IO 기능: 보안 및 네트워킹 - 합리화 -> 동적
이 페이지의 내용
.gif){kind=icon}
소개
요구 사항: 클라이언트와 서버 경계에서 통합된 위협 관리 및 완화
요구 사항: 데스크톱, 응용 프로그램 및 서버 인프라의 모델 가능 서비스 수준 모니터링
요구 사항: 패치가 제거되거나 감염된 컴퓨터의 격리 솔루션
소개
보안 및 네트워킹이 세 번째 핵심 인프라 최적화 기능입니다. 다음 표에는 보안 및 네트워킹의 동적 수준으로 이동함에 따른 상위 과제, 해당 솔루션 및 이점이 나열되어 있습니다.
과제 |
솔루션 |
이점 |
|---|---|---|
업무상 과제 데스크톱이나 서버의 기업용 방화벽 보안 정책이 없음 기업용 엑스트라넷 보안 정책이 없음 IT 과제 서버 이벤트 관리가 사후 대처 방식이고 기업을 바라보는 전체적인 시각이 결여되어 있음 데스크톱이나 서버의 실시간 보안 이벤트 모니터링이 없음 |
프로젝트 클라이언트와 서버 경계에서 통합된 위협 관리 및 완화 솔루션 구현 데스크톱, 응용 프로그램 및 서버 인프라의 모델 가능 서비스 수준 모니터링 배포 패치가 제거되거나 감염된 컴퓨터의 격리 솔루션 구현 |
업무상 이점 명시적 정책과 데스크톱에서 방화벽, 엑스트라넷으로의 제어를 통해 예방적 보안 달성 철저한 규정 준수 안정된 보안 환경으로 사용자 생산성 증가 보안 문제에 빠르고 예방적으로 대응 보안 정책을 통해 업무상 표현 반영 IT 이점 유사한 데스크톱용 기능으로 서버 인프라를 철저히 모니터링 및 보고 모든 PC에 대해 비용 대비 효과가 높은 제어 능력과 가시성 덕분에 사용자에게 영향을 미치기 전에 IT 부서에서 예방적으로 문제를 해결할 수 있음 |
인프라 최적화 모델의 동적 수준에서는 다음을 포함한 네트워킹 및 보안 구성 요소의 주요 요구 사항을 다룹니다.
클라이언트와 서버 경계에서 통합된 위협 관리 및 완화
데스크톱, 응용 프로그램 및 서버 인프라의 모델 가능 서비스 수준 모니터링
패치가 제거되거나 감염된 컴퓨터의 격리 솔루션
요구 사항: 클라이언트와 서버 경계에서 통합된 위협 관리 및 완화
대상
클라이언트와 서버 경계에서 통합된 위협 관리 및 완화가 마련되어 있지 않으면 이 절을 읽어야 합니다.
개요
조직의 네트워크를 대상으로 하는 정교한 공격이 점점 더 늘어나고 있습니다. 네트워크 리소스를 보호하고 적법한 활동을 위한 중단 없는 액세스를 제공하려면 고급 다기능 경계 게이트웨이 솔루션이 필요합니다. 핵심 인프라 최적화 모델의 보안 원격 액세스 요구 사항을 준수하려면 인터넷 기반 위협으로부터 IT 환경을 보호하는 것이 필수적입니다.
1단계: 평가
평가 단계에서는 조직의 적합한 서버 및 클라이언트 경계 보안 요구를 판단하고 현재 마련되어 있는 프로세스를 식별해야 합니다. 보안 요구 사항은 규모, 산업 또는 분야, 현지 법률 및 규정 등을 기반으로 회사 간이나 기관 간에 크게 다를 수 있습니다. 조직의 공식 위험 및 요구 사항 목록을 수집하면 보안 기술을 평가하고 해당 기술의 활용이 더욱 효과적으로 조직에 영향을 미칠 수 있는 방법도 평가할 수 있습니다.
2단계: 식별
식별 단계에서는 현재 마련되어 있는 보안 및 원격 액세스 기술과 절차를 검토하고 조직에 필요한 보안 요구 사항을 판단합니다. 이 단계에서는 이미 사용 중이거나 처분할 수 있는 기술 구성 요소 외에도 현재 암묵적으로 존재하고 있거나 실제로 적용된 보안 정책을 수집하게 됩니다. 지역 또는 산업별 법률이나 규정을 기반으로 외부 요구 사항도 수집하게 됩니다. 조직에서 패치가 제거되거나 감염된 컴퓨터의 격리 솔루션에 필요한 동적 수준 요구 사항을 계획함과 동시에 서버 및 클라이언트 경계 위협 모델과 해당 기술을 고려하는 것이 좋습니다.
