Identity 및 액세스 관리(IAM)란 무엇인가요?

Identity 및 액세스 관리(IAM)는 사용자 Identity(예: 구성원, 서비스, 서버)를 관리하고, 액세스 제어를 자동화하고, 전통적인 환경과 컨테이너화된 환경에서 컴플라이언스 요구 사항을 충족하는 일관된 중앙집중식 방법입니다. 실행 중인 IAM 솔루션의 한 예는 직원이 원격 작업을 위해 VPN을 사용하여 회사 리소스에 액세스하는 경우입니다.

IAM은 특히 여러 클라우드 인스턴스에서 적임자가 적합한 리소스에 올바르게 액세스할 수 있도록 하는 솔루션의 일부입니다. IAM 프레임워크는 중앙 위치에서 베어메탈, 가상, 하이브리드 클라우드, 엣지 컴퓨팅 환경 전반의 Identity를 관리하여 보안 또는 컴플라이언스 위험을 완화하는 데 필수적입니다.

IAM 방식은 온프레미스 및 클라우드 자산, 애플리케이션, 사용자나 애플리케이션 Identity 및 관리를 위해 정의된 정책 기반 데이터에 대한 액세스를 제어합니다. IAM 방식은 DevOps 라이프사이클의 전체 단계에 적용되며 무단 시스템 액세스 및 내부 이동을 차단할 수 있도록 지원합니다. 

IAM 개념에는 다음이 포함됩니다.

• 인증: 사용자, 서비스, 애플리케이션의 Identity를 확인합니다.

• Authorization: 인증된 사용자에게 특정 리소스 또는 기능에 대한 액세스 권한을 부여합니다. 

• Identity 제공업체, 암호 저장소, 하드웨어 보안 모듈(HSM): DevOps 팀이 유휴 상태 및 전송 중인 보안 자격 증명, 키, 인증서, 암호를 관리하고 보호할 수 있습니다. 

• 출처: 일반적으로 일종의 디지털 서명 또는 증명 기록을 통해 코드 또는 이미지의 Identity 또는 진위를 확인합니다.

보안 환경이 계속 발전함에 따라 IAM에 인공지능(AI), 머신 러닝(ML), 생체 인증과 같은 추가 기능도 포함될 수 있습니다.

인증은 개인의 Identity를 확인하는 프로세스입니다. 사용자 Identity(또는 디지털 Identity)는 특정 기업 데이터 또는 네트워크에 대해 구성원, 서비스 또는 IoT 기기를 인증하는 데 사용되는 일련의 정보입니다. 가장 기본적인 인증 예는 사람이 비밀번호를 사용하여 시스템에 로그인할 때 발생합니다. 시스템은 제시된 정보(비밀번호)를 점검하여 제시된 Identity를 확인할 수 있습니다.

인증 프로세스에서는 로그인 정보를 캡처할 뿐만 아니라 IT 관리자가 인프라 및 서비스 전반의 활동을 모니터링하고 관리할 수도 있습니다. 

환경의 보안을 강화하면서 사용자의 사용성을 유지할 수 있는 보안 정책을 구현하기 위한 몇 가지 접근 방식이 있습니다. 일반적인 두 가지 방식은 SSO(Single Sign-On)와 다단계 인증(MFA)입니다.

• SSO: 다양한 서비스, 기기, 서버에 액세스하려면 모두 별도의 인증이 필요합니다. SSO는 구성된 서비스에서 인증된 사용자를 확인할 수 있도록 중앙집중식 Identity 서비스를 구성합니다. 사용자는 한 번의 인증으로 다양한 서비스에 액세스할 수 있습니다.

• MFA: 액세스 권한을 부여하기 전에 Identity를 인증하는 데 여러 번 확인이 필요한 추가 보안 계층입니다. 이 방법을 사용하려면 하드웨어 토큰 및 스마트 카드와 같은 암호화 기기를 사용하거나 비밀번호, RADIUS, 비밀번호 OTP, PKINIT, 강화된 비밀번호와 같은 인증 유형을 구성하십시오.

또한 인프라 내에서 다른 툴을 사용하면 특히 사용자 인증을 효과적으로 구현하기 어려울 수 있는 복잡하거나 분산된 환경(예: 클라우드, CI/CD 파이프라인)에서 Identity를 더 쉽게 관리할 수 있습니다. 시스템 역할은 DevSecOps 환경에서 특히 유용할 수 있습니다. IT 관리자는 일관되고 반복 가능한 자동 구성 워크플로우를 통해 시간과 리소스를 절약하고 점차 배포, Identity 관리, 프로비저닝/프로비저닝 해제와 관련된 부담과 수동 작업을 줄일 수 있습니다.

인증은 서비스에 액세스하려는 사람을 확인하는 프로세스입니다. 권한 부여는 정보의 편집, 생성 또는 삭제와 같이 해당 사용자가 해당 서비스로 수행할 수 있는 작업을 정의하는 프로세스입니다. 

액세스 제어는 미리 결정된 액세스 권한을 통해 사용자 Identity를 할당하여 Identity 관리를 한 단계 더 끌어올립니다. 이러한 제어는 대부분 계정 설정 또는 사용자 프로비저닝 중에 할당되는 경우가 많으며, 제로 트러스트 모델의 기반인 '최소 권한' 사례에 따라 작동합니다.

