IPsec 및 그룹 정책을 통한 서버 및 도메인 격리

업데이트 날짜: 2005년 2월 16일

2장: 서버 및 도메인 격리 이해

LAN이 보급된 이후로 정보 기술(IT) 전문가들은 적절한 보안을 유지하면서 탄력적이고 가용성이 매우 높은 서비스를 제공하기 위해 노력해 왔습니다. 네트워크와 전송 계층을 구현하는 문제를 해결하기 위해 TCP/IP와 작동하는 여러 가지 다른 기술이 소개되었습니다. 이러한 기술로는 IPv6, 802.1X, 네트워크 스위치, VLAN(가상 LAN) 분할, IPsec(인터넷 프로토콜 보안) 등이 있습니다.

이러한 기술 도입의 의도하지 않은 결과는 네트워크 보안에 대한 다중 계층 접근 방법입니다. 하나 이상의 호스트나 네트워크를 다른 호스트나 네트워크로부터 분리, 분할 또는 격리** **하는 데 이러한 계층을 사용할 수 있습니다. 이 장의 목적은 IPsec이 다른 계층과 관련하여 제공하는 보안 계층을 구성하고, 엔터프라이즈급 환경에서 관리 가능하고 확장 가능한 방식으로 격리를 수행하는 솔루션에서 그룹 정책과 함께 사용하는 방법을 설명하는 것입니다.

이 페이지에서

장 전제 조건
이 장이 필요한 대상
비즈니스 요구 사항
신뢰할 수 있는 컴퓨터 확인
서버 및 도메인 격리가 내 전체 네트워크 보안 전략에 어떻게 적용됩니까?
용어 리프레셔
서버 및 도메인 격리를 실현하는 방법
서버 및 도메인 격리가 제공하는 보호
서버 및 도메인 격리를 배포하는 방법
요약

장 전제 조건

이 장에서 제공하는 정보를 사용하기 전에 다음 개념과 기술에 완벽하게 익숙해져야 합니다. 이러한 전제 조건을 충족시키지 않은 상태에서도 이 가이드로부터 이점을 얻을 수 있지만 이러한 전제 조건을 모두 충족하는 경우 성공적으로 구현할 가능성이 그만큼 커집니다.

지식 전제 조건

Microsoft® Windows Server™ 2003에서 다음 영역에 대해 잘 알고 있어야 합니다.

• Active Directory® 디렉터리 서비스 개념(Active Directory 구조와 도구를 포함하여 사용자, 그룹, 기타 Active Directory 개체 조작 및 그룹 정책의 사용)

• Kerberos 버전 5 프로토콜 및 PKI(공용 키 구조)의 사용을 포함한 인증 개념

• Microsoft Windows® 시스템 보안; 사용자, 그룹, 감사 및 ACL(액세스 제어 목록); 보안 템플릿 사용; 상호 인증 개념; DNS(Domain Name System) 및 WINS(Windows Internet Naming Service) 같은 표준 이름 확인 방법과 개념; 표준 Windows 진단 도구와 문제 해결 개념; 그룹 정책 또는 명령줄 도구를 사용하여 보안 템플릿 적용

• 서브넷 레이아웃, 네트워크 마스크 및 라우팅을 포함한 TCP/IP 개념에 대한 지식. 또한 ICMP(Internet Control Message Protocol), ARP(, Address Resolution Protocol) 및 MTU(Maximum Transmission Unit) 같은 낮은 수준의 기능, 프로토콜 및 용어

• 보안 위험 관리 원칙에 대한 지식

  참고: 6장, Windows Server 2003 Deployment Kit의 "IPsec 배포"에서는 현재는 권장되지 않는 IPsec 전송 모드에 대한 특정 시나리오에 대해 설명합니다. 그러나 Microsoft가 추가 가이드의 가용성과 함께 IPsec의 사내 배포를 위해 작업을 수행한 결과 이제는 권장 사항을 변경할 수 있게 되었습니다. 멀티캐스트와 브로드캐스트 트래픽은 여전히 IPsec을 사용할 수 없지만 모든 종류의 유니캐스트 IP 트래픽은 IPsec을 통해 보안을 유지할 수 있습니다. 각 고객은 비용, 영향 및 기타 타협의 측면에서 도메인 또는 서버 격리 시나리오에서 IPsec을 배포하는 이점을 평가해야 합니다. 그러나 이제 Microsoft는 이 가이드에 따라 고객 네트워크에서 IPsec의 폭 넓은 사용을 권장하고 지원합니다.

조직 전제 조건

조직의 보안을 계획하는 일을 어느 한 개인의 책임으로만 돌릴 수 없습니다. 조직을 위한 정확한 요구 사항을 결정하는 데 필요한 정보는 조직 내의 많은 소스로부터 오는 경우가 많습니다. 다음과 같은 역할을 수행하는 사람들을 포함하여 격리 계획에 참여할 필요가 있는 조직의 다른 사람들로부터 의견을 경청해야 합니다.

• 회사 후원자

• 사용자 그룹 대표

• 보안 및 감사 담당자

• 위험 관리 그룹

• Active Directory 엔지니어링, 관리 및 운영 담당자

• DNS, 웹 서버, 네트워크 엔지니어링, 관리 및 운영 담당자

  참고: IT 조직의 구조에 따라 이러한 역할은 여러 다른 사람들이 채워질 수 있으며, 몇 명이 여러 역할을 겸할 수도 있습니다.

서버와 도메인 격리의 범위에서 포괄적인 팀은 업무 요구 사항, 기술적 문제, 사용자 영향 및 전체 프로젝트 프로세스를 이해하고 있어야 합니다. 배포하는 동안 영향을 받게 될 지원 직원 또는 사용자 등으로부터 폭 넓은 입력이 요구될 때 간부급 직원이 주 연락 담당자 역할을 할 수 있다면 큰 도움이 될 것입니다. 복잡한 프로젝트가 실패하는 두 가지 주요 원인은 부실한 계획과 원활하지 못한 의사 소통에 있습니다. 프로젝트 팀은 이러한 위험 가능성을 이해하고 위험을 완화하려는 조치를 취해야 합니다.

페이지 위쪽

이 장이 필요한 대상

이 장은 조직을 위한 사용자 지정 서버 및 도메인 격리 솔루션을 설계하는 일을 담당할 기술 관련 의사 결정권자와 기술 설계자를 위한 것입니다. 이 장으로부터 많은 것을 얻으려면 사용되는 기술과 조직의 현재 인프라 모두를 기술적으로 충분히 이해해야 합니다.

페이지 위쪽

비즈니스 요구 사항

조직의 비즈니스 요구 사항이 솔루션을 이끌어 간다는 것을 이해하는 것이 중요합니다. 격리는 네트워크 통신으로부터 하나 이상의 컴퓨터를 다른 컴퓨터와 논리 또는 실제 분리하는 것으로 정의됩니다. 보안 제한 사항은 조직 내에 있는 직원의 일상 업무에 항상 영향을 미칩니다. 솔루션의 일환으로 도입된 변경은 도메인에 있는 컴퓨터가 서로 또는 신뢰할 수 없는 컴퓨터와 통신하는 방식을 변경하게 됩니다. 이 솔루션은 프로젝트 팀이 실행 가능성을 계획하고 조사할 시간이 필요하며 IT 지원 직원을 교육하고 최소한의 직원 인식 프로그램도 제공해야 합니다. 네트워크 트래픽에 제공되는 추가 보안 서비스를 사용하려면 경우에 따라 추가 서버 메모리나 하드웨어 가속 네트워크 카드가 필요할 수도 있습니다. 또한 동일하거나 비슷한 격리 목표를 달성하기 위해 다른 솔루션을 사용할 수도 있습니다. 따라서 솔루션이 비즈니스에 제공하려고 하는 금전적 가치를 평가하는 것이 중요합니다.

규정 준수

많은 개인 정보가 컴퓨터에 저장되기 때문에 데이터 프라이버시에 대한 중요성도 커졌습니다. 고객 및 직원 정보에 대한 액세스를 제어하는 것은 더 이상 좋은 업무 관행으로만 간주되지 않습니다. 해당 국가의 법률에 따라 기밀 정보를 보호하지 못하는 조직은 상당한 재정 및 법적 책임을 감수해야 할 수 있습니다. 예를 들어, 미국에서 운영되는 조직은 다음 규정의 요구 사항을 하나 이상 충족해야 할 수 있습니다.

• Federal Information Security Management Act(FISMA)

• Sarbanes-Oxley Public Company Accounting Reform and Investor Protection Act

• Gramm-Leach-Bliley Financial Services Modernization Act(GLBA)

• The Health Insurance Portability and Accountability Act(HIPAA)

HIPAA는 의료 조직이 ePHI(전자 개인 의료 정보)를 처리하는 방법에 대한 엄격한 지침을 지정하는 보안 규칙을 갖고 있습니다. HIPAA가 특정 기술을 의무화하거나 권장하지는 않지만 어떤 기능을 준수해야 하는지와 ePHI에 대한 위험을 어떻게 완화하는지를 지정합니다. 다음 HIPAA 섹션의 요구 사항을 해결하려면 기술적인 보호 수단으로 IPsec 보호를 통해 도메인 또는 서버 격리의 사용을 평가해야 합니다.

• 액세스 제어 164.312(a)(1) 그룹 정책 인증을 사용하여 신뢰할 수 있는 컴퓨터에 대한 인바운드 네트워크 액세스를 보호하고 암호화를 사용하여 네트워크 트래픽의 노출로부터 EPHI를 보호합니다.

• 감사 제어 164.312(b) 컴퓨터가 어느 컴퓨터와 통신하는지 감사합니다.

• 무결성 164.312(c)(1) ePHI가 저장된 컴퓨터에 대한 인바운드 네트워크 액세스를 승인되고 신뢰할 수 있는 컴퓨터와 사용자의 특정 그룹으로만 제한합니다. 또한 응용 프로그램 연결에서 모든 네트워크 패킷에 대한 무결성과 인증을 제공함으로써 네트워크 전송 동안 ePHI가 변경되는 것을 방지합니다.

• 개인 또는 엔터티 인증 164.312(d) 다른 신뢰할 수 있는 컴퓨터에 대한 인바운드 네트워크 액세스에 대해 신뢰할 수 있는 컴퓨터의 인증과 승인을 요구합니다.

• 전송 보안 164.312(e)(1) 인증, 무결성 및 암호화를 제공합니다.

흔히 SSL(Secure Sockets Layer) 및 TLS(Transport Layer Security)를 사용하여 이러한 요구 사항을 충족시킬 수 있습니다. 예를 들어, 응용 프로그램은 Microsoft .NET 기술을 SSL/TLS와 함께 사용하여 HIPAA 보안 규정을 충족시킬 수 있습니다. 자세한 내용은 "Healthcare Without Boundaries: Integration Technology for the New Healthcare Economy(영문)"(www.microsoft.com/Resources/Healthcare/HealthcareEconomy.aspx)를 참조하십시오.

그러나 응용 프로그램 통신은 SSL/TLS 사용 및 알고리즘 제어를 적절히 통합해야 합니다. IPsec 격리 솔루션의 주요 장점은 모든 응용 프로그램은 물론 호스트 컴퓨터 운영 체제를 보호하며 기존의 응용 프로그램에 대한 네트워크 트래픽 보안을 제공할 수 있다는 점입니다. 자세한 내용은 이 장 뒷부분의 "SSL/TLS과 IPsec의 비교" 섹션을 참조하십시오.

이 솔루션의 미국 정보 규정 준수

2003년 12월 16일 미국 OMB(Office of Management and Budget)는 "E-Authentication Guidance for Federal Agencies"라는 주제에 대한 의사록을 공개했습니다. 자료는(https://www.whitehouse.gov/omb/memoranda/fy04/m04-04.pdf)를 참조하십시오. 이 의사록은 인증 손상 위험 수준이 전자적 인증(e-authentication)이 요구하는 수준에 해당하는지 지정합니다.

NIST 특별 호 800-63, "Electronic Authentication Guideline: Recommendations of the National Institute of Standards and Technology"는 인증 수준 1-4의 기술 요구 사항을 명시합니다. 많은 경우 강력한 수준(3 및 4)의 사용자 인증을 사용하려면 응용 프로그램을 다시 작성하거나 교체해야 합니다. 전체적인 보안 위험을 줄이려면 매우 민감한 정보에 액세스하는 데 비용이 적은 사용자 인증 수준을 사용할 수 있습니다. Windows 플랫폼에서 서버 및 도메인 격리 솔루션은 응용 프로그램 계층에서 사용자 인증 전에 신뢰할 수 있는 컴퓨터 인증의 초기 계층, 액세스 제어, 네트워크 트래픽 인증 및 암호화를 추가합니다. 따라서 서버 및 도메인 격리 솔루션은 응용 프로그램 변경에 대한 요구 사항을 줄이거나 지연시키고 위험 관리 요구를 준수하는 데 도움을 줄 수 있습니다.

