기존의 IAM 기술은 네트워크와 데이터센터가 온프레미스에 있고 경계에 의해 보호되는 모델을 전제로 구축되었습니다. 많은 조직이 클라우드를 테스트하고 비즈니스 파트너와 함께 상호 보완적인 솔루션을 구축하기 시작하면서 IAM은 페더레이션을 지원하도록 조정되었지만대부분의 애플리케이션과 데이터는 여전히 경계 내에 있었습니다. 그러나 수정과 보완을 통해 변화에 대응하는 접근은 더 이상 통하지않습니다. 물리적 경계는 더 이상 존재하지 않습니다. 이런 변화로 전통적인 IAM은 온프레미스 영역에 있는 데이터센터와 클라우드 영역에있는 하이브리드 환경을 안전하게 연결해야 하는 도전에 직면하였습니다. 그렇다면 IAM은 급변하는 기업 컴퓨팅 환경에 어떻게 보조를 맞춰 진화해야 할까요? 그 방향을 4회의 연재를 통해 알아보겠습니다.
1편: 변곡점에 도달한 엔터프라이즈 ID 및 액세스 관리
2편: 엔터프라이즈 컴퓨팅의 발전 방향을 따라 진화하는 IAM ‘SiteMinder’
3편: 하이브리드 클라우드 시대를 위한 권한 있는 사용자 관리 방안 ‘One PAM’
4편: 브로드컴, 시만텍 솔루션으로 완성하는 Zero Trust 원칙!
1편: 변곡점에 도달한 엔터프라이즈 ID 및 액세스 관리
오랜 기간 엔터프라이즈 보안을 떠받치는 축 중 하나였던 IAM이 변곡점에 도달하였습니다. 기존의 IAM은 데이터센터가 온프레미스에 있고 외부와 완벽히 구분되는 경계를 통해 보호되는 모델에 맞게 설계되었습니다. 예전 엔터프라이즈 컴퓨팅 환경의 경우 IAM을 적용하면 누가 어떤 데이터와 리소스에 액세스할 수 있는지 제어하기가 비교적 쉬웠습니다. 이런 통제력은 기업 IT 환경에 하이브리드 클라우드 기술 적용이 확대되면서 점점 약해지고 있습니다. 일각에서는 클라우드 컴퓨팅의 시대에 기존 IAM은 더 이상 지속 가능한 ID와 액세스 관리 체계가 아니라고 말합니다.
한계에 다다른 IAM
기존의 IAM 플랫폼은 온프레미스 환경에 맞게 인증, 권한 부여, 관리 서비스의 관리를 처리하고 중앙 집중화하도록 설계되었습니다. 그러다 보니 하이브리드 아키텍처를 적용하면 누가 무엇에 액세스할 수 있는지 제어하는데 한계를 보입니다.
온프레미스와 클라우드가 혼재된 하이브리드 아키텍처를 채택한 조직의 경우 데이터와 애플리케이션을 온프레미스, 클라우드 또는 이 두 가지를 조합하여 저장할 수 있습니다. 따라서 사용자가 어디서나 데이터와 애플리케이션에 액세스할 수 있기 때문에 기존의 경계 기반 보안 제어를 적용하기가 어렵습니다. 여기에 SaaS 도입이 늘면서 사용자 액세스 관리도 부담으로 다가오고 있습니다. SaaS를 이용하면 사용자가 전 세계 어디에서나 데이터와 리소스에 액세스할 수 있습니다. 따라서 사용자 활동을 추적하고 보안 정책을 적용하기 쉽지 않습니다.
이러한 도전 과제로 인해 기존 IAM 플랫폼은 엔터프라이즈 컴퓨팅 환경의 진화를 따라잡지 못한다는 평가를 받고 있습니다. 기존 IAM 플랫폼은 하이브리드아키텍처의 요구 사항을 충족할 확장성이 부족하고 클라우드 기반 애플리케이션과 서비스의 동적인 특성을 수용할 만큼 유연하지 않습니다. 조금 더 구체적으로 이야기하자면 기존 IAM 솔루션은 누가 어떤 데이터와 리소스에 액세스할 수 있는지를 정의하는 데이터 센터 주변의 경계인 '신뢰 경계'라는개념을 기반으로 하는 경우가 많습니다. 하지만 클라우드에서는 단일 신뢰 경계가 없으며 전 세계 어디에서나 데이터와 리소스에 액세스할 수 있습니다. 따라서 누가 무엇에 액세스할 수 있는지 제어하기가 어렵고 데이터 유출로 이어질 수 있습니다.
다음으로 권한 있는 사용자 액세스 제어도 어렵습니다. 권한 있는 사용자는 시스템과 데이터에 대한 높은 액세스 권한을 가진사용자입니다. 클라우드에서는 권한 있는 사용자가 전 세계 어디에서나 데이터와 리소스에 액세스할 수 있으므로 액세스를 제어하는 것이더욱 중요합니다. 기존 IAM 솔루션으로는 하이브리드 아키텍처를 포괄하는 권한 있는 사용자의 액세스를 제어할 수 없습니다.
애플리케이션과 서버에 대한 ID 및 액세스 관리의 미래는?
그렇다면 하이브리드 아키텍처의 시대 애플리케이션과 서버에 대한 ID 및 액세스 관리는 어떤 방향으로 발전하고 있을까요? 바로 ‘제로 트러스트’입니다. 전통적인 IAM의 개념은 현대화된 ID 패브릭, 관계에 중점을 둔 권한 부여 패브릭, 통합 데이터 모델을 따르는 관리 패브릭으로 초점이 바뀌고 있습니다.
제로 트러스트 원칙을 따르는 인증 패브릭은 여러 유형의 디바이스에서 로그인하는 사용자를 포괄적으로 수용하는 옴니채널 액세스, 탈중앙화된 ID 공급자(BYOD), 클라우드, 모바일, 온프레미스 모두에 대한 탈중앙화된 애플리케이션을 처리할 수 있습니다. 그리고 권한 부여 패브릭은 관계에 초점을맞춥니다.
권한 부여 패브릭은 관계에 기반합니다. 기존에는 사용자 속성, 역할 또는 그룹 멤버십에 의존하여 액세스 권한을 부여할지 여부를 결정하는 정적인 정책을적용하는 것이 일반적이었습니다. 제로 트러스트 환경에서는 관계에 집중합니다. 이를 위해 여러 데이터 세트를 결합하여 액세스 제어 관련해 더 나은의사결정을 내립니다. 또한, 데이터의 유동성을 고려해 정책도 리소스 중심적이어야 리소스의 민감도 변화에 따라 조정할 수 있습니다.
관리 패브릭은 서로 다른 인증 및 권한 부여 엔진이 정보를 교환하여 더 나은 결정을 내릴 수 있도록 통합 데이터 모델을 따릅니다. 위험 기반 신뢰 관리모델을 공유하여 시스템 간에 위험 데이터를 공유해야 합니다. 이렇게 하면 한 시스템에서 위험이 감지되면 다른 시스템과 공유하여 더 지능적으로대응할 수 있습니다.
IAM의 진화는 이미 시작되었습니다. 엔터프라이즈 컴퓨팅 환경에서 물리적 경계는 더 이상 존재하지 않습니다. 이에 대해서는 다음 2, 3, 4회연재를 통해 더 자세히 알아보겠습니다.