Quick Overview with 챗GPT🤖 오늘날 많은 기업이 액티브 디렉토리에서 엔트라 ID로 전환하는 ID 현대화를 추진하고 있지만, 단순한 마이그레이션 작업으로 접근해서는 안 됩니다. 레거시 위험과 비효율적인 관행을 그대로 옮기면 보안 취약점과 기술 부채도 함께 따라오기 때문입니다. 성공적인 ID 현대화를 위해서는 먼저 소스 환경을 철저히 검토하고, 연결이 끊긴 계정 삭제, GPO 정리, 액세스 권한 재설정 등 마이그레이션 전 정리 작업이 필수적입니다. 또한 대상 환경은 단일 도메인 통합, 도메인 컨트롤러 강화, 레거시 프로토콜 제거, 티어 0 자산 보호 등의 보안 조치를 통해 철저히 준비해야 합니다. 이번 포스팅에서는 ID 현대화 여정을 안전하고 효율적으로 수행하기 위한 핵심 베스트 프랙티스를 살펴봅니다. |
오늘날 많은 기업에서 마이크로소프트 ID 현대화는 전략적 필수 요소가 되고 있습니다. ID 환경이 액티브 디렉토리(Active Directory, AD)에서 엔트라 ID로 전환되면서 복잡성이 증가하고 이에 따라 보안과 사이버 회복탄력성, 규정 준수와 관련한 위험이 발생하는 경우가 많습니다. 강력한 보안 솔루션 구현도 중요하지만, 미래에 제대로 대비하기 위해서는 포괄적인 전략이 필요합니다. 도메인을 통합하든, 애플리케이션과 디바이스를 마이그레이션하든 또는 단순히 레거시 서버에서 무엇이 실행되고 있는지 파악하려고 하든, 이번 포스팅에서는 ID 현대화 여정을 효율적이고 효과적이며 안전하게 수행하는 데 참고할 베스트 프랙티스를 제시합니다.
1. AD와 ID 현대화는 단순한 마이그레이션이 아님을 인식하기
AD 현대화는 비유하자면 오랫동안 살았던 집에서 새 집으로 이사하는 것과 같습니다. 집안에는 시간이 지나면서 많은 물건이 쌓이게 되고, 충분한 시간과 강한 의지, 정리 능력이 없다면 적어도 그중 일부는 무질서하게 방치됩니다. 결과적으로 옷장이나, 다락, 차고 전체가 그야말로 ‘난장판’이 될 수 있습니다.
이사할 때 가장 피해야 할 일은 이 모든 혼란을 들어 새 집으로 그대로 옮겨 놓는 것입니다. 현명하게 이사하기 위해서는 이사하기 전에 정리를 해야 합니다. 즉, 어떤 짐이 있는지 정확히 파악해서 가지고 갈 물건을 정리하고 나머지는 모두 없애는 것입니다.
AD 현대화도 이사와 마차가지입니다. 단순히 기존 환경의 모든 요소를 대상 환경으로 (대상 환경이 또 다른 온프레미스 AD든, 애저든) 옮기는 작업이 아닙니다. 레거시 위험과 비효율적인 관행을 해결하지 않은 채 ID와 데이터, 디바이스, 애플리케이션을 클라우드로 옮기기만 하는 경우 기술 부채와 보안 위험도 그대로 따라오게 됩니다. 마이그레이션은 AD 현대화 프로젝트의 한 단계일 뿐입니다. 계획을 수립할 때 마이그레이션 전, 중, 후에 위험을 줄이고 보안 목표를 달성하는 데 초점을 맞춰야 합니다.
2. 소스 환경을 검토하고 마이그레이션할 부분을 정리하기
소스 환경을 철저히 인벤토리화하고 분석해서 그 결과를 바탕으로 문제를 정리하고 마이그레이션 범위를 정하십시오. 또한 비즈니스 요구사항과 우선순위, 기술적 프로세스와 목표를 명확히 문서화해야 합니다. 예를 들어 기업이 클라우드 우선 전략을 채택하고자 한다면 디바이스 관리를 그룹 정책 개체(group policy object, GPO)에서 인튠(Intune) 정책으로 바꿔야 할 수 있습니다.
1) 마이그레이션해야 것과 하지 말아야 할 것 구분하기
현재 AD 환경에 정확히 무엇이 존재하고 이러한 요소가 어떻게 상호 작용하며 사용되고 있는지를 평가하십시오. 충분한 시간을 투자해 소스 AD를 정리하고 마이그레이션해야 할 것과 남겨둬야 할 것을 신중히 결정하면 대상 환경의 보안을 대폭 강화할 수 있습니다. 또한 이러한 작업을 조기에 수행하면 마이그레이션 과정을 간소화하고 속도를 높일 수 있습니다.