정보 보증 제품에 대한 정부 규정을 준수할 수 있도록 Microsoft는 여러 인증 프로세스를 제공할 것을 약속합니다. Windows 2000은 ALC_FLR.3 Systematic Flaw Remediation으로 보완된 IT 보안 평가에 대한 공통 기준(ISO 표준 15408) 평가 보증 수준 4(EAL4)를 충족한다는 인증을 받았습니다. 이 인증은 운영 체제 및 민감한 데이터 보호 범주 모두에 적용됩니다.

참고: 이 문서 작성 당시 Windows XP 및 Windows Server 2003 플랫폼은 인증 중이었습니다.

또한 Windows 2000, Windows XP 및 Windows Server 2003 IPsec 암호화 구성 요소는 FIPS 140-1 암호화 요구 사항을 충족한다는 인증을 받았습니다. 따라서 서버 및 도메인 격리 솔루션은 군대, 정부 및 관련 IT 환경에 사용할 수 있습니다. 자세한 내용은 다음 링크를 참조하십시오.

• NSTISSP No. 11 Fact Sheet: National Information Assurance Acquisition Policy(https://niap.nist.gov/cc-scheme/nstissp\_11\_revised\_factsheet.pdf)

• Validated Products List(by Technology Type)(https://niap.nist.gov/cc-scheme/vpl/vpl\_type.html)

• Overview: Windows 2000 Common Criteria Certification (영문)(www.microsoft.com/technet/security/prodtech/Windows2000/w2kccwp.mspx)

• FIPS 140 Evaluation (영문)(www.microsoft.com/technet/archive/security/topics/issues/fipseval.mspx

이 절의 정보는 미국에서 운영하는 조직에 적용됩니다. 그러나 관련 규정은 1998년 European Union Data Protection Directive 및 캐나다의 Personal Information Protection and Electronic Documents Act(PIPEDA) 같은 법령이 보여주는 것처럼 전세계에서 출현하고 있습니다. 둘 모두 ID 관리와 데이터 개인 정보에 관한 엄격한 지침을 부과합니다.

IT 인프라의 비즈니스 위험 평가

비즈니스 위험 평가는 비즈니스가 IT 인프라에 어떻게 종속되는지 식별해야 합니다. IT 보안 위험 평가는 정보 무결성과 서비스 안정성에 대한 위험을 식별하고 우선 순위를 지정합니다. 보안 위험 평가는 이러한 위험을 왜 해결해야 하며 해결되지 않은 위험과 관련된 비용을 평가해야 하는 명확한 이유를 제공해야 합니다. 비용 추정치는 각 문제에 대한 다른 기술 솔루션을 평가하는 데 매우 중요합니다. 단일 솔루션이 위험을 100% 해결하지 못하기 때문에 각 솔루션을 다른 솔루션 및 관련 비용과 비교하십시오.

의사 결정권자는 바이러스와 웜 감염의 네트워크 전파로 인해 저하되었거나 손실된 서비스의 위험을 줄이는 관점에서 격리 솔루션의 비용을 평가하길 원할 수 있습니다. 일부 조직의 경우 고부가 데이터에 대한 성공적인 해커 공격의 비즈니스 영향 및 비용을 더 중요하게 생각합니다.

참고: 일부 국가와 주에서는 모든 보안 위반을 그 영향 하에 있는 고객에게 보고하도록 법으로 요구하고 있습니다. 조직에 속하는 특정 법률 문제에 대해서는 해당 정부 기관이나 법률 담당자에게 문의하십시오.

보안 사건의 총 비용을 예측하려면 다음 범주를 가이드로 삼으십시오.

• 서비스 손실로 초래되는 비용. 네트워크 서버에서 서비스 손실로 초래되는 총 비용을 확인하려면 다음 각 항목의 개별 비용을 모두 더하십시오.

  • 지원 직원이 필요로 하는 사건 대응 시간

  • 응용 프로그램 서비스 중단으로 인한 수익 손실

  • 내부 생산성 손실

• 정보 도난으로 초래되는 비용. 내부 네트워크 서버에서 정보 도난으로 초래되는 총 비용을 확인하려면 다음 각 항목의 개별 비용을 모두 더하십시오.

  • 정보 개발에 필요한 지적 재산권의 손실

  • 도난 사실이 공개되는 경우 고객 불신으로 인한 모든 제품에 대한 미래 수익의 손실

  • 도난 사실이 공개되는 경우 투자자 불신으로 인한 시장 가치의 손실

  • 마케팅과 개발에 필요한 내부 대응 시간

  • 내부 대응 노력으로 인한 수익 기회의 손실

  • 외부인이 비즈니스, 직원 또는 고객에 대해 정보의 악의적인 사용을 완화하는 데 필요한 시간

• 서버에서 관리 자격 증명의 손상으로 초래되는 비용. 내부 네트워크 서버에서 관리 자격 증명의 손상으로 초래되는 총 비용을 확인하려면 다음 각 항목의 개별 비용을 모두 더하십시오.

  • 공격에 대응하고 서버를 교체하는 데 필요한 내부 노력

  • 서버에서 관리 자격 증명의 손상으로 가능해진 다른 컴퓨터에 대한 공격의 내부 완화

• 법률 또는 규제 후속 조치로 초래되는 비용. 법률 후속 조치에 대한 요구 사항으로 초래되는 총 비용을 확인하려면 다음 각 항목의 개별 비용을 모두 더하십시오.

  • 공격자를 확인할 수 있지만 회사가 재판에서 패소할 경우 법률 처리 비용

  • 공격자를 확인할 수 있고 회사가 재판에서 승소했지만 피고측이 재판에서 부과한 손해 배상을 지불할 수 없는 경우 법률 처리 비용

  • 규제 벌금 , 감사, 제약 및 현재 비즈니스 환경을 재설정하기 위한 기타 성실한 노력의 비용

정보 보안을 위한 장기간 방향에 투자

Microsoft Network Access Protection(NAP) 프로그램은 네트워크에 또는 서로 간에 연결되는 장치가 정책을 준수하도록 확실하게 제어하는 장기간 방향을 설정합니다. 원격 액세스 차단과 서버 및 도메인 격리는 이 방향으로 현재 Windows 2000 및 이후 플랫폼에 구현할 수 있는 두 가지 부분입니다. 주변 및 내부 격리 기능 두 가지를 함께 사용함으로써 조직은 신뢰할 수 없는 컴퓨터와 손상된 사용자 자격 증명으로부터 감염되고 기타 공격을 받지 않도록 상당히 방어해 줍니다.

NAP 프로그램에 대한 자세한 내용은 Network Access Protection (영문) 웹 사이트(www.microsoft.com/nap)를 참조하십시오.

VPN(가상 사설망) 및 차단 제어 목록에 대한 자세한 내용은 Virtual Private Networks for Windows Server 2003 웹 사이트(www.microsoft.com/vpn)를 참조하십시오.

Windows의 향후 릴리스에서 Microsoft는 보다 관리 용이하고 포괄적인 네트워크 액세스 보호를 제공할 계획입니다. 자세한 내용은 "Introduction to Network Access Protection (영문)" 백서(www.microsoft.com/windowsserver2003/techinfo/overview/napoverview.mspx)를 참조하십시오.

페이지 위쪽

신뢰할 수 있는 컴퓨터 확인

트러스트 및 컴퓨터에 연결하는 방법에 대한 논의는 서버와 도메인 격리 주제의 중요한 부분입니다. 말하자면 격리는 네트워크 수준의 액세스를 누구에게 허용할지를 결정하기 위해 신뢰할 수 있는 특정 호스트를 위한 기능입니다. 따라서 원격 컴퓨터가 연결(예: 무선, LAN, 인터넷)의 가장 끝에 어떻게 연결되는지에 관계 없이, 원격 컴퓨터는 IPsec을 사용하여 대상 컴퓨터와 트러스트를 협상하고 TCP/IP 트래픽의 종단간 연결을 보호해야 합니다. 이 종단간 보안 모델은 다른 링크 기반 네트워크 액세스 제어 및 보안 기술(예: VPN, 802.1x, 802.11 WEP)이 제공하지 못하는 네트워크 통신 수준의 보호를 제공합니다. 사용자 자격 증명의 도난, 손상 또는 오용으로부터 보호하기 위해서는 먼저 원격 컴퓨터를 신뢰하는 것이 중요합니다.

이 솔루션의 컨텍스트에서 트러스트는 조직이 특정 컴퓨터가 알려진 상태에 있고 조직이 합의하는 최소 보안 요구 사항을 충족시킨다고 합리적으로 보증하는 기능입니다. 이러한 요구 사항은 보안에 중점을 두고 비즈니스와 관련되었거나 이 둘의 조합 등, 본질적으로 기술적일 수 있습니다. 이러한 요구 사항은 다른 컴퓨터와의 통신을 설정하기 전에 컴퓨터가 있어야 하는 상태도 설명합니다. 신뢰할 수 있는 컴퓨터에 대한 사양은 필요한 보안 업데이트와 서비스 팩의 업데이트된 목록을 포함하는 것이 좋습니다. 가장 좋은 방법은 Windows Update 서비스 또는 Microsoft Systems Management Server(SMS) 같은 패치 관리 시스템을 사용하여 이러한 업데이트를 관리하고 실행하는 것입니다. 이러한 업데이트를 적용하는 간격은 조직이 각 업데이트를 테스트하고 배포하는 데 필요한 기간에 따라 다릅니다. 그러나 최적의 보안을 위해 환경에 대해 가능하면 빨리 업데이트를 적용해야 합니다.

신뢰할 수 없는 컴퓨터는 이러한 보안 요구 사항을 총족시킬 수 없는 컴퓨터입니다. 일반적으로 컴퓨터는 관리되지 않거나 보안되지 않는 경우 신뢰할 수 없는 것으로 간주됩니다.

서버 및 도메인 격리 솔루션의 목적은 조직의 자산을 보호하는 도구, 기술 및 프로세스를 구현하여 신뢰할 수 있는 리소스로 인한 위험을 완화하는 것입니다. 솔루션은 다음을 보장합니다.

• 신뢰할 수 있는 것으로 간주되는 컴퓨터(특정 보안 요구 사항을 충족시키는 컴퓨터)만 신뢰할 수 있는 리소스에 액세스할 수 있습니다.

• 신뢰할 수 없는 컴퓨터는 업무상 특별히 필요한 이유가 위험을 정당화하는 것으로 식별되지 않는 경우 신뢰할 수 없는 리소스에 대한 액세스는 거부됩니다.

기본적으로 신뢰할 수 있는 리소스에게는 다른 신뢰할 수 있는 리소스의 네트워크 수준 액세스만 허용해야 합니다. 또한 신뢰할 수 있는 환경 내에서 특정 사용자와 컴퓨터에 대해 허용 또는 거부 권한 및 ACL을 사용하여 네트워크 계층에서 액세스를 제어하십시오.

이 신뢰할 수 있는 환경을 만들고 이 환경 내/외부에서 허용되는 통신을 제한함으로써 비즈니스는 데이터 자산의 전체적인 위험을 줄일 수 있습니다. 추가 비즈니스 이점은 다음과 같습니다.

• 네트워크의 특정 영역에서 데이터 흐름에 대한 높은 수준의 이해

• "신뢰할 수 있는" 상태를 얻는 데 사용되는 보안 프로그램의 개선된 채택

• 최신 호스트 및 네트워크 장치 인벤토리 작성

예를 들어, 신뢰할 수 있는 컴퓨터는 Woodgrove 은행 시나리오에서는 Woodgrove가 소유하고 관리하는 도메인에 있는 Windows 2000 서비스 팩(SP) 4, Windows XP SP2 이상 또는 Windows Server 2003 이상을 실행하는 모든 컴퓨터를 포함합니다. 또한 그룹 정책을 사용하여 보안 설정을 제공하는 Windows 2000 이상을 실행하는 모든 컴퓨터를 포함한 신뢰할 수 있는 자산은 IT 직원이 정기적으로 검사하여 최소 요구 사항을 지속적으로 충족시킬 수 있도록 하고 있습니다. 또한 IT는 신뢰할 수 있는 자산이 특별한 보안 소프트웨어(예: 바이러스 백신 소프트웨어)는 Woodgrove 자체 보안 요구 사항에 따라 중앙에서 제어할 수 있도록 합니다. 솔루션의 컨텍스트 내에서 트러스트할 수 있는 것으로 간주되는 컴퓨터에 대한 자세한 내용은 이 가이드의 3장 "IT 인프라의 현재 상태 확인"에서 "트러스트 확인" 섹션을 참조하십시오.

관리되지 않는 컴퓨터

관리되지 않는 컴퓨터는 IT 부서가 보안 설정을 중앙에서 제어하지 않는 컴퓨터입니다. 또한 필수 보안 관리 기능을 제공하지 않는 컴퓨터도 관리되지 않는 것으로 간주됩니다. 관리되지 않는 컴퓨터는 액세스하려는 신뢰할 수 있는 컴퓨터의 보안 요구 사항을 조직이 충족한다는 보장을 할 수 없기 때문에 신뢰할 수 없는 것으로 간주됩니다.

