NAP 를중심으로한 Microsoft 통합보안솔루션 Date: Sep. 19 (Wed.) 김현준 / 부장한국마이크로소프트 2007 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice
Table of Contents Network Access Protection 개요 NAP 동작방식및구성요소 NAP 적용옵션별기준, 구현, 및기능 NAP 연동대상및방식 NAP 파트너 참고자료
IT 과제및솔루션요구사항 네트워크에액세스하는 PC 로인한위험성이대두되면서, 컴퓨터에대한시스템요구사항을확인하고강제화하기위한포괄적인검역체제의필요성이높아지고있음 IT 과제 관리되지않는컴퓨터가사내네트워크에자유롭게접속할경우, 바이러스 /Worm/Malware 등으로인한감염의위험 다양한장치들이 Public 네트워크를통해회사네트워크로접속됨 현재의방화벽 / DMZ 등의보안만으로는이를방지하기어려움 솔루션요구사항 PC 의건강상태를확인하기위한포괄적인검역체제의필요 (OS 보안설정, 안티바이러스등구성요소에대한확인 ) 비즈니스및서비스에대한위협감소 다양한인프라환경과의상호호환성 관리되지않은컴퓨터의네트워크액세스로인한다양한보안위험성대두 네트워크의건강상태및안전한통신을위한포괄적인검역체제의필요
Network Access Protection 개요 NAP 는 Windows Server 2008 과 Windows Vista 에기본제공되는정책시행플랫폼으로서요구사항의준수를강제화함으로써네트워크자산을보다효과적으로보호할수있도록해줍니다. NAP 주요프로세스 상태정책유효성검사 네트워크액세스제한 자동교정 지속적인규격준수 컴퓨터가상태정책요구사항을준수하는지여부를확인 규격 일경우 Full Access 허용 비규격컴퓨터의액세스를제한 네트워크액세스보호시행메커니즘 (DHCP, 802.1x, IPSec, VPN) 에따라상이 비규격컴퓨터가규격컴퓨터가될수있도록필요한업데이트를제공 교정후에는네트워크제한을풀어줌 상태정책요구사항의지속적인변화를따르도록규격컴퓨터를자동으로업데이트
Network Access Protection 의특징 주요특징 현실적인솔루션 정책기반의시스템상태요구사항을철저하게확인및적용함에중점을두고있음 Unhealthy 상태클라이언트의업데이트를위한업데이트서버로의액세스를제공 유연하고선택가능한내장기술 고객의요구에따라운영체제의내장기능을선택적으로구성 / 사용가능 네트워크액세스제한을위한적용옵션을선택가능 (DHCP, IPSec, 802.1x, VPN : 중복사용가능 ) Network Access Protection 확장가능한플랫폼아키텍처 네트워크벤더를통해서추가적인가치를제공 3rd Party 에의한확장용이 NAP API 제공 플랫폼으로서의확장성 다양한벤더의종단간서비스를표준기반으로구축가능함 (TSG) 60 개이상의파트너와의에코시스템구현 광범위한산업표준지원
Network Access Protection 시나리오 NAP 적용시나리오 이동사용자 Laptop 컴퓨터에대한상태확인 Roaming Laptop Desktop PC 사내정보근로자들의데스크톱컴퓨터에대한상태확인 사내방문자의 Laptop 에대한상태확인 Visiting Laptop Unmanaged Home PC 관리되지않는홈컴퓨터의상태확인
Network Access Protection 동작방식 How it works! System Health Server e.g. Patch, AV 1 네트워크액세스요청시 Health 상태를함께전송 Windows Client (NAP 클라이언트 ) NAD는 2 Health 상태를 NPS로전송 3 네트워크액세스디바이스 (NAD) Network Policy Server (NPS) NPS 는사전정의된 health 정책에대한준수여부확인 Not policy Compliant Policy Compliant 3 Non-compliant PC 는 제한된네트워크로격리되어 업데이트과정수행 Compliant PC 는네트워크에 Full Access 5 4 Restricted Network Corporate Network Remediation Servers e.g. Patch, AV
Network Access Protection 구성요소 클라이언트 (Client) SHA Health 에이전트는클라이언트상태검사 NAP Agent Coordinates SHA/EC EC Enforcement 방법 교정서버 (Remediation Server) Patches, AV signatures, etc. 제공 네트워크정책서버 (Network Policy Server) SHV SHA 응답평가 NAP Server 클라이언트 health 평가 시스템상태서버 (System Health Server) SHV 제공 NAP 구성요소 Remediation Servers System Health Servers Updates Health policy NAP Client Network Policy Server System Health Agent (SHA) MS SHA SHA 1 SHA 2 Health Data Network Access Requests System Health Validator (SHV) NAP Agent MS SHV SHV 1 SHV 2 Enforcement Clients (EC) DHC IPSec 802.1 VPN P x 3 rd Party Network Access Device & Server NAP Server
구성요소상세 1 네트워크정책서버 (Network Policy Server) Network Policy Server (RADIUS) Windows Server 2008 기존 Windows Server 2003 의 IAS 의확장 NAP 을위한정책정의가능 NAP 구성요소 2 3 SHA & SHV SoH & NAP Agent/Server System Health Agent: Health 상태를확인하는클라이언트모듈 System Health Validator: Health 여부를검증하는서버모듈 추가로 System Center Configuration Manager 2007 (SMS v4) 및 3rd Party 로부터 AV 용 SHA, SHV 제공예정 SoH (Statement of Health) : 각 SHA 에의해작성된클라이언트상태를나타내는데이터 NAP Agent: 각 SHA 를호출해 SoH 를취득, 검역결과에따르고, EC 를호출함. NAP Server : SoH 를받아서, 대응하는 SHV 를호출해검증함.
