Microsoft Forefront: 클라우드 서비스에 대 한 액세스를 보호 합니다.

  • 아티클

You can provide secure access to cloud services while maintaining business continuity using Forefront Threat Management Gateway 2010.

Yuri Diogenes

클라우드 컴퓨팅으로의 전환에는 여전히 우려 사항이 있습니다. 가장 큰 문제는 보안입니다. 기업이 퍼붓는 마이그레이션 계획을 세울 때 현재 사업이 중단 되지 않도록 해야 합니다. 사용자는 클라우드 서비스에서 호스팅되는 비즈니스 응용 프로그램에 항상 액세스할 수 있어야 하며 보안 및 높은 가용성을 제공 하 고 있습니다.

하지만 문제는 이것 뿐만이 아닙니다. 예를 들어 모든 구내 클라우드 클라이언트가 액세스할 수 없는 경우에는 어떨까요? 전자 메일 시스템에서 클라우드 호스팅 될 때, 인터넷 연결을 사용할 수 없게 되 면 어떻게 될까요? 클라우드 서비스에 액세스 하기 위해 더 많은 사용자가 항상 인터넷 연결을 위해 필요한 보안 및 생산성을 유지 하기 위해서는 어떻게 해야 할까요? 클라우드로의 마이그레이션을 계획 하는 경우에 발생할 수 있는 일반적인 문제가 있습니다. 이 문제를 해결 함으로써 앞으로의 확장을 구현 합니다.

클라우드로 마이그레이션하는 기업에 대 한 보안과 사용 가능성이 가장 우선적으로 비용 절감, 클라우드로의 전환에 가장 큰 원동력이 된다는 것은 틀림 없습니다. 클라우드 컴퓨팅, 결제 시스템의 도입 및 형식 데이터 센터가 비용 절감 등 전례 없는 새로운 방법으로 비용 절감을 실현 하는 데 도움이 됩니다.

많은 기업 들이 빠르게 확장/축소 하 고 모든 장치 (PC, 모바일 장치 브라우저)에서 풍부한 경험을 제공 하 고 데이터를 손상 시 키 지 않고 이러한 요구 사항을 충족 해야 합니다. Forefront Threat Management Gateway (TMG) 2010은 IT 전문가와 비즈니스 사용자가 계속 하는 데 필요한 생산성 도구와 클라우드 서비스에 대 한 액세스를 보안 하는 데 도움이 됩니다.

Moving to the Cloud

많은 기업이 퍼붓는 마이그레이션할 경우에는 생산성 도구와 같은 다양 한 비즈니스 기능을 구름으로 마이그레이션하는 것부터 시작 해야 합니다. 비즈니스 기능에는 전자 메일, 팀 공동 작업 웹 사이트, 인스턴트 메시징, 비디오 회의, 응용 프로그램 콘텐츠 제작 등이 포함 됩니다. 이러한 생산성 도구는 비즈니스 원동력입니다. 이러한 도구는 비즈니스의 핵심 이며, 사용자가 사무실에 있든, 호텔이 나 고객 사이트에서 원격으로 작업 하는 경우에도 항상 사용할 수 있어야 합니다 (그림 1 참고).

Figure 1 Office 365 is the Microsoft Cloud solution for business productivity

그림 1Office 365 비즈니스 생산성 향상을 위한 마이크로소프트 솔루션입니다 클라우드

Contoso 라는 가상의 회사를 사용 하 여 가상의 상황을 확인 합니다. 클라우드 계획 및 마이그레이션 단계를 수행 하 여 Contoso의 상태를 추적 합니다. Contoso는 모든 비즈니스 생산성 도구를 클라우드로 마이그레이션할 것을 고려 하십시오. 프로젝트의 첫 번째 단계에서는 Exchange 설명서를 사용 하 여 미국에서 근무 하는 직원의 전자 메일 시스템을 클라우드에 마이그레이션합니다.

이 첫 번째 단계에서는 네 가지 필수 구성 요소가 있습니다. (그림 2 참고).

  • 현재 가입자는 ISP (인터넷 서비스 공급자)의 인터넷 연결이 중단 되더라도 회사 사용자에 게 영향을 주지 않습니다
  • 구름에서 호스팅하는 전자 메일 시스템에 액세스 하는 사용자가 인터넷의 모든 잠재적인 위협 으로부터 보호
  • Contoso에서 원격 지점에 대해 중앙 집중화 된 보안 정책을 적용할 수 있는 것
  • Contoso의 보안 정책에서 허용 하는 사이트에 사용자가 액세스할 수 없도록 하는 것

Figure 2 These four pillars must be in place for the first phase

그림 2마이그레이션의 초기 단계에서 충족 해야 하는 네 가지 조건

높은 가용성

Forefront TMG 2010는 마이그레이션의 첫째 단계에서 Contoso의 요구 사항을 충족 시킬 수 있습니다 (그림 3 참고). 고가용성 요구 사항을 충족 하기 위해 Forefront TMG 2010의 다음 기능을 사용 합니다.

