F5 BIG-IP 플랫폼을 통한 Exchange 모바일 장치 보안 강화

직장에서 모바일 기기 사용이 계속 증가함에 따라, 기업 자산에 대한 위험과 이러한 위험을 완화해야 할 필요성도 커지고 있습니다. 많은 조직에서 Microsoft Exchange와 같은 회사 자산에 원격 모바일 기기로 액세스할 수 있는 기능을 제공하는 것은 사치일 뿐만 아니라 비즈니스 필수 사항입니다. 따라서 관리자는 모바일 인력의 요구 사항과 회사 자산의 보안 필요성 간의 균형을 유지할 방법을 찾아야 합니다. 다행히 F5 BIG-IP 애플리케이션 전송 컨트롤러(ADC)가 도움을 줄 수 있습니다.

이 문서에서는 BIG-IP Access Policy Manager(APM)와 BIG-IP Application Security Manager(ASM)를 활용하여 Exchange 2010 모바일 기기의 보안을 크게 강화하기 위한 지침을 제공합니다.

이 가이드에서는 Exchange 2010 환경에서 모바일 장치를 보호하기 위한 기능적이고 검증된 솔루션을 제시하지만, 사용 가능한 모든 옵션을 나타내는 것은 아닙니다. BIG-IP 제품군(BIG-IP LTM, APM, ASM 등)의 가장 큰 장점 중 하나는 유연성입니다. 이 기술 설명서의 주요 목적은 실용적인 지침을 제공하는 것 뿐 아니라 BIG-IP 제품의 성능과 유연성을 설명하는 것입니다. 독자는 BIG-IP Local Traffic Manager(LTM)에 대한 일반적인 관리 지식이 있고 BIG-IP APM 및 ASM 모듈에 익숙하다고 가정합니다.

다음 BIG-IP 제품과 소프트웨어는 이 간략한 설명서에 제시된 지침의 구성 및 테스트 목적으로 활용되었습니다.

• Microsoft Exchange Server 2010(BIG-IP v11: LTM, APM, Edge Gateway) 배포 가이드: http://www.f5.com/pdf/deployment-guides/microsoft-exchange2010-iapp-dg.pdf
• BIG-IP 제품군 개요: http://www.f5.com/products/big-ip/

Exchange 2010에서 클라이언트 액세스 서버 역할(CAS)은 모든 클라이언트 트래픽(모바일 장치 포함)에 대한 액세스 포인트 역할을 합니다. 구체적으로, 대부분의 모바일 기기는 Exchange ActiveSync를 사용하여 사서함 정보에 액세스합니다. 쉽게 침해될 수 있는 모바일 기기를 통해 기업 환경에 접근하도록 허용하는 것은 심각한 위험을 초래합니다. 따라서 사용자뿐만 아니라 장치까지 인증하고 권한을 부여하는 다중 요소 솔루션을 구축하는 것이 매우 중요합니다.

BIG-IP LTM의 역방향 프록시 기능과 긴밀히 작동하는 BIG-IP APM 모듈은 BIG-IP 시스템에 상주하며 비즈니스에 중요한 애플리케이션에 대한 안전한 사전 인증(엔드포인트 검사 포함)을 제공합니다. 트래픽 관리 결정은 네트워크 경계에서 그룹 또는 개인 단위로 내리고 적용할 수 있습니다. 다음 섹션에서는 BIG-IP APM 모듈을 사용하여 사용자 이름 및 비밀번호, 장치 ID, 클라이언트 인증서를 기반으로 액세스를 제공하는 동시에 ActiveSync 정책 및 원격 장치 삭제와 같은 기본 제공 Exchange 보안 기능도 사용할 수 있도록 합니다.

BIG-IP 시스템으로의 SSL 오프로드(사전 인증 포함)를 용이하게 하기 위해 Exchange ActiveSync 구성 및 정책은 기본 설정을 활용합니다.

