NAC(네트워크 액세스 제어) 개념
사용자 또는 장치가 네트워크에 액세스할 때 권한이 있는 사용자만 액세스할 수 있도록 정책을 구성해야 합니다.
방화벽 장치에 비해 장치를 제어할 수 있는 속성이 있지만 제어 및 검역 프로세스에서 많은 차이가 있습니다.
사전 연결
단말기가 네트워크에 연결되어 정상적인 통신이 이루어지기 전에 수행되는 작업을 말합니다.
장치가 네트워크에 연결되면 NAC는 ID/PWD, 인증서 및 MAC 주소와 같은 인증을 요청하여 장치를 식별합니다.
이러한 인증 요청은 스위치의 802.1X, AP 또는 ARP 프록시를 통해 제공될 수 있습니다.
연결 후
Pre-Connect를 준수하는 장치는 지정된 권한에 따라 네트워크에 액세스할 수 있습니다.
NAC는 조건이 항상 충족되도록 Per-Connect를 완료한 장치에 대한 상태 및 정보를 정기적으로 수집합니다.
(중간에도 보안 요구 사항을 위반하면 네트워크를 격리하기 위한 것입니다.)
자세한 모니터링을 위해서는 장치에 Agent를 설치해야 합니다.
방화벽 장치와 NAC 장치의 차이점
방화벽 장치는 외부 네트워크/내부 네트워크와 같은 둘 이상의 네트워크 간에 통신할 때 중앙에서 제어할 수 있습니다.
프록시 ARP를 사용하지 않으면 동일한 네트워크 대역폭으로 통신을 제어하기 어렵습니다.
대조적으로 NAC는 대체로 BYOD(Bring Your Own Device) 흐름에 대한 완전한 제어를 제공합니다.
네트워크에 연결되면 NAC는 장치에서 여러 정보를 수집하고 보안 정책을 준수하는지 확인합니다.
ARP 스푸핑과 마찬가지로 NAC는 장치가 통신을 시도하기 위해 패킷을 보낼 때 가로채고 먼저 응답을 시도합니다.
이때 장치가 자신에게 등록되어 있지 않으면 패킷을 버리고 허용되면 원래 목적지로 패킷을 보냅니다.
NAC의 주요 기능은 다음과 같습니다.
-에스보안 확인: 장치의 OS 패치 및 바이러스 백신 패치가 안전한 버전인지 확인합니다.
– 인증 관리: 네트워크 접근을 허용하기 위한 사용자 인증(ID/PWD, MAC 주소) 수행
– 권한 관리 : 인가된 사용자 정보로 접근이 허용되는 범위를 구분 및 설정
– 장치 제어: 비인가 장치 탐지 및 인가 장치에 대한 자산 관리
– 모니터링 : 접속 후 기기 행위 분석 및 필요 시 검역 조치(+악성 트래픽 차단)
NAC 장치 구성
NAC는 크게 Policy Server와 Sensor로 나뉩니다.
정책 서버는 모든 데이터와 설정을 저장하는 중앙 관리 시스템으로 온프레미스 또는 클라우드 관리 형태로 제공된다.
센서는 네트워크를 모니터링하여 장치 정보를 수집하고 정책 서버로 보냅니다.
센서에는 포트 미러링이 필요하지만 액세스 VLAN으로 공통 스위치 포트에 연결되어야 하며 정보를 수집하려면 802.1Q 구성이 있어야 합니다.
트렁크 구성이 필요한 이유는 ARP 및 DHCP와 같은 브로드캐스트 패킷을 모니터링하기 위해서입니다.
(모니터링을 통해 UPNP와 NetBIOS 정보를 수집할 수 있으므로 브로드캐스트 도메인이 동일해야 합니다.)
NAC 출력
라이센스와 마찬가지로 에디션은 사용 가능한 기능 범위의 수준에 따라 다릅니다.
