Network Access Protection 개요 한국마이크로소프트
Network Access Protection 이란무엇인가? 고객의환경 바이러스, 웜, Malware 등이문제를일으킴 여러장소에서여러장비들이 Public 네트워크를통해회사네트워크로접속됨 적절치않은보호 고객의요구 사업과서비스에위협감소 국가에서규정하는해당산업의보안표준준수 다양한인프라환경에서의상호호환성 정책호환에따른제어
Network Access Protection 솔루션선택기준 NAP 의미 : 네트워크의건강상태및안전한커뮤니케이션건강하고안전한네트워킹을위한내장된윈도우플랫폼의일부기능통합된다중레이어의심층방어기술 고객의선택요건 유연하고선택가능한내장기술고객의요구에따라네트워크, 호스트, 어플리케이션을선택적으로조합해서구성하는것이가능함 광범위한산업표준지원확장가능한플랫폼아키텍쳐 네트워크벤더를통해서추가적인가치를제공, 혁신적인기능을구현할수있음다양한벤더의종단간서비스를표준기반으로구축가능함 50 개이상의파트너와완벽한에코시스템구현
Network Access Protection 솔루션개요 정책확인해당컴퓨터가회사보안정책에맞는여부를확인함. 정책에맞는컴퓨터를 Healthy 라고간주함 네트워크제한접속컴퓨터의건강 (Health) 에따라서네트워크접속을제한함 치료필요한업데이트를제공하여컴퓨터들이건강해질수 ( Get Healthy ) 있도록함. 치료가되면네트워크제한을풀어줌. 지속되는작업회사보안규정변경과동시에현재접속되어있는컴퓨터들이라도동적으로네트워크제한이될수있음
Network Access Protection 구성요소 플랫폼건강강제적용구성요소격리 Agent 강제적용(QA) 클라이언트 = 사용자의 (QEC) 건강= 상태를 DHCP, 보고 VPN,, SHA 1X, 와IPSec NAD QECs 사이를와정리함같은네트워크접속시스템건강 (Health) Agents (SHA) = 건강을선언함 ( 패치상태, 바이러스정의, 시스템설정 ). 격리장비들과서버상호 (QS) 교섭 = SHV가인증해주는대로사용자의네트워크접속을제한함시스템네트워크건강접속확인자장비 (SHV) = 건강한= 건강클라이언트들에게 Agent가생성한네트워크건강선언을접속제공보증함시스템등록건강기관 (Health) = 건강서버점검을 = 사용자의통과한사용자에게시스템구성요소를인증서를위한발급건강요구사항을정의치료서버 = 필요한패치, 설정, 응용프로그램설치로사용자를건강한상태로만듬 치료서버 시스템건강 (Health) 서버 SHA 1 업데이트 클라이언트 격리 Agent (QA) QEC 1 SHA 2 QEC 2 건강상태보고 건강도인증서 네트워크접속장비 & 건강등록기관 네트워크접속요청 건강정책 SHV 1 IAS 정책서버 SHV 2 격리서버 (QS)
Network Access Protection 구동절차 기업네트워크 제한된네트워크 치료서버군 시스템건강서버 여기있습니다. 업데이트를주세요. 접속을접속해도다시요청합니다됩니까?. 이게제새현재건강제상태는컴퓨터의건강다음과상태같습니다입니다.. IAS 정책서버로계속된정책업데이트 이사용자의네트워크접속을제한하여야하나요? 사용자 업데이트및정책에맞는작업을하기전까지네트워크제한된네트워크접속이접속허용됩니다. 장비 (DHCP, VPN) 정책에정책을의해검사해본네트워크접속이결과사용자는허용되지않는 IAS 정책사용자건강합니다입니다.. 격리후서버사용자업데이트를사용자가요청합니다접속을인트라넷에허용합니다. 접근할. 수있습니다.
Network Access Protection 사용옵션 사용방법건강한사용자건강하지않은사용자 IPSec 모든신뢰된컴퓨터통신이가능 건강한컴퓨터는건강하지않은컴퓨터의연결및접속을제한함 802.1X 모든네트워크사용가능제한된 VLAN 으로할당됨 VPN 모든네트워크사용가능제한된 VLAN 으로할당됨 DHCP 완전한 IP 주소와접속제공제한된라우팅룰만적용됨
IPSec 도메인격리소개 현존하는문제점 : 관리되는컴퓨터들을관리되지않은컴퓨터들에게서격리시키고싶음거대한 내부 네트워크의경우접속된모든시스템에게안전한환경은아님해결책 : IPSec 도메인격리거대한네트워크안에서논리적으로안전한네트워크의생성이가능함컴퓨터간통신을도메인멤버 ( 관리되는 ) 컴퓨터로한정할수있음도메인멤버 ( 관리되는 ) 컴퓨터로의모든통신에 IPSec 인증과보호가필요함장점 : 네트워크위험감소자산관리정보의향상정보자산의보호향상된바이러스 / 웜방어
IPSec 도메인격리를선도입하여 Network Access Protection 에준비! Network Access Protection 에대비하기위해 Domain 격리선도입을통한 IPSec 의개념이해및친밀도를높임 만약 PKI 를사용하고있거나즉시 RAS 를도입해야하는경우 : 인증서기반 IPSec 을도입 이외의경우에는 Kerberos 기반 IPSec 도메인격리후인증서기반 IPSec NAP 을도입 도메인인증정보를사용하여서버와신뢰된통신을사용함 자산보호예 ) 중요서버를알수없는 Machine 으로부터보호 소수의서버보호부터시작한후에점차적으로전체도메인수준으로확대 Network Access Protection 을도입할때를대비하여건강여부인증과다른기타사항을계획하고모델링함
IPSec 기반 NAP 기능 IPSec 을통하여건강하지않은사용자격리안전한강제적용사용자재설정만으로피해갈수없음 Virtual PC 기술을통해서도피해갈수없음인프라업그레이드가필요없음현재가지고있는스위치, 라우터로가능 DHCP, VPN 업그레이드가필요없음유연한격리건강한시스템은격리된시스템의접속은가능하지만그반대는불가능함정책에의해격리모델이정의됨
IPSec 기반 NAP 격리모델 정책정의 격리구간 안전한구간 모든시스템이건강인증서를보유함시스템접속을위해인증이필요함 허용 중간구간 안전한구간 허용 허용 중간구간 모든시스템이건강인증서를포함함시스템의접속을위해인증요청을하지만반드시필요하지않음 불가능 격리구간 건강인증서없음 IPSec 정책없음
IPSec 기반 NAP 구동절차 격리구간 중간구간 안전한구간 건강인증서를받을수있을까요? 여기제건강정보가있습니다. 사용자 OK? 사용자 여기건강건강인증서를인증서를발급할수없으니아니오네. 건강, 사용자인증서받으세요업데이트를. 하고오세요. 건강등록기관 업데이트여기있습니다필요. IAS 업데이트가네트워크접속요청필요합니다. 여기있습니다. 치료서버
