도메인 격리 정책 디자인

도메인 격리 정책 디자인에서는 동일한 격리된 도메인의 멤버로 인증된 디바이스에서 오는 연결만 허용하도록 네트워크의 디바이스를 구성합니다.

이 디자인은 일반적으로 기본 방화벽 정책 디자인 섹션에 설명된 대로 구성된 네트워크로 시작됩니다. 이 디자인에서는 연결 보안 및 IPsec 규칙을 추가하여 격리된 도메인의 구성원으로 인증할 수 있는 다른 디바이스의 네트워크 트래픽만 허용하도록 격리된 도메인의 디바이스를 구성합니다. 새 규칙이 구현된 후 디바이스는 격리된 도메인의 멤버가 아닌 디바이스에서 원치 않는 네트워크 트래픽을 거부합니다.

격리된 도메인은 단일 Active Directory 도메인이 아닐 수 있습니다. 포리스트의 모든 도메인 또는 포리스트 간에 양방향 트러스트 관계가 구성된 별도의 포리스트의 도메인으로 구성됩니다.

IPsec을 기반으로 하는 연결 보안 규칙을 사용하면 디바이스가 동일한 실제 네트워크 세그먼트에 연결되어 있더라도 디바이스 간에 논리적 장벽을 제공합니다.

디자인은 허용된 통신 경로를 보여 주는 화살표와 함께 다음 그림에 나와 있습니다.

격리된 도메인 경계 영역입니다.

다이어그램에 표시된 것처럼 이 디자인의 특징은 다음과 같습니다.

  • 격리된 도메인(영역 A) - 격리된 도메인의 디바이스는 격리된 도메인의 다른 멤버 또는 인증 예외 규칙에서 참조된 디바이스에서만 원치 않는 인바운드 트래픽을 수신합니다. 격리된 도메인의 디바이스는 모든 디바이스로 트래픽을 보낼 수 있습니다. 이 트래픽에는 격리된 도메인에 없는 디바이스에 대한 인증되지 않은 트래픽이 포함됩니다. Active Directory 도메인에 가입할 수 없지만 인증에 인증서를 사용할 수 있는 디바이스는 격리된 도메인의 일부가 될 수 있습니다. 자세한 내용은 인증서 기반 격리 정책 디자인을 참조하세요.

  • 경계 영역(영역 B) - 경계 영역의 디바이스는 격리된 도메인의 일부이지만 인터넷의 클라이언트와 같이 신뢰할 수 없는 디바이스의 인바운드 연결을 허용할 수 있습니다.

    경계 영역의 디바이스는 요청하지만 통신을 위해 인증이 필요하지 않습니다. 격리된 도메인의 멤버가 경계 영역 멤버와 통신하면 트래픽이 인증됩니다. 격리된 도메인에 속하지 않는 디바이스가 경계 영역 멤버와 통신하는 경우 트래픽이 인증되지 않습니다.

    경계 영역 디바이스는 신뢰할 수 없는 잠재적으로 적대적인 디바이스에서 네트워크 트래픽에 노출되므로 신중하게 관리하고 보호해야 합니다. 이 영역의 외부 디바이스에서 액세스해야 하는 디바이스만 배치합니다. 방화벽 규칙을 사용하여 도메인이 아닌 구성원 디바이스에 노출하려는 서비스에 대해서만 네트워크 트래픽이 허용되도록 합니다.

  • 신뢰할 수 있는 비 도메인 멤버(영역 C) - 도메인 구성원이 아니거나 IPsec 인증을 사용할 수 없는 네트워크의 디바이스는 인증 예외 규칙을 구성하여 통신할 수 있습니다. 이러한 규칙을 사용하면 격리된 도메인의 디바이스가 이러한 신뢰할 수 있는 비 도메인 구성원 디바이스의 인바운드 연결을 허용할 수 있습니다.

  • 신뢰할 수 없는 비 도메인 구성원(영역 D) - 조직에서 관리하지 않고 알 수 없는 보안 구성이 있는 디바이스는 조직이 비즈니스를 올바르게 수행하는 데 필요한 디바이스에만 액세스할 수 있어야 합니다. 도메인 격리는 신뢰할 수 없는 디바이스와 조직의 디바이스 간에 논리적 장벽을 두기 위해 존재합니다.

이 디자인이 구현된 후 관리 팀은 조직의 디바이스에 적용되는 방화벽 및 연결 보안 규칙을 중앙 집중식으로 관리하게 됩니다.

중요

이 디자인은 기본 방화벽 정책 디자인을 기반으로 하며 서버 격리 정책 디자인의 기초 역할을 합니다. 세 가지 모두를 배포하려는 경우 세 가지 모두에 대한 디자인 작업을 함께 수행하고 제시된 순서대로 배포하는 것이 좋습니다.

이 디자인은 Active Directory 포리스트의 일부인 디바이스에 적용할 수 있습니다. Active Directory는 연결 보안 규칙을 포함하는 그룹 정책 개체의 중앙 집중식 관리 및 배포를 제공해야 합니다.

Active Directory 도메인에 속할 수 없는 디바이스를 포함하도록 격리된 도메인을 확장하려면 인증서 기반 격리 정책 디자인을 참조하세요.

이 디자인에 대한 자세한 내용은 다음을 참조하세요.

다음: 서버 격리 정책 디자인