기술 지원
문서
로그인
문의하기
중앙 집중식 ID 관리 살펴보기
2021년 8월 19일 TuxCare 홍보팀
이번 글은 '나도 모르게사용하고 있는 개념' 시리즈의 두 번째 글입니다. 이번에는 ID 관리, 특히 중앙 집중식 ID 관리에 대해 설명합니다.
ID 관리란 무엇이고, IAM이 엔터프라이즈 컴퓨팅 세계에서 핵심 도구가 된 이유와 중앙 집중식 ID 관리가 조직에 어떤 이점을 제공하는지 알아보세요.
콘텐츠
어떤 식으로든 기술 환경에는 사용자를 인증할 수 있는 기능이 필요합니다. 권한이 없는 외부 사용자를 차단하는 동시에 직원들은 업무 수행에 필요한 보안 및 데이터에만 액세스할 수 있도록 해야 합니다.
사용자와 권한을 관리하는 방법에는 다양한 접근 방식이 있으며, 일부는 다른 접근 방식보다 더 체계적입니다. 복잡한 엔터프라이즈 컴퓨팅 환경에서는 사용자, 자산 및 권한을 관리하기 위한 체계적인 접근 방식이 필요하며, 이것이 바로 ID 및 액세스 관리가 발전하게 된 이유입니다.
ID 관리는 사용자, 디바이스 및 기타 리소스에 보안 ID를 할당하고 각 ID에 특정 액세스 권한을 할당하는 프레임워크입니다. 거의 모든 대규모 조직에서 ID 및 액세스 관리를 사용하여 사용자에게 권한을 부여하고 엔터프라이즈 시스템에 대한 액세스를 제어합니다.
ID 관리를 사용하면 사용자에게 권한이 있는 리소스에 대한 액세스 권한을 부여할 수 있으며, 상황에 맞게 제어된 방식으로 액세스 권한을 부여할 수 있습니다. 각 ID(또는 사용자)에는 하나 또는 여러 개의 역할이 할당되며, 이 역할은 특정 리소스 집합에 대한 액세스 권한을 부여합니다.
탈중앙화와 중앙화를 구분하는 것은 비교적 간단합니다. 탈중앙화 모델에서는 ID 관리를 위한 단일 위치가 없습니다. IAM은 다양한 환경과 애플리케이션에서 수행되며, 한 명의 사용자가 여러 ID 저장소에 여러 개의 ID를 저장할 수 있습니다.
사용자는 워크스페이스에 로그인하여 해당 단계에서 하나의 ID 공급자를 통해 인증 단계를 수행해야 하지만, 주요 애플리케이션에도 로그인해야 하며 이때 또 다른 인증 단계를 수행해야 합니다.
중앙 집중식 모델은 ID 관리를 위한 여러 센터를 없애는 대신 사용자가 단일 인증 공급업체에 로그인하면 조직 내의 모든 애플리케이션과 리소스에 ID의 액세스 권한이 전파됩니다.
실제로는 사용자가 단일 워크스페이스에 로그인하면 최초이자 유일한 로그인 이벤트에 따라 액세스가 부여되므로 다른 서비스에 다시 로그인할 필요가 없다는 의미입니다.
ID 관리에 대해 자세히 살펴보기 전에 먼저 인증의 이면에 있는 문제와 과제에 대해 간략히 살펴봅시다. 이를 통해 중앙 집중식 ID 관리가 일반적으로 적용되는 이유를 훨씬 더 잘 이해할 수 있습니다.
액세스 및 권한 가시성
규정 준수와 문제 해결의 관점에서 조직은 어떤 사용자가 어떤 리소스에 어떤 시간에 액세스할 수 있는지 알아야 합니다. 이는 애플리케이션 및 서비스와 관련된 ID에도 해당됩니다. 덜 체계적이고 분산된 ID 환경에서는 이러한 질문에 답하기가 어려울 수 있습니다.
특히, 각 애플리케이션이 사일로화된 사용자 디렉터리에 의존하는 경우 사용자 액세스 및 동작을 감사하기가 매우 어려워집니다. 엔터프라이즈 규모에서는 대부분의 조직에서 Active Directory와 같은 중앙 디렉터리를 사용하지만(Azure AD를 통해), 사용자가 조직의 기존 디렉터리 서비스와 연결되지 않는 클라우드 서비스에 가입하는 경우가 많아지면서 불투명한 권한 환경이 만들어지기도 합니다.
온보딩 및 프로비저닝 해제
신입 직원을 빠르게 온보딩하면 업무를 더 빨리 시작할 수 있지만, IT 관리자가 여러 디렉터리를 지루하게 탐색해야 하는 경우 온보딩에 많은 시간이 소요될 수 있습니다. 더 큰 문제는 일반적으로 부서 수준에서 배포되는 SaaS 앱(예: 영업용 마케팅 SaaS, 고객 서비스용 CRM SaaS)의 경우 온보딩에 IT 부서 외부에서 상당한 양의 에너지를 소비할 수 있다는 점입니다.
