Microsoft Forefront: Forefront를 사용한 심층 방어 실현
Microsoft Forefront가 제공하는 여러 가지 보호 계층 및 모드를 사용하여 필요에 맞게 보호 기능을 구성할 수 있습니다.
William Stanek
스팸, 바이러스, 피싱 사기에 맬웨어까지, 밖은 정글입니다. 악당들이 호시탐탐 기회를 노리고, 과거의 보안 생존 도구와 기술만으로는 이들을 상대하기에 역부족입니다. 한 걸음 앞서 나가려면 도구와 생각을 재정비해야 합니다. Microsoft Forefront가 바로 여기에 도움이 됩니다.
Forefront는 엔터프라이즈급 ID 관리 및 보호 솔루션을 제공하는 다중 계층 제품군입니다. 미로처럼 복잡한 Forefront 제품군을 살펴보다 보면 어지럽게 느껴질 정도입니다. 제품 편성이 바뀌는 중인 탓도 있고 Forefront가 제공하는 일명 DiD2(Defense in Depth Squared) 기능 때문이기도 합니다.
일부 바뀐 부분도 있지만 현재 Forefront에 포함된 개별 제품은 다음과 같습니다.
- Forefront for Office Communications Server 2007 R2
- Forefront Identity Manager 2010
- Forefront Endpoint Protection 2010
- Forefront Threat Management Gateway 2010
- Forefront Unified Access Gateway 2010
- Forefront Online Protection for Exchange Server
- Forefront Protection 2010 for Exchange Server
- Forefront Protection 2010 for SharePoint
상당히 많습니다. 특히 위의 제품들이 속속 나오는 동안 단계적으로 단종되고 있는 다음과 같은 관련 제품까지 더하면 그 양은 더 늘어납니다.
- Identity Lifecycle Manager 2007
- Forefront Client Security
- ISA Server 2006
- Intelligent Access Gateway 2007
- Office Communications Server 2007
- Forefront Security for Office Communications Server
대체
Lync Server는 Office Communications Server 2007을 대체합니다. Lync Server는 현재 상태, 회의 및 인스턴트 메시징 기능과 기존 PBX 시스템을 강화하거나 대체하는 엔터프라이즈급 음성 기능을 제공하는 UC(통합 통신) 플랫폼입니다.
Forefront Protection 2010 for Lync Server를 내부 서버에 설치하여 UC 환경을 보호합니다. Forefront Protection은 검사 엔진, 그리고 정책에 맞지 않는 콘텐츠를 차단하고 맬웨어 및 스팸을 걸러내는 필터를 사용하여 현재 상태, 회의 및 인스턴트 메시징을 보호합니다.
Forefront Identity Manager 2010은 Identity Lifecycle Manager 2007을 대체합니다. Forefront Identity Manager는 사용자 ID, 사용자 액세스 수준, 리소스 및 자격 증명을 제어하기 위한 통합 정책 관리 시스템입니다. 이 제품은 이종 환경을 고려하여 설계되었으므로 기업 소유자와 IT 부서는 이 제품을 사용하여 LOB(기간 업무) 응용 프로그램, 데이터베이스 및 디렉터리를 포함한 모든 엔터프라이즈 시스템이 동일한 정책 집합을 따르도록 할 수 있습니다. Forefront Identity Manager(그림 1 참조)의 초점은 다음과 같습니다.
- 사용자 관리: 사용자 액세스 및 리소스 준비/회수
- 자격 증명 관리: 여러 시스템 간 자격 증명 관리 및 동기화
- 그룹 관리: 보안 그룹 및 메일 그룹 관리
- 정책 관리: 정책을 만들어 여러 시스템에 적용
.jpg)
그림 1 한눈에 보는 Forefront Identity Manager 2010
Forefront Endpoint Protection 2010은 네트워크 끝점을 관리하고 보호하기 위한 통합 솔루션입니다. 끝점 컴퓨터는 엔터프라이즈에 속하며 일반적으로 게이트웨이나 진입점으로 사용되지 않는 클라이언트 또는 서버입니다. Forefront Endpoint Protection은 Forefront Client Security를 대체하며 System Center Configuration Manager 2007을 기반으로 합니다.