구성요소상세 - 계속 4 Enforcement Clients 검역결과 unhealthy 일경우, 네트워크제한을강제하는모듈 제한방법에의해 DHCP, IPSec, 802.1 X, VPN 의 4 개의모듈이있어, 선택적으로사용 5 액세스포인트 (Network Access Device) Network Access Device: 각 SHA 로부터 SoH 를받아서 NPS 로중개. 검역결과가 Unhealthy 이면, QEC 와통한네트워크제한적용 NAP 구성요소 6 업데이트관리서버 (Remediation Server) 네트워크의제한실시옵션에따라서로다름 네트워크가제한된상태에서도액세스가가능한서버들로, 클라이언트에업데이트방안을제공 업데이트가이드를제공하는 IT 지원웹사이트 System Center Configuration Manager 2007 배포포인트 안티바이러스의최신정의파일을제공하는파일서버등 7 System Health Server : SHV 의종류에따라서필요 시스템상태서버 (System Health Server) 최신의패치정보, 바이러스정의파일, 그외의정책등, 검역에필요한정보를 NPS 에제공하는서버
NAP 적용옵션및옵션별상태 구분 액세스포인트 Healty Unhealthy 경계네트워크액세스 DHCP DHCP 서버 (Windows Server 2008) Full IP 구성제공및 Full Access Restricted set of routes Default Gateway 의주소가없고, Subnet mask 가 255.255.255.255 으로제한된 IP 주소할당 DHCP 의영역옵션에서넷마스크 255.255.255.255 의 Static 라우팅정보를배포 IPSec Health Registration Authority (Windows Server 2008) 신뢰된 Peer 와통신가능 Healthy peers reject connection requests from unhealthy systems IPSec 의상호인증을위해, 정책설정검사를성공한클라이언트에만인증서를발급 경계네트워크의서버에는, IPSec 의상호인증필수를설정하지않는다 802.1x 802.1x 지원스위치 Full Access Restricted VLAN 검사결과에따라스위치액세스포트에 VLAN 를동적으로할당 제한된네트워크의 VLAN 과경계네트워크의 VLAN 으로, 라우팅. VPN VPN 서버 (Windows Server 2008 또는 3 rd Party) Full Access Restricted VLAN VPN 서버를경유하는통신을감시해, 검사를통과하지못한클라이언트로부터의통신을필터링하여제한 IP 주소의지정을통해, 필터링하지않는서버를설정.