  • ISP-Redundancy: Contoso can have Internet access even if the current ISP provider is down. 이 작업을 수행 하려면 다른 ISP와 계약 하 여 별도의 인터넷 회선을 확보 해야 합니다.
  • Integrated Network Load Balancing (NLB): By integrating NLB with Forefront TMG, you can not only load traffic among NLB nodes, but also ensure a successful handoff between one node to the other, should one go down.

Figure 3 Leveraging the high-availability features in Forefront TMG 2010

그림 3Forefront TMG 2010 고가용성 기능 활용

보안 유지 관리

Exchange Online 서비스에는 바이러스 백신 및 스팸 방지 기능을 제공 합니다. 하지만, Contoso에서는 전자 메일 시스템에서 웹 사이트를 방문 하면 사용자가 보호 되도록 하는 심층 방어 방식을 사용 하 고 (그림 4 참고).

Figure 4 Leveraging Forefront TMG 2010 HTTPS Inspection feature to protect on-premises resources

그림 4Forefront TMG 2010 HTTPS 검사 기능을 사용 하 여 구내 리소스 보호

이것은 심층 방어 접근 방법에 의해 해당 관중 위력을 활용 하면서 구내 클라이언트가 인터넷 위협 으로부터 보호 하도록 할 수 있습니다.

  • 원격 사용자가 Contoso 회사의 고객에 게 전자 메일을 보냅니다.
  • 이 메시지에 바이러스가 감염 되어 있으므로 Exchange Online에서 바이러스 예방 기능에 의해 메시지가 격리 됩니다.
  • 클라이언트의 사서함에 새 메시지가 도착 했음을 알리는 메시지가 표시 됩니다.
  • 사용자가 메시지를 읽고, 파트너 회사의 웹 사이트에서 최신 보고서를 다운로드할 수 있는 링크가 포함 되어 있는 것을 알 수 있습니다. 최종 사용자는이 링크를 보안 사이트 (HTTPS 사이트) 이므로 보고서를 다운로드 하 고 또한 보안상 문제가 없는 것으로 판단 합니다.
  • Forefront TMG에서 HTTPS 검사를 사용 하는 트래픽을 분석 하 여 인증서의 유효성을 검사 하 여 맬웨어 검사 엔진은 검사의 동작을 위임 하 고 사용자가 다운로드 하는 파일을 분석 합니다. 파일이 바이러스에 감염 된 것을 감지 하면 악성 코드 검사 엔진은 파일이 감염 되어 열 수 없다는 사실을 클라이언트에 알립니다.

정책 적용

Contoso의 전환의 첫 번째 단계는 미국에서 근무 하는 사용자만을 대상으로 했습니다. 각 지점에는 일상적인 작업에 대 한 자율성이 있기 때문에, Contoso는 각 지점, 각 사무실의 트래픽 제어를 허용 해야 합니다. 또한, 회사 규칙 및 정책을 준수 해야 합니다. 이 목표를 달성 하려면 여러 배열 정책 시나리오에서 Forefront TMG 2010을 사용 하 여 엔터프라이즈 수준에서 회사의 정책을 적용 합니다 (그림 5 참고).

Figure 5 Allowing autonomy to each branch office while maintaining central company policy enforcement

그림 5중앙에서 회사의 정책을 적용 하 고 각 지점에 자치권을 부여

이 모델에서 엔터프라이즈의 모든 배열 정책을 중앙에서 관리할 수 있는 뷰를 제공 합니다. 또한 회사의 정책을 적용 하는 데도 도움이 됩니다. 방화벽 정책 및 네트워킹 규칙을 변경 하면 Forefront TMG에서는 모든 기존 클라이언트 연결을 새 정책 및 규정 준수를 보장 하 고 허용 되지 않은 연결이 종료 됩니다.

생산성을 유지 하기

새 전자 메일 시스템을 사용 하는 사용자는 생산성을 개선 하는 데만 집중할 수 있으므로 사용자의 주의를 끌 것을 최소화 해야 합니다. 또한, 회사의 정책에 따라 악의적인 사이트에 대 한 사용자 액세스를 차단 해야 합니다. Forefront TMG 2010 URL 필터링 기능을 사용 하면 Microsoft Reputation Service 라는 클라우드 기반 서비스를 사용 하 여 사용자가 액세스 하려고 하는 URL를 분류 합니다 (그림 6 참고).

Figure 6 Using Forefront TMG 2010 URL Filtering to improve information worker experience

그림 6Forefront TMG 2010 URL 필터링 기능을 사용 하 여 정보 근로자의 환경을 개선 하는

이 프로세스의 작동 원리는 다음과 같습니다.

