자료실

애저 AD 통합의 5가지 과제



애저 AD 통합의 5가지 과제


클라우드로 가는 길은 복잡성과 위험, 비효율성으로 가득합니다. 적절히 구현하고 관리하지 않으면 액티브 디렉토리(Active Directory, AD) 관리자와 사용자에게 여러 문제가 발생합니다. 애저 AD(Azure AD) 통합을 시도하는 기업은 먼저 다음 5가지의 까다로운 과제를 해결해야 합니다.  


1. 이질적인 툴

시스템에 제공되는 AD 툴(ID 및 액세스 관리를 돕기 위한 용도)은 기능이 제한적입니다. 대부분 기업은 AD 관리 작업을 능률화, 자동화하고 일관성을 부여하기 위해 서드파티 툴 도입의 필요성에 직면하는데, 기업이 애저 AD 통합을 목표로 하는 경우 상황은 더 악화됩니다. 애저 AD는 기본적인 관리 작업에도 자체적인 툴을 필요로 하기 때문입니다. 온프레미스 AD만으로도 이미 번거로운데 애저 AD로 복제까지 해야 하는 상황에서는 그 작업이 두 배로 늘어납니다.


2. 일관적이지 않은 수동 프로세스

수동 프로세스에 의존할 수밖에 없는 상황에 처하면 하이브리드 AD 환경의 복잡함에 어려움을 겪는 바쁜 기업들은 가능한 수준에서 최선의 노력을 하는 정도로 타협하는 것이 보통입니다. 시간에 쫓기는 상황 때문에 작업을 ‘일단 완료하는’ 나쁜 습관으로 이어지는 경우가 많습니다. 또 최대한 신속하게 작업을 완료해야 할 필요성으로 인해 프로세스를 비일관적으로 사용하게 되는데, 이는 동기화 오류라는 결과를 일으킵니다. 하이브리드 AD 환경에서 흔히 볼 수 있는 일관적이지 않은 영역은 다음과 같습니다.


- AD와 애저 AD에도 모두 그룹 멤버십을 작업 역할과 정렬

- 프로비저닝 작업을 위한 사업부 승인

- 개별 관리자에게 적절한 권한 부여(최소 권한 관리 모델)

- 특정 작업을 위한 손쉽게 반복할 수 있는 프로세스 설계


애저 AD는 AD의 클라우드 복사본이 아닙니다. 따라서 일관성이라는 것은 파워셸 스크립트 워크플로우처럼 온프레미스 AD 워크플로우를 잘라 클라우드에 붙여 넣는 것이 아닙니다. 애저 AD 통합을 제대로 수행하기 위해서는 워크플로우가 AD 및 애저 AD의 고유한 요구사항을 모두 처리하도록 해야 합니다.


3. 프로비저닝

AD/애저 AD 관리가 부담되는 이유는 대부분 사용자 프로비저닝 때문입니다(디렉토리에 계정을 설정하고 사람들을 올바른 그룹에 배치하고 적절한 계정과 필요한 모든 애플리케이션에 대한 액세스 권한을 갖도록 하는 작업 등). 그러나 계정을 끄는 것(디프로비저닝)은 계정 설정과는 별개의, 어쩌면 더 중요한 문제입니다. 가치 있는 지적 재산에 대한 퇴사 직원의 접근 권한을 그대로 유지하는 것은 극도로 위험하기 때문입니다.


4. 동기화 문제

애저 AD에는 애저 AD 커넥트(Azure AD Connect)라는 기능이 있습니다. 이 기능은 온프레미스 AD에서 애저 AD로 사용자, 그룹, 속성 및 비밀번호를 동기화합니다. 애저 AD 커넥트 하나만으로 오피스 365 도입을 대폭 확산할 정도입니다. 오피스 사용자를 클라우드로, 사용자가 인식하지 못하는 사이 매끄럽게 마이그레이션할 수 있기 때문입니다. 애저 AD 커넥트는 사용자가 한 번 로그인헤서 온프레미스와 클라우드 기반 리소스에 쉽고 단절 없이 접근할 수 있게 해줍니다. 물론 이처럼 원활한 마이그레이션은 말처럼 쉽지 않습니다.


일반적으로 클라우드 기반 액세스에 대한 보안은 온프레미스 AD 환경에 설정된 권한과 멤버십을 기반으로 합니다. 온프레미스 AD에 존재하는 모든 오류와 위험 인자 또는 보안 공백은 애저 AD 환경으로 복제됩니다. 예를 들어, AD에 ‘재무’ 그룹이 있다고 가정해 봅시다. 직원 B가 휴가를 떠나는 동안 역할을 대신할 직원 A를 재무 그룹에 추가했습니다. 그러나 직원 B가 휴가에서 돌아온 이후 관리자는 직원 A를 그룹에서 제거해야 하는 것을 잊어버렸습니다. 이때 애저 AD와 AD의 통합을 실행하면 AD에 있는 직원 A의 부적절한 권한도 애저 AD에 그대로 전달됩니다. 직원 A는 애저 AD로 활성화할 수 있는 수백 개의 애플리케이션이 사용하는 민감한 재무 리소스에 접근해 조작하는 권한을 갖게 됩니다. 이런 상황은 기업을 큰 위험에 빠트립니다.


5. 세분화된 특권 제어 및 액세스 문제

사용자 프로비저닝, 그룹에 사용자 배치, 비밀번호 재설정 등의 영역에서 온프레미스와 애저 AD 모두 비슷한 기능을 제공합니다. 그러나 시스템 제공 온프레미스 AD 툴과 애저 AD 관리 툴은 특권 제어 및 액세스를 처리하는 방식에서 차이가 있습니다.


온프레미스 AD 관리자는 보통 일반 사용자 계정과 특권 액세스 계정, 2개의 계정을 사용합니다. 서드파티 툴이 포함된 정교한 환경에서는 특권 계정이 관리자에 의해 체크아웃되거나 보관 처리될 수 있습니다.


애저 AD 인스턴스에는 ‘특권 ID 관리(Privileged Identity Management, PIM)’ 기능이 있습니다. 사용자는 일반적으로 글로벌 관리자 계정을 공유하지 않지만(공유해서도 안 됨), 이런 ‘역할’을 다른 사용자에게 할당할 수 있습니다. 기본적인 애저 AD PIM 기능으로 역할을 요청할 수 있지만, 기본 상태에서 할당할 수 있는 역할로는 기업의 요구사항을 충족하는 데 필요한 특정 작업을 수행할 수 없습니다.


이처럼 특권 제어 및 액세스가 세분화된 것이 문제입니다. 위임이 극히 제한적이긴 하지만 일반적으로 위임해야 할 것이 더 적으며, 이런 미묘한 차이가 애저 AD 통합의 전체적인 어려움을 높입니다.


지금까지 애저 AD 통합의 5가지 과제를 알아보았습니다. 이를 극복하려면 어떻게 해야 할까요? 이 전자책에서 자세한 해답을 찾아보십시오. AD 관리나 애저 AD 통합에 대해 다른 궁금한 점이 있으시면 퀘스트소프트웨어 코리아로 언제든 문의 주시기 바랍니다.



퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB