홈
topics
ID 오케스트레이션
게시일: 2024년 4월 4일
기고자: Matthew Kosinski, Amber Forrest
Identity Orchestration은 여러 ID 공급자의 서로 다른 ID 및 액세스 관리(IAM) 시스템을 원활한 워크플로로 조정하기 위한 소프트웨어 솔루션입니다.
디지털 혁신 시대에 조직은 더 많은 서비스형 소프트웨어(SaaS) 솔루션을 채택하고 하이브리드 멀티클라우드 환경으로 전환하고 원격 근무를 수용하고 있습니다. 오늘날의 기업 IT 에코시스템에는 클라우드 기반 및 온프레미스 애플리케이션과 자산이 혼합된 멀티벤더가 포함되어 있으며, 직원과 계약업체부터 파트너와 고객에 이르기까지 다양한 사용자에게 서비스를 제공합니다.
한 보고서에 따르면 비즈니스 부서는 평균적으로 87개의 서로 다른 SaaS 앱을 사용한다고 합니다.1 이러한 앱에는 자체 ID 시스템이 있는 경우가 많아 서로 쉽게 통합되지 않을 수 있습니다. 그 결과 많은 조직이 파편화된 ID 환경과 불편한 사용자 경험으로 어려움을 겪고 있습니다.
예를 들어 한 직원이 회사의 티켓 관리 시스템과 고객 관계 관리(CRM) 포털을 위한 별도의 계정을 가지고 있을 수 있습니다. 이로 인해 고객 서비스 티켓 해결과 같은 간단한 작업이 어려워질 수 있습니다. 사용자는 한 시스템에서 다른 시스템으로 티켓 세부 정보와 관련 고객 기록을 가져오기 위해 여러 디지털 ID를 사용해야 합니다.
한편, IT 및 사이버 보안 팀은 사용자 활동을 추적하고 네트워크 전체에 일관된 액세스 제어 정책을 시행하는 데 어려움을 겪고 있습니다. 앞의 예에서 직원은 프로젝트 관리 시스템에서 필요한 것보다 더 많은 권한을 갖게 될 수 있지만 CRM 권한이 너무 낮아 서비스를 제공하는 고객의 기록에 액세스할 수 없습니다.
Identity Orchestration 소프트웨어는 서로 다른 ID 및 인증 서비스를 일관되고 자동화된 워크플로로 구성하여 ID 및 액세스 관리를 간소화합니다.
회사의 모든 ID 도구는 오케스트레이션 소프트웨어와 통합되어 이들 간의 연결을 생성하고 관리합니다. 이 기능을 통해 조직은 기존 시스템을 교체하거나 재조정하지 않고도 공급업체에 구애받지 않는 싱글사인온(SSO) 시스템과 같은 맞춤형 IAM 아키텍처를 구축할 수 있습니다.
앞의 예로 돌아가서, 조직은 Identity Orchestration 플랫폼을 사용하여 티켓 관리 및 CRM 시스템의 직원 계정을 SSO 플랫폼에 연결하고, 이를 모두 중앙 사용자 디렉터리에 연결할 수 있습니다. 이렇게 하면 사용자는 SSO에 한 번만 로그인하여 두 앱에 모두 액세스할 수 있으며, 중앙 디렉터리가 자동으로 신원을 확인하고 각 서비스에 대한 올바른 액세스 권한을 적용합니다.
아이덴티티는 주요 공격 벡터가 되었습니다. 조직이 ID 기반 공격에 대처하고 Identity Orchestration을 통해 사용자 경험을 간소화할 수 있는 방법을 알아보세요.
정보 기술 분야에서 오케스트레이션은 서로 다른 도구를 연결하고 조정하여 복잡한 다단계 워크플로를 자동화하는 프로세스입니다. 예를 들어 보안 오케스트레이션 영역에서 조직은 보안 이메일 게이트웨이, 위협 인텔리전스 플랫폼 및 맬웨어 방지 소프트웨어를 결합하여 자동화된 피싱 탐지 및 대응 워크플로를 만들 수 있습니다.
Identity Orchestration은 서로 다른 ID 도구의 기능을 연결하고 조정하여 통합되고 간소화된 ID 워크플로를 만듭니다.
