FAQ

NAC와 무엇이 다른가요?

• 기존 NAC의 기능위에 Zero-Trust 보안정책을 구현하기 위해 다음과 같은 기능이 추가되었습니다.

• 센서 관리대상 노드간의 통신/내부망->Cloud/재택근무 접속에 대한 동적 목적지 접근제어 지원

• 재택 근무자에게 강화된 단말 보안과 안전한 통신환경을 제공하는 ZTNA Client 기능

• Cloud 서버 대역에 대한 가시성 및 Zero Trust 접근제어를 위한 Cloud 정보 수집기능

• Cloud 서버 대역 및 인터넷 억세스에 대한 동적 접근제어 제공을 위한 Cloud Gateway 기능

• Cloud 서버의 자동화된 보안정책 관리를 위한 Cloud Security Group 관리기능

• 네트워크 트레픽에 대한 가시성을 제공하는 Netflow(IPFIX) 기반 NTA 기능

• 최신 보안뉴스와 그에 관련된 노드를 알려주는 보안뉴스 피딩 서비스

• 새로워진 대시보드 / 확장된 노드타입 / 플랫폼 이미지 기반 그리드뷰

Zero Trust 보안정책이란 무었이며 ZT-NAC은 이것을 어떻게 제공 하는건가요?

• 네트워크에 접근하는 모든 장치는 그 장치에게 반드시 필요한 서비스/서버 이외에는 허용하지 않는 정책을 기본으로 가져가는 개념입니다.

• 이를 위해 출발지와 목적지가 그 역할에 따라 매우 정교하게 분류되어야 합니다. (Micro Segmentation)

• ZT-NAC는 그를 위해 500가지 이상의 조건식을 제공하는 노드그룹을 통해서 출발지와 Cloud를 포함한 목적지에 대한 노드그룹을 관리할 수 있습니다.

• 새로운 ZT-NAC에서는 세밀하게 분류된 사용자단말에게 허용되는 네트워크 접근권한을 설정할때 노드그룹을 사용할 수 있게 해줍니다.

• 노드그룹을 통한 목적지 제어를 사용하게 되면 기존 제품들이 제공하는 IP/Subnet 단위의 보안정책에서 벗어나 상태/속성/Tag등을 기반으로 보안정책이 자동으로 갱신됩니다.

동적 목적지 제어를 위해서 새로운 장비나 네트워크 구성이 필요한가요?

• 아니요. ZT-NAC을 기존에 센서가 설치된 환경에서 운영할 경우에는 새로운 장비나 네트워크 구성 변경이 필요하지 않습니다. 표준 VXLAN SGT를 통한 센서간의 통신을 통해서 구성변경 없이 동적 접근제어가 가능합니다.

• Genians의 특허받은 ARP기반 가상 Inline 접근제어방식을 통해서 Out-of-Band 방식으로 구성하거나 Inline Gateway방식의 센서를 구축하여 In-Band 접근제어를 할 수 있어 구축환경에 따라 적합한 방식을 선택할 수 있습니다.

클라우드에 존재하는 서버(워크로드)에 접근시 동적 목적지 제어는 어떻게 적용할 수 있나요?

• 클라우드 접근제어는 두가지 방식으로 적용할 수 있습니다.

• 첫번째 방법은 Cloud 에서 제공되는 Security Group 기능을 통해 서버에 접근가능한 단말의 IP목록을 노드그룹과 동기화시켜 관리할 수 있습니다.

• 두번째 방법은 Cloud Gateway를 구성해서 모든 통신을 Cloud Gateway를 거치도록 하여 접근제어를 수행할 수 있습니다. 이경우 특정 단말만을 위한 SSL-VPN기반의 G2C 방식이나 네트워크 단위의 접속을 위한 IPSec을 이용한 G2G 방식을 사용할 수 있습니다.

동적 접근제어 수행시 사용자의 네트워크 트레픽에 대한 가시성은 제공 되나요?

• 예, ZT-NAC는 센서/Gateway를 통과하는 접속에 대해서 표준 Netflow(IPFIX) 기반의 감사기록을 제공합니다. 이를 통해서 5 Tuples, Policy 정보에 더불어 GeoIP, BGP AS, HTTPS ETA(Encrypted Traffic Analysis), HTTP Request 정보등을 제공합니다.

