엔드포인트 보안과 원격 접근

최근에 약 100명의 사용자를 위한 조직의 시스템 관리자로 시작했으며, 주로 데스크탑 클라이언트와 노트북을 사용하여 사무실과 재택근무(WFH) 환경 모두에서 Citrix VDA 환경에 접속하고 있습니다(본질적으로 과도한 가격의 씬 클라이언트). 데스크탑 사용자는 자신의 집 환경에서 Citrix 클라이언트를 사용하여 회사의 VDA 환경에 접속하고 리소스에 접근하는데, IT는 이러한 엔드포인트를 볼 수 없어 우려가 제기됩니다.

우리는 Citrix를 폐기하고 사용자를 파이티 클라이언트로 이동시키며 클라우드 우선 방식을 채택할 계획입니다.

원격 접근은 사용자의 개인 집 엔드포인트 때문에 문제가 될 것이며, 단기적으로 모든 사용자를 노트북으로 전환하는 것도 선택 사항이 아닙니다.

SASE 솔루션도 매우 비싸지만 전혀 불가능한 것은 아니며, 더 저렴한 옵션을 찾고자 합니다. 현재는 NinjaOne 또는 ManageEngine 같은 MDM으로 사용자의 가정 디바이스를 강제 등록하여 보안 설정, 업데이트 등을 시행하고, 클라우드 앱에 대한 조건부 접근 정책을 구축하며 MFA를 실행하는 방안을 고려하고 있습니다.

커뮤니티와 공유하고 싶으며, 유사한 방식을 실행한 사례가 있는지, 또는 대체 방법이 있는지 알고 싶습니다. 저는 노트북 환경만 지원하는 것에 익숙하며, 데스크탑과 홈 디바이스를 함께 지원하는 것은 오랜만입니다!

우리는 BYOD를 허용하지만, 그것이 바로 Citrix를 운용하는 이유이기도 합니다.

내 사용자들은 개인 노트북을 MDM 솔루션에 등록하는 것을 결코 받아들이지 않을 것입니다.

여기서 요구하는 것을 생각해보면…

Citrix를 버리고(이해가 됩니다), 이는 사용자가 개인 디바이스에서 안전한 가상 환경에 접속할 수 있게 하는 것인데, 그러나 이용자에게 안전하게 관리되는 디바이스를 제공하지 않으려는 것 같습니다. 그러면서도 Citrix를 없애겠다는 것인데, 이것은 관리할 수 없는 개인 디바이스를 통해 네트워크에 접속하게 하는 것이고, 이는 안전하지 않다는 의미입니다.

당신이 완전히 안전하지 않은 환경을 관리하려 하고 있으며, 이에 대한 예산이 전혀 없고 보안을 기대하는 것 같습니다…

어딘가에서 환경을 보호해야 합니다… 현재는 DC에서 VDA 환경이 보호되고 있어서 각각 보호를 하고 있긴 하지만, VDA를 없애면 엔드포인트도 보호해야 합니다. 완전히 관리되지 않는 개인 디바이스의 보안은 절대 시도하지 않는 것이 좋으며, 일부 법적 제약도 있습니다. 예를 들어, 미국 내에서도 이런 행위에 제한이 있을 수 있습니다. 캘리포니아는 직원이 개인 디바이스를 업무에 사용할 경우 보상해야 한다고 요구합니다.

내 엔드포인트를 원격으로 관리하고 액세스하는 안전한 방법으로, SureMDM이 좋은 선택입니다! 이 솔루션은 보안 설정 강제, 업데이트 배포, 조건부 접근 정책 수립, 그룹 정책 할당, 원격 디바이스 접속 등을 지원하여 문제를 해결할 수 있습니다.

그들이 접속하는 리소스는 어떤 것이 있나요? 클라이언트 없는 접근이 가능한지 궁금합니다.

홈 디바이스 관리를 위해 MDM 솔루션을 검토 중이라면, Scalefusion MDM를 확인해 보세요. 다중 플랫폼 관리를 지원하며, 보안 정책 강제, 업데이트, 원격 접속 구성 도구를 제공합니다. 조건부 접근 목표에 부합하는지 테스트할 가치가 있습니다.