ID 도구는 조직에서 ID 확인 시스템, 고객 ID 및 액세스 관리 플랫폼과 같은 사용자 ID를 정의, 관리 및 보호하는 데 사용하는 도구입니다.
ID 워크플로는 사용자가 ID 도구를 통해 이동하는 프로세스입니다. ID 워크플로의 예로는 사용자 로그인, 온보딩 및 계정 프로비저닝이 있습니다.
ID 도구가 항상 쉽게 통합되는 것은 아니며, 특히 조직이 서로 다른 클라우드에서 호스팅되는 SaaS 도구를 사용하거나 온프레미스 시스템과 클라우드 기반 시스템 간의 격차를 해소하려는 경우에는 더욱 그렇습니다. Identity Orchestration 플랫폼은 통합을 위해 구축되지 않은 경우에도 이러한 도구를 연결할 수 있습니다.
Identity Orchestration 플랫폼은 네트워크의 모든 ID 시스템에 대한 중앙 컨트롤 플레인 역할을 합니다. 모든 ID 도구는 오케스트레이션 플랫폼과 통합되어 ID 패브릭이라는 포괄적인 ID 아키텍처를 만듭니다.
조직은 이러한 통합을 하드코딩할 필요가 없습니다. 대신, 오케스트레이션 플랫폼은 사전 구축된 커넥터, 애플리케이션 프로그래밍 인터페이스(API), SAML 및 OAuth와 같은 공통 표준을 혼합하여 도구 간의 연결을 관리합니다.
ID 시스템이 ID 패브릭으로 통합되면 조직은 오케스트레이션 플랫폼을 사용하여 활동을 조정하고 ID 워크플로 중에 사용자가 도구 간에 이동하는 방식을 제어할 수 있습니다. 결정적으로, 오케스트레이션 플랫폼은 개별 앱에서 인증과 권한 부여를 분리하여 복잡한 ID 워크플로를 가능하게 합니다.
앞서 언급했듯이 오케스트레이션 솔루션이 없는 경우 서로 다른 ID 시스템이 서로 통신하지 못할 수 있습니다. 예를 들어 조직에서 고객 관계 관리(CRM) 도구와 문서 관리 시스템(DMS)을 각각 다른 공급업체에서 사용하는 경우, 각 앱에 자체 IAM 시스템이 있을 수 있습니다.
사용자는 각 앱에서 별도의 계정을 유지 관리해야 합니다. 두 앱 중 하나에 액세스하려면 사용자는 해당 서비스에 직접 로그인해야 합니다. 인증 및 권한 부여는 각 앱의 고유한 IAM 시스템 내에서 이루어지며 앱 간에 전송되지 않습니다.
오케스트레이션 솔루션을 사용하면 상황이 달라집니다. 사용자가 두 앱 중 하나에 액세스하면 요청이 먼저 오케스트레이션 솔루션을 거칩니다. 이 솔루션은 요청을 올바른 ID 증명 및 액세스 제어 서비스로 라우팅하며, 이 서비스는 두 앱 외부의 중앙 디렉터리가 될 수 있습니다.
사용자가 중앙 디렉터리에서 인증되고 권한이 부여되면 오케스트레이션 플랫폼은 앱을 트리거하여 사용자가 올바른 권한을 가질 수 있도록 합니다.
실제로 Identity Orchestration을 구현하기 위해 조직은 Identity Orchestration 플랫폼을 사용하여 ID 워크플로를 구축합니다. '사용자 여정'이라고도 하는 ID 워크플로는 앱에 로그인할 때와 같이 정의된 상황에서 사용자가 ID 도구를 통해 이동하는 방식과 이러한 도구가 상호 작용하는 방식을 지시하는 프로세스입니다.
워크플로우는 조건부 로직과 분기 경로를 사용하여 간단할 수도 있고 비교적 복잡할 수도 있습니다. 여기에는 이메일 서비스나 소셜 미디어 사이트와 같이 엄밀히 말해 ID 확인 도구로 간주되지 않는 시스템을 포함하여 다양한 시스템이 포함될 수 있습니다.
