ID 및 액세스 관리(IAM)란 무엇입니까?

ID 및 액세스 관리(IAM) 시스템은 사용자 ID를 확인하고 사용자 권한을 관리합니다.

Share facebook icon linkedin icon twitter icon email icon

IAM

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 컴퓨팅 컨텍스트에서 'ID'의 의미를 알아보세요.
  • 사용자 액세스를 이해하세요.
  • 클라우드에 ID 및 액세스 관리가 중요한 이유를 알아보세요.

ID 및 액세스 관리(IAM)란 무엇입니까?

ID 및 액세스 관리(IAM 또는 IdAM)는 사용자와 사용자의 권한을 알려주는 방법입니다. IAM은 출입 가능자와 VIP 지역에 출입할 수 있는 자의 명단을 갖고 나이트클럽에서 문을 지키는 경비원과 같습니다. IAM은 또한 ID 관리(IdM)라고도 합니다.

identity and access management iam

좀 더 기술적으로 설명하면 IAM은 주어진 사용자의 디지털 ID와 ID별로 연계된 권한을 관리하는 수단입니다. IAM은 이 동일한 기본 기능을 실행하는 다양한 제품에 적용되는 일반적인 용어입니다. 조직 내에서 IAM은 단일 제품이거나 프로세스, 소프트웨어 제품, 클라우드 서비스, 하드웨어의 조합으로 이루어져 개별 사용자가 액세스할 수 있는 조직 데이터에 대해 관리자에게 가시성과 컨트롤을 제공하는 것일 수 있습니다.

컴퓨팅 컨텍스트에서 ID란 무엇입니까?

한 사람의 모든 ID를 컴퓨터에 업로드하고 저장할 수 없기 때문에 컴퓨팅 컨텍스트에서 "ID"는 편리하게 측정하고 디지털로 기록할 수 있는 특정 속성을 의미합니다. ID 카드나 여권을 생각해보시기 바랍니다. 한 사람의 모든 정보가 ID 카드에 기록되지 않지만 ID 카드로 한 사람을 간편히 알아볼 수 있는 개인적인 특성이 충분히 담겨 있습니다.

컴퓨터 시스템은 ID를 확인하기 위해 사용자만의 특징을 평가합니다. 특징이 일치하면 사용자의 ID가 확인됩니다. 이러한 특징은 "인증 요소"로도 알려져 있습니다. 자신임을 증명하는 사용자를 인증하는 데 도움이 되기 때문입니다.

가장 널리 사용되는 3대 인증 요소:

  • 사용자가 아는 것
  • 사용자가 갖고 있는 것
  • 사용자인 것

사용자가 알고 있는 것: 이 요소는 사용자 이름과 비밀번호 조합처럼 한 사용자만 알 수 있는 지식입니다.

John이 집에서 업무용 이메일을 확인하려 한다고 가정하겠습니다. John은 우선 ID를 확인한 후 이메일 계정에 로그인해야 합니다. John이 아닌 다름 사람이 John의 이메일에 액세스한 경우 기업 데이터가 유출될 수 있기 때문입니다.

John은 이메일 john@company.com과 자신만이 알고 있는 “5jt*2)f12?y” 같은 비밀번호로 로그인합니다. 이메일 시스템은 John 외에는 이 비밀번호를 알고 있는 사람이 없다고 가정하고 John을 인식하고 이메일 계정에 액세스할 수 있게 허용합니다. 다른 사람이 이메일 주소 “john@company.com”을 입력하여 John으로 가장하려 해도 비밀번호 “5jt*2)f12?y”를 알지 못하면 성공할 수 없습니다.

사용자가 갖고 있는 것: 이 요소는 인증 사용자에게 발행된 물리적 토큰을 보유하고 있는 것입니다. 이 인증 요소의 가장 기본적인 예는 물리적인 열쇠를 이용하여 집에 들어가는 것입니다. 집을 소유하거나, 임대하거나, 기타 방법으로 들어갈 수 있는 사람만 열쇠를 갖고 있습니다.