직원이 퇴사하는 경우 오프보딩 또는 프로비저닝 해제 작업이 어려울 수 있으며, 실제로는 불완전한 경우가 많습니다. IT 부서는 자동화된 도구를 사용하여 엔터프라이즈 리소스의 프로비저닝을 해제하는 등 필요한 작업을 수행합니다.
그러나 기능 부서에서 액세스를 관리하는 경우, 외부 당사자가 애플리케이션에 대한 액세스 권한을 유지하므로 액세스가 그대로 유지되어 조직을 위험에 빠뜨릴 수 있습니다. 한 사용자가 20개의 서로 다른 로그인을 가지고 있다면 정리 작업은 20개의 정리 작업이 되고 정리 책임은 조직 전체에 분산됩니다.
일관된 액세스
분산되고 사일로화된 사용자 디렉터리에서는 디렉터리가 완전히 동기화되지 않는 또 다른 문제가 발생합니다. 사용자는 일부 애플리케이션에는 액세스할 수 있지만 다른 애플리케이션에는 액세스할 수 없게 됩니다.
예를 들어, 클라우드와 온프레미스 애플리케이션 간에 격차가 발생할 수 있으며, 원격 근무자는 오프사이트 위치로 인해 연결이 끊어져 업무에 필요한 모든 것에 액세스할 수 없게 될 수 있습니다.
사용자 행동 및 사용자 피로도
마지막으로, ID 관리와 관련된 가장 큰 과제는 사용자 행동에 관한 것입니다. 사용자가 다양한 로그인 지점에 대해 강력하고 고유한 비밀번호를 사용하도록 하는 것은 쉽지 않은 일입니다. 사용자가 점점 더 많은 자격 증명을 사용하게 되면 보안 위험이 증가합니다. 사용자는 추측하기 쉬운 비밀번호를 선택하고 여러 서비스에서 비밀번호를 재사용할 가능성이 높기 때문입니다.
또한 사용자들은 끝없이 나열된 사용자 이름과 비밀번호를 일일이 기억해야 하는 번거로움과 서비스마다 로그인과 로그아웃을 반복해야 하는 번거로움에 지치게 됩니다. 심지어 사용자가 사용할 수 있는 서비스를 덜 사용하게 될 수도 있습니다.
ID 및 액세스 관리는 조직에게 많은 과제를 안겨줍니다. ID 관리에 대해 보다 중앙 집중화된 접근 방식을 취하면 이러한 많은 문제를 해결할 수 있지만 중앙 집중식 접근 방식에는 몇 가지 단점도 있습니다.
중앙 집중식 ID 관리의 사용 편의성 이점
사용자에게 단일 로그인으로 모든 엔터프라이즈 서비스에 액세스할 수 있는 기능을 제공하면 어떤 이점이 있는지 쉽게 알 수 있습니다. 직원들은 단 하나의 자격 증명만 기억하면 되고, 애플리케이션 전반에서 인증이 자동으로 이루어지므로 리소스에 액세스하기 위해 로그인 이벤트를 지속적으로 수행할 필요가 없습니다.
중앙 집중식 ID 관리는 액세스 관리와 관련된 많은 사용상의 불편함을 없애고 결과적으로 직원들이 액세스 제어를 우회하려는 유혹을 줄여 보안을 강화합니다.
관리 및 보안 혜택
온보딩과 프로비저닝 해제가 한 단계로 이루어지고 조직 전체에 걸쳐 하나의 ID 저장소만 있으면 되므로 관리도 훨씬 쉬워집니다. 설정 시 사용자에게 부여된 모든 리소스에 대한 액세스 권한이 즉시 부여되며, 퇴사 시 직원의 액세스 권한이 전면적이고 포괄적으로 축소됩니다.
모든 리소스에서 액세스를 승인하는 하나의 ID로 강력한 비밀번호와 다단계 인증을 적용하는 것이 훨씬 쉬워지므로 중앙 집중식 ID 관리를 통해 정책 적용도 개선됩니다.
실제로 단일 ID는 모든 리소스와 애플리케이션에 필요한 생체 인식 및 물리적 토큰과 같은 방탄 인증 메커니즘을 사용할 수 있는 길을 열어줍니다.
표준화에 기반한 오케스트레이션
중앙 집중식 ID 관리는 표준 기반입니다. 예를 들어, 많은 클라우드 공급업체가 OAuth 2.0을 사용하며, Google은 이 프로토콜을 사용하여 Google 클라우드 앱과 타사 앱 전반에서 인증 및 권한 부여를 지원합니다.
다른 중앙 집중식 ID 표준은 다양한 기능 세트를 지원합니다. 예를 들어, openLDAP는 디렉터리 서비스 역할을 하는 반면 OpenID는 인증에 중점을 둡니다.