3단계: 평가 및 계획
평가 및 계획 단계의 목표는 경계 보안 전략을 판단하고 인터넷 기반 위협을 줄이는 데 사용할 수 있는 기술을 평가하는 것입니다. 기술을 평가할 때는 조직의 파일 리소스와 지사에 액세스하기 위한 보안 최적화뿐 아니라 웹 및 LOB 응용 프로그램에 액세스하는 방법도 고려해야 합니다. 조직에서 웹 응용 프로그램과 네트워크 리소스에는 강화된 가상 사설망(VPN) 보안 및 방화벽을, 네트워크 리소스와 LOB 응용 프로그램에는 더욱 엄격한 액세스 제어와 향상된 권한 부여를 제공하는 도구를 사용할 수 있습니다.
ISA(Internet Security and Acceleration) Server 2006
Microsoft ISA(Internet Security and Acceleration) Server 2006은 인터넷 기반 위협으로부터 응용 프로그램과 리소스를 보호하는 데 유용한 보안 게이트웨이입니다. ISA Server는 조직에서 응용 프로그램과 데이터에 대한 액세스를 보호하는 데 도움이 될 수 있습니다. 상태 저장 패킷 검사, 응용 프로그램 계층 필터링 및 종합 게시 도구를 사용하여 모든 네트워크 계층에서 LOB 응용 프로그램, 서비스 및 데이터를 보호하여 응용 프로그램 인프라를 보호하는 데에도 도움이 됩니다. ISA Server를 사용하면 통합된 방화벽과 가상 사설망(VPN) 아키텍처를 통해 네트워크를 능률화할 수 있습니다. ISA Server는 악성 소프트웨어와 공격자가 조직에 미치는 영향을 줄이기 위한 작업을 하는 동안 IT 환경을 보호하고 보안 위험과 비용을 줄이는 데 도움이 됩니다.
IAG(Intelligent Application Gateway) 2007
Microsoft IAG(Intelligent Application Gateway) 2007(응용 프로그램 최적화 프로그램 포함)에서 제공하는 SSL(Secure Socket Layer) 가상 사설망(VPN), 웹 응용 프로그램 방화벽 및 끝점 보안 관리를 사용하여 광범위한 LOB 응용 프로그램에 대한 액세스 제어, 권한 부여 및 콘텐츠 검사를 수행할 수 있습니다. 이러한 기술은 함께 결합하여 모바일 및 원격 작업자들에게 키오스크, PC 및 모바일 장치를 비롯한 광범위한 장치 및 위치에서 쉽고 유연하게 보안 액세스를 수행할 수 있도록 지원합니다. 또한 IT 관리자는 IAG를 사용하여 장치, 사용자, 응용 프로그램 또는 기타 비즈니스 기준에 따라 사용자 지정된 원격 액세스 정책을 통해 응용 프로그램 및 정보 사용 지침을 준수할 수 있습니다. 주요 이점에는 다음이 포함됩니다.
SSL VPN 기반 액세스, 통합 응용 프로그램 보호 및 종점 보안 관리의 적절한 결합
악성 트래픽의 유입을 막고 중요한 정보는 허용하는 강력한 웹 응용 프로그램 방화벽
종합적이고 간편한 플랫폼으로 보안 액세스 관리와 비즈니스 자산 보호 업무 단순화
핵심적인 Microsoft 응용 프로그램 인프라, 타사 기업 시스템 및 사용자 지정 사내 도구와의 상호 운용성
4단계: 배포
평가를 거쳐 승인을 받은 경계 보안 솔루션은 배포 단계에서 구현됩니다. 환경에 추가로 도입된 모든 제어 메커니즘에 대해 유용성 테스트와 정기 훈련 테스트를 모두 수행해야 합니다.
추가 정보
ISA 서버 제품 및 구현에 대한 자세한 내용을 보려면 Microsoft TechNet의 ISA Server TechCenter(https://www.microsoft.com/technet/isa/default.mspx)를 방문하십시오.
항목 체크포인트
|
요구 사항 |
|---|---|
서버 경계 보안 위협을 평가하고 위협 완화 솔루션을 평가했습니다. |
|
|
클라이언트와 서버 경계에서 인터넷 기반 위협을 차단하는 기술 솔루션을 구현했습니다. |
.gif)
요구 사항: 데스크톱, 응용 프로그램 및 서버 인프라의 모델 가능 서비스 수준 모니터링
대상
데스크톱, 응용 프로그램 및 서버 인프라의 모델 가능 서비스 수준 모니터링이 마련되어 있지 않으면 이 절을 읽어야 합니다.
