[번역] vSphere 7 – Identity Federation

출처 : https://blogs.vmware.com/vsphere/2020/03/vsphere-7-identity-federation.html

조직의 보안태세를 개선하는 가장 큰 두 가지 방법 중 하나는 훌륭한 계정 관리와 비밀번호 위생이다.* 옛말에 이르듯이 말하기는 쉬워도 행하기는 어렵다. 훌륭한 계정 관리는 충분히 간단해 보이지만, 평균적인 조직에 수백 개의 시스템과 장치가 있으면 하나를 놓치기 쉽다.

패스워드는 더 이상 안전하지 않다. 암호를 복잡하게 만들고, 손상된 암호의 데이터베이스를 확인하고, 주기적으로 순환시킬 수 있다. 그러면 어떻게 되는 겁니까? 우리는 그것들을 적는다. 만약 우리가 그것을 피한다면, 비밀번호는 여전히 키 스트로크 로거, 악성 웹 사이트, 카메라, 맬웨어 그리고 심지어 다른 사람들이 "어깨 서핑"하고 당신이 타이핑하는 것을 지켜보는 것에 매우 취약하다.

멀티팩터 인증(Multifactor Authentication)

인증은 흔히 "인자"라는 용어로 설명된다. 요인은 대개 세 가지, 즉 당신이 가지고 있는 것, 당신에 대한 것, 당신이 알고 있는 것. 예를 들어, 비밀번호는 당신이 알고 있는 것이다. 지문은 너 자신이다. 1회용 암호 토큰은 당신이 가지고 있는 것이다. 이것들을 결합하면 멀티팩터 인증, 즉 MFA를 얻을 수 있다. 두 개를 결합하면 2단계 인증, 즉 2FA를 받게 된다.

vSphere-Icon-Color-2020.png

멀티팩터 인증(MFA)은 계정 보안을 위한 커다란 도약이다. 예를 들어, MFA를 사용하면, 나쁜 행위자가 당신의 비밀번호를 안다고 해도, 그들은 당신의 전화기에 나타나는 일회용 코드를 알지 못할 것이다. 그 코드는 시시각각 바뀌기 때문에 그들은 그것을 추측할 수 없을 것 같다. 지문도 마찬가지다 — 확실히 나쁜 배우가 당신 손가락을 가지고 있지 않기를 바란다!

멀티팩터 인증이 좋은 생각인 것 같은데? 비록 그것 자체로 그렇게 좋은 생각이 아니었다 하더라도, 그것은 대부분의 준수 프레임워크에서 의무화되어 있다. 예를 들어 PCI DSS 3.2는 이를 Control 8.3의 요건으로 추가했으며, NIST 800-53 revision 4는 IA-2와 같은 제어장치의 IA 세트에 열거되어 있다. 규정 준수 프레임워크는 종종 "보정 제어(compensating controls)" – 동일한 보안 목표를 달성하기 위한 대체 방법 –을 허용하지만, 그러한 방법은 복잡해질 수 있다. 소프트웨어 솔루션이 요구사항을 직접 해결하는 것이 모두에게 가장 쉽다. vSphere의 목표 중 하나는 쉽게 보안을 유지하는 겁니다.

이것이 vSphere 7에서 아이덴티티 페더레이션(Identity Federation)의 이유다. 아이덴티티 페더레이션을 사용하면 Active Directory Federation Services(ADFS)와 같은 엔터프라이즈 ID 제공자에 vCenter Server를 연결할 수 있다. 이는 vCenter Server가 온보드(입사) 및 종료(퇴사)와 같은 중앙 집중식 기업 프로세스에 참여한다는 것을 의미한다. 이는 또한 사용자가 데스크톱 및 클라우드와 동일한 방법으로 vCenter Server에 로그인할 수 있다는 것을 의미한다. 여기에는 MFA & 2FA 솔루션도 포함된다.

아이덴티티 페더레이션의 작동 방식

 

vSphere-7-Identity-Federation.png

아이덴티티 프로바이더(identity provider)에 연결되면(이 경우 아래 ADFS — 더 많은 경우), vSphere Client는 로그인 페이지를 제공자의 로그인 페이지로 리디렉션한다. 사용자 또는 관리자는 시스템의 일부로 구성된 모든 멀티팩터 인증을 포함하여 회사 자격 증명을 사용하여 로그인한다. 인증이 완료되면 아이덴티티 프로바이더가 인증된 암호화 토큰(cryptographic token)을 사용하여 vSphere Client로 리디렉션한다. 만약 당신이 당신의 Google, Twitter 또는 Facebook 자격 증명을 사용하여 웹 사이트에 로그인한 적이 있다면, 이것은 매우 친숙하게 보일 것이다.

표준 프로토콜(Standard Protocols)

아이덴티티 페더레이션은 표준 프로토콜 OAUTH2와 OIDC를 사용하여 정보를 교환한다. 표준이 있더라도, 복잡한 것 중 하나는 모든 인증 시스템이 통신을 위해 다른 "스키마(schemas)"를 가지고 있다는 것이다. VMworld 2019에서 미국의 테크니컬 마케터인 Mike Foley는 전화 통화와 비교하여 잘 요약했다. OAUTH2는 전화 시스템이지만, 우리는 여전히 우리 언어를 구사하지 못하는 사람을 부를지도 모른다. 이와 같이 vSphere 7은 처음에 ADFS를 지원하는데, 이는 고객의 많은 부분이 가지고 있고 쉽게 사용할 수 있는 것을 나타내기 때문이다. vSphere에 더 많은 인증 "언어"를 제공하므로 앞으로 더 많은 옵션이 제공될 것이다.

아이덴티티 페더레이션을 사용하도록 설정하면 vCenter Server에서 기존의 Active Directory, 통합 윈도우즈 인증 및 LDAP/LDAPS 인증 방법을 대신하게 된다. 그러나 관리 및 문제 해결 액세스를 위해 여전히 존재하는 기존의 vSphere Single Sign-on을 대체하지는 않는다. 이러한 전통적인 로그인 방법은 현재에도 존재하지만 일부는 더 이상 사용되지 않는다(릴리스 노트 참조).

맺음말

vSphere 아이덴티티 페더레이션은 보안, 컴플라이언스 감사를 위한 작업 감소, 조직 내 프로세스 복제 감소, vSphere 관리자의 작업 감소, 사용자 환경 개선 등을 위한 훌륭한 발전이 될 것이다.