ZT-NAC에서 제공되는 동적 접근제어는 컨트롤러 방식의 SDN과는 어떤 차이점이 있나요?

• 모든 접속에 대한 동적 접근제어를 하나의 중앙 컨트롤러에서 처리하는 SDN방식은 컨트롤러 장애시 모든 통신이 중단된다는 문제점을 가지고 있습니다.

• 이에 비해 Genian ZT-NAC의 동적 접근제어 방식은 표준 VXLAN SGT 방식을 사용하여 정책서버 장애시에도 기존에 인가된 단말의 동적 접근제어는 정상적으로 동작합니다.

• 아울러 Genian만의 ARP를 이용한 가상 Inline 방식을 통해 제공되므로 물리적인 네트워크 구성변경이나 네트워크 설정변경이 전혀 필요하지 않습니다.

동적 목적지 접근제어 사용시 ZT-NAC 센서 장애가 발생되면 어떻게 되나요?

• Out-of-Band 방식의 호스트센서 모드로 운영중인 경우라면 기존과 동일하게 센서장애시 네트워크 접근제어 기능이 해제 됩니다.

• Cloud Gateway를 통한 In-Band방식으로 운영중이라면 간단한 Instance 재구동/재생성으로 On-Prem Appliance 시스템 대비 빠른 복구가 가능합니다.

ZT-NAC에서 제공되는 ZTNA는 기존 VPN 대비 어떤 이점이 있나요?

• 기본적으로 ZT-NAC은 전통적인 VPN이 제공하는 IPSec, SSL-VPN 기능을 제공합니다.

• ZTNA Client가 NAC Agent내에 통합되어 있고 Zero Config를 지원합니다.

• 접속지점(PoP)을 Cloud에 위치시킬 수 있어 모든 트레픽이 사내로 들어오는 전통적인 VPN방식에 비해 WAN구간 트레픽을 획기적으로 감소시켜 주고 사용자에게 보다 빠른 네트워크 접속을 제공 합니다.

• 접속지점(PoP)을 다양한 국가/대륙별로 위치시킬 수 있어 글로벌기업에 적합합니다. (다중 PoP 및 Latency 기반 PoP 자동선택)

• NAC Agent에서 제공되는 단말 무결성 검사를 통과한 단말만 네트워크 접속이 가능하도록 통제할 수 있으며 네트워크 사용중에도 지속적인 단말 상태검사를 통해 접속을 통제합니다.

ZT-NAC은 Multi Cloud 환경을 지원하나요?

• 복잡해지는 Cloud 환경으로 인해 하나이상의 Cloud 서비스를 사용하는것이 보편화 되고 있습니다. ZT-NAC은 Cloud 사업자마다 다른 보안정책 수립을 단순화시키고 자동화 시키기 위한 간편한 방법을 제공합니다.

• Cloud 서버/서비스에 대한 보안정책을 ZT-NAC을 통해서 정의하면 개별 Cloud 서비스별로 별도의 UI / API / CLI 를 사용할 필요없이 업계표준인 Terraform을 통해 자동으로 Security Group을 적용시켜 줍니다.

Cloud Security Group 관리기능은 Public Cloud에만 적용할 수 있나요?

• 아니요. VMWare/Citrix와 같은 Private Cloud나 Nutanix와 같은 HCI, Hybrid Cloud에도 적용가능 합니다.

• 더 나아가 스위치, 보안장비, SaaS 서비스등 다양한 Provider를 지원 할 수 있습니다. 요청에 따른 순차적 지원을하고 있습니다.

ZT-NAC과 SASE는 어떤 차이점이 있나요?

• SASE의 서비스 방식은 모든 네트워크 접근제어를 Cloud Gateway를 통하여 이루어지도록 하여 보안시스템을 모두 Cloud에 위치시키는 개념 입니다. 이를 통해 On-Premises 중심의 보안체계를 Cloud중심으로 전환합니다.