개요
핵심 인프라 최적화 구현자 리소스 가이드: 표준화 -> 합리화 가이드에서 여러 합리화 수준 요구 사항에 대한 최적의 서비스 수준 관리 방법 도입을 설명했습니다. 서비스 수준 관리용으로 도입된 프로세스는 서비스 수준 계약(SLA)을 통해 서비스를 정의하고 평가하는 방법을 설명했습니다. 모델 가능 서비스 수준 모니터링은 정의된 SLA를 기준으로 여러 구성 요소에 걸쳐 시스템 수준의 서비스 모델을 표현하고 실제 서비스 수준을 보고하는 수단을 요구하여 이러한 개념을 동적 수준으로 향상시킵니다. 최근의 기술 발전과 새로운 SML(Service Modeling Language)과 같은 산업 표준을 사용하여 조직에서 진정한 모델 가능 서비스 모니터링과 관리를 구현할 수 있습니다.
1단계: 평가
ITIL/COBIT 기반 프로세스 관리에 필요한 합리화 수준 요구 사항의 일부로 조직에서 서비스 수준 관리 프로세스를 구현했으며 그 과정에서 서비스 카탈로그를 정의했습니다. 서비스 카탈로그는 현재 제공되고 있는 서비스를 모두 나열하고 서비스 특성을 요약하며 서비스 사용자를 설명하고 지속적인 유지 관리를 책임지고 있는 담당자를 자세히 알려 줍니다. 평가 단계는 서비스 카탈로그가 최신의 완벽한 상태로 유지되도록 합니다.
2단계: 식별
식별 단계에서는 모델링되는 서비스 카탈로그 내의 서비스를 지명하고 각 서비스에 우선 순위를 할당합니다. 지명된 서비스 목록은 평가 및 계획 단계에서 기술 옵션을 고려하고 구현 계획을 세울 때 사용됩니다. 이 요구 사항은 데스크톱 또는 클라이언트 서비스, 응용 프로그램 서비스 및 서버 인프라를 포함한 IT 서비스 하위 집합에 중점을 둡니다.
3단계: 평가 및 계획
평가 및 계획 단계의 목표는 데스크톱, 응용 프로그램 및 서버 인프라의 모델 가능 서비스 수준 모니터링을 사용하는 데 필요한 기술을 식별하는 것입니다. 즉, 선택한 기술은 조직의 서비스 카탈로그에서 서비스를 체계적으로 정의하는 기능과 정의된 서비스에서 가용성과 이벤트를 모니터링하는 기능을 모두 제공합니다.
System Center Operations Manager 2007
Operations Manager 2007에서 제공하는 서비스 지향 모니터링 접근 방식을 사용하면 종단 간 정보 기술 서비스를 모니터링하고 대규모 환경과 조직에서 모니터링 규모를 조정하며 Microsoft 응용 프로그램 및 운영 체제 지식으로 운영 문제를 해결할 수 있습니다. Operations Manager 2007은 핵심 인프라 최적화 모델의 이 요구 사항에 권장되는 솔루션으로, 종단 간 서비스 모델을 만들고 모니터링하는 기능을 제공합니다.
데스크톱 서비스 모니터링
Operations Manager 2007의 데스크톱 서비스 모니터링에서는 무에이전트 예외 모니터링과 고객 환경 개선 프로그램 데이터 컬렉션의 2가지 메커니즘을 사용하여 데스크톱 환경을 모니터링합니다.
무에이전트 예외 모니터링(AEM)
AEM을 사용하여 운영 체제 크래시와 응용 프로그램 오류를 모니터링할 수 있습니다. 오류 보고 클라이언트는 그룹 정책을 사용하여 Microsoft에 직접 보고하는 대신 오류 보고서를 Operations Manager 2007 관리 서버로 리디렉션하도록 구성됩니다. 관리 서버에 오류 보고서 올리기를 통해 Operations Manager 2007에서는 조직 전반에 걸쳐 오류 데이터를 집계한 상세 보기와 보고서를 제공할 수 있습니다. 보기와 보고서는 장애에 대한 정보를 제공하고 문제 해결에 유용한 솔루션을 제공합니다.
운영 체제나 응용 프로그램 오류가 발생하는 빈도와 해당 오류의 영향을 받는 컴퓨터 및 사용자 수를 판단할 수 있습니다. 이러한 판단을 통해 작업을 조직에 가장 큰 이점이 되는 곳으로 돌릴 수 있습니다.