Identity Orchestration 솔루션을 통해 조직은 새로운 코드를 작성하지 않고도 사용자 여정을 구축할 수 있습니다. 이러한 솔루션에는 이벤트를 정의하고, ID 도구를 연결하고, 사용자 경로를 구성할 수 있는 시각적, 노코드, 드래그 앤 드롭 인터페이스가 있습니다.
ID 워크플로가 무엇인지 이해하려면 예를 살펴보는 것이 도움이 될 수 있습니다. 다음은 조직이 오케스트레이션 플랫폼을 통해 구성할 수 있는 가상의 신입 사원 온보딩 및 로그인 워크플로입니다.
여기에는 꽤 많은 단계가 있지만, 이 모든 과정이 사용자가 눈치채지 못하는 사이에 백그라운드에서 자동으로 진행된다는 점에 주목할 필요가 있습니다. 오케스트레이션 플랫폼은 프로세스를 처음부터 끝까지 감독합니다. 또한 향후 로그인은 더욱 간소화됩니다. 사용자가 SSO에 로그인하면 이제 SSO는 사용자를 인식하고 필요한 모든 항목에 대한 액세스 권한을 부여합니다.
Identity Orchestration 플랫폼은 기존 ID 시스템을 대체하지 않습니다. 이러한 시스템 간에 연결을 생성하여 다양한 앱과 도구가 설계되지 않았더라도 함께 작동할 수 있도록 합니다. 이 기능은 조직이 몇 가지 일반적인 문제를 해결하는 데 도움이 될 수 있습니다.
많은 조직에서 여러 클라우드 공급자와 다양한 공급업체의 온프레미스 도구를 사용합니다. 이러한 시스템이 통합되지 않으면 조직은 네트워크 전반에서 사용자 행동에 대한 가시성을 잃게 됩니다. 예를 들어, IT 및 보안 팀은 각 클라우드에 대해 별도의 계정을 사용하기 때문에 Microsoft Azure와 Amazon Web Services 사이에서 단일 사용자를 추적할 수 없습니다.
이러한 단편화된 환경으로 인해 회사의 모든 앱과 자산에 대해 일관된 액세스 정책과 보안 제어를 시행하는 것이 어려울 수도 있습니다.
이러한 가시성과 보안의 격차는 해커와 악의적인 내부자가 들키지 않고 혼란을 일으킬 수 있는 기회를 만듭니다. 사이버 범죄자의 주요 표적이 되는 ID 시스템의 경우 특히 위험성이 높습니다. X-Force Threat Intelligence Index에 따르면 도난당하거나 유출된 자격 증명을 사용한 사이버 공격은 2022년에서 2023년 사이에 71% 증가했습니다.
조직은 한 공급업체의 도구만 사용하거나 통합하도록 설계된 도구만 사용하여 ID 사일로를 피할 수 있습니다. 그러나 이는 조직이 항상 작업에 적합한 도구를 자유롭게 선택할 수는 없음을 의미합니다.
Identity Orchestration는 기존 시스템을 크게 변경하지 않고도 ID 사일로를 허물고 가시성을 복원할 수 있습니다. 조직은 중앙 집중식 디렉터리를 생성하여 각 사용자에 대한 단일 디지털 ID를 지원할 수 있으므로 회사는 앱과 자산 전반에서 실시간으로 행동을 추적하고 위협을 탐지할 수 있습니다. 또한 기업은 오케스트레이션을 사용하여 네트워크 전체에 일관된 액세스 제어를 적용할 수 있습니다.
또한 Identity Orchestration 플랫폼은 직원, 고객 등 모든 유형의 사용자에 대한 ID 라이프사이클 관리를 중앙 집중화할 수 있습니다. 조직은 고객 경험을 방해하지 않으면서 소비자 대면 자산에 강력한 사이버 보안 제어를 제공할 수 있습니다.
SSO를 사용하면 사용자는 하나의 자격 증명 세트로 여러 시스템에 로그인할 수 있지만, 각 SSO 플랫폼은 기업의 모든 앱 및 자산과 호환되지 않을 수 있습니다. 이는 SSO마다 SAML 또는 OIDC와 같은 다른 표준을 사용하여 시스템 간에 인증 정보를 교환할 수 있기 때문입니다. 앱이나 자산이 특정 SSO와 동일한 표준을 사용할 수 없는 경우 해당 SSO와 통신할 수 없습니다.
