이 장은 2장 "서버 및 도메인 격리의 이해"에서 논의된 비즈니스 보안 요건을 이행하는 격리 그룹을 정의하기 위한 완벽한 안내를 제공합니다. 이 솔루션은 Active Directory® 디렉터리 서비스 도메인의 컴퓨터 ID, 이 ID를 인증하기 위한 IPsec 정책 및 격리 그룹을 정의하고 적용하기 위한 Microsoft® Windows® 보안 정책의 조합을 사용합니다. 정보 기술(IT) 관리자는 격리 그룹의 개념을 사용하여 응용 프로그램에 투명한 안전한 방법으로 내부 네트워크 내의 네트워크 트래픽을 관리할 수 있습니다. 이 기능은 네트워크를 통한 감염 및 공격으로부터 손상될 위협을 줄여줍니다.
Woodgrove 은행 시나리오를 통해 이 가이드는 조직이 해당 보안 요건을 배포된 격리 그룹으로 전환시킬 수 있는 방법에 대한 중요한 세부 정보를 제시합니다. 또한, IPsec이 상세하고 관리 가능하며 확장 가능한 서버 및 도메인 격리 솔루션을 구축하기 위해 다른 보안 설정과 결합될 수 있는 방법을 보여줍니다.
모든 비즈니스는 자신의 솔루션에 대한 고유한 요건을 가지고 있으며 이 가이드의 모델은 의문 사항 또는 수정 없이 따르도록 설계되지 않았습니다. 이 가이드를 사용하는 조직은 자신의 환경에 필요한 것과 성취 가능한 것을 확인하여 자신의 비즈니스 요건에 가장 잘 부합되도록 격리 그룹 모델 설계를 적절하게 변화시켜야 합니다.
이 섹션에는 서버 및 도메인 격리 솔루션에 대한 조직의 접근 방식을 파악하는 데 도움이 될 정보가 포함됩니다. 귀하의 조직에 이러한 솔루션을 성공적으로 완료할 수 있는지 여부는 이 섹션에 확인된 전제 조건에 달려 있습니다.
지식 전제 조건
사용자는 IPsec의 개념과 용어에 익숙해야 합니다. 또한 다음과 같은 영역에 대해 Microsoft Windows Server™ 2003과도 익숙해야 합니다.
IPsec 필터, IPsec 필터, 필터 작업 필터 목록
Active Directory 개념(Active Directory 구조 및 도구, 사용자, 그룹 및 기타 Active Directory 개체 조작, 이름 확인 서비스 및 그룹 정책 사용)
Windows 로그온 프로세스와 Kerberos 버전 5 프로토콜을 포함한 인증 개념
Windows 시스템 보안(사용자, 그룹, 감사 및 액세스 제어 목록[ACL]의 개념, 보안 템플릿의 사용, 그룹 정책 또는 명령줄 도구를 통한 보안 템플릿의 응용 포함)
이 장을 계속하기 전에 본 가이드의 이전 장도 읽어야 합니다.
조직 전제 조건
다음 사람을 포함하여 이 솔루션의 구현에 관련되어야 할 수 있는 조직의 다른 구성원과 협의해야 합니다.
임원진
보안 및 감사 담당자
Active Directory 엔지니어링, 관리 및 운영 담당자
DNS(Domain Name System), 웹 서버 및 네트워크 엔지니어링 관리 및 운영 담당자
참고: 귀하의 IT 조직에 따라 이러한 역할은 수많은 사람에 의해 충족되거나 더 적은 사람이 여러 역할을 동시에 가질 수 있습니다. 그러나 이 프로젝트의 다양한 단계를 통해 조직 간 팀의 노력을 협조할 수 있도록 단일 연락처 지점을 확인하는 것이 중요합니다.
또한, 이 장은 사용자가 2장, "서버 및 도메인 격리의 이해"와 3장, "현재 IT 인프라 상태에 대한 파악"에 제시된 요건을 충족한 것으로 가정합니다. 이러한 요건에는 호스트, 네트워크 및 Active Directory로부터의 정보 수집도 포함됩니다. 비즈니스 요구 사항 수집 및 중역의 후원 획득도 논의되어야 합니다.
마지막으로 다양한 지원 센터와 지원 담당자를 이 솔루션의 새 개념, 용어 및 기술에 대해 교육시키는 계획도 세워야 합니다. 이 솔루션이 조직의 많은 영역에 영향을 미치게 되므로 지원 담당자는 배포 중에 발생할 수 있는 어떠한 문제라도 처리할 수 있도록 교육 받아야 합니다.
IT 인프라 전제 조건
이 장은 다음 IT 인프라가 존재하는 것으로 가정합니다.
혼합 또는 기본 모드에서 실행되는 Windows Server 2003 Active Directory 도메인 이 솔루션은 그룹 정책 개체 응용 프로그램을 위해 범용 그룹을 사용합니다. 조직이 혼합 또는 기본 모드로 운영되지 않은 경우 표준 글로벌 및 로컬 그룹 구성을 사용하여 그룹 정책 개체(GPO)를 적용할 수 있습니다. 단, 이러한 옵션이 너무 복잡하여 관리할 수 없기 때문에 이 솔루션이 이 옵션을 사용하지 않습니다.
이 솔루션의 설계는 이전 장에서 수집된 비즈니스 요건과 정보에 상당히 많은 영향을 받습니다. 2장, "서버 및 도메인 격리의 이해"와 부록 D: "IT 위험 요소 범주"에서는 솔루션의 구성 요소를 설명하고 이 솔루션으로 해결하고 해결할 수 없는 위험 요소를 확인합니다. 3장, "현재 IT 인프라 상태에 대한 파악"에서는 현재 네트워크 아키텍처와 네트워크의 호스트 자산과 같은 계획 데이터 수집 방법에 대한 정보를 제공합니다. 이 장에서는 Business_Requirements.xls(Tools 및 Templates 폴더)에 자세하게 기록되어 있는 Woodgrove 은행에 대해 수집된 정보와 요구 사항을 사용합니다. 사용자는 설계 프로세스 중에 이 장에서 솔루션 설계의 배경에 있는 이유를 더욱 잘 이해할 수 있도록 자세하게 설명하고 있는 이 파일을 참조해야 합니다. 솔루션 설계 프로세스는 다음과 같은 주요 작업으로 구성되어 있습니다.
기본 그룹 모델링
컴퓨터 및 네트워크 액세스 그룹(NAG) 계획
추가 격리 그룹 구축
네트워크 트래픽 요구 사항 모델링
컴퓨터 그룹 및 NAG 구성원 지정
다음 섹션에서는 이러한 작업의 각 요소에 대해 설명합니다.
기본 그룹 모델링
대부분의 구현에서 초기 격리 그룹에 공통된 시작 지점을 갖는 것이 중요합니다. 다음 그림은 사용자가 고려해야 하는 두 가지 초기 격리 그룹을 제시합니다.
그림 4.1 기본 격리 그룹
기본 그룹은 격리 그룹 설계에 훌륭한 시작 지점인 논리적 컨테이너를 제공합니다.
트러스트되지 않은 시스템
개념적으로, 조직의 IT 부서가 운영, 관리 또는 알려지지 않은 컴퓨터로 시작하는 것이 가장 좋습니다. 이러한 컴퓨터는 일반적으로 트러스트되지 않거나 관리되지 않은 호스트로 일컬어지며 설계에서 식별될 첫 번째 시스템입니다. 이러한 컴퓨터는 도메인 지정된 IPsec 정책을 사용하지 않기 때문에 솔루션에 속할 수 없습니다.
이 그룹에 해당되는 컴퓨터의 예는 다음과 같습니다.
비 Windows 기반 컴퓨터 및 장치. Macintosh와 UNIX 워크스테이션 및 개인용 정보 단말기(PDA)에서는 IPsec 기능을 손쉽게 이용할 수 없습니다.
이전 Windows 운영 체제 버전. Microsoft Windows NT® 버전 4.0 및 Windows 9x를 실행하는 컴퓨터는 그룹 정책 기반 IPsec을 사용할 수 없습니다.
트러스트된 도메인에 참여하지 않은 Windows 기반 컴퓨터. 단독 실행형 컴퓨터는 IKE(인터넷 키 교환)에서 Kerberos 도메인 트러스트를 사용하여 인증할 수 없습니다. IKE 인증용 트러스트 경계로 사용되지 않는 포리스트에 의해 트러스트되지 않은 도메인에 참여한 컴퓨터는 도메인 또는 서버 격리 솔루션에 참여할 수 없습니다.
기타 비 Microsoft 원격 액세스 또는 VPN 클라이언트. 비 Microsoft IPsec 가상 사설망(VPN) 클라이언트가 조직의 원격 액세스 솔루션에 사용되지 않고 있는 경우 설치 시 Windows IPsec 서비스가 비활성화되었을 가능성이 있습니다. 기본 Windows IPsec 서비스를 사용할 수 없는 경우 해당 호스트는 이 솔루션에 참여할 수 없습니다.
원시 Windows IPsec 서비스가 실행되고 있을지라도 VPN 클라이언트는 VPN 터널 연결을 통해한 종단 간 IKE 및 IPsec 통신을 허용해야 합니다. 종단 간 IPsec이 VPN 연결을 통해 작동되지 않는 경우 원격 액세스에 사용된 모든 IP 서브넷을 제외하는 것이 가능합니다. 이 원격 클라이언트가 내부 네트워크에 다시 연결하는 경우 다시 격리 솔루션에 참여할 수 있습니다.
