NAC(네트워크 접근제어)에 대한 백서 2

IT보안의 새로운 패러다임. NAC(네트워크 접근제어)백서 2

 

제 1 장 NAC시스템의 선택 요건

 

1. 엔드포인트의 감지 및 조사

접속 제어에 있어 가장 중요한 측면 중의 하나는 연결된 장치를 감지하고 이들 장치가 네트워크 보안 정책을 준수하도록 보장하는 것입니다. 여기서 나오는 질문은, 모든 접속 점을 쉽게 지정할 수 없거나 더 나아가 알 수조차 없는 복잡한 네트워크 에서 어떻게 접속 제어를 할 수 있는 가 입니다. NAC에 대한 이러한 일차적인 과제에 접근하기 위해 여러 가지 방법론이 도입되었지만 어디에도 아직 완전한 해결책은 존재하지 않습니다. 감지를 위한 서로 다른 접근방법을 고려해볼 때 과연 감지를 위해 엔드포인트에 대한 사전지식이 반드시 필요한 지 여부에 대한 논의를 통해 핵심적인 결정 요소(decision point)가 도출됩니다. 장치에 대한 사전 지식이 있다는 것은 연결 전 엔드포인트를 연결하는데 있어서 특정 형태로 설치된 에이전트가 있다는 것으로서, 장치를 확인하고 일정한 수준의 시스템 진단 결과를 NAC시스템으로 제공할 수 있다는 것입니다.

 

2. 에이전트(agent) vs 클라이언트리스(clientless) NAC

소프트웨어 에이전트는 기업 보안 정책의 한 부분으로서 전형적인 장치 구성에 있어 매우 공통적인 요소가 되었습니다. 이제는 다양하게 시스템을 평가하는 복합 에이전트를 가지는 것이 일반적입니다. 이것은 스파이웨어나 바이러스에 대해 개별 시스템을 방어하거나 구성 가능한 VPN 접속이 가능한 방식입니다. 에이전트를 통해 해당 시스템에 대한 상세한 지식을 구할 수 있습니다. 시스템의 레지스트리와 파일 체계에 접속하면 설치된 어플리케이션 및 실행 프로세스의 상세한 정보를 볼 수 있으며 접속을 허용하기 전에 시스템의 “건강 수준”을 평가하기 위해 다른 시스템의 호스트 구성 세부내역에 대한 상세한 지식을 제공받을 수 있습니다. 접속 지점에서 소프트웨어 클라이언트는 컴퓨터를 관리된 사용자 장치로 확인하고 추가적인 검사를 시작합니다.

 

개념적인 측면에서 볼 때 이것은 바람직합니다. 에이전트는 시스템의 준수 수준에 대한 깊이 있는 정보를 얻고 접속할 때 이 준수 정보를 NAC시스템에 제공합니다. 그러나 NAC시스템은 관리되지 않거나 에이전트 기반이 아닌 장비가 네트워크에 도입될 때에는 실질적으로 유용하지 않게 됩니다. 에이전트로 설치하지 않는 어떠한 장치도 즉석에서 네트워크 접속을 거부하거나 아니면 어떠한 형태의 엔드포인트 검사도 없이도 완전한 접속을 허용합니다.

 

자는 생산성을 방해하고 IT 스태프로 하여금 수동으로 장치를 처리하는 업무부하 수준을 높이는 반면에 후자는 네트워크에 직접적으로 보안 위협을 가하고 취약점을 가져오는 배열이 됩니다. 이들 중 어떤 시나리오도 업무 실행을 위해서는 받아들일 수 없는 것입니다. 관리되지 않은 시스템은 에이전트 기반 NAC시스템이 당면한 도전을 위협하는 많은 요소중의 하나일 뿐입니다.

 

모든 관리된 엔드포인트에 대해 에이전트를 요구하면 NAC솔루션 배치와 관련하여 심각한 관리 부담이 생깁니다. 에이전트 기반의 접근방식이 한정된 수의 엔드포인트를 가진 소형 네트워킹 환경에서 이루어지는 반면에 관리대상 수량이 증가하거나 알 수 없는 장치가 증가하면 급격하게 실용성을 잃어버리게 됩니다.

 

에이전트 기반 NAC시스템은 또한 OS 호환성 문제로 인한 추가적인 도전과제를 안게 됩니다. 대부분의 NAC 솔루션은 Windows 최신 버전을 지원하며 때로는 일부 매킨토시 장치도 지원하지만 그 외의 경우는 문제가 될 수 있습니다.

 

이 문제는 다른 유형의 IP 기반 장치(예, 프린터, VoIP 전화, MES 시스템, 의료장비 등)들을 에이전트가 옵션이 아닌 네트워크에 연결하고자 할 때 더욱 더 심각한 문제가 될 수 있습니다. 이들 장치에 클라이언트를 배치할 수 없기 때문에 이 장치들은 NAC시스템으로 감지할 수 없고 따라서 보호할 수 없는 잠재적 취약점 상태가 되는 것입니다.

 

그러나 이 논의에는 하나의 변형된 방식도 있습니다. 일부 NAC시스템은 연결 지점 에서 다운로드 해서 임시로 설치할 수 있으며 분해할 수 없고 지속적이지 않은 에이전트를 제공한 뒤 이후 장치가 더 이상 네트워크에 없으면 제거할 수 있습니다. 이러한 접근을 통해 관리되지 않은 장치로 인한 IT 관리 부담을 일부 경감할 수 있으며 네트워크 게스트와 계약자에게 부분적인 솔루션을 제공할 수 있습니다.

