.. _faq:

FAQ
===============

**NAC와 무엇이 다른가요?**

   - 기존 NAC의 기능위에 Zero-Trust 보안정책을 구현하기 위해 다음과 같은 기능이 추가되었습니다.
   - 센서 관리대상 노드간의 통신/내부망->Cloud/재택근무 접속에 대한 동적 목적지 접근제어 지원
   - 재택 근무자에게 강화된 단말 보안과 안전한 통신환경을 제공하는 ZTNA Client 기능
   - Cloud 서버 대역에 대한 가시성 및 Zero Trust 접근제어를 위한 Cloud 정보 수집기능
   - Cloud 서버 대역 및 인터넷 억세스에 대한 동적 접근제어 제공을 위한 Cloud Gateway 기능
   - Cloud 서버의 자동화된 보안정책 관리를 위한 Cloud Security Group 관리기능
   - 네트워크 트레픽에 대한 가시성을 제공하는 Netflow(IPFIX) 기반 NTA 기능
   - 최신 보안뉴스와 그에 관련된 노드를 알려주는 보안뉴스 피딩 서비스
   - 새로워진 대시보드 / 확장된 노드타입 / 플랫폼 이미지 기반 그리드뷰

**Zero Trust 보안정책이란 무었이며 ZT-NAC은 이것을 어떻게 제공 하는건가요?**

   - 네트워크에 접근하는 모든 장치는 그 장치에게 반드시 필요한 서비스/서버 이외에는 허용하지 않는 정책을 기본으로 가져가는 개념입니다.
   - 이를 위해 출발지와 목적지가 그 역할에 따라 매우 정교하게 분류되어야 합니다. (Micro Segmentation)
   - ZT-NAC는 그를 위해 500가지 이상의 조건식을 제공하는 노드그룹을 통해서 출발지와 Cloud를 포함한 목적지에 대한 노드그룹을 관리할 수 있습니다.
   - 새로운 ZT-NAC에서는 세밀하게 분류된 사용자단말에게 허용되는 네트워크 접근권한을 설정할때 노드그룹을 사용할 수 있게 해줍니다.
   - 노드그룹을 통한 목적지 제어를 사용하게 되면 기존 제품들이 제공하는 IP/Subnet 단위의 보안정책에서 벗어나 상태/속성/Tag등을 기반으로 보안정책이 자동으로 갱신됩니다.

**동적 목적지 제어를 위해서 새로운 장비나 네트워크 구성이 필요한가요?**

   - 아니요. ZT-NAC을 기존에 센서가 설치된 환경에서 운영할 경우에는 새로운 장비나 네트워크 구성 변경이 필요하지 않습니다. 표준 VXLAN SGT를 통한 센서간의 통신을 통해서 구성변경 없이 동적 접근제어가 가능합니다.
   - Genians의 특허받은 ARP기반 가상 Inline 접근제어방식을 통해서 Out-of-Band 방식으로 구성하거나 Inline Gateway방식의 센서를 구축하여 In-Band 접근제어를 할 수 있어 구축환경에 따라 적합한 방식을 선택할 수 있습니다.

**클라우드에 존재하는 서버(워크로드)에 접근시 동적 목적지 제어는 어떻게 적용할 수 있나요?**

   - 클라우드 접근제어는 두가지 방식으로 적용할 수 있습니다.
   - 첫번째 방법은 Cloud 에서 제공되는 Security Group 기능을 통해 서버에 접근가능한 단말의 IP목록을 노드그룹과 동기화시켜 관리할 수 있습니다.
   - 두번째 방법은 Cloud Gateway를 구성해서 모든 통신을 Cloud Gateway를 거치도록 하여 접근제어를 수행할 수 있습니다. 이경우 특정 단말만을 위한 SSL-VPN기반의 G2C 방식이나 네트워크 단위의 접속을 위한 IPSec을 이용한 G2G 방식을 사용할 수 있습니다.