격리 도메인
격리 도메인은 트러스트된 호스트에 첫 번째 논리적 컨테이너를 제공합니다. 이 그룹의 호스트는 IPsec 정책을 사용하여 자체 허용되는 통신을 제어할 수 있습니다. 도메인이라는 용어는 이 컨텍스트에서 Windows 도메인을 제안하기 보다는 트러스트의 경계를 제시하기 위해 사용됩니다. 이 솔루션에서 두 개의 구문은 Windows 도메인 인증(Kerberos)이 트러스트된 호스트의 인바운드 연결에 필요하기 때문에 매우 유사합니다. 단, 많은 Windows 도메인(또는 포리스트)가 트러스트 관계로 연결되어 단일 논리적 격리 도메인을 제공할 수 있습니다. 따라서 하나와 동일하게 고려되어서는 안 됩니다.
격리 도메인의 통신 특징의 목표는 대부분의 조직의 컴퓨터에 "일반" 또는 표준 규칙을 제공하는 것입니다. 이러한 방식으로 대부분의 구현에 있어 격리 도메인에는 수많은 컴퓨터를 포함합니다. 해당 통신 요구 사항이 격리 도메인의 요구 사항과 다른 경우 솔루션용으로 다른 격리 그룹이 구축될 수 있습니다. 개념적으로 격리 도메인은 일종의 격리 그룹입니다.
경계 그룹
거의 모든 조직에 IPsec과 통신할 수 없는 수많은 워크스테이션 또는 서버가 있을 것입니다. 예를 들어, Mac 또는 UNIX 워크스테이션과 같은 컴퓨터는 IPsec을 통해 통신할 수 없을 수 있습니다. 종종 비즈니스 요구 사항은 이러한 컴퓨터가 격리 도메인의 트러스트된 호스트와 통신하기 위해 존재합니다. 아마도 이상적으로는 내부 네트워크의 모든 호스트가 동일한 수준으로 트러스트되고 IPsec을 사용할 수 있게 되고 해당 설계가 보다 단순해지는 것입니다. 단, 현실은 모든 운영 체제가 동일한 수준의 IPsec 지원을 제공하지 않고 있다는 것입니다.
이러한 상황에 대처하기 위해 권장되는 방법은 트러스트되지 않은 시스템과 통신하도록 허용된 호스트가 포함된 격리 그룹(본 가이드에서는 경계 그룹)을 구축하는 것입니다. 이러한 호스트는 트러스트되지 않은 컴퓨터에서 직접 들어오는 통신을 수실할 수 있기 때문에 높은 수준의 위험에 노출됩니다.
경계 그룹의 컴퓨터는 다른 트러스트된 호스트와 트러스트되지 않은 호스트 모두와 통신할 수 있는 트러스트된 호스트입니다. 경계 호스트는 원래 컴퓨터에 IKE 협상을 시도함으로써 IPsec을 사용한 통신을 시도합니다. 어떠한 IKE 응답도 3초 내에 수신되지 않는 경우 호스트는 선택을 취소하고 IPsec 없이 일반 텍스트로 통신을 구축하기 시작합니다. 경계 그룹의 호스트는 격리 그룹의 다른 트러스트된 호스트와 마찬가지로 IPsec 정책을 사용하기 때문에 동적 IP 주소를 가질 수 있습니다. 이러한 경계 그룹 호스트가 선택 취소를 사용하는 IPsec 보안 네트워크 통신 및 트러스트되지 않은 호스트를 사용하는 트러스트된 호스트와 통신하도록 허용되기 때문에 다른 방식으로 높은 수준으로 보안이 유지됩니다. 이러한 추가 위험을 이해하고 완화하는 것은 경계 그룹에 컴퓨터를 배치할 지를 결정하는 프로세스의 중요한 부분이 되어야 합니다. 예를 들어, 이 그룹에 배치 여부를 합의 하기 전에 각 컴퓨터에 공식적인 비즈니스 합리화 프로세스를 설정하는 것은 모든 관련 당사자가 추가 위험이 필요한 이유를 이해하는 데 도움을 줄 수 있습니다. 다음 그림은 그러한 결정을 내리는 데 도움을 줄 수 있는 예제 프로세스를 제시합니다.
그림 4.2 예제 경계 그룹 등록 프로세스의 결정 순서도
이 프로세스의 목표는 경계 그룹에 호스트 추가 위험이 조직에서 허용 가능한 수준으로 완화될 수 있는지 여부를 결정하는 것입니다. 결론적으로, 위험이 완화될 수 없는 경우 구성원 등록도 거부되어야 한다는 것을 가정해야 합니다.
예외 목록 만들기
서버와 도메인 격리 보안 모델은 모두 라이브 환경에서 구현되었을 경우 몇 가지 제약 조건의 적용을 받습니다. 도메인 컨트롤러, DNS 서버와 DHCP(Dynamic Host Configuration Protocol)와 같은 주요 인프라 서버는 일반적으로 내부 네트워크상의 모든 시스템이 사용 가능합니다. 분명하게 이러한 시스템은 네트워크 위험으로부터 가능한 최대 수준까지 보안되어야 합니다. 그러나, 도메인 구성원뿐 아니라 네트워크의 모든 시스템에 사용될 수 있기 때문에 이러한 서버 서비스는 인바운드 액세스에 IPsec을 요청할 수 없으며, 모든 트래픽에 IPsec 전송 모드 보호 사용을 활용할 수도 없습니다. 이러한 서비스 액세스, 특히 DNS에 대한 3초 선택 취소가 모든 내부 네트워크 액세스의 성능에 심각하게 영향을 끼치기 때문에 경계 그룹의 후보가 될 수 없습니다. 또한, 트러스트된 호스트는 컴퓨터 시작 동안 또는 네트워크 케이블 또는 카드가 모바일 컴퓨터에 연결되어 있는 경우 인터넷 프로토콜(IP) 주소를 얻기 위해 DHCP 서버에 대한 액세스가 필요합니다. 트러스트된 호스트는 도메인에 로그온하여 Kerberos 자격 증명을 받을 수 있도록 도메인 컨트롤러를 찾기 위해 DNS를 요청하기도 합니다. 따라서, IPsec 사용이 제외된 서버 및 서비스(프로토콜) 목록은 모든 내부 호스트가 공용 내부 네트워크 인프라를 공유하도록 허용할 뿐 아니라 IPsec이 제대로 작동되는 데 필요합니다. IPsec으로 보안될 수 없는 컴퓨터 목록은 예외 목록으로 일컬어지며 설계된 각 IPsec 정책으로 구현됩니다. 트러스트된 호스트가 액세스하기 위해 IPsec을 사용할 수 없는 네트워크 상의 다른 서버가 있을 수 있으며 예외 목록에 추가됩니다. 일반적으로, 다음 상황으로 인해 서버가 예외 목록에 포함될 수 있습니다.
호스트가 트러스트된 호스트가 액세스를 필요로 하지만 호환되는 IPsec 구현이 없는 컴퓨터인 경우
호스트가 트러스트되지 않은 호스트와 트러스트된 호스트에 서비스를 제공하지만 경계 격리 그룹의 등록의 기준을 충족하지 못하는 경우
호스트가 지연을 취소하기 위해 3초 선택 취소 또는 응용 프로그램의 IPsec 암호화의 영향을 받는 응용 프로그램용으로 사용되는 경우
호스트가 수천 개의 클라이언트를 동시에 지원하고 IPsec이 성능 영향으로 인해 사용할 수 없음이 발견된 경우
호스트가 서로 트러스트하지 않는 다른 격리 도메인에서 트러스트된 호스트를 지원하는 경우
도메인 컨트롤러와 도메인 구성원 간 IPsec이 현재 지원되지 않기 때문에 호스트가 도메인 컨트롤러인 경우 그러나, 도메인 컨트롤러는 이 목록의 다른 기준을 충족하고 IPsec 정책을 도메인 구성에 제공하고 격리 개념이 기반한 Kerberos 인증을 제공합니다.
호스트가 트러스트되고 트러스트되지 않은 호스트를 지원하지만 IPsec을 사용하여 트러스트된 호스트에 대한 통신을 보안하지 않는 경우
Windows의 IPsec 구현은 동적(또는 상태 저장) 필터링이 아직 정적 필터링만 지원합니다. 따라서, 아웃바운드 트래픽의 정적 제외는 인바운드 트래픽의 정적 제외이기도 합니다. 따라서 제외된 호스트는 모든 호스트(트러스트된 또는 트러스트되지 않은)에 대한 인증되지 않은 인바운드 액세스를 합니다. 따라서, 제외된 호스트의 수는 최소로 유지되어야 하고 이러한 호스트는 공격과 감염에 대해 가능한 긴밀하게 관리되고 강화되어야 합니다. 제외 목록의 호스트로부터의 인바운드 공격의 위험을 완화하려면 Windows 방화벽과 같은 호스트 기반 상태 저장 필터링 방화벽을 사용할 수 있습니다. Windows XP 서비스 팩(SP) 2는 방화벽 구성에 도메인 기반 그룹 정책 컨트롤을 제공했습니다. 또한, Windows 방화벽은 "Windows 방화벽: 인증된 IPsec 바이패스" 정책 설정을 사용하여 IPsec으로 보호될 때 방화벽을 통해 특정 컴퓨터만 승인하는 능력을 지원하기도 합니다. Woodgrove 은행은 Windows 방화벽 기능을 구현하지 않기로 했습니다. 단, 다른 환경은 격리된 도메인 또는 그룹 내에 높은 수준의 보안을 구현하는 것이 필요함을 발견할 수 있습니다. 자세한 내용은 Microsoft 다운로드 센터의 백서, "Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2"(영문)(https://go.microsoft.com/fwlink/?LinkId=23277)을 참조하십시오.
