2020년 6월 30일
IAM (Identity and Access Management)
I. 클라우드 보안의 핵심 요소, IAM의 개념 및 필요성
| IAM의 개념 | IAM의 필요성 |
|---|---|
| 사용자의 리소스 액세스 권한 부여를 위한 정책 프로비저닝 및 인증 프로세스 자동화 기술 |
|
- 기능 조합 및 확장이 가능한 솔루션으로 단순 보안 솔루션의 개념에서 벗어나 업무 프로세스를 정의하고 관리하는 인프라로써 업무효율성, 생산성, 보안성의 극대화 목적
- 클라우드 사용량의 폭발적 증가에 따라 클라우드 사용자 정책 및 접근 제어를 위해 IAM 기본 적용
II. IAM의 주요 기능 및 구성요소
가. IAM의 주요 기능
| 구분 | 주요 기능 | 세부 기능 |
|---|---|---|
| 인증 권한 관리 | X.509 인증서 기반 권한 관리 | – PKI 기반 전자서명, 공개키 표준 포맷 – RSA/MD5 서명, 인증 기관(CA, RA) |
| Kerberos 기반 권한 관리 | – 대칭키 기반 LDAP 기본 인증 방식 – Authentication Server, Ticket Granting Server 등 | |
| 멀티 팩터 기반 권한 관리 | – ID/PW 방식 및 FIDO 기반 생체 인증 – 스마트 카드, OTP, OAuth 적용 | |
| 인증 프로세스 관리 | 프로비저닝 정책 | – 사용자/그룹에 대한 권한 관리 – 멤버십과 역할에 대한 정책 적용 |
| 워크플로우 자동화 | – 인증 프로세스 과정 자동화 – 사용자 계정 생성/변경/승인/거부 등 | |
| 사용자 자체 정보 변경 | – 사용자 정보를 직접 수정하여 관리 노력 최소화 – 패스워드 분실 문/답, 로그인 방법 변경 등 |
나. IAM의 구성 요소
| 구성 요소 | 핵심 기능 | 세부 설명 |
|---|---|---|
| 사용자 | 시스템 이용 계정 | – 시스템 리소스에 액세스하는 사용자/도메인 – ID, 계정정보, 이메일, 도메인 이름 등 |
| 역할 | 권한의 모음 | – 리소스에 대해 허용되는 작업 결정 – 사용자에 역할을 맵핑하여 권한을 부여 |
| 정책 | 사용자-역할 연결 | – 리소스에 대해 특정 사용자에게 특정 권한 정의 – 정책 정의 위해 하나 이상의 사용자와 권한 필요 |
III. IAM과 기존 계정관리 기술 비교
| 항목 | IAM | EAM | SSO |
|---|---|---|---|
| 관련 기술 | EAM, SSO 기반 자원관리, 프로비저닝 | PKI, LDAP, 암호화 | PKI, LDAP |
| 특징 | 업무 프로세스 기반 접근 제어 | 정책 기반 접근제어 | 로그인 세션 기반 다중 시스템 접근 |
| 장점 | 자동화된 자원관리, 확장성 용이 | 권한에 따른 접근 제어 가능 | 시스템 관리 효율화 |
- 차등 접근 제어 구현 위해 시스템 관리자의 사용자 권한 수동 입력에 따른 시간, 비용 손실 발생을 해결하기 위해 자동적 권한 부여 및 관리 기능 추가
[참고]
- 위키시큐리티, “IAM”, 2017.8
- Google Cloud, “Cloud IAM”, 2020.6
About The Author
도리
One Comment
항상 감사합니다.