NAP 옵션별구현및기능 DHCP DHCP 구현개요 NPS 서버 (Windows Server 2008) AD Remediation 서버 3 (SMS v4 etc.) 2 보안네트워크 5 DHCP 서버 4 (Windows Server 2008) 경계 1 네트워크 적용과정 1 DHCP 요청시, 상태인증서 (SoH) 전송 2 DHCP 서버는 SoH를 NPS 서버로릴레이및 NPS에서정책의 Compliance 여부확인 3 Compliance 또는 Non-Compliance 에대한결과정보를 DHCP에응답. (SoHR) 4 Compliance 이면, Full IP 주소할당 / Non-Compliance 이면제한된 IP 주소할당 NAP 클라이언트 (Vista, XP) 제한된네트워크 5 Non-Compliance 상태의클라이언트는 Static Route를통해 Remediation 서버로액세스하여업데이트
NAP 옵션별구현및기능 IPSec IPSec 구현개요 NPS 서버 (Windows Server 2008) Root CA AD Remediation 서버 3 (SMS v4 etc.) 2 보안네트워크 5 Health Registration 4 Authority ( 하위독립실행형 CA) 경계 1 네트워크 적용과정 1 네트워크액세스시, 상태인증서 (SoH) 를 HRA에전송 2 HRA는 SoH를 NPS 서버로릴레이하고, NPS에서정책의 Compliance 여부확인 3 Compliance 또는 Non-Compliance 에대한결과정보를 HRA에응답. 4 Compliance 이면, HRA를통해인증서발급 NAP 클라이언트 (Vista, XP) 제한된네트워크 5 Non-Compliance 상태의 클라이언트는 Remediation 서버로 액세스하여업데이트
NAP 옵션별구현및기능 802.1x 802.1x 구현개요 NPS 서버 (Windows Server 2008) 적용과정 1 네트워크액세스시, 상태인증서 (SoH) 를네트워크장비에전송 Remediation 서버 (SMS v4 etc.) 5 4 1 3 802.1x 지원스위치 2 AD 보안네트워크 (VLAN1) 경계네트워크 (VLAN2) 2 네트워크장비는 SoH를 NPS 서버로릴레이하고, NPS에서정책의 Compliance 여부확인 3 Compliance 또는 Non-Compliance 에대한결과에따라 VLAN 정보를응답. 4 네트워크액세스포트의 VLAN을동적으로설정 5 Non-Compliance 상태의 NAP 클라이언트 (Vista, XP) 제한된네트워크 (VLAN3) 클라이언트는 Remediation 서버로액세스하여업데이트
NAP 옵션별구현및기능 VPN VPN 구현개요 NPS 서버 (Windows Server 2008) 적용과정 1 VPN 접속시, 상태인증서 (SoH) 를 VPN 서버에전송 AD 2 VPN 서버는 SoH 를 NPS 서버로 Remediation 서버 3 릴레이하고, NPS 에서정책의 (SMS v4 etc.) 2 보안네트워크 Compliance 여부확인 3 Compliance 또는 Non-Compliance 5 4 1 VPN 서버 (Windows Server 2008) 경계네트워크 에대한결과를응답. 4 검사결과에따라 Packet Filtering 5 Non-Compliance 클라이언트는 Packet Filtering 에의해업데이트 NAP 클라이언트 (Vista, XP) 인터넷 서버로만 액세스가능
NAP 연동대상및방식 SCCM 2007 의보안업데이트관리기능및프로세스를통한클라이언트 건강성 관리 Typical 및 Zero-Day Exploit 시나리오 / NAP 인프라스트럭처계획및배포의용이성 SCCM2007 과 NAP 연동개요 정책확인및상태정보릴레이 3 정책확인 1 네트워크액세스시, 상태정보전송 NAP 클라이언트 (Vista, XP) 5 네트워크액세스 포인트 정책확인결과에따라업데이트수행 2 4 Compliant or Non Compliant SCCM Distribution Point Network Policy Server 패치저장 정책 SCCM Site Server 업데이트 Active Directory 보안네트워크 경계네트워크 카탈로그 동기화 MS Download Center 제한된네트워크 / 인터넷
NAC-NAP NAP 연동아키텍처 Interoperability and customer choice Single agent included in Windows Vista Independent Software Vendor (ISV) integration ecosystem Agent deployment and update support Cross-platform support Client Partner System Health Agents (SHAs) EAPFAST 802.1x or UDP Switches Routers RADIUS Cisco ACS HCAP MS NPS Partner Policy Server NAP Agent (QA) EAP Host QEC 802.1x EAP-FAST EAPoUDP HCEP Health Registration Authority RADIUS (HRA)
Network Access Protection 파트너
참고자료 Windows Server Code Name Longhorn Beta 3 http://www.microsoft.com/windowsserver/longhorn/default.mspx Network Access Protection Technet http://www.microsoft.com/technet/network/nap/default.mspx Network Access Protection Forum http://forums.microsoft.com/technet/showforum.aspx?forumid=576&siteid=17 Network Access Protection MSDN http://msdn2.microsoft.com/en-us/library/aa369712.aspx
Q & A 20 단기 4340 년 9 월 27 일 HPS Services Portfolio v3.0