대규모 조직의 경우 모든 예외가 전체 도메인 또는 모든 트러스트된 포리스트에 대해 IPsec 정책에서 구현된 경우 예외 목록의 수가 증가할 수 있습니다. 목록이 커질수록 정책이 적용되는 모든 컴퓨터에 다음과 같이 수많은 원치 않는 영향을 끼칠 수 있습니다.
전반적인 격리의 효율성 감소
빈번한 업데이트로 인해 관리 부담 증가
더 많은 메모리 및 CPU 리소스 소비, 네트워크 처리량 속도 저하 및 정책을 다운로드하여 적용하는 데 필요한 시간 증가를 의미하는 정책 크기 증대
예외 수를 가능한 적게 유지하는 데 다음과 같은 몇 가지 옵션이 있습니다.
통신이 3초 지연 선택 취소를 견딜 수 있는 경우 예외를 사용하지 않습니다. 이 옵션은 도메인 컨트롤러에는 적용되지 않습니다.
각 격리 그룹, 특히 서버 전용 그룹이 통신 요구 사항을 신중하게 고려합니다. 클라이언트에 대해 도메인 수준의 정책에 모든 예외와 통신하는 것이 필요하지 않을 수 있습니다.
서버 기능을 통합합니다. 몇 가지 예외 서비스는 하나의 IP 주소로 호스트될 수 있는 경우 필터의 수가 감소됩니다.
동일 서브넷에서 예외된 호스트를 통합합니다. 네트워크 트래픽 볼륨이 허용되면 서버는 각 IP 주소에 대해 예외를 사용하기 보다는 제외된 서브넷에서 상주할 수 있었을 것입니다.
경계 그룹을 정의함에 따라 예외 목록에 추가된 호스트를 승인하기 위한 공식적인 프로세스가 있어야 합니다. 예외에 대한 요청을 처리하기 위한 모델로서 이전 그림의 결정 흐름도를 참조하십시오.
컴퓨터 및 네트워크 액세스 그룹 계획
격리 도메인과 각 격리 그룹은 네트워크 보안 요구 사항의 명백하고 완벽한 사양을 가지고 있어야 합니다. Tools 및 Templates 폴더의 Business_Requirements.xls 스프레드시트는 요구 사항이 문서화될 수 있는 방법에 대한 모델을 제공합니다. 인바운드 및 아웃바운드 요구 사항이 문서화된 후에 액세스 컨트롤을 구현하기 위한 메커니즘을 설계할 수 있습니다.
프로세스의 이 지점에서 격리 그룹 요구 사항을 지원하는 데 필요하게 될 새 Active Directory 그룹의 기록을 시작해야 합니다. 각 격리 그룹에 대해 세 개의 전문화된 Active Directory 그룹을 구축해야 합니다. 다음 섹션은 이러한 그룹의 각 역할을 설명합니다.
컴퓨터 그룹
각 격리 그룹은 격리 그룹의 구성원을 포함하는 데 사용될 컴퓨터 그룸이 구축되어야 합니다. 이것은 격리 그룹의 보안 요구 사항이 도메인에 할당된 GPO의 보안 설정의 몇 가지 유형으로 충족되기 때문에 필요합니다. 예를 들어, 이 솔루션은 GPO에서 보안 그룹 필터링을 사용하여 특정 격리 그룹의 컴퓨터에 IPsec 정책을 구현합니다. 컴퓨터 그룹의 구성원인 컴퓨터 계정은 GPO가 처리될 때 관련된 IPsec 정책이 할당됩니다. 이것은 적절한 GPO를 할당하기 위해 격리 그룹 구성원에 기반한 새 조직 단위(OU) 구조를 변경 또는 만들지 않는 것입니다. OU 구조가 격리 그룹의 구성원을 반영하기 위해 변경될 수 있는 경우 이러한 컴퓨터 보안 그룹은 그룹 정책의 응용 프로그램을 제거하는 데 필요하지 않습니다.
표 4.1: Woodgrove 은행 컴퓨터 그룹
컴퓨터 그룹 이름
설명
CG_IsolationDomain_Computers
이 범용 그룹에는 격리 도메인에 속하는 모든 컴퓨터를 포함합니다.
CG_BoundaryIG_Computers
이 그룹에는 트러스트되지 않는 시스템의 통신을 수락할 수 있도록 허용된 모든 컴퓨터를 포함합니다.
##### 네트워크 액세스 그룹
IPsec 및 Kerberos만을 사용하면 트러스트되고 트러스트되지 않은 인증 경계를 제공합니다. 다른 그룹과 이 그룹을 구별하기 위해 이 가이드는 *네트워크 액세스 그룹(NAG)*으로 이러한 그룹을 참조합니다.
사용자가 만들 수 있는 두 가지 유형의 NAG(허용 및 거부)가 있습니다. 이 그룹이 바로 분명하게 액세스를 허용 또는 거부할 수 있는 다른 트러스트된 시스템의 기능을 제어합니다. 그룹 정책의 사용자 권한을 "네트워크에서 이 컴퓨터 액세스 거부"(DENY) 또는 "네트워크에서 이 컴퓨터 액세스"(ALLOW)을 사용하여 이 컨트롤을 얻을 수 있습니다.
기술적으로 이 사용자 권한 액세스 컨트롤은 네트워크 로그온에 대해 계정을 인증하기 위해 로그온 자격 증명을 받는 네트워크 서비스에만 적용됩니다. "계정"은 컴퓨터, 사용자 또는 서비스 계정이 될 수 있습니다. IPsec 정책이 모든 트래픽을 보호하도록 구성된 경우 IKE는 원격 컴퓨터가 네트워크 로그온 권한을 갖고 있다는 것을 확인합니다. 따라서, 네트워크 로그온 권한은 이제 원격 컴퓨터가 IPsec 보호 연결을 할 수 있는 기능을 컨트롤합니다. 이러한 IP 수준의 액세스 컨트롤이 확인된 후에 정상적인 상위 계층 프로토콜(예: 파일 공유)은 일반적으로 다시 사용자 ID의 네트워크 로그온 권한을 평가하는 사용자를 인증합니다. 마침내, 서비스 특정 사용 권한(예: 파일 공유 액세스 컨트롤 목록)은 사용자 ID를 사용하여 평가됩니다. 자세한 내용은 2장, "서버 및 도메인 격리의 이해"의 네트워크 액세스 계층 다이어그램을 참조하십시오.
기본적으로 ALLOW 사용자 권한에는 모든 인증된 사용자 *및* 컴퓨터가 해당 컴퓨터에 액세스할 수 있는 *Everyone* 그룹이 포함됩니다. 이 솔루션의 구현 동안 Everyone 그룹은 조직 요구 사항에 따라 특정 컴퓨터 또는 사용자 및 그룹이 포함된 NAG가 설정된 그룹 정책 사용자 권한 할당을 통해 대체됩니다. 이와 마찬가지로 DENY 사용자 권한으로 IPsec 보호 인바운드 액세스를 갖지 않는 것으로 여겨진 컴퓨터를 갖습니다. 단일 그룹을 사용하여 사용자 및 컴퓨터 계정을 포함하는 것이 가능할지라도 Microsoft는 사용자 및 컴퓨터에 별도의 그룹을 사용할 것을 권장합니다. 이 접근 방식은 현재 기반으로 이러한 정책가 그룹을 관리 및 지원할 수 있는 기능을 개선합니다. ALLOW 및 DENY의 사용자 권한 할당의 구성은 초기 Windows 플랫폼 보안 가이드가 IPsec이 요청한 컴퓨터 인증을 명시적으로 제시하고 있지 않기 때문에 이 부분을 보완합니다.
NAG가 구현하는 요구 사항은 다음을 포함할 수 있습니다.
- 경계 호스트 또는 공개 영역에 있는 트러스트된 호스트에서 민감한 서버에 대한 네트워크 액세스 차단
- 중역이 사용하는 클라이언트 컴퓨터에 대한 중역에 전담된 서버 액세스 제한
- 연구 및 개발 프로젝트의 트러스트된 호스트를 도메인의 모든 기타 트러스트된 호스트에서 격리
Woodgrove 은행 시나리오에서 비즈니스 요구 사항은 해당 년에 구입할 수 있는 새 컴퓨터 하드웨어의 양에 제한을 둡니다. 프린터 서버는 트러스트된 호스트와 트러스트되지 않는 호스트가 인쇄를 허용하는 데 필요합니다. Woodgrove가 트러스트된 컴퓨터가 인쇄하도록 사용하는 새 서버를 구입하기를 원했을 경우 Woodgrove는 한 대의 서버가 두 가지 유형의 호스트의 요구를 충족하도록 결정했습니다. 따라서 경계 서버를 인쇄 서버로 구축했습니다. 프린터 서버가 트러스트되지 않은 컴퓨터가 감염되고 공격 받을 높은 위험에 있기 때문에 나머지 트러스트된 호스트는 해당 서버에서 인바운드 액세스를 차단해야 합니다. 트러스트된 호스트는 필요 시 인쇄 서버에 대한 아웃바운드 연결을 할 수 있습니다. 따라서, Woodgrove는 이러한 요건을 이행하기 위해 DENY NAG가 필요한 것으로 판단했습니다.
이러한 결정 프로세스 단계에서 NAG 구성원을 할당하는 것은 필요하지 않습니다. 필요한 것은 설계가 요청하는 NAG를 확인하고 문서화하는 것입니다. Woodgrove 은행의 설계자는 다음 NAG에 대한 필요성을 확인했습니다.
**표 4.2: Woodgrove 은행 네트워크 액세스 그룹**
NAG 이름
설명
DNAG_IsolationDomain_Computers
이 그룹에는 격리 그룹의 모든 트러스트된 호스트에 대한 인바운드 IPsec 보호 연결로부터 거부된 도메인 컴퓨터 계정이 포함됩니다.
#### 추가 격리 그룹 만들기
설계 프로세스의 이 지점에는 두 가지 격리 그룹, 격리 도메인과 경계 그룹이 있습니다.
조직의 비즈니스 요구 사항이 이러한 설계로 만족될 수 없는 경우 이 장의 다음 단계 섹션으로 이동하여 이러한 두 가지 격리 그룹의 트래픽 모델을 정의할 수 있습니다. 단, 귀하의 조직이 다른 인바운드 또는 아웃바운드 네트워크 액세스 컨트롤 또는 트래픽 보호를 갖도록 일부 트러스트된 호스트가 필요한 경우 격리 그룹은 각 다른 그룹의 요구 사항 집합에 대해 필요하게 됩니다.
이 섹션의 목적은 추가 그룹이 필요한 시기를 이해하는 데 도움이 됩니다. 해야 할 첫 번째 작업은 격리 도메인에 대해 설정으로 충족되지 않은 특정 격리 도는 트래픽 보호 요구 사항을 갖는 컴퓨터를 식별하는 것입니다. 새 그룹이 추가될 수록 전반적인 설계의 복잡성을 높여서 지원 및 관리하는 데 어렵게 하므로 이러한 호스트의 수를 최소로 유지해야 합니다.
새 그룹을 만들어야 하는 요구 사항의 일반적인 예는 다음과 같습니다.
- 암호화 요구 사항
- 네트워크 수준에서 필요한 제한된 호스트 또는 사용자 액세스
- 격리 그룹과는 다른 나가거나 들어오는 네트워크 트래픽 흐름 또는 보호 요구 사항
대부분의 경우에 소중한 데이터가 포함된 서버의 인바운드 액세스 요구 사항은 도메인의 트러스트된 호스트의 하위 집합만 연결을 허용하는 것입니다. 다른 경우에 트러스트된 호스트는 트러스트되지 않은 컴퓨터의 아웃바운드 연결을 허용하지 않아 정보 유출 또는 네트워크 트래픽의 보호를 위한 규제 적합성을 적용할 위험을 줄여줍니다. 예를 들어, Woodgrove 은행 시나리오에서 설계자들은 다음 두 가지 추가 격리 그룹을 만들어야만 수행될 수 있는 요구 사항을 확인했습니다.
- *Encryption* 그룹에는 최고의 보안 수준이 필요한 중요한 데이터가 있는 소규모 응용 프로그램 서버 그룹이 포함됩니다. 트러스트된 클라이언트의 특정 하위 집합만이 인바운드를 이러한 서버에만 연결하도록 허용됩니다. 이러한 서버가 있는 모든 네트워크 트래픽은 미국 연방의 금융 데이터 개인 정보 규제 사항과 호환되는 128비트 수준의 암호화를 필요했습니다. 최근에, 이러한 서버는 트러스트되지 않은 호스트에 아웃바운드 연결 또는 경계 호스트의 인바운드 연결의 수신이 허용되지 않습니다.
- *No Fallback* 그룹은 트러스트되지 않는 시스템에 대한 네트워크 통신을 제한해야 하는 격리 도메인의 수많은 트러스트된 호스트에 필요합니다.
두 번째 그룹에 취소 요구 사항이 없다 해도 응용 프로그램 서버와 마찬가지로 완전한 요구 사항 집합을 갖지 않습니다. 따라서, 이러한 두 가지 다른 요구 사항 집합은 두 개의 추가 격리 그룹이 필요함을 나타냅니다. 이러한 추가 그룹은 Woodgrove 은행의 전체 그룹 수를 4개로 만듭니다. 다음 그룹은 이러한 그룹이 최종 Woodgrove 은행 격리 그룹 설계에서 어떻게 나타나는지를 보여줍니다.
.gif)
**그림 4.3 최종 Woodgrove 은행 그룹 설계**
다음 4개의 그룹은 다음 설계 요구 사항을 충족하기 위한 정책이 필요합니다.
- **격리 도메인**. 이것은 모든 트러스트된 컴퓨터에 대한 기본 그룹입니다.
- **경계 격리 그룹**. 이 그룹은 트러스트되지 않은 호스트가 액세스하는 능력이 필요한 컴퓨터에 할당됩니다.
- **암호화 격리 그룹**. 이 그룹은 트러스트된 암호화된 통신 그룹을 통해서만 통신을 허용합니다.
- **취소 없음 격리 그룹**. 이 그룹에는 트러스트되지 않은 호스트에 직접 통신을 시작할 수 있는 기능이 허용되지 않도록 명시된 높은 수준의 보안 요구 사항을 갖는 컴퓨터가 포함됩니다.
Woodgrove 은행이 IPsec 정책이 필요한 두 가지 추가 그룹을 확인했기 때문에 이러한 새롭게 확인된 정책의 응용 프로그램을 제어하도록 추가 컴퓨터 그룹을 정의했습니다.
**표 4.3: 추가 Woodgrove 은행 컴퓨터 그룹**
컴퓨터 그룹 이름
설명
CG_NoFallbackIG_Computers
이 그룹에는 선택 취소가 허용되지 않는 모든 컴퓨터가 포함됩니다.
CG_EncryptionIG_Computers
이 그룹에는 암호화를 사용해야 하는 모든 컴퓨터가 포함됩니다.
따라서, Woodgrove는 트러스트된 호스트의 하위 집합에 대한 인바운드 액세스를 승인하기 위해 NAG가 필요할 것이라고 판단했습니다. Woodgrove 은행의 설계자는 다음 NAG를 만들었습니다.
**표 4.4: Woodgrove 은행 네트워크 액세스 그룹**
NAG 이름
설명
ANAG_EncryptedResourceAccess_Users
이 그룹에는 암호화 격리 그룹 서버에 액세스하도록 승인된 모든 사용자가 포함됩니다.
ANAG_EncryptedResourceAccess_Computers
이 그룹에는 암호화 격리 그룹 서버에 인바운드 네트워크 액세스를 하도록 승인된 모든 컴퓨터가 포함됩니다.
DNAG_EncryptionIG_Computers
이 그룹에는 암호화 격리 그룹의 호스트에 대한 액세스가 거부될 컴퓨터 계정의 그룹이 포함됩니다.
#### 네트워크 트래픽 요구 사항 수집
설계 프로세스의 이 지점에서 통신이 작업해야 할 양식과 함께 그룹 간 통과를 허용하게 될 통신 트래픽 요구 사항을 문서화해야 합니다. 해당 그룹에 대한 트래픽 요구 사항을 기록하는 데 다양한 방법이 있습니다. 그러나, Microsoft IT 지원 팀은 자신의 경험을 바탕으로 다이어그램을 만드는 것이 정확한 요구 사항을 전달하기 위한 가장 효율적인 방법이라는 것을 깨달았습니다.
다음 그림은 기본 그룹, 트러스트되지 않은 호스트와 예외 목록 간에 일반적으로 허용된 통신 경로를 나타냅니다. 이 모델을 단순화하기 위해 예외 목록이 단일 그룹 지정으로 나타납니다. 이것은 도메인 컨트롤러 또는 DNS 서버와 같이 인프라 서비스의 케이스입니다. 단, 격리 그룹은 해당 그룹의 컴퓨터에만 특정 컴퓨터를 제회하는 비즈니스 요구 사항을 가질 수 있습니다. 이러한 경우에 격리 그룹은 공통 항목뿐 아니라 제외될 컴퓨터의 추가 제외 목록을 포함하게 됩니다. Microsoft는 IPsec 인프라에서 시스템을 분명하게 제외하기 때문에 제외 목록 항목을 최소로 유지할 것을 권장합니다. 그림에서 검은 실선으로 표시된 모든 화살표는 통신에 IPsec을 사용하며, 점선은 IPsec 없이 허용되는 통신을 나타냅니다. 굶은 선으로 그려진 그룹은 해당 그룹의 컴퓨터에 IPsec 정책이 할당된 것입니다.
[.gif)](https://technet.microsoft.com/ko-kr/dd547887.sgfg0404_big(ko-kr,technet.10).gif)
**그림 4.4 기본 격리 그룹에 일반적으로 허용된 통신 경로**
다음 표는 기본 그룹, 보안되지 않은 시스템 및 제외 목록 간의 트래픽에 허용된 통신 경로를 기록합니다.
