Azure의 Red Hat Enterprise Linux에 대한 ID 및 액세스 관리 고려 사항

  • 아티클

이 문서에서는 AZURE RHEL(Red Hat Enterprise Linux) 랜딩 존 가속기 배포에 대한 IAM(ID 및 액세스 관리) 고려 사항을 설명합니다. IAM은 조직의 보안 설정의 핵심 부분입니다. RHEL 운영 체제 및 해당 운영 체제에서 실행되는 애플리케이션은 외부 ID를 사용하여 작업을 확장해야 합니다. Azure 클라우드에서 인스턴스 환경을 원활하게 통합하고 관리할 수 있도록 하이브리드 클라우드 IAM 구현을 신중하게 디자인합니다. Red Hat과 Microsoft는 RHEL, Windows Server Active Directory 및 Microsoft Entra PIM(Privileged Identity Management) 간의 네이티브 통합을 보장하기 위해 함께 작동합니다.

디자인 고려 사항

이러한 디자인 고려 사항 및 권장 사항을 구현하여 Azure RHEL 배포에 대한 조직의 요구 사항을 충족하는 IAM 계획을 만듭니다.

일반적으로 하이브리드 클라우드 환경에서 RHEL 배포는 다음을 수행해야 합니다.

  • 운영 효율성 및 액세스 제어 가시성을 높이기 위해 가능한 경우 운영 체제 보안 하위 시스템과 통합되는 중앙 집중식 Linux ID 기관을 사용합니다. 다음을 수행할 수 있도록 중앙 집중식 Linux ID 기관을 사용합니다.
    • Linux 운영 체제에 대한 호스트별 권한 부여를 관리합니다.
    • 하이브리드 배포에서 일관성을 달성합니다.
    • 외부 원본에 인증을 위임합니다.
    • 액세스 제어 검토 프로세스를 간소화합니다.
    • 균일성을 보장합니다.
    • 구현 프로세스를 가속화합니다.
    • 하이브리드 클라우드 Linux 인프라의 보안 프레임워크를 향상시킵니다.
  • 여러 인스턴스에 동시에 정책을 균일하게 적용합니다. 변경이 발생할 때 자동화를 사용하여 인프라의 각 인스턴스를 수정할 필요가 없도록 이 방법을 사용합니다.
  • 호스트 기반 액세스 제어, 위임 및 기타 규칙을 사용하여 중앙 집중식, 보안 및 차별화된 인스턴스 수준 액세스 제어를 지원합니다.
  • ID 기관 전체에서 시스템 수준 권한 상승 규칙을 중앙에서 관리합니다. 환경 내의 개별 인스턴스 및 인스턴스 그룹에 이 정책을 일관되게 적용합니다.
  • 시스템 전체에서 보안 구성을 테스트하고 일관되게 구현하는 최신 자동화 도구 기능을 지원하거나 제공합니다. 보안 자동화를 처음부터 하이브리드 클라우드 배포로 디자인해야 합니다.
  • 기존 레거시 엔터프라이즈 SSO(Single Sign-On) 기능의 통합을 지원하여 마이그레이션 부담을 완화하고, 보안 작업의 일관성을 유지하며, 클라우드 기반 배포에 대한 최신 통합을 지원합니다.

인증 구현

Linux 배포는 운영 체제 수준에서 로컬 사용자 인증 환경을 구현하는 경향이 있습니다. 시스템 수준 인증 및 권한 부여, 개체 소유권, 개체 권한 및 애플리케이션 통합은 이 모델을 기반으로 합니다. 운영 체제 애플리케이션은 여러 가지 방법으로 이러한 ID를 사용합니다. 예시:

  • 애플리케이션 프로세스는 일부 사용자 ID에서 실행됩니다.
  • 애플리케이션 프로세스는 특정 사용자 및 그룹에 기인하는 파일을 만들거나 액세스합니다.
  • 사용자가 속한 그룹 집합은 사용자가 로그인할 때 수정됩니다. 멤버 자격 변경은 새 세션에만 적용됩니다.
  • 사용자의 인증 및 권한 부여 흐름은 인증의 결과로 활성 상태인 로그인 세션에 직접 연결됩니다.