BIG-IP APM을 성공적으로 구성하고 배포하려면 F5 iApps가 필요합니다. 버전 11.0부터 iApps(F5 iApps:)가 처음 출시되었습니다. 네트워크 너머로 애플리케이션 제공 이동)은 비즈니스에 중요한 애플리케이션을 네트워크에 빠르게 배포할 수 있는 효율적이고 사용자 친화적인 수단을 제공합니다.

아래에 설명된 대로, 이 지침의 시작점으로 Exchange 환경은 Exchange 2010 iApp을 통해 배포됩니다. 메뉴 드라이브 구성 화면을 활용하여 기본 iApp은 Exchange ActiveSync에 대한 액세스를 포함하여 Exchange 2010 CAS 환경에 대한 액세스를 구성합니다.

완료된 배포는 아래에 나와 있습니다.

BIG-IP 시스템의 기본 구성은 부하 분산, 압축, 캐싱, 세션 지속성을 포함한 고급 트래픽 관리 및 최적화 기능을 제공합니다. 또한 Outlook Web Access, Outlook Anywhere, Exchange ActiveSync를 포함한 모든 웹 기반 트래픽에 대한 사전 인증이 제공됩니다. 자격 증명(사용자 이름과 비밀번호)은 BIG-IP 시스템에서 요청되어 시스템에 전달되고, 이를 통해 Active Directory에 대해 사용자를 인증합니다. 적절하게 인증된 사용자만 조직의 내부 환경에 액세스할 수 있습니다.

보안 태세를 더욱 강화하기 위해 많은 조직에서는 회사 이메일에 대한 접근을 사전 승인된 모바일 기기에서만 허용하려고 합니다. 이러한 승인된 장치는 특정 사용자에게 할당되거나 필요에 따라 사용자에게 제공될 수 있는 장치 풀에 포함될 수 있습니다. BIG-IP APM의 유연성과 모바일 기기와 관련된 고유한 기기 ID를 활용하면 이전에 구성된 Exchange 배포를 쉽게 수정하여 물리적 기기뿐 아니라 사용자 이름과 비밀번호를 기반으로 액세스를 적용할 수 있습니다.

BIG-IP 구성을 수정하기 전에 iApp에서 생성된 구성을 설정하여 iApp이 아닌 업데이트를 허용해야 합니다. 이는 특정 애플리케이션 서비스의 속성을 수정하여 수행됩니다(아래 참조).

BIG-IP 시스템은 인증 프로세스에서 승인된 장치 풀을 사용하도록 구성할 수 있습니다. 승인된 장치(공유 풀에 포함된 장치)를 사용하는 인증된 사용자에게만 Exchange 환경에 대한 모바일 액세스 권한이 부여됩니다. 이 방법은 허용되는 장치의 중앙 집중화된 풀을 활용하고 관리자가 필요에 따라 개별 최종 사용자에게 장치를 "체크아웃"할 수 있는 유연성을 제공합니다.
다음 단계는 현재 BIG-IP 배포에서 수행됩니다.

다음 단계는 현재 BIG-IP 배포에서 수행됩니다.

1. 모든 관련 장치 ID를 포함하는 데이터 그룹 목록을 만듭니다.

BIG-IP 웹 GUI에 장치 ID를 입력하는 대신, BIG-IP 시스템의 iFile 기능을 사용하여 외부 파일을 참조하세요. 자세한 내용은 DevCentral https://community.f5.com/t5/technical-articles/v11-1-ndash-external-file-access-from-irules-via-ifiles/ta-p/287683 에서 제공됩니다.

2. 기존 접근 정책이 활용됩니다

3. F5 iRule이 생성되어 Exchange HTTPS 가상 서버와 연결됩니다. iRule은 클라이언트 연결의 장치 ID(HTTP 쿼리에 포함됨)를 이전에 생성된 데이터 그룹 목록에 저장된 장치 ID와 비교합니다. 해당 장치 ID가 허용 가능한 장치 목록에 없으면 세션이 종료되고 액세스가 거부됩니다.