• ZT-NAC은 이를위해 필요한 ZTNA와 Cloud Gateway를 제공합니다. Cloud Gateway는 다양한 지점 및 재택근무 사용자들이 안전한 통신 채널을 생성할 수 있도록 IPSec, SSL-VPN, GRE, VXLAN등 다양한 터널링 방법을 제공합니다.

• 사용자는 ZT-NAC을 통하여 자신만의 구축형 SASE 서비스를 만들 수 있습니다.

기존 V5.0 사용중 인 경우, ZTNA 도입시 따로 구매를 진행 해야 하나요?

• NAC의 내부/재택/Cloud까지 아우르는 ZTNA개념의 NAC 확장 버전입니다. 만약 기존 V5.0을 사용하고 계신다면 업그레이드의 개념으로 생각하시면 될 것 같습니다.

NAC 인증 시 VPN 연결 할때도 인증없이 연결 가능하게 할 수 있나요?

• 현재는 NAC인증과 VPN 인증이 별도로 구분되어 있습니다. VPN 인증 시 ID,PW를 저장하여 자동 인증 처리할 수 있도록 기능제공 하고 있으며, 어느 곳에서든 항상 접속 가능하도록 Always ZTNA 기능을 지원하려고 합니다.

ZT-NAC은 Multi-Tenancy를 지원하나요?

• ZT-NAC은 기존과 같은 단일 테넌트를 위한 제품과 더불어 다수의 테넌트를 대상으로 서비스를 제공할 수 있는 Kubernetes 기반의 멀티테넌시 환경을 지원합니다.

• 이를 통해 고객사 내부에서 다수의 도메인에 대해 독립적인 관리형 서비스를 제공하는 시스템을 구축할 수 있습니다.

Cloud 환경에서만 사용이 가능한가요?

• Cloud 환경과 on-premise 환경 모두 구성 가능합니다.

IPSec VPN 기능이 있나요?

• IPSec HUB 용도의 서비스 제공 목적입니다. On-Perm 사이트는 IPSec 표준을 지원하는 자체 VPN 장비를 사용하시는 것을 권합니다.

사내에서도 VPN연결을 해야하나요?

• Zero Trust라는 개념에서 볼 때 어떠한 것도 신뢰하지 않습니다. 사내에서도 VPN 연결을 통해 안전한 연결을 유지하는 것이 ZTNA의 컨셉입니다.

Cloud의 자원을 보호하는 기능이 있나요?

• Cloud의 자원(인스턴스)를 수집하고 모니터링을 통한 Cloud Security Group을 설정하는 기능을 지원하고, Cloud의 CLI를 통해 다양한 활동을 하도록 변경할 수 있습니다.

• Cloud의 자원을 보호하는 역할은 지원하고 있지 않습니다.

VPN은 어느것을 사용하나요?

• 오픈 소스를 이용하여 자체 개발을 진행하였습니다.

Cloud ,on-premise 모두 이중화 지원이 가능한가요?

• 이중화 지원은 현재 개발 진행 중 입니다.

소프트웨어 버전을 다운그레이드할 수 있습니까?

• 아니요, 다운그레이드는 지원되지 않습니다. 원복을 위한 다운그레이드의 경우 업그레이드하기 전에 백업을 생성한 다음 소프트웨어를 다시 설치하고 백업 데이터를 복원해야 합니다. 잘못된 다운그레이드는 DB Migration에 의해 데이터베이스가 정상적으로 구성되지 못할 수 있기에 권고하지 않습니다.

각 구성 요소 간의 통신이 암호화되어 있습니까?

• 예, 각 구성 요소 간의 이벤트 및 정책 관련 통신은 TLS를 통해 암호화됩니다.

엔드포인트의 Windows 업데이트를 확인하려면 어떻게 해야 합니까?

• Windows 업데이트 의 1단계를 참고하세요.

에이전트 지원 운영체제는 어떻게 됩니까?

• Genian ZTNA는 Windows, macOS, Linux 운영체제에 대해서 에이전트를 제공합니다.

어떤 백신제품을 지원합니까? ?

• Genian ZTNA는 국내, 국외의 백신 제품들에 대해서 지속적인 연동을 통해 확대 범위를 넓혀가고 있습니다. windows 자세히 보기 , macOS 자세히 보기, Linux 자세히 보기

Genian ZTNA가 지원하는 무선어댑터는 어떻게 됩니까?

