F5 BIG-IP 플랫폼을 통한 Exchange 모바일 장치 보안 강화

소개

직장에서 모바일 기기 사용이 계속 증가함에 따라, 기업 자산에 대한 위험과 이러한 위험을 완화해야 할 필요성도 커지고 있습니다. 많은 조직에서 Microsoft Exchange와 같은 회사 자산에 원격 모바일 기기로 액세스할 수 있는 기능을 제공하는 것은 사치일 뿐만 아니라 비즈니스 필수 사항입니다. 따라서 관리자는 모바일 인력의 요구 사항과 회사 자산의 보안 필요성 간의 균형을 유지할 방법을 찾아야 합니다. 다행히 F5 BIG-IP 애플리케이션 전송 컨트롤러(ADC)가 도움을 줄 수 있습니다.

이 문서에서는 BIG-IP Access Policy Manager(APM)와 BIG-IP Application Security Manager(ASM)를 활용하여 Exchange 2010 모바일 기기의 보안을 크게 강화하기 위한 지침을 제공합니다.

면책 및 가정

이 가이드에서는 Exchange 2010 환경에서 모바일 장치를 보호하기 위한 기능적이고 검증된 솔루션을 제시하지만, 사용 가능한 모든 옵션을 나타내는 것은 아닙니다. BIG-IP 제품군(BIG-IP LTM, APM, ASM 등)의 가장 큰 장점 중 하나는 유연성입니다. 이 기술 설명서의 주요 목적은 실용적인 지침을 제공하는 것 뿐 아니라 BIG-IP 제품의 성능과 유연성을 설명하는 것입니다. 독자는 BIG-IP Local Traffic Manager(LTM)에 대한 일반적인 관리 지식이 있고 BIG-IP APM 및 ASM 모듈에 익숙하다고 가정합니다.

다음 BIG-IP 제품과 소프트웨어는 이 간략한 설명서에 제시된 지침의 구성 및 테스트 목적으로 활용되었습니다.

제품 버전
BIG-IP 로컬 트래픽 관리자(LTM) 버전 11.1 및 11.2
BIG-IP 액세스 정책 관리자(APM) 버전 11.1 및 11.2
BIG-IP 애플리케이션 보안 관리자(ASM) 버전 11.1 및 11.2
애플 아이폰 4와 4S iOS 버전 5.1.1
윈도우 폰 7 - 델 베뉴 프로 OS 버전 7.0.7392.212
추가 문서
  • Microsoft Exchange Server 2010(BIG-IP v11: LTM, APM, Edge Gateway) 배포 가이드: http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf
  • BIG-IP 제품군 개요: http://www.f5.com/products/big-ip/
BIG-IP 액세스 정책 관리자 및 ActiveSync

Exchange 2010에서 클라이언트 액세스 서버 역할(CAS)은 모든 클라이언트 트래픽(모바일 장치 포함)에 대한 액세스 포인트 역할을 합니다. 구체적으로, 대부분의 모바일 기기는 Exchange ActiveSync를 사용하여 사서함 정보에 액세스합니다. 쉽게 침해될 수 있는 모바일 기기를 통해 기업 환경에 접근하도록 허용하는 것은 심각한 위험을 초래합니다. 따라서 사용자뿐만 아니라 장치까지 인증하고 권한을 부여하는 다중 요소 솔루션을 구축하는 것이 매우 중요합니다.

BIG-IP LTM의 역방향 프록시 기능과 긴밀히 작동하는 BIG-IP APM 모듈은 BIG-IP 시스템에 상주하며 비즈니스에 중요한 애플리케이션에 대한 안전한 사전 인증(엔드포인트 검사 포함)을 제공합니다. 트래픽 관리 결정은 네트워크 경계에서 그룹 또는 개인 단위로 내리고 적용할 수 있습니다. 다음 섹션에서는 BIG-IP APM 모듈을 사용하여 사용자 이름 및 비밀번호, 장치 ID, 클라이언트 인증서를 기반으로 액세스를 제공하는 동시에 ActiveSync 정책 및 원격 장치 삭제와 같은 기본 제공 Exchange 보안 기능도 사용할 수 있도록 합니다.