오류 보고서가 익명으로 Microsoft와 동기화되면 Microsoft 오류 보고 서비스의 개인 정보 보호 정책에 따르면서 각 오류에 사용할 수 있는 솔루션이 제공됩니다. AEM을 사용하여 내부에서 개발한 응용 프로그램에 발생한 문제의 솔루션을 제공할 수도 있습니다.
고객 환경 개선 프로그램(CEIP)
CEIP에 참여하도록 선택한 경우 그룹 정책을 사용하여 Microsoft에 직접 보고하는 대신 CEIP 보고서를 Operations Manager 2007 관리 서버로 리디렉션하도록 클라이언트를 구성합니다. 관리 서버는 이러한 보고서를 Microsoft에 전달하도록 구성됩니다.
조직에서 Microsoft로 전달된 CEIP 보고서는 다른 조직과 개별 고객의 CEIP 보고서와 결합되어 Microsoft가 문제를 해결하고 고객이 가장 자주 사용하는 Microsoft 제품과 기능을 개선할 수 있게 해 줍니다. CEIP에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=75040을 참조하십시오.
Windows 기반 워크스테이션 운영 체제 및 응용 프로그램 관리 팩
다음은 Operations Manager 2007에 포함된 Windows 기반 워크스테이션 운영 체제 및 응용 프로그램 관리 팩입니다.
Windows Vista®
Windows XP
Windows 2000
Microsoft Information Worker
분산 응용 프로그램 서비스 모니터링
Operations Manager 2007의 분산 응용 프로그램 서비스는 정의한 분산 응용 프로그램의 상태를 모니터링합니다. 또한 분산 응용 프로그램과 해당 응용 프로그램에 포함된 개별 구성 요소를 모니터링하는 데 필요한 모니터, 규칙, 보기 및 보고서를 만듭니다. Operations Manager 2007에서 분산 응용 프로그램을 만들 때는 먼저 높은 수준에서 분산 응용 프로그램 모니터링 개체를 정의하는 서비스를 만듭니다. 그런 다음 모니터링하려는 분산 응용 프로그램에 속한 개별 구성 요소를 정의합니다.
인프라 모니터링
Operations Manager 2007에서는 종합적인 서버 인프라 상태 모니터링이 계속해서 제공되며 Operations Manager 2005에 비해 장치나 운영 체제에 관리 팩이 없더라도 라우터, 인쇄 서버 및 Windows를 실행하지 않는 컴퓨터와 같은 SNMP 가능 장치를 모니터링하는 기능이 새로 추가되었습니다. 이러한 장치 또는 다른 운영 체제를 모니터링하기 위해 SNMP를 사용하는 모니터와 규칙을 만들 수 있습니다. SNMP 기반 모니터와 규칙은 SNMP 이벤트나 트랩에서 데이터를 수집할 뿐 아니라 경고를 생성하거나 모니터링되는 개체의 상태를 변경할 수도 있습니다.
4단계: 배포
배포 단계에서는 이전 3가지 단계에서 파생된 계획을 다시 구현합니다. 조직에서 System Center Operations Manager 2007을 IT 서비스 정의 및 모니터링 기술로 선택한 경우 Microsoft TechNet의 System Center Operations Manager 2007용 온라인 문서 라이브러리에서 자세한 배포 지침을 확인할 수 있습니다.
추가 정보
사용자 공급에 대한 자세한 내용을 보려면 Microsoft TechNet을 방문하여 "service monitoring"과 "Operations Manager"를 검색하십시오.
항목 체크포인트
|
요구 사항 |
|---|---|
|
|
|
|
|
서비스 수준을 정의하고 모니터링하는 자동화된 솔루션을 구현했습니다. |
위에서 설명한 단계를 완료했다면 데스크톱, 응용 프로그램 및 서버 인프라의 모델 가능 서비스 수준 모니터링의 최소 요구 사항을 충족한 것입니다.
다음 자체 평가 질문으로 이동하십시오.
요구 사항: 패치가 제거되거나 감염된 컴퓨터의 격리 솔루션
대상
패치가 제거되거나 감염된 컴퓨터의 격리 솔루션이 마련되어 있지 않으면 이 절을 읽어야 합니다.
개요
보안을 상당히 고려하는 오늘날의 환경에서 네트워크와 중요한 데이터를 보호하기 위한 심층적인 접근 방식은 매우 복잡한 문제입니다. 경계 방어나 안티바이러스 제품에 의존하는 것만으로는 이제 네트워크 자산 및 기밀 정보를 완전하게 보호할 수 없습니다. 오늘날의 보안 회사나 전문가들은 그것이 고의적이든 실수이든 내부 네트워크 위험이 외부 위협보다 훨씬 더 위험할 수 있다는 사실에 주목합니다. 동적 수준으로 이동하려면 관리되지 않는 컴퓨터를 전체 회사 네트워크에서 격리하는 메커니즘이 있어야 합니다.
