1. 알려진 취약점을 신속하게 해결하고 강력한 인증 자격 증명을 사용하는 것으로 입증된 공급업체의 표준 기반 VPN을 선택

2. VPN 서버의 공격 면적을 줄여, VPN의 손상을 방지 및 보안 강화

    - 강력한 암호화 및 인증 구성
    - 엄격하게 필요한 기능만 실행
    - VPN에 대한 액세스 보호 및 모니터링

1. SSL/TLS VPN이라고 하는 제품 클래스를 포함하여 비표준 VPN 솔루션을 선택하지 않고, VPN에 대한 표준화된 보안 요구 사항에 대해 검증된 IKE/IPsec VPN을 권장합니다.

2. 공급업체 설명서를 주의 깊게 읽어 해당 제품이 IKE/IPsec VPN을 지원하는지 확인해야 합니다.

3. IKE/IPsec VPN을 설정할 수 없는 경우, 제품이 독점 VPN 프로토콜 또는 비표준 VPN 프로토콜에서 SSL/TLS를 사용하는지 여부를 확인해야 합니다. 가능한 경우, SSL/TLS 독점 또는 비표준 기반 VPN fallback을 사용하지 않도록 설정합니다.

4. FIPS 인증 암호화 모듈을 사용하고 승인된 암호화 알고리즘만 사용하도록 구성할 수 있는지 확인합니다.

5. 제품이 강력한 인증 정보 및 프로토콜을 지원해야 하며, 기본적으로 약한 인증 정보 및 프로토콜을 사용하지 않도록 설정했는지 확인합니다.

6. 정기적인 소프트웨어 업데이트를 통해 제품 지원 실적이 입증되었으며 알려진 취약점에 대해 신속하게 패치하는 VPN 공급업체를 선택해야 합니다.

7. 제품에 코드의 무결성을 자체 검증하고 정기적으로 코드 검증을 수행할 수 있는 방법이 있는지 확인합니다. 장치의 무결성을 검증하는 기능이 없다면 침입 감지가 불가능한 경우가 많습니다.

8. 제품에 다음과 같은 침입에 대한 보호가 포함되어 있는지 확인합니다.

    - 서명된 바이너리 또는 펌웨어 이미지의 사용
    - 실행 전 부팅 코드를 확인하는 보안 부팅 프로세스
    - 런타임 프로세스 및 파일의 무결성 검증

9. 조직의 위험 요구 사항에 대비하여 향후 기기의 추가 기능을 검토해야 합니다. 핵심 VPN 기능 보호에 중점을 두고, 추가 기능이 많지 않거나 최소한 추가 기능을 사용하지 않도록 설정할 수 있고, 기본적으로 사용하지 않도록 설정된 제품을 선택해야 합니다.

1. CNSA 제품군에 포함된 암호화 알고리즘을 사용할 것을 권장합니다.

2. 신뢰할 수 있는 서버 인증서를 사용하여 정기적으로 업데이트합니다. 자체 서명된 인증서와 와일드카드 인증서는 각각 신뢰할 수 없거나 지나치게 광범위한 범위에서 신뢰할 수 있으므로 사용을 금지합니다.

3. 가능한 클라이언트 인증서 인증을 사용합니다. 일부 VPN 솔루션은 스마트 카드와 같이 VPN에 액세스하려는 원격 클라이언트에 대해 클라이언트 인증서 인증을 지원할 수 있습니다. 이 인증은 암호를 사용하는 것보다 더 강력한 인증 형식입니다. 단, 클라이언트 인증서를 사용할 수 없는 경우에는 지원되는 다른 다중 인증 형식(2FA)을 사용하여 공격자가 손상된 암호로 인증하지 못하도록 합니다.

1. 모든 공급업체 패치 지침을 따라야 합니다.

2. 주요 업데이트 또는 취약 버전 업데이트 시 아래와 같은 사항을 고려해야 합니다.

    - VPN 사용자, 관리자 및 서비스 계정 크리덴셜 업데이트 여부
    - VPN 서버 키 및 인증서를 해지하고 새로 만드는 경우, 사용자에게 VPN 연결 정보에 대한 재배포 여부
    - 모든 계정이 원격 접근에 필요한지 확인하기 위한 계정 검토 단계

3. 포트 및 프로토콜로 VPN 장치에 대한 외부 액세스를 제한합니다.

    - IKE/IPsec VPN의 경우 UDP 포트 500 및 4500과 보안 페이로드 캡슐화만 허용합니다.

    - SSL/TLS VPN의 경우 TCP 포트 443 또는 필요한 포트 및 프로토콜만 허용합니다.

4. 웹 관리, 원격 데스크톱 프로토콜, 파일 공유와 같은 기능은 취약점이 있을 가능성이 높고 원격 액세스 VPN의 작동에는 필요하지 않기 때문에 사용하지 않도록 설정합니다.

5. VPN을 통한 관리 인터페이스 액세스를 제한합니다.

1. 원격 액세스 VPN 앞에 침입 방지 시스템을 배포하여 세션 협상을 검사하고 원치 않는 VPN 트래픽을 탐지합니다.

2. WAF를 사용합니다. TLS VPN 트래픽과 호환되는 일부 WAF는 VPN 취약점을 이용하는 웹 응용 프로그램 공격 시도를 탐지 및 차단할 수 있습니다.

3. 향상된 웹 응용 프로그램 보안을 사용합니다. 일부 원격 액세스 VPN 솔루션은 사용자의 이전 세션 정보를 악의적으로 재사용하여 인증을 우회하는 등 VPN 웹 어플리케이션에 대한 손상 시도를 방지하기 위해 향상된 웹 어플리케이션 보안 기능을 제공할 수 있습니다.

4. 적절한 네트워크 세분화 및 접근 제한을 통해 VPN으로 필요한 원격 서비스만 액세스할 수 있도록 합니다.

5. 인증 및 접근 시도, 구성 변경 등 VPN 사용자 작업을 기록하고 추적하기 위해 로컬 및 원격 로깅을 사용하도록 설정해야 합니다. 모든 로그를 지속적으로 모니터링하고 분석하여 무단 액세스, 악의적인 구성 변경, 비정상적인 네트워크 트래픽 및 기타 이상 징후를 확인해야 합니다.