안녕하세요.
사내 구글 드라이브에 대한 접근통제를 어떻게 할껀가?로 정책을 수립했을 경우
궁금한 점을 정리하면 아래 3가지와 같습니다.
1. 구글 드라이브 접속에 대하여 회사가 아닌 외부에서 접근을 못하게 접근(접속) 제한 가능
유무*("사내 접근만 허용" 정책)
2. 구글 드라이브 앞단 또는 뒷단에 F/W를 연동할 수 있는지?
- 내부(사내) 또는 외부(재택 등) 접근 시, 인가된 단말기만(MAC-ADDRESS F/W 등록)
F/W에 연동하여 구글 드라이브 Allow 정책 수립 계획
예시)
앞단: F/W ➞ (MAC-ADDRESS 접근제어) ➞ 구글 드라이브 ➞ 인가된 단말기(임직원) 접속
뒷단: 구글 드라이브 ➞ F/W ➞ (MAC-ADDRESS 접근제어) ➞ 인가된 단말기(임직원) 접속
3. 파일 스트림 그룹별 사용 유무 설정 가능 여부
- 필치 못하게 개인 PC를 통한 구글 드라이브를 외부 접속의 경우 개인 PC 등의 단말기의
백신 미설치 등의 사유로 인해 구글 파일 스트림 연동 시, 네트워크 드라이브로 인식하여
랜섬웨어 감염 이슈 존재하여 회사지급/개인PC로 이원화 정책 수립
- F/W 내 회사 자산/개인 소유 단말기를 총 2개의 그룹으로 나눈 후 MAC-ADDRESS 식별하여,
그룹별(회사/개인) 구글 파일 스트림 사용 정책을 생성할 계획
*회사 자산: 파일 스트림 가능, WEB접속 가능
개인 자산: 파일 스트림 불가, WEB접속만 가능
이렇게 계획을 하고 있는데, 가능할지 모르겠습니다..
7개의 답변이 있습니다.
외부 접속, 개인 자산 허용 등의 조건 때문에 방화벽을 통한 제어는 어려울 것 같습니다.
구글 드라이브(계정)이 개인 계정은 아니고, 회사에서 사용하는 구글 웍스페이스인 것 같은데 그렇다면 "Endpoint Verification"을 적용하여 원하시는 정책의 적용이 가능할 것 같습니다.
https://support.google.com/a/users/answer/9018161?hl=ko
만약 특정 프로그램을 개인 자산에 강제로 적용(설치)할 수 있는 환경이라면 원하시는 조건으로 제어할 수 있는 보안 프로그램은 있습니다.
young_86 | 2년 이하 전
답변 감사드립니다.
확인해 보겠습니다! ^^
2번 3번 항목은 엄청 어려우면서 좋은 방법이네요 ㅎㅎ
도입하시면 정보 공유 부탁드려요!
저희는 허용된 사람들에게 한해서(기간 또는 사용신청을 통해 허용해줌) 접속허용 정책에 ip를 넣어
관리하고 있습니다.(번거롭죠..)
기존 사용하시는 F/W에 URL filtering 기능은 없으실까요?
그렇다면 google.drive.com 등 으로 손쉽게 막을 수 있습니다.
아니면 내 -> 외부로 가는 정책에 대해서
all -> google application 등을 deny로 차단하거나..
저희는 이렇게 사용중이네요.
young_86 | 2년 이하 전
기능은 있지만 잘 작동하지 않는것 같아서.. 금번에 포티로 변경하게되면 한번 웹 필터링을 진행해볼까 합니다..
다만 사내에서는 구글 드라이브 허용이라 해당 룰셋은 불필요하고
사외 접속에 대한 통제 및 구글 스트림 통제가 관건이라..
구글코리아 문의결과 엔터프라이즈으로 변경 시, 구글 드라이브에 인가된 단말기 및 IP 접근 통제가 가능하다는 답변은 전달 받았습니다.
한스텝 더 나아가 구글 스트림 제어에 관한게 될지 안될지 모르겠습니다..
ips(침입차단 ) 부분에서 특정 사이트를 분류해서
필요에 따라 사용자별 인가된 접근 권한을 줄수
있습니다 , 다른 방법은 DLP 보안 솔루션으로도 가능 합니다
방화벽은 ip, port , 내부/외부 트래픽, 보안에 따라 차단 관련 운영이고 UTM 방화벽은 라이선스에 따라 지원 할수 있겠네요
1. context aware로 가능할 거 같네요. 테스트는 안 했습니다.
https://cloudcody.com/%ec%95%a1%ec%84%b8%ec%8a%a4-%ea%b1%b0%eb%b6%80-%eb%8b%a4%ec%96%91%ed%95%9c-%ec%bb%a8%ed%85%8d%ec%8a%a4%ed%8a%b8-%ea%b0%9c%ec%84%a0%ec%82%ac%ed%95%ad-%ec%a0%9c%ea%b3%b5/
2. cloud는 ip 기반이 아닌 클라우드 ID와 ou 단위로 제어가 가능합니다.
https://cloudcody.com/%ea%b4%80%eb%a6%ac%ec%9e%a5%ec%b9%98%ea%b0%80-%ec%a1%b0%ec%a7%81%ec%9d%98-%eb%8d%b0%ec%9d%b4%ed%84%b0%ec%97%90-%ec%95%a1%ec%84%b8%ec%8a%a4-%eb%b0%a9%ec%a7%80-%ec%98%b5%ec%85%98/
3. ou 단위로 데스크탑 구글 드라이브 관리가 가능합니다.