널리 보급된 인터넷으로 인해 많은 조직의 작업 방식이 상당히 바뀌었습니다. 경쟁력 유지를 위해 조직에서 점점 더 직원들에게 가정, 지사, 호텔, 인터넷 카페 또는 고객 사이트와 같은 원격 위치에서 회사 네트워크에 연결하도록 요구하고 있습니다.
1단계: 평가
평가 단계에서는 구성 관리 프로세스에서 추적한 클라이언트 보안 구성의 또 다른 인벤토리를 조사하여 격리 솔루션 프로젝트를 시작합니다. 동적 수준에서는 최적의 패치 관리 및 안티바이러스 제어 방법에 대한 표준화 수준 요구 사항이 마련되어 있고 설정된 합리화 수준 요구 사항의 일부로 구성 관리도 마련되어 있다고 봅니다. 평가 단계에서는 클라이언트 구성 항목을 검사하여 최신 상태인지 확인합니다.
2단계: 식별
식별 단계에서는 네트워크 리소스에 연결할 때 클라이언트 컴퓨터가 위협이 되는지를 평가하기 위해 제어하고 최소 요구 사항에 추가해야 하는 구성을 판단합니다. 대개 최소 요구 사항에는 필요한 소프트웨어 업데이트와 안티바이러스 프로그램이 모두 설치되고 있고 서명이 최신 상태여야 한다는 요구 사항이 포함됩니다. 식별 단계에서는 패치 관리, 구성 검사 및 안티바이러스 업데이트 작업을 고려하고 해당 작업을 구현할 격리 솔루션의 요구 사항에 가장 손쉽게 넣을 수 있는 방법도 고려해야 합니다.
3단계: 평가 및 계획
평가 및 계획 단계에서는 원하는 기능을 사용하고 식별 단계에서 정의한 구성 비준수 검색 및 잠금 루틴을 수행하는 데 사용할 수 있는 기술을 판단합니다. 동적 수준에서는 격리 솔루션을 통해 적어도 네트워크 리소스에 대한 원격 연결을 제어해야 합니다. 이러한 원격 연결은 일반적으로 가상 사설망(VPN) 기술로 구현됩니다. 이 절에서는 Microsoft TechNet의 Microsoft 가상 사설망 네트워크로 격리 서비스 구현 계획 가이드를 주로 참조합니다. 또한 현지 격리 서비스용으로 Windows Vista와 Windows Server 2008에 포함된 네트워크 액세스 보호를 소개합니다.
가상 사설망(VPN)
VPN 연결을 사용하면 직원과 파트너가 공용 네트워크를 통해 회사 LAN에 안전하게 연결할 수 있습니다. VPN 기술을 사용하는 원격 액세스는 원격 관리 및 높은 보안 응용 프로그램과 같은 새 비즈니스 기회를 다수 창출하는 주요 활성자입니다.
VPN이 VPN 터널을 통해 데이터를 암호화하여 보안 액세스를 제공하지만 원격 액세스 컴퓨터에서 시작되는 바이러스나 웜과 같은 악성 소프트웨어 침입을 막지는 않습니다. 감염된 채로 LAN에 연결하는 컴퓨터에서 바이러스나 웜 공격이 발생할 수 있습니다. Windows Server 2003의 Network Access Quarantine Control 기능을 통한 VPN 격리가 이러한 문제를 해결하는 메커니즘을 제공합니다. VPN 격리는 VPN 프로토콜을 사용하여 네트워크에 연결하는 컴퓨터가 연결 전 검사와 연결 후 검사를 받고 해당 컴퓨터가 필요한 보안 정책을 충족할 때까지 격리되도록 합니다.
VPN 격리 솔루션은 지정된 원격 액세스 정책을 충족한 채로 연결하는 컴퓨터를 모두 격리 네트워크에 배치하고 해당 컴퓨터가 조직의 보안 정책을 준수하는지 확인합니다. 원격 액세스 VPN 서버는 원격 액세스 컴퓨터가 모든 연결 검사를 통과할 때만 격리 제한을 풀고 회사 네트워크 리소스에 대한 액세스를 허용합니다.
