현재 우리 조직은 모든 최종 사용자가 연결하는 SSL VPN을 사용하고 있습니다. SSL VPN과 관련된 보안 문제를 해결하기 위해 IPSec으로 전환하고 싶습니다.
목표는 psk 대신 증명서 기반 인증을 사용하고 Entra와 함께 SAML SSO도 사용하는 것입니다.
이 구성이 생산 환경에서 성공적으로 작동하는 사례가 있나요?
우리 온프레미스 ADCS에서 발급받은 증명서를 사용할 수 있나요?
이 설정에 대해 따라할 만한 좋은 가이드가 있나요?
왜 증명서와 SAML을 모두 사용하려고 하나요? 둘 중 하나를 사용하는 게 더 좋아요.
네.
기본적으로 이와 비슷하지만, 증명서 인증에 관한 문서가 충분히 존재합니다: Technical Tip: Dial-up IPsec VPN users with securi... - Fortinet Community
우리는 SSL VPN을 루프백 인터페이스를 통해 설정했어요. MFA에는 FAC를 사용합니다. 정책을 지오차단, 서비스 차단으로 설정한 후, Stark Industries와 같은 사이트에서의 로그인 시도는 차단됐습니다. 인터페이스 정책을 통해 관리하는 것이 훨씬 쉽습니다. 일부 사용자는 IPSec 사용에 문제가 있을 수 있으니, 병행해서 IPSec을 설정하고 몇몇 사용자로 파일럿 테스트하는 것도 좋습니다. IPSec의 큰 장점은 네트워크 계층에서 작동하기 때문에 속도가 빠르다는 것이며, 이는 확실한 이점입니다.