Active Directory Federation Services 2.0: 클라우드의 문을 열다
새로운 Microsoft Active Directory Federation Services은 높은 수준의 클라우드 보안을 약속합니다.
Jeffrey Schwartz
Microsoft의 Active Directory Federation Services(AD FS) 2.0은 여러 시스템을 대상으로 간단하며 안전한 인증 방법을 제공합니다. 클라우드 기반의 Microsoft 포트폴리오에 대해서도 마찬가지 기능을 제공하며, AD FS 2.0의 확장된 상호 운용성은 Amazon.com Inc, Google Inc 및 Salesforce.com Inc와 같이 이미 표준 프로토콜을 지원하는 다른 클라우드 공급자에게도 동일한 보안 인증을 제공할 것으로 기대됩니다.
AD FS 2.0(이전의 “Geneva Server”)은 5월에 출시되었습니다. 이는 상호 운용이 가능한 클레임 기반의 통합된 ID 관리 기능을 제공하는, 아주 오래 기다려온 Microsoft Active Directory의 확장 기능입니다. 기존의 AD 배포 환경에 AD FS 2.0을 추가함으로써, IT 관리자는 개별 사용자가 Active Directory에 한 번만 로그인하면 그 자격 증명을 사용하여 다른 모든 클레임 인식 시스템 또는 응용 프로그램에 로그인하도록 할 수 있습니다.
“중요한 핵심은 우리가 액세스 방식, 그리고 회사 내부에서 클라우드로의 Single Sign-On과 같은 기능의 작동 방식을 간소화하고 있다는 점입니다.” - John “J.G.” Chirapurath, Microsoft Identity and Security Business Group 선임 책임자
첫 번째 릴리스와는 달리 AD FS 2.0은 널리 보급된 SAML(Security Assertion Markup Language) 2.0 표준을 지원합니다. 많은 타사 클라우드 서비스에서도 SAML 2.0 기반의 인증을 사용하고 있으므로 이는 다른 응용 프로그램 및 클라우드 서비스와의 상호 운용성을 위해 중요한 부분입니다.
“우리는 클라우드 기반 서비스의 성공적인 도입을 위해 페더레이션과 클레임 기반의 인증 및 권한 부여가 매우 핵심적인 요소임을 알고 있습니다.” - Kevin von Keyserling, 시스템 통합 업체이며 Microsoft Gold Certified 파트너인 오하이오 주재 Certified Security Solutions Inc.(CSS) 대표이사 겸 CEO
AD FS 2.0이 기존 시스템 및 데이터를 클라우드로 전향하는 과정에 관련된 모든 보안 문제를 해결할 필요는 없지만, 핵심적인 장벽은 제거해 주는 것이 확실합니다. 특히 SharePoint와 같은 응용 프로그램을 포함하는 다양한 응용 프로그램에 대해서 말입니다. 많은 기업이 Windows Azure와 같은 클라우드 서비스 사용을 꺼리는 이유는 보안상 문제와 인증 제어 기능이 부족하기 때문입니다.
Chirapurath는 이렇게 설명합니다. “보안 문제, 특히 ID와 이러한 ID 관리의 문제는 수준 높은 클라우드 컴퓨팅의 경지에 오르는 데 가장 큰 장벽일 것입니다.” “전자 메일로 인해 Active Directory의 수요가 폭발적으로 늘었듯이, Active Directory Federation Services는 클라우드의 수요를 크게 늘릴 것입니다.”
AD FS 2.0은 Windows Azure에서 실행되는 응용 프로그램에 쉽게 통합될 수 있으므로 조직에서는 Windows Server 2008과 클라우드 기반의 Microsoft 서비스 모두에서 클레임 기반의 디지털 토큰, ID 선택기를 사용하여 혼합형 클라우드 네트워크를 구축할 수 있습니다. 이러한 기능의 목표는 사용자가 Windows Server 또는 Windows Azure에 편리하게 인증하고 이러한 자격 증명을 SAML 2.0 기반의 토큰을 받는 다른 응용 프로그램과 공유하는 것입니다.