VPN 격리는 조직 표준과 비교해서 원격 액세스 컴퓨터의 구성을 조사하고 해당 구성의 유효성을 검사하여 개인 네트워크에 대한 연결을 모두 지연하는 방식으로 작동합니다. 연결하는 컴퓨터가 조직 정책을 준수하지 않으면 컴퓨터에서 다른 네트워크 리소스에 연결하도록 허용하기 전에 격리 프로세스를 통해 서비스 팩, 보안 업데이트 및 바이러스 정의를 설치할 수 있습니다.
VPN 격리 요구 사항
VPN 격리를 구현하려면 다음 구성 요소가 필요합니다.
격리 호환 원격 액세스 클라이언트
격리 호환 원격 액세스 서버
격리 호환 RADIUS(Remote Access Dial-In User Service) 서버(옵션)
격리 리소스
계정 데이터베이스
격리 원격 액세스 정책
가상 사설망 격리 연결 프로세스
다음 그림은 격리 하위 집합에 있는 리소스 서버를 활용하는 VPN 격리 접근 방식 중 하나를 간략하게 설명합니다.
.gif)
그림 9. VPN 격리 프로세스 경로
VPN 격리는 사용자가 원격 네트워크에 대한 연결을 시도할 때 수정된 프로세스를 구현합니다. 이 프로세스는 다음과 같은 절차로 진행됩니다.
컴퓨터가 연결 전 상태 정책 유효성 검사를 수행하여 특정 컴퓨터 상태 요구 사항을 충족하는지 확인합니다. 여기에는 핫픽스, 보안 업데이트 및 바이러스 서명이 포함될 수 있습니다. 연결 전 스크립트가 이 검사 결과를 로컬로 저장합니다. 조직에서 원할 경우 연결 후 보안 검사를 실행할 수도 있습니다.
연결 전 검사가 성공한 후 컴퓨터가 VPN을 사용하여 원격 액세스 서버에 연결합니다.
원격 액세스 서버가 Active Directory® 디렉터리 서비스에 저장된 사용자 이름 및 암호와 비교하여 RADIUS 서버로 사용자 자격 증명을 인증합니다. RADIUS는 이 프로세스의 선택적 구성 요소입니다.
Active Directory가 사용자를 인증하면 원격 액세스 서버가 VPN 격리 원격 액세스 정책을 사용하여 클라이언트를 격리에 배치합니다. 원격 액세스 클라이언트 컴퓨터의 액세스는 원격 액세스 정책을 통해 지정된 격리 리소스로 제한됩니다. 격리를 원격 액세스 클라이언트 컴퓨터에 적용하는 방법에는 클라이언트 컴퓨터가 격리에서 무한 대기하지 않도록 특정 제한 시간을 사용하는 방법과 IP 트래픽을 지정된 네트워크 리소스 네트워크로만 제한하는 IP 필터를 사용하는 2가지 방법이 있습니다.
연결 후 스크립트가 원격 액세스 서버에 클라이언트가 지정된 요구 사항을 준수하다고 알립니다. 연결이 지정된 제한 기간 내에 요구 사항을 충족하지 않으면 사용자에게 해당 사실이 알려지고 연결이 삭제됩니다.
원격 액세스 서버가 IP 필터를 제거하여 격리 모드에서 클라이언트 컴퓨터를 제거하고 원격 액세스 정책으로 지정된 네트워크 리소스에 대해 적합한 액세스 권한을 부여합니다.
네트워크 액세스 보호
Windows Vista와 Windows Server 2003 운영 제체에 기본 제공된 정책 적용 플랫폼인 네트워크 액세스 보호(NAP)를 사용하면 시스템 상태 요구 사항의 준수를 강제하여 네트워크 자산을 더욱 잘 보호할 수 있습니다.
컴퓨터 상태 요구 사항
네트워크에 연결하여 통신하는 컴퓨터가 시스템 상태 요구 사항을 준수하는지 확인해야 하는 상황에 직면하게 됩니다. 예를 들어 준수하는 컴퓨터에 올바른 보안 소프트웨어(예: 안티바이러스 보호)가 설치되어 있고 최신 운영 체제 업데이트와 올바른 구성(예: 호스트 기반 방화벽 사용)이 있습니다. 이 상황은 다양한 인터넷 핫스폿과 다른 개인 네트워크로 이동할 수 있는 랩톱 컴퓨터의 휴대 특성 그리고 가정용 컴퓨터에서 설정된 원격 액세스 연결의 사용을 통해 한결 나아집니다. 연결하는 컴퓨터가 준수하지 않으면 네트워크가 네트워크 수준 바이러스 및 웜과 같은 악성 소프트웨어의 공격을 받을 수 있습니다. 비준수 컴퓨터에 대한 보호를 제공하려면 다음을 수행해야 합니다.
