Windows Server 2008 네트워크 액세스 보호(NAP)
Network Access Protection (NAP, 네트워크 액세스 보호)는 Windows Vista, Microsoft Windows XP 및 Windows Server 2008 운영체제에 내장된 정책 시행 플랫폼으로서 시스템 건강(health) 요구사항의 준수를 강제하여 네트워크 자산을 더 효과적으로 보호할 수 있게 해줍니다. Network Access Protection으로 맞춤형 건강(health) 정책을 수립하여 접근 또는 통신을 허가하기 전에 컴퓨터 건강 유효성을 점검하고, 정책에 준수하는 컴퓨터를 자동 업데이트하여 지속적인 준수를 보장하며 준수하고 있지 않은 컴퓨터들을 준수할 때까지 제한된 네트워크에 격리할 수 있습니다.
Network Access Protection은 개발자와 벤더를 위해 애플리케이션 프로그래밍 인터페이스 (API)를 포함하고 있어 건강 정책 유효성 확인, 네트워크 접근 제한 및 지속적인 건강 컴플라이언스를 위한 완전한 솔루션을 만들 수 있도록 해줍니다.
시스템 건강을 기준으로 네트워크에 대한 액세스를 허가하기 위해 네트워크 인프라는 다음과 같은 기능을 포함하고 있어야 합니다:
| • |
건강(health) 정책 유효성 검사 컴퓨터가 건강 정책 요구사항을 준수하는지의 여부를 결정합니다. |
| • |
네트워크 접근 제한 정책에 준수하지 않는 컴퓨터의 접근을 제한합니다. |
| • |
자동 교정 정책에 준수하지 않는 컴퓨터가 준수할 수 있도록 필요한 업데이트를 제공합니다. |
| • |
지속적인 컴플라이언스 준수하는 컴퓨터들을 자동으로 업데이트하여 건강 정책 요구사항의 변경을 따르도록 합니다. |
이 페이지에서
 |
Network Access Protection 시나리오 |
|
추가 리소스 |
Network Access Protection 시나리오
고객에게 가장 유연한 솔루션을 제공하도록 설계된 NAP는 System Health Agent (SHA)와 System Health Validators (SHV)를 제공하거나 NAP에서 제공하는 API 셋을 인식하는 모든 벤더의 소프트웨어와 상호 운용됩니다. Network Access Protection과 운용되는 third-party 솔루션의 예로 안티바이러스, 패치 관리, VPN 및 네트워킹 장비가 있습니다. Network Access Protection은 다음의 일반적인 시나리오에 대한 솔루션을 제공하는데 도움이 됩니다:
| • |
이동성 랩탑의 건강(health)과 상태를 확인 |
| • |
데스크탑 컴퓨터의 지속적인 건강 상태 보장 |
| • |
방문객 노트북의 건강을 확인 |
| • |
관리되지 않은 가정용 컴퓨터의 건강과 컴플라이언스 확인 |
Network Access Protection 구성요소
NPS/RADIUS
Windows Server 2008 Network Policy Server (NPS)의 구성요소인 Remote Authentication Dial-In User Service (RADIUS)는 NAP Enforcement Server (ES) 또는 NAP Enforcement Client (EC) 구성요소를 갖고 있지 않습니다. 대신 NAP ES와 NAP EC 구성요소와 연결된 정책 서버로서 동작합니다. 관리자는 NPS 서버 상에서 시스템 건강 요구사항을 정책의 형태로 정의해야 합니다. NPS 서버는 컴퓨터가 건강 인증서를 얻으려고 하거나 802.1X 액세스 포인트, VPN 서버 또는 Dynamic Host Configuration Protocol(DHCP) 서버 서비스에 연결하려고 할 때 Active Directory 서비스와 연계하여 건강 정책 체크를 제공합니다.