주요 베스트 프랙티스에는 다음이 포함됩니다.
연결이 끊긴 사용자(orphaned user)와 컴퓨터 개체를 파악해 삭제합니다. 퇴사한 직원과 연결된 계정이나 더 이상 사용되지 않는 디바이스에 연결된 계정은 공격자가 쉽게 탈취할 수 있는 표적입니다. 공격자는 이를 통해 발각될 위험을 낮추면서 IT 생태계를 이리저리 탐색할 수 있습니다.
도메인 컨트롤러(domain controller, DC)를 포함한 서버에서 불필요한 애플리케이션과 사용자를 철저히 제거합니다.
모든 사용자, 디바이스, 애플리케이션, 시스템을 검토합니다. 적절한 이해관계자와 협력해 무엇을 대상 환경으로 마이그레이션하고 무엇을 남길지를 결정합니다.
2) 그룹 정책 개체(GPO) 검토하기
그룹 정책을 사용하면 특권 사용자와 권한이 많은 서버를 포함한 IT 생태계의 거의 모든 요소를 제어할 수 있습니다. 또한 그룹 정책은 매우 높은 권한을 가진 프로세스인 NT Authority\SYSTEM 하에서 동작하므로 모든 시스템이 GPO를 처리하며, 이를 막을 통제 수단도 없습니다. 따라서 그룹 정책이 올바르게 구성되어 있는지 반드시 확인해야 합니다.
기존 GPO를 그대로 마이그레이션하지 말고, 대상 환경에 필요한 정책을 신중히 평가해야 합니다. 특히 마이그레이션 전에 오래됐거나 중복되거나 충돌하는 GPO를 찾아 정리해야 합니다. 애저로 마이그레이션하는 경우 인튠 준비 상황을 평가해서 어떤 GPO가 지원되고 어떤 GPO에 새로운 구성이 필요한지 확인하십시오.
3) 적절한 액세스 권한 설정하기
최소 권한 원칙은 보안의 초석이며, 역할 기반 액세스 제어(role-based access control, RBAC)는 액세스 권한을 빠르고 정확하고 일관적으로 부여하는 검증된 방법입니다. 그러나 액세스 권한은 시간이 지나면서 통제 불능으로 확산되는 경우가 많습니다. 예를 들어 특정 프로젝트를 위해 생성된 그룹이 프로젝트 종료 후에도 제거되지 않거나, 사용자 역할이 변경됐는데 이전의 액세스 권한이 회수되지 않거나, 시스템은 폐기 단계에 들어갔는데 오래된 데이터에 대한 사용자의 액세스 권한은 그대로 방치되는 경우가 흔합니다.
깨끗한 마이그레이션 준비를 위해 적절한 리소스 소유자와 비즈니스 이해관계자가 각자의 역할과 액세스 권한을 면밀히 검토하도록 하고, 각 보안 그룹이 정확히 필요한 권한과 멤버십만을 갖도록 해야 합니다. 또한 사용자와 컴퓨터 개체에 직접적으로 부여된 액세스 권한도 확인해서 정리해야 합니다.
특히 시스템 또는 데이터에 대해 높은 액세스 권한을 가진 계정에 주의를 기울이십시오. 관리자 계정만 살펴봐서는 안 됩니다. 서비스 계정에 높은 권한이 부여되는 경우가 많고, 비즈니스 사용자에게 고도로 민감한 데이터와 시스템에 대한 액세스 권한이 부여된 상태일 수도 있습니다. 또한 모든 권한 변경은 반드시 승인되고 문서화되도록 하는 액세스 권한 관리 프로세스를 마련하는 것도 중요합니다.
3. 대상 환경 보호하기
마이그레이션할 때는 보안을 최우선으로 고려하여 대상 환경을 준비하십시오. 특히 다음 사항에 유의해야 합니다.
현대화 프로세스를 활용해 단일 포리스트 내 단일 도메인으로 통합하는 것을 고려합니다. 이 베스트 프랙티스는 중요한 보안상 이점을 제공합니다. 특권 계정 수를 즉시 줄일 수 있으며, 트러스트의 필요성을 없애고 그에 따르는 모든 복잡성과 위험도 제거할 수 있습니다.
