Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
안녕하세요…
Windows Server 8의 신규 기능 중에서 짧은 거 하나 포스팅합니다.
오늘 포스팅할 주제는 바로 “Dynamic Access Control” 기능입니다. 이 기능은 굉장히 다양한 시나리오를 제공할 수 있는데, 저는 “Central Access Policy (CAP)” 라는 시나리오를 준비해 보았습니다. CAP를 과연 어떻게 사용할 수 있을까요…
지금까지의 파일 서버의 접근 제어에 대한 방법은 오로지 NTFS 및 Share 권한 밖에는 없었습니다. 이 2가지 접근 제어 방식은 미리 규정된 사용자 및 그룹 계정 이외에는 접근 제어를 할 수 방식이 없었습니다. 그러나, Windows Server 8의 CAP는 사용자 및 그룹 계정 이외에, 사용자 및 그룹 계정의 다양한 속성(attribute)을 사용하여, 다양한 조건을 통하여 접근 제어를 할 수 있습니다.
예를 들어, 아래와 같은 시나리오를 구성할 수 있습니다.
파일 서버에 저장된 압축된 금융 정보를 보호하기 위하여, 금융 부서 보안 운영은 중앙 접근 정책 필요성을 지정하기 위해서 “중앙 정보 보호”와 함께 작업을 합니다. 각 국가의 압축된 금융 정보는 오로지 동일 국가의 금융 부서원만이 접근할 수 있어야 합니다. 반면에, 중앙 금융 어드민 그룹은 모든 국가의 금융 정보를 접근할 수 있습니다.
즉, 위와 같은 시나리오에서 동일 국가 및 특정 부서와 같은 조건으로 접근 제어를 할 수 있는 방법은 기존 NTFS 및 Share 권한에서는 상당히 어렵거나 원천적으로 불가능 할 수 있습니다.
아래는 기본적인 CAP 의 개념도입니다. 아래 그림을 확인해 보면, User Claim, Device Claim 등을 사용하여 CAP를 생성하고, User Claim, Device Claim등에서 사용할 속성을 파일 서버의 파일 속성이 미리 설정되어야 함을 알 수 있습니다. 본 데모 환경에서는, 디바이스 claim에 대한 데모는 구현하지 못 했습니다.
아래 그림은 CAP를 구성할 때, 구성 작업의 항목과 항목이 생성되어야 할 서버들을 설명한 그림입니다.
혹시, 제 첨부 문서를 읽지 않으실 분들을 위해서, CAP가 적용된 파일 서버의 특정 폴더에 기존의 NTFS 및 Share 권한과는 다른 권한 설정이 있음을 아래에서 확인할 수 있습니다. 아래 그림의 보라색 부분이 바로 CAP를 활용한 조건 접근 제어입니다.
CAP를 사용하게 되면, 비즈니스 요구 사항을 좀 더 미세하게 반영할 수 있는 접근 제어를 구현할 수 있습니다. 이제 CAP를 사용하여, 회사 내의 파일 서버에 대한 보안을 확 높여 볼 시점입니다.
추후 포스팅에서는, SMTP 및 POP3를 사용하여 특정 폴더에 권한이 없는 사용자가 권한을 관리자에게 요청할 수 있는 “Access-Denied Assistance” 시나리오를 소개하겠습니다. 기대해 주세요.
그럼 이만