Identity Orchestration 플랫폼은 기본적으로 통합되지 않는 앱과 SSO를 연결할 수 있습니다. 앱과 SSO는 서로 직접 통합되는 것이 아니라 Identity Orchestration 플랫폼과 통합됩니다. 그런 다음 Identity Orchestration 플랫폼이 시스템 간의 통신을 처리하여 조직이 호환성에 관계없이 모든 앱과 자산을 동일한 SSO로 가져올 수 있도록 합니다.
조직은 종종 MFA 또는 비밀번호 없는 인증과 같은 새로운 보안 조치를 레거시 앱으로 확장하고자 합니다. 그러나 이러한 현대화 작업에는 많은 비용과 시간이 소요될 수 있으며, 사용자 지정 코드 또는 전체 시스템 교체가 필요한 경우가 많습니다.
Identity Orchestration를 사용하면 프로세스를 간소화할 수 있습니다. 조직은 오케스트레이션 플랫폼의 시각적 인터페이스를 사용하여 레거시 앱에 최신 보안 도구를 제공하는 ID 워크플로를 설계할 수 있습니다. 이를 통해 조직은 클라우드 기반 자산과 온프레미스 자산을 단일 제로 트러스트 아키텍처로 통합할 수 있습니다.
조직은 일반 데이터 보호 규정(GDPR) 또는 건강 보험 양도 및 책임에 관한 법률(HIPAA)과 같은 규정을 준수하기 위해 사용자 행동에 대한 가시성이 필요합니다.
이러한 규정에 따라 조직은 신용 카드 번호 및 의료 정보와 같은 민감한 데이터에 엄격한 액세스 제어 정책을 적용하고 사용자가 이 데이터로 수행하는 작업을 추적해야 합니다. 사용자가 여러 디지털 ID를 갖고 있는 경우 적합한 사람만 올바른 이유로 올바른 데이터에 액세스하도록 보장하기 어려울 수 있습니다.
Identity Orchestration는 사용자 행동을 쉽게 추적하고 일관된 액세스 권한을 적용하여 조직이 규정 준수 요건을 충족하는 데 도움이 될 수 있습니다. 일부 오케스트레이션 플랫폼은 감사 시 도움이 될 수 있는 ID 워크플로우의 로그를 보관하기도 합니다.
IBM Security Verify 제품군은 ID 거버넌스 관리, 인력 및 사용자 ID와 액세스 관리, 권한 있는 계정 제어를 위한 자동화된 클라우드 기반 및 온프레미스 기능을 제공합니다.
IBM Security Verify는 고객이 IBM 및 기존 타사 솔루션으로 구성된 효과적인 ID 패브릭을 구축할 수 있는 기본 구성 요소를 제공합니다.
ID 및 보안 전문가와 함께 IAM 작업을 간소화하여 하이브리드 클라우드 환경 전반에서 솔루션을 정의 및 관리하고, 거버넌스 워크플로를 혁신하고, 규정 준수를 입증할 수 있도록 지원합니다.
ID 및 액세스 관리(IAM)는 사용자가 디지털 리소스에 액세스하는 방법과 해당 리소스로 수행할 수 있는 작업을 다루는 사이버 보안 분야입니다.
IBM은 Forrester Consulting에 의뢰하여 온프레미스 IAM 인프라와 함께 서비스형 ID(IDaaS) 솔루션인 IBM Security Verify를 배포하여 조직이 실현할 수 있는 잠재적 투자 수익(ROI)을 조사하는 총 경제 효과(Total Economic Impact, TEI) 연구를 수행했습니다.
오늘날의 하이브리드 환경에서 발생하는 ID 문제를 해결하기 위해 기업은 기존 ID 솔루션을 보완하는 동시에 다양한 ID 및 액세스 관리(IAM) 사일로를 효과적으로 통합할 수 있는 다목적 솔루션이 필요합니다.
1 2023년 SaaS 트렌드 현황(ibm.com 외부 링크), Productiv, 2023년 6월 21일