사용자 이름 및 비밀번호 인증-"당신이 아는 것"
Exchange 2010 CAS 구성

BIG-IP 시스템으로의 SSL 오프로드(사전 인증 포함)를 용이하게 하기 위해 Exchange ActiveSync 구성 및 정책은 기본 설정을 활용합니다.

Exchange ActiveSync 구성 및 정책 기본 설정의 스크린샷
초기 iApps 구성

BIG-IP APM을 성공적으로 구성하고 배포하려면 F5 iApps가 필요합니다. 버전 11.0부터 iApps(F5 iApps:)가 처음 출시되었습니다. 네트워크 너머로 애플리케이션 제공 이동)은 비즈니스에 중요한 애플리케이션을 네트워크에 빠르게 배포할 수 있는 효율적이고 사용자 친화적인 수단을 제공합니다.

아래에 설명된 대로, 이 지침의 시작점으로 Exchange 환경은 Exchange 2010 iApp을 통해 배포됩니다. 메뉴 드라이브 구성 화면을 활용하여 기본 iApp은 Exchange ActiveSync에 대한 액세스를 포함하여 Exchange 2010 CAS 환경에 대한 액세스를 구성합니다.

iApp 애플리케이션 서비스의 스크린샷

BIG-IP APM 구성은 iApp을 통해 수행됩니다.

iApp에서 BIG-IP APM을 구성하는 스크린샷

완료된 배포는 아래에 나와 있습니다.

전체 배포의 스크린샷(1)
전체 배포의 스크린샷(2)

BIG-IP 시스템의 기본 구성은 부하 분산, 압축, 캐싱, 세션 지속성을 포함한 고급 트래픽 관리 및 최적화 기능을 제공합니다. 또한 Outlook Web Access, Outlook Anywhere, Exchange ActiveSync를 포함한 모든 웹 기반 트래픽에 대한 사전 인증이 제공됩니다. 자격 증명(사용자 이름과 비밀번호)은 BIG-IP 시스템에서 요청되어 시스템에 전달되고, 이를 통해 Active Directory에 대해 사용자를 인증합니다. 적절하게 인증된 사용자만 조직의 내부 환경에 액세스할 수 있습니다.

기기 ID 검증-"당신이 가진 것"

보안 태세를 더욱 강화하기 위해 많은 조직에서는 회사 이메일에 대한 접근을 사전 승인된 모바일 기기에서만 허용하려고 합니다. 이러한 승인된 장치는 특정 사용자에게 할당되거나 필요에 따라 사용자에게 제공될 수 있는 장치 풀에 포함될 수 있습니다. BIG-IP APM의 유연성과 모바일 기기와 관련된 고유한 기기 ID를 활용하면 이전에 구성된 Exchange 배포를 쉽게 수정하여 물리적 기기뿐 아니라 사용자 이름과 비밀번호를 기반으로 액세스를 적용할 수 있습니다.

iApp 생성 배포 수정

BIG-IP 구성을 수정하기 전에 iApp에서 생성된 구성을 설정하여 iApp이 아닌 업데이트를 허용해야 합니다. 이는 특정 애플리케이션 서비스의 속성을 수정하여 수행됩니다(아래 참조).

특정 애플리케이션 서비스의 속성을 수정하는 스크린샷
기기 검증 방법 1-"조직 기기 풀"

BIG-IP 시스템은 인증 프로세스에서 승인된 장치 풀을 사용하도록 구성할 수 있습니다. 승인된 장치(공유 풀에 포함된 장치)를 사용하는 인증된 사용자에게만 Exchange 환경에 대한 모바일 액세스 권한이 부여됩니다. 이 방법은 허용되는 장치의 중앙 집중화된 풀을 활용하고 관리자가 필요에 따라 개별 최종 사용자에게 장치를 "체크아웃"할 수 있는 유연성을 제공합니다.
다음 단계는 현재 BIG-IP 배포에서 수행됩니다.

다음 단계는 현재 BIG-IP 배포에서 수행됩니다.

 

1. 모든 관련 장치 ID를 포함하는 데이터 그룹 목록을 만듭니다.