Base64 인코딩에 대한 참고사항: 다양한 모바일 OS 공급업체(예: Apple iOS, Android, Windows Phone)가 ActiveSync에 액세스하는 방법과 범위는 다를 수 있습니다. Windows Phone 7과 같은 일부 기기는 Base64 인코딩을 사용하는데, 이는 기기 ID를 식별하기 위해 디코딩되어야 합니다. 위에서 참조한 iRule은 HTTP 쿼리가 필요에 따라 인코딩되고 디코딩되는지 여부를 결정합니다.

이전 예만큼 간단하지는 않지만 BIG-IP APM을 사용하면 Active Directory에서 사용자 속성을 쿼리할 수 있습니다. 액세스 보안을 위한 사용자-장치 매핑을 용이하게 하기 위해 Exchange 2010 사용자 지정 특성을 사용하여 사용자별로 허용되는 장치 ID를 저장할 수 있습니다. 이후 인증 프로세스 중에 BIG-IP APM은 이러한 사용자 속성을 쿼리하여 모바일 장치 액세스를 강제할 수 있습니다.
다음 단계는 기존 Exchange 2010/BIG-IP 배포에서 수행됩니다.

다음 단계는 기존 Exchange 2010/BIG-IP 배포에서 수행됩니다.

1. 사용자 사서함의 사용자 정의 속성은 특정 사용자에 대해 허용되는 장치 ID로 채워집니다. 다음 예시의 경우, 특정 사서함에 세 개의 장치를 할당할 수 있습니다. 장치 ID는 "사용자 정의 속성" 1, 2, 3에 저장될 수 있습니다.

3. 세션이 ActiveSync인 경우 사용자 속성의 AD 쿼리를 수행하고 장치 ID를 세션 변수로 캡처하는 매크로가 활용됩니다.

4. iRule이 생성되어 Exchange HTTPS 가상 서버와 연결됩니다. iRule은 클라이언트 연결의 장치 ID(HTTP 쿼리에 포함됨)를 세션 변수와 비교합니다. 클라이언트 장치 ID가 이전에 사용자에게 할당된 장치 중 하나와 일치하지 않으면 세션이 종료되고 액세스가 거부됩니다.

아마도 모바일 기기를 보호하는 데 가장 어려운 (따라서 거의 사용되지 않는) 방법 중 하나는 클라이언트 측 인증서를 사용하는 것입니다. 기본 Exchange 구현에서는 개별 인증서를 만들어 Active Directory에 저장하고 장치에 배포해야 합니다. 또한, 이러한 유형의 인증을 CAS 배열에 적용하려면 CAS 서버에 도착하는 트래픽을 암호화해야 합니다.

BIG-IP 시스템은 내부 CAS 서버 팜으로 전송되는 트래픽을 다시 암호화할 수 있을 뿐만 아니라, 클라이언트 측 인증서 인증을 위한 SSL 프록시 역할도 수행합니다. 그러나 BIG-IP APM은 CAS 배열에서 SSL 처리의 부담을 덜어주는 동시에 클라이언트 측 인증서를 요구하고 검증하는 수단을 제공합니다. 다음 예제는 사용자 이름 및 비밀번호 인증과 함께 인증서 기반 유효성 검사를 구현하는 방법을 보여줍니다.

1. 현재의 클라이언트 SSL 프로필은 이전에 BIG-IP 시스템으로 가져온 CA 인증서를 보유한 신뢰할 수 있는 인증 기관(CA)을 포함하도록 수정되었습니다. 이 예에서 신뢰할 수 있는 CA는 "F5DEMO"입니다.

이전 예제에서는 BIG-IP APM이 사용자 이름과 비밀번호, 장치 ID, 클라이언트 인증서를 통해 모바일 장치를 인증하는 방법을 보여주었습니다. BIG-IP APM은 이러한 다양한 방법을 단일 다중 인증 솔루션으로 결합하여 Exchange ActiveSync에 대한 안전하고 쉽게 관리되는 액세스를 제공할 수 있습니다. 아래 그림은 앞서 논의된 방법을 결합한 일반적인 인증 흐름과 장치 유형에 따른 결정을 보여줍니다.

