자료실

통합 및 현대화를 통한 AD 보안 개선


통합 및 현대화를 통한 AD 보안 개선


AD(Active Directory) 아키텍처는 사이버 위협에서 조직을 안전하게 보호하는 데 중요한 역할을 합니다. 따라서 AD 규정과 보안 요구사항이 변화하면 그 변화에 보조를 맞추는 것이 중요합니다. AD 환경이 여러 개이거나 노후화되었다면 위험을 제어하기 어렵습니다. 이런 경우에는 AD 마이그레이션과 통합으로 보안을 현대화하고 개선하는 방안을 고려하는 것이 좋습니다. 


AD는 네트워크로 연결된 환경에서 IAM(Identity and Access Management)에 사용되는 표준 아키텍처입니다. 내장된 마이크로소프트 유틸리티와 서드파티 솔루션의 조합하면 IT 인프라 전반에 걸쳐 기기와 정책, 리소스 액세스를 세밀하게 관리할 수 있습니다. 


애플리케이션, 서버, 워크스테이션을 통합하는 기업은 액세스 및 특권 정보의 출처로 흔히 AD를 사용합니다. 이 경우 적절한 보안 컨트롤의 중요성이 더욱 커집니다. 애저 AD 커넥트(Azure AD Connect), 애저 AD 클라우드 싱크(Azure AD Cloud Sync)와 같은 툴은 사용자 콘텐츠를 마이크로소프트 365 워크로드로 마이그레이션할 때 AD와 애저(Azure AD) 간의 통합을 가능하게 해주고 적절히 관리 및 보호해야 하는 부가적인 액세스 포인트를 제공합니다. 


대부분 기업은 시간이 지나면서 여러 AD 환경을 관리하게 되는데, 이로 인해 관리 및 보안 문제가 발생할 수 있습니다. 일부 기업은 처음 구축할 때 지리적인 위치 또는 사업부를 분할하거나 특권 계정을 위한 레드 포리스트(Red Forest)를 만들기 위해 복수의 AD 환경을 구성하기도 하며, 인수합병이나 기업 분할 중에 AD 환경 통합 없이 테넌트 간 통합을 수행하는 경우도 있습니다. 


다양한 환경으로 인해 직면하는 문제 

비일관적인 정책 및 관리 툴 

기업은 맞춤형 AD 정책을 보유하고 있으며, 도메인 관리에 사용하는 툴도 다양합니다. 인수합병을 진행할 때 조직은 상충하는 정책을 찾아 도메인이 성공적으로 공존할 수 있도록 개선해야 합니다. 각 도메인이 관리 및 소프트웨어 배포에 서로 다른 툴을 사용하면 불필요한 운영 오버헤드가 발생할 수 있습니다. 


여러 명의 분산된 관리자 

특권 계정은 AD 관리에 사용됩니다. 이런 계정이 잘못 사용되거나 침해되면 그 여파는 전체 포리스트와 도메인으로 퍼질 수 있습니다. 여러 AD 환경을 관리할 때는 부가적인 특권 계정으로 인해 위험이 증가합니다. 


디렉토리 동기화 및 공존 

최종 사용자에게 미치는 영향을 줄이기 위해 디렉토리 동기화 같은 공존 솔루션을 구축하는 경우가 많습니다. 일반적인 솔루션은 암호 동기화, 그룹 멤버십 동기화, 통합 GAL(Global Address List), SID(Security Identifier) 기록 및 신뢰를 통한 직접 리소스 액세스와 같은 기능을 제공합니다. 하지만 공존 솔루션은 구성하고 유지하는 데 시간이 걸리고, 계정이 침해되면 통합하는 작업이 부가적인 위험을 일으킵니다. 


레거시 AD 아키텍처의 과제 

레드 포리스트 폐기 

과거 마이크로소프트는 ESAE(Enhanced Security Admin Environment)의 관리 계정에 신뢰할 수 있는 별도의 AD 포리스트를 사용하는 레드 포리스트 보안 아키텍처를 권장했습니다. 당시 목표는 더 나은 보호를 제공하는 것이었습니다. 그러나 레드 포리스트 환경은 부가적인 오버헤드가 필요했고 늘어난 사이버 공격에 대한 면역성도 없었습니다. 그래서 마이크로소프트는 더 이상 이런 구성을 지원하지 않으며 ESAE도 폐기하고 있습니다. 


업데이트된 가이드는 제로 트러스트 원칙에 기반한 현대적인 특권 액세스 전략을 사용해 주요 AD 내의 특권 계정을 보호하고 관리한다. 마이크로소프트는 현대의 보안 권장 사항을 충족하는 데 도움이 되는 단계별 로드맵인 RAMP(Rapid Modernization Plan)도 제공합니다. 


AD의 최종 상태 결정 

통합 또는 현대화에 착수하는 기업은 먼저 AD 환경 및 관련 아키텍처의 원하는 최종 상태를 결정해야 합니다. 이런 결정을 내릴 때는 비즈니스 요구사항과 기술적 요구사항을 함께 고려해야 합니다. 


기존 AD로 통합 

일반적인 인수합병에서는 기업 디렉토리 및 관련 리소스 중 하나가 다른 디렉토리로 마이그레이션되고 이와 연결된 정책과 보안, 관리가 채택됩니다. 기존 환경으로의 통합은 다른 옵션보다 비즈니스에 미치는 영향이 적고 프로젝트 비용이 낮습니다. 


