SingleID 인증서 인증을 활용한 SDA 캠퍼스 연계 구현

SingleID 인증서 인증을 활용한 SDA 캠퍼스 연계 구현

개요

최근 임직원들이 사무실 뿐 아니라 재택근무, 외근, 모바일 오피스 등 다양한 환경에서 업무를 수행하면서 기업 네트워크 환경도 빠르게 변화하고 있습니다. 이에 따라 네트워크 인프라도 SDN(Software-Defined Networking) 기반으로 유연하게 전환되고 있습니다.

이러한 변화 속에서 네트워크 인증에 보안성이 높고 안정적으로 사용되는 EAP-TLS 인증을 적용하기 위해서는 인증서 발급과 배포 관리가 필수적입니다. 따라서 인증서 관리까지 통합적으로 지원할 수 있는 환경이 필요합니다.

본 문서에서는 이러한 요구사항을 충족하기 위해, SingleID의 PrivateCA 를 활용하여 사용자의 인증서 배포 및 네트워크 EAP-TLS 인증을 구현하는 방안을 소개합니다.


EAP-TLS 인증이란?

네트워크에 접속 시 사용자와 서버가 서로의 신원을 안전하게 확인하는 인증 방식입니다. 사용자는 사용자 인증서를 통해 서버로부터 신원을 검증받고, 서버는 서버 인증서를 통해 사용자에게 신뢰를 제공합니다. 모든 통신 데이터는 암호화되어 전송되며, 높은 보안 수준을 제공해 민감한 정보도 안전하게 보호할 수 있습니다.

아키텍처 다이어그램

구성도
그림. SingleID PrivateCA를 활용한 SDA(Software-Defined Access) 캠퍼스 연계 아키텍처


  1. 사용자가 회사 네트워크에 접속한 뒤 공통 계정으로 로그인을 수행합니다. 이후 Cisco ISE 정책에 따라 SingleID 웹페이지가 자동으로 실행됩니다.

  2. SingleID 웹페이지에서는 인증서 배포 프로그램을 다운로드할 수 있습니다.

  3. 인증서 배포 프로그램을 실행한 후 ID와 OTP 인증을 완료하면, 단말에 CA인증서, 서버인증서, 개인 인증서가 발급되고 동시에 무선 네트워크 프로파일 정책이 함께 적용됩니다.

  4. 이후 사용자가 네트워크를 다시 연결하면, ISE를 통한 인증서 기반 인증이 수행되고, 인증서에 포함된 사용자 정보를 바탕으로 VLAN이 자동으로 할당됩니다.

  5. 연결이 완료되면, 사용자는 자신의 그룹 정책에 맞는 네트워크를 이용할 수 있습니다.

사용 사례

사용자 그룹 기반 네트워크 접근 제어

사용자 그룹에 따라 네트워크 접근 권한을 세밀하게 설정할 수 있습니다. 예를 들어, 사용자를 임직원, 협력사, 내방객으로 분류하여 각 그룹에 맞는 리소스에만 접근할 수 있도록 제한할 수 있습니다.

이를 통해 조직의 보안 정책을 준수하고, 데이터 보호 및 접근제어를 강화 할 수 있습니다. 또한, 그룹 정책을 중앙에서 관리 및 적용할 수 있어 효율적인 정책 관리가 가능합니다.

근무지 간 이동 시 동일 VLAN 지원

사용자는 사내 여러 근무지를 이동할 경우에도 동일한 VLAN을 할당 받아 일관된 네트워크 환경을 유지할 수 있습니다. 이를 통해 사용자는 별도의 설정 없이도 모든 근무지에서 동일한 네트워크 서비스와 리소스에 접근 할 수 있습니다.

위치 변경에 따른 추가 설정이 필요하지 않아 사용자 편의성이 크게 향상되며, 관리자의 네트워크 관리 효율성도 높아집니다.

인증서 인증과 인증서 배포/관리 통합

사용자가 네트워크 인증을 수행할 수 있도록 지원하며, 동시에 필요한 인증서를 자동으로 배포하고 관리합니다. 사용자는 배포된 인증서를 이용해 네트워크 인증을 수행할 수 있으며, 사용자 정보 변경 시 인증서를 재발급받으면 자동으로 변경된 네트워크 설정이 적용됩니다.

즉, 인증서 배포와 네트워크 인증, 권한 반영까지 하나의 통합 흐름으로 제공됩니다.

선결 사항

사용자 PC와 SingleID 간 네트워크 통신이 정상적으로 이루어져야 합니다. 이는 인증서 발급을 위한 필수 조건 입니다.

이 통신 경로가 확보되지 않으면 인증서 발급 프로그램에서 본인인증이 정상적으로 동작하지 않을 수 있습니다.

제약 사항

SDN(Software-Defined Networking) 장비는 Cisco ISE(Identity Services Engine)로 사용 가능합니다.

그 외 SDN 장비로 연계가 필요한 경우 사전 협의가 필요합니다.

고려 사항

인증서 주체 대체 이름에 넣은 사용자 정보에 대해서는 기술지원 담당자와 사전 협의가 필요합니다.

관련 서비스

본 가이드에서 설명하는 기능 또는 구성과 연결되는 Samsung Cloud Platform의 서비스 목록입니다. 서비스 선택 및 설계 시에 참고하세요.

서비스군서비스상세 설명
SecuritySingleID통합인증(AM), 계정관리(IM), 복합인증(MFA), 이상행위 탐지(ADM), 클라우드 접근 관리(CAM) 제공하는 보안서비스
NetworkingVPN고객 네트워크와 Samsung Cloud Platform을 암호화된 가상 전용망을 통해 연결하는 서비스
표. 관련 서비스 목록