**동적 접근제어 수행시 사용자의 네트워크 트레픽에 대한 가시성은 제공 되나요?**

   - 예, ZT-NAC는 센서/Gateway를 통과하는 접속에 대해서 표준 Netflow(IPFIX) 기반의 감사기록을 제공합니다. 이를 통해서 5 Tuples, Policy 정보에 더불어 GeoIP, BGP AS, HTTPS ETA(Encrypted Traffic Analysis), HTTP Request 정보등을 제공합니다.

**ZT-NAC에서 제공되는 동적 접근제어는 컨트롤러 방식의 SDN과는 어떤 차이점이 있나요?**

   - 모든 접속에 대한 동적 접근제어를 하나의 중앙 컨트롤러에서 처리하는 SDN방식은 컨트롤러 장애시 모든 통신이 중단된다는 문제점을 가지고 있습니다.
   - 이에 비해 Genian ZT-NAC의 동적 접근제어 방식은 표준 VXLAN SGT 방식을 사용하여 정책서버 장애시에도 기존에 인가된 단말의 동적 접근제어는 정상적으로 동작합니다.
   - 아울러 Genian만의 ARP를 이용한 가상 Inline 방식을 통해 제공되므로 물리적인 네트워크 구성변경이나 네트워크 설정변경이 전혀 필요하지 않습니다.

**동적 목적지 접근제어 사용시 ZT-NAC 센서 장애가 발생되면 어떻게 되나요?**

   - Out-of-Band 방식의 호스트센서 모드로 운영중인 경우라면 기존과 동일하게 센서장애시 네트워크 접근제어 기능이 해제 됩니다.
   - Cloud Gateway를 통한 In-Band방식으로 운영중이라면 간단한 Instance 재구동/재생성으로 On-Prem Appliance 시스템 대비 빠른 복구가 가능합니다.


**ZT-NAC에서 제공되는 ZTNA는 기존 VPN 대비 어떤 이점이 있나요?**

   - 기본적으로 ZT-NAC은 전통적인 VPN이 제공하는 IPSec, SSL-VPN 기능을 제공합니다.
   - ZTNA Client가 NAC Agent내에 통합되어 있고 Zero Config를 지원합니다.
   - 접속지점(PoP)을 Cloud에 위치시킬 수 있어 모든 트레픽이 사내로 들어오는 전통적인 VPN방식에 비해 WAN구간 트레픽을 획기적으로 감소시켜 주고 사용자에게 보다 빠른 네트워크 접속을 제공 합니다.
   - 접속지점(PoP)을 다양한 국가/대륙별로 위치시킬 수 있어 글로벌기업에 적합합니다. (다중 PoP 및 Latency 기반 PoP 자동선택)
   - NAC Agent에서 제공되는 단말 무결성 검사를 통과한 단말만 네트워크 접속이 가능하도록 통제할 수 있으며 네트워크 사용중에도 지속적인 단말 상태검사를 통해 접속을 통제합니다.

**ZT-NAC은 Multi Cloud 환경을 지원하나요?**

   - 복잡해지는 Cloud 환경으로 인해 하나이상의 Cloud 서비스를 사용하는것이 보편화 되고 있습니다. ZT-NAC은 Cloud 사업자마다 다른 보안정책 수립을 단순화시키고 자동화 시키기 위한 간편한 방법을 제공합니다.
   - Cloud 서버/서비스에 대한 보안정책을 ZT-NAC을 통해서 정의하면 개별 Cloud 서비스별로 별도의 UI / API / CLI 를 사용할 필요없이 업계표준인 Terraform을 통해 자동으로 Security Group을 적용시켜 줍니다.

**Cloud Security Group 관리기능은 Public Cloud에만 적용할 수 있나요?**

   - 아니요. VMWare/Citrix와 같은 Private Cloud나 Nutanix와 같은 HCI, Hybrid Cloud에도 적용가능 합니다.
   - 더 나아가 스위치, 보안장비, SaaS 서비스등 다양한 Provider를 지원 할 수 있습니다. 요청에 따른 순차적 지원을하고 있습니다.

**ZT-NAC과 SASE는 어떤 차이점이 있나요?**

   - SASE의 서비스 방식은 모든 네트워크 접근제어를 Cloud Gateway를 통하여 이루어지도록 하여 보안시스템을 모두 Cloud에 위치시키는 개념 입니다. 이를 통해 On-Premises 중심의 보안체계를 Cloud중심으로 전환합니다.
   - ZT-NAC은 이를위해 필요한 ZTNA와 Cloud Gateway를 제공합니다. Cloud Gateway는 다양한 지점 및 재택근무 사용자들이 안전한 통신 채널을 생성할 수 있도록 IPSec, SSL-VPN, GRE, VXLAN등 다양한 터널링 방법을 제공합니다.
   - 사용자는 ZT-NAC을 통하여 자신만의 구축형 SASE 서비스를 만들 수 있습니다.


**기존 V5.0 사용중 인 경우, ZTNA 도입시 따로 구매를 진행 해야 하나요?**

   - NAC의 내부/재택/Cloud까지 아우르는 ZTNA개념의 NAC 확장 버전입니다. 만약 기존 V5.0을 사용하고 계신다면 업그레이드의 개념으로 생각하시면 될 것 같습니다.

**NAC 인증 시 VPN 연결 할때도 인증없이 연결 가능하게 할 수 있나요?**

   - 현재는 NAC인증과 VPN 인증이 별도로 구분되어 있습니다. VPN 인증 시 ID,PW를 저장하여 자동 인증 처리할 수 있도록 기능제공 하고 있으며, 어느 곳에서든 항상 접속 가능하도록 Always ZTNA 기능을 지원하려고 합니다.

**ZT-NAC은 Multi-Tenancy를 지원하나요?**

   - ZT-NAC은 기존과 같은 단일 테넌트를 위한 제품과 더불어 다수의 테넌트를 대상으로 서비스를 제공할 수 있는 Kubernetes 기반의 멀티테넌시 환경을 지원합니다.
   - 이를 통해 고객사 내부에서 다수의 도메인에 대해 독립적인 관리형 서비스를 제공하는 시스템을 구축할 수 있습니다.

**Cloud 환경에서만 사용이 가능한가요?**

   - Cloud 환경과 on-premise 환경 모두 구성 가능합니다.

**IPSec VPN 기능이 있나요?**

   - IPSec HUB 용도의 서비스 제공 목적입니다. On-Perm 사이트는 IPSec 표준을 지원하는 자체 VPN 장비를 사용하시는 것을 권합니다.
  
**사내에서도 VPN연결을 해야하나요?**

   - Zero Trust라는 개념에서 볼 때 어떠한 것도 신뢰하지 않습니다. 사내에서도 VPN 연결을 통해 안전한 연결을 유지하는 것이 ZTNA의 컨셉입니다.

**Cloud의 자원을 보호하는 기능이 있나요?**

   - Cloud의 자원(인스턴스)를 수집하고 모니터링을 통한 Cloud Security Group을 설정하는 기능을 지원하고, Cloud의 CLI를 통해 다양한 활동을 하도록 변경할 수 있습니다. 
   - Cloud의 자원을 보호하는 역할은 지원하고 있지 않습니다.

**VPN은 어느것을 사용하나요?**

   - 오픈 소스를 이용하여 자체 개발을 진행하였습니다.
  
**Cloud ,on-premise 모두 이중화 지원이 가능한가요?**
  
   - 이중화 지원은 현재 개발 진행 중 입니다. 

**소프트웨어 버전을 다운그레이드할 수 있습니까?**

   - 아니요, 다운그레이드는 지원되지 않습니다. 원복을 위한 다운그레이드의 경우 업그레이드하기 전에 백업을 생성한 다음 소프트웨어를 다시 설치하고 백업 데이터를 복원해야 합니다. 잘못된 다운그레이드는 DB Migration에 의해 데이터베이스가 정상적으로 구성되지 못할 수 있기에 권고하지 않습니다.

**각 구성 요소 간의 통신이 암호화되어 있습니까?**

   - 예, 각 구성 요소 간의 이벤트 및 정책 관련 통신은 TLS를 통해 암호화됩니다.

**엔드포인트의 Windows 업데이트를 확인하려면 어떻게 해야 합니까?**

   - :doc:`endpoints/windows-update` 의 1단계를 참고하세요.

**에이전트 지원 운영체제는 어떻게 됩니까?**

   - Genian ZTNA는 :ref:`Windows <windows-agent-os-info>`, :ref:`macOS <macos-agent-os-info>`, :ref:`Linux <linux-agent>` 운영체제에 대해서 에이전트를 제공합니다. 

**어떤 백신제품을 지원합니까? ?**

   - Genian ZTNA는 국내, 국외의 백신 제품들에 대해서 지속적인 연동을 통해 확대 범위를 넓혀가고 있습니다. :ref:`windows 자세히 보기 <windows-antivirus-info-compatibility>` , :ref:`macOS 자세히 보기 <mac-antivirus-info-compatibility>`, :ref:`Linux 자세히 보기 <linux-antivirus-info>`

**Genian ZTNA가 지원하는 무선어댑터는 어떻게 됩니까?**
   
   - Genian ZTNA 무센센서와 호환되는 무선 어댑터 리스트입니다. :ref:`wireless-adapter-compatibility`

**네트워크 차단된 노드가 CWP 페이지가 표시되지 않는 이유는 무엇입니까?**

   - DNS 통신이 안되는 경우 차단페이지가 표시되지 않습니다, 그 외의 경우에는 HSTS, HPKP 등 브라우저의 보안 설정이 동작했을 가능성이 큽니다. 다음 문서를 참조 바랍니다. :ref:`hsts-hpkp`

**Web콘솔 노드관리 화면의 에이전트 아이콘이 회색인 이유는 무엇입니까?**
   
   - Web콘솔 노드리스트에서 표시되는 에이전트 아이콘이 회색인 이유는 정책서버와 에이전트가 통신이 되지 않거나, 에이전트가 동작하고 있지 않을때 회색으로 표시됩니다.
   
**Agentless 환경에서 도메인정보를 수집하지 못하는 이유가 무엇입니까?**

   - 네트워크센서가 단말의 netbios, remote WMI 등의 통신이 원활하지 않는 상태이면 수집이 되지 않습니다. 

**Agentless 환경에서 단말 호스트명이 수집되지 않는 이유가 무엇입니까?**

   - 네트워크센서는 단말의 호스트 명을 실시간으로 모니터링합니다. DHCP, netbios.ns, netbios-dgm, MDNS 서비스가 모니터링되지 않는 경우 호스트 명이 수집이 되지 않습니다.

**Agentless 환경에서 단말 정보수집이 되지 않는 이유가 무엇입니까?**

   - 단말 OS Windows 10 2004 릴리즈에서 DCOM 버전 문제로 인하여 WMI 정보수집이 되지 않는 단말들이 있습니다. 기술지원센터를 통하여 임시조치를 받으실 수 있습니다.

**감사로그에 데이터베이스 Duplicated 로그가 많이 보이는 이유가 무엇입니까?**

   - 데이터베이스에 존재하는 데이터를 다시 추가하려고 할 때 나타나는 DB 경고 로그입니다. 반복적으로 계속 나타나는 경우 기술지원센터를 통하여 지원받으실 수 있습니다.

**Agentless 환경인데 제어정책에 Agent 미설치 차단 정책이 존재합니다.**

   - 기본 제어정책은 Agent를 설치하는 환경 기준으로 생성되어 있습니다. Agent를 설치하지 않는 환경에선 정책을 환경에 맞게 생성/삭제 후 사용하시면 됩니다.