1. 사용자는 사용자 이름과 비밀번호를 사용하여 Active Directory에 미리 인증됩니다.
2. 세션이 ActiveSync를 활용하는 경우 장치 ID가 사용자 속성 및 허용 가능한 장치 목록과 비교됩니다.
3. 장치 유형이 확인되었습니다.
4. 기기 유형이 iPhone인 경우, 유효한 인증서가 필요합니다.

Exchange 모바일 기기 액세스에 대한 적절한 보안 제어를 구현하는 것은 인증 및 권한 부여에서 끝나지 않습니다. 조직의 보안 태세를 더욱 강화하려면 트래픽 흐름(인증된 소스의 트래픽 포함)을 효과적으로 모니터링하고 관리해야 합니다. 대부분의 외부 소스 트래픽이 기존의 3계층 방화벽을 거쳐 회사 네트워크로 유입되므로 애플리케이션 계층 방화벽 또는 WAF를 구현해야 합니다. BIG-IP 애플리케이션 보안 관리자(ASM)와 같은 WAF는 애플리케이션 계층에서 작동하여 HTTP 페이로드를 분석하고 이를 바탕으로 조치를 취해 기업 자산을 더욱 보호합니다.

BIG-IP ASM 모듈은 BIG-IP 시스템에 상주하며 계층 7 DoS 및 DDoS, SQL 주입, 교차 사이트 스크립팅을 포함하되 이에 국한되지 않는 수많은 위협으로부터 Exchange 환경을 보호하는 데 사용할 수 있습니다.

다음 섹션에서는 Exchange ActiveSync와 함께 사용하도록 BIG-IP ASM 모듈을 구성하는 방법을 설명합니다.

BIG-IP ASM은 매우 강력한 애플리케이션이기 때문에 배포하는 데 시간이 많이 걸릴 수 있습니다. 다행히도 F5는 시간과 노력에 필요한 시간을 크게 줄여 주는 사전 구성된 템플릿을 여러 개 개발했습니다. Exchange ActiveSync의 경우가 그렇습니다. Exchange ActiveSync에 BIG-IP ASM을 구현하려면 다음 단계가 필요합니다.

1. 애플리케이션 보안 메뉴에서 "보안 정책"을 선택하고 새 정책을 만듭니다.

2. "기존 가상 서버"와 "다음"을 선택합니다.

3. 기존 Exchange 가상 서비스인 "HTTPS"를 선택하고 "다음"을 클릭합니다.

4. "수동으로 정책 만들기 또는 템플릿 사용(고급)"을 선택하고 "다음"을 클릭합니다.

5. 일반적으로 서유럽(iso-8859-1)인 정책 언어를 선택하세요. 그런 다음 "ActiveSync v1.0 v2.0(https)"을 선택하고 "다음"을 선택합니다.

6. "마침"을 선택하세요.

7. 정책이 허용 가능한 수준으로 조정되면 정책을 "투명"에서 "차단"으로 전환해야 합니다. "차단"의 방사형 옵션을 선택하고 "저장"을 클릭합니다.

8. 변경 사항을 적용하려면 "정책 적용"을 선택하세요.

BIG-IP ASM 정책은 이제 "차단" 모드로 작동합니다.

점점 더 모바일화되는 근로자들에게 애플리케이션 액세스를 제공하는 것이 많은 기업에서 빠르게 비즈니스 필수 요소가 되고 있습니다. 이러한 애플리케이션이 높은 가용성과 보안을 모두 갖추도록 하는 것은 절대적으로 중요합니다. BIG-IP 액세스 정책 관리자(APM)와 애플리케이션 보안 관리자(ASM) 애플리케이션 전송 컨트롤러는 비즈니스에 중요한 애플리케이션을 가용성이 높고 안전하게 배포하도록 설계되었습니다. 특히, BIG-IP APM의 다중 인증 메커니즘과 BIG-IP ASM의 강력한 Layer 7 방화벽 기능을 결합하여 탁월한 Exchange 모바일 기기 보안을 구현할 수 있습니다.