컴퓨팅 컨텍스트에서 물리적인 요소는 전자 열쇠, USB 장치 또는 스마트폰이 될 수 있습니다. John의 조직이 하나가 아니라 두 가지 인증 요소를 사용하여 모든 사용자의 ID를 확인하려 한다고 가정해보겠습니다. 이제 John은 사용자가 알고 있는 것, 즉 비밀번호를 입력하는 것뿐만 아니라 누구도 갖고 있지 않은 것을 갖고 있다는 것을 이메일 시스템에 보여주어야 합니다. John은 세계에서 자신의 스마트폰을 소유하고 있는 유일한 사람이기 때문에 이메일 시스템은 John에게 일회용 코드를 문자로 보내고 John은 코드를 입력하여 스마트폰을 갖고 있다는 것을 증명합니다.

사용자인 것: 이것은 사용자의 신체적 속성을 의미합니다. 실제 사용되는 이 인증 요소의 일반적인 예는 페이스 ID로서 많은 최신형 스마트폰이 제공하는 기능입니다. 지문 스캔도 그러한 예입니다. 일부 고보안 조직에서는 드물지만 망막 스캔과 혈액 테스트 같은 방법을 사용하기도 합니다.

John의 조직이 두 개가 아닌 세 개의 요소로 사용자를 확인하여 보안을 더욱 강화하기로 했다고 가정해보겠습니다(이것은 드문 경우입니다). 이제 John은 비밀번호를 입력하고, 스마트폰 소유를 확인하고, 지문을 스캔해야 이메일 시스템이 진짜 John임을 확인합니다.

요약: 실제 세계에서 사람의 ID는 개인적인 특성, 역사, 위치, 기타 요소가 복잡하게 결합되어 있습니다. 디지털 세계에서 사용자의 ID는 ID 데이터베이스에 디지털로 저장된 세 가지 인증 요소의 일부나 모두로 이루어져 있습니다. 컴퓨터 시스템은 범죄자가 진짜 사용자의 ID를 도용하지 못하도록 ID 데이터베이스와 대조하여 사용자의 ID를 확인합니다.

액세스 관리란 무엇입니까?

"액세스"는 사용자가 로그인한 후 볼 수 있는 데이터와 실행할 수 있는 작업을 의미합니다. John은 이메일에 로그인한 후, 자신이 주고받은 모든 이메일을 볼 수 있습니다. 하지만 동료 Tracy가 주고받은 이메일은 볼 수 없어야 합니다.

다시 말해서 사용자 ID가 확인됐다고 해서 사용자가 시스템이나 네트워크 내 모든 것을 액세스할 수 있는 것은 아닙니다. 예를 들어 기업 내 하위 직원은 기업 이메일 계정에 액세스할 수 있어야 하지만 급여 기록이나 기밀 HR 정보를 액세스할 수 있으면 안 됩니다.

액세스 관리는 액세스를 관리하고 추적하는 프로세스입니다. 시스템 내 사용자마다 각자의 필요에 따라 해당 시스템 내 권한이 다릅니다. 회계 담당자는 급여 기록을 액세스하고 편집해야 하기 때문에 ID를 확인한 후 이메일 계정을 액세스하는 것은 물론 급여 기록을 조회하고 변경할 수 있어야 합니다.

클라우드 컴퓨텅에 IAM이 매우 중요한 이유는 무엇입니까?

클라우드 컴퓨팅에서 데이터는 원격 저장되고 인터넷을 통해 액세스됩니다. 사용자가 거의 모든 장소와 모든 장치에서 인터넷에 연결할 수 있기 때문에 대부분의 클라우드 서비스는 장치와 위치에 기반하지 않습니다. 사용자는 클라우드에 액세스하기 위해 더 이상 사무실에 있거나 기업 소유 장치를 사용하지 않아도 됩니다. 그리고 원격 인력이 더욱 증가하고 있습니다.

따라서 액세스를 관리하는 데 네트워크 경계가 아니라 ID가 가장 중요한 포인트가 됐습니다.* 장치나 위치가 아닌 사용자의 ID가 사용자가 액세스할 수 있는 클라우드 데이터와 사용자의 액세스 권한을 결정합니다.

ID가 그렇게 중요한 이유를 이해하기 위한 그림이 있습니다. 해커가 기업 데이터 센터의 민감한 파일을 액세스하려 한다고 가정하겠습니다. 클라우드 컴퓨팅이 널리 채택되기 이전 시대에 해커는 건물에 침입하거나 내부 직원을 매수하여 내부 네트워크를 보호하는 기업 방화벽을 통과하거나 물리적으로 서버에 액세스해야 했습니다. 해커의 주목적은 네트워크 경계를 통과하는 것이었습니다.