크게 Basic, Professional 및 Enterprise 계층으로 나눌 수 있습니다. 자세한 기능 카테고리는 접힌 기사에서 찾을 수 있습니다.
| 범주 | 형질 | 기초적인 | 전문적인 | 추구하다 |
| 시야 범위 | IP 지원 장치 감지/모니터링 | 예 | 예 | 예 |
| 터미널 플랫폼 인텔리전스 (이름, 유형, 사진, 수명 종료, 연결, CVE) |
예 | 예 | 예 | |
| 스위치 포트 정보 | 예 | 예 | 예 | |
| WLAN 모니터링/보안(Rogue/Fake AP) | 예 | 예 | 예 | |
| 기본 Windows/macOS 에이전트 엔드포인트 정보 (운영 체제, 하드웨어, 소프트웨어) |
예 | 예 | 예 | |
| 조건 기반 동적 노드 그룹 | 예 | 예 | 예 | |
| 구성 가능한 대시보드 | 예 | 예 | 예 | |
| 변경 추적 / 감사 내역 추적 | 예 | 예 | 예 | |
| 네트워크 이상 감지 (MAC 스푸핑, 악성 게이트웨이, 애드혹) |
예 | 예 | 예 | |
| 기본 보고서(노드, Wi-Fi, 로그) | 예 | 예 | 예 | |
| 맞춤 보고서 | 예 | 예 | ||
| 사용자 인증 | 캡티브 포털 로그인 | 예 | 예 | |
| 액티브 디렉터리 SSO | 대리인 기반을 둔 |
대리인 보다 적은 |
||
| 외부 사용자 디렉토리 통합 (LDAP/RADIUS/SMTP/POP3/IMAP) |
예 | |||
| 다단계 인증 | 관리자 오직 |
예 | ||
| 회로망 액세스 제어 |
역할 기반 액세스 제어 | 예 | 예 | |
| 사용자, WLAN 및 장치/노드의 태그 기반 제어 (예: 게스트 장치, 임시 권한, 정책 포기) |
예 | 예 | ||
| ARP 기반 Layer 2 제어 | 예 | 예 | ||
| 802.1x 기반 제어 (RADIUS 서버, VLAN 매핑, CoA) |
예 | 예 | ||
| 포트 미러링(SPAN) 기반 제어 | 예 | 예 | ||
| SNMP(Switch Aggregation) 기반 제어 | 예 | 예 | ||
| DHCP 서버 | 예 | 예 | ||
| 클라우드 보안 | 클라우드 워크로드의 가시성 | 예 | ||
| CLI 인터페이스를 통한 클라우드 제어 자동화 | 예 | |||
| 클라우드 보안 그룹 관리 | 예 | |||
| 집에서 일하려면 | ZTNA 클라이언트(SSL VPN) | 예 | ||
| MFA를 위한 FIDO(생체 인식) 인증 | 예 | |||
| 항상 ZTNA에 | 예 | |||
| ZTNA | 역할 기반 권한 정책 | 예 | ||
| 인증 개체에서 동적 대상 그룹(노드 그룹) 지원 | 예 | |||
| 보안 서비스 에지(SSE) 클라우드 ZTNA 게이트웨이 – AWS, Azure, GCP |
예 | |||
| 보안 브랜치 액세스를 위한 터널링(IPSec/GRE) | 예 | |||
| 트래픽 가시성(Netflow) | 예 | |||
| URL 및 애플리케이션 필터링 | 예 | |||
| IP 이동성(VxLAN, 상시 ZTNA) | 예 | |||
| 데스크톱 관리 | 보안 준수 확인 (백신, OS 업데이트, 필수 SW, OS 설정) |
예 | 예 | |
| 운영체제 구성 관리(화면 잠금, 인터넷 옵션, DNS) | 예 | |||
| 윈도우 업데이트 관리 (오프라인 업데이트, 캐시 업데이트, 릴리스) |
예 | |||
| 외부 장치 제어(USB 등) | 예 | |||
| 802.1x 연결 관리자 | 예 | |||
| WLAN 제어(SSID 화이트리스트, SoftAP 잠금) | 예 | |||
| 통합 | 사용자 디렉터리 동기화(RDBMS, LDAP) | 예 | ||
| Webhook/syslog/SNMP 트랩(발신) | 예 | |||
| REST API(인바운드) | 예 | |||
| Syslog 리스너(인바운드) | 예 | |||
| 사업 소송 절차 |
CWP를 통한 요청/승인 (IP, 장치, 사용자, 게스트 사용자, 외부 장치) |
예 | ||
| 역할 기반 관리자 | 예 | |||
| 사용자 정의 필드(노드, 장치, 사용자) | 예 | |||
| 목적을 위한 포털 포털 페이지 | 예 | |||
| 다국어 지원 | 예 | |||
| 확장성 유효성 |
고가용성(정책 서버/네트워크 센서) | 예 | ||
| 인터페이스 채널 본딩 | 예 | |||
| 재해복구(DB동기화, 정책서버 이중화) | 예 |
제조사 NODELINE ([email protected])
읽어 주셔서 감사합니다.