제로 트러스트 아키텍처 On-premise 리눅스 서버 2

이전에 제로 트러스트 아키텍처 On-premise 리눅스를 대상으로 하나의 무난한 정책을 소개한 적 있습니다. 그런데 실제로는 수많은 서버, 수많은 사용자를 운영하기 위해서는 다영한 솔루션과의 연계가 필요합니다. 

 

이 글에서는 다른 솔루션과 연계한 운영측면에서의 내용을 다루겠습니다. 

우선 사용자 관리 측면에서 보겠습니다. AD의 운영자 또는 인사관리직원이 적절하게 인력을 외주, 개발, 운영 그룹에 직접 포함시킬 수도 있지만 enterprise 급 회사라고 가정한다면 일일히 관리한다는 것은 쉽지 않은 일입니다. 게다가 신규입사, 퇴사등, 일시적인 프로젝트 인력에 대한 관리등 해야 할 일들이 너무 많습니다. 

 

각 계정들의 관리 및 변경 내역을 기록으로 남기기 위해서 IAM 솔루션과의 연계가 필요합니다. 이를 통해 IT 인력을 적절한 그룹에 포함시키고 내역을 로그로 남길 수 있습니다. 입사자를 필요한 그룹에 포함시키고 퇴사자 계정을 만료시킬 수 있으며 그룹에 포함되어 있음에도 로그인 이력이 일정일 동안 없다면 자동으로 그룹에서 배재할 수 있습니다. 그리고 요청/승인의 워크플로우를 설계하는 기능도 제공하고 있습니다. 

 

즉 IAM 솔루션을 통해 사용자에게 최소한의 적합한 권한이 부여되었는지 지속적인 관리가 가능하게 됩니다. 

 

두번째로는 서버들의 관리를 위한 Ansible 같은 프로비저닝 툴과의 연동입니다. 접근제어, 권한제어 솔루션의 다양한 기능들을 쓰기 위해서는 에이전트 설치가 불가피 하게 됩니다. 수많은 자산에 에이전트를 일일히 다 설치하고 버전관리까지 하는 것은 쉬운 일이 아닐것입니다. 

 

그리고 신규로 서버를 증설하는 경우 에이전트 설치뿐 아니라 Vault 에 등록하는 과정 또한 만만치 않아 보입니다. 

Ansible 을 통해 모든 서버들을 대상으로 에이전트 설치, 버전관리, 그리고 자동으로 Vault 에 등록 가능하게 해줍니다. 

신규서버의 경우 개발,운영계중 어디로 넣을지만 택하면 알아서 기존의 세팅되어 있는 환경이 적용될 수 있습니다. 

 

즉 접근제어,권한제어에 필요한 밑단작업과 운영측면까지 자동화 가능하도록 해줍니다. 

 

3번째로는 이상행위 탐지를 위한 siem 연동입니다. Siem 연동의 경우 이상행위를 탐지 알람하기 위한 기능이기에 자세한 설명은 생략하겠습니다. 

 

이번에는 여러 솔루션들과의 연동을 통해 운영측면에서 조금 더 편리하게 사용할 수 있는 아키텍처에 대해 알아보았습니다.