Part I IDentity Crisis @ CLOUD ERA Seung Joo Baek Sr. Technical Evangelist Microsoft Korea
2013/11/05 일자
Microsoft D+S Strategies @ Korea
IDentity WHO AM I
PC Device(n-Screen) Era
IDentity WHO AM I 인증 (Authentication), 허가 (Authorization) 사용권한 (Permission), 권한 (Right) 인증결과물 - TOKEN
Active Directory Since Windows 2000 서버내하나의역할로존재 인프라내 SSO(Single Sign On) 및관리를위한용도로사용 Kerberos, X.509 등의표준기술기반 ( 이기종연동가능 ) 2000 이후로지속적인기술추가가이루어지고있음 천지개벽수준의변화는없음
대부분의권한관리방법 A 폴더에직급별로권한을부여해야하는경우 B 폴더에지역별과부서별로권한을부여해야하는경우
대부분의권한관리방법
정적인권한관리의문제는비즈니스의변화시 인사발령 부서이동 사무실의이전 조직합병
동적액세스제어 (DAC) Windows Server 2012 에새롭게소개된권한관리방식 특성 (Attribute) 기반클레임 (Claim) 이용 클레임 an assertion made by a trusted authority about an identity, 이상적으론 Identity 보안 (Kerberos) 토큰내포함 (Armoring) 표준기반 RFC 6113, FAST (Flexible Authentication via Secure Tunneling)
특성 (Attribute), 그리고이를통한권한부여
특성 (Attribute), 그리고이를통한권한부여
Demo 동적액세스제어 (DAC)
IDentity 와인사데이터베이스 Active Directory 를 HR 데이터베이스와연계해놓았을경우에는 IT 팀의개입이필요하지않음
계정및 AD 인증에대한고민 DMZ 에배치된웹서버에서 SSO 를해야할경우 원격지에배치된 LOB 서버에서 SSO 를해야할경우 회사간합병후, 인프라통합작업중인경우 파트너 / 고객에게사내리소스를제공해야할경우
Demo Active Directory 를통한웹서버인증
공용클라우드 (Public Cloud) 가나오면서 Office 365, Windows Intune 를사용하는데, 계정인증은사내계정을이용하고싶다면 Non-Microsoft 공용클라우드를사용하는데, 계정인증은사내계정을이용하고싶다면 앞으로등장할공용서비스를사내 LOB 와연계하고싶다면
보안에대한추가고민 계정 / 암호방식은외부로노출되면위험한데 추가적인인증을특정시스템혹은특정사용자및그룹대상으로넣고싶은데 인증서방식의인증 전화인증 OTP
마지막으로장치의증가 PC Smart Phone Tablet Phone + Tablet =? Car Wearable Devices 어떻게이많은장치에대한 ID 를?
Demo Office 365 인증처리방안
일상생활에서의 IDentity 는? 현실세계에서는 여행, 여권, 그리고입국심사 세미나, 명찰, 그리고세미나장소에대한출입, 퇴장처리
시장에서정답을그첫번째 통신프로토콜 HTTP HTTPS
시장에서정답을그두번째 Federation Services IDentity 를제공하는조직간웹기반표준기술을통해인증정보들을주고받을수있게함 WS-Federation, WS-Trust Since Windows Server 2003 R2 Active Directory Federation Services (ADFS)
Demo 조직내 ADFS 를통한인증처리 C2WTS 서비스를이용한 Windows 토큰처리
Active Directory Federation Services 용어 IDentity Provider (IdP) Security Token Service (STS) Relying Party (RP, 신뢰당사자 ) Security Token Service IDentity Provider Relying Party Application
Active Directory Federation Services IdP Active Directory SQL Server ASP.NET Membership RP 웹응용프로그램 사내배치 인터넷배치 파트너 / 고객 / 제 3 지역에배치
Active Directory Federation Services WS-Federation PRP(Passive Requestor Profile) WS-Federation ARP(Active Requestor Profile) SAML 1.1/2.0 Security Assertion Markup Language OAuth 2.0 클레임 (Claim) 어떤형태의정보를 SAML 토큰내포함할것인지사용응용프로그램과의연계 사용자정보 그룹정보 기타선언 ADFS Proxy
보안토큰, 그리고클레임 발급자주체클레임
Active Directory Federation Services SSL 인증서사용 서비스통신 토큰서명 토큰암호해독
보안토큰 with 인증서
신뢰당사자 (RP)
ADFS 를통한조직내 SSO 처리 DMZ 조직내네트워크 도메인컨트롤러 T 3 7 Federation Service Proxy 7 4 5 6 2 Federation Server 외부클라이언트 1 8 웹서버
ADFS 를사용하려면클레임기반인증만? 클레임기반인증을위해서는웹응용프로그램의인증체계변경필요 레가시 (Legacy) 응용프로그램에대한처리 Windows 토큰 C2WTS 서비스존재
ADFS 를통한조직간 SSO 처리 꼬알라 동물원 7 Federation Trust 6 Active Directory 계정 Federation Server 리소스 Federation Server 8 5 4 10 3 9 내부클라이언트컴퓨터 2 1 11 웹서버
클레임, 조직마다표기법이틀릴수있는데
클레임변환및통과 A 조직의 SAM-Account-Name Name 클레임 B 조직의 Full Name Name 클레임 상호간의클레임에대한변환이필요할수도있음 동일한이름의클레임을사용할경우통과도가능