건강 구성요소
| • |
System Health Agents (SHA, 시스템 건강 에이전트): 건강을 선언(패치 상태, 바이러스 서명, 시스템 구성, 등)합니다. |
| • |
System Health Validators (SHV, 시스템 건강 유효성 확인자): 건강 agent가 선언한 건강상태를 인증합니다. |
| • |
System Health Servers (시스템 건강 서버): 클라이언트의 시스템 구성요소를 위한 건강 요구사항을 정의합니다. |
| • |
Remediation Servers (치료 서버): 필요한 패치, 설정, 응용프로그램을 설치하여 클라이언트를 건강한 상태로 가져옵니다. |
시행 구성요소
| • |
Enforcement Client (EC): 네트워크 액세스 장치와 연결에 대해 협상합니다. |
| • |
Network Access Device(네트워크 액세스 장치): 건강한 endpoint (이 때 스위치 혹은 액세스 포인트가 될 수 있음)로의 네트워크 액세스를 제공합니다. |
| • |
Health Registration Authority(건강 등록 기관): 건강 체크를 통과한 클라이언트에게 인증서를 발행합니다. |
플랫폼 구성요소
| • |
Quarantine Agent (QA, 격리 에이전트): 클라이언트 건강 상태를 보고하며 SHA와 EC 사이를 조정합니다. |
| • |
Quarantine Server (QS, 격리 서버): SHV의 인증사항에 따라 클라이언트의 네트워크 접근을 제한합니다. |
Network Access Protection 시행 메커니즘
Network Access Protection은 다음을 비롯한 다양한 액세스 시행 메커니즘을 지원하는 유연한 플랫폼을 제공합니다:
| • |
호스트기반 인증을 위한 Internet Protocol security (IPsec) |
| • |
IEEE 802.1X 인증된 네트워크 연결 |
| • |
원격 액세스를 위한 가상 사설망(VPN) |
| • |
Dynamic Host Configuration Protocol (DHCP) |
관리자는 건강하지 않은 컴퓨터를 격리하기 위해 이 기술을 따로 혹은 같이 사용할 수 있습니다. Windows Server 2003의 Internet Authentication Service (IAS)을 대체하는 Windows Server 2008의 Network Policy Server는 이 모든 기술에 대한 건강 정책 서버의 역할을 합니다.
Network Access Protection을 사용하기 위해 서버는 Windows Server 2008 상에서 클라이언트는 Windows Vista, Windows XP with Service Pack 2 (SP2) 또는 Windows Server 2008에서 운영할 것을 요구합니다.
IPsec Enforcement (IPsec 시행)
IPsec Enforcement는 health 인증 서버와 IPsec NAP EC로 구성됩니다. Health 인증 서버는 X.509 인증서를 발행하여 준수하고 있다고 판명된 클라이언트들을 격리합니다. 이 인증서는 그 다음 NAP 클라이언트가 인트라넷의 다른 NAP 클라이언트와 IPsec으로 암호화된 통신을 수행할 때 NAP 클라이언트를 인증하는데 사용됩니다.
IPsec Enforcement는 조직의 네트워크 통신을 건강하다고 여겨지는 노드들로 한정합니다. 또한 Ipsec을 leveraging하기 때문에 준수하는 클라이언트에 대한 안전한 통신 요구사항을 IP 주소 단위로 혹은 TCP/UDP 포트 번호 기반으로 정의할 수 있습니다. IPsec Enforcement는 클라이언트가 성공적으로 연결되고 유효한 IP 주소 설정을 얻은 후에야 통신을 준수하는 컴퓨터에 한정합니다. IPsec Enforcement는 Network Access Protection에서 가장 강력한 형태의 제한된 네트워크 액세스를 수행합니다.
802.1X Enforcement (802.1X 시행)
802.1X Enforcement는 NPS 서버와 EAPHost NAP EC 구성요소로 이루어져 있습니다. 802.1X Enforcement을 사용하면 NPS 서버가 치료 기능을 수행하기 전에 802.1X 클라이언트 상에 제한된 액세스 프로파일을 배치하도록 802.1X 액세스 지점(이더넷 스위치 또는 무선 액세스 지점)에 지시합니다. 제한된 액세스 프로파일은 일련의 IP 패킷 필터나 VLAN 식별자로 구성되어 802.1X 클라이언트의 트래픽을 제한할 수 있습니다. 802.1X Enforcement는 802.1X 연결을 통해 네트워크를 액세스하는 모든 컴퓨터에 대한 강력한 제한된 네트워크 액세스를 제공합니다.
VPN Enforcement (VPN 시행)
VPN Enforcement는 VPN NAP ES 구성요소와 VPN NAP EC 구성요소로 이루어져 있습니다. VPN Enforcement을 사용하여 VPN 서버는 컴퓨터가 네트워크에 VPN 연결을 시도할 때마다 건강 정책을 강제할 수 있습니다. VPN Enforcement는 VPN 연결을 통해 네트워크에 액세스하는 모든 컴퓨터에 대해 강력한 제한된 네트워크 액세스를 제공합니다.
