FAQ
NAC와 무엇이 다른가요?
기존 NAC의 기능위에 Zero-Trust 보안정책을 구현하기 위해 다음과 같은 기능이 추가되었습니다.
센서 관리대상 노드간의 통신/내부망->Cloud/재택근무 접속에 대한 동적 목적지 접근제어 지원
재택 근무자에게 강화된 단말 보안과 안전한 통신환경을 제공하는 ZTNA Client 기능
Cloud 서버 대역에 대한 가시성 및 Zero Trust 접근제어를 위한 Cloud 정보 수집기능
Cloud 서버 대역 및 인터넷 억세스에 대한 동적 접근제어 제공을 위한 Cloud Gateway 기능
Cloud 서버의 자동화된 보안정책 관리를 위한 Cloud Security Group 관리기능
네트워크 트레픽에 대한 가시성을 제공하는 Netflow(IPFIX) 기반 NTA 기능
최신 보안뉴스와 그에 관련된 노드를 알려주는 보안뉴스 피딩 서비스
새로워진 대시보드 / 확장된 노드타입 / 플랫폼 이미지 기반 그리드뷰
Zero Trust 보안정책이란 무었이며 ZT-NAC은 이것을 어떻게 제공 하는건가요?
네트워크에 접근하는 모든 장치는 그 장치에게 반드시 필요한 서비스/서버 이외에는 허용하지 않는 정책을 기본으로 가져가는 개념입니다.
이를 위해 출발지와 목적지가 그 역할에 따라 매우 정교하게 분류되어야 합니다. (Micro Segmentation)
ZT-NAC는 그를 위해 500가지 이상의 조건식을 제공하는 노드그룹을 통해서 출발지와 Cloud를 포함한 목적지에 대한 노드그룹을 관리할 수 있습니다.
새로운 ZT-NAC에서는 세밀하게 분류된 사용자단말에게 허용되는 네트워크 접근권한을 설정할때 노드그룹을 사용할 수 있게 해줍니다.
노드그룹을 통한 목적지 제어를 사용하게 되면 기존 제품들이 제공하는 IP/Subnet 단위의 보안정책에서 벗어나 상태/속성/Tag등을 기반으로 보안정책이 자동으로 갱신됩니다.
동적 목적지 제어를 위해서 새로운 장비나 네트워크 구성이 필요한가요?
아니요. ZT-NAC을 기존에 센서가 설치된 환경에서 운영할 경우에는 새로운 장비나 네트워크 구성 변경이 필요하지 않습니다. 표준 VXLAN SGT를 통한 센서간의 통신을 통해서 구성변경 없이 동적 접근제어가 가능합니다.
Genians의 특허받은 ARP기반 가상 Inline 접근제어방식을 통해서 Out-of-Band 방식으로 구성하거나 Inline Gateway방식의 센서를 구축하여 In-Band 접근제어를 할 수 있어 구축환경에 따라 적합한 방식을 선택할 수 있습니다.
클라우드에 존재하는 서버(워크로드)에 접근시 동적 목적지 제어는 어떻게 적용할 수 있나요?
클라우드 접근제어는 두가지 방식으로 적용할 수 있습니다.
첫번째 방법은 Cloud 에서 제공되는 Security Group 기능을 통해 서버에 접근가능한 단말의 IP목록을 노드그룹과 동기화시켜 관리할 수 있습니다.
두번째 방법은 Cloud Gateway를 구성해서 모든 통신을 Cloud Gateway를 거치도록 하여 접근제어를 수행할 수 있습니다. 이경우 특정 단말만을 위한 SSL-VPN기반의 G2C 방식이나 네트워크 단위의 접속을 위한 IPSec을 이용한 G2G 방식을 사용할 수 있습니다.
동적 접근제어 수행시 사용자의 네트워크 트레픽에 대한 가시성은 제공 되나요?