최소 권한은 사용자에게 특정 목적(예: 특정 프로젝트 또는 태스크)에 필요한 리소스에 대한 액세스 권한만 부여하고, 필요한 작업(권한)만 수행하도록 허용합니다. 액세스 정책은 특정 리소스에 사용할 수 있는 시간을 제한할 수도 있습니다. 

예를 들어, 직원은 계약자, 파트너, 공급업체, 고객과 같은 제3자보다 더 광범위한 리소스에 액세스할 수 있는 권한을 가질 수 있습니다. 사용자에게 다른 수준의 액세스 권한이 승인된 경우 IT 관리자는 Identity 데이터베이스로 이동하여 필요에 따라 사용자를 조정할 수 있습니다.

최소 권한을 따르는 액세스 관리 시스템에는 권한 있는 액세스 관리(PAM) 및 역할 기반 액세스 제어(RBAC)가 포함됩니다. 

PAM은 가장 중요한 액세스 제어 유형입니다. 일반적으로 이러한 할당을 받는 관리자 및 DevOps 직원은 민감한 데이터에 가장 제한 없이 액세스할 수 있으며, 엔터프라이즈 애플리케이션, 데이터베이스, 시스템 또는 서버를 변경할 수 있습니다. 

RBAC 권한 부여에서는 역할 또는 사용자 컬렉션을 정의한 다음 해당 역할에 대한 권한을 업무에 따라 리소스나 기능에 부여합니다. RBAC는 액세스 권한을 일관되고 명확하게 적용하여 관리 및 온보딩을 간소화하고 점진적으로 권한이 누적되는 것을 줄입니다. RBAC는 조직 내 사용자의 역할에 따라 액세스 권한을 자동으로 할당하여 시간과 리소스를 절약하는 데 도움이 될 수 있습니다.

IAM은 애플리케이션 개발 파이프라인을 통해 내장된 보안 수준을 제공하므로 조직에 DevSecOps를 구현하는 데 중요합니다. 베어메탈 환경, 가상 환경 , 컨테이너 환경, 클라우드 환경 전반에 걸쳐 계층화된 보안 접근 방식을 생성하는 구성 요소 중 하나입니다. 

IAM 시스템이 여러 환경과 워크로드에 걸쳐 솔루션을 지원할 수 있는지 확인하는 것이 중요합니다. 여기에는 애플리케이션의 개발, 테스트, 운영, 모니터링 전반에 걸친 IAM 구현이 포함됩니다.

다양한 IAM 솔루션을 선택할 수 있으므로 기업은 다음을 통해 옵션을 좁힐 수 있습니다. 

• 특히 온프레미스와 클라우드 모두에 애플리케이션이 있는 경우 신규 시스템과 레거시 시스템에 대한 감사를 수행합니다.

• 내부 및 외부 이해관계자에 대한 보안 격차를 확인합니다.

• 사용자 유형과 유형별 액세스 권한을 정의합니다.

조직의 보안 요구 사항을 정의한 후에는 IAM 솔루션을 배포할 차례입니다. 제3사의 독립형 솔루션, 관리형 Identity 서비스 또는 클라우드 서브스크립션 서비스(예: IDaaS(Identity as a Service))를 선택할 수 있습니다.

Red Hat® Enterprise Linux®는 오픈 하이브리드 클라우드 환경에서 간소화되고 신뢰할 수 있으며 일관된 인증 환경을 제공합니다. 여기에는 전체 데이터센터에 걸쳐 확장 가능한 단일 인터페이스를 사용하여 사용자를 인증하고 RBAC를 구현할 수 있는 중앙집중식 Identity 관리(IdM) 기능이 포함됩니다.

Red Hat Enterprise Linux의 Identity 관리에서는 다음을 수행할 수 있습니다.

• Identity 관리 인프라 대폭 간소화

• PCI DSS, USGCB, STIG와 같은 현대적인 컴플라이언스 요구 사항 충족 지원 

• 무단 액세스 또는 액세스 권한 확대 위험 감소

• 매우 신속하고 확장 가능한 클라우드 및 컨테이너 지원 운영 환경을 위한 기반 조성

• 새 시스템, 가상 머신(VM), 컨테이너에 대한 액세스 제어 사전 구성

• 일상적인 운영 비용과 IT에 대한 보안 부담 감소

Red Hat Enterprise Linux의 Identity 관리는 표준 애플리케이션 프로그래밍 인터페이스(API)를 통해 Microsoft Active Directory, LDAP(Lightweight Directory Access Protocol) 및 기타 제3사 IAM 솔루션과도 통합됩니다. 또한 인증서 기반 인증 및 권한 부여 기술을 사용하여 중앙에서 서비스 인증 및 권한 부여를 관리할 수 있습니다.

Red Hat OpenShift®와 같이 상위에서 실행되는 계층형 제품은 Red Hat Enterprise Linux에서 제공하는 기본적인 자동화, 보안, 라이프사이클 관리를 통해 동일한 보안 기술을 상속하고 내장된 사이버 보안을 컨테이너 기반 애플리케이션 개발로 확장합니다.