• 아티클

Special Coverage: Windows Server 2008

Windows Server 2008의 정책 기반 네트워크 액세스

Ian Hameroff and Amith Krishnan

 

한 눈에 보기:

  • 네트워크 액세스와 보안의 균형 조정
  • 정책 기반 네트워크 액세스 방식
  • Windows Server 2008의 새로운 보안 기술

모바일 사용자가 증가하고 조직의 IT 리소스에 대한 액세스 권한을 필요로 하는 사용자와 장치가 점차 다양해지면서 기존의 네트워크 경계가 사라지고 있는 현상에 대해서는

많은 자료가 나와 있습니다. 생산성을 높이기 위해 사용자와 LOB(기간 업무) 담당자는 한결같이 번거로운 절차가 없고 유동적인 연결된 환경을 요구하고 있습니다. 더욱이 이러한 복잡한 상황에 규정 준수 부담, 위협 환경의 진화, 데이터 분산화에 따른 위험 등의 문제가 더해지고 있습니다.

결과적으로 Windows® 관리자는 날로 높아지는 정보 및 네트워크 보안 요구 사항을 충족하는 동시에 리소스에 대한 손쉬운 액세스를 가능하게 해야 한다는 어려운 균형 조정 문제에 직면하고 있습니다.

이러한 과제를 하나의 솔루션으로 모두 해결할 수는 없겠지만 Windows 관리자가 현재 사용 중인 경계면 방화벽과 같은 보안 제어 기능을 보다 확대할 수 있는 도구는 많이 있습니다. 액세스 허용과 보안 사이의 적절한 균형을 실현하는 효과적인 방법 중 하나로 기존 연결 모델에서 보다 논리적인 정책 중심 방식으로 네트워크 액세스를 정의하는 모델로 전환하는 방법을 들 수 있습니다.

정책 기반 네트워크 액세스 방식

네트워킹 리소스

정책 기반 네트워크 액세스는 주로 네트워크 토폴로지 경계에 대한 신뢰를 기반으로 하려는 경우 발생하는 기존의 제한 사항을 없애는 데 중점을 두고 있습니다. 예를 들어 장치가 회사 방화벽이 설정된 이더넷 스위치 포트에 연결되어 있다고 해서 CRM(고객 관계 관리) 응용 프로그램을 실행하는 서버에 연결하는 데 신뢰할 수 있고 승인된 장치라고 확신할 수 있을까요?

새 모델에서는 연결 위치에 관계없이 장치의 보안 환경과 액세스를 요청하는 사용자의 ID를 기준으로 한 인증을 통해 액세스 허용 여부가 결정됩니다. 이렇게 인증한 후에는 동일한 프레임워크를 통해 액세스 가능한 정보와 리소스에 대한 권한을 부여합니다.

방어적인 환경에서 액세스에 중점을 둔 환경으로 전환하려면 연결하는 호스트의 ID와 정책 준수 여부를 확인하고, 신뢰할 수 있는 사용자 ID를 발급하고, 이러한 특성에 따라 네트워크 액세스를 동적으로 제어할 수 있는 메커니즘을 비롯한 여러 가지 핵심 요소가 마련되어야 합니다. 그리고 이러한 유동적인 부분을 간단하게 관리하기 위한 중앙 집중식 정책 저장소도 중요한 구성 요소 중 하나입니다.

정책 기반 방식을 도입하면 각양각색의 네트워크 액세스 및 호스트 보안 제어 방식을 더욱 포괄적인 솔루션으로 한데 묶는 데에도 도움이 됩니다. 결과적으로 연결 구조 상위의 논리적 계층에 네트워크 액세스 기본 규칙을 설정할 수 있기 때문에 기존 심층 방어 방식에서 한층 더 발전된 환경을 구현할 수 있습니다.

