여러 iOS 장치의 GlobalProtect VPN 설정을 어떻게 관리합니까?

GlobalProtect VPN 기본 사항

GlobalProtect는 암호화 된 터널을 회사 네트워크에 설정하여 모바일 장치를 보호하는 Palo Alto Networks의 VPN 솔루션입니다. iOS 장치의 경우 사용자는 일반적으로 Apple App Store에서 GlobalProtect 앱을 설치합니다. 설치시 앱은 iOS 장치에서 VPN 프로파일 설정을 포함하는 VPN 연결을 구성합니다.

GlobalProtect 앱이 iOS에서 VPN 프로파일을 구성하려고 시도하면 사용자는 VPN 구성을 허용하라는 프롬프트가 표시되며 이러한 변경 사항을 승인하기 위해 장치 암호를 입력하도록 요청받을 수 있습니다. 구성되면 사용자는 듀오 또는 기타 인증 앱과 같은 다중 인증 인증 (MFA)과 결합 된 회사 자격 증명을 사용하여 인증합니다. GlobalProtect 앱은 VPN 터널을 유지 관리하며 언제든지 사용자가 연결하거나 분리 할 수 ​​있습니다.

여러 iOS 장치에 GlobalProtect 설정을 배포합니다

각 iOS 장치에서 GlobalProtect VPN 설정을 수동으로 구성하는 것은 대규모 배포에 비현실적입니다. MDM 솔루션을 사용한 중앙 관리 관리는 필수적이므로 관리자는 VPN 구성, 인증서 및 정책을 원격으로 푸시 할 수 있습니다. 일반적으로 사용되는 MDM 플랫폼에는 Microsoft Intune, JAMF, Meraki System Manager 등이 있습니다.

mdm을 사용하여 iOS에서 GlobalProtect를 구성합니다

MDM 솔루션을 통해 관리자는 VPN 프로파일을 생성하여 등록 된 iOS 장치에 배포 할 수 있습니다. 이러한 프로파일에는 다음이 포함됩니다.

- 포털 주소 및 게이트웨이 설정
- 인증 방법 (인증서 기반 또는 사용자 이름/비밀번호)
- 인증 증명서
- 분할 터널링, DNS 주소 및 프록시 구성과 같은 연결 매개 변수
- 특정 앱이 VPN 터널을 사용하도록 강제하기위한 앱 특정 VPN 구성

MDM을 통해 설치된 VPN 프로파일은 VPN 구성을 승인하기 위해 사용자 상호 작용의 필요성을 제거하고 설정 오류를 줄이고 보안 준수를 향상시킵니다. 또한 MDM을 통해 관리자는 네트워크 액세스, 비 활동 시간 초과 또는 자동 분리 전에 필수 VPN 연결과 같은 정책을 시행 할 수 있습니다.

인증서 관리

iOS 12부터 iOS는 GlobalProtect와 같은 앱에서 VPN 인증서 설치를 제한합니다. Apple Configurator 또는 MDM 솔루션을 사용하여 인증서를 배포해야합니다. 인증서는 보안 클라이언트 인증 및 VPN 게이트웨이를 신뢰하는 데 중요합니다.

인증서 배포 프로세스에는 일반적으로 다음이 포함됩니다.

- 인증 기관으로부터 클라이언트 인증서 생성 또는 얻기
- 클라이언트 인증서와 함께 장치에 루트 및 중간 CA 인증서 설치
- 인증서를 MDM을 통해 iOS에서 GlobalProtect VPN 프로파일과 연결

이 인증서 기반 인증은 사용자가 매번 자격 증명을 입력하지 않고도 원활하고 안전한 연결을 가능하게합니다. 인증서를 사용자 계정과 일치 시키면 인증서 갱신 및 중앙에 관리를 통한 보안을 강화할 수 있습니다.

인증 및 액세스 제어

인증 프로파일은 Palo Alto Networks GlobalProtect 포털 및 게이트웨이에서 구성됩니다. 이 프로파일은 사용자가 VPN 서비스에 인증하는 방법을 정의합니다. 옵션은 다음과 같습니다.

- 로컬 사용자 데이터베이스
- Active Directory, LDAP 또는 Radius와 같은 외부 디렉토리
- 다중 인증 인증 통합 (예 : Duo, Okta)

iOS 장치의 경우 앱을 통해 로그인하는 동안 다중 인증 인증을 시행 할 수 있으며, 여기서 사용자는 SMS 암호 또는 인증 자 앱 승인과 같은 추가 단계를 완료하라는 메시지가 표시됩니다.

