Inbound Server 개요
1) 개발 배경
SHIELD Edge Inbound Server는 기존 VPN을 대체할 수 있는 제로 트러스트 기반의 보안 솔루션으로 개발되었습니다. 에이전트 없이도, 가상 브라우저(RBI)와 IAP(Identity-Aware Proxy)를 활용해 사내 리소스에 안전하게 접속할 수 있도록 구성된 온프레미스 서버입니다.
또한, 클라우드 상의 SHIELDGate와 연동하여 사용자 인증 및 정책 적용을 수행하며, 보다 안전하고 유연한 내부 시스템 접속 환경을 제공합니다.
2) SHIELD Edge Inbound Server 란?
SHIELD Edge Inbound Server는 SHIELDGate를 이용하여 RB 서비스를 고객의 내부 업무용 시스템(레거시 시스템 등)과 안전하게 연결해주는 IAP(Identity-Aware Proxy) 서비스를 제공하는 서버입니다.
IAP + VPN (웹브라우저 한정)
IAP의 기능
- 기본적으로는 Reverse Proxy
- https를 통한 내부 업무시스템의 외부 노출
- ZTCAP을 통하여 Policy에 의한 접근제어
- SHIELD ID가 발행한 JWT를 이용하여 인증 제어
- SHIELD ID의 웹 로그인을 통한 내부 업무시스템 Access
VPN의 기능
- 내부 업무시스템 Address를 mapping된 외부 업무시스템 Address로 변경
- SHIELD ID가 발행한 JWT를 이용한 Access구분
3) 구성도
Reverse Proxy
- 내부업무시스템을 외부에 공개
- SHIELD ID의JWT가 유효한 경우만 Access를 허가
- SHIELD ID의 Web UI를 통한 노출
- ZTCAP Policy 적용
Forward Proxy
- JWT를 이용하여 회사별로 지정된 SHIELD Edge Inbound Server로 조회 및 접속
- 내부 주소(예:
http://192.168.0.10)가 공개된 SHIELD Edge Inbound Server의 주소로 연결 - RB를 위한Proxy
4) 처리 흐름
예시: SHIELDGate -> 내부 업무시스템 액세스 과정
| 단계 | 설명 |
|---|---|
| 1 | 사용자가 SHIELDGate를 통해 로그인 및 인증 수행 |
| 2 | 인증 완료 후 Remote Browser(RBI) 에 접속 |
| 3️ | RBI가 내부망 주소와 접속 요청을 IAP-Proxy에 전달 |
| 4️ | IAP-Proxy가 JWT 정보를 기반으로 내부 IP를 외부 도메인으로 매핑 |
| 5️ | 매핑된 외부 주소를 통해 SHIELD Edge Inbound Server에 접속 |
| 6️ | 요청은 내부 업무 시스템으로 안전하게 전달됨 |
| 7️ | 전체 과정은 브라우저 기반, 별도 에이전트 설치 불필요 |
| 8️ | ZTCAP 정책과 JWT 토큰을 통해 접근 제어 수행 |