**표 4.5: 기본 격리 그룹에 허용된 통신 옵션**
경로
보낸 사람
받는 사람
양방향
IKE/IPsec 시도
선택 취소
암호화
1
ID
EX
필요함
필요 없음
필요 없음
필요 없음
2
ID
BO
필요함
필요함
필요 없음
필요 없음
3
ID
UN
필요 없음
필요함
필요함
필요 없음
4
BO
EX
필요함
필요 없음
필요 없음
필요 없음
5
BO
UN
필요 없음
필요함
필요함
필요 없음
6
UN
BO
필요 없음
필요 없음
필요 없음
필요 없음
7
UN
EX
필요함
필요 없음
필요 없음
필요 없음
이전 표에는 초기 격리 그룹 설계에서 허용된 각 통신 경로에 대한 통신 요구 사항이 기록되어 있습니다. 다음 목록에는 각 열에 대해 설명합니다.
- **경로**. 그룹 다이어그램에 예시된 통신 경로에 할당된 번호.
- **보낸 사람**. 트래픽의 초기자가 포함된 그룹입니다.
- **받는 사람**. 허용된 통신 경로를 통해 연결될 응답자가 포함된 그룹입니다.
- **양방향**. 트래픽이 **보낸 사람** 또는 **받는 사람** 그룹으로 시작될 수 있도록 경로가 초기자와 응답자의 역할이 전환될 수 있도록 허용하는지 여부를 나타냅니다.
- **IKE/IPsec 시도**. 이 경로가 IPsec을 사용하여 통신을 보안하도록 시도하는지 여부를 나타냅니다.
- **선택 취소**. 통신이 IKE 협상이 완료되지 못하는 경우 IPsec을 사용하지 않도록 전환할 수 있는지 여부를 나타냅니다.
- **암호화**. 이 경로가 IPsec 정책에 설정된 암호화 알고리즘을 사용하여 통신이 암호화되도록 할지 여부를 나타냅니다.
그룹 이름의 약식은 표의 정보를 가능한 간결하게 유지하는 데 사용됩니다. 이러한 설명서 양식을 사용하여 솔루션의 통신을 매우 간결하게 나타낼 수 있습니다. 모든 네트워크 트래픽이 분명하게 이 표에 명시되어 있지 않으면 허용되지 않는다는 가정으로 솔루션의 일부로서 보호될 트래픽을 식별하는 프로세스는 더욱 분명해집니다. 이전 그림에 제시된 예에서 다음에 허용된 각 경로가 다음과 같이 설명되어 있습니다.
- 트래픽 경로 1, 4와 7은 해당 IPsec 정책으로 나타난 모든 호스트에 명시적으로 허용된 네트워크 통신을 나타냅니다. 특정 예는 격리 그룹 마다 다를 수 있습니다.
- 트래픽 경로 2는 격리 도메인과 경계 그룹 간 통신을 나타냅니다. 이 경로는 IPsec을 사용하여 트래픽을 보호하려 합니다. 트래픽은 보안 요구 사항에 따라 암호화가 필요할 수 있습니다. IKE 협상이 실패하는 경우 IKE가 협상에 실패하면 선택 취소 옵션이 없기 때문에 통신이 실패하게 됩니다.
- 경로 3은 격리 그룹의 호스트가 트러스트되지 않은 호스트와 통신을 시작할 수 있음을 나타냅니다. 이 그룹의 정책을 통해 격리 그룹 호스트가 초기 IKE 협상 요청에 대한 응답이 없는 경우 선택을 취소하기 때문에 가능합니다. 트러스트된 호스트와 비 IPsec 연결을 시작하려는 트러스트되지 않은 시스템은 IPsec 인바운드 필터에 의해 차단됩니다.
- 트래픽 경로 5와 6은 경계 그룹과 트러스트되지 않은 시스템 간 허용된 통신을 문서화합니다. 경로 4는 경계 그룹이 분명하게 트러스트되지 않은 호스트와 아웃바운드 통신이 허용되었음을 나타냅니다. IKE 협상이 응답되지 않은 경우 호스트는 텍스트 통신의 선택을 취소합니다. 경로 5는 트러스트되지 않은 호스트에서 경계 그룹으로 시작된 트래픽을 포함합니다. 이 화살표가 경로 4와 유사하게 보일지라도 표의 세부 내용은 트러스트되지 않은 호스트가 경계 그룹과 IKE 협상을 시도하지 않고 있음을 보여줍니다. 트러스트되지 않은 호스트는 일반 텍스트 TCP/IP 연결과 연결됩니다.
기본 통신이 문서화된 후에 초기 그룹은 전반적인 계획과 동일한 방식으로 기록된 통신 요구 사항에 추가될 수 있습니다. 예를 들어, Woodgrove 은행 시나리오에서 필요한 두 개의 추가 그룹은 다음 그림에서 표시된 대로 더욱 복잡한 통신 다이어그램이 그려집니다.
[.gif)](https://technet.microsoft.com/ko-kr/dd547887.sgfg0405_big(ko-kr,technet.10).gif)
**그림 4.5 격리 그룹에 대해 Woodgrove Bank 허용 통신 경로**
다음 표에는 Woodgrove 은행 시나리오에 대해 추가 그룹에 트래픽에 대해 허용된 통신 경로를 기록합니다.
**표 4.6: 추가 격리 그룹에 허용된 통신 옵션**
경로
보낸 사람
받는 사람
양방향
IKE/IPsec 시도
선택 취소
암호화
8
EN
EX
필요함
필요 없음
필요 없음
필요 없음
9
EN
ID
필요함
필요함
필요 없음
필요함
10
EN
NC
필요함
필요함
필요 없음
필요함
11
EN
BO
필요 없음
필요함
필요 없음
필요함
12
NF
ID
필요함
필요함
필요 없음
필요 없음
13
NF
EX
필요함
필요 없음
필요 없음
필요 없음
14
NF
BO
필요함
필요함
필요 없음
필요 없음
이전 그림에 제시되고 이전 표에 설명된 예에서 각 추가 허용된 경로는 다음과 같이 설명됩니다.
- 경로 8과 13은 모든 제외된 트래픽에 대한 일반 통신입니다.
- 경로 9과 10은 암호화, 선택 취소 없음 및 격리 도메인 그룹 간에 필요한 ESP(Encapsulating Security Payload) 암호화된 통신을 보여줍니다. IKE 협상이 암호화를 사용한 통신을 보호하는 데 실패하는 경우 통신 시도가 실패합니다.
- 경로 11의 트래픽은 암호화 그룹에서 경계 그룹으로(그 반대는 아님) 통신이 시작되는 것만을 허용하기 때문에 약간 다릅니다. Woodgrove 은행이 암호화 그룹에 소중한 데이터를 배치하고 데이터가 트러스트되지 않은 리소스에 의해 직접 액세스되는 컴퓨터에 노출되지 않도록 하기 때문입니다.
- 12와 14에 해당하는 트래픽 경로는 IPsec AH 전송 모드 또는 인증되지만 암호화가 없는 IPsec ESP 전송 모드(ESP-Null)를 통해 구현될 수 있습니다.
이 예에서 설명하고 있는 것처럼 그룹을 추가하면 솔루션의 복잡성에 엄청난 영향을 끼칠 수 있습니다. 이러한 이유로 대부분이 변경 사항이 적용되는 경우 특히 초기 배포 단계에서 그룹의 수를 최소로 유지하는 것이 좋습니다.
#### 컴퓨터 그룹 및 네트워크 액세스 그룹 구성원 할당
트래픽 요구 사항이 설계에서 자세히 설명되어 있고 문서화된 후에 다음 단계는 어떤 호스트가 어떤 컴퓨터 그룹 또는 NAG의 구성원이 될지를 식별하는 것입니다.
이전에 언급한 것처럼 컴퓨터 그룹이 이 솔루션에 사용되어 연결된 IPsec 정책이 포함된 GPO를 적용합니다. 컴퓨터가 특정 격리 그룹에 속한다는 것을 확인한 후에 컴퓨터의 계정이 해당 그룹의 컴퓨터 그룹에 추가됩니다. 격리 도메인에 대해 모든 컴퓨터가 암시적으로 격리 도메인 컴퓨터 그룹에 속하기 때문에 이 단계는 필요하지 않습니다.
NAG 구성원 등록은 NAG가 구현하는 인바운드 승인에 기반하게 됩니다. 예를 들어, NAG가 특정 서버에 대한 통신을 알려진 클라이언트 집합으로 제한하기 위해 존재하는 경우 클라이언트 컴퓨터 계정은 적합한 NAG에 배치되어야 합니다. NAG는 필요한 경우에만 만들어지며 따라서 기본 구성이 없습니다.
##### 컴퓨터 그룹 구성원
컴퓨터 그룹은 어떤 GPO가 적용될지를 제어하는 데 사용되기 때문에 호스트가 두 개 이상의 컴퓨터 그룹으로 나타나지 않는 것이 중요합니다. 이론적으로 호스트가 두 개 이상의 컴퓨터 그룹에 속하도록 정책을 수정하는 것이 가능할 지라도 그러한 접근 방식의 복잡성으로 인해 신속하게 솔루션을 지원할 수 없게 됩니다.
일반적으로 컴퓨터 그룹 등록을 확인하는 이러한 작업은 복잡하지는 않지만 시간 소비적인 작업일 수 있습니다. 이 가이드의 3장, "현재 IT 인프라 상태에 대한 파악"에서 수행된 감사를 통해 생성된 정보를 사용하여 각 호스트를 해당 호스트의 격리 그룹 구성원에 기반하여 하나의 컴퓨터 그룹으로 배치해야 합니다. 다음 표에 제시된 것처럼 최종 설계에 컴퓨터 그룹 구성원을 기록하기 위해 그룹 열을 추가함으로써 이 배치를 결정할 수 있습니다.