모든 도메인 컨트롤러를 강화합니다. 이를 위해 도메인 컨트롤러가 완전히 지원되는 윈도우 서버 버전을 실행 중인지, 올바르게 구성됐는지, 최신 패치가 적용되고 불필요한 소프트웨어와 서비스가 제거된 상태인지 확인합니다.
레거시 프로토콜을 제거합니다. 오래된 프로토콜은 모든 IT 환경에서 심각한 위험 요소입니다. 예를 들어 인증 프로토콜은 IT 시스템에 액세스하려고 시도하는 사용자가 실제로 주장하는 본인이 맞는지 확인하는 수단을 제공합니다. LM, NTLM과 같은 레거시 인증 프로토콜은 케베로스(Kerberos)와 같은 최신 프로토콜에 비해 공격자가 훨씬 더 쉽게 우회할 수 있습니다.
티어 0 자산과 관련 보안 통제 수단을 완전히 파악합니다. 티어 0은 IT 환경에서 가장 중요한 자산을 의미합니다. 여기에는 도메인 컨트롤러, 특권 액세스 워크스테이션(PAW)과 같은 권한이 높은 시스템뿐만 아니라 인증, 권한 부여와 같은 핵심 서비스에 관여하는 애플리케이션도 포함됩니다. 또한 Domain Admins(도메인 관리자 그룹), Account Operators(계정 운영자 그룹) 보안 그룹과 이러한 그룹에 속한 멤버 계정 등 포리스트, 도메인, DC에 대한 직간접적 관리 권한을 가진 모든 계정과 그룹도 포함됩니다. 티어 0 자산의 수를 최소화하는 동시에 이러한 자산에 대한 액세스를 엄격히 통제하는 것이 중요합니다.
핵심 GPO, 그리고 Domain Admins와 같은 강력한 보안 그룹 등 가장 민감한 티어 0 개체에 대한 변경을 차단합니다.
이번 포스팅에서는 마이크로소프트 ID 현대화를 위한 핵심 베스트 프랙티스 중 소스 환경 정리와 대상 환경 보호 전략을 중점적으로 살펴봤습니다. 다음 2부에서는 나머지 베스트 프랙티스를 통해 더욱 완벽한 ID 현대화 전략을 완성해보겠습니다.
👉 AD 현대화 및 마이그레이션 전략 수립에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다. 😀
👉 퀘스트소프트웨어코리아 문의하기
Quick Overview with 챗GPT🤖
오늘날 많은 기업이 액티브 디렉토리에서 엔트라 ID로 전환하는 ID 현대화를 추진하고 있지만, 단순한 마이그레이션 작업으로 접근해서는 안 됩니다. 레거시 위험과 비효율적인 관행을 그대로 옮기면 보안 취약점과 기술 부채도 함께 따라오기 때문입니다. 성공적인 ID 현대화를 위해서는 먼저 소스 환경을 철저히 검토하고, 연결이 끊긴 계정 삭제, GPO 정리, 액세스 권한 재설정 등 마이그레이션 전 정리 작업이 필수적입니다. 또한 대상 환경은 단일 도메인 통합, 도메인 컨트롤러 강화, 레거시 프로토콜 제거, 티어 0 자산 보호 등의 보안 조치를 통해 철저히 준비해야 합니다. 이번 포스팅에서는 ID 현대화 여정을 안전하고 효율적으로 수행하기 위한 핵심 베스트 프랙티스를 살펴봅니다.
오늘날 많은 기업에서 마이크로소프트 ID 현대화는 전략적 필수 요소가 되고 있습니다. ID 환경이 액티브 디렉토리(Active Directory, AD)에서 엔트라 ID로 전환되면서 복잡성이 증가하고 이에 따라 보안과 사이버 회복탄력성, 규정 준수와 관련한 위험이 발생하는 경우가 많습니다. 강력한 보안 솔루션 구현도 중요하지만, 미래에 제대로 대비하기 위해서는 포괄적인 전략이 필요합니다. 도메인을 통합하든, 애플리케이션과 디바이스를 마이그레이션하든 또는 단순히 레거시 서버에서 무엇이 실행되고 있는지 파악하려고 하든, 이번 포스팅에서는 ID 현대화 여정을 효율적이고 효과적이며 안전하게 수행하는 데 참고할 베스트 프랙티스를 제시합니다.
1. AD와 ID 현대화는 단순한 마이그레이션이 아님을 인식하기
AD 현대화는 비유하자면 오랫동안 살았던 집에서 새 집으로 이사하는 것과 같습니다. 집안에는 시간이 지나면서 많은 물건이 쌓이게 되고, 충분한 시간과 강한 의지, 정리 능력이 없다면 적어도 그중 일부는 무질서하게 방치됩니다. 결과적으로 옷장이나, 다락, 차고 전체가 그야말로 ‘난장판’이 될 수 있습니다.
