안녕하세요
그룹웨어 이용 중인데 사내에서 사용할 경우 오피스키퍼가 작동하여 파일유출 막을 수 있는데
외부에서 사용할 경우 어떻게 하면 파일 유출을 막을 수 있는지 궁금하여 문의드립니다.
그룹웨어 외부 접속
안녕하세요
그룹웨어 이용 중인데 사내에서 사용할 경우 오피스키퍼가 작동하여 파일유출 막을 수 있는데
외부에서 사용할 경우 어떻게 하면 파일 유출을 막을 수 있는지 궁금하여 문의드립니다.
13개의 답변이 있습니다.
외부에서도 오피스키퍼가 정상적으로 설치되어 있으면 같은 정책 적용됩니다.
아마 설치 안되있거나. 정책이 다른건 아닌지요
외부에서 사용하시는 것도 오피스 키퍼가 작동합니다.
오피스 키퍼 같은 DLP 솔루션은 내외부 모두 작동 합니다.
그룹웨어가 공인ip로 되어 있을시 외부에서 접속 시 방화벽에서 Deny를 해주면 됩니다. 그러나 직원들이 급하게 사용할 경우 ssl_vpn을 통해 접속하게 하게 하면 해당 사용자가 외부 접속 이력이 남기에 추적할수 있죠
외부에서 접근 안되게 접속 허용 ip 대역 정책을 설정 하시기 바랍니다,
외부 접속시 메일 통한 파일 송신을 막고자 한다면,
그룹웨어에서 접속 IP관리를 통해
외부 IP 접속일 경우 파일 송신을 하지 못하게 막는 방법도 있을 것 같습니다.
문의주신 내용이 그룹웨어를 외부에서 접속하는 것을 차단한다는건지, 파일 유출을 막고자 하는 것인지..
일단 그룹웨어를 외부에서 접속하는 것을 차단하고 싶으면 당연히 그룹웨어를 내부에서만 사용하고 있고 방화벽에서 NAT가 되어 있지 않다면 외부에서 접속은 못할 것같습니다. 만약 NAT가 되어 있다고 한다면.. 그건 방화벽에서 정책으로 막아야 되는데. 외부의 다양한 사람들의 IP를 알수가 없으니.. 그렇게 되면 NAT를 풀고.. VPN을 사용하여 인증된 사용자를 내부에서 접속하게끔 하는게 가장 좋은 방법일 것 같습니다.
그리고 파일 유출은 완벽히 막고자 한다면 문서 중앙화 솔루션을 사용하여 문서 저장 자체를 문서중앙화 서버에 하게 하고 외부에 반출하고 싶으면 승인을 받아서 하는 수밖엔 없습니다.
그외의 DRM 같은건 일시적인 방법일 뿐이고.. 완벽하게 하고자 한다면 문서중앙화 밖에 없습니다.
아니면 망분리를 하고 PC에 USB 차단을 하고 내부에서만 작업이 가능하고 외부로 파일을 못빼게 한다고 하면 문서중앙화가 필요없겠지만. 또 그게 한두명 예외를 두고 망연계를 사용하여 파일을 외부PC로 빼게 된다면 또.. 문제가 되고.
암튼 완벽하게 하고자한다면 그룹웨어를 내부망에 완전 고립시키고, 내부에서만 사용하고 일체 외부로 망연계를 통해 내보내지 않게 하는게 좋습니다.
VPN을 써서 내부망에 들어와도 VPN 자체를 연결하는 즉시 인터넷이 끊어지게 세팅을 한다고 해도 일부 컴퓨터를 잘 아는 사람은 우회해서 내부의 자료를 외부로 뺄수 있기에 VPN도 추천드리진 않습니다.
방화벽에서 Rule등록 하여 차단 하거나 보안 솔루션으로 차단 할수 있습니다.아니면 앞단에 스팸 솔루션을 두고 첨부파일 차단 등록 하면 됩니다.
안랩 방화벽 기준으로 외부에서 그룹웨어 접속 방법을 공유하자면,
■외부(사용자 공인IP) <-> 방화벽(NAT) <-> (사설IP)그룹웨어
내용을 풀어서 설명하면, 그룹웨어는 외부에서 접근하면 안되는 시스템이므로 외부에서 접근하기 위해서는 사용자가 공인IP로 그룹웨어에 접속을 시도하면 방화벽에서 적용한 차단정책으로 접속이 되지 않습니다. 이때, 통신이 가능하려면 가설사설망(SSLVPN)을 통해 가능하므로, 접속 후 에이전트를 설치한 다음 계정에 부여된 그룹웨어에 접근가능하게 되는데 이때 접속하는 아이피는 최초 공인IP가 아닌 내부 시스템에 접근 가능한 주소로 변환되어 사설 IP가 설정된 그룹웨어에 접근가능하게 됩니다.