**운영정보 데이터(Genian data)의 업데이트 주기는 언제입니까?**

   - 운영정보 데이터는 **Web콘솔 > 설정 > 기타설정 > 운영정보 자동 업데이트 설정** 에서 검사 주기를 설정하고 하단 **자동업데이트** 항목을 ``On`` 으로 하게 되면 설정한 주기에 자동업데이트됩니다. :ref:`system-software`

**무선랜 AP SSID 수집은 어떻게 수집해야 되나요?**

   - 다음 문서를 참고 바랍니다. :ref:`wlan-interface`

**단말 무선랜접속을 제어하는 방법은 무엇입니까?**

   - 단말 무선랜접속 제어는 2가지로 수행이 가능합니다. 무선네트워크 어댑터를 ``Disable`` 시키는 방법(:ref:`network-interface`)과 :ref:`wlan-interface` 를 이용한 무선랜 AP 접속을 제한하는 방법이 있습니다. 

**유/무선을 사용하여 네트워크를 공유해서 사용하는 단말을 제어하는 방법은 무엇입니까?**

   - 위험감지 정책(:ref:`understanding-threat`)에 ``Adhoc 네트워크 연결`` 정책을 사용하여 제한할 수 있습니다.

**불필요한 관리자 웹 접속을 제어하는 방법은 무엇입니까?**

  - 세션관리 기능(:ref:`session-control`)을 사용하여 불필요한 접속 세션을 강제로 종료할 수 있습니다.

**노드에 네트워크 연결상태는 어떤 방법으로 확인하나요?**

  - 노드 상태체크 방식(:ref:`node-updown-status`)를 설정하여 확인할 수 있습니다.


**Active Directory의 사용자 자격 증명을 사용하여 웹 콘솔에 접근할 수 있습니까?**

   - 인증 연동과 정보 동기화를 설정하면 사용할 수 있습니다. AD 도메인 컨트롤러와 데이터베이스 동기화, 마지막으로 AD 사용자는 Genians 사용자 데이터베이스에서 선택하고 구성해야 합니다.
   

   - :ref:`외부 인증서버 설정 <integrate-external>`
   - :ref:`LDAP <ldap>`

**노드 타입과 플랫폼 분류 동작 방식은 어떻게 되나요?**
   - 노드타입과 플랫폼 분류는 운영데이터인 **NMDB(NMAP Database, 노드정보 감지 데이터)** 와 **GPDB(Genian Platform Databases, 운영체제 감지 데이터)** 를 통해 분류하고 있습니다.
   - :ref:`GDPI <device-platform-intelligence>`

**에이전트 로그 수집은 어떻게 진행하나요?**
   - **에이전트 트레이 아이콘** 마우스 우클릭 -> **프로그램 정보** 클릭 -> **오류 보고** 클릭 -> **C:\GnAgent연월시분.zip** 파일 확인
  
**장비도입 후 보안적합성 검증 절차를 반드시 진행해야 하나요?**
   - 국가사이버안보센터의 **안정성 검증필 제품목록** 으로 등재된 제품의 경우 보안적함성 검증을 생략할 수 있습니다. 현재 NAC는 구간보안 제품군, 네트워크 접근 통제제품으로 등록되어 있습니다.
   - `국가사이버보안센터 <https://www.ncsc.go.kr:4018/main/mainPage.do;jsessionid=7cvyWWluZeaEQz10tJXI4izVmpcSH3G9Pv54ojA3apZpAaEmbJR2YCEKtp41gQ82.nweb3_servlet_ncsc>`_
 
**노드액션과 제어액션의 차이점은 무엇인가요?**
   - 노드액션은 노드정책에서 사용하는 액션플러그인 정책이며 제어액션은 제어정책에 사용하는 액션정책입니다. 
   - 노드액션은 등록된 에이전트 플러그인을 모두 사용가능하지만 제어액션에는 지정된 플러그인만 사용가능합니다. 

**무선 네트워크를 사용하는 단말이 다른 플랫폼으로 탐지됩니다**
   - 모바일 및 PC단말의 기능으로 MAC주소를 RANDOM MAC으로 변경하면서 다른 제조사의 OUI(Organizationally Unique Identifier)를 사용하게 되는 경우 오탐이 발생합니다.
   - RANDOM MAC 설정은 무선프로파일 상세설정에 위치하며 MAC 주소 유형을 단말의 MAC으로 설정하여 조치가능합니다.  :ref:`false-positive-platform2`