또한 개발자는 Microsoft Windows Identity Foundation(WIF)을 사용하여 자신의 .NET 응용 프로그램이 ID를 인식하도록 할 수 있습니다.
WIF는 Microsoft 클레임 기반 ID 모델의 기반 프레임워크를 제공합니다. Microsoft .NET Framework 내에서 구현되고 WIF를 사용하여 개발된 응용 프로그램은 ID 속성, 역할, 그룹 및 정책과 같은 인증 스키마를 제시하며 이러한 클레임을 관리할 수 있는 방법도 제공합니다. 또한 엔터프라이즈 개발자 및 ISV에서 WIF를 기반으로 제작한 응용 프로그램은 이러한 클레임을 받을 수도 있습니다.
AD FS 2.0의 통과 페더레이션 인증은 WSFED(Web Services Federation)와 WS-Trust 및 SAML 표준 양쪽 모두를 기반으로 하는 토큰을 받음으로써 가능해집니다. Microsoft는 WSFED 사용을 권장했지만 18개월 전 발표되어 더 널리 도입된 SAML 사양만 지원되고 있습니다.
은행에 활용
AD FS 2.0의 스트레스 테스트를 진행했으며 보스턴에 위치한 Microsoft Gold Certified 파트너인 FullArmor Corp의 CTO이기도 한 Danny Kim은 이미 ADFS 2.0을 사용하여 시스템을 클라우드에 배포하고자 하는 고객을 보유하고 있다고 말했습니다.
“AD FS 2.0은 ID를 다시 우리의 서버 공간과 클라우드 기반 서비스로 연결하는 역할을 하며 우리는 이러한 모든 환경에서 작동하는 한 가지 버전을 가지고 있습니다.”
Kim의 말에 따르면 뉴욕의 한 대규모 투자 은행이 이를 도입하여 시스템을 배포함으로써 사용자가 FullArmor의 Windows Azure 기반 시스템에서 호스팅하는 응용 프로그램을 통해 인증하기를 원한다고 합니다.
“이 회사는 보안에 민감한 회사로, 보안이 보장되지 않는다면 우리는 이러한 서비스를 클라우드에 배포하지 않을 것입니다.” Kim은 또한 클라우드로의 전환이 안전하다고 판단되면 궁극적으로 이 은행은 서버를 더 이상 구매하고 가동하지 않을 것이라 덧붙였습니다. Kim의 설명에 따르면 AD FS 2.0이 사용자의 토큰을 AD로 매핑하고, 이는 다른 AD FS 2.0 지원 시스템으로 전달된다고 합니다.
이제 이러한 클레임은 모든 SAML 기반 시스템으로 전달할 수 있다는 것이 Microsoft의 공식적인 설명입니다. Microsoft는 ID 관리 규약을 다루는 표준 조직인 Liberty Alliance를 통해 다른 공급업체와의 상호 운용성 테스트도 거쳤습니다.
“우리와 여러 공급업체가 함께 SAML 프로토콜 구현을 테스트하였으며 전체 테스트 사례에서 모두 좋은 결과를 얻었습니다.” Microsoft의 AD FD 팀 선임 프로그램 관리자인 Matt Steele이 AD FS Release Candidate 발표 후 Microsoft Channel 9 비디오를 통해 언급한 내용입니다. “이는 AD FS 2.0은 SAML 프로토콜을 구현하며, 모든 테스트 사례에 참여한 모든 공급업체와 상호 운용이 가능하다고 홍보할 수 있는 근거를 얻은 것입니다.”
모든 구현이 테스트를 통과할 것인가?
Microsoft가 과도한 기대를 하는 것이 아닌가 하는 우려도 여전히 있습니다. 예를 들어 SAML 토큰이 다른 공급업체의 플랫폼에서 제공하는 토큰과 얼마나 호환될 것인지는 확인되지 않았습니다. 여러 플랫폼 사이에서 작동하는 자체 Single Sign-On 서버를 제공하는 Ping Identity Corp의 CTO인 Patrick Harding은 다음과 같이 말합니다.