**표 4.7: 예제 호스트 수집 데이터**
호스트 이름
하드웨어 요구 사항이 충족되는가?
소프트웨어 요구 사항이 충족되는가?
필요한 구성
세부 정보
예상 비용
그룹
HOST-NYC-001
필요 없음
필요 없음
하드웨어와 소프트웨어 모두 업그레이드
현재 운영 체제는 Windows NT 4.0입니다. 기존 하드웨어는 Windows XP와 호환되지 않습니다.
$XXX.
ID
SERVER-LON-001
필요함
필요 없음
트러스트된 도메인 참여, NT 4에서 Windows 2000 이상으로 업그레이드
바이러스 백신 소프트웨어 없음.
$XXX.
EN
##### 네트워크 액세스 그룹 구성원
이 설계 프로세스의 마지막 단계는 이 장의 초반에 확인된 NAG의 구성원을 채우는 것입니다. 트러스트된 도메인이 오직 하나의 컴퓨터에 그룹에만 속해야만 할지라도 트러스트된 호스트가 여러 NAG의 구성원이 되는 것은 가능합니다. 솔루션의 복잡성을 제한하기 위해 가능한 NAG의 수를 줄이십시오.
사용자 계정에 대한 NAG의 구성원 할당 시 얼마나 엄격하게 액세스를 제어할지 여부를 결정하십시오. 이미 표준 공유와 파일 사용 권한을 사용하여 올바른 제어 수준을 보장하는 리소스의 경우 구성원을 할당하는 가장 간단한 방법은 사용자의 NAG 구성원을 리소스에 대한 액세스가 필요한 포리스트의 각 트러스트된 도메인에서 Domain Users로 할당하는 것입니다. 이러한 접근 방식을 통해 인증된 사용자의 원래 기본 값의 동작을 복원하지만 로컬 사용자 계정은 포함하지 않습니다. 로컬 사용자 또는 서비스 계정이 필요한 경우 도메인 기반 GPO는 ALLOW와 DENY 네트워크 로그온 권한을 구성하기 위한 최상의 접근 방식이 아닐 수 있습니다. ALLOW와 DENY 사용자 권한 할당은 여러 GPO 사이의 설정을 통합하지 않습니다. 따라서 이 »»´퓨터는 ALLOW와 DENY에 대해 • 당된 도메인 기반 GPO가 할당되지 않고 사용자 지정된 로컬 GPP를 사용해야 합니다. IPsec 정책 할당을 구현하는 도메인 기반 GPO는 네트워크 로그온 권한을 구현하는 데 사용되는 GPO와 다른 경우 IPsec 정책 할당에 대한 도메인 기반 GPO는 사용될 수 있습니다.
또한, ALLOW NAG 또는 DENY NAG 또는 둘 다를 사용하는 인바운드 액세스 요구 사항을 구현하는 방법을 결정하십시오. 어떤 유형을 NAG를 만들지를 경정하는 것은 의도된 동작이 무엇이고 관리적 노력을 최소화하는 것이 무엇인지에 대해서만 온전히 기반합니다. 이미 존재하지만 사용자에 대한 빈 DENY NAG와 GPO "네트워크에서 이 컴퓨터 액세스 거부" 권한에 이미 채워진 컴퓨터에 대한 DENY NAG를 설정하는 것이 유용합니다.
보안 수준이 높은 시나리오의 경우 사용자 NAG의 구성원은 특정 사용자 또는 그룹에 할당될 수 있습니다. 이 방법이 사용된 경우 로컬 관리자 그룹의 구성원이고 모든 공유 및 파일 사용 권한에 대한 전체 제어권을 가지고 있어서 이 그룹의 구성원이 아닌 사용자는 네트워크 상에서 이 컴퓨터에 액세스하지 못하도록 차단된 다는 것을 이해해야 합니다.
Woodgrove 은행 시나리오의 경우 NAG\_EncryptedResourceAccess\_Users 구성원은 Domain Users로 할당되고 다음 표에서 처럼 기록되었습니다.
**표 4.8: 구성원이 할당된 Woodgrove 은행 네트워크 액세스 그룹**
NAG 이름
구성원
설명
ANAG_EncryptedResourceAccess_Users
User7
이 그룹은 암호화 격리 그룹 컴퓨터에 대한 IPsec 보호 연결을 하도록 승인된 모든 사용자를 대상으로 합니다.
ANAG_EncryptedResourceAccess_Computers
IPS-SQL-DFS-01
IPS-SQL-DFS-02
IPS-ST-XP-05
이 그룹은 암호화 격리 그룹 컴퓨터에 대한 IPsec 보호 연결을 하도록 승인된 모든 컴퓨터를 포함합니다.
DNAG_EncryptionIG_Computers
CG_BoundaryIG_Computers
이 그룹은 암호화 격리 그룹 컴퓨터에 대한 IPsec 보호 연결을 하도록 승인되지 않은 모든 컴퓨터를 포함합니다.
**참고**: NAG의 구성원은 IPsec 트래픽 보호 수준을 제어하지 않습니다. IPsec 정책 설정은 트래픽을 보호하는 데 사용된 보안 방법을 제어하고 IKE로 인증된 ID와 독립적입니다. IKE 협상은 Kerberos 컴퓨터 ID가 인증 프로세스를 통과 또는 실패 여부만을 알 수 있습니다. "사용자3이 연결하는 경우 암호화" 또는 "트러스트된 호스트가 IPS-SQL-DFS-01 또는 IPS-SQL-DFS-02인 경우 암호화"의 정책을 구현할 수 없습니다. 관리자는 "인바운드 트러스트된 호스트 연결에 대해 암호화"와 "트러스트된 호스트에 대한 아웃바운드 연결에 대해 암호화"를 필요로 하는 암호화 격리 그룹의 서버에 대해 IPsec 정책을 사용함으로써 의도된 동작을 수행해야 합니다.
지금까지 이 설계 프로세스는 IPsec 정책 설계의 세부 사항을 검토하지 않았습니다. 5장은 Woodgrove에 대한 IPsec 정책 설계에 세부 사항을 제공합니다.
설계 프로세스의 이 지점에서 사용자의 요구 사항을 초안 설계로 변환하는 데 필요한 작업을 완료했습니다. 이 섹션은 IPsec 정책 만들기에 필요하게 될 설계와 문서 모두를 개발하는 데 도움이 되었습니다.
##### 사용자의 설계에 영향을 끼치는 제한 사항
다음 문제는 사용자의 설계에 영향을 끼칠 수 있으므로 설계가 완료되었다고 여겨지기 전에 고려되어야 합니다.
- **고유한 호스트에 의한 IPsec을 사용한 서버에 대한 최대 동시 연결 수**. 동시 연결 수는 사용률이 높은 서버에서의 IPsec 구현이 원활하게 될 것인지 IKE 또는 IPsec 처리로 CPU를 오버로드할 것인지 여부를 결정 짓는 주요한 요인입니다. 각 성공적인 IKE 협상은 사용자 모드 메모리의 약 5KB를 차지하는 SA를 구축합니다. CPU 리소스는 피어가 모두 동시 연결된 상태에서 현재 IKE SA 상태를 유지하는 데 필요합니다. 확장에 대한 자세한 내용은 "[Improving Security with Domain Isolation: Microsoft IT implements IP Security(IPsec)](https://www.microsoft.com/technet/itsolutions/msit/security/ipsecdomisolwp.mspx)" 백서(영문)(www.microsoft.com/technet/itsolutions/msit/security/ipsecdomisolwp.mspx)를 참조하십시오.
- **IPsec을 사용한 호스트에 대한 최대 Kerberos 토큰 크기 제한**. 사용자 당 약 1,000개 그룹이라는 실질적인 제한이 있고 해당 값이 초과된 경우 GPO 응용 프로그램이 발생하지 않을 수 있습니다. 이 주제에 대한 자세한 내용은 Microsoft 기술 자료 문서 327825 "[New Resolution for Problems That Occur When Users Belong to Many Groups](https://support.microsoft.com/?kbid=327825)"(https://support.microsoft.com/?kbid=327825)와 306259 "[Members of an Extremely Large Number of Groups Cannot Log On to the Domain](https://support.microsoft.com/?kbid=306259)"(https://support.microsoft.com/?kbid=306259)를 참조하십시오.
이러한 문서가 사용자를 명시적으로 언급한다 해도 Kerberos MaxTokenSize가 컴퓨터 계정에도 적용되기 때문에 컴퓨터 계정에 대해 문제가 존재합니다. 이러한 제한 사항은 대부분의 구현에서는 거의 적용되지 않지만 한 대의 컴퓨터(클라이언트)를 수많은 NAG에 놓기로 결정한 경우 이 문제를 알고 있어야 합니다.
사용자의 설계가 이러한 문제의 영향을 받게 되는 경우 문제 해결을 위해 설계 프로세스를 다시 반복해야 합니다. 예를 들어, 매우 과도하게 부하된 서버를 제외 목록으로 이동함으로써 최대 동시 연결 수를 해결할 수 있습니다. 사용자의 설계에서 사용하게 될 NAG이 수를 줄임으로써 최대 Kerberos 토큰 크기를 해결해야 합니다.