DHCP Enforcement (DHCP 시행)
DHCP Enforcement는 DHCP NAP ES 구성요소와 DHCP NAP EC 구성요소로 이루어져 있습니다. DHCP Enforcement를 사용하여 DHCP 서버는 네트워크 상의 컴퓨터들이 IP를 요청하거나 갱신할 때마다 건강 정책 요구사항을 강제할 수 있습니다. DHCP Enforcement는 모든 DHCP 클라이언트 컴퓨터가 반드시 IP를 요청해야 하므로 적용하기 가장 쉬운 방법입니다. DHCP Enforcement는 IP 라우팅 테이블에 있는 목록에 의존하기 때문에 Network Access Protection에서 가장 약한 제한된 네트워크 액세스를 제공합니다.
Network Access Protection의 추가 구성요소 및 자원
Network Access Protection은 추가 서버 구성요소, 추가 클라이언트 구성요소, remediation(치료) 서버 및 정책 서버를 포함하고 있습니다. 관리자는 Network Access Protection를 구축할 시 다음의 구성요소를 모두 혹은 일부를 설정할 수 있습니다.
NAP Administration Server는 모든 system health validators (SHVs)의 출력을 조정하고 NAP Enforcement Server (NAP ES) 구성요소가 설정된 건강 정책 요구사항을 기준으로 클라이언트의 액세스를 제한할지의 여부를 결정하는 NPS 서버의 구성요소입니다.
System Health Validator (시스템 건강 유효성 확인자)
System Health Validator(SHV)는 SHA에서 제출한 Statement of Health (SoH)가 요구되는 건강 상태를 준수하는지를 확인하는 서버 소프트웨어입니다. SHV는 모든 SHV의 츨력을 조정해야 하는 NPS 서버 상에서 동작합니다. SHV는 Statement of Health Response (SoHR)를 이용하여 요구되는 건강 상태를 준수하는지의 여부를 나타내며 치료 지침을 제공합니다.
Health Policy (건강 정책)
건강 정책은 무제한 액세스를 위해 요구되는 조건들을 지정합니다. 건강 정책은 NPS 서버 상에 설정됩니다. 네트워크는 하나 이상의 건강 정책을 가질 수 있습니다. 예를 들어 VPN Enforcement과 DHCP Enforcement은 서로 다른 건강 정책을 사용할 수 있습니다.
Accounts Database (계정 데이터베이스)
계정 데이터베이스는 사용자와 컴퓨터 계정 및 해당 네트워크 액세스 속성을 저장합니다. Windows Server 2008 도메인의 경우 Active Directory가 계정 데이터베이스 역할을 합니다.
Health Certificate Server (건강 인증서 서버)
건강 인증서 서버는 Windows Server 2008과 Internet Information Services (IIS)를 실행하는 컴퓨터인 Health Registration Authority (HRA)와 certification authority (CA)의 조합입니다. CA는 Windows Server 2008을 운영하는 컴퓨터에 설치하거나 별도의 컴퓨터에 설치할 수 있습니다. 건강 인증서 서버는 정책을 준수하는 컴퓨터를 위한 건강 인증서를 획득합니다. 건강 인증서는 Statements of Health (SoHs)를 대신하여 클라이언트가 시스템 건강 요구사항을 준수한다는 것을 증명하는 데 사용될 수 있습니다.
Remediation Server (치료 서버)
치료 서버는 정책을 준수하지 않는 컴퓨터들이 제한된 네트워크에서 액세스할 수 있는 서버, 서비스 또는 다른 자원들로 구성됩니다. 이 자원들은 컴퓨터가 건강 요구사항을 준수하도록 필요한 name resolution 을 수행하거나 가장 최근 소프트웨어 업데이트 또는 컴포넌트를 보관할 수 있습니다. 예를 들어 secondary Domain Name System (DNS) 서버, 안티바이러스 서명 파일 서버 또는 소프트웨어 업데이트 서버는 모두 치료 서버가 될 수 있습니다. SHA는 치료 서버와 직접 또는 설치된 클라이언트 소포트웨어를 통해 통신할 수 있습니다.
Policy Server (정책 서버)
SHV는 정책 서버와 통신하여 해당 SHA로부터 SoH의 유효성을 검사합니다.
출처:http://www.microsoft.com/korea/windowsserver2008//network-access-protection.mspx