예, ZT-NAC는 센서/Gateway를 통과하는 접속에 대해서 표준 Netflow(IPFIX) 기반의 감사기록을 제공합니다. 이를 통해서 5 Tuples, Policy 정보에 더불어 GeoIP, BGP AS, HTTPS ETA(Encrypted Traffic Analysis), HTTP Request 정보등을 제공합니다.
ZT-NAC에서 제공되는 동적 접근제어는 컨트롤러 방식의 SDN과는 어떤 차이점이 있나요?
모든 접속에 대한 동적 접근제어를 하나의 중앙 컨트롤러에서 처리하는 SDN방식은 컨트롤러 장애시 모든 통신이 중단된다는 문제점을 가지고 있습니다.
이에 비해 Genian ZT-NAC의 동적 접근제어 방식은 표준 VXLAN SGT 방식을 사용하여 정책서버 장애시에도 기존에 인가된 단말의 동적 접근제어는 정상적으로 동작합니다.
아울러 Genian만의 ARP를 이용한 가상 Inline 방식을 통해 제공되므로 물리적인 네트워크 구성변경이나 네트워크 설정변경이 전혀 필요하지 않습니다.
동적 목적지 접근제어 사용시 ZT-NAC 센서 장애가 발생되면 어떻게 되나요?
Out-of-Band 방식의 호스트센서 모드로 운영중인 경우라면 기존과 동일하게 센서장애시 네트워크 접근제어 기능이 해제 됩니다.
Cloud Gateway를 통한 In-Band방식으로 운영중이라면 간단한 Instance 재구동/재생성으로 On-Prem Appliance 시스템 대비 빠른 복구가 가능합니다.
ZT-NAC에서 제공되는 ZTNA는 기존 VPN 대비 어떤 이점이 있나요?
기본적으로 ZT-NAC은 전통적인 VPN이 제공하는 IPSec, SSL-VPN 기능을 제공합니다.
ZTNA Client가 NAC Agent내에 통합되어 있고 Zero Config를 지원합니다.
접속지점(PoP)을 Cloud에 위치시킬 수 있어 모든 트레픽이 사내로 들어오는 전통적인 VPN방식에 비해 WAN구간 트레픽을 획기적으로 감소시켜 주고 사용자에게 보다 빠른 네트워크 접속을 제공 합니다.
접속지점(PoP)을 다양한 국가/대륙별로 위치시킬 수 있어 글로벌기업에 적합합니다. (다중 PoP 및 Latency 기반 PoP 자동선택)
NAC Agent에서 제공되는 단말 무결성 검사를 통과한 단말만 네트워크 접속이 가능하도록 통제할 수 있으며 네트워크 사용중에도 지속적인 단말 상태검사를 통해 접속을 통제합니다.
ZT-NAC은 Multi Cloud 환경을 지원하나요?
복잡해지는 Cloud 환경으로 인해 하나이상의 Cloud 서비스를 사용하는것이 보편화 되고 있습니다. ZT-NAC은 Cloud 사업자마다 다른 보안정책 수립을 단순화시키고 자동화 시키기 위한 간편한 방법을 제공합니다.
Cloud 서버/서비스에 대한 보안정책을 ZT-NAC을 통해서 정의하면 개별 Cloud 서비스별로 별도의 UI / API / CLI 를 사용할 필요없이 업계표준인 Terraform을 통해 자동으로 Security Group을 적용시켜 줍니다.
Cloud Security Group 관리기능은 Public Cloud에만 적용할 수 있나요?
아니요. VMWare/Citrix와 같은 Private Cloud나 Nutanix와 같은 HCI, Hybrid Cloud에도 적용가능 합니다.
더 나아가 스위치, 보안장비, SaaS 서비스등 다양한 Provider를 지원 할 수 있습니다. 요청에 따른 순차적 지원을하고 있습니다.
ZT-NAC과 SASE는 어떤 차이점이 있나요?
SASE의 서비스 방식은 모든 네트워크 접근제어를 Cloud Gateway를 통하여 이루어지도록 하여 보안시스템을 모두 Cloud에 위치시키는 개념 입니다. 이를 통해 On-Premises 중심의 보안체계를 Cloud중심으로 전환합니다.
