접근제어 정책의 이해

Genian ZTNA는 크게 4가지( IP/MAC 정책, 노드정책, 제어정책, 무선랜정책 )의 네트워크 접근제어 정책을 사용합니다.

IP/MAC 정책

IP/MAC 정책은 관리자가 수동 또는 자동으로 장치의 IP사용을 제어할수 있습니다. 또한 IP와 MAC을 기반으로 네트워크 엑세스를 제어합니다.

ZTNA에서 위 기능을 사용하려면 반드시 네트워크센서 운영모드를 Enforcement 모드로 변경하고 IP관리정책을 활성화 해야합니다. 본 문서에서는 IP관리 정책을 활성화하고, IP 충돌과 변경을 방지하는 방법, IP를 할당하는 방법을 설명합니다.

• IP관리를 사용하여 네트워크접근 제어 준비
• IP관리 정책 변경
• IP 변경 금지
• IP 충돌보호
• 시간 기준의 IP/MAC 허용
• IP 관리 사전설정하기

노드정책

노드정책은 주로 노드로부터 정보를 수집하고 정책을 만족하고 있는 상태에 있는 네트워크를 확인 및 관리할 수 있습니다. 노드정책을 사용하면 노드의 사용자 인증방법에 따라 인증정책을 수립할 수 있고 단말의 정책준수를 위한 기본설정을 할 수 있습니다.

노드정책을 설정하기 위해서는 생성되어 있는 노드그룹을 사용하거나 신규로 생성해야합니다.

그 다음 관리 WebUI > 정책 > 노드정책 > 작업선택 > 생성 으로 이동합니다.

정책생성 절차에 따라 정책에 그룹을 할당하고 세부 옵션을 설정합니다.

• 사용자 인증 옵션 설정
• 노드정책의 에이전트 설정
• 노드 관리
• 노드정책 상세 확인하기

제어정책

노드정책이 노드의 정보를 수집하고 상태를 평가한다면, 제어정책은 그 결과를 바탕으로 네트워크 접근을 허용/차단하고 추가 조치를 수행합니다. 추가 조치에는 정책 준수를 위해 CWP로 리다이렉션하거나 에이전트를 통한 단말 제어가 포함됩니다.

제어정책을 적용하기 위해 노드 그룹 관리 에서 필요한 노드그룹을 생성한 뒤 제어정책에 노드그룹을 할당하여, 노드그룹에 포함된 노드에 정책을 적용합니다.

제어정책은 속성기반(ABAC) 접근제어를 위해 다음 두 가지로 구성됩니다.

규정정책

규정정책은 “무엇을 지키지 않았을 때 차단하는가”를 정의합니다. 네트워크에 접근하는 노드가 준수해야 하는 규정을 순서대로 검사합니다.

• 규정은 위에서 아래 순서대로 평가되며, 노드가 일치하는 첫 번째 규정정책이 적용됩니다.

• 일치하는 규정정책이 없으면 권한정책이 적용됩니다.

• 규정정책과 권한정책은 동시에 적용되지 않습니다.

권한정책

권한정책은 “무엇을 할 수 있는가”를 정의합니다. 규정정책을 모두 준수한 노드가 접근할 수 있는 서비스/권한을 선언적으로 부여합니다.

• 권한 중심의 노드 할당 모델을 사용합니다. 하나의 노드가 여러 권한을 동시에 가질 수 있습니다.

• 정책의 순서가 존재하지 않으며, 노드가 포함되는 모든 권한정책의 권한을 합집합으로 부여받습니다.

• 권한 생성하기
• 노드 그룹에 대한 제어 정책 생성
• 제어정책에 제어액션 설정

무선랜 정책

무선랜 정책은 프로파일(Client)을 배포하는데 사용됩니다.

무선랜 정책에서 접근제어 기능을 사용하기 위해서는 AGENT와 무선랜제어 플러그인이 필요합니다.

• 무선랜 정책 설정하기

RADIUS정책

RADIUS 정책은 무선 및 유선으로 RADIUS로 인증을 시도한 사용자인증을 승인/거부하고 추가적인 조치를 하는데 사용됩니다.

이 추가 조치는 네트워크에 접근이 허용된 노드가 연결된 스위치의 포트에 ACL, VLAN, Session timeout, Filter 설정을 포함합니다.

정책을 설정하기 위해서는 생성되어 있는 사용자그룹을 사용하거나 신규로 생성해야합니다.

그 다음 관리 Web콘솔 > 정책 > RADIUS 정책 > 작업선택 > 생성 으로 이동합니다.

정책 생성 절차에 따라 정책에 사용자그룹 을 할당 하고 조건을 추가한뒤 세부 정책설정을합니다.

• RADIUS 정책 설정