보안되지 않는 컴퓨터

신뢰할 수 없는 컴퓨터는 필요한 보안 수준이 없거나 그렇게 구성할 수 없는 운영 체제를 사용하는 컴퓨터도 포함됩니다. 보안되지 않는 컴퓨터는 다음 4가지 그룹 중 하나에 속할 수 있습니다.

• 낮은 운영 체제 보안 등급. 이 그룹화는 필요한 보안 인프라 등급이 부족한 운영 체제를 실행하는 컴퓨터에 적용됩니다. 이러한 운영 체제는 Windows 9x, Microsoft Windows NT® 및 Windows CE 등이 있습니다. 일반적으로 보안 인프라에 필요한 기능은 Windows XP 및 Windows Server 2003 같은 최신 운영 체제에서 제공됩니다. 이러한 기능에는 액세스 제어(예: 파일 권한), 강력한 인증 및 승인의 패킷 암호화, 네트워크 보안 기능, 다른 수준의 권한(사용자 및 관리자), 보안 설정의 중앙 관리 지원, 데이터의 기밀성 및 무결성 보장 지원, 다른 보안 기술 지원(예: Kerberos 인증 프로토콜 및 인증서 서비스)을 포함합니다.

• 잘못 구성됨. 대부분의 보안 운영 체제조차 공격에 노출되도록 구성할 수 있습니다. 이런 컴퓨터는 보안되지 않은 장치로 간주해야 합니다.

• 필요한 업데이트 수준 부족. IT 보안은 꾸준히 발전하는 영역이기 때문에 대부분의 소프트웨어 공급업체는 최신 취약점을 적절히 해결할 수 있도록 소프트웨어 업데이트를 출시합니다. 조직은 호스트를 신뢰할 수 있는 것으로 간주해야 하는 최소 수준의 업데이트를 식별할 수 있습니다. 이런 경우 업데이트가 되지 않은 컴퓨터는 보안되지 않는 장치로 간주됩니다.

• 손상되었을 수 있는 신뢰할 수 있는 컴퓨터. 신뢰할 수 있는 컴퓨터는 대개 신뢰할 수 있는 공격자에 의해 손상될 가능성이 있습니다. 신뢰할 수 있는 컴퓨터가 손상되면 컴퓨터를 복구하여 신뢰할 수 있는 상태로 만들 때까지는 더 이상 신뢰할 수 있는 것으로 간주되지 않습니다. 컴퓨터 사용자를 트러스트할 수 없으면 해당 컴퓨터도 트러스트할 수 없다는 것을 이해하는 것이 중요합니다.

4개의 그룹 중 하나에 속하는 장치는 조직이 어떤 방식으로든 장치가 손상되지 않았음을 보증할 수 없기 때문에 신뢰할 수 없는 것으로 분류됩니다. 따라서 액세스를 시도하는 신뢰하는 컴퓨터에 상당한 위험이 됩니다.

서버 및 도메인 격리를 사용하여 직접 달성할 수 있는 목표

전반적으로 서버 및 도메인 격리의 목표는 신뢰할 수 없는 컴퓨터가 신뢰할 수 있는 컴퓨터에 무단 액세스로 인한 위협을 완화하는 것입니다. 현재의 플랫폼에서 인바운드 네트워크 액세스를 제한하여 원격 컴퓨터를 격리하는 기능은 IPsec IKE(인터넷 키 교환)를 사용하여 도메인 구성원 컴퓨터로 성공적으로 인증하는 기능을 기반으로 합니다. 사용자 인증은 컴퓨터를 성공적으로 인증하고 IPsec 보안 연결이 두 컴퓨터 사이의 모든 상위 계층 프로토콜과 응용 프로그램 연결을 보호한 후에만 수행됩니다. 따라서 서버 및 도메인 격리를 사용하여 다음 목표를 달성할 수 있습니다.

• 네트워크 수준에서 신뢰할 수 없는 장치로부터 신뢰할 수 있는 도메인 구성원 컴퓨터를 격리합니다.

• 내부 네트워크의 신뢰할 수 있는 도메인 구성원에 대한 인바운드 네트워크 액세스가 다른 신뢰할 수 있는 도메인 구성원의 사용을 요구하는지 확인합니다.

• 신뢰할 수 있는 도메인 구성원이 도메인 구성원 컴퓨터의 특정 그룹으로 인바운드 네트워크 액세스를 제한할 수 있습니다.

• 신뢰할 수 있는 도메인에 경계를 제공하는 소규모 호스트의 네트워크 액세스 위험에 집중합니다. 여기서는 최대 위험 완화 전략(예: 로깅, 모니터링 및 침입 탐지)을 보다 효과적으로 적용할 수 있습니다.

  • 공격하기 전에 사전 모니터링과 준수 노력에 집중하고 우선 순위를 지정합니다.

• 공격 이전, 공격 중, 공격 이후의 개선 및 복구 노력에 집중하고 속도를 높입니다.

• 응용 프로그램과 상위 계층 프로토콜(예: 서버 메시지 블록 [SMB] 또는 NetBT)을 변경할 필요 없이 강력한 패킷당 상호 인증, 무결성, 재생 방지 및 암호화를 추가하여 보안을 개선합니다.

서버 및 도메인 격리는 신뢰할 수 있는 네트워크 액세스 및 공격으로부터 신뢰할 수 있는 호스트의 모든 네트워크 서비스를 보호하려고 합니다. 서버 및 도메인 격리를 사용하면 호스트가 다른 종류의 네트워크 기반 보안의 결점과 실수 및 사용자 자격 증명 보호의 결점에 덜 취약해집니다. 끝으로 서버 및 도메인 격리 솔루션은 비슷한 네트워크 위협을 해결하지만 다른 종류의 네트워크 기반 보안 기술과는 다른 수준의 네트워크 액세스 제어 및 트래픽 보호를 제공합니다. 예를 들어, 서버 및 도메인 격리 솔루션은 호스트와 사용자 도메인 ID를 기반으로 하는 신뢰할 수 있는 특정 호스트 컴퓨터에 대한 인바운드 액세스를 승인하므로 승인된 해당 통신에 대해 종단간 보호를 제공할 수 있습니다. 그러나 대부분의 네트워크 기반 보안 기술은 사용자 ID만 지원합니다.

서버 및 도메인 격리를 사용하여 해결되는 위험

서버 및 도메인 격리가 해결하는 큰 위험 한 가지는 신뢰할 수 없는 컴퓨터가 신뢰할 수 있는 컴퓨터에 무단 액세스함으로 인해 발생하는 위험입니다. 특정 보안 위험은 솔루션만을 사용하여 완전히 완화시킬 수 없습니다. 추가 보안 프로세스와 기술을 사용하여 이러한 보안 위험을 해결하지 못하면 격리 솔루션의 보안 이점이 궁극적으로 무효가 됩니다. 이 솔루션으로 직접 완화되지 않는 심각한 위험의 예는 다음과 같습니다.

• 신뢰할 수 있는 사용자가 민감한 데이터를 홈치거나 공개하는 위험. 격리 솔루션은 컴퓨터가 내부 네트워크 내에서 통신하는 것을 제어할 수 있지만 관리 사용자는 이러한 제어를 파괴할 수 있습니다. 이 솔루션은 신뢰할 수 있는 사용자가 민감한 데이터를 부적절하게 복사하거나 유포하는 위험은 완화시키지 못합니다.

• 신뢰할 수 있는 사용자 자격 증명의 손상 위험. 관리자는 대부분의 트래픽을 IPsec으로 암호화하여 로그온 네트워크 정보를 보호할 수 있지만 도메인 컨트롤러에 대한 사용자 로그온 트래픽의 IPsec 보호는 지원되지 않습니다. 서버 및 도메인 격리는 공격자가 신뢰할 수 있는 호스트를 사용하여 다른 신뢰할 수 있는 호스트를 공격하도록 할 수 있습니다. 또한 공격자는 신뢰할 수 있는 호스트(예: 도메인 컨트롤러 및 DNS 서버)에서 IPsec을 사용하여 제외된 호스트 또는 신뢰할 수 없는 컴퓨터에서 인바운드 연결을 받는 호스트의 손상된 자격 증명을 사용하여 신뢰할 수 있는 호스트를 공격할 수 있습니다. 관리자는 신뢰할 수 있는 호스트가 신뢰할 수 없는 호스트와 아웃바운드 통신을 수행하는 것을 제어할 수 있지만 이 솔루션은 신뢰할 수 있는 사용자가 암호를 노출시키도록 속이는 공격자에게 자신의 자격 증명을 잃는 위험은 완화시킬 수 없습니다.

• 악의적인 사용자. 액세스 권한을 남용하는 적법한 사용자도 이 범주에 속합니다. 예를 들어, 이 솔루션은 자신의 작업 역할 때문에 액세스 권한을 가진 신뢰할 수 있는 호스트를 사용하여 정보를 홈치려고 하는 불만을 품은 직원의 위험을 완화할 수 없습니다. 공격자가 신뢰할 수 있는 호스트 컴퓨터에 실제로 액세스하게 되면 무단으로 관리 액세스 권한을 얻을 수 있습니다. 관리자는 서버 및 도메인 격리 보호 기능을 해제할 수 있기 때문에 관리자(워크스테이션 또는 구성원 서버의 엔터프라이즈 관리자, 도메인 관리자 및 로컬 관리자 포함)의 기본 액세스 범위와 수를 제한하는 것이 중요합니다.

• 신뢰할 수 없는 컴퓨터가 다른 신뢰할 수 없는 컴퓨터에 액세스하는 위험. 이 솔루션은 신뢰할 수 없는 컴퓨터를 공격하기 위해 공격자가 사용하는 신뢰할 수 없는 컴퓨터의 위험을 완화할 수 없습니다.

• 신뢰할 수 없는 컴퓨터가 신뢰할 수 있는 특정 컴퓨터를 공격하는 위험. 서버 및 도메인 격리 솔루션은 신뢰할 수 있는 호스트를 보호하도록 설계되었습니다. 그러나 실제로 배포할 때는 이 솔루션은 여러 가지 이유로 다른 신뢰할 수 있는 호스트에 신뢰할 수 있는 액세스를 협상하는 데 IPsec을 사용하지 않는 신뢰할 수 있는 도메인 구성원을 식별합니다. 이러한 신뢰할 수는 있지만 IPsec이 설정되지 않은 컴퓨터는 예외 목록의 구성원(예: 도메인 컨트롤러)입니다. 또한 이 솔루션은 신뢰할 수 있는 컴퓨터가 액세스하는 신뢰할 수 있는 특정 호스트를 식별하여 격리 도메인에 대한 경계 서비스를 제공합니다. 제외된 호스트나 경계 호스트의 제어 권한을 얻은 공격자는 격리 도메인 내의 다른 모든 신뢰할 수 있는 호스트를 공격할 수 있습니다.

• 신뢰할 수 있는 호스트의 보안 준수 보장. 이 솔루션은 신뢰할 수 있는 호스트를 정의하는 방법을 제안하며 특히 이러한 호스트는 Windows 2000 또는 Windows Server 2003 도메인의 구성원이 되어야 합니다. 이 솔루션은 성공적인 트러스트를 설정하는 데 IPsec IKE 도메인 기반(Kerberos) 인증만 사용하므로 연결은 IPsec으로 보호됩니다. 시간이 지날수록 신뢰할 수 있는 호스트는 여러 가지 이유로 신뢰할 수 있는 호스트의 전체 기준을 충족시키지 못하지만 여전히 도메인 구성원으로 인증될 수 있습니다. 도메인 구성원이 신뢰할 수 있는 호스트의 정의를 준수하도록 하는 것은 조직의 IT 관리 시스템과 프로세스의 책임입니다.

이러한 문제를 해결하기 위해 권장하는 보안 강화 구성 및 템플릿을 Woodgrove 연구소 환경에 있는 모든 시스템에 적용했습니다. Windows 플랫폼 보안 기술 및 관리 절차에 대한 자세한 내용은 TechNet 보안 리소스 센터 웹 사이트(www.microsoft.com/korea/technet/security/default.asp)를 참조하십시오.

페이지 위쪽

서버 및 도메인 격리가 내 전체 네트워크 보안 전략에 어떻게 적용됩니까?