ZT-NAC은 이를위해 필요한 ZTNA와 Cloud Gateway를 제공합니다. Cloud Gateway는 다양한 지점 및 재택근무 사용자들이 안전한 통신 채널을 생성할 수 있도록 IPSec, SSL-VPN, GRE, VXLAN등 다양한 터널링 방법을 제공합니다.
사용자는 ZT-NAC을 통하여 자신만의 구축형 SASE 서비스를 만들 수 있습니다.
기존 V5.0 사용중 인 경우, ZTNA 도입시 따로 구매를 진행 해야 하나요?
NAC의 내부/재택/Cloud까지 아우르는 ZTNA개념의 NAC 확장 버전입니다. 만약 기존 V5.0을 사용하고 계신다면 업그레이드의 개념으로 생각하시면 될 것 같습니다.
NAC 인증 시 VPN 연결 할때도 인증없이 연결 가능하게 할 수 있나요?
현재는 NAC인증과 VPN 인증이 별도로 구분되어 있습니다. VPN 인증 시 ID,PW를 저장하여 자동 인증 처리할 수 있도록 기능제공 하고 있으며, 어느 곳에서든 항상 접속 가능하도록 Always ZTNA 기능을 지원하려고 합니다.
ZT-NAC은 Multi-Tenancy를 지원하나요?
ZT-NAC은 기존과 같은 단일 테넌트를 위한 제품과 더불어 다수의 테넌트를 대상으로 서비스를 제공할 수 있는 Kubernetes 기반의 멀티테넌시 환경을 지원합니다.
이를 통해 고객사 내부에서 다수의 도메인에 대해 독립적인 관리형 서비스를 제공하는 시스템을 구축할 수 있습니다.
Cloud 환경에서만 사용이 가능한가요?
Cloud 환경과 on-premise 환경 모두 구성 가능합니다.
IPSec VPN 기능이 있나요?
IPSec HUB 용도의 서비스 제공 목적입니다. On-Perm 사이트는 IPSec 표준을 지원하는 자체 VPN 장비를 사용하시는 것을 권합니다.
사내에서도 VPN연결을 해야하나요?
Zero Trust라는 개념에서 볼 때 어떠한 것도 신뢰하지 않습니다. 사내에서도 VPN 연결을 통해 안전한 연결을 유지하는 것이 ZTNA의 컨셉입니다.
Cloud의 자원을 보호하는 기능이 있나요?
Cloud의 자원(인스턴스)를 수집하고 모니터링을 통한 Cloud Security Group을 설정하는 기능을 지원하고, Cloud의 CLI를 통해 다양한 활동을 하도록 변경할 수 있습니다.
Cloud의 자원을 보호하는 역할은 지원하고 있지 않습니다.
VPN은 어느것을 사용하나요?
오픈 소스를 이용하여 자체 개발을 진행하였습니다.
Cloud ,on-premise 모두 이중화 지원이 가능한가요?
이중화 지원은 현재 개발 진행 중 입니다.
소프트웨어 버전을 다운그레이드할 수 있습니까?
아니요, 다운그레이드는 지원되지 않습니다. 원복을 위한 다운그레이드의 경우 업그레이드하기 전에 백업을 생성한 다음 소프트웨어를 다시 설치하고 백업 데이터를 복원해야 합니다. 잘못된 다운그레이드는 DB Migration에 의해 데이터베이스가 정상적으로 구성되지 못할 수 있기에 권고하지 않습니다.
각 구성 요소 간의 통신이 암호화되어 있습니까?
예, 각 구성 요소 간의 이벤트 및 정책 관련 통신은 TLS를 통해 암호화됩니다.
엔드포인트의 Windows 업데이트를 확인하려면 어떻게 해야 합니까?
Windows 업데이트 의 1단계를 참고하세요.
에이전트 지원 운영체제는 어떻게 됩니까?
어떤 백신제품을 지원합니까? ?
