일반적으로 네트워크는 신뢰할 수 없는 구간인 인터넷과, 신뢰할 수 있는 인트라넷(기업 내부 네트워크)으로 나뉩니다. 이 접점인 경계 구간에서 내부 네트워크를 보호하는 장비는 잘 알려진 방화벽과 IPS입니다.
하지만 방화벽과 IPS만으로는 완벽하게 보호할 수 없기 때문에 기업은 내부 네트워크에 대한 보안을 한 번 더 고민해야 합니다. 일반적으로 내부의 주요 자원에 대한 보안 및 허가되지 않은 접근에 대한 이슈는 스위치 등이 제공하는 access-list 기능을 사용하여 제어합니다. 그러나 이것만으로 주요 자원에 대한 접근 제어를 하기에 지금의 네트워크는 너무 복잡해졌고 수동적이라는 한계를 가지고 있습니다.
그렇다면 기업 인트라넷 보안은 어떻게 해야할까?
시스코 TrustSec은 이러한 포인트 보안 솔루션의 한계를 극복하고 내부 자원에 대한 접근 정책을 보다 쉽고 간편하게, 그리고 보안 장비는 물론 기존의 네트워크 제품과도 연계하여 end-to-end의 강력하고 일괄적인 정책을 제공하기 위해 탄생하였습니다.
시스코 TrustSec을 간단히 말하면 네트워크 내부의 중요한 서버 같은 자원을 위한 자동화된 접근 제어 솔루션입니다. 기존의 시스코 라우터, 스위치 및 방화벽 등의 솔루션이 도입된 네트워크를 운영하고 계시다면, 여기에 간단하게 ISE나 ACS 같은 보안 서버만 도입하여 중앙에서 네트워크의 단말을 식별한 후에 라우터, 서버, 방화벽 같은 Network Access Device(이하 NAD)에 사전에 정의된 적절한 접근 제어 정책을 바로 다운로드 시켜 적용할 수 있는 솔루션이랍니다.
기본적으로 방화벽과 IPS가 회사의 관문에서 경계 보안을 담당하는 군인이라면, TrustSec은 네트워크 내부에서 불법적인 호스트가 있는지, 그리고 악의적인 접근 시도가 있는지를 감시하고 막는 경찰과 같은 역할이라고 보시면 됩니다. 네트워크 내부 단말에 대한 신원 식별 요청 및 접근 제어 정책의 적용은 라우터, 스위치 및 방화벽 같은 기존의 장비들이 NAD라는 이름으로 담당하구요. 이 NAD들이 네트워크에 접속된 단말의 신원 식별을 요청하였을 때, 또는 어떤 접근 제어 정책을 적용할까요 하고 물었을때 중앙에서 관제 역할을 해주는 장치가 바로 시스코의 ISE(Identity Service Engine) 또는 ACS(Access Control Server) 같은 접근 제어 서버랍니다.
TrustSec와 교통카드의 공통점
시스코 TrustSec은 통합 교통카드의 원리를 생각하시면 됩니다. 교통카드가 나오기전의 대중 교통 이용을 예로 들어 볼까요? 버스를 타기 위해서는 토큰, 지하철은 티켓 그리고 택시는 현금을 준비해야만 탑승이 가능하였습니다. 더욱이 요금제도 제각각 이었지요. 일반, 학생, 경로 우대에 따라 요금제가 달랐고 또한 서로 호환도 되지 않았습니다. 더욱 큰 어려움은, 요금제가 변경되면 이에 맞추어 새로운 토큰이나 티켓이 출시되어야만 하고 또한 기존의 화폐들은 폐기 되어야 되었다는 것입니다. 지금은 통합 교통카드만 사용하면 되므로 아주 간편하고 심지어 모든 대중 교통수단을 이용할 수 있고, 각각의 정보가 공유되므로 환승의 혜택도 주어 집니다.
시스코 TrustSec도 유사합니다. TrustSec 이전의 접근 제어를 보면, 라우터, 스위치, 방화벽이 기존의 버스, 지하철 그리고 택시 처럼 별도의 개별적인 access-list를 사용해야만 하였습니다. 이런 불편한 접근 제어 방식을 교통카드 처럼 하나로 통합한 것이 바로 Cisco TrustSec 인데요, TrustSec의 원리는 교통카드와 동일하게 전자 태그(TAG)를 활용하는 방식을 사용합니다. 개인(단말)이 버스(server)를 접근하려 교통카드(tag)를 센서(switch)에 태깅하면, 이 정보는 중앙의 관제 서버(ISE)에서 자동 식별되고 이 개인의 TAG에 주어진 권한에 따라 접근 가능 여부가 결정됩니다. 또 식별된 정보에 따라 할인권(일반, 학생, 경로우대) 정책이 바로 적용되고 기록이 남게 됩니다.
TrustSec이 주는 장점은 무엇일까요?
우선 고객의 업무가 간편해 집니다. 기존의 네트워크에 ISE나 ACS 서버만 도입하면 중앙 집중적인 관제 및 정책 수립을 하고, 이 정보가 TrustSec 기능이 활성화 된 스위치, 라우터 및 방화벽에 자동적으로 연계되어 적용되기 때문입니다.
단말 식별은 표준인 802.1x, MAB(MAC Au-thentication Bypass) 및 WebAuth로 가능하구요. 스위치 같은 NAD간 L2 보안은 MACSec을 제공하고 접근 제어는 SGACL(Service Group ACL) 또는 SGFW(Service Group FireWall) 같은 정책 다운로드로 자동 적용됩니다. 똑똑한 시스코 장비와 접근 제어 서버가 이루는 완벽한 조화로 효과적인 접근 제어 환경을 구성하실 수 있는 것이지요.
TrustSec 동작원리
오늘 기업 네트워크는 분명 이전과는 다릅니다. 단말도 많고, 보안 이슈도 많아지고 누가 접속해서 무엇을 하고, 어떻게 일을 해야하는지 꼼꼼히 관리하지 않으면 놓치는 것이 참 많습니다. 시스코 TrustSec으로 복잡한 보안 환경 관리를 개선해 보시기 바랍니다.
*시스코 Security Everywhere 전략과 관련 솔루션에 대한 자세한 정보는 여기에서 확인하실 수 있습니다.
| Cisco IT Connect 시스코 전문가들의 칼럼에 담긴 최신 IT 트렌드! 이 글은 시스코 우명하 보안 스페셜리스트가 작성한 칼럼입니다 |