이전에는 이러한 ID를 기반으로 한 사용자 시작 셸 세션이 Linux의 애플리케이션과 상호 작용하는 기본 수단이었습니다. 웹, 모바일 및 클라우드 지향 사용자 인터페이스로 이동하면서 이러한 ID 사용 패턴을 사용하는 애플리케이션은 덜 일반적입니다.

현재 이러한 ID는 일반적으로 운영 체제에서 격리된 애플리케이션 또는 서비스를 실행할 때 지원 메커니즘입니다. 애플리케이션 수준 ID가 반드시 시스템 수준 사용자와 동일할 필요는 없습니다. 그러나 시스템 수준 ID는 클라우드 환경에서 대규모로 실행되는 Linux 인프라를 효율적으로 실행하고 보호하는 데 여전히 중요합니다.

소규모 클라우드 배포 또는 파일럿 배포의 경우 이러한 기존 IAM 방법론은 시작하는 간단한 방법을 제공합니다. 환경이 확장됨에 따라 자동화를 사용하는 경우에도 이러한 메커니즘을 관리하기가 더 어렵습니다. 터치 포인트 수가 증가함에 따라 구성 데이터, 로깅 데이터, 드리프트 데이터 및 필수 분석의 볼륨도 증가합니다. 이러한 복잡성을 관리하려면 IAM을 중앙 집중화할 수 있습니다.

Linux 환경 내에서 중앙 집중식 보안을 제공하는 다양한 도구를 사용할 수 있습니다. 도구가 비즈니스 및 기술 요구 사항을 충족하는지 확인합니다. RHEL에는 보안을 위한 광범위한 소프트웨어 호환성 목록이 있습니다. Azure 네이티브 Microsoft Entra ID, Okta, SailPoint 또는 JumpCloud와 같은 상용 오픈 소스 소프트웨어 솔루션 또는 Keycloak과 같은 오픈 소스 프로젝트 솔루션을 사용하여 애플리케이션 수준 보안을 통합할 수 있습니다. 운영 체제 수준에서 다양한 보안 솔루션도 있습니다. 클라우드에서 여러 상용 솔루션 및 오픈 소스 소프트웨어 프로젝트를 배포할 수 있습니다.

Red Hat ID 관리에 대한 디자인 권장 사항

이 섹션에서는 IdM(Red Hat Identity Management) 및 Red Hat SSO를 사용하는 경우 RHEL에 대한 Azure 랜딩 존의 IAM에 대한 디자인 권장 사항을 설명합니다. 이러한 서비스는 Azure 및 Red Hat 인프라 표준 채택 모델에 대한 클라우드 채택 프레임워크 맞춥니다. 권장 사항은 하이브리드 클라우드 배포를 구현하는 데 사용하는 원칙을 확장합니다.

Red Hat IdM은 Linux 기반 도메인에서 ID 저장소, 인증, 정책 및 권한 부여를 관리하는 중앙 집중식 방법을 제공합니다. Red Hat IdM은 기본적으로 Windows Server Active Directory 및 Microsoft Entra ID와 통합되며 RHEL에 포함됩니다. 온-프레미스 Active Directory Azure로 확장하는 경우 Red Hat IdM 네이티브 Windows Server Active Directory 트러스트 기능을 활용할 수 있습니다. 마찬가지로 Microsoft Entra ID를 채택하거나 대체 ID 공급자를 사용하는 경우 원활한 통합을 위해 Red Hat IdM 및 Red Hat SSO를 사용할 수 있습니다. Red Hat SSO는 Keycloak 오픈 소스 프로젝트의 지원되는 엔터프라이즈 구현입니다. Red Hat Ansible Automation Platform을 비롯한 다양한 Red Hat 구독과 함께 추가 비용 없이 제공됩니다. Red Hat은 Azure의 RHEL 배포 내에서 Red Hat IdM을 구현하는 것이 좋습니다. 다음 다이어그램은 RHEL 관리 구독 배포를 보여줍니다.

RHEL 관리 구독 배포를 개략적으로 보여 주는 다이어그램

Azure에서 Red Hat 배포를 위한 IAM 구성 요소는 구독 크기 조정 모델을 사용하여 관리 도구에 대한 추가 제어 및 격리를 제공합니다. Red Hat IdM 기본 시스템 및 복제본 시스템 및 Red Hat SSO 인스턴스는 다른 도구를 사용하는 Red Hat 관리 구독에 상주합니다. 구독은 구현 전체에서 지역화된 서비스와 고가용성을 제공하는 데 사용할 수 있는 리소스 그룹을 제공합니다.

