NAP(네트워크 액세스 보호)는 Windows Vista®, Windows Server® 2008, Windows® 7 및 Windows Server® 2008 R2에 포함된 클라이언트 상태 정책 만들기, 적용 및 업데이트 관리 기술입니다. NAP를 사용하면 소프트웨어 요구 사항, 보안 업데이트 요구 사항, 네트워크에 연결하는 컴퓨터에 필요한 구성 설정 등을 정의하는 상태 정책을 설정할 수 있습니다.

NAP는 클라이언트 컴퓨터의 상태를 검사 및 평가하고, 클라이언트 컴퓨터가 상태 정책을 준수하지 않는 경우 네트워크 액세스를 제한하며, 클라이언트 컴퓨터에게 모든 네트워크 액세스 권한을 부여하기 전에 비규격 클라이언트 컴퓨터가 상태 정책을 준수하도록 업데이트를 관리하는 방법으로 상태 정책을 적용합니다. NAP는 네트워크에 연결하는 클라이언트 컴퓨터에 상태 정책을 적용합니다. NAP는 클라이언트 컴퓨터가 네트워크에 연결되어 있는 동안에도 계속해서 상태 준수를 적용합니다.

NAP는 인프라 및 API(응용 프로그래밍 인터페이스) 집합을 제공하는 확장 가능한 플랫폼입니다. NAP API 집합을 사용하면 컴퓨터의 상태를 검사하고, 네트워크 상태 정책을 적용하며, 상태 정책을 준수하도록 비규격 컴퓨터의 업데이트를 관리하는 구성 요소를 NAP 클라이언트와 NPS(네트워크 정책 서버)를 실행하는 서버에 추가할 수 있습니다.

NAP는 자체적으로 컴퓨터 상태를 확인하거나 업데이트를 관리하는 구성 요소를 제공하지 않습니다. SHA(시스템 상태 에이전트)와 SHV(시스템 상태 검사기)라고 하는 다른 구성 요소에서는 클라이언트 컴퓨터의 성능 상태를 검사 및 보고하고, 상태 정책과 비교하여 클라이언트 컴퓨터 상태의 유효성을 검사하며, 클라이언트 컴퓨터가 상태 정책을 준수하도록 돕는 구성 설정을 제공합니다.

WSHA(Windows 보안 상태 에이전트)는 Windows Vista 및 Windows 7에 운영 체제의 일부로 포함되어 있습니다. 이에 대응하는 WSHV(Windows 보안 상태 검사기)는 Windows Server 2008 및 Windows Server 2008 R2에 운영 체제의 일부로 포함되어 있습니다. NAP API 집합을 사용하여 다른 제품에서 NAP와 통합할 SHA 및 SHV를 구현할 수도 있습니다. 예를 들어 바이러스 백신 소프트웨어 공급업체에서 API 집합을 사용하여 사용자 지정 SHA 및 SHV를 만들 수 있습니다. 그런 다음 이러한 구성 요소를 소프트웨어 공급업체의 고객이 배포하는 NAP 솔루션에 통합할 수 있습니다.

NAP 배포를 계획하는 네트워크 또는 시스템 관리자는 운영 체제에 포함된 WSHA 및 WSHV와 함께 NAP를 배포할 수 있습니다. 또한 다른 소프트웨어 공급업체에 문의하여 자사 제품에 대한 SHA와 SHV를 제공하는지 확인할 수도 있습니다.

NAP 개요

대부분의 조직은 조직 네트워크에 배포할 수 있는 하드웨어와 소프트웨어의 종류를 규정하는 네트워크 정책을 만듭니다. 이러한 정책에는 종종 클라이언트 컴퓨터의 네트워크 연결을 허용하기 전에 클라이언트 컴퓨터를 구성하는 방법에 대한 규칙이 포함되어 있습니다. 예를 들어 많은 조직에서는 클라이언트 컴퓨터가 바이러스 백신 소프트웨어를 실행하고 최신 바이러스 백신 업데이트를 설치하도록 요구하고 조직 네트워크에 연결하기 전에 소프트웨어 방화벽을 설치 및 사용하도록 요구합니다. 조직 네트워크 정책에 따라 구성된 클라이언트 컴퓨터는 정책을 준수하는 것으로 간주되는 반면 조직 네트워크 정책에 따라 구성되지 않은 컴퓨터는 정책을 준수하지 않는 것으로 간주됩니다.

