NAC(네트워크 액세스 제어)란?
디지털 리소스에 대한 액세스 제어는 조직에서 매우 중요한 IT 보안 기능입니다. IT는 NAC(네트워크 액세스 제어) 솔루션을 통해 사용자와 장치가 네트워크의 리소스에 액세스하는 것을 인증하거나 방지할 수 있습니다. NAC는 제로 트러스트 보안 전략의 기본인 리소스에 대한 최소 권한 액세스 제공에서 중요한 역할을 합니다.
네트워크 액세스 제어 설명
네트워크 액세스 제어가 중요한 이유
- 보안 – 네트워크 액세스 제어는 악의적인 공격자들의 변조 및 도난으로부터 리소스를 보호합니다. NAC 솔루션은 적합한 권한이 있는 사용자와 장치만 네트워크와 네트워크의 리소스에 액세스하도록 보장합니다. 또한 일부 NAC 솔루션은 공격에 참여하는 대상을 식별하고 추가 조사가 이루어질 때까지 공격 대상의 액세스를 격리하거나 차단합니다. 이 기능으로 공격의 확산을 방지할 수 있습니다.
- 개인 정보 보호 – 조직은 양과 종류가 그 어느 때보다 많은 데이터를 관리하고 있습니다. 이러한 데이터 중에는 민감 및/또는 기밀 데이터도 있습니다. 네트워크 액세스 제어 솔루션을 사용하면 네트워크에서 데이터에 액세스할 수 있는 사람, 대상, 시기, 방법을 정의하여 침해 위험을 줄일 수 있습니다.
- 컴플라이언스 – 규제 대상 조직은 GDPR(개인정보 데이터 보호 규정), HIPAA(건강 보험 양도 및 책임에 관한 법), SOX(Sarbanes-Oxley)와 같은 데이터 개인 정보 보호 및 데이터 보호 요건을 준수해야 하는 경우가 많습니다. NAC 솔루션은 데이터에 대한 액세스를 제한하고 트래픽의 보안과 분리 상태를 유지하며 감사에 필요한 로깅 및 리포팅을 제공하도록 함으로써 조직에서 이러한 요건을 준수하도록 할 수 있습니다.
네트워크 액세스 제어의 작동 원리
네트워크 액세스 제어는 다양한 사용자와 장치(대상)에 필요에 따라 각기 다른 유형의 액세스 권한을 부여하는 개념을 바탕으로 합니다. 세분화는 대상과 그 대상의 요구 사항, 대상과 관련된 액세스 권한의 정의 및 적용과 관련한 세밀함의 정도를 의미합니다. 고도로 세분화된 네트워크 액세스 제어는 대상의 액세스를 작업 수행 또는 기능 이행에 필요한 리소스로만 제한하는 제로 트러스트 보안 접근 방식의 핵심 요소입니다.
리소스를 효과적으로 보호하기 위해서는 네트워크 액세스 제어 솔루션이 다양한 기술 조합을 통해 상호 연결된 여러 기능을 제공해야 합니다.
네트워크 액세스 제어 구성요소
역량 | 기능 | 기술 |
---|---|---|
가시성 | 항상 네트워크에 연결된 사람과 장치 파악 | 물리적 또는 가상 데이터 수집기, 능동(NMAP, WMI, SNMP, SSH) 및 수동(SPAN, DHCP, NetFlow/S-Flow/IPFIX) 검색 방식, AI/ML 지원 장치 프로파일링, 딥 패킷 검사 |
인증 | 사용자 또는 장치가 주장하는 사람/장치가 맞는지 자신 있게 확인 | 802.1x 인증, EAP-TLS/RADIUS/TAC-ACS, 다중 인증, 인증서 |
정책 정의 | 액세스 가능한 리소스와 관련한 사용자와 장치의 규칙 및 리소스 액세스 방법 정의 | 규칙 작성 툴에 역할, 장치 유형, 인증 방법, 장치 상태, 트래픽 패턴, 위치, 시간 등과 같은 컨텍스트 매개변수 포함 가능 |
권한 부여 | 인증된 사용자 또는 장치의 적절한 규칙 결정 | |
적용 | 인증된 사용자 또는 장치의 리소스 액세스를 적절한 정책에 따라 허용, 거부 또는 취소 | 방화벽 및 기타 보안 툴을 사용한 통합 및 양방향 통신 |
네트워크 액세스 제어의 예
NAC 솔루션은 조직 전체에서 리소스에 대한 보안 액세스를 제공합니다. 예를 들어, 병원은 NAC 솔루션을 사용하여 인증된 IoT 장치의 프로파일링, 보안과 함께 연결을 관리하며 다른 장치는 제외합니다. 주문 처리 센터에서는 NAC 솔루션을 사용하여 네트워크에 액세스하는 로봇과 같은 모든 유무선 장치를 인증하고 일관된 역할 기반 정책을 구현합니다. 학교 시스템은 NAC 솔루션을 사용하여 학생, 교사, 직원, 방문자를 인증하고 정의된 규칙에 기반한 트래픽의 세밀한 세분화를 지원합니다.