서버 및 도메인 격리는 네트워크 및 컴퓨터를 포함한 연결된 장치를 보호하는 다른 사전 및 사후 행동적 전략 메커니즘과 함께 사용됩니다. 보안은 여러 계층을 요구하는 다각적인 문제이기 때문에 심층 방어와 그 이면의 수준 높은 아이디어의 개념을 검토하는 데 도움을 줍니다. 포괄적인 네트워크 보안 전략은 적절한 기술을 적용하여 단일 오류 지점에 크게 의존하지 않는 우선 순위가 가장 높은 위험을 완화합니다. 예를 들어, 구성 오류나 악의적인 직원으로 인해 경계 보안이 실패할 경우 내부의 신뢰할 수 호스트에서 어떤 다른 방어 계층이 네트워크 공격과 감염을 중지시킵니까? 공격자가 미국의 한 회의실에서 이더넷 포트에 연결할 때 무엇이 유럽이나 아시아에 있는 모든 신뢰할 수 있는 호스트에 대한 공격을 중지시킵니까?

심층 방어

심층 방어란 컴퓨터를 보호하기 위해 단일 메커니즘에 의존하는 대신 계층적 접근 방식을 사용하는 것으로 설명할 수 있습니다. 계층 방어를 위해서는 먼저 감염 소스 및 조직을 공격할 준비를 갖춘 상대방을 이해하는 것은 물론 누구를 표적으로 하는지에 대해 생각할 필요가 있습니다. 예를 들어, 상대방은 개발 중인 신제품이나 서비스에 대한 정보를 빼내도록 스파이 기업을 고용한 경쟁사일 수 있습니다. 공격자와 가능한 대상을 이해한 후에는 손상될 수 있는 컴퓨터에 대해 사건 대응 절차를 적용해야 합니다. 이러한 방법에는 승인, 인증, 기밀성 및 거부 방지 등이 있습니다. 보호-검색-대응이라는 업계 최적의 방법을 따르는 조직은 공격이 발생할 것이라는** **것을 깨닫고 이를 신속하게 검색하고 서비스 중단이나 데이터 손실을 최소화하는 것이 가장 중요하다는 것을 이해하고 있습니다. 보호-검색-대응 방법을 사용하면 공격 가능성이 높으므로 공격이 발생하지 않도록 예방하는 것보다 데이터와 자산을 보호하는 데 더 많은 노력을 기울여야 한다는 것을 인식할 수 있습니다. 일반적으로 공격이 발생한 후에 사후 처리하는 것보다 공격을 방어하는 것이 비용면에서 더 효율적입니다.

모든 정보 보장 메커니즘은 사람, 프로세스 및 기술에 초점을 맞춥니다. 격리는 다음과 같은 세 가지 영역을 모두 포함합니다. 위험, 요구 사항 및 보호할 필요가 있는 자산에 대한 철저한 이해, 사람과 프로세스 요소를 포괄하는 이해를 바탕으로 달성됩니다. 또한 격리를 위해서는 네트워크 및 장치의 현재 상태, 컴퓨터가 서로 상호 작용하는 방법을 정의하는 통신 요구 사항 및 이러한 요구 사항을 제한하여 보안과 통신 사이의 적절한 균형을 유지할 수 있는 보안 요구 사항을 숙지하고 있어야 합니다.

이 주제에 대한 자세한 설명은 미국 National Security Agency의 "Defense in Depth" 백서(https://www.nsa.gov/snac/support/defenseindepth.pdf)를 참조하십시오.

이 프로세스에 대한 자세한 내용과 실제 설계 예제는 TechNet의 Windows Server System Reference Architecture (영문) 가이드의 Enterprise Design 장(www.microsoft.com/technet/itsolutions/wssra/raguide/Security\_Architecture\_1.mspx)을 참조하십시오.

다음 그림은 논리 격리 솔루션이 Windows Server System Reference Architecture에 사용되는 심층적인 방어 접근 방법에 어떻게 적용되는지 보여줍니다.

그림 2.1 논리 격리를 사용한 심층적 방어

이 그림에서 이해해야 하는 한 가지 중요한 사항은 보안의 논리 격리 계층은 네트워크 통신을 제어하여 호스트 컴퓨터를 직접 보호하는 것을 목표로 하고 있다는 점입니다. 이 역할은 호스트 기반 방화벽의 역할과 거의 비슷합니다. 그러나 포트에 대한 허용과 차단 서비스를 제공하는 호스트 방화벽 대신 IPsec은 허용과 차단 서비스를 제공하고 신뢰할 수 있는 네트워크 액세스 서비스를 협상합니다. 액세스 권한이 부여되면 IPsec은 두 컴퓨터 사이의 모든 패킷을 보호할 수 있습니다. 이 솔루션의 컨텍스트 내에 정의된 대로 서버 및 도메인 격리와 같은 "논리 격리" 솔루션은:

• 라우터 같은 네트워크 장치를 보호하지 못합니다.

• 어떤 컴퓨터가 원격 액세스 VPN 연결을 설정하거나 네트워크 기반 방화벽에서 공급하는 보호를 제공하도록 허용할지 지정하는 등 실제 네트워크 액세스 제어를 제공하지 않습니다.

• 액세스 제어의 경우 802.1x 및 무선 링크의 경우 802.11 WEP 암호화 같은 네트워크 링크를 보호하지 못합니다. 그러나 IPsec은 원본과 대상 인터넷 프로토콜(IP) 주소 사이의 경로에 있는 모든 네트워크 링크에서 종단간 보호를 제공합니다.

• 격리 솔루션에 참가하는 호스트만 보호하고 네트워크에 있는 모든 호스트에 대한 보호는 제공하지 못합니다.

• 전자 메일과 .NET 메시징 흐름을 통과하는 종단간 경로 및 클라이언트와 웹 서버 대상 사이에서 여러 번 프록시를 수행할 수 있는 HTTP(Hypertext Transmission Protocol) 요청 같은 응용 프로그램 수준 경로를 보호하지 못합니다.

IT 보안 위험 완화 분석의 일부로 각 계층에서 보안을 고려해야 합니다. 예를 들어, 특정 컴퓨터가 논리 격리 계층에 있는 서버에 대한 액세스를 허용하지 않는 경우 어떤 사용자가 해당 컴퓨터에 로그온 여부는 문제가 되지 않습니다. 관리자를 포함한 모든 사용자의 서버에 대한 액세스가 거부됩니다.

SSL/TLS 및 IPsec의 비교

IPsec은 SSL/TLS 같은 응용 프로그램 수준 보안을 대체하는 것은 아닙니다. IPsec을 사용하는 장점 중 하나는 변경할 필요 없이 기존의 응용 프로그램에 대해 네트워크 트래픽 보안을 제공할 수 있다는 것입니다. 응용 프로그램이 SSL/TLS를 사용하는 환경에서 IPsec을 사용하면 다음과 같은 이점이 있습니다.

• 신뢰할 수 없는 컴퓨터 및 다른 장치의 네트워크 공격으로부터 모든 응용 프로그램과 운영 체제를 보호하는 데 도움이 됩니다.

• 예를 들어, 모든 eHPI 데이터가 암호화되거나 인증되지 않은 경우처럼 부적절하거나 SSL/TLS의 호환성 없는 사용에 대해 심층 방어 접근 방식을 설정합니다.

• IPsec이 클라이언트와 서버 사이에 상호 트러스트를 설정할 때까지 내부 SSL/TLS 웹 사이트에 로그온하라는 메시지가 표시되지 않기 때문에 트러스트할 수 없는 컴퓨터에 사용자 자격 증명이 들어가는 것이 방지됩니다.

• Windows 레지스트리 설정을 사용하여 규정 호환 SSL/TLS 알고리즘을 선택할 수 없을 때 보안을 제공합니다. Windows 2000, Windows XP 및 Windows Server 2003은 SSL/TLS 알고리즘에 대한 레지스트리 키 제어를 제공합니다. 자세한 내용은 Microsoft 기술 자료 문서 245030, "How to Restrict the Use of Certain Cryptographic Algorithms and Protocols in Schannel.dll"(https://support.microsoft.com/?kbid=245030)에서 설명합니다.

• 인증서를 사용할 수 없는 곳에 보안을 제공합니다.

IPsec은 원본과 대상 IP 주소 사이의 트래픽을 보호합니다. 예를 들어, 웹 프록시를 통해 웹 브라우저에서 웹 서버까지 SSL/TLS는 전체 응용 프로그램 경로를 통해 트래픽을 보호할 수 있습니다.

미국 상무부 표준 미국 표준 기술 연구소(NIST)는 TLS 사용에 대한 지침을 개발 중입니다. 특별 호 800-52, "Guidelines on the Selection and Use of Transport Layer Security"는 연방 정부에서 TLS 구현을 위한 지침입니다. 지침에 대한 자세한 내용은 NIST Computer Security Division 웹 사이트(https://csrc.nist.gov/publications/index.html)를 참조하십시오. IPsec 사용에 대해서는 이와 유사한 지침이 없습니다. 그러나 미국 National Security Agency는 Windows 2000 IPsec 사용에 대한 지침을 발표했습니다. 이러한 가이드는 NSA 웹 사이트(https://nsa2.www.conxion.com/win2k/download.htm)에서 제공합니다. NSA 지침을 충족해야 하는 조직은 NSA 가이드와 함께 이 솔루션의 설계를 평가해야 합니다.

인증서 인증을 사용하는 IPsec은 SSL/TLS와 비슷한 보호를 제공하지만 약간의 차이가 있습니다. Windows IPsec은 TLS가 지원하고 NIST 800-52가 권장하는 암호화 알고리즘의 작은 하위 집합을 지원합니다(예를 들어, 3DES, SHA-1 및 1024비트의 수명이 짧은 Diffie-Hellman). 이 가이드에서 제공하는 솔루션은 인증서 기반 서명 대신 도메인 구성원 사이의 IKE 인증에 대한 Kerberos 프로토콜 서명을 사용합니다. Windows IPsec IKE 협상은 Kerberos 프로토콜과 인증서 기반 인증을 사용하여 컴퓨터 사이에 상호 트러스트를 설정합니다. IKE는 응용 프로그램에 통합되어 있지 않기 때문에 대상 컴퓨터 이름이 응용 프로그램이 연결하려는 컴퓨터인지 확인할 수 없습니다. 따라서 다른 신뢰할 수 없는 호스트가 정교한 끼어들기(man-in-the-middle) 공격을 할 수 있습니다. 그러나 응용 프로그램이 SSL/TLS를 통합하기 때문에 대상 이름이 인증(신뢰)될 뿐만 아니라 예상한 이름과 같은지 확인할 수도 있습니다.

페이지 위쪽

용어 리프레셔

이 장을 계속하기 전에 이 솔루션의 컨텍스트에 자주 등장하는 여러 가지 용어를 검토하는 것이 좋습니다. 이러한 용어에 이미 익숙한 경우 이 장은 건너 뛰어도 좋습니다. 그러나 이러한 용어를 제대로 이해하고 있지 못한 경우 이 가이드의 일부 설명이 혼동될 수 있습니다.

격리 용어

다음 용어는 논리 격리에 고유한 개념입니다. 이 장을 계속하기 전에 이러한 용어를 이해해야 합니다.

• 격리. 다른 컴퓨터로부터 하나 이상의 컴퓨터를 논리적으로 분리하는 것입니다.

• 도메인 격리. 이 용어는 신뢰할 수 있는 컴퓨터를 신뢰할 수 없는 컴퓨터로부터 분리하는 격리의 종류입니다. 컴퓨터는 유효한 자격 증명만 제공하며 IKE를 사용하여 성공적으로 격리됩니다. 도메인은 통신을 보호하려는 두 호스트 사이의 양방향 트러스트를 통해 액세스할 수 있는 트러스트 경로에 있는 도메인입니다.

• 서버 격리. 이 용어는 IPsec 및 "네트워크에서 이 컴퓨터에 액세스" 권한을 사용하여 서버가 신뢰할 수 있는 컴퓨터의 특정 그룹으로 인바운드 액세스를 제한하는 방법을 정의합니다.

• 논리 격리. 네트워크 계층에서 컴퓨터를 격리하기 위해 도메인 격리, 서버 격리 및 NAP(Network Access Protection)를 포함할 수 있는 격리 기술의 폭 넓은 용어입니다.

• 격리 그룹. 동일한 통신 보안 정책, 특히 동일한 인바운드 및 아웃바운드 네트워크 트래픽 요구 사항을 공유하는 신뢰할 수 있는 호스트 컴퓨터의 논리적 그룹입니다. 허용/차단 동작이 있는 IPsec 정책만 사용하거나, 그룹 정책 네트워크 로그온 권한(및 가능하다면 다른 네트워크 구성 또는 연결 설정과 함께)과 조합된 IPsec 협상 보안을 사용하여 격리 그룹의 인바운드 및 아웃바운드 액세스 제어를 구현할 수 있습니다. 개별 응용 프로그램, 네트워크 서비스 및 프로토콜은 해당 계층의 트래픽 요구 사항을 충족시키는 지정된 구성을 갖고 있어야 합니다. 예를 들어, Exchange 서버의 그룹은 인바운드 TCP/IP 연결을 만들기 위해 클라이언트나 서버 컴퓨터가 신뢰할 수 있는 도메인 구성원을 요구합니다. 특정 예외를 가진 비 도메인 구성원에 아웃바운드 TCP/IP 연결을 허용하지 않는 이 그룹을 Exchange Server 격리 그룹이라고 합니다.