액세스 정책은 장치 유형, 사용자 그룹 또는 인증서에 따라 개선 할 수 있습니다. 이를 통해 특정 VPN 기능을 제한하거나 보안 요구 사항을 충족하지 않는 장치 (예 : 인증서 누락 또는 준수 점검 실패)에 대한 VPN 액세스를 거부 할 수 있습니다.

연결 및 VPN 프로필 설정

GlobalProtect의 포괄적 인 VPN 프로필 구성 기능은 관리자가 다음을 지정할 수 있습니다.

- 분할 터널링 규칙 : VPN을 통과하는 트래픽을 정의하고 인터넷에 직접 액세스하는지 정의합니다.
-DNS 설정 : VPN에 연결된 동안 네트워크 이름을 해결하기위한 사용자 정의 DNS 서버
- 회사 정책에 필요한 경우 프록시 서버 설정
- VPN에 연결하는 장치에 할당 된 클라이언트 IP 주소 풀
- 유휴 세션을 자동으로 분리하기위한 연결 수명 및 비 활동 시간 초과

이러한 설정은 보안 및 성능의 균형을 맞추는 데 도움이됩니다. 예를 들어, 비 민감한 트래픽이 VPN 터널을 우회하여 대역폭을 보존하면서 중요한 회사 데이터 스트림을 보호합니다.

iOS 용 타사 MDMS로 GlobalProtect 관리

많은 조직에서 Microsoft Intune 또는 Meraki System Manager와 같은 타사 MDM을 사용하여 GlobalProtect의 구성을 푸시합니다. 이 솔루션은 다음과 같은 도구를 제공합니다.

- iOS 장치의 GlobalProtect 앱에 VPN 프로필을 직접 첨부하십시오.
- 등록 된 장치에서 인증서 및 인증 정책을 관리합니다
- VPN 연결을 허용하기 전에 장치 암호화, 암호 또는 앱 업데이트 요구와 같은 규정 준수 및 조건부 액세스 정책을 시행합니다.
- VPN 연결 상태를 원격으로 모니터링하고 정책을 기반으로 연결 또는 연결을 끊는 시나리오를 시행합니다.

관리자는 조직 역할 또는 부서 당 GlobalProtect VPN 설정을 조정하기 위해 장치 또는 사용자 그룹을 할당 할 수 있습니다.

문제 해결 및 모니터링

GlobalProtect VPN을 사용하여 여러 iOS 장치를 관리하려면 연결 및 보안 준수를 보장하기 위해 지속적인 모니터링이 필요합니다. Palo Alto의 관리 포털은 iOS 엔드 포인트를 포함한 연결된 장치에 대한 로그 및 상태 모니터링을 제공합니다.

일반적인 문제 해결 지점은 다음과 같습니다.

- MDM에서 성공적인 구성 푸시를 확인합니다
- 인증 성공 및 실패 로그
- 인증서가 장치에 올바르게 설치되고 유효하도록합니다.
- VPN 정책 또는 제한 준수 점검
- 분할 터널링 및 라우팅 동작 모니터링

지속적인 문제는 개별 장치에서 GlobalProtect 로그를 검토하거나 다른 게이트웨이에 대한 연결 테스트 또는 라이센스 및 포털 구성 검증이 필요할 수 있습니다.

여러 iOS 장치를 관리하기위한 단계 요약

1. MDM 솔루션을 사용하여 GlobalProtect 앱 및 VPN 프로파일을 대량 배포하십시오.
2. iOS에서 보안 인증을 위해 MDM을 통해 필요한 인증서를 배포하십시오.
3. MFA를 사용하여 GlobalProtect 포털에서 인증 프로파일을 구성하십시오.
4. 분할 터널링 및 DN을 포함한 VPN 연결 설정을 정의하고 푸시합니다.
5. 장치 준수 및 VPN 연결 상태를 중심으로 모니터링하십시오.
6. 로그 및 장치 보고서를 사용한 연결 및 인증 문제 문제 해결.
7. 필수 VPN, 비 활동 시간 초과 및 선택적 액세스와 같은 보안 정책을 시행합니다.