그래서 중요한 건 방화벽 정책 설정을 잘 설정해야합니다.
- 쌍방향 정책으로 공인IP<-> 내부 IP로 주소변환
1.사용자는 SSLVPN을 통해 시스템에 접근한다.
2.시스템 접근을 위한 에이전트를 설치한다. (최초 1회)
3.부여받은 계정으로 로그인 한다. (계정은 방화벽에서 설정가능)
4.로그인 후, 그룹웨어에 접근한다.
5.추가적으로 보안을 강화하려면 OTP를 적용할 수 있습니다.(선택)
우리 기관은 모바일 OTP를 적용하여 2차 인증으로 보안을 강화하여 사용하고 있습니다. 참고하세요.
오피스키퍼는 agent 설치해서 보안 통제하는 것으로 압니다.
내부는 agent로 통제 관리 가능하겠지만,
외부에서 그룹웨어로 다이렉트 접속하는 경우 통제가 되지 않는데요.
정보 유출 방지, 보안 강화의 목적이라면,
외부에서 다이렉트로 그룹웨어 접속하는 것을 차단하고 VPN 접속을 통해서만 허용하면
내부 사용자 처럼 되니 agent 설치 유도하게 될것 같은데요.
그룹웨어가 방화벽에 어떻게 구성되어 있는 지에 따라 설정이 달라지긴 할 거 같습니다.
그룹웨어를 외부에서 사용하지 않아도 되는거면 그룹웨어 접속자체를 외부 차단하면 될 것 같고
외부에서 접속이 되야 한다면
기본적으로는
내부->외부에 대한 데이터 유출에 대한 차단이므로 그룹웨어에서 파일 첨부 등 관련된
포트 또는 서비스 아웃바운드를 차단하면서 가능하지 않을까 싶습니다.
다른 방법이기는 한데... Officekeeper를 클라우드로 전환하는 것도 방법이긴 합니다.
저희는 클라우드를 사용하고 있어서 외부에서도 정책 적용을 받고 있습니다.
riddkdk | 3달 전
오피스키퍼 클라우드형으로 전환 시 어떻게 외부에서 정책적용을 받나요?
외부에서 그룹웨어를 사용하려고 할 경우 관련 보안 프로그램이 필수로
설치되게끔 하여 보안 솔루션 적용이 되게 하는게 일반적인 듯 싶네요.
저희가 은행 등의 시스템에 접속할 때 보안프로그램 설치가 되지 않으면
해당 서비스를 이용하지 못하게 하는 것처럼 그룹웨어에서의 접근 통제가 필요할 듯 보입니다.
외부 그룹웨어 접속 차단 및 외부 메일 발송시 팀장 승인 방법 외에는 완벽하게 막을 방법은 딱히 없어 보입니다.
어떤 솔루션을 써도 파일 소유주인 본인이 외부 메일로 발송하면 끝이니까요.
DLP 나 문서중앙화 솔루션으로 이력 정도 남기는게 최선일거 같네요.
방화벽으로 차단하는 것이 원칙이 되겠고...
외부에서 접속해서 사용해야 하는 상황이라면...
외부에서 접속하려는 컴퓨터에도 보안 솔루션을 설치해서, 해당 보안 솔루션이 설치되어 있을때만 접속을 허용하는 식으로 하거나...
아니면 DRM 솔루션처럼, 저장된 파일을 암호화하여 DRM 솔루션이 없다면 해당 문서를 사용하지 못하도록 하는 방법을 적용시켜야 할걸로 보이네요.
riddkdk | 3달 전
혹시 방화벽 차단 방법에 대해 좀 더 설명해주실 수 있으실까요???
wansoo | 3달 전
외부에서 그룹웨어에 접속하는 방법에 따라, 방화벽 장비에 따라 구체적인 설정 방법에는 차이가 있겠고요.
VPN 방식인지, 서버에 할당된 공인 IP를 이용하여 접속하는 방식인지, 포트 포워딩에 의한 방식인지, ... 등등에 따라 구체적인 설정에는 차이가 있겠고요.
기본적으로 외부에서 접속하지 못하게 방화벽에서 허용하지 않는 것이 원칙이 되지 않을까 싶고...
전체를 차단하고, 특정 주소만 허용하는 화이트 리스크 기반으로 허용하는 방식이 보안에는 유리하지 않을까 싶고요.
방화벽 장비가 ID, 계정으로 정책을 설정할 수 있다면 주어진 ID, 암호를 입력하게 해서 접근을 허용하게 한다거나, NAC 처럼 특정 보안 프로그램의 설치 여부로 정책을 설정할 수 있다면 특정 보안 프로그램의 설치 여부로 보안 정책을 설정하는 것이 좋겠고요.