Forefront Endpoint Protection은 Configuration Manager 인프라를 사용하여 끝점 보호 기능을 배포 및 관리합니다. Forefront Endpoint Protection의 두 가지 기본 구성 요소는 보안 에이전트와 관리 서버입니다(그림 2 참조). 보안 에이전트는 끝점 컴퓨터에서 실행되면서 모든 유형의 맬웨어에 대한 실시간 보호 기능을 제공하고 미리 설정된 일정에 따라 위협 요소를 검사합니다. 관리 서버를 사용하면 보호 기능 배포 및 관리를 중앙화할 수 있습니다.
.jpg)
그림 2 Forefront Endpoint Protection 2010의 두 가지 기본 구성 요소
Forefront Threat Management Gateway(TMG) 2010은 ISA Server 2006을 대체합니다. Forefront TMG는 웹 기반 위협 요소에 대한 보호 기능을 제공하는 보안 웹 게이트웨이입니다. 이 서버는 위협 관리 방화벽 역할을 하며 URL 필터링, 맬웨어 탐지, 침입 방지 및 HTTP/HTTPS 검사 기능을 제공합니다. Forefront TMG는 HTTPS 검사(그림 3 참조)를 통해 전송 중 SSL 암호화 웹 트래픽을 검사하여 이 트래픽이 보안 정책을 준수하는지 확인할 수 있습니다. 이 기능은 맬웨어 탐지를 용이하게 하고 웹 사용을 승인된 사이트로 제한하면서 금융 거래 사이트와 같은 민감한 특정 사이트는 검사에서 제외할 수 있습니다. 그림 3은 이 프로세스의 작동 원리를 간략히 보여 줍니다.
Forefront TMG는 VPN(가상 사설망) 끝점 역할을 하면서 사이트 간 VPN을 활성화하고 원격 액세스 VPN 클라이언트가 TMG 서버에서 종결될 수 있도록 합니다. 또한 TMG 서버에서 종결되는 VPN 트래픽을 검사하여 이 트래픽이 보안 정책을 준수하는지 확인할 수 있습니다. 이 프로세스의 작동 방식은 HTTPS 검사와 비슷합니다. TMG 서버는 지점에서 BranchCache 배포를 간소화하기 위한 호스트 캐시 서버 역할도 합니다. 또한 이 서버는 지점의 읽기 전용 도메인 컨트롤러도 될 수 있습니다.
.jpg)
그림 3 Forefront Threat Management Gateway 2010을 사용한 HTTPS 검사
메일 관리
Forefront는 다음과 같이 이원적인 Exchange Server 보호 기능을 제공합니다.
- Forefront Online Protection for Exchange Server는 외부에 호스팅되는 검사 엔진, 그리고 정책에 맞지 않는 콘텐츠를 차단하고 맬웨어 및 스팸이 엔터프라이즈 Exchange Server에 도달하기 전에 이를 걸러내는 필터를 사용하여 인바운드 및 아웃바운드 전자 메일을 보호합니다.
- Forefront Protection 2010 for Exchange Server는 로컬에 설치된 검사 엔진과 정책에 맞지 않는 콘텐츠를 차단하고 맬웨어 및 스팸을 걸러내는 필터를 사용하여 내부 Exchange 서버의 인바운드 및 아웃바운드 전자 메일을 보호합니다.
외부에 호스팅되는 솔루션은 하드웨어 또는 소프트웨어 설치가 필요 없고 Microsoft Online Services 중 하나로 제공됩니다. 이 솔루션은 내부 메시징, 호스팅 메시징 또는 Exchange Online 메시징과 함께 사용할 수 있습니다. 어떤 방법을 사용하든 받은 편지함에 도착하기 전에 메시지를 검사할 수 있습니다.
