BOIS(Branch Office Infrastructure Scenario)에 이어 4번째로 다가올 변화는 바로 보안 및 정책 컴플리언스 측면입니다. 어떻게 보면 지금 이미 여러 루트를 통해 들리시는 이야기이신 분도 계시지 않을까라는 생각도... 바로 Network Access Protection(NAP)입니다.

NAP이라는 기술의 목표는 보안의 지속적인(Ongoing) 확인 및 적용입니다. Ongoing이라는 단어가 상당히 중요하다고 보는 이유는 지금까지의 솔루션은 어떤 액션 당시... 다시 말해... 네트워크에 연결될 때, 인증을 받을 때, 파일에 접근할 때... 에만 체크가 가능했고, 사용 도중에 사용자의 보안 상황이 바뀐 것에 대해서는 새로운 적용을 하지 못했습니다.

NAP에서 이끌어낼 수 있는 시나리오는

1. Network에 접근하는 Windows XP SP2, Windows Vista, Windows Server LongHorn에 대한 보안 확인 및 보안 설정에 따른 격리, 지속적인 보안 모니터링
2. 보안 업데이트가 필요한 컴퓨터에 대한 빠르고 쉬운 업데이트 관리
3. 802.1X를 지원하는 네트워크 장비 - 스위치나 무선 AP -에 대한 인증 및 암호화 관리
4. 조직에 필요한 시나리오에 따른 네트워크 접근성 확보 - 도메인에 참가한 컴퓨터만 or 도메인 사용자만 or 특정 사용자 집단에 따른 네트워크 접근 처리
5. 기존 네트워크 & 보안 기술과의 접목에 따른 보안 향상 - IPSec, 인증서, Cisco의 NAC(Network Admission Control)

 

조직내의 IT 관리자는 지속적이고, 실시간적으로 시스템의 보안 설정을 NAP에게 맡길 수 있게 될 것이며, 사용자의 실수 또는 고의적인 기본 보안 설정 사항

방화벽의 Off
안티 바이러스 프로그램의 종료 혹은 업데이트 무시
안티 스파이웨어 프로그램의 종료 혹은 업데이트 무시
Microsoft 기술의 각종 업데이트 미설치

에 대한 수정은 다시 NAP 인프라를 통해 치료(Remediation)되게 됩니다. :) 설정에 대한 변경은 강제로 원상 복구 시키는 설정 혹은 사용자에게 경고 메시지를 보여준 후 격리하는 방법이 있습니다. 시스템 패치에 관련된 부분은 WSUS 혹은 System Center Configuration Manager 2007을 사용합니다. System Center Configuration Manager 2007을 사용하시게 되면, 빠른 패치 적용이 가능한 건 당연하겠죠. (System Center Configuration Manager와 NAP과의 연동)

NAP과 연동되는 기술은 총 5가지로 예정되어 있습니다.

NAP with DHCP - DHCP에서 IP를 할당 받고, 갱신할 때 시스템의 보안 설정에 따라서 격리 혹은 접근 허가
NAP with IPSEC - 시스템의 보안 설정에 따라서 인증서 부여 혹은 파기를 하게 되고, 인증서로 인증을 처리하는 IPSec 기술에 따라, 접근이 허가 혹은 거부
NAP with VPN - VPN 접근시, 시스템의 보안 설정에 따라, 격리 혹은 모든 접근을 허가하게 되며, 현재의 Windows Server 2003 Quarantine 모델과 다른 점은, 사용 도중에도 NAP의 설정을 적용받음
NAP with 802.1X - 802.1X 인증을 지원하는 네트워크 장비에 접근시, 시스템의 보안 설정을 확인하여, 이에 따른 네트워크단에서의 격리(VLAN) 혹은 접근 허가
NAP with Terminal Service - Terminal Service Gateway 접근시, 시스템의 보안 설정에 따라, 접근을 허가 또는 거부

NAP 기술 뿐만 아니라, Windows Server CodeName LongHorn에서의 RMS가 기본적으로 내장되며, 기존의 웹 관리 환경이 아닌 MMC 3.0 GUI 방식의 관리가 가능해집니다. ADFS(Active Directory Federation Service), ADAM(Active Directory Application Mode)는 역시 마찬가지로 기본 내장되어져 있습니다.

Posted: Friday, April 06, 2007 12:26 PM by 백승주(Seung Joo Baek)

'Infrastructure' 카테고리의 다른 글

Windows Server CodeName LongHorn  (0) 2007.05.22
Windows Server CodeName LongHorn  (1) 2007.05.22
Windows Server CodeName LongHorn  (0) 2007.05.22
가상화(Virtualization)...  (0) 2007.05.22
Windows Server CodeName LongHorn  (1) 2007.05.22

+ Recent posts

티스토리툴바