이러한 제한 사항이 사용자의 설계에 영향을 끼치지 않는 경우 다음 단계는 설계가 조직에 배포되는 방법을 고려하는 것입니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 그룹 구현 방법
초기 설계를 만든 후에 주의 깊게 IPsec 배포 프로세스를 고려해야 합니다. 최소의 환경에서만 모든 컴퓨터에 단순히 정책을 배포하고 IPsec이 사용자에게 허용할 만한 작은 영향을 끼치면서 원할하게 작동될 것을 기대할 수 있습니다.
대규모 조직에서 복잡성과 위험으로 단계별 배포 전략이 필요합니다. 그러한 접근 방식을 사용함으로써 조직은 환경에 대한 기본 변경 사항과 관련된 위험을 완화할 수 있습니다. 주의 깊게 계획하지 않으면 지원 센터 통화와 생산성 저하로 배포 비용이 긴급하게 증가합니다.
조직에 IPsec을 배포하는 데 수많은 방법이 있습니다. 배포 방법을 결정하는 데 도움이 되는 일부 요인은 다음과 같습니다.
- 환경의 시작 및 종료 상태.
- 그룹 구성의 복잡성.
- 도메인 구조의 복잡성.
- 조직의 위험 허용도.
- 보안 요구 사항.
다음 배포 방법은 모두 포함되는 것은 아니지만 사용자가 취할 수 있는 예상 접근 방식의 예를 제공합니다. 이러한 접근 방식의 조합을 사용할 수도 있습니다. 일반적으로 조직은 문제를 해결하고 복잡한 환경에 관리 협조를 줄일 수 있도록 적절한 시간을 사용하도록 초기에 통신을 제한 또는 차단하는 IPsec 정책을 배포해서는 안 됩니다.
IPsec을 배포하는 데 사용되는 접근 방식에 관계 없이 특정 시퀀스와 롤아웃 단계 및 정책 변경 사항의 타이밍을 포함하여 배포 시나리오가 랩 환경에서 철저하게 테스트되는 것이 아주 좋습니다. 또한, IPsec 기능을 요청하지만 선택 취소를 사용하여 일반 텍스트 통신을 수락하는 필터 옵션을 사용하십시오. 이러한 접근 방식으로 초기 롤아웃의 영향이 최소화됩니다. 롤아웃이 완료된 후에 트래픽이 IPsec으로 보호되어야 하는 더욱 안전한 작업 모드로 계속하십시오.
생산 환경의 배포의 경우 초기 시험은 롤아웃의 각 주요 단계에 매우 중요합니다. Kerberos 티켓 주기, 그룹 정책 폴링 간격 및 IPsec 정책 폴링 간격으로 인해 생산 환경에 영향을 끼치기 때문에 IPsec 정책 변경 사항의 영향을 분석하는 것이 특히 중요합니다. 모든 영향을 받는 IT 조직이 변경 사항과 의사 결정자에 대한 의견을 협조하는 방법을 알 수 있도록 롤백 전략과 롤백 범주로 공식적인 변경 제어 프로세스를 구현해야 합니다.
#### 그룹별 배포
그룹별 배포 방법은 완전하게 정의된 IPsec 정책을 사용하지만 정책을 구현하는 GPO 상의 그룹과 ACL의 사용을 통해 정책의 응용 프로그램을 제어합니다.
그룹별 배포 방법에서 IPsec 정책은 최종 구성에서 Active Directory에 만들어집니다. 각 IPsec 정책에서는 모든 제외 및 보안 서브넷이 적합한 필터 작업이 활성화된 적합한 필터 작업으로 정의됩니다.
그런 다음 IPsec 정책 관리자는 각 IPsec 정책에 대해 GPO를 만듭니다. 또한, 컴퓨터 그룹은 이러한 새롭게 만들어진 GPO를 관리하고 적용하기 위해 도메인에 만들어집니다. GPO의 ACL은 Authenticated Users의 구성원이 더 이상 "Apply" 권한을 갖지 않도록 수정됩니다. 해당 정책의 관리 및 응용 프로그램에 대한 적합한 관리자 사용자 그룹도 GPO에 대한 권한을 부여 받습니다.
다음으로 적합한 IPsec 정책이 해당 GPO에 할당됩니다. 또한, GPO는 Active Directory의 적합한 개체에 연결됩니다. 적절하게 이 시점에서 GPO 할당을 제어하는 ACL(GPO를 읽는 기능)이 비어 있기 때문에 환경의 어떠한 컴퓨터도 정책을 받아서는 안 됩니다.
마지막으로 정책을 받는 컴퓨터는 확인되고 해당 컴퓨터 계정은 GPO에 대한 읽기 액세스를 가진 적합한 컴퓨터 그룹에 배치됩니다. 컴퓨터의 Kerberos 티켓이 그룹 구성원 정보로 업데이트된 후에 해당 IPsec 정책과 함께 GPO는 다음 그룹 정책 폴링 간격에 적용됩니다.
**참고**: 도메인 컴퓨터가 IPsec 정책 개체 또는 Active Directory의 IPsec 정책 컨테이너를 읽지 못하게 하는 ACL은 권장되지 *않습니다*.
두 개의 IPsec 정책(IPsec 표준 및 IPsec 암호화)이 정의되어 있는 조직을 고려하십시오. IPsec 표준 정책은 들어오는 트래픽이 IPsec을 사용하도록 요청하지만 비 IPsec 기반 컴퓨터를 실행하는 경우 시스템이 선택 취소되도록 하는 기본 정책입니다. IPsec 암호화 정책은 암호화된 IPsec이 항상 협상되도록 요청합니다.
이 예에서 조직의 관리는 Active Directory에서 두 개의 GPO(표준 IPsec GPO와 암호화된 IPsec GPO)를 만듭니다. 또한 다음 표에 해당 그룹을 확인합니다.
**표 4.9: IPsec 관리 그룹**
그룹 이름
그룹 유형
설명
IPsecSTD
범용
IPsec 표준 정책의 응용 프로그램을 제어합니다.
IPsecENC
범용
IPsec 암호화 정책의 응용 프로그램을 제어합니다.
두 개의 새롭게 만들어진 GPO의 ACL은 자동으로 Authenticated Users 그룹에 적용되지 않고 적합한 응용 프로그램 그룹 및 관리 그룹이 올바른 권한을 부여 받도록 업데이트됩니다. 관리를 통해 다음 표의 정보에 따라 두 개의 GPO에 대해 ACL를 수정했습니다.
**표 4.10: GPO의 그룹 권한**
그룹
표준 IPsec GPO
암호화된 IPsec GPO
Authenticated Users
Read
Read
IPsecENC
없음
Read
그룹 정책 적용
IPsecSTD
Read
그룹 정책 적용
없음
**참고:** 이 표는 추가되거나 수정된 사용 권한만을 보여줍니다. 또한 사용 권한이 있는 일부 추가 그룹이 있습니다.
관리자는 두 개의 GPO를 Active Directory의 도메인에 연결했습니다. 이러한 접근 방식으로 위치를 수정하지 않고 정책은 도메인의 컴퓨터에만 적용되도록 합니다(컴퓨터가 정책을 차단하는 OU에 있지 않은 경우).
컴퓨터가 확인됨에 따라 해당 컴퓨터 계정이 IPsecSTD 그룹 또는 IPsecEnc 그룹에 추가됩니다. 일정 기간 후에 해당 IPsec 정책이 적용되어 실행됩니다.
이 방법을 실행하려면 통신이 중단되지 않도록 주의 깊은 계획이 필요합니다. 예를 들어, 서버가 IPsecEnc 그룹에 있지만 해당 서버에 의존했던 여러 클라이언트가 IPsec을 협상할 수 없는 경우 이러한 클라이언트와 서버 간 통신은 중단될 수 있습니다.
#### 정책 구축별 배포
이 배포 방법은 IPsec 정책이 배포 동안 초기 부터 구축될 수 있는 방법을 사용합니다. 이 방법의 이점은 IPsec이 그룹별 배포 방법의 모든 내부 서브넷용 대신에 총 TCP/IP 트래픽의 작은 비율에 대해서만 협상된다는 것입니다. 또한, 네트워크의 IKE 협상과 IPsec 보호 트래픽을 통과하는 데 문제가 없도록 내부 네트워크의 모든 네트워크 경로의 테스트가 이 대상 서브넷으로만 허용됩니다. 더우기 IPsec의 폴링 간격은 Kerberos TGS(Ticket Granting Service) 또는 서비스 티켓의 그룹 구성원 변경 사항에 의존하는 대신 더욱 신속하게 IPsec 정책 업데이트(롤백 포함)를 실행할 수 있다는 이점이 있습니다. 이 방법의 단점은 그룹별 배포 방법의 특정 컴퓨터가 아닌 격리 도메인 또는 그룹의 모든 컴퓨터에 적용된다는 것입니다. 또한, 모든 컴퓨터는 지정된 서브넷 통신 시 일정한 지점에서 3초 지연 선택 취소 옵션을 갖게 됩니다.