Demo 조직간 ADFS 를통한인증처리 클레임변환및통과
인증의강화, 다단계인증
다단계인증 (MFA, Multi-Factor Authentication) 특정사용자나그룹단위 Multi-Factor Access Control 신뢰당사자 (RP) 단위로적용가능 인증서방식의인증을기본제공
Demo 다단계인증을통한사내포탈보안강화
웹응용프로그램프록시 (WAP) 내부웹응용프로그램에대한안전한외부게시 (HTTPS) 인증 WAP 자체가 ADFS Proxy 로동작 클레임기반인증 기존 Windows 토큰방식인증 Kerberos 위임에대한고려
웹응용프로그램프록시 AD 연동 게시된응용프로그램
Demo 웹응용프로그램프록시
IDentity Provider 에대한고민 사내 Active Directory Active Directory Federation Services 클레임기반인증을사용하면서 IDentity Provider 는외부에두고싶은경우 Windows Azure Active Directory (WAAD)
Windows Azure Active Directory Windows Server 의 ADFS 와유사한형태로인증처리 Active Directory 와동일한기술이아님 클레임기반인증만처리가능 Graph API 를이용하여조직내정보에대한읽기, 쓰기가가능 ( 관련설정필요 ) Office 365, Windows Intune 등 Microsoft 공용클라우드의인증처리
Windows Azure Active Directory DirSync 사내 Active Directory 와 Windows Azure 의 AD 내 IDentity 정보를공유해야하는경우 Office 365 가대표적 Directory Synchronization (DirSync) 상호 IDentity 정보동기화 동기화방향설정가능 암호에대한복제구성가능
Optional Demo DirSync 를통한동기화 Windows Azure Active Directory 이용
ADFS 장치등록서비스 Device Registration Service(DRS) 해당장치에대한정보를 Active Directory 에저장 Workplace Join 을통하여 Windows, ios 장치등록 (Android 예정 ) SSO 제공 ADFS 에서제공된토큰을유지하는형태 웹응용프로그램프록시를이용한 ADFS 프록시가능
Demo Workplace Join 및 SSO 처리
클라우드에적절한 Microsoft IDentity 기술
Part II Cloud OS Management Seung Joo Baek Sr. Technical Evangelist Microsoft Korea
Journey to Programmable Everything Gartner 가예측한 2014 년 IT 트렌드중하나 SDx Network, Storage, Datacenter, Fabric 비용, 투자, 그리고하드웨어에대한생각
조직내 IT 인프라의이용은 인프라스트럭쳐프로비저닝 서비스모델 인프라스트럭쳐모니터링및응용프로그램성능모니터링
Cloud 시대에필요한관리적요소
Demo 인프라스트럭쳐프로비저닝
Demo 하이브리드클라우드인프라스트럭쳐모니터링
관리기술과공용클라우드가만나게되면
Hyper-V 복구관리자가입 사이트 A System Center Virtual Machine Manager AD SQL Exch Create a recovery plan 사이트 B System Center Virtual Machine Manager
Hyper-V 복구관리자 구성 상태모니터링 System Center Virtual Machine Manager 사이트 A AD SQL Exch 복구계획생성 Hyper-V 복제를통한가상컴퓨터복제 Create a recovery plan 사이트 B System Center Virtual Machine Manager
Hyper-V 복구관리자 Create a recovery plan 사이트 B 복구계획생성 문제발생시서비스의복구를자동화 System Center Virtual Machine Manager AD SQL Exch
Demo Hyper-V 복구관리자
Demo 자동화및셀프서비스
엔터프라이즈는이런클라우드를원하고 유연한클라우드선택, 익숙한기술 Windows Azure와유사한그들만의멀티-테넌트클라우드과금간단하면서도, 자동화된시스템기존하드웨어자산에대한사용률증가테넌트선택및동적관리공통적, 그리고사용자지정가능한클라우드제안 LOB 시스템과의연계
서비스제공자는저런클라우드를원하고 엔터프라이즈비즈니스에대한확대멀티-테넌트및셀프서비스가능한 IaaS, PaaS 제안사용량측정높은수준의자동화최적화된하드웨어사용보다많은고객유치사용자지정가능한제안, 공용클라우드와의차별점포탈연계및브랜딩
두가지의공통점은 엔터프라이즈친화적인클라우드 Windows Azure 기반의멀티테넌트 IaaS 사용량측정자동화하드웨어사용률증가테넌트선택권제안관리포탈연계및과금
Microsoft 의 Cloud OS 는 Customer Microsoft ONE Consistent Platform Service Provider
Windows Azure 는 고객 IT 관리자 Windows Azure
엔터프라이즈데이터센터 고객 IT 관리자
엔터프라이즈데이터센터 고객 IT 관리자
엔터프라이즈데이터센터 고객 IT 관리자 Windows Azure Pack
Windows Azure Pack 웹플랫폼응용프로그램서비스 (PaaS) 인프라스트럭쳐서비스 (IaaS) 신뢰성있는메시징 가상네트워킹 SQL Server, MySQL 데이터베이스
Demo Windows Azure Pack
우리일상의단면
Demo 응용프로그램모니터링
웹응용프로그램유형의다양성.NET JAVA Tomcat WebLogic WebSphere JBoss ETC
Demo JAVA on Linux 응용프로그램모니터링
아직은생소한서비스관리라는컨셉
Demo IT 서비스관리
Cloud 시대에필요한관리적요소