하지만 클라우드 컴퓨팅 환경에서 민감한 파일은 멀리 떨어진 클라우드 서버에 저장되어 있습니다. 기업 직원이 파일을 액세스하려면 브라우저나 앱을 통해 로그인해야 합니다. 해커가 파일을 액세스하려면 직원 로그인 정보(사용자 이름 및 비밀번호)와 인터넷 연결만 있으면 됩니다. 해커는 네트워크 경계를 통과하지 않아도 됩니다.

IAM은 권한 상승(비인가 사용자가 너무 많은 권한을 가진 경우)으로 인한 ID 기반 공격과 데이터 침해를 방지하는 데 도움을 줍니다. 따라서 IAM 시스템은 클라우드 컴퓨팅과 원격팀 관리에 필수적입니다.

*네트워크 경계는 내부 네트워크의 가장자리로서 안전하지 않고 통제되지 않는 인터넷으로부터 안전하게 관리된 내부 네트워크를 분리하는 중요한 경계선입니다. 사무실 내 모든 컴퓨터와 사무실 프린터처럼 네트워크에 연결된 장치는 이 경계 내에 있지만 전 세계에 분산된 데이터 센터에 있는 원격 서버는 그렇지 않습니다.

클라우드 배포 스택/클라우드 아키텍처에서 IAM는 어디에 속합니까?

IAM은 종종 클라우드 서비스로서 사용자가 조직의 나머지 클라우드 인프라에 접속하기 위해 통과해야 하는 서비스입니다. 또한 내부 네트워크 상에서 조직의 사업장에 배포될 수도 있습니다. 마지막으로 일부 공용 클라우드 업체는 IAM을 다른 서비스에 포함시킬 수 있습니다.

멀티클라우드하이브리드 클라우드 아키텍처를 사용하는 기업은 IAM을 위해 별도 업체를 사용할 수도 있습니다. 기타 공용 또는 사설 클라우드 서비스에서 IAM을 분리하면 유연성이 강화됩니다. 클라우드 업체를 변경하면 ID를 유지하면서 데이터베이스에 액세스할 수 있기 때문입니다.

ID 공급자(IdP)는 무엇입니까?

ID 공급자(IdP)는 ID 관리에 도움을 주는 제품이나 서비스입니다. IdP는 종종 실제 로그인 프로세스를 처리합니다. SSO(Single Sign On) 제공자가 여기에 속합니다. IdP는 IAM 프레임워크의 일부일 수도 있지만 일반적으로 사용자 액세스 관리에 도움을 주지 않습니다.

IDaaS(Identity-as-a-Service)는 무엇입니까?

IDaaS(Identity-as-a-Service)는 ID를 확인하는 클라우드 서비스입니다. 클라우드 업체가 제공하는 SaaS로서 ID 관리를 부분적으로 아웃소싱하는 방법입니다. 일부 경우 IDaaS와 IdP는 기본적으로 상호 교환할 수 있지만 그렇지 않은 경우 IDaaS 업체는 ID 확인 및 관리와 더불어 추가 역량을 제공합니다. IDaaS 업체가 제공하는 역량에 따라 IDaaS는 IAM 프레임워크의 일부가 되거나 전체 IAM 시스템이 될 수 있습니다.

Cloudflare는 IAM과 클라우드를 어떻게 지원합니까?

Cloudflare Access는 IAM 제품으로서 Cloudflare에 호스팅된 도메인, 애플리케이션 또는 경로에 대한 사용자 액세스를 모니터합니다. SSO 제공자와 통합하고 관리자가 사용자 권한을 변경하고 설정할 수 있게 합니다. Cloudflare Access는 온프레미스 내부 직원과 원격 인력 모두에 보안 정책을 실행하는 데 도움을 줍니다.

기업은

Cloudflare를 다양한 클라우드 인프라 설정 앞에 배포하여 IAM 제공자를 포함하는 멀티클라우드나 하이브리드 클라우드 배포로 유연성을 강화할 수 있습니다.