이사할 때 가장 피해야 할 일은 이 모든 혼란을 들어 새 집으로 그대로 옮겨 놓는 것입니다. 현명하게 이사하기 위해서는 이사하기 전에 정리를 해야 합니다. 즉, 어떤 짐이 있는지 정확히 파악해서 가지고 갈 물건을 정리하고 나머지는 모두 없애는 것입니다.
AD 현대화도 이사와 마차가지입니다. 단순히 기존 환경의 모든 요소를 대상 환경으로 (대상 환경이 또 다른 온프레미스 AD든, 애저든) 옮기는 작업이 아닙니다. 레거시 위험과 비효율적인 관행을 해결하지 않은 채 ID와 데이터, 디바이스, 애플리케이션을 클라우드로 옮기기만 하는 경우 기술 부채와 보안 위험도 그대로 따라오게 됩니다. 마이그레이션은 AD 현대화 프로젝트의 한 단계일 뿐입니다. 계획을 수립할 때 마이그레이션 전, 중, 후에 위험을 줄이고 보안 목표를 달성하는 데 초점을 맞춰야 합니다.
2. 소스 환경을 검토하고 마이그레이션할 부분을 정리하기
소스 환경을 철저히 인벤토리화하고 분석해서 그 결과를 바탕으로 문제를 정리하고 마이그레이션 범위를 정하십시오. 또한 비즈니스 요구사항과 우선순위, 기술적 프로세스와 목표를 명확히 문서화해야 합니다. 예를 들어 기업이 클라우드 우선 전략을 채택하고자 한다면 디바이스 관리를 그룹 정책 개체(group policy object, GPO)에서 인튠(Intune) 정책으로 바꿔야 할 수 있습니다.
1) 마이그레이션해야 것과 하지 말아야 할 것 구분하기
현재 AD 환경에 정확히 무엇이 존재하고 이러한 요소가 어떻게 상호 작용하며 사용되고 있는지를 평가하십시오. 충분한 시간을 투자해 소스 AD를 정리하고 마이그레이션해야 할 것과 남겨둬야 할 것을 신중히 결정하면 대상 환경의 보안을 대폭 강화할 수 있습니다. 또한 이러한 작업을 조기에 수행하면 마이그레이션 과정을 간소화하고 속도를 높일 수 있습니다.
주요 베스트 프랙티스에는 다음이 포함됩니다.
연결이 끊긴 사용자(orphaned user)와 컴퓨터 개체를 파악해 삭제합니다. 퇴사한 직원과 연결된 계정이나 더 이상 사용되지 않는 디바이스에 연결된 계정은 공격자가 쉽게 탈취할 수 있는 표적입니다. 공격자는 이를 통해 발각될 위험을 낮추면서 IT 생태계를 이리저리 탐색할 수 있습니다.
도메인 컨트롤러(domain controller, DC)를 포함한 서버에서 불필요한 애플리케이션과 사용자를 철저히 제거합니다.
모든 사용자, 디바이스, 애플리케이션, 시스템을 검토합니다. 적절한 이해관계자와 협력해 무엇을 대상 환경으로 마이그레이션하고 무엇을 남길지를 결정합니다.
2) 그룹 정책 개체(GPO) 검토하기
그룹 정책을 사용하면 특권 사용자와 권한이 많은 서버를 포함한 IT 생태계의 거의 모든 요소를 제어할 수 있습니다. 또한 그룹 정책은 매우 높은 권한을 가진 프로세스인 NT Authority\SYSTEM 하에서 동작하므로 모든 시스템이 GPO를 처리하며, 이를 막을 통제 수단도 없습니다. 따라서 그룹 정책이 올바르게 구성되어 있는지 반드시 확인해야 합니다.
기존 GPO를 그대로 마이그레이션하지 말고, 대상 환경에 필요한 정책을 신중히 평가해야 합니다. 특히 마이그레이션 전에 오래됐거나 중복되거나 충돌하는 GPO를 찾아 정리해야 합니다. 애저로 마이그레이션하는 경우 인튠 준비 상황을 평가해서 어떤 GPO가 지원되고 어떤 GPO에 새로운 구성이 필요한지 확인하십시오.
