Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

JIMS 아키텍처, 워크플로우 및 기능

요약 이 섹션을 읽고 JIMS 워크플로우, 아키텍처 및 기능에 대해 알아보십시오.

JIMS 워크플로우

JIMS(Juniper Identity Management Service)를 사용하면 IP 주소 외에도 사용자 이름 및 사용자 그룹과 같은 사용자 ID 정보를 기반으로 SRX 시리즈 방화벽(주니퍼 네트웍스® vSRX 가상 방화벽 가상 방화벽 포함)에 정책을 적용할 수 있습니다. 이 서비스는 그룹 멤버십을 기반으로 IP 주소를 사용자 및 디바이스에 매핑하고 이 매핑 정보를 SRX 시리즈 방화벽에 제공합니다. (SRX 시리즈 방화벽의 사용자 그룹은 사용자 역할이라고도 합니다.) SRX 시리즈 방화벽은 매핑 정보를 사용하여 인증 테이블에 대한 항목을 생성하며, 이 항목을 사용하여 그룹 멤버십을 기반으로 사용자/디바이스 기반 보안 정책 제어를 시행할 수 있습니다.

ID 인식 방화벽 정책을 지원하기 위해 JIMS는 다음 단계를 수행합니다.

  1. Microsoft Active Directory와 통신하여 사용자 이름-그룹 매핑 정보를 검색하고 이 정보를 사용하여 각 사용자가 속한 그룹을 식별합니다.

  2. Active Directory 도메인의 Microsoft 도메인 컨트롤러 또는 Microsoft Exchange Server와 통신하여 IP 주소-사용자 이름 매핑 정보가 포함된 이벤트 로그 정보를 수집합니다. 이 서비스는 매핑 정보를 사용하여 Active Directory 및 Exchange Server에 있는 사용자의 IP 주소를 확인합니다.

  3. IP 주소, 사용자 이름 및 그룹 관계 정보를 캐시에 저장합니다. 그런 다음 서비스는 저장된 정보를 사용하여 보고서를 생성하고 적용 지점(SRX 시리즈 방화벽)에서 사용할 수 있도록 합니다.

  4. SRX 시리즈 방화벽의 규칙 베이스에 적용된 디바이스 및 사용자 기반 또는 그룹 기반 액세스 제어를 적용하는 데 사용되는 인증 항목을 생성합니다.

그림 1: JIMS 아키텍처

JIMS 수집기는 Active Directory를 사용하여 사용자, 디바이스 및 그룹 구성원의 상태 변경을 모니터링하고 이 정보를 수집합니다. 데이터 수집의 각 인스턴스 후 수집기는 자동으로 이 데이터를 JIMS 서버로 보냅니다. 이 데이터는 적용 지점을 업데이트하는 데 필요합니다.

JIMS 수집기는 다음 작업을 수행합니다.

  • 연결 대상:

    • (TCP 포트 389)를 통한 LDAP(Lightweight Directory Access Protocol) 또는 (TCP 포트 636)을 통한 LDAPS(Secure Sockets Layer)를 사용하는 디렉토리 서비스(Microsoft Active Directory).

    • (TCP 포트 135 및 동적 포트 49152 - 65535)를 통해 Microsoft RPC(원격 프로시저 호출)를 사용하는 ID 공급자(Microsoft 도메인 컨트롤러 또는 Exchange Server)

      참고:

      Microsoft Exchange Server는 Exchange Server라고도 합니다.

    • 내부 통신을 사용하는 ID 공급자(ClearPass Policy Manager 또는 CPPM, Dynamic Host Configuration Protocol 또는 DHCP, syslog 서버) syslog 서버는 TCP 및 UDP 포트 514에서 수신 syslog 메시지를 수신합니다.

    • 내부 통신을 사용하는 ID 공급자(PC 프로브)입니다. PC 프로브는 TCP 포트 135 및 동적 포트 49152-65535를 사용하여 디바이스에 아웃바운드 WMI(Windows Management Instrumentation) 요청을 보냅니다.

  • TCP 포트 443을 통해 TLS(전송 계층 보안)를 사용하여 JIMS 서버로 데이터를 보냅니다. (TCP 포트를 구성할 수 있습니다.)

적용 지점(SRX 시리즈 방화벽)은 TCP 포트 443 및 591(기본 포트)을 통해 TLS를 사용하여 JIMS 서버에 쿼리를 보냅니다.

JIMS 아키텍처

JIMS 서비스 유형

JIMS는 두 가지 서비스로 구성됩니다.

  • Collector - 사용자 및 디바이스를 IP 주소에 매핑합니다.

  • 서버(Server) - 매핑 정보와 함께 적용 지점을 제공합니다.

현재 이 두 서비스는 단일 애플리케이션과 동일한 서버에서 실행됩니다.

JIMS 서버

JIMS 서버는 디렉터리 서비스에서 불필요한 CPU 주기를 소비하지 않고 모든 적용 지점(SRX 시리즈 방화벽)에 대규모 ID 데이터를 제공합니다. 서버는 사용자, 디바이스, IP 주소 및 그룹 매핑 정보를 포함하는 JIMS 보고서의 ID 정보를 제공합니다. 각 SRX 시리즈 방화벽은 이 정보를 사용하여 사용자 방화벽 기능에서 정책을 결정합니다.

JIMS 컬렉터

JIMS 수집기는 Active Directory와 통신하여 사용자, 디바이스 및 그룹 멤버십 정보를 수집합니다. 또한 컬렉터는 각 활성 사용자 및 디바이스를 IP 주소에 매핑합니다.

또한 수집기는 syslog 서버에 연결하고 NAC(Network Access Control), DHCP(Dynamic Host Configuration Protocol), VPN 게이트웨이 또는 캡티브 포털과 같은 다른 관심 시스템에서 들어오는 데이터에 대해 작업을 수행하여 로그인 및 로그아웃 이벤트를 기록할 수 있습니다.

ID 데이터 수집

JIMS는 확장 가능하며 Microsoft Active Directory, 도메인 컨트롤러, Microsoft Exchange Server 및 syslog 서버에서 사용자 ID 데이터 수집을 인수할 수 있습니다. JIMS는 SRX 시리즈 방화벽을 위한 단일 중앙 집중식 데이터 수집 소스 역할을 합니다.

이 서비스는 사용자 ID 데이터 소스에서 수집하는 IP 주소, 사용자 이름, 디바이스 및 그룹 관계 정보가 포함된 보고서를 생성합니다.

JIMS는 다음과 같은 디렉터리 서비스 및 ID 생산자를 사용하여 ID 데이터를 수집합니다.

  • 디렉터리 서비스 - Microsoft Active Directory에서 데이터 수집

    JIMS는 각 Active Directory와 통신하여 사용자 및 디바이스에 대한 그룹 정보를 수집합니다. 이 서비스는 구성된 각 Active Directory에서 사용자 및 디바이스 정보를 쿼리합니다. 사용자에 대한 로그인 이벤트를 수신할 때마다 적절한 사용자 정보 소스를 쿼리합니다.

  • ID 생산자 - 이벤트 로그 소스에서 데이터 수집

    JIMS는 이벤트 로그 소스에 연결하여 사용자 및 디바이스 상태 이벤트를 수집하고 SRX 시리즈 방화벽에 IP 주소-사용자 이름 매핑 정보를 제공합니다. 사용자 로그인 이벤트의 경우 JIMS는 도메인 이름, 사용자 이름 및 IP 주소를 수집합니다. 디바이스 로그인 이벤트의 경우 JIMS는 도메인 이름, 시스템 이름 및 IP 주소를 수집합니다.

    이벤트 로그 원본은 하나 이상의 Active Directory 도메인 컨트롤러 또는 하나 이상의 Exchange Server일 수 있습니다. JIMS는 Active Directory 도메인 컨트롤러와 Exchange Server의 조합이 될 수 있는 이벤트 로그 소스를 구성할 수 있는 옵션을 제공합니다.

  • ID 생산자 - Syslog 소스에서 데이터 수집

    JIMS를 사용하면 syslog 클라이언트가 DHCP 서버와 같은 이벤트 소스에서 사용자 및 디바이스 정보와 같은 이벤트 데이터를 보낼 수 있습니다. JIMS 서버가 연결을 허용하는 원격 syslog 클라이언트의 IP 주소와 포트를 정의해야 합니다. 로그아웃 이벤트, 로그인 이벤트 또는 데이터 값 변경을 감지할 때마다 syslog 데이터를 수집하도록 JIMS 서버를 구성해야 합니다. JIMS 수집기는 syslog 메시지에서 디바이스, 사용자 이름 및 IP 주소 정보를 추출하고 이 정보를 그룹 멤버십에 매핑합니다. 그런 다음 컬렉터는 매핑 정보를 JIMS 보고서로 변환합니다.

  • ID 생산자 - 도메인 PC 프로빙을 사용한 데이터 수집

    PC 프로브

    고객의 도메인에 있는 디바이스의 도메인 PC 프로브를 시작하려면 JIMS가 디바이스에 액세스하기 위한 관리 자격 증명이 필요합니다. 새 IP 주소에 대한 PC 프로브의 경우 JIMS는 구성된 각 자격 증명 집합을 목록에 나타나는 순서대로 사용합니다.

    도메인 PC 검색은 이벤트 로그 읽기를 보완하는 역할을 합니다. 사용자가 도메인에 로그인하면 이벤트 로그에는 JIMS에 필요한 모든 정보가 포함됩니다. 이벤트 로그에서 IP 주소-사용자 이름 매핑 정보를 사용할 수 없는 경우 JIMS는 디바이스에 대한 도메인 PC 프로브를 시작하여 현재 활성 사용자의 사용자 이름과 도메인을 가져옵니다. 도메인 PC 프로브를 사용하여 로그인 상태가 만료된 후 디바이스 상태를 확인할 수도 있습니다. PC 프로브를 사용하는 경우 방화벽이 JIMS 서버에서 아웃바운드 WMI(Windows Management Instrumentation) 패킷을 차단하여 인터넷으로 나가는 PC 프로브 요청 및 잠재적으로 스푸핑된 IP 주소를 차단하도록 해야 합니다.

적용 지점

이전 일괄 쿼리가 IP 주소-사용자 이름 매핑 정보를 검색하지 못하면 적용 지점(SRX 시리즈 방화벽)은 다시 일괄 쿼리(보고서) 또는 IP 쿼리를 보내 JIMS 서버에서 사용자, 디바이스 및 그룹 구성원에 대한 정보를 추출합니다. 엔드포인트가 쿼리한 IP 주소가 JIMS 서버에 없는 경우 서버는 이 데이터에 대한 JIMS 수집기를 요청합니다. JIMS 수집기는 도메인 컨트롤러와 Exchange Server에 해당 레코드를 쿼리합니다. 이러한 레코드가 존재하지 않을 때, JIMS는 IP 주소에 대한 PC 프로브를 수행합니다. PC 프로브는 Microsoft Windows에서만 실행할 수 있습니다.