시스템 상태에 대한 요구 사항을 지정하는 정책 집합을 중앙에서 구성합니다.
개인 네트워크나 개인 네트워크 리소스에 대한 무제한 액세스를 허용하기 전에 시스템 상태를 확인합니다.
리소스를 포함하는 제한된 네트워크로 비준수 컴퓨터의 네트워크 액세스를 제한하여 비준수 컴퓨터를 준수 상태로 되돌립니다.
NAP는 네트워크 액세스 및 통신을 위해 시스템 상태 정책의 유효성을 검사하고 준수를 강제하는 데 도움이 되는 구성 요소와 인프라를 제공합니다.
상태 정책 유효성 검사
사용자가 네트워크에 대한 연결을 시도하면 정의한 상태 정책과 비교해서 네트워크 액세스 보호가 컴퓨터 상태의 유효성을 검사합니다. 그런 다음 컴퓨터가 준수하지 않는 경우에 수행해야 할 사항을 선택할 수 있습니다. 모니터링만 이루어지는 환경에서는 일부가 상태 정책을 준수하지 않더라도 권한이 있는 모든 컴퓨터에 네트워크 액세스 권한이 부여되지만 각 컴퓨터의 준수 상태가 기록됩니다. 제한된 액세스 환경에서 상태 정책을 준수하는 컴퓨터의 네트워크 액세스는 무제한 허용되지만 상태 정책을 준수하지 않거나 네트워크 액세스 보호와 호환되지 않는 컴퓨터의 액세스는 제한된 네트워크로 제한됩니다. 두 환경 모두에서 네트워크 액세스 보호와 호환되는 컴퓨터는 자동으로 준수하게 되며 유효성 검사 프로세스의 예외를 정의할 수 있습니다. 네트워크 액세스 보호에는 네트워크 요구에 가장 적합한 예외를 더욱 쉽게 정의할 수 있게 해 주는 마이그레이션 도구도 포함되어 있습니다.
상태 정책 준수
Microsoft Systems Management Server와 같은 관리 소프트웨어를 통해 비준수 컴퓨터를 누락된 요구 사항으로 자동 업데이트하도록 선택하면 상태 정책이 준수되도록 하는 데 도움이 됩니다. 모니터링만 이루어지는 환경에서는 컴퓨터가 심지어 필요한 소프트웨어 또는 구성 변경 사항으로 업데이트되기 전에도 네트워크에 액세스할 수 있는 권한을 가집니다. 제한된 액세스 환경에서 상태 정책을 준수하지 않는 컴퓨터는 소프트웨어 및 구성 업데이트가 완료될 때까지 액세스가 제한됩니다. 다시 말해 두 환경 모두에서 네트워크 액세스 보호와 호환되는 컴퓨터는 자동으로 준수하게 되며 정책 예외를 정의할 수 있습니다.
제한된 네트워크 액세스
상태 정책 요구 사항을 준수하지 않는 컴퓨터의 액세스를 제한하여 네트워크 자산을 보호할 수 있습니다. 비준수 컴퓨터에 할당될 액세스 수준을 정의할 수 있습니다. 네트워크 액세스 제한은 특정 시간을 기반으로 하거나 네트워크 액세스가 제한된 네트워크로 제한될지 단일 리소스로 제한될지 내부 리소스에 대해 전혀 허용되지 않을지 여부를 기반으로 결정될 수 있습니다. 상태 업데이트 리소스를 구성하지 않으면 연결이 유지되는 동안 제한된 액세스가 지속됩니다. 상태 업데이트 리소스를 구성하는 경우에는 컴퓨터가 준수 상태가 될 때까지만 제한된 액세스가 지속됩니다. 네트워크에서 모니터링과 상태 정책 준수를 모두 사용하고 둘 다의 예외를 구성할 수 있습니다.
4단계: 배포
동적 수준에서는 오직 원격 액세스 사용자에 대해 VPN 격리 솔루션을 구현해야 합니다. 조직에서 Windows Server 2003 인프라를 사용하고 있으면 네트워크 액세스 보호 솔루션이 권장됩니다. Windows Server 2003의 네트워크 액세스 격리 제어 가이드에서는 격리 솔루션에 대한 추가 계획 및 배포 지침을 제공합니다.
네트워크 액세스 격리 제어를 배포하기 위한 기본 단계는 다음과 같습니다.