다음 다이어그램은 Red Hat IdM 영역 배포 아키텍처를 보여줍니다.

Red Hat IdM 영역 배포 아키텍처를 보여 주는 다이어그램

다음 다이어그램은 지역 및 가용성 영역에서 Red Hat IdM의 고가용성 배포를 보여 줍니다.

Red Hat IdM 다중 지역 배포 아키텍처를 보여 주는 다이어그램

이 아키텍처에는 서로 복제하고 숨겨진 복제본에 복제하는 각 지역 내에 IdM 서버가 있습니다. 지역 간에 두 개 이상의 복제 링크가 있습니다. 숨겨진 복제본은 가용성에 영향을 주지 않고 전체 백업으로 오프라인으로 전환할 수 있으므로 백업 지점 역할을 합니다.

IdM 클라이언트는 서비스 레코드 검색을 기반으로 하거나 sssd.conf 파일의 서버 목록을 통해 IdM 서버 간에 부하를 분산하고 장애 조치(failover)할 수 있습니다. IdM에서 외부 부하 분산 또는 고가용성 구성을 사용하지 마세요.

Red Hat IdM 배포에 대한 다음과 같은 중요한 디자인 권장 사항을 고려합니다.

  • Red Hat IdM의 배포, 구성 및 2일차 작업을 위한 IaC(Infrastructure as Code) 자동화를 구현합니다. Red Hat IdM을 자동화하려면 Ansible Automation Hub를 통해 인증된 Ansible 컬렉션 redhat.rhel_idm 사용할 수 있습니다. Red Hat SSO를 자동화하기 위해 redhat.sso 인증 Ansible 컬렉션을 사용할 수 있습니다.

  • 엔터프라이즈 및 애플리케이션 ID 지원을 구현합니다. 인스턴스에서 노출되는 서비스와 운영 체제 수준 및 애플리케이션 수준에서 인증이 필요한 서비스를 이해합니다. Red Hat IdM을 사용하여 OS 계층 보안, 호스트 기반 액세스 제어 규칙 및 sudo와 같은 권한 에스컬레이션 관리 규칙을 구현합니다. Red Hat IdM을 사용하여 SELinux 정책을 매핑하고 레거시 시스템의 ID를 매핑할 수도 있습니다. Red Hat SSO를 사용하여 엔터프라이즈 인증 원본을 웹 기반 애플리케이션과 통합합니다.

  • 위협 대응에 중앙 집중식 ID 관리를 사용합니다. 클라우드 규모 배포에서 손상된 자격 증명을 즉시 무효화하거나 회전할 수 있습니다.

  • Windows Server Active Directory 및 Microsoft Entra ID와 같은 Azure 네이티브 ID 공급자에 대한 초기 통합 경로를 결정합니다. Red Hat IdM은 몇 가지 통합 옵션을 지원합니다. IdM 내에서 통합을 추가 및 제거할 수 있지만 기존 요구 사항, 마이그레이션 효과 및 시간에 따른 변경 비용을 평가해야 합니다.

  • 대기 시간을 줄이고 복제에 단일 실패 지점이 없도록 Red Hat IdM 기본 배포 및 복제본 배포를 구성합니다. RHEL 인스턴스의 지리적 배포는 Red Hat IdM 인프라에 영향을 줍니다. Red Hat IdM을 사용하여 향상된 성능, 부하 분산, 장애 조치(failover) 및 고가용성을 제공하는 여러 Red Hat IdM 복제본을 배포할 수 있습니다. 배포는 최대 60개의 복제본으로 구성됩니다. 복제본 배포는 시스템이 장애 도메인에 걸쳐 있는지 확인해야 합니다. 자동화를 통해 Red Hat IdM 복제본 업데이트를 관리하여 복제 일관성을 보장합니다. Red Hat 권장 복제 토폴로지 사용

  • Windows Server Active Directory 트러스트 구성 및 DNS(도메인 이름 시스템) 구성을 올바르게 설정해야 합니다. Red Hat IdM 및 Windows Server Active Directory를 구성할 때 온-프레미스 Active Directory 서버와 Red Hat IdM 서버는 모두 자체 DNS 도메인 또는 하위 도메인에 있어야 합니다. 이 요구 사항은 Kerberos 서비스 레코드 및 Kerberos 서비스 검색 때문입니다. 클라우드 채택 프레임워크 Azure 기반 인스턴스에 대한 개인 IP DNS 확인을 권장합니다.