예를 들어 사용자가 조직의 무선 네트워크에 랩톱을 연결할 때 장치가 최신 보안 구성 요구 사항에 맞는지 확인할 수 있습니다. 랩톱에 최신 바이러스 백신 업데이트와 중요 보안 패치가 모두 설치되어 있고, 호스트 방화벽과 같은 끝점 보안 제어 기능이 모두 설정되어 있는 것으로 확인되면 회사 네트워크에 대한 액세스 권한이 부여됩니다. 액세스 권한이 부여된 후 사용자가 비즈니스 응용 프로그램에 액세스를 시도하면 랩톱의 상태와 사용자의 네트워크 ID를 함께 사용하여 응용 프로그램을 호스팅하는 리소스에 대한 연결을 허용할지 여부가 결정됩니다. 물리적 네트워크 인프라에 더해 이러한 논리적 계층을 운영하면 사용자가 무선 연결에서 유선 연결로, 또는 원격 액세스 연결로 전환할 때에도 지속적으로 정책을 적용할 수 있습니다.

정책 기반 네트워크 액세스를 구현하면 프로세스의 보안에 영향을 주지 않으면서 보다 원활한 연결된 환경을 제공할 수 있습니다. 관리자는 기존의 스위치 포트나 원격 액세스 게이트웨이 구성보다 수준이 향상된 네트워크 액세스 제어를 통해 보다 단순한 관리 환경을 얻을 수 있습니다. 두 경우 모두 궁극적으로는 생산성이 향상되고 조직 네트워크의 상태가 전반적으로 개선되는 효과가 있습니다. 특히 게스트(초대되는 등의 경우), 공급업체, 파트너, 직원 등 다양한 액세스 권한을 사용하는 여러 사용자를 호스팅하는 네트워크에서도 이와 같은 효과를 얻을 수 있습니다.

다른 보안 프로젝트와 마찬가지로 정책 기반 네트워크 액세스를 구현할 때에도 전체적인 운영 정책을 가장 먼저 개발해야 합니다. 대개 이러한 정책에는 다음에 대한 지침이 포함됩니다.

  • 장치 보안 정책 준수 - 정상적인 장치 상태의 정의
  • 논리적 네트워크 영역 지정 - 정상적인 상태가 아닌 장치와 승인된 장치를 구분하는 방법
  • 정보 위험 관리 - 중요 데이터를 분류하고 손상으로부터 보호하는 방법

Microsoft® TechNet 보안 센터(microsoft.com/technet/security)에서 다양한 정책 개발 관련 리소스를 확인할 수 있습니다.

액세스 정책을 개발한 후에는 정책을 쉽게 배포하고 효과적으로 적용할 수 있는 기술을 선택해야 합니다. 이러한 점에서 Windows Server® 2008이 가장 적합하다고 할 수 있습니다. Windows Server 2008은 현재 가장 안전한 Windows Server이며 정책 기반 네트워크 액세스 솔루션의 초석이 되는 강화된 보안 플랫폼을 제공하기 때문입니다. 또한 Windows Server 2008에 새로 추가되거나 향상된 많은 기능에는 네트워크에서 안전한 정책 기반 액세스를 구현하는 데 필요한 요소도 많이 있으므로 중요 정보가 손상되지 않도록 보호됩니다.

차세대 네트워킹

Windows Server 2008의 향상된 네트워크 보안 기능의 핵심에는 플랫폼의 네트워킹 기능과 관련 서비스가 크게 업데이트된 차세대 TCP/IP 스택이 있습니다. Windows Server 2008은 향상된 네트워크 성능과 확장성을 제공할 뿐만 아니라 정책 기반 네트워크 액세스 솔루션 구축을 위한 견고한 기반이 되는 일련의 통합된 네트워크 기능을 통해 보안을 강화합니다.

IPsec(인터넷 프로토콜 보안)도 이러한 기능의 하나로, Windows Server 2008에서 정책 기반 네트워크 액세스 방식에 있어 중요한 역할을 하도록 대폭 업그레이드되었습니다. 이제 IPsec을 터널링과 암호화 프로토콜로 사용하는 것보다 해당 호스트 간 네트워크 인증 기능을 활용하는 것이 핵심 용도가 되었습니다. 또한 IPsec은 계층 3에서 작동하므로 다양한 네트워크 유형에 걸쳐 네트워크 액세스 정책을 적용하는 데 활용할 수도 있습니다.

