정책 설정 가이드

TrusZone VTN을 사용해 보안 정책을 구현할 때 반드시 알아야 할 것들

TrusZone VTN은 로컬 네트워크에서 특정한 클라이언트 PC를 외부 연결과 격리시키고, 클라이언트 PC에서 TrusZone for Internet(줄여서 "TZi")을 통해 구성된 가상 환경(TZi 환경)의 인터넷 연결만 허용하는 망분리 시스템입니다.

보안정책을 안전하게 구현하려면 망분리 시스템으로서 TrusZone VTN의 특성을 숙지해야 합니다. TrusZone VTN에서는 논리적으로 대립되는 정책 적용 대상이 존재합니다. 여기서는 이들 간의 차이점을 중심으로 설명합니다.

망분리 정책

망분리 정책은 TSM이 TrusZone VTN에게 적용하는 정책입니다.

망분리 네트워크와 TZi 네트워크

TrusZone VTN이 네트워크 연결 정책을 구성할 때 출발지가 되는 네트워크 대역입니다.

망분리 네트워크

인터넷 연결을 차단할 네트워크 주소 대역을 망분리 네트워크로 정의합니다.

망분리 네트워크에 속하는 클라이언트 PC는 신뢰할 수 있는 연결에 등록된 도메인 주소나 IP 주소에 대해서만 인터넷 연결이 허용됩니다.
로컬 네트워크 구간 중에서 업무 네트워크에 대해 연결을 허용합니다.
나머지 연결은 모두 차단합니다.

참고

망분리 예외는 망분리를 적용하지 않을 클라이언트 PC가 사용하는 네트워크를 의미합니다.

TZi 네트워크

TZi와 TrusZone VTN 사이에 사용하는 가상 터미널 네트워크(VTN, Virtual Terminal Network)를 의미합니다. 클라이언트 PC에 설치된 TZi의 가상 네트워크 어댑터를 통해 TrusZone VTN과 연결된 가상 네트워크 구간을 정의합니다.

TZi는 클라이언트 PC에서 실행되는 프로세스와 메모리, 파일 시스템, 레지스트리, 네트워크 연결, 디바이스 연결을 논리적으로 분할하고 제어합니다.
클라이언트 PC의 호스트 운영체제 환경(업무 환경)은 망분리 네트워크에 연결되고, TZi에 의해 논리적으로 분할된 TZi 환경은 TZi 네트워크에 연결됩니다.
TZi는 업무 환경과 가상 환경 설정을 TrusZone VTN으로부터 받아와 구성합니다(TZi 정책).
TZi는 가상 환경의 인터넷 연결만 허용합니다.
가상 환경에서 인터넷 이외의 로컬 네트워크에 연결하려면, 목적지 IP 주소를 TZi 연결 네트워크에 등록하십시오.
TZi 네트워크는 IP 주소를 할당하는 방식에 따라 동적 네트워크와 정적 네트워크로 나뉩니다.

업무 네트워크

TrusZone VTN이 네트워크 연결 정책을 구성할 때 목적지가 되는 로컬 네트워크 대역입니다.

망분리 네트워크로부터 연결을 허용할 업무용 서버나 네트워크 프린터와 같은 호스트를 업무 네트워크에 등록합니다.
TZi 네트워크로부터 연결을 허용할 호스트나 네트워크는 TZi 연결 네트워크에 등록합니다.

기타 네트워크 제어 및 서비스

DHCP

TrusZone VTN을 DHCP 서버나 DHCP 릴레이로 사용할 수 있습니다.

망분리 네트워크와 망분리 예외 대상에 IP 주소를 할당하도록 설정하고 사용하면 유용합니다.
TrusZone VTN의 DHCP 서비스는 MAC 주소와 IP 주소를 1:1로 연결하는 고급 기능을 제공하지 않습니다.

참고

TrusZone VTN이 제공하는 DHCP 서비스는 MAC 주소와 IP 주소를 1:1로 연결하는 고급 기능을 제공하지는 않습니다. DHCP 서비스는 소규모 네트워크에서 TrusZone VTN을 설치하고 사용할 때 유용합니다.

대규모 네트워크에서는 보다 전문화된 DHCP 서비스를 사용하십시오. DHCP 서버가 이미 있는 네트워크 환경이라면 DHCP 릴레이를 사용하십시오.

TZi 네트워크에서 사용하는 IP 주소는 TrusZone VTN이 할당하고 관리합니다.

DNS 가상화

DNS 가상화는 업무 환경과 TZi 환경에서 사용하는 DNS 서버를 분할하여 서비스를 제공합니다.

신뢰할 수 있는 연결

망분리 네트워크에서 예외적으로 인터넷 연결을 허용할 도메인 주소나 IP 주소를 등록하고 관리하는 기능입니다.

HTTP, NTP 통신만 지원합니다.
소프트웨어 업데이트에 사용되는 도메인 주소 등을 등록하고 관리하십시오.

Health Check 허용

TrusZone VTN은 기본적으로 모든 연결을 차단하기 때문에 라우터/스위치 사이에 설치될 경우 라우팅 통신, STP 통신 연결은 별도 등록을 해주어야 합니다. 라우팅 정보 교환 통신을 구성하는 출발지, 목적지, 프로토콜, 포트/타입을 등록함으로써 인접 라우터/스위치의 라우팅 통신 연결을 지원합니다.