 

3. 클라이언트리스(clientless) 방식

클라이언트리스 NAC시스템은 에이전트 기반 솔루션보다 많은 이점을 제공하며 특히 네트 워크 보호 범위와 측정 가능성을 고려할 때 수동적인 IT 관리 수준을 높이고 네트워크 서비스의 중단 문제를 감소시킬 수 있습니다.

 

NAC 현장 사례

클라이언트리스 장치 감지 규제 준수 요구사항을 충족하라는 압력을 받고 있는 대형 병원의 경우 EKG, CRT 및 초음파 기계뿐만 아니라 데스크톱/노트북 및 주변장치와 같은 네트워크의 모든 장치를 정확히 산출하는 것이 긴급하게 필요하였다. ForeScout의 NAC 솔루션을 설치한 지 몇 시간 만에 네트워크 관리자는 병원 네트워크에 접속되어 있는 모든 IP 기반 장치들의 완벽한 일람표를 가질 수 있었다. 모든 장치를 감지하고 확인한 후 네트워크 관리자는 접속하고 있는 모든 엔드포인트를 인식할 수 있도록 전체 병원에 적용되는 일련의 접속 정책을 신속하게 지정하고 수행할 수 있었다.

 

 

4. 측정 가능성

소프트웨어 에이전트를 엔드포인트에 설치하거나 다운로드 하도록 요구하지 않기 때문에 클라이언트 NAC시스템의 측정 가능성은 실제로 무제한입니다. 어떻게 NAC시스템을 잘 실행할 것인지를 결정하는 또 다른 요소가 있지만(예, 지리적으로 분산된 네트워크) 시스템 자체는 감지하고 관리할 수 있는 장치의 수나 종류로 인해 제한 받지 않습니다.

 

클라이언트리스 시스템은 모든 IP 기반 장치를 감지하는 능력을 제공함으로써 연결된 장치들에 대한 사전지식 없이도 전세계 인프라를 완벽하게 담당할 수 있습니다. 클라이언트리스 NAC시스템의 또 다른 명백한 이점은 네트워크 관리자가 어떻게 다른 에이전트를 사용하는지 또는 자신들이 구축한 특정방식의 로그온 프로세스를 어떻게 변경하는 지를 교육시킬 필요가 없다는 것입니다. 모든 감지와 검사를 에이전트 없이 실시하게 되면 최종 사용자는 사용자의 장치가 기업의 보안 정책을 준수하는 한 정책 점검이 일어나고 있는 지를 인식하지 못 합니다. 이를 통해 최종 사용자 행동과 경험에 최소한도의 변경만 이루어지므로 IT 자원과 스태프에 대한 부담을 한층 경감시킬 수 있으며, 이로써 NAC를 성공적으로 도입하는 데 주요하게 기여하는 것입니다.

 

5. 관리

클라이언트리스 NAC시스템은 네트워크 보안 정책을 집행하는 데 필요한 관리 업무를 상당히 감소시킬 수 있습니다. 연결 장치 중에 실질적인 상호운용 가능성 문제가 없기 때문에 대신 IT 관리는 다른 모든 중요한 업무 사안들에 집중할 수 있는 것입니다. 설계에 따라 클라이언트리스 시스템은 모든 장치에 대한 정책을 집행하는 모든 IP 기반 장치를 담당해야 하며 따라서 네트워크를 보다 광범위하게 담당할 수 있게 됩니다.

 

정책 위반 문제를 발견할 경우(예, NAC시스템은 비 인증 무선 접속 점을 감지합니다.) IT 관리자에게 즉시 통보하고 위협이나 취약점에 대한 효과적인 대응을 할 수 있습니다. 아울러 사소한 위반들도 자동으로 NAC시스템이 식별합니다(예, 안티바이러스 지정은 유효기간이 지났고 사용자는 자가 치료에 링크 되어 있습니다). 클라이언트리스 NAC 솔루션이 가지는 낮은 관리 부담이라는 이점과 함께, IT 관리자는 어떠한 사용자와 장치가 네트워크에 접속권한을 획득하려고 시도하는 지에 대해 보다 깊은 이해를 얻게 되고 제어할 수 있게 됩니다.

 

이러한 기능은 제한된 네트워크 및/또는 인터넷 접속이 필요하지만 자신들의 장치에 설치된 에이전트가 없는 다른 유형의 네트워크 방문자와 계약자를 감지하고 관리할 때 특히 도움이 됩니다.

 

클라이언트리스 NAC시스템은 장치의 회사소유 (관리되는 사용자/장치)여부를 확인할 수 있어야 하며 규정된 정책과 관련 집행에 기반하고 있지 않은 장치를 처리할 수 있어야 합니다. 예를 들어 계약자/방문자가 클라이언트리스 NAC시스템이 설치되어 있는 네트워크에 접속을 시도할 경우 장치를 감지하고 방문자임을 확인한 뒤 사전에 구성한 네트 워크 부문이나 가상 근거리통신망(VLAN)으로 가게 합니다. 이후 계약자/방문자는 사전에 규정되어 있는 일련의 해당 네트워크 자원에 보안 단계의 축소 없이 또는 기업 네트워크에 어떠한 위협도 가하지 않으면서 즉시 접속을 할 수 있게 됩니다.

 

이러한 자동화된 프로세스를 통해 기업은 확인되고 인가 받은 장치만이 업무 네트 워크에 접속할 수 있도록 하는 반면에 그 외 모두는 클라이언트리스 NAC시스템이 감지하고 제어하도록 하는 것입니다. 

좋은 글이라고 생각하신다면 더 많은 분들이 이 글을 읽으실 수 있도록 추천 부탁드립니다.