모바일 관리를 위해 VSA X는 강력한 MDM 옵션을 제공합니다. 클라우드 앱에 대한 조건부 접근을 구현하고 NordVPN과 같은 VPN을 사용하여 안전한 연결을 확보하세요. 사용자에게 보안, 특히 피싱 방지 교육(BullPhish ID 활용)도 중요합니다.

반드시 그렇다고 말하는 것은 아니지만, 비즈니스는 Citrix를 제거하고 싶어 하지만, 단기적으로 노트북에 투자하는 것을 원하지 않기 때문에, 홈 디바이스를 어떻게든 보호하는 방법을 정당화하려 하고 있으며, 저 자신도 이에 대해 신경 쓰지 않습니다.

대부분 클라우드 리소스와 SharePoint 등이며, 데이터는 민감하므로 조건부 접근 방식을 통해 접근을 제한하려 하고 있습니다. 따라서 VPN 연결만 허용될 가능성이 높으며, 디바이스가 MDM에서 준수 상태인지 확인 후 RDS 서버에 접속할 계획입니다.

저는 노트북이 답이라고 생각하지만, 이걸 어떻게 설득할지 고민하고 있습니다. 이사회에 1년 된 데스크탑 교체의 필요성을 설득하는 방법을 찾고 있습니다.

Kaseya 직원 정보를 찾았네요… 또 다른 계정을 통해 답변한 것 같네요.

이제는 모든 로컬 PC에 대한 관리자 권한이 없고, 관리자 계정 접근도 제한하며, 가족 구성원도 사용할 수 없게 하고, 디바이스는 회사가 관리하며 제약 정책을 시행하고, 비사업용 앱과 데이터는 삭제하고, 백신과 관리 에이전트도 배포됩니다. 업데이트 역시 강제됩니다.

이런 조치 없이는 환경이 안전하지 않습니다.

예를 들어, 10년 된 중고 노트북이 Windows XP를 구동한다면, 그것도 처리해야 하겠죠?

이 요구 사항은 가능하지만, 아무도 좋아하지 않습니다. 요구 조건이 현실적이지 않기 때문입니다. 완전히 관리되고 안전한 가상 데스크톱을 제공하거나, 관리되고 안전한 노트북/데스크탑을 제공하는 것이 정답입니다.

현재 클라이언트 디바이스에 내장된 브라우저가 있나요? 일부 SASE 공급자는 RDP를 위한 클라이언트 없는 브라우저 접속을 제공합니다. 브라우저를 사용하여 RDP로 RDS 환경에 접속하고, 필요시 리소스에 접근할 수 있습니다.

에이전트 모델로 전환하면, 더 안전한 접근 옵션도 있습니다.

Cato Networks를 비롯한 несколько 업체는 클라이언트와 클라이언트 없는 옵션을 제공합니다.

추천에 감사하며 정보를 살펴보겠습니다. SASE가 이를 실현하는 방법인 것 같지만, 견적이 대략 매달 2천 달러 규모였습니다. 그러나 핵심 논점은, 매달 2천 달러의 운영비를 지불하는 것과 아니라면 모바일 엔드포인트에 투자하는 것의 차이일 것이라고 생각합니다.

당신의 전체 범위를 알 수 없지만, 100명의 사용자와 아마도 100Mbps 데이터센터, 완전 HA SD-WAN 인프라(필요시 사설 앱/리소스 접속용)의 경우, Cato는 아마 그 절반 정도 가격일 것입니다.

전체 애플리케이션 보안(CASB/DLP)과 실시간 위협 방지(IPS, NGAM, DNS 보안 등)를 덧붙인다면(이는 기존 Citrix 배포 또는 예산에 포함되지 않은 것으로 가정), 월 2천 달러 규모의 예산이면 충분할 것입니다. 오히려 더 저렴하게도 가능할 수 있습니다. Cato는 꽤 합리적인 가격입니다.