이러한 배포 방법에서 IPsec 정책만 초기에 제외를 포함하지만, 컴퓨터가 IPsec 정책의 보안을 협상하는 데 규칙이 존재하지 않습니다. 이러한 방법은 먼저 테스트하여 사용 중일 수 있는 이전에 존재하는 로컬 IPsec 정책이 제거되도록 하는 것입니다. 관리 팀은 특별한 프로세스로 이러한 시스템을 관리하기 위해 미리 로컬로 정의된 IPsec 정책을 사용하는 호스트를 확인할 수 있어야 합니다. 로컬 IPsec 정책이 도메인 정책에 의해 무시된 경우 영향을 받는 컴퓨터에 대해 통신 중단과 보안 손실이 있을 수 있습니다. 도메인 정책 응용 프로그램에 의해 덮어 씌어진 로컬 정책과는 달리 Windows Server 2003에 영구 정책은 도메인 정책의 응용 프로그램의 결과와 통합됩니다. 영구 정책이 포함된 시스템은 작동되는 것처럼 보일 수 있으나 영구 정책의 구성은 동작을 변경하거나 실제로 도메인 정책이 제공하는 보안을 완화시킬 수 있거나 보안 서브넷 규칙이 정책에 추가된 후에 통신을 중단시킬 수 있습니다.
다음으로, 사용자는 조직의 네트워크 내 단일 서브넷에만 영향을 끼치는 필터로 보안 규칙을 만들 수 있습니다(예: From Any IP to Subnet A all traffic, negotiate). 이러한 규칙으로 필터 작업이 인바운드 일반 텍스트를 수락하고 서브넷 선택 취소가 활성화된 모든 아웃바운드 트래픽에 대해 협상을 실행하게 됩니다. 이러한 IPsec 정책의 모든 도메인의 롤아웃이 적용됨에 따라 통신은 서서히 해당 서브넷이 아닌 트러스트된 호스트에 대해 소프트 SA에서 정상 IPsec 보안 연결로 이동됩니다. 임의의 IKE 협상 오류는 조사되어 해결됩니다. 임의의 응응 프로그램 비호환성은 확인되고 수정됩니다. IPsec은 해당 서브넷 내에 트러스트된 호스트 간 통신을 보호합니다. 해당 서브넷 외의 트러스트된 호스트의 통신은 3초 지연 후에 선택이 취소됩니다. 해당 정책이 최종 상태로 구축될 때 까지 추가 서브넷이 보안 규칙에 추가됩니다.
IPsec 협상을 요청하지만 선택 취소 일반 텍스트 통신이 실패하는 IPsec 표준 정책이라고 불리는 단일 IPsec 정책이 정의된 조직을 고려하십시오. 이 정책은 Active Directory에 만들어지고 제외 규칙만을 포함합니다.
표준 IPsec GPO가 만들어지고 연결되어 환경의 모든 컴퓨터에 적용됩니다. 또한, IPsec 표준 정책이 이 새 GPO에 할당됩니다.
모든 컴퓨터에는 결과적으로 IPsec 정책이 할당됩니다. 이러한 도메인 정책이 기존 로컬 정책보다 우선하기 때문에 로컬 IPsec 정책과 관련된 문제가 발견됩니다. 모든 서브넷이 보안 서브넷 필터 목록에 나타나기 까지 문제는 점차적으로 해결됩니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### Woodgrove 은행의 그룹 구성원
Woodgrove 은행은 빌드 방법을 사용하여 모든 컴퓨터를 경계 그룹으로 먼저 이동함으로써 생산 배포를 구현합니다. 이러한 접근 방식을 통해 관리자는 더욱 느리게 계속하여 모든 시스템 간 통신에 영향을 상당히 끼치지 않고 해결되지 않은 문제를 해결합니다. 먼저 보안 서브넷 없이 정책을 배포함으로써 관리 팀은 로컬 IPsec 정책이 할당된 시스템을 확인하고 해당 정보를 좀 더 숙고할 수 있었습니다. 서브넷이 정책에 추가되면서 발생하는 추가적인 충돌을 해결했습니다.
컴퓨터가 경계 그룹 정책 하에서 작동된 후에 해당 팀은 격리 그룹, 선택 취소 없음 및 암호화 그룹을 구현했습니다. 이러한 그룹의 배포는 그룹별 배포 방법을 사용했습니다. 테스트로 일련의 컴퓨터를 선택하여 새 정책을 제어하는 적절한 그룹에 추가했습니다. 문제는 발견 시 해결되고 그룹이 완전히 채워지기 까지 계속해서 컴퓨터가 그룹에 추가되었습니다.
다음 표에는 해당 컴퓨터 그룹 및 NAG와 솔루션이 완전히 배포된 후에 구성원을 나타냅니다.
**표 4.11: 컴퓨터 및 네트워크 액세스 그룹 구성원**
컴퓨터 또는 네트워크 액세스 그룹
구성원
CG_IsolationDomain_Computers
도메인 컴퓨터
CG_BoundaryIG_Computers
IPS-PRINTS-01
CG_NoFallbackIG_Computers
IPS-LT-XP-01
CG_EncryptionIG_Computers
IPS-SQL-DFS-01
IPS-SQL-DFS-02
ANAG_EncryptedResourceAccess_Users
User7
ANAG_EncryptedResourceAccess_Computers
IPS-SQL-DFS-01
IPS-SQL-DFS-02
IPS-ST-XP-05
DNAG_EncryptionIG_Computers
CG_BoundaryIG_Computers
ANAG\_EncryptedResourceAccess\_Computers 그룹에는 암호화 격리 그룹의 서버가 포함되어 있음을 유의합니다. 이것은 이러한 서버가 자체 통신하고 서로가 필요하기 때문입니다. 이러한 통신이 해당 서버에 필요하지 않은 경우 해당 서버를 이 그룹에 추가할 필요가 없습니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 요약
이 장에서는 서버 및 도메인 격리 그룹의 설계 프로세스를 설명했습니다. 컴퓨터 그룹과 NAG의 필요성을 확인하고 기본 격리 그룹을 이해하며, 격리 그룹을 추가하고 트래픽 모델을 완료하며, 구성원을 해당 그룹에 할당하고 배포 롤아웃 방법을 계획하는 등의 작업이 포함되었습니다.
이 장에서는 또한 가장 조직인 Woodgrove 은행의 IPsec 구현을 사용하여 설계 프로세스를 실제로 예시하고 Microsoft 테스트 랩에서 해당 설계를 입증했습니다.
그룹 설계는 비즈니스 요구 사항과 이전 두 개의 장과 **Business\_Requirements.xls** 스프레드시트(Tools 및 Templates 폴더에 제공)에 문서화된 발견 정보에 기반합니다. 네트워크에 대한 IPsec의 영향에 대한 평가도 중요한 고려 사항이었습니다.
이 장을 읽은 후에 격리 그룹을 계획하고, 해당 그룹 간 통신 요구 사항을 문서화하며 높은 수준의 IPsec 정책을 계획하기 시작하는 데 충분한 정보를 가지고 있어야 합니다. 이러한 작업을 통해 5장, "격리 그룹을 위한 IPsec 정책 만들기"에 대비할 수 있습니다.
#### 추가 정보
이 섹션은 이러한 솔루션을 구현하는 데 유용한 추가 정보에 대한 링크를 제공합니다.
##### IPsec
다음 링크는 광범위한 Windows 특정 IPsec 콘텐츠를 제공합니다.
- "[Using Microsoft Windows IPSec to Help Secure an Internal Corporate Network Server](https://www.microsoft.com/download/details.aspx?familyid=a774012a-ac25-4a1d-8851-b7a09e3f1dc9&displaylang=en)"(영문) 백서는 중요한 정보를 처리하거나 보관하는 내부 서버의 네트워크 액세스의 보안을 유지하기 위해 IPsec을 사용하는 첫 번째 모델을 제시합니다. 이 백서는 다음 웹 사이트에서 다운로드할 수 있습니다. www.microsoft.com/downloads/details.aspx?FamilyID=a774012a-ac25-4a1d-8851-b7a09e3f1dc9&displaylang=en.
- 모든 도메인 구성원을 보호하기 위한 Microsoft IPsec 배포는 사례 연구 "[Improving Security with Domain Isolation: Microsoft IT implements IP Security(IPSec)](https://www.microsoft.com/technet/itsolutions/msit/security/ipsecdomisolwp.mspx)"(영문)(www.microsoft.com/technet/itsolutions/msit/security/ipsecdomisolwp.mspx)에 설명되어 있습니다.
- [IPsec for Windows 2000](https://www.microsoft.com/windows2000/technologies/communications/ipsec/default.asp) 페이지(영문)(www.microsoft.com/windows2000/technologies/communications/ipsec/)
- Microsoft Windows Server 2003 [IPsec](https://www.microsoft.com/windowsserver2003/technologies/networking/ipsec/default.mspx) (영문)페이지(www.microsoft.com/windowsserver2003/technologies/networking/ipsec/)
##### 보안
- Microsoft IT 보안 위험 평가 접근 방식은 "[IT Security at Microsoft Overview](https://www.microsoft.com/korea/technet/itsolutions/msit/security/mssecbp.asp)" 백서(www.microsoft.com/technet/itsolutions/msit/security/mssecbp.mspx)에 문서화되어 있습니다.
##### Windows Server 2003 Active Directory
Active Directory에 대한 자세한 내용은 다음 웹 사이트를 참고하십시오.
- [Windows Server 2003 Active Directory](https://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx) (영문)페이지(www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/)
[](#mainsection)[페이지 위쪽](#mainsection)
**전체 솔루션 다운로드**
[IPsec 및 그룹 정책을 통해 서버 및 도메인 격리](https://go.microsoft.com/fwlink/?linkid=33947)
[](#mainsection)[페이지 위쪽](#mainsection)
.gif)
.gif)