NAP에서는 NPS를 사용하여 클라이언트 컴퓨터 상태를 정의하는 정책을 만들 수 있습니다. 또한 직접 만든 클라이언트 상태 정책을 적용하고, NAP 가능 클라이언트 컴퓨터가 클라이언트 상태 정책을 준수하도록 자동으로 업데이트(즉, 업데이트 관리)할 수 있습니다. NAP는 클라이언트 컴퓨터의 상태를 계속해서 확인하여 클라이언트 컴퓨터가 조직 네트워크에 연결할 때는 정책을 준수하지만 연결된 후에는 정책을 준수하지 않는 경우가 발생하지 않도록 합니다.

NAP는 네트워크에 연결하는 컴퓨터가 조직 네트워크 및 클라이언트 상태 정책을 준수하도록 하여 클라이언트 컴퓨터와 조직 네트워크를 상호 보완적으로 보호합니다. 즉, 클라이언트 컴퓨터로부터 전달될 수 있는 컴퓨터 바이러스 같은 유해한 요소로부터 네트워크를 보호하고 또한 클라이언트 컴퓨터가 연결하는 네트워크로부터 전달될 수 있는 유해한 요소로부터 클라이언트 컴퓨터를 보호합니다.

또한 NAP 자동 업데이트 관리는 비규격 클라이언트 컴퓨터가 조직 네트워크 리소스에 액세스하지 못하는 시간을 줄여 줍니다. 자동 업데이트 관리가 구성되어 있고 클라이언트가 비규격 상태인 경우 NAP 클라이언트 구성 요소는 업데이트 관리 네트워크에 제공된 리소스를 사용하여 컴퓨터를 신속하게 업데이트할 수 있습니다. 업데이트를 통해 규격 상태가 된 클라이언트는 NPS로부터 네트워크에 연결할 수 있는 권한을 보다 빠르게 부여받을 수 있습니다.

NPS 및 NAP

NPS는 모든 NAP 적용 방법에 대해 NAP 정책 서버로 작동할 수 있습니다.

NPS를 NAP 정책 서버로 구성할 경우 NPS는 네트워크에 연결하려는 NAP 가능 클라이언트 컴퓨터가 보낸 SoH(상태 설명)를 평가합니다. 클라이언트 컴퓨터가 조직의 네트워크 정책을 준수하기 위해 구성을 업데이트할 수 있도록 하는 NAP 정책을 NPS에서 구성할 수 있습니다.

클라이언트 컴퓨터 상태

상태는 NAP에서 네트워크에 대한 클라이언트의 액세스를 허용할지 아니면 거부할지를 결정하기 위해 사용하는 클라이언트 컴퓨터에 대한 정보로 정의됩니다. 클라이언트 컴퓨터의 상태에 대한 평가는 상태 정책에서 요구하는 상태와 비교했을 때의 클라이언트 컴퓨터의 구성 상태를 나타냅니다.

상태의 평가 예는 다음과 같습니다.

  • Windows 방화벽의 작동 상태. 방화벽을 사용하고 있습니까, 아니면 사용하지 않습니까?

  • 바이러스 백신 서명의 업데이트 상태. 바이러스 백신 서명이 가장 최신의 서명입니까?

  • 보안 업데이트의 설치 상태. 클라이언트에 가장 최신 보안 업데이트가 설치되어 있습니까?

클라이언트 컴퓨터의 상태는 NAP 클라이언트 구성 요소가 발행한 SoH에 캡슐화됩니다. NAP 클라이언트 구성 요소는 클라이언트가 규격 상태이고 전체 네트워크 액세스 권한을 부여받을 수 있는지에 대한 평가를 위해 NAP 서버 구성 요소로 SoH를 보냅니다.

NAP 용어에서 컴퓨터가 정의된 상태 요구 사항을 충족하는지 확인하는 것을 상태 정책 유효성 검사라고 합니다. NPS는 NAP에 대한 상태 정책 유효성 검사를 수행합니다.

NAP 적용의 작동 방식

NAP는 클라이언트 컴퓨터의 상태를 검사하고 평가하는 클라이언트 쪽 구성 요소, 클라이언트 컴퓨터가 비규격으로 여겨지는 경우 네트워크 액세스를 제한하는 서버 쪽 구성 요소, 전체 네트워크 액세스를 위해 비규격 클라이언트 컴퓨터의 업데이트를 관리하는 클라이언트 쪽 및 서버 쪽 구성 요소를 사용하여 상태 정책을 적용합니다.

NAP의 주요 프로세스

네트워크 액세스를 보호하기 위해 NAP는 정책 유효성 검사, NAP 적용 및 네트워크 제한, 업데이트 관리 및 지속적 준수 확인과 같은 세 가지 프로세스를 사용합니다.

정책 유효성 검사

NPS를 사용하면 NAP에서 클라이언트 컴퓨터 구성을 검색, 적용 및 업데이트를 관리할 수 있도록 하는 SHV를 사용하여 클라이언트 상태 정책을 만들 수 있습니다.

