이 문서에서는 리소스를 효과적으로 보호하는 데 도움이 되는 IAM(ID 및 액세스 관리)의 기본 개념을 설명합니다.
ID 및 액세스 관리란?
ID 및 액세스 관리를 통해 적절한 사용자, 컴퓨터 및 소프트웨어 구성 요소가 적절한 리소스에 적시에 액세스할 수 있습니다. 첫째, 사용자, 컴퓨터 또는 소프트웨어 구성 요소는 자신이 누구인지 또는 무엇이라고 클레임하는지 증명합니다. 그런 다음 사용자, 컴퓨터 또는 소프트웨어 구성 요소에 특정 리소스에 대한 액세스 권한이 부여되거나 거부됩니다.
IAM이 수행하는 일
IAM 시스템은 일반적으로 다음과 같은 핵심 기능을 제공합니다.
- ID 관리: ID 정보를 만들고, 저장하고, 관리하는 프로세스입니다. IdP(ID 공급자)는 사용자 ID를 추적하고 관리하는 데 사용되는 소프트웨어 솔루션뿐만 아니라 해당 ID와 연결된 사용 권한 및 액세스 수준입니다.
- ID 페더레이션: 이미 다른 곳에 암호가 있는 사용자(예: 엔터프라이즈 네트워크 또는 인터넷 또는 소셜 ID 공급자)가 시스템에 액세스할 수 있도록 허용합니다.
- 사용자 프로비저닝 및 프로비저닝 해제: 리소스에 액세스할 수 있는 사용자 지정 및 사용 권한 및 액세스 수준 할당을 포함하여 사용자 계정을 만들고 관리합니다.
- 사용자 인증: 사용자, 컴퓨터 또는 소프트웨어 구성 요소가 사용자 또는 자신이 주장하는 구성 요소인지 확인합니다.
- 사용자 권한 부여: 사용자에게 권한이 부여된 도구에 대한 정확한 수준 및 액세스 유형이 부여되었는지 확인합니다.
- 액세스 제어: 리소스에 대한 액세스 권한이 있는 사용자 또는 사용자를 결정하는 프로세스입니다. 이 프로세스에는 사용자 역할 및 권한 정의와 인증 및 권한 부여 메커니즘 설정이 포함됩니다. 액세스 제어는 시스템 및 데이터에 대한 액세스를 규제합니다.
- 보고서 및 모니터링: 플랫폼 작업(예: 로그인 시간, 액세스된 시스템 및 인증 유형)에 대한 보고서를 생성하여 규정 준수를 보장하고 보안 위험을 평가합니다.
ID
디지털 ID는 시스템의 사람, 소프트웨어 구성 요소, 컴퓨터, 자산 또는 리소스를 나타내는 고유 식별자 또는 특성의 컬렉션입니다. 식별자는 다음과 같습니다.
- 이메일 주소
- 로그인 자격 증명(사용자 이름/암호)
- 은행 계좌 번호
- 정부 발급 ID
- MAC 주소 또는 IP 주소
ID는 리소스에 대한 액세스를 인증하고 권한을 부여하고, 통신을 사용하도록 설정하고, 트랜잭션을 용이하게 하고, 다른 용도로 사용하는 데 사용됩니다.
ID는 다음 세 가지 유형으로 분류됩니다.
- 인간 ID 는 직원(내부 및 일선 직원) 및 외부 사용자(고객, 컨설턴트, 공급업체 및 파트너)를 포함한 사람을 나타냅니다.
- 워크로드 ID는 애플리케이션, 서비스, 스크립트 또는 컨테이너와 같은 소프트웨어 워크로드를 나타냅니다.
- 디바이스 ID는 데스크톱 컴퓨터, 휴대폰, IoT 센서 및 IoT 관리 디바이스를 포함한 디바이스를 나타냅니다. 그들은 인간의 정체성과 구별됩니다.
인증
인증은 개인, 소프트웨어 구성 요소 또는 하드웨어 디바이스에 자격 증명을 요청하여 자신의 ID를 확인하거나 자신이 누구인지 또는 자신이 주장하는지 증명합니다. 인증에는 일반적으로 사용자 이름 및 암호, 지문, 인증서 또는 일회성 암호와 같은 자격 증명이 필요합니다. Authentication(인증)은 종종 AuthN으로 축약됩니다.
MFA(다단계 인증)는 사용자가 자신의 ID를 확인하기 위해 둘 이상의 증거를 제공해야 하는 보안 조치입니다. 예를 들면 다음과 같습니다.
- 사용자가 알고 있는 어떤 것, 예를 들면 암호와 같은 것입니다.
- 그들이 가진 어떤 것, 예를 들어 배지 같은 것입니다.
- 생체 인식(지문 또는 얼굴)과 같은 항목입니다.
SSO(Single Sign-On)를 사용하면 사용자가 자신의 ID를 한 번 인증한 다음 나중에 동일한 ID를 사용하는 다양한 리소스에 액세스할 때 자동으로 인증할 수 있습니다. 인증 후 IAM 시스템은 사용자가 사용할 수 있는 다른 리소스에 대한 ID 진리의 원본 역할을 합니다. 여러 개의 별도 대상 시스템에 로그온할 필요가 없습니다.