Windows Server 2008에는 IPsec 기반 네트워크 액세스 제어를 쉽게 구현할 수 있도록 여러 가지 기능이 새로 추가되거나 향상되었습니다. 이러한 기능은 모두 정책 생성, 적용 및 유지 관리를 단순화하는 데 초점을 두고 있습니다. 일례로 사용 가능한 IPsec 인증 방식의 수와 유형이 늘어났습니다. 이는 AuthIP(인증된 IP)가 도입되고 IKE(Internet Key Exchange) 프로토콜이 확장된 데 따른 결과입니다. AuthIP는 서로 통신하는 피어가 컴퓨터 자격 증명뿐 아니라 사용자 또는 상태 자격 증명까지 선택적으로 사용하여 서로를 인증하도록 요구하는 연결 보안 규칙(Windows Server 2008 IPsec 정책의 다른 이름)을 작성하는 기능을 제공합니다. 이렇게 유연성이 커지면서 스위칭 및 라우팅 인프라를 업그레이드하지 않고도 매우 복잡한 논리적 네트워크를 설계할 수 있게 되었습니다.

고급 보안이 포함된 Windows 방화벽

새로운 고급 보안이 포함된 Windows 방화벽은 방금 설명한 IPsec 기능을 기반으로 합니다. 새로운 Windows 방화벽은 방화벽 필터와 IPsec 연결 보안 규칙을 단일 정책으로 결합하여 보다 지능적인 인증 방화벽 동작이라는 또 다른 차원의 정책 기반 네트워크 액세스를 제공합니다.

그림 1에서 보듯이 이제 인바운드 또는 아웃바운드 방화벽 필터가 수행할 특정 작업을 정의할 때 허용, 차단, 안전한 경우에만 허용의 세 가지 옵션을 선택할 수 있습니다. "Allow the connection if it is secure(보안 연결만 허용)" 옵션을 선택하면 Windows 방화벽이 IPsec의 호스트 간 네트워크 인증 기능을 통해 관리자가 정의한 정책을 기준으로 연결을 요청하는 호스트 또는 사용자에 대한 승인 여부를 결정합니다. 방화벽 규칙에는 연결 권한이 있는 사용자, 컴퓨터 및 그룹을 명시할 수 있습니다. 이 기능이 기존 운영 체제 및 응용 프로그램 수준 액세스 제어 기능을 보완하는 추가 보호 계층을 제공한다는 것은 두말할 필요도 없습니다.

그림 1 인증 방화벽 규칙 정의

그림 1** 인증 방화벽 규칙 정의 **(더 크게 보려면 이미지를 클릭하십시오.)

이제 보다 효과적이고 확장이 가능한 네트워크 액세스 관리 방식을 위해 중앙 집중식 정책을 통해 이러한 여러 가지 네트워크 보안 제어 기능을 하나로 묶는 방법을 어느 정도 이해했으리라 생각합니다.

CRM의 예를 다시 살펴보면 관리자가 프로그램의 실행 파일 또는 서비스 포트를 통해 회사의 CRM 응용 프로그램을 실행하는 서버의 인바운드 규칙을 "보안 연결만 허용" 옵션을 선택하여 만들 수 있습니다. 또한 관리자는 그림 2와 같이 동일한 방화벽 정책에서 "CRM Application Users" 그룹의 구성원만 이 네트워크 응용 프로그램에 연결할 수 있도록 지정할 수 있습니다. 이 개념을 네트워크에 있는 모든 관리되는 컴퓨터 간의 모든 네트워크 통신으로 확대하면 정책 기반 네트워크 액세스 전략에 서버 및 도메인 격리 계층이 추가되는 것입니다.

그림 2 관리자는 이 정책을 기준으로 연결이 허용되는 사용자를 지정할 수 있음

그림 2** 관리자는 이 정책을 기준으로 연결이 허용되는 사용자를 지정할 수 있음 **(더 크게 보려면 이미지를 클릭하십시오.)