“우리는 SAML을 4년 정도 다루어 왔습니다.” Harding의 회사는 Microsoft의 경쟁사이자 파트너입니다. “우리는 실험 환경에서의 SAML과 실제 환경에서의 SAML이 매우 크게 다를 수 있다는 점을 잘 알고 있습니다. 특히 자체 SAML 구현을 작성하는 SaaS[Software as a Service] 공급업체가 많을 경우, 그 사이에는 항상 미묘한 차이가 있기 마련입니다.”
Harding은 또한 .NET 개발 커뮤니티가 얼마나 빨리 WIF를 수용할지에 대해서도 의문을 가지고 있습니다. “좋은 생각이긴 하지만, WIF를 사용하려면 개발자가 전혀 새로운 패러다임과 새로운 개발 프레임워크를 기초부터 배워서, 개발자의 응용 프로그램을 AD FS에 통합하는 방법을 이해해야 합니다.”
그러나 Kim은 반대 의견입니다. “.NET 환경에 친숙한 개발자라면 배우는 데 그다지 많은 노력이 필요하지는 않을 것입니다.”
물론 친숙한 개발 도구를 개발하고 손쉽게 배울 수 있도록 하는 노력은 필요할 것입니다. Sotnikov는 이와 같이 덧붙입니다. “일부 도구나 클라우드 플랫폼의 경우 기존의 C++ 및 C# 코드를 다시 사용할 수 없지만, 이 솔루션은 적어도 최대 50%의 기존 코드는 사용할 수 있습니다.”
이러한 문제를 제외하면 Harding은 역시 AD FS 2.0의 출시가 새로운 클라우드 컴퓨팅 이니셔티브를 위한 길을 열어 줄 것이라 인정하고 있습니다. “AD FS 2.0이 중요한 이유는 통합된 ID 관리가 중요함을 입증하기 때문입니다. 이는 점차 클라우드 컴퓨팅과 SaaS 컴퓨팅에 반드시 필요한 요소가 될 것입니다.” “모든 관련 분야는 발전할 것이며, 통합이 실제로 이루어지면 모든 이들은 더 편안해 질 것입니다.”
카드의 미래
AD FS 2.0 출시를 불과 며칠 앞두고 Microsoft는 정보 카드를 위한 CardSpace ID 선택기인 CardSpace 2.0의 출시를 보류했습니다. 이는 여러 로그인을 관리할 수 있는 일반적인 UI를 제공하는 소프트웨어입니다. 작년만 해도 베타 버전이었던 CardSpace 2.0은 AD FS 2.0 및 WIF와 함께 작동합니다. CardSpace 2.0 Beta 평가판 사용자를 위한 지원 차원에서, Microsoft는 최근에 AD FS 2.0 추가 기능의 CTP(Community Technology Preview)를 출시했습니다. 이를 통해 Windows Server에서 정보 카드를 발행할 수 있습니다.
“정보 카드 공간에 포함될 정보는 많습니다. 특히 RSA 회의에서 발표된 U-Prove와 같은 암호화 기술의 사용을 고려하고 있다면 더 그렇습니다.” Microsoft Forefront 보안 그룹의 선임 제품 관리자인 Joel Sider의 말입니다. “또한 OpenID와 같은 새로운 표준도 있습니다. 우리는 이러한 새로운 추세에 대응하고자 합니다.”
이쯤에서 궁금한 부분이 생깁니다. CardSpace 2.0이 빛을 볼 것인가? 하는 점입니다. Sider는 이렇게 말합니다. “정보 카드에 대한 지원은 분명히 이루어질 것입니다. 정보 카드에 대한 우리의 관심과 투자는 계속 잘 진행되고 있습니다.” Microsoft가 CardSpace 2.0의 업데이트 계획에 대해 언급한 적은 없지만, 일부에서는 이 기술이 과연 미래가 있는가 의문을 가지고 있습니다.