• 격리 도메인. 그룹의 구성원이 Windows 도매인의 구성원과 같은 격리 그룹입니다. 도메인이 양방향의 신뢰할 수 있는 도메인인 경우 이러한 도메인의 구성원은 격리 도메인의 일부가 됩니다. 격리 그룹으로서 인바운드 및 아웃바운드 요구 사항은 간단합니다. 인바운드 연결은 다른 신뢰할 수 있는 호스트 도메인 구성원에서만 가능합니다. 서버 격리 그룹에 있는 서버는 격리된 도메인의 일부인 클라이언트를 가질 수 있습니다.

• 네트워크 액세스 그룹. 이 용어는 네트워크 로그온 권한에 대해 그룹 정책 보안 설정을 사용하여 컴퓨터에 대한 네트워크 액세스를 제어하는 데 사용되는 Windows 도메인 보안 그룹을 나타냅니다. 이 그룹은 격리 그룹에 대한 인바운드 액세스 요구 사항을 적용하기 위해 특별히 만들어집니다. 각 격리 그룹의 경우 ANAG(Allow network access group) 및 DNAG(Deny network access group)가 있을 수 있습니다.

• 트러스트. 이 용어는 컴퓨터가 인증 프로세스를 통해 ID의 유효성을 받아들인다는 사실을 정의하는 데 사용됩니다. 도메인 트러스트는 도메인의 모든 구성원이 도메인 컨트롤러를 트러스트하여 ID를 설정하고 해당 ID에 대해 그룹 구성원 정보를 적절히 제거하는 것을 암시합니다. 트러스트는 IPsec을 사용하여 원격 컴퓨터와 통신하는 데 필요합니다. 또한 사용자나 컴퓨터를 받아들일 수 있으며 통신을 수행함에 있어 위험이 적은 것으로 간주됩니다.

• 신뢰할만한 호스트. 이 용어는 조직의 최소 보안 요구 사항을 충족시키도록 구성할 수 있지만 현재는 신뢰할 수 있는 호스트가 될 수 없는 컴퓨터를 식별하는 데 사용됩니다. 신뢰할 수 있는 격리 그룹의 구성원을 계획할 때 어떤 컴퓨터가 신뢰할만한지 아는 것이 중요합니다.

• 신뢰할 수 있는 호스트. 이 용어는 최소한 Windows 2000 보안 도메인의 구성원이고 IPsec 정책을 실행할 수 있는 Windows 2000, Windows XP 또는 Windows Server 2003을 실행하는 플랫폼 컴퓨터에 적용됩니다. 신뢰할 수 있는 호스트는 일반적으로 특정한 추가 관리 및 보안 요구 사항을 충족시키는 것으로 정의됩니다. 호스트 구성을 제어하여 호스트의 보안 위험이 낮고 관리되는 것으로 간주됩니다. 신뢰할 수 있는 호스트는 감염 또는 악의적인 동작이 발생할 가능성이 적습니다. 이 주제에 대한 자세한 내용은 이 가이드 3장, "IT 인프라의 현재 상태 확인"을 참조하십시오.

• 신뢰할 수 없는 호스트. 신뢰할 수 있는 호스트가 아닌 호스트 컴퓨터입니다. 이 컴퓨터는 알려져 있지 않거나 관리되지 않는 구성을 갖고 있습니다. 네트워크에 연결된 경우 호스트(또는 호스트 사용자)가 감염 또는 악의적인 동작의 원본이 되지 않는다는 보장이 거의 없거나 전혀 없습니다.

• 경계 호스트. 신뢰할 수 있는 호스트와 신뢰할 수 없는 호스트 모두의 네트워크 트래픽에 노출되는 신뢰할 수 있는 호스트이므로 다른 신뢰할 수 있는 호스트보다 신중히 모니터링하고 강력한 방어를 수행해야 합니다. 경계 호스트는 나머지 신뢰할 수 있는 호스트에 더 큰 위험을 줄 수 있으므로 가능하면 적어야 합니다.

• 예외. IPsec을 사용하지 않고, 도메인에 가입했거나 가입하지 않은 컴퓨터입니다. 예외는 두 종류가 있습니다. 신뢰할 수 있는 호스트가 이러한 컴퓨터에 IPsec을 사용하지 않도록 주소가 IPsec 정책 "예외 목록"에 포함된 정적 IP 주소를 사용하는 컴퓨터가 있습니다. 그리고 보안 연결을 협상하기 위해 IPsec 정책을 사용하는 것이 면제된 컴퓨터가 있습니다. 후자는 예외 목록에 나타날 수도 있고 나타나지 않을 수도 있습니다. 예외는 신뢰할 수 있는 호스트의 요구 사항을 충족시킬 수 있지만 격리 도메인의 다른 신뢰할 수 있는 호스트와 IPsec으로 보호된 통신을 사용하지 않습니다.

보안 용어

다음 보안 관련 용어를 철저히 이해하고 있어야 합니다.

• 권한. 사람, 컴퓨터 프로세스 또는 장치 액세스 권한을 특정 정보, 서비스 또는 기능에 부여하는 프로세스. 권한은 인증 과정 중에 확인되는 개인의 신원, 컴퓨터, 프로세스 또는 장치 요청 액세스에 의존합니다.

• 인증. 개인, 컴퓨터, 프로세스 또는 장치의 자격 증명을 검증하는 프로세스. 인증에는 요청을 하는 사람, 프로세스 또는 장치가 무엇 또는 누구인지를 입증하는 자격 증명을 제공합니다. 자격 증명의 일반적인 형태는 디지털 인증서에 대한 개인 키, 두 장치에서 관리적으로 구성된 보안(미리 공유한 키), 사용자 또는 컴퓨터 도메인 로그온에 대한 보안 암호 또는 사람의 손가락이나 망막 스캔 같은 생물학적 개체입니다.

• 스푸핑(Spoofing). 이 가이드에서 스푸핑은 공격자가 통신을 중단시키거나 데이터를 가로채려고 시도하는 합법적인 IP 주소를 가장하는 행동을 취합니다.

• 부인 방지. 컴퓨터에서 작업을 수행하는 누군가가 해당 작업을 수행했음을 거짓으로 부인할 수 없다는 것을 보장하기 위해 사용된 기법. 부인 방지는 계좌 이체, 구매 승인 또는 메시지 전송과 같이 사용자나 장치가 특정 조치를 취했음을 부인할 수 없는 충분한 증거를 제공합니다.

• 암호 텍스트. 암호화된 텍스트. 암호 텍스트는 암호화 프로세스의 출력이며 적절한 암호화 키를 사용하여 읽을 수 있는 형태의 일반 텍스트로 다시 변환할 수 있습니다.

• 일반 텍스트(암호화되지 않은 텍스트라고도 함). 암호화되지 않은 형태의 통신 및 데이터.

• 해시. 한 방향 수학 함수(보통 해시 알고리즘이라고 함)를 임의적인 양의 입력 데이터에 적용하여 얻은 고정 크기 결과. 입력 데이터가 변경되면 해시가 변경됩니다. 해시 함수는 두 입력이 같은 출력 해시 값을 생성할 가능성을 크게 낮추도록 선택됩니다. 인증 및 디지털 서명 등 여러 작업에 해시를 사용할 수 있습니다. 메시지 요약이라고도 합니다.

네트워크 용어

다음 용어는 이 솔루션의 네트워크 요소를 나타냅니다.

• 초기자. 다른 컴퓨터와 네트워크 통신을 시작하는 컴퓨터.

• 응답자. 네트워크를 통해 통신 요청에 응답하는 컴퓨터.

• 통신 경로. 초기자와 응답자 사이를 통과하는 네트워크 트래픽에 대해 설정된 연결 경로.

그룹 정책 용어

다음 용어는 Windows 그룹 정책과 관련이 있습니다.

• GPO. 사용자가 만드는 그룹 정책 설정은 그룹 정책 개체(GPO)에 포함됩니다. GPO를 사이트, 도메인 및 OU(조직 구성 단위) 등의 선택된 Active Directory 시스템 컨테이너와 연결함으로써 GPO의 정책 설정을 이러한 Active Directory 컨테이너에 있는 사용자 및 컴퓨터에 적용할 수 있습니다. 그룹 정책 개체 편집기를 사용하여 개별 GPO를 만들고 그룹 정책 관리 콘솔을 사용하여 엔터프라이즈 전체의 GPO를 관리합니다.

• 도메인 정책. Active Directory의 중앙에 저장된 정책.

• 로컬 정책. 개별 컴퓨터에 저장된 정책.

기본 IPsec 용어

다음 IPsec 용어를 철저히 이해하고 있어야 합니다.

• IPsec 정책. IP 계층에서 네트워크 트래픽 처리를 위한 보안 규칙의 그룹. 보안 규칙은 허용, 차단 또는 협상 동작과 관련된 패킷 필터를 포함합니다. 협상이 필요할 경우 IPsec 정책은 피어 컴퓨터와 협상할 인증 및 보안 방법을 포함합니다.

• 영구 IPsec 정책. IPsec 정책 설정을 영구적으로 적용할 수 있도록 Windows XP 및 Windows Server 2003에서 소개된 IPsec 정책의 한 종류. 영구 정책은 IPsec 서비스를 시작할 때 처음 적용되므로 로컬 또는 도메인 IPsec 정책보다 우선합니다.

• IKE 협상. 이것은 IPsec을 사용하는 컴퓨터가 연결을 허용할지 여부를 결정하기 위해 네트워크 연결을 시작할 때 발생하는 프로세스입니다.

• SA(보안 연결). IPsec 및 두 호스트가 이 협상을 정의하는 다양한 매개 변수를 사용하여 통신하는 방법에 대한 두 호스트 사이의 동의.

  • 주 모드 SA. 이러한 SA는 초기자와 응답자 컴퓨터 사이에서 IKE 협상 동안 처음 설정됩니다.

  • 빠른 모드 SA. 이러한 SA는 호스트 사이의 각 통신 세션에 대해 주 모드 SA가 설정된 후에 협상됩니다.

• 선택 취소. 이 옵션을 사용하면 응답자로부터 IKE 응답이 없는 경우 IKE 초기자가 IKE 또는 IPsec이 아닌 정상적인 TCP/IP 트래픽을 허용할 수 있습니다. 이것은 IPsec 관리 도구의 필터의 필터 동작 속성에 있는 IPSec을 인식하지 않는 컴퓨터와 보안되지 않은 통신 허용 옵션입니다.

• 인바운드 통과. 이 옵션을 사용하면 IPsec 지원 컴퓨터가 원격 컴퓨터로부터 IKE 또는 IPsec이 아닌 정상적인 TCP/IP를 받아 들일 수 있습니다. 정상적인 상위 계층 프로토콜 응답은 원격 컴퓨터로 IKE 시작을 트리거하는 아웃바운드 패킷이 됩니다. 이것은 IPsec 정책 관리 도구의 필터 동작 속성에 있는 보안되지 않은 통신을 받아들이지만 항상 IPSec을 사용하여 응답 옵션입니다.

  참고. 인바운드 통과가 설정되어 있지만 응답자에서 선택 취소는 설정되지 않은 경우 응답자는 IPsec을 인식하지 않는 초기자와 통신하지 못합니다.

특히 IPsec의 요소를 참조하는 추가 용어를 이해하는 것이 중요합니다. 이 가이드의 부록 A, "IPsec 정책 개념의 개요"는 이러한 IPsec 용어에 대한 개념을 제공하고 이 솔루션에서 만든 격리 그룹의 컴퓨터가 사용하는 전체 IPsec 프로세스를 설명합니다.

페이지 위쪽

서버 및 도메인 격리를 실현하는 방법

컴퓨터를 위험으로부터 격리하는 개념은 새로운 것이 아닙니다. 방화벽을 사용한 분할, 액세스 제어 적용, 라우터 필터링 및 네트워크 세그먼트 분할 같은 기술은 모두 일정 수준의 격리를 제공합니다.

이 가이드에서 제공하는 솔루션은 네트워크 인프라에 있는 기존의 장치 및 기술과 함께 사용하도록 설계되었습니다. 요점은 격리가 Windows 2000 이상의 플랫폼에서 기존의 호스트 소프트웨어를 변경하여 구현된다는 점입니다. 네트워크 분할, VLAN, 주변 네트워크 액세스 제어, 네트워크 차단 및 네트워크 기반 침입 탐지 같은 기술과 절차는 네트워크 장치의 구성을 구현하거나 변경하여 실현됩니다. 서버 및 도메인 격리는 기존의 모든 기술을 보완하며 관리되는 Windows 도메인 구성원에 대한 새로운 보호 수준을 제공합니다. Windows IT 관리자는 기존의 Windows 2000 또는 Windows Server 2003 도메인 인프라에서 기존의 네트워크 경로와 연결 방법을 약간만 변경하거나 전혀 변경하지 않고 서버 및 도메인 격리를 구현할 수 있습니다.

