SHIELD Edge Inbound Server 개요
1) 개발 배경 (필요성)
소프트캠프는 과거 사내 인트라넷 접속 방식으로 VPN을 주로 사용해 왔습니다. 그러나 최근 VPN의 보안 취약점, 정보 유출 위험, 복잡한 접근 통제 등 여러 문제가 대두되고 있으며, 2022년 4월 일본 경제산업성에서도 사이버 보안 강화를 위해 탈VPN을 권장한 바 있습니다.
이러한 배경 속에서 SHIELD Edge Inbound Server는 기존 VPN을 대체할 수 있는 제로 트러스트 기반의 보안 솔루션으로 개발되었습니다. 에이전트 없이도, 가상 브라우저(RBI)와 IAP(Identity-Aware Proxy)를 활용해 사내 리소스에 안전하게 접속할 수 있도록 구성된 온프레미스 서버입니다.
또한, 클라우드 상의 SHIELDGate와 연동하여 사용자 인증 및 정책 적용을 수행하며, 보다 안전하고 유연한 내부 시스템 접속 환경을 제공합니다.
2) SHIELD Edge Inbound Server 란?
SHIELD Edge Inbound Server는 SHIELDGate를 이용하여 RB 서비스를 고객의 내부 업무용 시스템(레거시 시스템 등)과 안전하게 연결해주는 IAP(Identity-Aware Proxy) 서비스를 제공하는 서버입니다.
IAP + VPN (웹브라우저 한정)
IAP의 기능
- 기본적으로는 Reverse Proxy
- https를 통한 내부 업무시스템의 외부 노출
- ZTCAP을 통하여 Policy에 의한 접근제어
- SHIELD ID가 발행한 JWT를 이용하여 인증 제어
- SHIELD ID의 웹 로그인을 통한 내부 업무시스템 Access
VPN의 기능
- 내부 업무시스템 Address를 mapping된 외부 업무시스템 Address로 변경
- SHIELD ID가 발행한 JWT를 이용한 Access구분
3) 구성도
Reverse Proxy
- 내부업무시스템을 외부에 공개
- SHIELD ID의JWT가 유효한 경우만 Access를 허가
- SHIELD ID의 Web UI를 통한 노출
- ZTCAP Policy 적용
Forward Proxy
- JWT를 이용하여 회사별로 지정된 SHIELD Edge Inbound Server로 조회 및 접속
- 내부 주소(예:
http://192.168.0.10
)가 공개된 SHIELD Edge Inbound Server의 주소로 연결 - RB를 위한Proxy
4) 처리 흐름 (SHIELDGate 에서 내부 업무시스템까지의 액세스 과정 )
단계 | 설명 |
---|---|
1️⃣ | 사용자가 SHIELDGate를 통해 로그인 및 인증 수행 |
2️⃣ | 인증 완료 후 Remote Browser(RBI) 에 접속 |
3️⃣ | RBI가 내부망 주소와 접속 요청을 IAP-Proxy에 전달 |
4️⃣ | IAP-Proxy가 JWT 정보를 기반으로 내부 IP를 외부 도메인으로 매핑 |
5️⃣ | 매핑된 외부 주소를 통해 SHIELD Edge Inbound Server에 접속 |
6️⃣ | 요청은 내부 업무 시스템으로 안전하게 전달됨 |
7️⃣ | 전체 과정은 브라우저 기반, 별도 에이전트 설치 불필요 |
8️⃣ | ZTCAP 정책과 JWT 토큰을 통해 접근 제어 수행 |