Harding에 따르면 CardSpace 2.0의 확실하지 않은 운명은 “제한된 도입을 고려하면 놀라운 일이 아니다.”라고 합니다. “불행한 일이지만 Microsoft의 권유로 InfoCard 모델을 구매한 모든 사람들과 회사들에게는 화나는 일이 아닐 수 없습니다.”
하지만 Microsoft의 Trustworthy Computing 부사장인 Scott Charney가 올해 3월 초 샌프란시스코에서 개최된 연례 RSA 컨퍼런스에서 회사의 U-Prove CTP 버전을 발표하면서 계획의 수정이 불가피해졌습니다. U-Prove 제품은 디지털 토큰 발행의 중심에 있으며 이를 통해 사용자는 토큰 수령자와 얼만큼의 정보를 공유할지 제어할 수 있습니다.
사용자가 AD FS 2.0을 대상으로 U-Prove를 사용하면 사용자는 신뢰할 수 있는 도메인 사이에서 ID를 통합할 수 있게 됩니다. Microsoft는 OSP(Open Specification Promise)를 바탕으로 U-Prove를 출시했으며 FreeBSD 라이선스 하의 알고리즘 구현을 위한 두 개의 참조 도구 키트를 제공했습니다. 또한 Microsoft는 U-Prove를 공개 소스 ID 선택기와 통합할 수 있는 두 번째 규약도 OSP를 바탕으로 출시했습니다. .NET과 공개 소스 커뮤니티가 U-Prove를 얼마나 받아들일지는 두고 볼 문제입니다.
클라우드 전환
많은 Windows IT 전문가와 보안 전문가는 AD FS 2.0의 미래를 낙관적으로 보고 있습니다. CSS의 Von Keyserling도 AD FS 2.0이 향상된 클라우드 보안에 핵심이 될 것이라 믿는 사람 중 하나입니다.
“우리는 매우 큰 규모의 글로벌 기업과 함께 일하고 있으며 이들이 클라우드 컴퓨팅 환경으로 손쉽게 전환할 수 있는 페더레이션 모델을 구축하도록 돕고 있습니다.” “이를 통해 별도의 ID를 가진 여러 조직 간의 ID 관리 역량을 늘릴 수 있을 것입니다.”
Keyserling에 따르면, 예를 들어 CSS와 고객이 시스템 내에서 공동 작업을 원할 경우, 시스템이 로컬에서 호스팅되든 공유된 서버 풀을 통해 제공되든 클라우드에 있든 관계없이 두 조직은 각자의 서비스를 통합하여 양측의 직원 ID를 손쉽게 관리할 수 있게 됩니다.
“기존 ID 인프라를 사용하고 이를 Microsoft에서 호스팅하거나 SharePoint를 통해 호스팅되는 클라우드에 적용하면 분명 우리의 관점에서는 ID가 보안의 핵심일 것이며 클라우드 보안 전체의 측면에서도 매우 중요한 고려 사항일 것입니다.”
Chirapurath는 핵심이 Microsoft 내에 있다고 말합니다. “ID를 말할 때는 저장이 핵심이 됩니다. ID란 당신이 누구이며 무엇을 할 수 있는지를 의미하기 때문입니다.” “클라우드 컴퓨팅에서 발생하는 과제는 ID 영역에 있는 경우가 많습니다. AD FS를 사용해서 할 수 있는 일은 이러한 내부 ID를 클라우드와 공유할 수 있다는 것입니다. Windows Azure일 수도 있고 SAML 또는 WS 표준을 지원하는 다른 클라우드일 수도 있습니다. 즉 기존의 내부 Active Directory를 그대로 사용하고 이러한 ID를 클라우드 컴퓨팅 작업에서 활용할 수 있다는 것입니다.”
AD FS 2.0 구현
Microsoft는 AD FS 2.0을 AD 위에 구현할 수 있으며 다른 어떤 스키마 확장도 필요하지 않다고 말합니다. 이는 Windows Server 2008 또는 2008 R2에 설치되어야 합니다.
