“재택근무 환경, VPN과 VDI만으로 충분할까요?”라는 주제로 지난 블로그를 통해 기업이 요구하는 문제점들을 언급한 바 있습니다. 이번 블로그는 재택근무 보안의 문제점들을 효과적으로 제거할 방법에 대해 지니언스만의 해법으로 전달드리려고 합니다.
아래 5가지 요구 사항에 대해서 Genians 만의 해법을 살펴보도록 하겠습니다.
- 단말의 보안 상태를 점검하고 업무 시스템에 접속할 수 없을까?
- VPN 연결 시 일반 인터넷을 차단할 수는 없을까?
- VPN 이 제공하는 인증 이외 더 강력하고 편리한 인증 방법은 없을까?
- VPN 연결 후 보안정책을 위반하면 VPN 연결을 강제로 종료시킬 수는 없을까?
- VDI(Virtual Desktop Infra) 사용 현황을 모니터링할 수 없을까?
1. 단말의 보안상태를 점검하고 VPN 연결을 할 수는 없을까?
VPN 특성상 인증 이후에는 모든 접속이 허용되며 전송 구간에서 위협을 탐지하는 것은 매우 어려운 문제입니다. 따라서 접속 전에 PC의 보안상태를 확인하여 안전이 확인된 경우에만 접속을 허용하거나 VPN 종단 지점에서 단말의 상태를 즉시 확인, 조치할 수 있는 방법이 필요합니다. Genian NAC는 VPN 솔루션과의 연동을 통해 업무 시스템 접속 전(前) 상태를 점검하고 그 결과에 따라서 접속 여부를 제어할 수 있습니다.
[ 단말의 보안 상태 점검 후 내부망 접속 ]
2. VPN 연결 시 일반 인터넷을 차단할 수는 없을까?
원격근무자의 PC는 다양한 환경에 노출되어 있습니다. 따라서 잠깐의 방심은 보안상 또 다른 문제를 야기합니다. 무분별한 인터넷 접속은 관리되어야 합니다. 이러한 조치는 악성코드의 사내 확산을 방지하고 VPN을 이용하여 사내로 접근하려는 시도 등을 차단할 수 있는 효과적인 방법입니다. 원격 근무 단말이 VPN 접속을 할 경우 공용 인터넷을 차단하고, 공용 Wi-Fi 사용 여부를 선택할 수 있어 외부에 오픈된 공간에서의 제어 역시 가능합니다.
[ VPN 연결 시 외부 인터넷 차단을 통한 보안 강화 ]
3. VPN 이 제공하는 인증 이외에 더 강력하고 편리한 인증 방법은 없을까?
VPN 솔루션 역시 기본적인 다중 인증을 지원합니다. 하지만 다크웹(Darkweb)을 통해 VPN 계정이 거래되는 등 VPN 인증만으로는 안전을 보장할 수 없습니다. 따라서 보다 강력한 인증과 더불어 SSO(Single Signe On) 등의 편의성이 제공되어야 합니다. OTP, e-mail, SMS 등 다양한 방법으로 추가 인증을 제공해야 합니다. 자체적으로 인증 기능을 제공하거나 향상된 SSO 지원을 위한 SAML(Security Assertion Markup Language) 표준을 통해 IDaaS 등의 서비스를 이용하는 것도 가능합니다.
[2 단계 인증을 통한 보안 강화 ]
4. VPN 연결 후 보안정책을 위반하면 VPN 연결을 강제로 종료시킬 수는 없을까?
보안규정을 점검하고 안전한 암호통신을 활용하여 안전한 인증을 거쳤다 하더라도 관리 영역에서 제외될 수는 없습니다. 외부 저장매체를 통해서 악성코드가 유입될 수 있고, 반대로 내부 정보가 원격지 PC에 의해 유출될 수 있습니다. Genian NAC는 단말 PC의 보안 상태를 실시간 감시하고, PC의 백신 사용 여부, 최신 업데이트 상태, 외부저장매체 사용 여부 등 보안규정을 정확히 준수하는지를 실시간 확인합니다. 규정 위반이 하나라도 발견될 경우 Genian NAC는 즉시 VPN으로 CoA(Change of Authorization)를 전송하여 해당 PC의 연결 종료 요청을 보냅니다.
[ 업무 중 위반 발생 즉시 VPN으로 차단 요청 전달 ]
5. VPN 연결 후 VDI(Virtual Desktop Infra) 사용현황을 모니터링 할 수는 없을까?
보안 강화를 위해 기업은 많은 비용을 들여 VDI를 구축, 운영하고 있습니다. VDI는 가상의 업무환경을 제공하지만 운영체제와 어플리케이션이 동작한다는 관점에서는 내부 업무용 단말과 동일한 보안 수준을 유지 / 강제화할 필요가 있습니다. 따라서 VD I내 가상 단말들의 가시성 확보 역시 중요한 과제입니다. 에이전트를 VDI에 설치하는 경우 가상 단말의 상세한 정보를 확인할 수 있으며 보안정책을 적용하고 통제할 수 있습니다.
[ VDI 단말 실시간 현황 모니터링 ]
Genian NAC를 이용한 개선된 재택근무 네트워크 제안
Genian NAC를 이용하면 VPN 과 VDI 환경을 보완하여 보다 안전한 재택근무 환경을 완성할 수 있습니다. Genian NAC는 Windows, Mac, Linux 등 다양한 운영체제를 지원하며, 통합된 유 / 무선 인증서버의 기능을 제공합니다. VPN과 연계를 통해 외부로부터 접속하는 사용자를 식별 / 인증하고 단말의 보안 수준을 강제화할 수 있습니다. 사내에 연결된 이후에도 가상의 VDI 환경에서 실제 단말과 동일한 단말의 가시성을 확보할 수 있습니다. 만약 사용자와 단말이 보안정책을 위반하는 경우 그 내용은 탐지되고 단말과 네트워크 그리고 경계선에서 즉시 통제될 수 있습니다. 이 모든 내용은 실시간으로 동작하며 정책에 따라서 자동으로 이루어집니다.
[ 재택근무 환경을 위한 개선된 네트워크 제안 ]
지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!