서버 및 도메인 격리 구성 요소

서버 및 도메인 격리 솔루션은 솔루션을 종합적으로 사용할 수 있도록 하는 많은 중요 구성 요소로 이루어져 있습니다. 다음 하위 섹션에서 이러한 구성 요소를 설명합니다.

신뢰할 수 있는 호스트

신뢰할 수 있는 호스트는 IT 조직이 최소 보안 요구 사항을 충족시키도록 관리할 수 있는 컴퓨터입니다. 대개 컴퓨터가 보안 및 관리되는 운영 체제, 바이러스 백신 소프트웨어 및 최신 응용 프로그램과 운영 체제 업데이트를 실행하는 경우에만 신뢰할 수 있는 상태를 얻을 수 있습니다. 컴퓨터가 신뢰되는 것으로 확인되면 솔루션의 다음 구성 요소는 인증을 통해 컴퓨터의 상태를 확인하는 것입니다. 상태를 확인하는 방법에 대한 자세한 내용은 3장, "IT 인프라의 현재 상태 확인"을 참조하십시오.

참고: IPsec은 컴퓨터가 특정 호스트 기준을 준수하는지 스스로 확인할 수 없습니다. 컴퓨터의 기본 구성을 확인하고 해당 구성의 변경 내용을 보고하려면 모니터링 기술이 필요합니다.

호스트 인증

호스트 인증 메커니즘은 세션을 시작하려고 하는 컴퓨터가 Kerberos 티켓, 인증서 또는 미리 공유한 키의 자격 증명 같은 유효한 인증 자격 증명을 갖고 있는지 확인합니다. 현재 Windows 기반 컴퓨터에서 이런 종류의 인증 메커니즘을 제공할 수 있는 기술은 두 가지가 있습니다. 다음 섹션에서는 이러한 두 가지 기술을 설명합니다.

802.1X 프로토콜

802.1X는 802.11 무선 링크나 802.3 이더넷 포트 같은 연결 계층 네트워크 포트를 통해 연결 승인을 받을 수 있도록 사용자와 장치를 인증하는 표준 기반 프로토콜입니다. 따라서 사용자 경험(요금 청구 목적)을 제어하고 인증을 제어하고 추가 기능을 제공할 수 있습니다. 이 프로토콜을 사용하려면 프로토콜을 지원하는 하나 이상의 전용 서버(예: RADIUS[Remote Authentication Dial-In User Service]) 및 네트워크 인프라가 필요합니다. 802.1X는 네트워크 액세스에 대한 제어 및 클라이언트와 서버 액세스 지점 사이의 무선 트래픽의 802.11 WEP(Wired Equivalent Privacy) 암호화를 위한 암호화 키를 제공하도록 설계되었습니다. 장치에 네트워크 액세스 권한이 부여되면 일반적으로 나머지 내부 네트워크에 연결됩니다. 무선 액세스 지점에서 데이터가 암호 해독되면 정상적인 일반 텍스트 TCP/IP 형태로 최종 대상에 전달되며 다양한 응용 프로그램 계층 메커니즘에 의해 보호됩니다.

Woodgrove 보안은 내부 네트워크의 신뢰할 수 없는 컴퓨터로부터 모든 신뢰할 수 있는 호스트를 보호하도록 요구합니다. 802.1X가 신뢰할 수 있는 컴퓨터에만 무선 및 일부 유선 링크를 통한 액세스 권한을 부여하도록 적용할 수 있지만 대부분의 내부 802.3 이더넷 포트에 사용되는 스위치는 802.1X 인증을 사용할 수 없습니다. 전세계의 모든 실제 LAN 액세스 벽 포트와 모든 건물을 업그레이드하려면 상당한 하드웨어 구입과 설치 비용이 필요합니다. 따라서 Woodgrove는 고정 배선된 이더넷 포트가 아닌 무선 보안에 대해 802.1X를 사용하기로 결정했습니다.

또 다른 Woodgrove 보안 요구 사항은 신뢰할 수 있는 클라이언트와 암호화 서버 사이의 종단간 트래픽을 암호화하는 것이었습니다. 802.1X는 유선 연결, 무선 전용을 위해 암호화를 제공하도록 개발되지 않았습니다. 무선 연결이 암호화되었을 때 조차도 무선 액세스 지점에 의해 암호가 해독된 후 내부 LAN에 전달되면 데이터는 보호되지 않습니다. 결과적으로 802.1X는 종단간 암호화 요구 사항을 충족시킬 수 없습니다.

802.1X가 모든 Woodgrove의 보안 요구 사항을 충족시키지 못하지만 무선 보안에 여전히 사용됩니다. Microsoft에서는 802.1X를 사용하여 무선 네트워크를 보호하고 가능하면 유선 네트워크에 대해 액세스 제어를 제공할 것을 권장합니다. 802.1X 사용에 대한 자세한 내용은 Microsoft 웹 사이트(https://www.microsoft.com/wifi)에서 Wi-Fi (영문) 페이지를 참조하십시오.

IPsec

IPsec은 인터넷 프로토콜을 위한 IETF 표준 보안 프로토콜입니다. 이 프로토콜은 호스트별 인증을 제공하는 데 이상적인 일반 정책 기반 IP 계층 보안 메커니즘을 제공합니다. IPsec 정책은 호스트에서 IP 트래픽 인바운드 및 아웃바운드의 흐름을 제어하는 보안 규칙과 설정을 갖는 것으로 정의됩니다. 도메인 구성원에 정책을 할당하기 위해 그룹 정책 개체를 사용하여 정책을 Active Directory의 중앙에서 관리할 수 있습니다. IPsec은 호스트 간의 보안 통신을 설정하는 기능을 제공합니다. IPsec은 IKE(Internet Key Exchange) 협상 프로토콜을 사용하여 두 호스트 간에 IPsec을 통해 안전하게 통신하는 방법에 대한 옵션을 협상합니다. IPsec 및 두 호스트가 이 협상을 정의하는 다양한 매개 변수를 사용하여 통신하는 방법에 대한 두 호스트 사이의 동의를 보안 SA 또는 SA라고 합니다. IKE 협상은 주 모드 SA(ISAKMP SA라고도 함)와 빠른 모드 SA 쌍(IPsec SA라고도 함—하나는 인바운드 트래픽용, 다른 하나는 아웃바운드 트래픽용)을 설정합니다. IKE는 주 모드 SA를 설정하기 위한 상호 인증을 요구합니다. Windows IKE는 다음 세 가지 방법 중 하나를 사용할 수 있습니다.

• Kerberos 버전 5 인증 프로토콜

• 해당하는 공개 및 개인 Rivest, Shamir 및 Adleman(RSA) 키 쌍을 사용하는 X.509 디지털 인증서

• 미리 공유한 키(정확히는 암호가 아닌 암호 구문[passphrase])

IPsec을 배포하지 않는 가장 일반적인 이유는 종종 배포가 어려운 PKI(공용 키 구조) 인증서를 요구한다고 잘못 이해하기 때문입니다. PKI에 대한 요구를 방지하기 위해 Microsoft는 IKE 협상 프로토콜에 Windows 2000 도메인 인증(Kerberos)을 통합했습니다.

Windows IKE 협상은 IKE 협상 요청에 응답하지 않는 컴퓨터와의 통신을 허용하도록 구성할 수 있습니다. 이 기능은 선택 취소라고 하며 IPsec을 롤아웃하는 동안 실제로 필요합니다. 신뢰할 수 있는 호스트가 연결 요청을 시작할 때만 신뢰할 수 있는 호스트가 신뢰할 수 없는 컴퓨터 및 장치와 통신하는 것을 허용하는 정상적인 동작에 유용합니다. IPsec은 소프트 보안 연결이라는 용어를 사용하여 IPsec이 AH(헤더 모드) 또는 ESP(보안 페이로드 캡슐화) 형식을 사용하여 보호할 수 없는 통신을 설명합니다. IPsec은 대상 IP 주소가 포함된 보안 로그 성공 감사를 사용하여 이 통신을 기록하고 트래픽 흐름 활동을 모니터링합니다. 유휴 시간(기본적으로 5분) 후에 트래픽 흐름이 중단되면 새 아웃바운드 연결이 있을 때 새로 보안 협상을 시도해야 합니다.

IPsec은 AH나 ESP 보안 연결 내의 트래픽 또는 소프트 SA와 관련된 일반 텍스트 트래픽에 대한 아웃바운드 트래픽의 상태 필터링을 지원하지 않습니다. 따라서 서버 및 도메인 격리를 위해 이곳에서 설명하는 IPsec 정책 설계를 사용하면 신뢰할 수 있는 호스트는 신뢰할 수 없는 컴퓨터에서 소프트 SA를 통해 열린 포트로의 인바운드 연결을 수신할 수 있습니다. 이것이 공격에 취약할 수 있는 부분입니다. 그러나 인바운드 연결을 수신할 열린 포트를 협상하는 특정 프로토콜을 지원하는 설계이기도 합니다. Windows 방화벽 같은 호스트 기반 방화벽 제품을 사용하여 IPsec 보호 외에 아웃바운드 연결을 위한 상태 저장 필터링을 추가할 수 있습니다. 암호화 없이 IPsec AH 또는 ESP에 의해 보호되는 네트워크 트래픽은 스푸핑과 수정에 대해 인증 및 보호를 제공하기 때문에 일반 텍스트 형식으로는 간주되지 않습니다.

IPsec은 보안 형식으로 정상적인 IP 패킷을 캡슐화하기 때문에 패킷은 네트워크를 통과할 때 더 이상 TCP(Transmission Control Protocol) 및 UDP(User Datagram Protocol) 패킷으로 나타나지 않습니다. Woodgrove 은행 내에 IPsec을 배포하려는 시도는 대부분의 네트워크 관리 도구가 응용 프로그램이 TCP 또는 UDP 포트 번호(예: 전자 메일 트래픽의 경우 포트 25 및 웹 트래픽의 경우 포트 80)로 식별할 수 있다고 가정했습니다. IPsec을 사용하면 트래픽이 불투명해지고 라우터와 네트워크 침입 탐지 시스템은 어떤 응용 프로그램이 사용 중인지 구분하거나 패킷의 데이터를 검사할 수 없습니다. 이 요소는 트래픽 모니터링, 보안 필터링, 가중치 공정 대기열 및 서비스 품질 분류에 현재 사용되는 도구의 가치를 떨어뜨리므로 네트워크 관리 문제가 야기됩니다.

불행하게도 트래픽 표시에 대한 가정은 전적으로 정확하지 않고 IPsec이 없는 경우에도 빠르게 쓸모 없게 됩니다. 포트 번호와 응용 프로그램 사이의 관계는 점차 약해지고 있습니다. 예를 들어, 임의의 포트 번호에서 웹 서버를 실행하고 사이트의 URL에 있는 포트 번호를 문서화하는 것이 가능합니다. 또한 대체 포트 번호에서 메일 서비스를 실행하여 일부 ISP(인터넷 서비스 공급자)의 전자 메일 필터링 노력을 우회할 수도 있습니다. 많은 P2P(피어-투-피어) 응용 프로그램은 포트를 자주 바꿉니다. 즉, 감지를 피하기 위해 임의로 선택한 포트 번호를 사용합니다. RPC(원격 프로시저 호출) 서비스를 기반으로 하는 응용 프로그램도 RPC 서비스가 다양한 서비스에 대해 수명이 짧은 범위(1024 위의 값)에서 임의의 포트를 선택합니다.

웹 서비스 사용의 증가는 이러한 서비스가 포트 80이나 포트 443을 사용하여 HTTP 또는 HTTPS 맨 위에서 실행되기 때문에 트래픽 식별 문제를 가속화할 가능성이 있습니다. 그러면 클라이언트와 서버는 HTTP URL을 사용하여 트래픽을 식별합니다. 각 응용 프로그램이나 서비스가 각각의 전용 포트 번호에서 실행되는 것이 아니라 이러한 웹 서비스의 트래픽이 단일 포트나 몇 개의 포트에서 실행되기 때문에 웹 서비스 아키텍처로 이동하는 모든 응용 프로그램은 라우터에 단일의 차별화되지 않은 데이터 스트림으로 나타납니다. HTTPS 연결 및 RPC 암호화에 SSL과 TLS를 사용하면 공격에 대한 방어로 네트워크 기반 검사의 가치를 떨어뜨립니다. 네트워크 관리 응용 프로그램은 여전히 패킷의 주소를 분석할 수 있고 IPsec으로 보호되지 않는 다른 모든 트래픽을 표시하기 때문에 Woodgrove는 일부 네트워크 관리 기능이 손실되더라도 프로젝트 계획에는 큰 영향을 미치지 않는다고 판단했습니다. 또한 일부 네트워크 관리 도구 공급업체는 이 도구를 수정하여 IPsec 패킷의 암호화되지 않은 형식 내부를 검사할 것입니다.