WAN 인터페이스

TrusZone VTN이 인터넷 연결에 사용할 인터페이스를 지정하는 기능입니다. 이 기능은 장비별 설정으로, 프로파일 사용해서 구성할 수 없습니다.

TZi 배포 및 업데이트 서비스

TZi는 클라이언트 PC에서 TrusZone VTN으로부터 전달된 정책을 받아서 적용합니다. TZi 설치 파일을 TrusZone VTN에 등록하는 방법은 TZi 설치 파일 업데이트를 참고하십시오.

클라이언트 PC에 설치된 TZi는 프로그램을 시작할 때마다 TrusZone VTN에게 새로 등록된 TZi 설치 파일이 있는지 확인하고 자동으로 업데이트합니다.
별도의 업데이트 서버를 사용하려면 TZi 설치 유도를 사용해 업데이트 서버의 IP 주소나 도메인 주소를 등록하십시오.
TZi의 새 버전을 특정한 네트워크에만 적용하고자 하는 경우, 사용자 정의 TZi 업데이트를 사용해 업데이트를 적용할 망분리 네트워크 대역을 지정하십시오.

TZi 정책

TZi 정책은 TSM이 TrusZone VTN을 통해 TZi에 적용하는 클라이언트 보안 정책입니다.

TZi 터널 VS 터널 백업

TZi 터널은 TZi가 TrusZone VTN과 연결할 TZi 네트워크 통신 구간의 보안 정책을 설정합니다. TZi 터널을 이용한 통신은 망분리 네트워크 구간에서 암호화되어 전송되므로 기밀성과 무결성을 보장합니다.

네트워크 환경에 따라 TrusZone VTN이 HA 구성이 되어 있을 수 있습니다.

터널 백업은 Active 상태인 TrusZone VTN과 TZi 터널 연결을 시도하고, Active TrusZone VTN과 정상적인 터널이 연결되지 않을 때 Standby TrusZone VTN과 TZi 터널을 연결하도록 하는 기능입니다.

참고

TrusZone VTN이 HA 구성이 되어 있고, 터널 백업도 사용하는 경우, 가장 먼저 적용되는 기능은 터널 백업입니다. 터널 백업이 정상적으로 동작하지 않으면 HA를 사용합니다.

TZi 제어 기본 설정 VS 사용자별 설정

TZi 제어는 TZi가 설치된 클라이언트 PC의 환경을 제어하는 정책을 설정합니다.

기본 설정은 모든 클라이언트에 적용되는 기초 정책이 됩니다.
사용자별 설정은 특정한 사용자에게 적용할 정책입니다.
사용자별 설정은 장비별 설정을 사용할 수 없고, 사용자를 단위로 프로파일을 사용합니다.
사용자별 설정이 적용된 사용자에게 기본 설정은 적용되지 않습니다.

인증 서버

TZi가 시작되면 먼저 사용자에게 로그인을 요구합니다. 로그인하지 않으면 TZi 환경이 실행되지 않고, 모든 인터넷 연결이 차단됩니다.

TrusZone VTN은 > 환경 설정 > 인증 서버 > 인증 서버 설정에 따라 사용자 인증을 요청합니다.

TSM이 인증 서버로 지정되어 있으면, > TrusZone VTN > TZi 정책 > 인증 서버 > 인증 서버에 지정된 인증 서버(RADIUS, LDAP)에게 사용자 인증을 요청합니다.
사용자가 식별되지 않으면 > TrusZone VTN > 객체 > 사용자 > 사용자 계정에 등록된 계정을 검색합니다.
식별 및 인증에 성공하면 TZi 제어 사용자별 설정에 등록된 사용자인지 확인합니다.
사용자별 설정에 등록된 사용자에게 사용자별 설정과 연결된 TZi 제어 프로파일을 적용합니다.
사용자별 설정에 등록되어 있지 않은 사용자에게는 TZi 제어 기본 설정을 적용합니다.
LDAP 서버가 지정되어 있으면, 지정된 LDAP 서버에 사용자 인증을 요청합니다.
식별 및 인증에 성공하면 사용자별 설정과 연결된 TZi 제어 프로파일을 적용합니다.
사용자가 식별되지 않으면 연결을 차단합니다.

TrusZone VTN과 연결된 네트워크 장비의 인터넷 연결 정책

WAN 인터페이스에 연결된 방화벽이나 라우터/스위치에 방화벽 정책, 라우팅, ACL을 설정하려면 망분리 네트워크와 망분리 예외에 등록된 IP 주소를 기준으로 설정하십시오.
망분리 네트워크와 망분리 예외 IP 주소 대역을 목적지로 하는 라우팅을 설정할 때, WAN 인터페이스를 게이트웨이로 사용합니다.
TZi 터널이 Reverse NAT을 사용하는 경우, WAN 인터페이스 주소를 출발지 주소로 하여 방화벽 정책이나 ACL을 설정하십시오.
L2 수준에서 IP&MAC 인증을 사용하는 네트워크인 경우, 망분리 네트워크와 망분리 예외에 등록된 IP 주소를 모두 WAN 인터페이스의 MAC 주소를 사용해 인증합니다.