WSHA 및 WSHV는 NAP 가능 컴퓨터에 대해 다음과 같은 기능을 제공합니다.

  • 클라이언트 컴퓨터에 방화벽 소프트웨어가 설치되어 있고 사용 중입니다.

  • 클라이언트 컴퓨터에 바이러스 백신 소프트웨어가 설치되어 있고 실행 중입니다.

  • 클라이언트 컴퓨터에 최신 바이러스 백신 업데이트가 설치되어 있습니다.

  • 클라이언트 컴퓨터에 스파이웨어 방지 소프트웨어가 설치되어 있고 실행 중입니다.

  • 클라이언트 컴퓨터에 최신 스파이웨어 방지 업데이트가 설치되어 있습니다.

  • 클라이언트 컴퓨터에 Microsoft Update Services가 사용하도록 설정되어 있습니다.

또한 NAP 가능 클라이언트 컴퓨터가 Windows Update 에이전트를 실행하고 있고 WSUS(Windows Server Update Services) 서버에 등록되어 있는 경우 NAP는 MSRC(Microsoft 보안 응답 센터)의 보안 심각도 등급과 일치하는 네 가지 가능한 값 중 하나를 기반으로 하여 가장 최근의 소프트웨어 보안 업데이트가 설치되어 있는지 확인할 수 있습니다.

클라이언트 컴퓨터의 성능 상태를 정의하는 정책을 만들면 NPS에서 정책의 유효성을 검사합니다. NAP 클라이언트 쪽 구성 요소는 네트워크 연결 과정 중에 NPS 서버에 SoH를 보냅니다. NPS는 SoH를 검사하고 상태 정책과 비교합니다.

NAP 적용 및 네트워크 제한

NAP는 비규격 클라이언트 컴퓨터가 네트워크에 액세스하지 못하도록 거부하거나 업데이트 관리 네트워크라는 특별히 제한된 네트워크에만 액세스하도록 허용합니다. 업데이트 관리 네트워크에서 클라이언트 컴퓨터는 소프트웨어 업데이트를 제공하는 업데이트 관리 서버에 액세스하거나 비규격 NAP 클라이언트가 상태 정책을 준수하기 위해 필요한 HRA(상태 등록 기관) 서버 등의 다른 주요 NAP 서비스에 액세스할 수 있습니다.

NPS 네트워크 정책의 NAP 적용 설정을 사용하면 NAP를 통해 네트워크 상태 정책을 준수하지 않는 NAP 가능 클라이언트 컴퓨터의 상태를 관찰하거나 네트워크 액세스를 제한할 수 있습니다.

네트워크 정책 설정을 사용하여 액세스를 제한하거나, 액세스 제한을 지연시키거나, 액세스를 허용하도록 선택할 수 있습니다.

업데이트 관리

제한된 네트워크에 액세스한 비규격 클라이언트 컴퓨터는 업데이트 관리를 받을 수 있습니다. 업데이트 관리는 클라이언트 컴퓨터가 현재 상태 정책을 충족하도록 자동으로 업데이트하는 절차입니다. 예를 들어 제한된 네트워크에는 기한이 지난 서명이 있는 비규격 클라이언트 컴퓨터의 바이러스 서명을 자동으로 업데이트하는 FTP(파일 전송 프로토콜) 서버가 있을 수 있습니다.

지속적 준수 확인

NAP는 이미 네트워크에 연결되어 있는 클라이언트 컴퓨터에 대해 상태 정책을 준수하는지 확인 및 적용할 수 있습니다. 이 기능은 상태 정책이 변경되고 클라이언트 컴퓨터의 상태가 바뀜에 따라 지속적으로 네트워크를 보호하는 데 유용합니다. 예를 들어 상태 정책에서 Windows 방화벽을 설정하도록 요구하고 관리자가 클라이언트 컴퓨터에서 실수로 방화벽을 해제한 경우 NAP는 클라이언트 컴퓨터가 비규격 상태인지 확인한 다음 조직 네트워크와 클라이언트 컴퓨터의 연결을 끊고 Windows 방화벽을 다시 설정할 때까지 클라이언트 컴퓨터를 업데이트 관리 네트워크에 연결합니다.

NPS 네트워크 정책의 NAP 설정을 사용하여 클라이언트 컴퓨터가 비규격 상태일 때 NAP 클라이언트 구성 요소가 클라이언트 컴퓨터의 업데이트를 자동으로 시도하도록 자동 업데이트 관리를 구성할 수 있습니다. NAP 적용 설정과 함께 자동 업데이트 관리도 네트워크 정책 설정에 구성됩니다.


목차