대부분의 호스트 기반 응용 프로그램은 IP 주소 사이의 모든 트래픽을 보호하는 IPsec과 제대로 작동하도록 수정할 필요가 없습니다. 이 솔루션은 다른 네트워크 서비스에 대한 네트워크 공격 위험이 있기 때문에 특정 응용 프로그램이나 프로토콜에 대해서만 IPsec을 사용하려고 시도하지는 않습니다. 응용 프로그램이 IPsec과 제대로 작동하지 않는 경우 관리자는 서버에 사용되는 IP 주소를 기반으로 IPsec 외부의 트래픽을 허용하도록 선택할 수 있습니다. 잘 알려진 포트를 기반으로 응용 프로그램을 허용하면 고정 인바운드 허점이 열려 공격자가 모든 열린 포트에 인바운드 연결할 수 있어 격리 목적을 이룰 수 없게 되기 때문에 잘 알려진 포트를 기반으로 응용 프로그램을 허용하지 않는 것이 좋습니다. 동적으로 할당된 포트를 사용하는 응용 프로그램은 IPsec 보호 밖에 둘 수 없습니다. 멀티캐스트와 브로드캐스트 IP 주소 지정을 사용하는 응용 프로그램은 서버 및 도메인 격리를 위한 IPsec 설계와 작동하는 데 문제가 있을 수 있습니다. Windows IPsec은 특정 종류는 제외하고 모든 멀티캐스트와 브로드캐스트 트래픽을 허용하는 기능을 지원합니다. 응용 프로그램 호환성 문제가 있는 경우 공급업체에 이 문제를 해결하는 데 사용할 수 있는 수정 프로그램이나 업그레이드가 있는지 또는 언제 제공되는지 문의하십시오. 응용 프로그램을 호환되는 응용 프로그램으로 업그레이드하거나 교체할 수 없는 경우 이 응용 프로그램을 사용해야 하는 컴퓨터는 격리 도메인 또는 그룹에 참가하지 못할 수 있습니다.

인증 기능 외에 IPsec은 호스트 통신에 주소 무결성을 보장하고 네트워크 트래픽을 암호화하는 두 가지 다른 유용한 서비스를 제공할 수 있습니다.

• 주소 무결성 보장. IPsec은 AH를 사용하여 각 패킷에 대해 데이터와 주소 무결성을 제공할 수 있습니다. Windows AH는 Windows IPsec 드라이버에서 키 해시 메커니즘을 사용합니다. AH를 사용하면 재생 공격이 발생하는 것을 방지하며 패킷을 전송한 때부터 성공적으로 수신할 때까지 수신된 각 패킷이 수정되지 않았다는 것을 확인함으로써 강력한 무결성을 제공합니다. AH는 NAT(네트워크 주소 변환)가 IP 헤더에서 원본 주소를 바꾸기 때문에 NAT를 수행하는 장치를 통과할 때 올바르게 작동하지 않습니다. 따라서 IPsec AH가 제공하는 보안을 위반하게 됩니다.

• 네트워크 트래픽 암호화. IPsec은 IP 프로토콜에 대해 ESP(보안 페이로드 캡슐화) 옵션을 사용하여 데이터 무결성은 물론 암호화를 통한 기밀성을 보장합니다. AH와 함께 사용하지 않을 경우 ESP는 주소 무결성을 제공하지 않지만 UDP 캡슐화를 사용하여 NAT 장치를 성공적으로 통과하도록 만들 수 있습니다. 내부 네트워크가 NAT를 사용하는 장치로 분할된 경우 ESP는 패킷을 강제로 암호화하지 않기 때문에 논리적 선택입니다. Windows IPsec은 널 암호화를 포함한 ESP(ESP/널)의 사용을 정의하는 RFC 2410을 지원합니다. ESP/널을 사용하면 암호화를 요구하지 않고 데이터 인증, 무결성 및 재생 방지가 가능합니다. Windows Server 2003 네트워크 모니터는 정상적인 TCP/IP 상위 계층 프로토콜을 노출하도록 암호화되지 않은 ESP를 구문 분석할 수 있습니다. ESP 암호화를 사용하면 컴퓨터가 먼저 들어오는 패킷을 암호 해독하는 IPsec 하드웨어 가속 네트워크 카드를 사용할 때만 패킷 모니터링이 가능합니다.

  참고: 암호화가 포함되었거나 널 암호화를 사용하는 ESP는 AH와 같은 인증을 사용하여 강력한 IPsec 피어 관계를 제공합니다. 또한 재생 보호를 제공하고 NAT 장치를 적절히 통과합니다. 이런 이유로 Woodgrove는 AH를 구현하지 않고 대신 회사 네트워크에 ESP/널 및 암호화가 포함된 ESP만 사용하기로 결정했습니다.

ipsec이 작동할 수 있는 모드는 터널 모드나 전송 모드 등 두 가지가 있습니다.

• IPsec 전송 모드. IPsec 전송 모드는 종단간 호스트 사이의 트래픽을 보호하는 권장하는 방법입니다. IPsec 드라이버는 원본 IP 헤더 다음에 IPsec 헤더를 삽입합니다. 원본 IP 헤더는 보존되며 나머지 패킷은 AH 또는 ESP 암호화 처리를 통해 보호됩니다. IPsec 필터는 IPsec이 어떤 트래픽을 차단, 허용 또는 캡슐화할지 제어합니다. IPsec 필터는 원본과 대상 IP 주소(또는 서브넷), 프로토콜(예: ICMP 또는 TCP) 및 원본과 대상 포트를 지정합니다. 따라서 한 컴퓨터에 매우 특정하게 필터를 적용하거나 가능한 모든 대상 주소와 프로토콜에 대해 적용할 수 있습니다. 전송 모드는 "My IP Address"로 구성된 필터를 자동으로 업데이트하여 동적 IP 주소를 수용하도록 설계되었습니다. 이것은 오버헤드가 적으며 IPsec 터널 모드보다 전체적으로 사용하기가 훨씬 쉽습니다. 따라서 전송 모드를 협상하는 IKE는 인바운드 IPsec 보호 연결을 인증하는 효율적인 방법입니다. IPsec 전송 모드 사용 시 문제점은 다음과 같습니다.

  • 초기 지연. IKE가 전체 협상을 성공적으로 시작하고 완료하려면 1-2초의 초기 지연이 필요합니다. 지속적인 통신이 발생하는 동안 IKE는 트래픽을 보호하는 암호화 키를 자동으로 새로 고치려고 시도합니다.

  • 필터에 대해 미리 정의된 우선 순위. IPsec 정책 필터는 중복할 수 있으므로 대부분 관련된 필터를 먼저 적용하는 미리 정의된 우선 순위가 있습니다. 이를 위해서는 통신하는 양측이 IKE 협상을 위한 IPsec 전송 모드 필터의 호환 집합을 갖고 있어야 합니다. 예를 들어, 이 솔루션은 IPsec을 사용하여 트래픽을 보호하는 대신 ICMP 트래픽만 허용하는 관련 필터와 함께 IPsec 보안을 협상하는 "모든 트래픽"에 대해 더 일반적인 필터를 사용합니다.

  • 계산 비용. IPsec ESP 전송 모드 암호화는 계산 비용이 비쌀 수 있습니다. 암호화된 파일을 복사하는 동안에는 CPU 사용이 80-100%에 도달할 수 있습니다. Windows 2000, Windows XP 및 Windows Server 2003에는 하드웨어로 IPsec 암호화 작업을 가속화할 수 있는 네트워크 카드용 인터페이스가 있습니다.

• IPsec 터널 모드. IPsec 터널 모드는 일반적으로 VPN 게이트웨이의 고정 IP 주소 사이에서 게이트웨이 대 게이트웨이 VPN 터널에 사용됩니다. 따라서 터널 모드는 IPsec 헤더가 있는 새로운 IP 헤더를 만듭니다. 원본 IP 헤더가 있는 원본 패킷은 완전히 캡슐화되어 터널 패킷을 구성합니다. 서버 및 도메인 격리 시나리오의 경우 터널 모드는 고정 IP 서버에서 IPsec을 사용할 수 있는 라우터로 가는 트래픽을 보호하는 데 사용할 수 있습니다. 대상 호스트가 IPsec을 지원하지 않을 경우 이렇게 할 필요가 있습니다. Woodgrove는 터널 모드가 필요한 시나리오를 갖고 있지 않았습니다.

IPsec에서 전송 모드 및 터널 모드의 기술 세부 사항에 대한 자세한 내용은 Windows Server 2003 Deployment Kit의 Deploying Network Services 부분에서 Deploying IPsec 장의 "Determining Your IPSec Needs (영문)" 섹션(www.microsoft.com/resources/documentation/ WindowsServ/2003/all/deployguide/ en-us/dnsbj_ips_wclw.asp)을 참조하십시오.

호스트 인증

호스트가 수신하는 통신이 확인 가능한 원본에서 오는 것이라는 것을 확인한 후에 호스트는 원본 컴퓨터와 사용자에 대한 액세스를 허용할지를 결정해야 합니다. 장치를 인증할 수 있다는 사실만으로는 해당 호스트에도 액세스를 허용하는 것을 보장하기 않기 때문에 이 단계는 중요합니다.

Microsoft가 권장하는 접근 방식은 표준 Windows 그룹을 사용하여 설계 시 다른 컴퓨터의 리소스에 액세스하는 사용자와 컴퓨터의 기능을 제한하는 것입니다. 이 방법은 액세스하려는 호스트에 있는 로컬 정책의 사용자 권한 할당에 대한 권한을 사용하여 네트워크와 응용 프로그램 수준에서 컴퓨터 계정과 사용자 계정 모두를 위한 인증의 새로운 계층을 만듭니다. "네트워크에서 이 컴퓨터에 액세스"(허용) 및 "네트워크에서 이 컴퓨터 액세스 거부"(거부) 사용자 권한 할당을 모두 사용하여 공통의 IPsec 정책 매개 변수를 공유하고 로그온한 사용자가 리소스에 액세스할 권한을 갖고 있더라도 컴퓨터와 사용자가 리소스에 액세스하는 기능을 제한할 수 있습니다. 이 추가 수준의 제어는 이 솔루션에서 설명하는 격리 접근 방식의 기본이 됩니다.

Active Directory의 그룹 기능은 필요한 인증 수준을 관리 가능하고 확장 가능한 방식으로 할당할 수 있도록 컴퓨터와 사용자를 구성합니다. 호스트 액세스 권한을 얻기 위해 특별하게 만들어진 그룹을 표준 공유 액세스 권한의 그룹과 구분하기 위해 이 가이드에서는 네트워크 액세스 그룹이라는 용어를 사용합니다.

다음 그림은 솔루션의 전반적인 호스트 및 사용자 인증 프로세스의 주요 단계를 보여줍니다.

그림 2.2 사용자 및 호스트 인증 프로세스

그림 2.2는 다음 목록에서 설명하는 5단계 프로세스를 보여줍니다. 격리 솔루션이 마련된 후에 모든 네트워크 통신이 이 프로세스를 따릅니다.

1. 부서 서버의 공유에 액세스를 시도하는 사용자. 클라이언트 컴퓨터에 로그온한 사용자는 논리 격리 솔루션 내의 신뢰할 수 있는 호스트에 있는 공유에 액세스를 시도합니다. 이 동작으로 인해 클라이언트 컴퓨터는 파일 공유 프로토콜(일반적으로 TCP 대상 포트 445를 사용하는 서버 메시지 블록 프로토콜)을 사용하여 신뢰할 수 있는 호스트에 연결을 시도하게 됩니다. 클라이언트에는 솔루션의 일부로 IPsec 정책이 할당되었습니다. 아웃바운드 TCP 연결 요청은 서버에 IKE 협상을 트리거합니다. 클라이언트 IKE는 Kerberos 티켓을 구하여 서버를 인증합니다.

2. IKE 주 모드 협상. 서버가 클라이언트 컴퓨터로부터 초기 IKE 통신 요청을 받은 후에 서버는 Kerberos 티켓을 인증합니다. 인증 프로세스 동안 IKE는 클라이언트 컴퓨터가 그룹 정책에서 허용 또는 거부 사용자 권한이 할당된 필요한 호스트 액세스 권한을 갖고 있는지 확인합니다. 클라이언트 컴퓨터가 필요한 사용자 권한 할당을 갖고 있는 경우 IKE 협상이 완료되고 IPsec 주 모드 SA가 설정됩니다.

3. IPsec 보안 방법 협상. IKE 주 모드 SA 협상이 완료되면 두 호스트 모두에 허용되는 IPsec SA의 보안 방법을 사용하여 연결을 협상하기 위해 IPsec 정책의 보안 방법을 확인합니다.

   다음 순서도는 2-3단계의 전체 프로세스를 보여줍니다.