NAP 적용을위한단계 인프라스트럭쳐검토 인프라스트럭쳐구축하기 계획세우기 비용포함 준비 테스트랩구성 구축 정책및프로세스정의하기 파일럿구축 운영인프라스트럭쳐계획 / 디자인 실제환경에적용하기
Network Access Protection 를위한준비단계 NAP 구현을위해소요될시간및비용준비 IT 조직의 NAP 교육준비 구축을위한준비사항 : 건강상태모니터링 Health 정책구역나누기 안전한네트워크인프라스트럭쳐분석 IAS (RADIUS) 구축 Zone Enforcement Selection 예외케이스분석 배포를위한계획및변화프로세스제어 성공여부를파악하기위한매트릭스파악
Health Compliance Model 개발하기 What do I have to do for NAP to work successfully? 보안및 Health 정책정의하기 기준선 ( 베이스라인 ) 을위한파라미터정의하기 네트워크액세스를위하여어떤 Health 파라미터가필요한가? 이러한파라미터를커버하기위하여어떤시스템 Health 에이전트가필요한가? 기준선 ( 베이스라인 ) 을최신으로유지하기위한프로세스정의하기 NAP 는아래와같은기능을자동으로수행함 컴플라이언스를위한모니터 보고서 필요한경우격리 치료
기초인프라스트럭쳐구현하기완벽한 RADIUS 솔루션디자인하고배포하기 원격액세스 기업네트워크 RAS/VPN/Firewall LAN 액세스 Wireless AP/ Switch RADIUS IAS/RADIUS Server Active Directory 전화접속 /ADSL 무선 AP RADIUS IAS/RADIUS Proxy
계정관리서비스배포하기 What is Identity Management? Directory Repositories for storing and managing accounts, identity information, and security Services credentials. 전자인증정보의권리와라이프사이클관리를위한 절차및정책을정의하는시스템 Access The process of authenticating credentials and controlling access to networked Management resources based on trust and identity. Identity Lifecycle Management The processes used to create and delete accounts, manage account and entitlement changes, and track policy compliance.
계정관리서비스구축하기 Active Directory Windows Users Account Information Privileges Profiles Policies Single Sign-On Windows Servers Network Resources File Shares Printers Policies Windows Clients Configuration Security Quarantine Policies Microsoft Products Product Information Privileges Profiles Policies Automated deployment Active Directory Operational Efficiency Improved Security Improved Productivity Interoperability Network Devices Configuration Quality of Service Security Policies Single Sign-On Other Systems Directories Databases Mainframes UNIX 3rd Party Applications Single Sign-On Automated deployment Configuration App-specific directory data Firewall Services Configuration Security Policy VPN & Remote Access Quarantine Single Sign-On 네트워크와사용자계정관리를위한중앙저장소 네트워크와어플리케이션보안을위한중앙권한장소 시스템통합을위한중앙축
성공적인운영관리 취약점발견 6 컴플라이언스모니터링결과를위한보고서작성및측정결과검토 1 취약점과관련된위험을조사추적 2 만약매우위험한위험인경우, 정책을업데이트하고사용자에게알려줌 5 유예기간후컴플라이언스강제화 4 보안,health 정책의컴플라이언스를위하여네트워크스캔 3 보안컴플라이언트를위하여스캐닝기준을개발
Network Access Protection 파트너
NAP Alignment and Interoperability with TNC System Health Agent (SHA) MS and 3rd Parties System Health Validator (SHV) Quarantine Agent (QA) Quarantine Server (QS) Client Network Access Device & Health Registration Authority Network Policy Server (RADIUS)
Cross Industry Collaboration We anticipate that an embrace of TNC standards by ESPE providers will also be required by a growing number of enterprises. The TNC's biggest draw will be its integration with another TCG initiative, the Trusted Platform Module (TPM), which embeds security metrics and biometrics directly into endpoint hardware like laptops. -Forrester Research
2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.