격리 리소스 작성
클라이언트 구성의 유효성을 검사하는 스크립트 또는 프로그램 작성
원격 액세스 서버에 Rqs.exe 설치
Windows Server 2003 연결 관리자 관리 키트(CMAK)로 새 격리 연결 관리자(CM) 프로필 작성
원격 액세스 클라이언트 컴퓨터에 설치할 CM 프로필 배포
격리 원격 액세스 정책 구성
격리 리소스 작성
원격 액세스 클라이언트가 격리 모드인 동안 이름 서버, 웹 서버 또는 파일 서버 리소스에 대한 액세스를 허용하려면 원격 액세스 클라이언트가 사용할 수 있는 서버와 해당 리소스를 지정해야 합니다.
클라이언트 구성의 유효성을 검사하는 스크립트 또는 프로그램 작성
작성한 격리 스크립트나 프로그램은 실행 파일(*.exe)이 될 수도 있고 명령 파일(*.cmd 또는 *.bat)처럼 간단할 수도 있습니다. 스크립트에서 원격 액세스 클라이언트가 네트워크 정책을 준수하는지 확인하는 테스트 집합을 수행하십시오.
원격 액세스 서버에 Rqs.exe 설치
원격 액세스 격리 에이전트 서비스(Rqs.exe) 구성 요소는 스크립트가 성공적으로 실행되었음을 나타내는 격리 호환 원격 액세스 클라이언트의 메시지를 수신 대기합니다.
Windows Server 2003 CMAK로 새 격리 CM 프로필 작성
격리 CM 프로필은 다음 추가 사항이 있는 전화 접속 또는 VPN 액세스용 일반 원격 액세스 CM 프로필일 뿐입니다.
작성한 스크립트나 프로그램을 실행하여 네트워크 정책 준수를 확인하고 스크립트나 프로그램을 프로필 내에 포함하는 연결 후 동작을 추가해야 합니다. 이 작업은 CMAK 마법사의 사용자 지정 동작 페이지에서 수행됩니다.
프로필에 알림 구성 요소를 추가해야 합니다. 이 작업은 CMAK 마법사의 추가 파일 페이지에서 수행됩니다.
CMAK의 사용자 지정 동작 사용에 대한 자세한 내용은 Windows Server 2003 도움말 및 지원의 "사용자 지정 동작 통합" 항목을 참조하십시오.
원격 액세스 클라이언트 컴퓨터에 설치할 CM 프로필 배포
격리 CM 프로필이 작성되면 모든 원격 액세스 클라이언트 컴퓨터에 배포하여 설치해야 합니다. 프로필 자체는 프로필 설치와 격리 네트워크 연결 구성을 위해 원격 액세스 클라이언트에서 실행해야 하는 실행 파일입니다.
격리 원격 액세스 정책 구성
라우팅 및 원격 액세스가 Windows 인증 공급자로 구성되어 있으면 라우팅 및 원격 액세스 스냅인을 사용하여 원격 액세스 서버에 격리 원격 액세스 정책을 구성하십시오. 라우팅 및 원격 액세스가 RADIUS 인증 공급자로 구성된 경우에는 인터넷 인증 서비스 스냅인을 사용하여 IAS 서버에 격리 원격 액세스 정책을 구성하십시오.
요약
네트워크 액세스 격리 제어를 통한 VPN 격리는 원격 액세스 클라이언트 컴퓨터의 구성이 네트워크 정책을 준수하는 것으로 확인될 때까지 인트라넷에 대한 모든 액세스를 방지할 수 있는 관리되는 방법을 제공합니다. 네트워크 액세스 격리 제어는 포함된 격리 스크립트와 알림 구성 요소, Windows Server 2003 원격 액세스 서버에서 실행되는 수신기 구성 요소 및 격리 원격 액세스 정책이 포함된 CM 프로필을 사용합니다. 네트워크 액세스 격리 제어를 배포하려면 격리 리소스 지정 및 구성, 격리 스크립트 작성, 원격 액세스 서버에 수신기 구성 요소 설치, 격리 CM 프로필 작성 및 배포, 격리 원격 액세스 정책 구성 등을 수행해야 합니다.
추가 정보
사용자 공급에 대한 자세한 내용을 보려면 Microsoft TechNet을 방문하여 "VPN Quarantine" 및 "NAP"를 검색하십시오.
항목 체크포인트
|
요구 사항 |
|---|---|
|
원격 및 현지 사용자용 네트워크 격리 기술을 평가했습니다. |
|
원격 사용자용 VPN 격리 솔루션을 구현했습니다. |
위에서 설명한 단계를 완료했다면 인프라 최적화 모델에서 패치가 제거되거나 감염된 컴퓨터의 격리 솔루션 기능의 최소 요구 사항을 충족한 것입니다.
다음 자체 평가 질문으로 이동하십시오.