데이터 그룹 목록의 스크린샷

BIG-IP 웹 GUI에 장치 ID를 입력하는 대신, BIG-IP 시스템의 iFile 기능을 사용하여 외부 파일을 참조하세요. 자세한 내용은 DevCentral https://community.f5.com/t5/technical-articles/v11-1-ndash-external-file-access-from-irules-via-ifiles/ta-p/287683 에서 제공됩니다.

 

2. 기존 접근 정책이 활용됩니다

액세스 정책 경로와 종료를 보여주는 스크린샷의 클로즈업

3. F5 iRule이 생성되어 Exchange HTTPS 가상 서버와 연결됩니다. iRule은 클라이언트 연결의 장치 ID(HTTP 쿼리에 포함됨)를 이전에 생성된 데이터 그룹 목록에 저장된 장치 ID와 비교합니다. 해당 장치 ID가 허용 가능한 장치 목록에 없으면 세션이 종료되고 액세스가 거부됩니다.

가상 서버 목록의 스크린샷(F5Demo_combined_https)

Base64 인코딩에 대한 참고사항: 다양한 모바일 OS 공급업체(예: Apple iOS, Android, Windows Phone)가 ActiveSync에 액세스하는 방법과 범위는 다를 수 있습니다. Windows Phone 7과 같은 일부 기기는 Base64 인코딩을 사용하는데, 이는 기기 ID를 식별하기 위해 디코딩되어야 합니다. 위에서 참조한 iRule은 HTTP 쿼리가 필요에 따라 인코딩되고 디코딩되는지 여부를 결정합니다.

기기 검증 방법 2-"개별 사용자/기기 검증"

이전 예만큼 간단하지는 않지만 BIG-IP APM을 사용하면 Active Directory에서 사용자 속성을 쿼리할 수 있습니다. 액세스 보안을 위한 사용자-장치 매핑을 용이하게 하기 위해 Exchange 2010 사용자 지정 특성을 사용하여 사용자별로 허용되는 장치 ID를 저장할 수 있습니다. 이후 인증 프로세스 중에 BIG-IP APM은 이러한 사용자 속성을 쿼리하여 모바일 장치 액세스를 강제할 수 있습니다.
다음 단계는 기존 Exchange 2010/BIG-IP 배포에서 수행됩니다.

다음 단계는 기존 Exchange 2010/BIG-IP 배포에서 수행됩니다.

 

1. 사용자 사서함의 사용자 정의 속성은 특정 사용자에 대해 허용되는 장치 ID로 채워집니다. 다음 예시의 경우, 특정 사서함에 세 개의 장치를 할당할 수 있습니다. 장치 ID는 "사용자 정의 속성" 1, 2, 3에 저장될 수 있습니다.

사용자 정의 속성의 스크린샷

2. 기존 BIG-IP APM 액세스 정책이 수정되었습니다. 빈 요소는 현재 세션이 ActiveSync임을 확인하도록 구성되어 있습니다.

액세스 정책 경로와 종료, 그리고 매크로를 보여주는 스크린샷의 클로즈업: 장치ID
Branch Rules(ActiveSync)를 보여주는 스크린샷의 클로즈업

3. 세션이 ActiveSync인 경우 사용자 속성의 AD 쿼리를 수행하고 장치 ID를 세션 변수로 캡처하는 매크로가 활용됩니다.

Access Policy 경로와 종료를 보여주는 스크린샷의 클로즈업, 매크로: DeviceID 및 속성(AD 쿼리 및 변수 할당 모두)

4. iRule이 생성되어 Exchange HTTPS 가상 서버와 연결됩니다. iRule은 클라이언트 연결의 장치 ID(HTTP 쿼리에 포함됨)를 세션 변수와 비교합니다. 클라이언트 장치 ID가 이전에 사용자에게 할당된 장치 중 하나와 일치하지 않으면 세션이 종료되고 액세스가 거부됩니다.

가상 서버 목록의 스크린샷(F5Demo_combined_https)
기기 ID 검증-"당신이 가진 것"

아마도 모바일 기기를 보호하는 데 가장 어려운 (따라서 거의 사용되지 않는) 방법 중 하나는 클라이언트 측 인증서를 사용하는 것입니다. 기본 Exchange 구현에서는 개별 인증서를 만들어 Active Directory에 저장하고 장치에 배포해야 합니다. 또한, 이러한 유형의 인증을 CAS 배열에 적용하려면 CAS 서버에 도착하는 트래픽을 암호화해야 합니다.

