구성 요소 이해 ==================== Genian NAC를 구축하려면 다양한 구성 요소가 필요합니다. 이 장에서는 각 구성 요소의 역할 및 설치에 대해 설명합니다. .. note:: 유튜브를 통해 Genian NAC 구성 요소 교육 영상을 확인할 수 있습니다 : `Online EDU 2 Chapter `_ , `관리자 교육-제품 소개 및 기본 구성 요소와 이해 `_ 정책 서버 ------------- 정책서버는 NAC의 모든 데이터 및 설정을 저장하는 중앙 관리 시스템입니다. 다른 구성 요소들은 정책서버로부터 정책을 수신한 다음 수집된 정보를 정책서버로 전송합니다. 일반적으로 정책 서버는 조직의 데이터 센터에 상주하며 실제 서버 또는 가상 시스템에 설치 됩니다. 정책서버는 또한 클라우드 환경에 설치할 수 있습니다. 정책서버의 또 다른 역할은 관리자의 관리 웹 UI 콘솔을 제공하는 것입니다. 다른 구성 요소를 구성 및 관리 할 수 ​​있습니다. 웹 기반 관리 콘솔을 통해 수집 된 정보를 보고 조직의 보안 정책을 수립 할 수 있습니다. .. note:: 정책서버는 On-premise 또는 Cloud managed 두 가지 운영방식을 지원합니다. 네트워크센서 ------------------ 네트워크센서는 각 네트워크 세그먼트에 위치하며 네트워크를 모니터링하고 정보를 수집하여 정책 서버로 전송합니다. 네트워크센서는 일반 네트워크 액세스 포트에 연결되며 포트 미러링과 같은 특수 설정이 필요하지 않습니다. 그러나 하나의 물리적 센서로 여러 VLAN 정보를 수집 할 때는 802.1Q를 통해 트렁크 포트로 구성해야합니다. 네트워크센서는 ARP 또는 DHCP와 같은 브로드 캐스트 패킷을 모니터링하여 새로운 장치를 감지합니다. 또한 UPNP, NetBIOS 등 다양한 브로드 캐스트 패킷을 통해 플랫폼을 탐지하거나 장치 정보를 수집할 수 있습니다. 따라서 **네트워크센서는 모든 브로드 캐스트 도메인** 에 연결 되어야합니다. WAN에 연결된 원격 사이트가 있는 경우, 각 네트워크 마다 별도의 네트워크센서가 필요합니다. 무선 센서 ''''''''''''''' 무선 센서는 무선 LAN 네트워크 인터페이스를 통해 무선 신호를 모니터링하여 센서 주변의 SSID 및 무선 장치를 감지합니다. 이를 통해 WLAN과 관련 된 보안을 모니터링 할 수 있습니다. 무선 센서는 네트워크센서 시스템에 무선 LAN 인터페이스를 추가하여 작동시킬 수 있습니다. 그러나, 센서의 위치는 무선 네트워크의 특성으로 인해 검출 될 수 있는 영역에 크게 영향을 미치기 때문에, 네트워크센서와 별도의 하드웨어로 구성 될 수 있습니다. 무선 관련 기능을 사용하는지 여부에 따라 무선 센서를 사용할 수 있습니다. 네트워크 제어 '''''''''''''''''''' 네트워크 제어는 조직의 정책을 위반하는 장치에 대해 독립적인 네트워크 접근 제어 기능을 제공하는 구성 요소입니다. 이를 통해 기존 네트워크 인프라의 도움없이 장치 자체를 격리 할 수 ​​있습니다. 각 네트워크 세그먼트에 설치된 네트워크센서에서 제어기능을 활성화 하면 ARP Layer 2 기반 제어가 제공됩니다. 추가 하드웨어 없이 네트워크센서로 네트워크 액세스 제어를 제공하는 가장 쉬운 방법입니다. 다른 제어 방법은 SPAN 포트 (미러링)를 사용하여 코어 스위치에 연결하여 권한이 없는 네트워크 액세스가 감지되면 세션을 종료 할 수 있습니다. 이를 위해서는 네트워크 트래픽의 양에 따라 처리 할 수있는 별도의 독립 하드웨어가 필요합니다. 에이전트 ----------- 에이전트는 사용자의 데스크톱 시스템에 설치된 소프트웨어입니다. 주기적으로 운영체제, 하드웨어 및 소프트웨어 관련 정보를 수집하고 변경이 감지되면 이를 정책 서버로 전송합니다. 또한 데스크톱 구성 관리 기능을 제공하므로 조직의 보안 정책 설정에 따라 필요한 항목을 쉽게 관리 할 수 ​​있습니다. 에이전트 설치는 선택적 요소이므로 에이전트 없이 NAC 시스템을 구성할 수 있습니다. 에이전트는 관리자의 설정에 따라 종료 방지 및 삭제 방지 와 같은 자체 보안 기능을 제공합니다. Geni Update Server ------------------------ | Genian Update Server는 보다 강력한 수준의 보안체계가 도입된 실시간 업데이트 서비스 서버입니다. | 또한 제품 이미지와 제품에서 사용되는 주요 업데이트 데이터를 제공하고 있습니다. Genian Data '''''''''''''''' Genian Data는 소프트웨어 공급망 보안을 강화하여 `SLSA3`_ (Supply-chain Levels for Software Artifacts, 소프트웨어 공급망 무결성 보호를 위한 프레임워크) 수준의 요구사항을 만족시켜 주요 데이터를 제공하고 있습니다. SLSA3 요구 수준은 NIST에서 권고하는 `SSDF`_ (Secure Software Development Framework,안전한 소프트웨어 개발 프레임워크) 요구사항을 더 세분화하여 만족하고있으며, Geni Update Server에서는 제품에 등록된 노드들의 **CVE 위협 정보, NODE 분류정보, OS 업데이트 정보, 플랫폼 분류 및 플랫폼 정보 등의 업데이트를 제공** 하고 있습니다. Genian Data는 기본적으로 2시간 간격으로 업데이트를 체크하며 환경에 따라 수동 및 자동으로 업데이트 기능을 사용할 수 있습니다. Genian Software ''''''''''''''''''' 정책서버, 네트워크센서, 및 에이전트의 소프트웨어 업데이트는 관리 Web UI > 시스템 > 소프트웨어 메뉴에서 가능합니다. Genians Cloud 구독 가입자의 경우 정책서버 소프트웨어는 자동으로 업데이트됩니다. .. _SLSA3: https://slsa.dev/spec/v1.0/about .. _SSDF: https://csrc.nist.gov/Projects/ssdf#nist-plans