  • 원격 사용자가 Contoso 회사의 고객에 게 전자 메일을 보냅니다.
  • 이 메시지에 바이러스가 감염 되어 있으므로 Exchange Online에서 바이러스 예방 기능에 의해 메시지가 격리 됩니다.
  • 클라이언트의 사서함에 새 메시지가 도착 했음을 알리는 메시지가 표시 됩니다. 클라이언트는 메시지를 읽고, 파트너의 새로운 포트폴리오 (도박 사업 포함)에 액세스할 수 있는 링크가 포함 되어 있는 것을 알 수 있습니다.
  • Forefront TMG URL 필터링 기능을 사용 하면 URL을 평가 하 고이 URL 범주, 회사의 정책에 따라 허용 되지 않습니다 "도박"일치 하는 여부를 Microsoft Reputation Service 데이터베이스를 쿼리 합니다.
  • Forefront TMG에서 사이트에 대 한 액세스를 차단 하 고 사용자에 게 사이트가 차단 된 이유를 설명 합니다.

이 사이트를 차단 하지 않아야 하는 경우 사용자가 판단 하는 경우, 사용자가 일시적으로 웹 사이트를 방문 하 여 사이트가 제대로 분류 되지 않는다는 것을 관리자에 게 알릴 수 있습니다.

Forefront TMG는 클라우드 배포 시나리오를 위한 기능 들이 있습니다. 여기에 캐시입니다. Forefront TMG에서 클라우드 애플 리 케이 션에 대 한 HTTP 및 HTTPS 데이터를 캐시할 수 있습니다. 이 기능을 사용 하 여 대역폭을 절약 하 고 클라우드 요청 대기 시간을 단축 함으로써 사용자 경험을 향상 시킬 수 있습니다.

Forefront TMG에서는 Windows Server 2008 R2의 BranchCache 기능을 통합 함으로써 클라우드 배포할 수 있습니다. 이 시나리오를 설명 하기 위해 Contoso 클라우드 마이그레이션의 두 번째 단계에서는 일부 지점의 클라이언트를 대상으로 하는 Office Web Plus가 포함 되어 있다고 가정 합니다 (그림 7 참고).

Figure 7 Using the Forefront TMG 2010 BranchCache capability to assist cloud migration of resources located in the branch office

그림 7지점에 있는 자원을 클라우드로 마이그레이션하는 데 도움이 되는 Forefront TMG 2010 BrachCache 기능

BranchCache 기능을 원격 사무실에 클라우드 서비스를 제공 하기 위해 다음과 같이 유용 합니다.

  • 지점의 클라이언트가 Office Web Apps에 접근 하기 위한 수요를 지점에 배치 된 Forefront TMG로 전송 합니다.
  • Forefront TMG에서 요청 된 데이터를 로컬 캐시에 있는지 여부를 확인 합니다. 로컬 캐시에 없으면 지점 Forefront TMG에서는 Forefront TMG 본사에 요청을 보냅니다.
  • 본사의 Forefront TMG에서 구름에서 데이터를 검색 하 고 다운스트림 지점에 배치 된 Forefront TMG 데이터를 보냅니다.
  • 지점에 있는 Forefront TMG에서 로컬 캐시에 데이터를 저장 하 고 요청을 보낸 클라이언트 워크스테이션에서 데이터를 전송 합니다.
  • 지점의 다른 클라이언트 워크스테이션이 동일한 데이터 요청을 보냅니다.
  • Forefront TMG가 요청을 평가 하 고이 데이터를 로컬 캐시에 있는지 확인 하 여 콘텐츠를 클라이언트에 직접 제공 합니다.

따라서 클라우드에서 클라우드 기반 개체를 사용 하는 사용자가 많을 수록 캐시 데이터 증축 될 수 있습니다. 이러한 개체는 하루에 여러 번 액세스 합니다. Contoso는 클라우드 기반 개체를 Forefront TMG에서 캐시 하 여 액세스 속도를 향상 시키면서 대역폭을 절약할 수 있습니다.

클라우드로의 전환을 고려 하 고 있는 기업에 대 한 보안을 가장 우선적으로 되어 있지만, Forefront TMG 2010을 사용 하면 보안 웹 게이트웨이를 제공할 수 있습니다. With the security concerns resolved, you can focus on the real reason your company moved to the cloud in the first place: cost savings.

Yuri Diogenese

Yuri Diogenes* (CISSP, E-CEH, Security+, Network+, MCSE+S, MCTS, MCITP and MCT) works for Microsoft as senior security support escalation engineer on the CSS Forefront Edge Team, based in Irving, Texas. TMG/ISA 에스컬레이션 운영을 담당 하 고 있으며, TMG 제품 팀과 협력 하 여 마이크로소프트 사용자를 대신 하 여 버그를 보고 하 여 디자인 변경 요청을 등록 하 고 있습니다. 『 Gateway Threat Management Microsoft Forefront Administrator 곧은 s Companion 』 (Microsoft Press, 2010 년)을 비롯 한 Microsoft Forefront 관련 서적을 집필 했습니다. He also writes articles for the TMG Team Blog, for* TechNet Magazine and his personal blog.

 

관련 내용