내부 솔루션은 내부 Exchange 메시징과 함께 사용하도록 설계되었습니다. 이 솔루션은 에지, 허브, 사서함 및 공용 폴더 서버에 설치해야 합니다. 이 서버는 메시지가 배달되기 전, 즉 전송되는 중에 메시지를 검사합니다. 호스팅 솔루션과 함께 사용되는 경우 이 서버는 내부 메시징 환경과 외부 솔루션 사이에 보안을 강화한 스트림을 만듭니다.
두 제품의 중심은 검사 엔진과 필터입니다. 두 제품 모두 여러 검사 엔진과 필터를 사용하여 하나의 엔진이 실패하거나 업데이트를 위해 오프라인 상태가 되는 경우에도 스팸, 위험한 첨부 파일 및 기타 원치 않는 콘텐츠를 계속 차단할 수 있도록 합니다. 에지 및 허브 서버에 의해 전송되는 메시지와 사서함 및 공용 폴더 서버의 저장소에 있는 메시지를 실시간으로 검사합니다(그림 4 참조).
.jpg)
그림 4 Forefront Protection 2010 for Exchange Server를 사용한 메시지 검사
Forefront Unified Access Gateway(UAG) 2010은 Intelligent Access Gateway 2007을 대체합니다. Forefront UAG는 원격 클라이언트에 엔터프라이즈 응용 프로그램, 리소스 및 네트워크에 대한 안전한 액세스 기능을 제공합니다. Forefront UAG를 사용하면 웹 및 비웹 응용 프로그램을 게시하여 HTTP 또는 HTTPS를 통해 원격으로 이 프로그램에 액세스할 수 있습니다. 게시된 응용 프로그램에는 Microsoft 응용 프로그램, LOB 응용 프로그램 및 원격 데스크톱 서비스로 제공되는 RemoteApp이 포함될 수 있습니다(그림 5 참조). 또한 Forefront UAG를 DirectAccess 서버로 구성하여 VPN 연결 없이 클라이언트를 내부 리소스에 직접 연결할 수도 있습니다.
.jpg)
그림 5 외부 액세스를 위해 Forefront Unified Access Gateway 2010으로 응용 프로그램 게시
마지막 Forefront 솔루션은 Forefront Protection 2010 for SharePoint입니다. Forefront Protection 2010 for SharePoint는 SharePoint 라이브러리에 저장되어 공유되는 문서에 대한 다중 계층 보호 기능을 제공합니다. 이 제품은 SharePoint 서버에 검사 엔진과 필터를 설치하여 바이러스, 맬웨어 또는 기타 악성 콘텐츠가 포함된 파일을 사용자가 업로드 또는 다운로드하지 못하도록 합니다. 기밀 정보를 보호하고 부적절한 콘텐츠를 차단하기 위한 정책을 설정할 수도 있습니다.
이렇게 해서 Forefront 및 관련 제품군에 대한 소개를 마쳤습니다. 기본적으로 Forefront는 끝점 컴퓨터, 통신 및 공동 작업 서버, 엔터프라이즈 네트워크에 DiD2 보호를 제공합니다.
광범위한 Forefront 제품군 목록:
- Forefront Protection 2010 for Lync Server
- Forefront Identity Manager 2010
- Forefront Endpoint Protection 2010
- Forefront Threat Management Gateway 2010
- Forefront Unified Access Gateway 2010
- Forefront Online Protection for Exchange Server
- Forefront Protection 2010 for Exchange Server
- Forefront Protection 2010 for SharePoint
.jpg)
**William R. Stanek**은 앞서 가는 기술 전문가이자 강사이며 100권 이상의 서적을 집필한 유명한 저자이기도 합니다. https://twitter.com/williamstanek에서 Stanek을 팔로우해 보십시오.