   

   그림 2.3 컴퓨터 호스트 액세스 권한 검사 프로세스

4. 사용자에 대한 사용자 호스트 액세스 권한 검사. IPsec 보호 통신이 설정되면 SMB 프로토콜은 클라이언트 사용자 계정을 사용하여 인증합니다. 서버에서 사용자 계정을 검사하여 신뢰할 수 있는 호스트에 대해 그룹 정책에서 허용 및 거부 사용자 권한에 할당된 필요한 호스트 액세스 권한을 갖고 있는지 확인합니다. 다음 순서도는 이 프로세스를 보여줍니다.

   

   그림 2.4 사용자 호스트 액세스 권한 검사 프로세스

   사용자 계정에 필요한 사용자 권한 할당이 있는 경우 프로세스가 완료되고 사용자 로그인 토큰이 만들어집니다. 이 프로세스가 완료되면 논리 격리 솔루션은 보안 검사를 모두 수행한 것입니다.

5. 공유 및 파일 액세스 권한 검사. 마지막으로 표준 Windows 공유 및 파일 액세스 권한을 서버가 검사하여 사용자가 요청한 데이터에 액세스하는 데 필요한 권한을 가진 그룹의 구성원인지 확인합니다.

네트워크 액세스 그룹의 사용자는 솔루션에서 매우 높은 수준의 권한을 가질 수 있습니다.

다음 시나리오는 논리 격리 솔루션의 단계가 어떻게 이루어지는지에 대한 실제적인 예를 제공합니다.

회의 동안 계약자는 자신의 이동 컴퓨터를 회의실의 네트워크 연결 지점에 연결하여 일부 데이터를 직원 HR 서버에 있는 공유에 복사합니다. HR 부서원인 Donna는 계약자에게 HR 서버의 공유에 대한 경로를 제공합니다. 계약자의 컴퓨터는 알려져 있지 않거나 신뢰할 수 있는 호스트가 아니기 때문에 IT 부서는 컴퓨터를 관리하지 못하며 이동 컴퓨터에 있는 보안 예방 조치 수준이 알려져 있지 않습니다. 따라서 파일에 내부 컴퓨터를 감염시킬 수 있는 악성 프로그램이 포함되어 있을 수 있습니다. 계약자의 컴퓨터가 HR 서버에 연결을 시도하면 컴퓨터는 프로세스의 2단계에서 실패합니다. 이동 컴퓨터는 컴퓨터의 자격 증명을 검사하는 데 필요한 Kerberos 티켓을 제공할 수 없기 때문에 컴퓨터는 IKE 주 모드 SA를 협상할 수 없습니다. 즉 신뢰할 수 있는 도메인의 일부가 아닙니다. HR 서버가 구성원으로 있는 격리의 IPsec 정책 요구 사항은 서버가 IPsec을 사용하지 않는 호스트와 통신하는 것을 허용하지 않으므로 이 신뢰할 수 없는 컴퓨터의 모든 통신 시도는 차단됩니다. 요약하면 논리 격리 솔루션을 사용하면 신뢰할 수 없고 관리되지 않는 컴퓨터가 내부 네트워크에 대한 실제 액세스 권한을 갖고 있더라도 이러한 컴퓨터의 위협으로부터 IT 인프라를 보호할 수 있습니다.

이 예제는 호스트 기반으로 어떻게 격리를 실현할 수 있는지 설명합니다. 솔루션의 또 다른 중요한 요구 사항은 적은 관리 비용으로 격리를 제공하는 것입니다. 일반 사용자와 같은 방식으로 컴퓨터를 그룹화한 다음 각 컴퓨터의 로컬 정책에서 이러한 그룹에 허용 또는 거부 사용자 권한을 할당할 수 있습니다. 그러나 이 접근 방법은 그룹 정책과 Active Directory의 중앙 집중화 기능을 사용하지 않고, 필요한 통신 경로에 대한 철저한 이해 없이는 관리가 어렵고 제대로 확장하지 못합니다. 또한 강력한 인증이나 데이터를 암호화하는 기능을 제공하지 않습니다. 이러한 호스트 액세스 권한을 IPsec과 함께 사용하고 호스트가 격리 그룹에 구성되어 있으면 요구 사항을 명확하게 문서화한 후에는 그룹화 사이의 관계를 더 쉽게 이해하고 통신 경로를 간단히 정의할 수 있습니다. 격리 그룹의 설계 및 프레임워크에 대한 자세한 내용은 4장 "격리 그룹 설계 및 계획"을 참조하십시오.

페이지 위쪽

서버 및 도메인 격리가 제공하는 보호

서버 및 도메인 격리는 컴퓨터가 서로 간에, 통신을 시작하려는 장치와 통신하는 방법에 제한을 두는 것입니다. 이러한 제한 또는 경계는 장치를 신뢰하는 수준을 설명하여 통신을 제한하는 데 사용됩니다. IPsec 정책을 사용하여 호스트 주변에 인증, 승인 및 네트워크 위치 같은 경계를 배치하면 많은 위협을 효율적으로 완화시킬 수 있습니다. IPsec은 완벽한 보안 전략이 아니지만 전반적인 보안 전략에 추가 계층의 방어를 제공합니다.

다음 섹션에서는 몇 가지 일반적인 위협을 설명하고 위협 모델링에 대해 간단히 살펴 보겠습니다. Woodgrove 은행 시나리오 내의 트러스트할 수 있는 장치 및 Woodgrove가 컴퓨터를 식별하고 트러스트하는 것으로 분류하는 설계 프로세스에 대한 자세한 내용은 3장 "IT 인프라의 현재 상태 확인"에서 "트러스트 확인" 절을 참조하십시오.

위협 모델링 및 분류

최근 네트워크 기반 응용 프로그램과 서버에 대한 공격 빈도와 복잡성이 크게 증가했습니다. 흥미롭게도 이러한 공격에 대응하는 데 사용되는 공격 종류와 스타일 및 기본 방법은 상대적으로 별반 달라지지 않았습니다. 그러나 이러한 방어를 구현하는 몇 가지 기능과 방법은 다릅니다. 서버 및 도메인 격리 솔루션이 요구하는 계획을 이해하려면 조직이 맞고 있는 위협에 대해서는 물론 다양한 기술과 프로세스를 사용하여 공격에 어떻게 대응할지에 대한 세부적인 위험 분석을 수행해야 합니다.

조직에 대한 위협을 식별하고 분류하고 열거하는 프로세스는 과거 수 년간 문서화되었습니다. 이 문서는 조직에 대한 일반 비즈니스, 환경 및 기술 위협을 모델링하는 데 사용할 수 있는 방법론을 제시하기도 합니다. Microsoft는 위협 모델링에 STRIDE 방법을 사용합니다. STRIDE는 보호할 위협의 범주를 나타냅니다. 이러한 범주는 다음과 같습니다.

S    스푸핑(Spoofing)

T    무단 변경(Tampering)

R    거부(Repudiation)

I    정보 노출(Information disclosure)

D    서비스 거부(Denial-Of-Service)

E    권한 승격(Elevation-Of-Privilege)

가능하면 위협 모델을 세부적으로 정의하여 보호가 필요한 모든 자산을 보호할 수 있도록 적절한 시간과 리소스를 전적으로 배정하는 것이 필수적입니다. 서버 및 도메인 격리가 완화시킬 수 있는 특정 위협과 공격에 대한 자세한 내용은 이 가이드의 부록 D "IT 위협 범주"를 참조하십시오. 위협 모델에 대한 자세한 내용은 Microsoft Solution for Securing Windows 2000 Server (영문) 솔루션 2장 "Defining the Security Landscape"를 참조하십시오. https://www.microsoft.com/technet/security/prodtech/windows2000/secwin2k/default.mspx에서 다운로드할 수 있습니다.

페이지 위쪽

서버 및 도메인 격리를 배포하는 방법

조직에 대한 위협을 이해하고 솔루션이 어떻게 이러한 위협을 완화하는지 인식했으면 다음 단계는 이 솔루션을 배포하는 방법을 설명하는 것입니다. 이 섹션에서는 이 배포 프로세스가 어떻게 이루어지는지 설명합니다.

정보 수집

설계 프로세스를 시작하기 전에 수행할 첫 단계는 워크스테이션과 서버 구성 뿐만 아니라 통신 경로를 포함하여 조직 네트워크의 현재 상태에 대한 최신의 정확한 상태를 파악하고 있는지 확인하는 것입니다. 솔루션이 무엇을 보호하는지에 대해 정확히 알지 못하면 효과적인 격리 솔루션을 개발하는 것은 불가능합니다.

3장 "IT 인프라의 현재 상태 확인"은 네트워크 및 장치의 현재 상태에 대한 정보를 구하는 자세한 설명과 근거를 제공합니다. 이 프로세스는 조직에서 수행한 다른 프로젝트에 가치를 제공하는 것은 물론 이 솔루션의 나머지 장에 필요한 모든 정보를 제공할 것입니다. 특히 조직이 정보 시스템에 필요한 통신 경로를 면밀히 분석하고 조사하며 위험, 통신 요구 사항 및 비즈니스 요구 사항 등에 존재할 수 있는 손상에 대해 알 수 있게 됩니다.

IPsec 배포 프로세스 개요

설계를 결정하고 만든 후에 우선적으로 해야 할 일은 관리 가능하고 사용자에게 최소한의 영향을 미치도록 조직에 설계를 구현하는 프로세스를 설정하는 것입니다. 4장 "격리 그룹 설계 및 계획"에서는 이것을 실현하기 위해 사용할 수 있는 여러 가지 접근 방법을 자세히 설명합니다. 그러나 기본 프로세스는 다음과 같이 요약할 수 있습니다.

1. 개념이 정리된 랩에서 설계 및 IPsec 정책을 테스트합니다. 격리된 비프로덕션 환경에서 제안된 IPsec 정책을 테스트하여 설계가 예상대로 작동하는지 확인하고 정책 설정이나 배포 메커니즘에서 발생할 수 있는 문제를 테스트해야 합니다.

2. 테스트를 수행하고 승인된 설계를 시험합니다. 팀이 설계가 연구소 환경에서 예상대로 작동한다고 확신하면 프로세스의 다음 단계는 프로덕션 환경에 솔루션을 시험 배포하는 데 포함할 제한된 수의 컴퓨터를 식별하는 것입니다. 식별된 컴퓨터와 사용자에게는 테스트하는 동안 발생하는 문제로 인해 사용자 자신의 직무를 수행하는 데 최소한의 영향을 받도록 사전 지원을 제공해야 합니다.

3. 솔루션의 단계적 롤아웃을 구현합니다. 프로세스의 마지막 단계는 조직의 나머지 부분에 설계를 배포하는 데 사용할 수 있는 계획을 수립하는 것입니다. 이것은 쉽게 생각할 수 있는 프로세스가 아닙니다. 이 단계를 계획할 때는 상당한 주의를 기울여야 합니다. IPsec 정책에서 하나의 설정을 변경하여 네트워크 리소스에 액세스하는 많은 컴퓨터의 기능을 해제할 수 있도록 설계하는 것이 가능합니다. 솔루션이 구현하는 변경은 테스트 단계 동안 구성이나 설계 오류가 발견되지 않은 상태로 남아 있는 경우에도 마지막 정상 상태로 신속히 되돌릴 수 있도록 배포 계획을 테스트하고 구성해야 합니다.

4장 "격리 그룹 설계 및 계획"은 격리 도메인 설계 프로세스에 대한 자세한 정보를 제공하며 솔루션의 단계적 롤아웃 접근 방식에 사용할 수 있는 옵션을 설명합니다.  

페이지 위쪽

요약

이 장에서는 이 가이드에서 제시하는 솔루션 이면의 목표와 프로세스에 대해 설명했습니다. IT 전문가는 여러 해 동안 IPsec의 이점을 잘 이해했지만 기술의 복잡성으로 인해 많은 사람들이 구현을 주저했습니다. IPsec 구현에서 솔루션이 견고한 설계, 잘 계획된 배포 및 신뢰할 수 있는 테스트 방법을 갖추지 못할 경우 심각한 결과를 초래할 수 있습니다.

이 장의 지침은 논리 격리가 Windows 플랫폼, IPsec, 그룹 정책 및 Active Directory의 기능을 가진 서버 및 도메인 격리 기술을 사용하여 데이터 자산이 노출될 위험을 최소화할 수 있는 관리 가능하고 확장 가능한 엔터프라이즈 솔루션을 제공하는 보안의 추가 계층이라는 것을 전달합니다.

나머지 장에서 제공하는 정보는 이 솔루션을 계획하고 구현하는 데 필요한 단계에 집중합니다. 6장 "서버 및 도메인 격리 환경 관리"는 서버 및 도메인 격리를 사용하는 운영 환경의 일상적인 실행을 구현할 수 있는 절차를 제공합니다. 7장 "IPsec 문제 해결"은 지원 및 문제 해결 정보를 제공합니다.

페이지 위쪽

전체 솔루션 다운로드

IPsec 및 그룹 정책을 통해 서버 및 도메인 격리

페이지 위쪽