새 AD로 통합 

수정할 수 없는 불안정성이나 보안 문제를 버리고 새롭게 시작하려는 기업은 새로운 AD 환경을 구축해서 만성적이거나 해결 불가능한 문제를 해결할 수 있습니다. 새 환경으로 통합하려면 디렉토리를 처음부터 새로 설정하기 위한 부가적인 시간과 노력이 필요합니다. 또한 일정 기간 동안은 중복 인프라도 관리해야 합니다. 


애저 AD로 마이그레이션 

워크로드의 대부분을 마이크로소프트 365로 마이그레이션한 기업은 애저 AD로의 완전한 마이그레이션도 고려할 수 있습니다. 모든 사용자, 그룹, 기기가 클라우드에만 존재하게 되면 레거시 AD를 폐기할 수 있습니다. 온프레미스에 남은 레거시 리소스나 애플리케이션이 많지 않은 기업에 적합합니다. 레거시 시스템을 클라우드 전용으로 전환하기 위해서는 부가적인 시간과 노력이 필요하기 때문입니다. 


기존 포리스트 교정 

어떤 기업은 한 도메인에서 다른 도메인으로 관련된 리소스를 마이그레이션할 때의 비용이나 복잡성이 너무 커서 마이그레이션을 아예 접을 수 있습니다. 또는 규정 또는 보안 요구사항을 충족하기 위해 기존 도메인이나 포리스트 보안 경계를 그대로 유지해야 하는 경우도 있습니다. 이런 경우에는 기존 포리스트에서 보안 결함을 교정해야 합니다. 


퀘스트의 액티브 롤(Active Roles)과 같은 고급 툴은 관리 워크로드를 간소화하고 보안을 개선하는 데 도움이 될 수 있습니다. 


어디서부터 시작해야 할까요?

성공적인 AD 통합은 탐색 워크숍과 세부 환경 분석부터 시작합니다. 결과적으로 비즈니스 운영에 대한 영향을 가능한 한 최소화하면서 모든 비즈니스 요구사항과 기술적 요구사항을 충족하는 통합 계획으로 이어집니다. 


환경 탐색 

기업이 관리하는 모든 포리스트, 도메인, 하위 도메인을 파악합니다. 각각의 아키텍처 세부 사항을 문서화하면서 유사점과 차이점을 정리합니다. 


OU(Organizational Unit) 설계 

IT 관리에 가장 적합한 구조를 결정합니다. OU 이외의 필터를 통해 많은 정책과 보안 구성을 적용할 수 있으므로 사무실 또는 사업부별 분할이 더 이상 필요 없습니다. 


정책 검토 

각 환경의 정책을 비교해서 폐기할 정책과 통합 환경에 유지할 정책을 결정합니다. 특권 계정은 최소한으로 줄이고 강력한 암호 정책을 시행해 모든 계정 유형에 대한 보안을 강화합니다. 


GPO(Group Policy Object) 

데스크톱과 서버로 보안을 확장하는 것은 모든 거버넌스 정책의 마지막 단계입니다. 기존 도메인의 현재 그룹 정책을 분석하고 조정하는 것이 통합된 환경의 기본 GPO를 만들기 위한 첫 단계입니다. 


퀘스트는 중복을 차단하고 거버넌스 요구사항을 충족하면서 모범 사례를 설계하고 구현할 수 있도록 체인지 오디터(Change Auditor), GPOADmin, 리커버리 매니저(Recovery Manager)와 같은 툴을 제공합니다. 


마이크로소프트 365 통합 

많은 기업이 통합 작업과 함께 마이크로소프트 365 워크로드로 이전하고 있습니다. 리소스가 올바른 순서에 따라 이동되고 각 워크로드가 마이그레이션되는 과정에서 필수 요건을 충족 및 유지하려면 적절한 계획이 필요합니다. 거의 모든 워크로드 마이그레이션 작업을 지원하는 툴이 있습니다. 


퀘스트의 온디맨드 마이그레이션(On Demand Migration)은 계정 프로비저닝, 디렉토리 동기화, GAL 동기화, AD 및 하이브리드 환경에서 애저 AD를 비롯한 다른 환경으로의 기기 마이그레이션을 포함한 모든 AD 마이그레이션 및 통합 요건에 맞는 솔루션을 제공합니다. 


알고 계셨나요? 

대부분 AD 환경에서는 시간이 지나면서 유용한 ID 데이터와 쓸모없는 ID 데이터가 뒤섞여 누적됩니다. 장기간 관리되지 않는 AD 정보가 쌓이면 다음과 같은 결과가 발생할 수 있습니다. 


- 수동 프로세스를 제대로 따르지 않은 탓에 정보가 누락된 사용자 

- 사용자 이름, 표시 이름, 이메일 주소 등의 필드에 대해 일관적이지 않은 표준을 사용하는 다양한 IT 그룹이 포리스트와 도메인을 관리함 

- 상호 통신하지 않지만 중복된 사용자 및 그룹 정보를 집단적으로 저장하는 단절된 환경 


AD 통합은 명명 형식을 표준화하고 사용자 데이터를 정리하고 중복 항목을 제거하기 위한 기회입니다. AD 통합 및 현대화에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.




퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB