참고하세요.
찾아가는 길은 다른 정책보다 조금 깁니다.
- SmartConsole 로 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
- 왼쪽 트리에서 Blades 를 클릭합니다.
- Data Loss Prevention 영역에서 Configure in SmartDashboard 를 클릭합니다.
- 위쪽에서 Data Loss Prevention 탭을 클릭합니다.
- 왼쪽 트리에서 Policy 를 클릭합니다.
규칙은 칸이 많은 편입니다. 카테고리 이름은 Category Name(Y-Z) 형태로 묶입니다.
| 칸(Column) | 들어가는 값 |
|---|---|
| No | 규칙 번호 |
| Name | 규칙 이름(Your Rule Name) |
| Flag | No Flag · Follow Up · Improve Accuracy |
| Data | 특정 Data Type(Specific Data Type) |
| Source | My Organization 또는 특정 출발지 객체 |
| Destination | Outside My Org 또는 특정 목적지 객체 |
| Protocol | Any · E-mail · FTP · HTTP |
| Action | Detect · Inform User · Ask User · Prevent · Watermark |
| Exceptions | 없음, 또는 이 규칙에 추가된 예외 개수(셀을 더블클릭해 확인) |
| Track | Email · Log · Alert, 그리고 사건(incident) 저장 방식 |
| Severity | Low · Medium · High · Critical |
| Category | DLP Blades Any |
| Time | (시간 지정) |
| Comment | None 또는 특정 카테고리, 메모 |
Geo Policy — 지역 기반 정책
Geo Policy 는 특정 지리적·정치적 위치를 오가는 트래픽에 대한 정책 을 만듭니다. 더 깊은 내용은 R82 Security Management Administration Guide 와 SmartConsole 온라인 도움말(F1)을 참고하세요.
찾아가는 길은 이렇습니다.
- SmartConsole 로 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
- Access Control 영역에서 Policy 를 클릭합니다.
- sk126172를 따라 Source·Destination 칸에 Updatable Object를 사용합니다.
규칙은 다음 칸들로 짜입니다.
| 칸(Column) | 들어가는 값 |
|---|---|
| Country | 특정 Country 객체 |
| Direction | From and To Country · From Country · To Country |
| Action | Accept 또는 Drop |
| Track | None · Log · Alert |
| Comments | 메모(Your Comment) |
Mobile Access Policy — 모바일 접속 통제
Mobile Access Policy 는 Mobile Access Security Gateway를 통해 접속할 때, 어떤 사용자 그룹이 어떤 애플리케이션에 접근할 수 있는지 통제합니다. 더 깊은 내용은 R82 Mobile Access Administration Guide 를 참고하세요.
찾아가는 길은 이렇습니다.
- SmartConsole 로 Management Server에 접속합니다.
- 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
- 왼쪽 트리에서 Blades 를 클릭합니다.
- Mobile Access 영역에서 Configure in SmartDashboard 를 클릭합니다.
- 위쪽에서 Mobile Access 탭을 클릭합니다.
- 왼쪽 트리에서 Policy 를 클릭합니다.
규칙은 다음 칸들로 짜입니다.
| 칸(Column) | 들어가는 값 |
|---|---|
| No | 규칙 번호 |
| Users | All Users 또는 특정 User 객체 |
| Applications | Any 또는 특정 Custom Application 객체 |
| Install On | Any 또는 특정 Security Gateway 객체 |
| Comment | 메모(Your Comment) |
정리
지금까지 본 여섯 종류의 정책은 각각 다른 일을 맡아 함께 네트워크를 지킵니다 — Access Control은 접근의 본체를 통제하고, Threat Prevention은 봇·바이러스를 검사하며, HTTPS Inspection은 암호화 트래픽을 들여다보고, DLP는 데이터 유출을 막고, Geo Policy는 지역 기반으로 트래픽을 걸러 내며, Mobile Access는 모바일 접속을 통제합니다. 각 정책의 상세 구성은 해당 전용 가이드(Security Management · Threat Prevention · DLP · Mobile Access 관리자 가이드)에서 다룹니다. 이어지는 Software Blade 총람은 이 정책들을 실제로 집행하는 기능 모듈들 을 소개합니다.