3) 적절한 액세스 권한 설정하기
최소 권한 원칙은 보안의 초석이며, 역할 기반 액세스 제어(role-based access control, RBAC)는 액세스 권한을 빠르고 정확하고 일관적으로 부여하는 검증된 방법입니다. 그러나 액세스 권한은 시간이 지나면서 통제 불능으로 확산되는 경우가 많습니다. 예를 들어 특정 프로젝트를 위해 생성된 그룹이 프로젝트 종료 후에도 제거되지 않거나, 사용자 역할이 변경됐는데 이전의 액세스 권한이 회수되지 않거나, 시스템은 폐기 단계에 들어갔는데 오래된 데이터에 대한 사용자의 액세스 권한은 그대로 방치되는 경우가 흔합니다.
깨끗한 마이그레이션 준비를 위해 적절한 리소스 소유자와 비즈니스 이해관계자가 각자의 역할과 액세스 권한을 면밀히 검토하도록 하고, 각 보안 그룹이 정확히 필요한 권한과 멤버십만을 갖도록 해야 합니다. 또한 사용자와 컴퓨터 개체에 직접적으로 부여된 액세스 권한도 확인해서 정리해야 합니다.
특히 시스템 또는 데이터에 대해 높은 액세스 권한을 가진 계정에 주의를 기울이십시오. 관리자 계정만 살펴봐서는 안 됩니다. 서비스 계정에 높은 권한이 부여되는 경우가 많고, 비즈니스 사용자에게 고도로 민감한 데이터와 시스템에 대한 액세스 권한이 부여된 상태일 수도 있습니다. 또한 모든 권한 변경은 반드시 승인되고 문서화되도록 하는 액세스 권한 관리 프로세스를 마련하는 것도 중요합니다.
3. 대상 환경 보호하기
마이그레이션할 때는 보안을 최우선으로 고려하여 대상 환경을 준비하십시오. 특히 다음 사항에 유의해야 합니다.
현대화 프로세스를 활용해 단일 포리스트 내 단일 도메인으로 통합하는 것을 고려합니다. 이 베스트 프랙티스는 중요한 보안상 이점을 제공합니다. 특권 계정 수를 즉시 줄일 수 있으며, 트러스트의 필요성을 없애고 그에 따르는 모든 복잡성과 위험도 제거할 수 있습니다.
모든 도메인 컨트롤러를 강화합니다. 이를 위해 도메인 컨트롤러가 완전히 지원되는 윈도우 서버 버전을 실행 중인지, 올바르게 구성됐는지, 최신 패치가 적용되고 불필요한 소프트웨어와 서비스가 제거된 상태인지 확인합니다.
레거시 프로토콜을 제거합니다. 오래된 프로토콜은 모든 IT 환경에서 심각한 위험 요소입니다. 예를 들어 인증 프로토콜은 IT 시스템에 액세스하려고 시도하는 사용자가 실제로 주장하는 본인이 맞는지 확인하는 수단을 제공합니다. LM, NTLM과 같은 레거시 인증 프로토콜은 케베로스(Kerberos)와 같은 최신 프로토콜에 비해 공격자가 훨씬 더 쉽게 우회할 수 있습니다.
티어 0 자산과 관련 보안 통제 수단을 완전히 파악합니다. 티어 0은 IT 환경에서 가장 중요한 자산을 의미합니다. 여기에는 도메인 컨트롤러, 특권 액세스 워크스테이션(PAW)과 같은 권한이 높은 시스템뿐만 아니라 인증, 권한 부여와 같은 핵심 서비스에 관여하는 애플리케이션도 포함됩니다. 또한 Domain Admins(도메인 관리자 그룹), Account Operators(계정 운영자 그룹) 보안 그룹과 이러한 그룹에 속한 멤버 계정 등 포리스트, 도메인, DC에 대한 직간접적 관리 권한을 가진 모든 계정과 그룹도 포함됩니다. 티어 0 자산의 수를 최소화하는 동시에 이러한 자산에 대한 액세스를 엄격히 통제하는 것이 중요합니다.
핵심 GPO, 그리고 Domain Admins와 같은 강력한 보안 그룹 등 가장 민감한 티어 0 개체에 대한 변경을 차단합니다.
이번 포스팅에서는 마이크로소프트 ID 현대화를 위한 핵심 베스트 프랙티스 중 소스 환경 정리와 대상 환경 보호 전략을 중점적으로 살펴봤습니다. 다음 2부에서는 나머지 베스트 프랙티스를 통해 더욱 완벽한 ID 현대화 전략을 완성해보겠습니다.
👉 AD 현대화 및 마이그레이션 전략 수립에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다. 😀
👉 퀘스트소프트웨어코리아 문의하기