BIG-IP 시스템은 내부 CAS 서버 팜으로 전송되는 트래픽을 다시 암호화할 수 있을 뿐만 아니라, 클라이언트 측 인증서 인증을 위한 SSL 프록시 역할도 수행합니다. 그러나 BIG-IP APM은 CAS 배열에서 SSL 처리의 부담을 덜어주는 동시에 클라이언트 측 인증서를 요구하고 검증하는 수단을 제공합니다. 다음 예제는 사용자 이름 및 비밀번호 인증과 함께 인증서 기반 유효성 검사를 구현하는 방법을 보여줍니다.

1. 현재의 클라이언트 SSL 프로필은 이전에 BIG-IP 시스템으로 가져온 CA 인증서를 보유한 신뢰할 수 있는 인증 기관(CA)을 포함하도록 수정되었습니다. 이 예에서 신뢰할 수 있는 CA는 "F5DEMO"입니다.

가상 서버 목록(F5Demo_combined_https) 및 클라이언트(F5Demo_SAN)의 스크린샷

2. 기존 BIG-IP APM 액세스 정책이 수정되었습니다. "주문형 인증서 인증" 요소가 포함되었습니다. 사용자가 자격 증명(사용자 이름과 비밀번호)을 사용하여 성공적으로 인증하면 BIG-IP APM은 SSL 재핸드셰이크를 수행하고 위의 신뢰할 수 있는 CA와 클라이언트 인증서를 비교합니다. 검증에 실패하면 세션이 종료되고 액세스가 거부됩니다.

액세스 정책 경로와 종료를 보여주는 스크린샷의 클로즈업
속성(클라이언트 인증서 인증...)을 보여주는 스크린샷의 확대 사진
인증 방법 결합 - "다중 인증"

이전 예제에서는 BIG-IP APM이 사용자 이름과 비밀번호, 장치 ID, 클라이언트 인증서를 통해 모바일 장치를 인증하는 방법을 보여주었습니다. BIG-IP APM은 이러한 다양한 방법을 단일 다중 인증 솔루션으로 결합하여 Exchange ActiveSync에 대한 안전하고 쉽게 관리되는 액세스를 제공할 수 있습니다. 아래 그림은 앞서 논의된 방법을 결합한 일반적인 인증 흐름과 장치 유형에 따른 결정을 보여줍니다.

Access Policy 경로와 종료를 보여주는 스크린샷의 클로즈업, 매크로: DeviceID 및 Branch 규칙(iPhone)
  1. 사용자는 사용자 이름과 비밀번호를 사용하여 Active Directory에 미리 인증됩니다.
  2. 세션이 ActiveSync를 활용하는 경우 장치 ID가 사용자 속성 및 허용 가능한 장치 목록과 비교됩니다.
  3. 장치 유형이 확인되었습니다.
  4. 기기 유형이 iPhone인 경우, 유효한 인증서가 필요합니다.
BIG-IP 애플리케이션 보안 관리자 및 ActiveSync

Exchange 모바일 기기 액세스에 대한 적절한 보안 제어를 구현하는 것은 인증 및 권한 부여에서 끝나지 않습니다. 조직의 보안 태세를 더욱 강화하려면 트래픽 흐름(인증된 소스의 트래픽 포함)을 효과적으로 모니터링하고 관리해야 합니다. 대부분의 외부 소스 트래픽이 기존의 3계층 방화벽을 거쳐 회사 네트워크로 유입되므로 애플리케이션 계층 방화벽 또는 WAF를 구현해야 합니다. BIG-IP 애플리케이션 보안 관리자(ASM)와 같은 WAF는 애플리케이션 계층에서 작동하여 HTTP 페이로드를 분석하고 이를 바탕으로 조치를 취해 기업 자산을 더욱 보호합니다.

BIG-IP ASM 모듈은 BIG-IP 시스템에 상주하며 계층 7 DoS 및 DDoS, SQL 주입, 교차 사이트 스크립팅을 포함하되 이에 국한되지 않는 수많은 위협으로부터 Exchange 환경을 보호하는 데 사용할 수 있습니다.