Microsoft는 또한 Windows 판매점이 3월에 출시되는 새로운 Forefront Identity Manager(FIM) 2010 플랫폼을 도입해 줄 것을 바라고 있습니다. FIM은 ID, 액세스 권한 및 자격 증명, 그리고 이와 연결된 정책을 관리하는 리포지토리입니다. 또한 이를 활용하면 IT 관리자가 SharePoint 기반의 관리 콘솔을 통해 ID를 관리할 수 있습니다.
응용 프로그램을 클라우드에 배포하려는 사람에게는 클라우드 보안에 관련된 많은 문제들이 눈에 보일 수 밖에 없습니다. 규정 준수, 데이터 무결성, 단일 시스템 상의 다중 고객 지원 등도 이런 문제 중 하나입니다.
그러나 ID 관리 측면을 생각하면, Microsoft와 관련 업체의 입장에서는 공용 ID를 전달하는 인프라를 개선하는 데 있어 큰 발전을 거둔 것이 사실입니다. 하지만 클라이언트 쪽에서는 아직 남은 일이 있습니다. 이러한 점을 고려하더라도 AD FS 2.0은 클라우드 서비스 사용을 고려하는 기업에게 Windows Server의 무료 업그레이드를 제공하여 혜택을 주는 것이 사실입니다.
Keyserling은 설명합니다. “최종 사용자는 자체 네트워크에 있는 것과 동일한 환경을 클라우드 내에서도 가질 수 있습니다. 이 점이 바로 대규모 기업이 페더레이션 서비스를 선택하고 확장하려는 이유이며 장점입니다.” “이를 통해 작업을 멈추고 암호를 초기화하거나 자격 증명을 관리할 필요 없이 클라우드 서비스를 사용할 수 있으며, 회사에서는 매일 달라지는 보안 문제에 대처할 필요 없이 업무 전략의 수행에 초점을 맞출 수 있습니다.”
.jpg)
Jeffrey Schwartz*(jschwartz@1105media.com)는* Redmond magazine의 편집자입니다.
추가 기사: 주요 ID
- Active Directory Federation Services(AD FS) 2.0: Windows Server, Windows Azure 및 기타 클라우드 서비스 응용 프로그램을 통한
- 클레임 기반의 통합된 ID 관리 기능을 제공하는 Active Directory의 확장 기능입니다.
- SAML 2.0: 보안 도메인 간에 ID 정보를 교환하기 위한, 널리 지원되는 XML 표준이며 현재는 AD FS 2.0에 포함되어 있습니다.
- WSFED: WS-페더레이션은 AD FS가 원래 기반을 두고 있는 핵심 규약입니다. SAML이 사실상의 표준이 되면서, Microsoft는 새 릴리스에 이 규약에 대한 지원을 추가했습니다.
- WIF(Windows Identity Foundation): WIF는 Microsoft 클레임 기반 ID 모델의 기반 프레임워크를 제공합니다. .Net Framework 내에서 구현된 응용 프로그램은 ID 속성, 역할, 그룹 및 정책과 같은 인증 스키마를 제시하며 이러한 클레임을 관리할 수 있는 방법도 제공합니다. 또한 엔터프라이즈 개발자 및 ISV에서 제작한 WIF 기반 응용 프로그램은 이러한 클레임을 받을 수도 있습니다.
- CardSpace v1: Microsoft .NET Framework의 구성 요소이며 ID 선택기를 제공합니다. Windows 7 및 Windows Vista에서는 기본 제공됩니다.
- U-Prove: U-Prove는 디지털 토큰 발행의 중심에 있으며 이를 통해 사용자는 토큰 수령자와 얼만큼의 정보를 공유할지 제어할 수 있습니다. 사용자가 AD FS 2.0을 대상으로 U-Prove를 사용하면 사용자는 신뢰할 수 있는 도메인 사이에서 ID를 통합할 수 있게 됩니다. CTP 버전이 3월에 출시되었습니다.
- OpenID: Microsoft, Google Inc., Yahoo! Inc., VeriSign Inc. 및 몇 가지 핵심 블로깅 및 소셜 네트워킹 사이트에서 지원하는 사실상의 ID 제공 표준입니다.
—J.S.