  • Red Hat IdM 내의 전달 및 역방향 DNS 영역, 호스트 등록, SSH(Secure Shell) 키 생성 및 등록과 같은 관리 작업을 자동화하도록 Red Hat IdM 통합용 Red Hat Satellite를 구성합니다. Red Hat IdM은 통합 DNS 서비스를 제공합니다. Windows Server Active Directory 사용자가 SSO를 통해 RHEL 시스템 및 서비스에 원활하게 로그인할 수 있도록 이 통합을 Windows Server Active Directory 트러스트와 결합합니다.

  • Red Hat IdM 리소스를 백업합니다. 일반적으로 자체 관리형 다중 주 복제본 구성에서 Red Hat IdM을 배포하지만 적절한 시스템 및 데이터 백업이 있는지도 확인해야 합니다. Red Hat IdM 숨겨진 복제본을 사용하여 서비스 가용성을 중단하지 않고 전체 오프라인 백업을 구현합니다. 암호화된 백업 기능에 Azure Backup을 사용합니다.

  • 통합 CA를 사용하여 RHEL을 배포할 때 외부 CA(인증 기관), 회사 CA 또는 파트너 CA가 Red Hat IdM 루트 인증서에 서명하도록 합니다.

  • Red Hat ID 서비스를 다른 Red Hat 제품과 통합합니다. Red Hat IdM 및 Red Hat SSO는 Ansible Automation Platform, OpenShift Container Platform, OpenStack Platform, Satellite 및 개발 도구와 통합됩니다.

계획 ID 관리 가이드사용하여 인프라를 계획하고 Red Hat IdM 배포를 위한 서비스를 통합합니다. Red Hat IdM을 배포하려는 RHEL의 운영 체제 릴리스에 대한 특정 가이드를 참조하세요.

Azure 네이티브 ID 관리에 대한 디자인 권장 사항

  • Microsoft Entra ID와 함께 Azure RHEL 가상 머신을 사용하여 사용자 권한을 제한하고 관리자 권한이 있는 사용자 수를 최소화합니다. 구성 및 비밀 액세스를 보호하기 위해 사용자 권한을 제한합니다. 자세한 내용은 컴퓨팅에 대한 Azure 기본 제공 역할을 참조 하세요.

  • 최소 권한 원칙을 따르고 사용자가 권한 있는 작업에 필요한 최소 권한을 할당합니다. 필요에 따라 모든 액세스 권한 및 Just-In-Time 액세스 권한을 부여합니다. Azure 랜딩 존에서 Microsoft Entra PIMIAM을 사용합니다.

  • 관리 ID를 사용하여 Azure에서 실행되는 워크로드에 대한 비밀을 관리할 필요 없이 Microsoft Entra ID 보호 RHEL 리소스에 액세스합니다.

  • Microsoft Entra ID를 핵심 인증 플랫폼 및 인증 기관으로 사용하여 Linux VM에 SSH하는 것이 좋습니다.

  • 키, 비밀 및 인증서와 같은 중요한 정보를 보호합니다. 자세한 내용은 Azure에서 암호화 및 키 관리에 대한 클라우드 채택 프레임워크 참조하세요.

  • Windows Server Active Directory, Microsoft Entra ID 또는 AD FS(Active Directory Federation Services)를 사용하여 SSO를 구현합니다. 액세스 유형에 따라 서비스를 선택합니다. 중앙 ID 공급자가 성공적으로 인증한 후 사용자가 사용자 ID 및 암호 없이 RHEL 애플리케이션에 연결할 수 있도록 SSO를 사용합니다.

  • LAPS(로컬 관리자 암호 솔루션)와 같은 솔루션을 사용하여 로컬 관리자 암호를 자주 회전합니다. 자세한 내용은 보안 평가: Microsoft LAPS 사용량을 참조하세요.

다음 단계