다음 섹션에서는 Exchange ActiveSync와 함께 사용하도록 BIG-IP ASM 모듈을 구성하는 방법을 설명합니다.

ActiveSync 보안 정책

BIG-IP ASM은 매우 강력한 애플리케이션이기 때문에 배포하는 데 시간이 많이 걸릴 수 있습니다. 다행히도 F5는 시간과 노력에 필요한 시간을 크게 줄여 주는 사전 구성된 템플릿을 여러 개 개발했습니다. Exchange ActiveSync의 경우가 그렇습니다. Exchange ActiveSync에 BIG-IP ASM을 구현하려면 다음 단계가 필요합니다.

1. 애플리케이션 보안 메뉴에서 "보안 정책"을 선택하고 새 정책을 만듭니다.

활성 보안 정책 화면의 스크린샷

2. "기존 가상 서버"와 "다음"을 선택합니다.

로컬 트래픽 배포 시나리오 선택 화면의 스크린샷

3. 기존 Exchange 가상 서비스인 "HTTPS"를 선택하고 "다음"을 클릭합니다.

로컬 트래픽 설정 구성 화면의 스크린샷

4. "수동으로 정책 만들기 또는 템플릿 사용(고급)"을 선택하고 "다음"을 클릭합니다.

배포 시나리오 선택 화면의 스크린샷

5. 일반적으로 서유럽(iso-8859-1)인 정책 언어를 선택하세요. 그런 다음 "ActiveSync v1.0 v2.0(https)"을 선택하고 "다음"을 선택합니다.

배포 마법사의 스크린샷: 보안 정책 속성 화면 구성

6. "마침"을 선택하세요.

배포 마법사의 FINISH 버튼 스크린샷: 보안 정책 구성 요약 화면

이제 보안 정책이 생성되어 Exchange 가상 서버에 적용됩니다. 그러나 설계상 정책은 "투명한" 시행 모드로 구현됩니다. 정책은 트래픽(유입 및 유출 모두)을 모니터링하지만, 아무런 조치도 취하지 않습니다. 이를 통해 관리자는 사용자에게 영향을 주지 않고 정책을 조정할 수 있습니다.

정책 스크린샷: 속성 화면

7. 정책이 허용 가능한 수준으로 조정되면 정책을 "투명"에서 "차단"으로 전환해야 합니다. "차단"의 방사형 옵션을 선택하고 "저장"을 클릭합니다.

정책의 SAVE 버튼 스크린샷: 속성 화면

8. 변경 사항을 적용하려면 "정책 적용"을 선택하세요.

Apply Policy 버튼의 스크린샷 확대 사진
"현재 편집된 보안 정책에 '정책 적용' 작업을 수행하시겠습니까?" 화면에서 "확인"을 누르는 스크린샷입니다.

BIG-IP ASM 정책은 이제 "차단" 모드로 작동합니다.

결론

점점 더 모바일화되는 근로자들에게 애플리케이션 액세스를 제공하는 것이 많은 기업에서 빠르게 비즈니스 필수 요소가 되고 있습니다. 이러한 애플리케이션이 높은 가용성과 보안을 모두 갖추도록 하는 것은 절대적으로 중요합니다. BIG-IP 액세스 정책 관리자(APM)와 애플리케이션 보안 관리자(ASM) 애플리케이션 전송 컨트롤러는 비즈니스에 중요한 애플리케이션을 가용성이 높고 안전하게 배포하도록 설계되었습니다. 특히, BIG-IP APM의 다중 인증 메커니즘과 BIG-IP ASM의 강력한 Layer 7 방화벽 기능을 결합하여 탁월한 Exchange 모바일 기기 보안을 구현할 수 있습니다.

2012년 11월 20일 게시
  • 페이스북에 공유하기
  • X에 공유
  • Linkedin에 공유하기
  • 이메일로 공유하기
  • AddThis를 통해 공유

F5에 연결

F5 Labs

최신 애플리케이션 위협 인텔리전스입니다.

DevCentral

토론 포럼과 전문가 기사를 제공하는 F5 커뮤니티입니다.

F5 뉴스룸

뉴스, F5 블로그 등.