Genian ZTNA는 국내, 국외의 백신 제품들에 대해서 지속적인 연동을 통해 확대 범위를 넓혀가고 있습니다. windows 자세히 보기 , macOS 자세히 보기, Linux 자세히 보기
Genian ZTNA가 지원하는 무선어댑터는 어떻게 됩니까?
Genian ZTNA 무센센서와 호환되는 무선 어댑터 리스트입니다. 무선 어댑터 호환성
네트워크 차단된 노드가 CWP 페이지가 표시되지 않는 이유는 무엇입니까?
DNS 통신이 안되는 경우 차단페이지가 표시되지 않습니다, 그 외의 경우에는 HSTS, HPKP 등 브라우저의 보안 설정이 동작했을 가능성이 큽니다. 다음 문서를 참조 바랍니다. HTTP 통신을 시도하는 PC에 CWP 페이지를 표시하는 방식
Web콘솔 노드관리 화면의 에이전트 아이콘이 회색인 이유는 무엇입니까?
Web콘솔 노드리스트에서 표시되는 에이전트 아이콘이 회색인 이유는 정책서버와 에이전트가 통신이 되지 않거나, 에이전트가 동작하고 있지 않을때 회색으로 표시됩니다.
Agentless 환경에서 도메인정보를 수집하지 못하는 이유가 무엇입니까?
네트워크센서가 단말의 netbios, remote WMI 등의 통신이 원활하지 않는 상태이면 수집이 되지 않습니다.
Agentless 환경에서 단말 호스트명이 수집되지 않는 이유가 무엇입니까?
네트워크센서는 단말의 호스트 명을 실시간으로 모니터링합니다. DHCP, netbios.ns, netbios-dgm, MDNS 서비스가 모니터링되지 않는 경우 호스트 명이 수집이 되지 않습니다.
Agentless 환경에서 단말 정보수집이 되지 않는 이유가 무엇입니까?
단말 OS Windows 10 2004 릴리즈에서 DCOM 버전 문제로 인하여 WMI 정보수집이 되지 않는 단말들이 있습니다. 기술지원센터를 통하여 임시조치를 받으실 수 있습니다.
감사로그에 데이터베이스 Duplicated 로그가 많이 보이는 이유가 무엇입니까?
데이터베이스에 존재하는 데이터를 다시 추가하려고 할 때 나타나는 DB 경고 로그입니다. 반복적으로 계속 나타나는 경우 기술지원센터를 통하여 지원받으실 수 있습니다.
Agentless 환경인데 제어정책에 Agent 미설치 차단 정책이 존재합니다.
기본 제어정책은 Agent를 설치하는 환경 기준으로 생성되어 있습니다. Agent를 설치하지 않는 환경에선 정책을 환경에 맞게 생성/삭제 후 사용하시면 됩니다.
운영정보 데이터(Genian data)의 업데이트 주기는 언제입니까?
운영정보 데이터는 Web콘솔 > 설정 > 기타설정 > 운영정보 자동 업데이트 설정 에서 검사 주기를 설정하고 하단 자동업데이트 항목을
On
으로 하게 되면 설정한 주기에 자동업데이트됩니다. 시스템 업데이트 관리
무선랜 AP SSID 수집은 어떻게 수집해야 되나요?
다음 문서를 참고 바랍니다. 무선랜 제어
단말 무선랜접속을 제어하는 방법은 무엇입니까?
유/무선을 사용하여 네트워크를 공유해서 사용하는 단말을 제어하는 방법은 무엇입니까?
위험감지 정책(위험감지의 이해)에
Adhoc 네트워크 연결
정책을 사용하여 제한할 수 있습니다.
불필요한 관리자 웹 접속을 제어하는 방법은 무엇입니까?
세션관리 기능(불필요한 관리자 세션 종료하기)을 사용하여 불필요한 접속 세션을 강제로 종료할 수 있습니다.
노드에 네트워크 연결상태는 어떤 방법으로 확인하나요?
노드 상태체크 방식(노드 네트워크 연결상태 검사 설정하기)를 설정하여 확인할 수 있습니다.