미생 | 2년 이하 전
올려주신 부분 기반으로 제꺼에서 되나 해봤는데 개인용이라 어쩔수가 없네요 ㅠㅠ
도움말 보니 가능성은 충분해 보입니다.
https://support.google.com/a/answer/9275380?hl=ko
young_86 | 2년 이하 전
엔터프라이즈 버전으로 넘어가면 어쩌면 해결이 가능할 것 같습니다.
topkslee | 2년 이하 전
정보 공유 감사합니다.
2번은 L7 지원하는 차세대 방화벽으로 가능할 걸로 보이네요.
Google 드라이브 도메인 주소와 MAC 주소를 묶어서 허용, 차단 정책을 등록 시켜 주면 될것 같네요.
young_86 | 2년 이하 전
말씀해주신 단말기 통제(MAC) 내부에선 가능할것 같습니다.
재택근무 등 어쩔수 없이 외부에서 접속하는 경우 구글 드라이브 외부접속에 대한 접근 제어를 해야하는데 해당 부분은 NGFW로 불가능하지 않을까요?
현재 NGFW는 주니퍼 SRX1500을 사용하고 있는데, MAC 정책이 불가 및 여러 이슈들이 있어서, FortiGate 100F 모델(MAC 정책 가능)로 이번 달 내 도입 완료될 예정입니다.
일단 기본적으로 구글 드라이브를 일반 구글 계정에서 사용하실건지 Workspace로 처리하실건지가 중요해보입니다.
Workspace에서 기업형 서비스로 이용하신다면 추가적으로 어느정도의 보안조치가 추가되기 쉬운데 개인계정의 드라이브를 공유형으로 사용하신다면 이야기가 좀 달라질수가 있다고 봅니다. 개인용은 개인용의 한계가 있기 때문이기도 합니다.
사항에 따라서는 추가적으로는 구글측 영업담당이나 서비스 담당에게 기술지원 받아보시는걸 추천드리며 올려주신 글의 개략적 내용으로 볼때는 사내에 정상적으로 NAS등의 파일 서버 시스템을 구축하시는게 더 확실한 통제가 가능하지 않을까 생각됩니다.
해외에서 접속해야 하는 이슈등의 문제가 있으시다면 GCP나 AWS, Azure등으로 유사시스템이 구축 가능한지 알아보시는 방법도 있을 것으로 보입니다.
SaaS 서비스들 특성상 어느정도의 커스텀은 가능하나 그 이상의 입맛을 맞추는데는 한계가 있을 수 밖에 없습니다.
young_86 | 2년 이하 전
현재 구글 Workspace를 사용하고있습니다.
해당 문의를 파트너사(회사와 계약한 총판)와 이야기를 해보니
F/W에 대한 지식이 없어 모르겠다는 구글 내 Drive 및 Sites 방화벽 및 프록시 설정 가이드 등 답변과 서드파티 ([gControl - 3rd party 솔루션, 디바이스 제어 가능])에 대한 안내만 해주고 명확한 답변을 못 받았습니다..
별도 NAS도 계획에서 생각을 해봤지만, 현재 사용하고 있는 서비스(구글 드라이브)에 대한 변경이 어려워
구글 드라이브로 이용해야하는 상황입니다..
미생 | 2년 이하 전
해당 내용 찾아보니 서드파티 통해서 제어가능은 하도록 해주는것 같네요.
데모를 해볼 수 있다고는 하는데 직접 체험해보지 않는 이상 어려울듯 하지만 요청하신 부분에서 꽤 많은 부분이 처리 가능한듯 합니다. 근데 유저당 가격이 만만치는 않아보이네요.
안녕하세요 (주)코레이즈 입니다.
GWS <-> Okta + NGFW(F/W Application Control) + CASB 조합으로 가능하실 것 같습니다.
파일스트림은 OU별, 그룹별, 사용자별로 파일 스트림 사용 가능여부를 정할 수는 있지만,
회사 자산을 구글에서 구분할 수 있어야 하는데 좀 더 고민이 필요할 것 같습니다.
추가로 궁금하신게 있으시면 코레이즈에 문의주세요
http://www.coraise.kr