승인
권한 부여는 사용자, 컴퓨터 또는 소프트웨어 구성 요소에 특정 리소스에 대한 액세스 권한이 부여되어 있는지 확인합니다. 권한 부여는 AuthZ로 축약되는 경우가 많습니다.
인증과 권한 부여의 차이점
인증 및 권한 부여라는 용어는 종종 사용자에게 단일 환경처럼 보이기 때문에 서로 바꿔서 사용됩니다. 실제로는 두 개의 별도 프로세스입니다.
- 인증은 사용자, 컴퓨터 또는 소프트웨어 구성 요소의 ID를 증명합니다.
- 권한 부여는 특정 리소스에 대한 사용자, 컴퓨터 또는 소프트웨어 구성 요소 액세스를 허용하거나 거부합니다.
인증 및 권한 부여에 대한 간략한 개요는 다음과 같습니다.
| 인증 | 승인 |
|---|---|
| 유효한 자격 증명을 제공하는 엔터티에만 액세스를 허용하는 게이트키퍼로 간주될 수 있습니다. | 적절한 허가를 받은 개체만 특정 영역에 들어갈 수 있도록 보장하는 경비원으로 생각할 수 있습니다. |
| 사용자, 컴퓨터 또는 소프트웨어가 자신이 클레임하는 사용자인지 또는 무엇인지 확인합니다. | 사용자, 컴퓨터 또는 소프트웨어가 특정 리소스에 액세스할 수 있는지 결정합니다. |
| 사용자, 컴퓨터 또는 소프트웨어에 확인 가능한 자격 증명(예: 암호, 생체 인식 식별자 또는 인증서)을 요구합니다. | 사용자, 컴퓨터 또는 소프트웨어의 액세스 수준을 결정합니다. |
| 권한 부여 전에 완료되었습니다. | 인증 성공 후 완료되었습니다. |
| 정보는 ID 토큰으로 전송됩니다. | 정보는 액세스 토큰으로 전송됩니다. |
| OIDC(OpenID Connect)(OAuth 2.0 프로토콜을 기반으로 빌드됨) 또는 SAML 프로토콜을 사용하는 경우가 많습니다. | OAuth 2.0 프로토콜을 사용하는 경우가 많습니다. |
자세한 내용은 인증과 권한 부여를 참조하세요.
예시
호텔로 밤 시간을 보내려고 하는 경우를 가정해 보겠습니다. 인증 및 권한 부여는 호텔 건물의 보안 시스템이라고 생각하면 됩니다. 사용자는 호텔에 머물고 싶은 사람이고, 리소스는 사람들이 사용하고 싶은 객실이나 공간입니다. 호텔 담당자는 또 다른 유형의 사용자입니다.
호텔에 머무는 경우 먼저 리셉션에 가서 "인증 프로세스"를 시작합니다. 신분증과 신용 카드를 표시하고 접수원은 온라인 예약에 대한 ID와 일치합니다. 접수원에서 사용자가 누구인지 확인한 후 접수원은 할당된 방에 액세스할 수 있는 권한을 부여합니다. 키 카드를 받았으니 이제 방으로 들어가면 됩니다.
호텔 객실 및 기타 구역의 문에는 키 카드 센서가 있습니다. 센서 앞에서 키 카드를 살짝 밀는 것은 "권한 부여 프로세스"입니다. 키카드를 사용하면 호텔 객실 및 호텔 운동실과 같이 액세스할 수 있는 객실의 문만 열 수 있습니다. 다른 호텔 객실에 들어가기 위해 키 카드를 긁으면 출입이 거부됩니다.
연습실 및 특정 객실 액세스와 같은 개별 사용 권한은 개별 사용자에게 부여할 수 있는 역할로 수집됩니다. 호텔에 숙박하면 호텔 후원자 역할이 부여됩니다. 호텔 룸서비스 담당자에게는 호텔 룸서비스 역할이 부여됩니다. 이 역할을 통해 호텔의 모든 객실(오전 11시부터 오후 4시 사이에만), 세탁실, 각 층의 비품 옷장에 대한 접근이 허용됩니다.
ID 공급자
ID 공급자는 ID 정보를 만들고 유지 관리하며 관리합니다. 인증, 권한 부여 및 감사 서비스를 제공합니다.
최신 인증을 사용하면 인증 서비스를 포함한 모든 서비스가 중앙 ID 공급자에 의해 제공됩니다. ID 공급자는 서버를 사용하여 사용자를 인증하는 데 사용되는 정보를 중앙에서 저장하고 관리합니다.
중앙 ID 공급자를 사용하면 조직에서 인증 및 권한 부여 정책을 수립하고, 사용자 동작을 모니터링하고, 의심스러운 활동을 식별하고, 악의적인 공격을 줄일 수 있습니다.
Microsoft Entra ID는 클라우드 기반 ID 공급자의 예입니다. 다른 예로는 X, Google, Amazon, LinkedIn, GitHub 등이 있습니다.
다음 단계
- SSO(Single Sign-On)에 대해 알아봅니다.
- MFA(다단계 인증)에 대해 알아봅니다.