서버 및 도메인 격리

네트워크 연결을 시도하는 게스트 장치 또는 기타 관리되지 않는 장치가 점점 증가하고 있는 대부분의 조직에 있어 신뢰할 수 있는 호스트를 분리하고 보호하는 방법을 마련하는 것에 대한 중요성은 점차 커지고 있습니다. 다행스럽게도 신뢰할 수 있는 컴퓨터와 관리되는 컴퓨터를 네트워크의 다른 컴퓨터로부터 격리할 수 있는 방법은 많습니다. 그러나 이러한 방법은 비용이 많이 들고(예: 실제 연결 시스템을 별도로 실행하는 경우) 유지 관리가 어려운(예: 스위치 기반 VLAN) 경우가 많다는 점을 알아야 합니다.

서버 및 도메인 격리는 환경을 논리적으로 격리되고 안전한 네트워크로 분리할 수 있는 비용 효율적이며 관리하기 쉬운 방법을 제공합니다. 그림 3에서와 같이 기본적으로는 앞서 설명한 것과 동일한 연결 보안 규칙(IPsec 정책)을 사용하지만 Active Directory® 그룹 정책을 통해 모든 관리되는 컴퓨터에 정책을 매핑합니다. 따라서 통신을 시작하기 전에 모든 피어가 서로 인증하도록 요구하는 네트워크 액세스 정책이 생성됩니다. 이러한 격리는 계층 3에서 이루어지므로 액세스 제어 적용 범위가 물리적/지리적 경계를 넘어 허브, 스위치 및 라우터까지 확대됩니다.

그림 3 네트워크 액세스 요구 사항에 맞게 인증 요구 사항 정의

그림 3** 네트워크 액세스 요구 사항에 맞게 인증 요구 사항 정의 **(더 크게 보려면 이미지를 클릭하십시오.)

격리된 네트워크를 구축하려면 네트워크의 여러 컴퓨터를 필요한 액세스 유형에 따라 분리해야 합니다. 그리고 격리된 네트워크의 컴퓨터는 격리된 네트워크에 없는 컴퓨터까지 포함하여 네트워크의 모든 컴퓨터와 통신을 시작할 수 있도록 정책을 정의할 수 있습니다. 반대로 격리된 네트워크에 있지 않은 컴퓨터는 격리된 네트워크에 있는 컴퓨터와 통신을 시작할 수 없습니다. 사실 격리된 네트워크의 컴퓨터는 격리된 네트워크 외부의 컴퓨터가 통신하기 위해 보내는 모든 요청을 무시합니다.

네트워크 정책을 적용하는 데에는 Active Directory 도메인 및 도메인 구성원 자격이 사용됩니다. 즉, 도메인 구성원 컴퓨터는 다른 도메인 구성원 컴퓨터에서 요청하는 인증되고 안전한 통신만 수락합니다. 또한 선택적으로, 격리된 도메인 내에서 모든 통신을 암호화하도록 요구할 수도 있습니다.

기존 네트워크 인프라 또는 응용 프로그램을 크게 변경할 필요가 없기 때문에 서버 및 도메인 격리는 비용 측면에서 매우 유리합니다. 이 솔루션은 비용적으로 막대한 피해를 입히는 신뢰할 수 있는 네트워크 리소스에 대한 공격과 무단 액세스를 막는 데 도움이 될 뿐만 아니라 네트워크 토폴로지가 변경될 때마다 지속적으로 유지 관리할 필요가 없는 정책 기반 보호막을 구축합니다.

네트워크 액세스 보호

앞서 설명한 대로 서버 및 도메인 격리 솔루션은 네트워크의 여러 컴퓨터와 서버를 논리적으로 분리합니다. 이 솔루션은 네트워크에 대한 무단 액세스를 막는 데는 도움이 되지만 권한이 부여된 컴퓨터로 인해 발생하는 보안 위협을 방지한다는 보장은 없습니다.

NAP(네트워크 액세스 보호)는 Windows Server 2008의 기본 제공 플랫폼으로, 네트워크에 연결하거나 네트워크에서 통신하는 컴퓨터가 관리자가 정의한 시스템 상태 요구 사항(보안 및 정책 준수)에 부합하도록 합니다.

권한 있는 사용자가 네트워크에 바이러스나 스파이웨어를 전파하는 경우도 종종 있습니다. 예를 들어 사용자가 휴가를 떠났을 때 관리자가 설정한 보안 요구 사항이 컴퓨터에서 지켜지지 않을 수 있습니다. 사용자가 휴가 중인 동안 요청된 패치나 서명이 배포된 경우 컴퓨터에 적용되지 않으면 이것이 곧 심각한 피해로 이어질 수 있습니다.

관리자가 네트워크에 연결하는 모든 사용자를 추적하는 것은 불가능합니다. 때문에 중앙 정책을 기준으로 네트워크에 연결하는 모든 컴퓨터의 상태 정책 준수 여부를 확인하여 정책을 준수하지 않는 경우 문제를 해결하는 자동화된 도구가 필요합니다. NAP가 바로 이러한 도구로서 정책 기반 네트워크 액세스 솔루션에 또 다른 보안 계층을 추가합니다.

클라이언트 컴퓨터의 OS(예: Windows Vista®)에서 기본 제공되거나 별도로 설치(이전 버전의 Windows 및 Windows 이외의 운영 체제의 경우)할 수 있는 NAP 에이전트가 Windows Server 2008에 포함된 정책 엔진인 NPS(네트워크 정책 서버)에 모든 정책 준수 문제를 보고합니다. 모든 장치가 준수해야 하는 정책도 이 NPS에서 정의할 수 있습니다.

물론 정책 준수 검사를 통과하지 못한 장치를 제한해야겠지만 격리하고 문제를 해결할 수 있는 옵션을 제공하는 것도 중요합니다. NAP는 장치를 자동으로 업데이트(방화벽 또는 바이러스 백신 솔루션을 사용 중인 경우)하거나 격리 영역으로 보내 수동으로 업데이트하는 옵션을 제공합니다. 이때 장치는 최신 패치, 업데이트 및 서명이 있는 업데이트 관리 서버에 액세스할 수 있습니다. 사용자가 장치를 수동으로 업데이트하고 나면 정책 준수 검사를 통과한 경우에 네트워크 액세스가 허용됩니다.

네트워크 액세스는 보편화되면서 예전보다 훨씬 더 간편해졌습니다. 반면 액세스 메커니즘을 막론하고 장치가 정상 상태이고 정책을 준수하는지를 확인해야 하는 부담도 늘어났습니다. 컴퓨터는 일반 802.1X 호환 스위치 또는 무선 액세스 지점을 통해 네트워크에 액세스하거나 VPN 또는 터미널 서비스 기반 원격 액세스 연결을 통해 원격으로 연결할 수도 있습니다. NAP는 이러한 여러 가지 메커니즘을 통해 연결하는 컴퓨터의 정책 준수를 보장할 뿐만 아니라 DHCP 서버, 802.1X 스위치, VPN 게이트웨이, 터미널 서비스 게이트웨이 또는 802.1X 호환 무선 액세스 지점에 정책을 적용하는 기능도 제공합니다.

