안녕하세요…

Windows Server 8의 신규 기능 중에서 짧은 거 하나 포스팅합니다.

오늘 포스팅할 주제는 바로 “Dynamic Access Control” 기능입니다. 이 기능은 굉장히 다양한 시나리오를 제공할 수 있는데, 저는 “Central Access Policy (CAP)” 라는 시나리오를 준비해 보았습니다.  CAP를 과연 어떻게 사용할 수 있을까요…

지금까지의 파일 서버의 접근 제어에 대한 방법은 오로지 NTFS 및 Share 권한 밖에는 없었습니다. 이 2가지 접근 제어 방식은 미리 규정된 사용자 및 그룹 계정 이외에는 접근 제어를 할 수 방식이 없었습니다. 그러나, Windows Server 8의 CAP는 사용자 및 그룹 계정 이외에, 사용자 및 그룹 계정의 다양한 속성(attribute)을 사용하여, 다양한 조건을 통하여 접근 제어를 할 수 있습니다.

예를 들어, 아래와 같은 시나리오를 구성할 수 있습니다.

파일 서버에 저장된 압축된 금융 정보를 보호하기 위하여, 금융 부서 보안 운영은 중앙 접근 정책 필요성을 지정하기 위해서 “중앙 정보 보호”와 함께 작업을 합니다. 각 국가의 압축된 금융 정보는 오로지 동일 국가의 금융 부서원만이 접근할 수 있어야 합니다. 반면에, 중앙 금융 어드민 그룹은 모든 국가의 금융 정보를 접근할 수 있습니다.

즉, 위와 같은 시나리오에서 동일 국가 및 특정 부서와 같은 조건으로 접근 제어를 할 수 있는 방법은 기존 NTFS 및 Share 권한에서는 상당히 어렵거나 원천적으로 불가능 할 수 있습니다.

아래는 기본적인 CAP 의 개념도입니다. 아래 그림을 확인해 보면, User Claim, Device Claim 등을 사용하여 CAP를 생성하고, User Claim, Device Claim등에서 사용할 속성을 파일 서버의 파일 속성이 미리 설정되어야 함을 알 수 있습니다. 본 데모 환경에서는, 디바이스 claim에 대한 데모는 구현하지 못 했습니다.

아래 그림은 CAP를 구성할 때, 구성 작업의 항목과 항목이 생성되어야 할 서버들을 설명한 그림입니다.

혹시, 제 첨부 문서를 읽지 않으실 분들을 위해서, CAP가 적용된 파일 서버의 특정 폴더에 기존의 NTFS 및 Share 권한과는 다른 권한 설정이 있음을 아래에서 확인할 수 있습니다. 아래 그림의 보라색 부분이 바로 CAP를 활용한 조건 접근 제어입니다.

CAP를 사용하게 되면, 비즈니스 요구 사항을 좀 더 미세하게 반영할 수 있는 접근 제어를 구현할 수 있습니다. 이제 CAP를 사용하여, 회사 내의 파일 서버에 대한 보안을 확 높여 볼 시점입니다.

추후 포스팅에서는, SMTP 및 POP3를 사용하여 특정 폴더에 권한이 없는 사용자가 권한을 관리자에게 요청할 수 있는 “Access-Denied Assistance” 시나리오를 소개하겠습니다. 기대해 주세요.

그럼 이만