중앙 집중식 ID 관리 솔루션의 핵심 중 하나는 조직이 높은 수준의 보안을 유지하면서 유동적인 최첨단 기술 아키텍처를 구축할 수 있는 기능을 제공한다는 점이며, 이는 내재된 표준화를 통해 이루어집니다.
따라서 좋은 IAM 솔루션은 다양한 클라우드 기반 서비스 및 리소스와 긴밀하게 통합하여 병목 현상을 제거합니다. 따라서 분산형 ID 관리에서는 불가능한 오케스트레이션 기능 측면에서도 중앙 집중식 ID 관리를 고려할 가치가 있습니다.
중앙 집중식 ID 관리의 단점
중앙 집중식 접근 방식의 장점은 분명하지만 중앙 집중식 계정 관리에는 단점도 있으며, 단일 계정 저장소에는 몇 가지 단점이 있습니다.
가장 우려되는 단점은 하나의 ID와 하나의 자격증명 세트에만 의존하면 단일 장애 지점이 발생한다는 것입니다. 공격자가 이 단일 인증 지점을 손상시킬 수 있다면 공격자는 자동으로 조직 전체에서 사용자가 액세스할 수 있는 모든 리소스에 액세스할 수 있게 됩니다. 하지만 이 단일 ID에 대한 강력한 인증 프로토콜을 사용하면 이러한 위험을 완화할 수 있습니다.
중앙 집중식 ID 관리의 또 다른 문제는 애플리케이션 통합이 어려울 수 있다는 점인데, 특히 클라우드 호스팅 앱 옆에 레거시 애플리케이션과 온-프레미스 애플리케이션이 혼재되어 있는 경우 더욱 그렇습니다. 단일 레거시 앱이 IAM 표준에 연결되지 않거나 통합 및 사용자 지정이 옵션이 아닌 경우, 즉시 추가 ID 세트가 필요합니다.
기본 애플리케이션 아키텍처가 변경되면 예기치 않은 인증 문제가 발생하여 수천 명의 사용자가 갑자기 주요 리소스에서 연결이 끊어질 수도 있습니다.
RBAC와의 상호 작용
중앙 집중식 ID 관리는 원활한 역할 기반 액세스 제어를 위한 원활한 역할 기반 액세스 제어(RBAC). 조직은 RBAC를 통해 특정 직무에 맞게 다양한 정책을 설정하여 조직 내 직원의 역할에 따라 어떤 액세스 권한이 있는지 지정할 수 있습니다.
그런 다음 이러한 정책은 중앙 집중식 ID 및 액세스 관리 플랫폼에 게시되며, 이 플랫폼은 RBAC 정책에 지정된 매개변수를 기반으로 액세스 및 ID 관리를 자동화하는 단일 제어 지점을 제공합니다.
마지막으로, 중앙 집중식 ID 관리에는 매우 강력한 감독이 필요하다는 점을 이해하는 것이 중요합니다. 이를 설정하려면 포괄적인 설계 및 계획 프로세스와 함께 아키텍처적 접근 방식이 필요합니다.
제대로 구조화되지 않은 중앙 ID 저장소는 결국 목적에 맞지 않게 될 수 있습니다. 마찬가지로, 중앙 집중식 ID 관리 도구 세트는 유연성과 미래를 염두에 두고 설계해야 사용자가 여러 ID를 관리해야 하는 상황에 처하지 않을 수 있습니다.
보안은 또 다른 관심사입니다. 보안은 엄격한 제어와 강력하게 시행되는 정책을 통해서만 유지될 수 있기 때문에 CISO는 IAM 솔루션의 거버넌스에 긴밀하게 관여합니다. 실제로 C레벨 IT 직원은 중앙 집중식 ID 관리의 설정과 사용을 안내하는 동시에 규정 준수를 보장하고 잠재적인 위험을 발견하기 위해 지속적으로 모니터링하는 데 긴밀히 관여합니다.
점점 더 클라우드 중심이 되어가는 세상에서 중앙의 안전한 ID 저장소는 조직이 일관된 보안 표준을 적용하면서 기술 자산 전체에 애플리케이션을 유동적으로 배포할 수 있도록 하는 중요한 이점을 제공합니다.
조직에서 최첨단 클라우드 앱을 사용하는 경우, 회사의 클라우드 생산성 소프트웨어와 함께 제공되는 기본 선택 사항일지라도 이미 IAM 공급업체의 소프트웨어를 사용하고 있을 가능성이 높습니다.
그럼에도 불구하고 중앙 집중식 계정 관리에는 몇 가지 유의해야 할 과제가 있는데, 가장 중요한 것은 단일 장애 지점이라는 약점입니다. 하나의 ID가 모든 액세스의 기반이 되므로 이를 면밀히 제어하고 모니터링해야 합니다.
그러나 조직이 강력한 인증 방법을 사용하는 한 중앙 집중식 ID 관리의 이점이 단점보다 훨씬 크며, 중앙 집중식 접근 방식을 사용하면 훨씬 더 일찍 ID를 관리할 수 있습니다.