• Genian ZTNA 무센센서와 호환되는 무선 어댑터 리스트입니다. 무선 어댑터 호환성

네트워크 차단된 노드가 CWP 페이지가 표시되지 않는 이유는 무엇입니까?

• DNS 통신이 안되는 경우 차단페이지가 표시되지 않습니다, 그 외의 경우에는 HSTS, HPKP 등 브라우저의 보안 설정이 동작했을 가능성이 큽니다. 다음 문서를 참조 바랍니다. HTTP 통신을 시도하는 PC에 CWP 페이지를 표시하는 방식

Web콘솔 노드관리 화면의 에이전트 아이콘이 회색인 이유는 무엇입니까?

• Web콘솔 노드리스트에서 표시되는 에이전트 아이콘이 회색인 이유는 정책서버와 에이전트가 통신이 되지 않거나, 에이전트가 동작하고 있지 않을때 회색으로 표시됩니다.

Agentless 환경에서 도메인정보를 수집하지 못하는 이유가 무엇입니까?

• 네트워크센서가 단말의 netbios, remote WMI 등의 통신이 원활하지 않는 상태이면 수집이 되지 않습니다.

Agentless 환경에서 단말 호스트명이 수집되지 않는 이유가 무엇입니까?

• 네트워크센서는 단말의 호스트 명을 실시간으로 모니터링합니다. DHCP, netbios.ns, netbios-dgm, MDNS 서비스가 모니터링되지 않는 경우 호스트 명이 수집이 되지 않습니다.

Agentless 환경에서 단말 정보수집이 되지 않는 이유가 무엇입니까?

• 단말 OS Windows 10 2004 릴리즈에서 DCOM 버전 문제로 인하여 WMI 정보수집이 되지 않는 단말들이 있습니다. 기술지원센터를 통하여 임시조치를 받으실 수 있습니다.

감사로그에 데이터베이스 Duplicated 로그가 많이 보이는 이유가 무엇입니까?

• 데이터베이스에 존재하는 데이터를 다시 추가하려고 할 때 나타나는 DB 경고 로그입니다. 반복적으로 계속 나타나는 경우 기술지원센터를 통하여 지원받으실 수 있습니다.

Agentless 환경인데 제어정책에 Agent 미설치 차단 정책이 존재합니다.

• 기본 제어정책은 Agent를 설치하는 환경 기준으로 생성되어 있습니다. Agent를 설치하지 않는 환경에선 정책을 환경에 맞게 생성/삭제 후 사용하시면 됩니다.

운영정보 데이터(Genian data)의 업데이트 주기는 언제입니까?

• 운영정보 데이터는 Web콘솔 > 설정 > 기타설정 > 운영정보 자동 업데이트 설정 에서 검사 주기를 설정하고 하단 자동업데이트 항목을 On 으로 하게 되면 설정한 주기에 자동업데이트됩니다. 시스템 업데이트 관리

무선랜 AP SSID 수집은 어떻게 수집해야 되나요?

• 다음 문서를 참고 바랍니다. 무선랜 제어

단말 무선랜접속을 제어하는 방법은 무엇입니까?

• 단말 무선랜접속 제어는 2가지로 수행이 가능합니다. 무선네트워크 어댑터를 Disable 시키는 방법(인터페이스 제어)과 무선랜 제어 를 이용한 무선랜 AP 접속을 제한하는 방법이 있습니다.

유/무선을 사용하여 네트워크를 공유해서 사용하는 단말을 제어하는 방법은 무엇입니까?

• 위험감지 정책(위험감지의 이해)에 Adhoc 네트워크 연결 정책을 사용하여 제한할 수 있습니다.

불필요한 관리자 웹 접속을 제어하는 방법은 무엇입니까?

• 세션관리 기능(불필요한 관리자 세션 종료하기)을 사용하여 불필요한 접속 세션을 강제로 종료할 수 있습니다.

노드에 네트워크 연결상태는 어떤 방법으로 확인하나요?

• 노드 상태체크 방식(노드 네트워크 연결상태 검사 설정하기)를 설정하여 확인할 수 있습니다.