SHIELD Edge Inbound Server 개요
1) 개발 배경 (필요성)
소프트캠프는 과거 사내 인트라넷 접속 방식으로 VPN을 주로 사용해 왔습니다. 그러나 최근 VPN의 보안 취약점, 정보 유출 위험, 복잡한 접근 통제 등 여러 문제가 대두되고 있으며, 2022년 4월 일본 경제산업성에서도 사이버 보안 강화를 위해 탈VPN을 권장한 바 있습니다.
이러한 배경 속에서 SHIELD Edge Inbound Server는 기존 VPN을 대체할 수 있는 제로 트러스트 기반의 보안 솔루션으로 개발되었습니다. 에이전트 없이도, 가상 브라우저(RBI)와 IAP(Identity-Aware Proxy)를 활용해 사내 리소스에 안전하게 접속할 수 있도록 구성된 온프레미스 서버입니다.
또한, 클라우드 상의 SHIELDGate와 연동하여 사용자 인증 및 정책 적용을 �수행하며, 보다 안전하고 유연한 내부 시스템 접속 환경을 제공합니다.
2) SHIELD Edge Inbound Server 란?
SHIELD Edge Inbound Server는 SHIELDGate를 이용하여 RB 서비스를 고객의 내부 업무용 시스템(레거시 시스템 등)과 안전하게 연결해주는 IAP(Identity-Aware Proxy) 서비스를 제공하는 서버입니다.
IAP + VPN (웹브라우저 한정)
IAP의 기능
- 기본적으로는 Reverse Proxy
- https를 통한 내부 업무시스템의 외부 노출
- ZTCAP을 통하여 Policy에 의한 접근제어
- SHIELD ID가 발행한 JWT를 이용하여 인증 제어
- SHIELD ID의 웹 로그인을 통한 내부 업무시스템 Access
VPN의 기능
- 내부 업무시스템 Address를 mapping된 외부 업무시스템 Address로 변경
- SHIELD ID가 발행한 JWT를 이용한 Access구분
3) 구성도
Reverse Proxy
- 내부업무시스템을 외부에 공개
- SHIELD ID의JWT가 유효한 경우만 Access를 허가
- SHIELD ID의 Web UI를 통한 노출
- ZTCAP Policy 적용
Forward Proxy
- JWT를 이용하여 회사별로 지정된 SHIELD Edge Inbound Server로 조회 및 접속
- 내부 주소(예:
http://192.168.0.10)가 공개된 SHIELD Edge Inbound Server의 주소로 연결 - RB를 위한Proxy
4) 처리 흐름 (SHIELDGate 에서 내부 업무시스템까지의 액세스 과정 )
| 단계 | 설명 |
|---|---|
| 1️⃣ | 사용자가 SHIELDGate를 통해 로그인 및 인증 수행 |
| 2️⃣ | 인증 완료 후 Remote Browser(RBI) 에 접속 |
| 3️⃣ | RBI가 내부망 주소와 접속 요청을 IAP-Proxy에 전달 |
| 4️⃣ | IAP-Proxy가 JWT 정보를 기반으로 내부 IP를 외부 도메인으로 매핑 |
| 5️⃣ | 매핑된 외부 주소를 통해 SHIELD Edge Inbound Server에 접속 |
| 6️⃣ | 요청은 내부 업무 시스템으로 안전하게 전달됨 |
| 7️⃣ | 전체 과정은 브라우저 기반, 별도 에이전트 설치 불필요 |
| 8️⃣ | ZTCAP 정책과 JWT 토큰을 통해 접근 제어 수행 |