Policy Enforcement란 무엇입니까?

Policy Enforcement는 액세스가 허용되는 조건을 정의하는 하나 이상의 정책에 따라 네트워크 및 애플리케이션 연결, 액세스 및 사용을 관리하는 프로세스입니다.

컴퓨팅 측면에서 Policy Enforcement는 대체로 컴퓨터 또는 통신 네트워크의 사용을 위한 특정 요건 집합의 생성, 분류, 관리, 모니터링 및 자동화된 실행을 지칭합니다. 즉, 정책의 시행뿐 아니라 정책 정의, 적용 및 관리로 정의됩니다.

정책은 누가 리소스에 액세스할 수 있는지, 언제 액세스할 수 있는지, 어디에서 액세스할 수 있는지, 어떤 장치 또는 소프트웨어를 사용하여 액세스할 수 있는지, 액세스가 허용되고 사용자가 무엇을 할 수 있고 없는지, 얼마나 오래 액세스할 수 있는지, 그리고 어떤 감사 또는 모니터링이 사용되는지 등을 다룰 수 있습니다. 정책은 또한 수락할 프로토콜, 사용할 포트 또는 연결 시간 제한 등 더 많은 기술적 상호 작용이나 요구 사항을 다룰 수 있습니다.

조직은 자산과 서비스를 통제, 관리 및 수익화하기 위한 정책을 만듭니다. 네트워크 Policy Enforcement은 BYOD 요구 사항을 포함한 데이터 및 자산 보안 조치를 자동화하는 데 도움이 됩니다. 예를 들어 이를 통해 서비스 제공업체는 특정 서비스 또는 사용 시간에 대한 차등 요금을 만들 수 있습니다. 또한 기업 윤리 표준(예: 회사 장비의 사용 및 개인적 목적을 위한 시간)을 시행하고 네트워크 사용을 더 잘 이해하고 관리하는 데에도 사용할 수 있습니다.

Policy Enforcement는 일반적으로 게이트웨이, 프록시, 방화벽 또는 네트워크의 기타 중앙 집중식 제어 지점 역할을 하는 소프트웨어 또는 하드웨어에 의해 처리됩니다. 먼저 정책을 정의하고 위반 사항이 발생할 경우 취할 조치가 하나 이상 포함되어야 합니다. 정책이 정의되면 소프트웨어 또는 하드웨어는 네트워크에서 정책 시행 지점이 됩니다. 여기에서 정책 시행은 세 부분으로 나뉩니다.

• Connection 또는 Request에 대한 평가
• 평가된 상태와 알려진 정책을 비교하여 Connection이 한 가지(또는 그 이상)를 위반하는지 여부 결정
• Request 처리에서 연결 해제 또는 거부 목록 작성에 이르는 결과에 따른 조치.

예를 들어 한 정책은 알려진 악의적인 IP 주소를 식별하고 해당 주소의 모든 트래픽을 거부하도록 지정할 수 있습니다. 더 복잡한 정책을 사용하면 특정 사용자만 일부 애플리케이션에 연결하는 것을 허용하거나 연결되면 다른 것보다 높은 수수료가 발생하는 일부 작업(예: 고해상도 장치에서 스트리밍 서비스 사용)을 수행하는 것을 허용할 수 있습니다. 이러한 방식으로 인증, 권한 부여 및 어카운팅(AAA) 시스템은 Policy Enforcement는 한 가지 형태가 됩니다.

네트워크 정책 시행에는 만료되지 않은 인증서의 존재, 연결에 사용되는 장치 또는 브라우저의 유형이나 버전, 공격과 관련된 행동 패턴의 부재와 같은 보다 정교하고 세분화된 매개변수의 준수가 필요할 수 있습니다.

전체 시행 프로세스, 특히 규정 미준수 인시던트 모니터링 및 문서화는 Policy Enforcement 솔루션의 일부분인 경우가 많습니다.

여러 F5 제품은 단일 중앙 집중식 제어 지점에서 정책 생성 및 시행에 대한 세분화된 제어를 지원하는 게이트웨이 또는 풀 프록시 역할을 할 수 있습니다. 특히 BIG-IP Policy Enforcement Manager(PEM)는 서비스 수익화 및 네트워크 성능 개선을 원하는 서비스 제공업체에 정교한 제어를 제공합니다. 기업의 경우 BIG-IP Access Policy Manager(APM)는 신원 인식, 컨텍스트 기반 정책의 생성, 편집 및 관리를 손쉽게 하는 그래픽 사용자 인터페이스 Visual Policy Editor(VPE)를 포함한 컨텍스트 기반의 액세스 관리를 제공합니다.

그림 1: BIG-IP APM Visual Policy Editor