그림 4에 표시된 네트워크는 이미 서버 및 도메인 격리 솔루션으로 격리되어 있습니다. 이러한 격리된 네트워크에 NAP를 사용하면 네트워크에 연결하는 컴퓨터의 상태 정책 준수를 보장할 수 있다는 이점이 있습니다. 시작 시에 클라이언트는 인증서 서버인 HRA(상태 등록 기관)로 SoH(상태 설명)를 보냅니다. 그러면 정책 준수 확인을 위해 HRA에서 SoH를 NPS로 전달합니다. SoH가 올바르면 HRA가 NAP 클라이언트에 상태 인증서를 발급합니다. 그러면 클라이언트가 안전한 리소스를 사용하여 안전한 IPsec 기반 통신을 시작할 수 있습니다. SoH가 올바르지 않으면 HRA가 NAP 클라이언트에 상태가 올바르도록 수정하는 방법을 알리고 상태 인증서를 발급하지 않습니다. 이 경우 NAP 클라이언트는 IPsec 인증을 위해 상태 인증서를 필요로 하는 다른 컴퓨터와 통신할 수 없습니다. 그러나 NAP 클라이언트가 정책을 준수하는 상태로 업데이트가 가능하도록 업데이트 관리 서버와는 통신할 수 있습니다.

그림 4 IPsec 적용을 사용한 네트워크 액세스 보호

그림 4** IPsec 적용을 사용한 네트워크 액세스 보호 **(더 크게 보려면 이미지를 클릭하십시오.)

결론

Windows Server 2008의 새로운 기능과 특징을 대략적으로만 살펴보았지만 각 구성 요소가 이전 요소를 기반으로 어떻게 구축되었는지 이해하는 것이 중요합니다. 기존의 심층 방어 방식을 변화시키는 데 기반이 되는 것은 Windows Server 2008에서 Active Directory 그룹 정책 등을 통해 제공되는 기본 정책 프레임워크입니다.

이 통합 환경 덕분에 기존에 투자한 솔루션을 그대로 활용하면서 정책 기반 네트워크 액세스 솔루션을 정의하고 배포할 수 있는 강력한 작업 기반을 얻게 되었습니다. 보다 논리적인 정책 중심 계층에서 액세스 허용 여부를 결정함으로써 "손쉬운 액세스"와 "향상된 보안" 사이의 균형을 적절하게 유지할 수 있습니다.

Microsoft는 이 기사에서 언급한 기술 분야에 대해 자세히 설명하는 문서를 많이 게시해두었습니다. 따라서 먼저 이러한 기사와 단계별 가이드를 읽어 다양한 기능의 실제 운영에 대한 경험을 쌓는 것이 좋습니다. "네트워킹 리소스" 추가 기사의 링크가 이러한 작업을 시작하는 데 도움이 될 것입니다. 그런 후 한 단계를 수행하여 다음 단계를 위한 강력한 기반을 구축하는 방향으로 각 단계를 진행해 보십시오.

예를 들어 고급 보안이 포함된 Windows 방화벽 단원에서 설명한 대로 중요 업무용 응용 프로그램에 대한 인증 방화벽 규칙 집합을 만듭니다. 이 작업에 익숙해지면 네트워크 도메인을 격리하는 연결 보안 규칙으로 확장하고, 그 기반 위에 계층 NAP를 구현할 수 있습니다. 이렇게 정책 기반 네트워크 액세스 전략을 구현하면 회사 네트워크라는 계속 변화하는 환경에 쉽게 보조를 맞출 수 있다는 이점 외에도 막대한 이점을 얻을 수 있습니다.

Ian Hameroff는 Microsoft의 보안 및 액세스 제품 마케팅 부서에서 수석 제품 관리자로 일하며 Windows Server 플랫폼 네트워킹 기술의 제품 관리와 마케팅을 담당하고 있습니다. Ian은 Windows Server 네트워킹과 관련한 시장 진입 전략 관련 업무는 물론, 서버 및 도메인 격리, 확장 가능한 네트워킹, IPv6 도입 등의 핵심 보안 및 네트워킹 이니셔티브에 중점을 둔 솔루션 관련 업무도 책임지고 있습니다.

Amith Krishnan은 Microsoft의 보안 및 액세스 제품 마케팅 부서에서 수석 제품 관리자로 일하며 네트워크 액세스 보호, 보안 무선 등의 Windows Server 네트워킹 및 보안 이니셔티브에 대한 제품 관리 및 마케팅 업무를 담당하고 있습니다. 그와 동시에 시장 진입 전략을 개발하고 이러한 솔루션을 알리는 데에도 힘쓰고 있습니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..