네트워크 액세스 제어의 용도
HPE Aruba Networking ClearPass와 같은 NAC 솔루션은 조직에서 몇 가지 보안 연결 사용 사례를 처리할 수 있습니다.
방문자 및 임시 직원용 NAC | ClearPass Guest를 통해 접수 담당자, 이벤트 담당자 및 기타 비IT 직원이 하루 동안 여러 게스트에 대한 임시 네트워크 액세스 계정을 간편하고 효율적으로 만들 수 있습니다. 또한 ClearPass Guest가 제공하는 사용자 정의 셀프 등록 포털을 사용하여 방문자가 자체 자격 증명을 생성하면 사전 정의된 기간 동안 ClearPass에 저장된 다음 자동으로 만료되도록 설정할 수 있습니다. |
BYOD(Bring Your Own Device)용 NAC | ClearPass Onboard는 모바일 장치를 자동으로 구성 및 프로비저닝하고 엔터프라이즈 네트워크에 안전하게 연결하도록 지원합니다. 작업자는 안내형 등록 및 연결 지침에 따라 자체 장치를 직접 구성할 수 있습니다. 고유한 장치별 인증서가 적용되어 IT의 개입은 최소화하면서 사용자가 장치를 네트워크에 안전하게 연결하도록 보장합니다. |
엔드포인트 보안 태세 평가를 위한 NAC | ClearPass OnGuard는 엔드포인트/장치 상태 평가를 수행하여 장치가 기업 네트워크에 연결하기 전에 보안 및 컴플라이언스 요건을 충족하도록 보장합니다. 따라서 조직은 IT 환경의 취약성이 증가하는 것을 방지할 수 있습니다. |
IoT(사물 인터넷) 장치용 NAC | ClearPass Device Insight는 네트워크에 연결된 장치에 대한 전체적인 가시성을 제공하며 위험 점수와 기계 학습을 통해 알려지지 않은 장치를 식별하고 식별 시간을 단축합니다. 또한 추가 보안을 위해 트래픽 흐름의 동작을 모니터링합니다. ClearPass Policy Manager는 네트워크에 연결을 시도하는 장치를 프로파일링하고 IT가 구성한 규칙을 바탕으로 역할 및 장치 기반 네트워크 액세스를 제공합니다. |
유선 장치용 NAC | ClearPass OnConnect는 802.1x 기술을 사용하여 인증하지 않는 프린터나 VoIP 전화와 같은 장치에 안전한 유선 액세스 제어를 제공합니다. |
클라우드 네이티브 NAC | HPE Aruba Networking Central Cloud Auth는 일반 클라우드 ID 저장소와 통합되어 사용자와 장치에 대한 원활한 클라우드 기반 온보딩과 안전한 역할 기반 정책을 제공합니다. |
네트워크 액세스 제어 솔루션을 선택하는 방법
NAC 솔루션을 선택할 때 고려할 요소는 다음과 같습니다.
- 비용이 많이 드는 애드-온 및 공급업체 고정 방지를 위한 상호 운용성 및 벤더 중립 기능
- 트래픽의 보안과 분리 상태를 유지하는 역량 입증
- 최대 가동 시간과 중단 없는 운영을 지원하는 서비스 가용성
- 수십만 개의 동시 엔드포인트를 지원하는 확장성
- Marsh 선정 Cyber CatalystSM와 같이 사이버 위험을 줄이는 기능을 인정하는 시장 리더십 및 지정