일반적으로 Active Directory를 중심으로 하는 서버의 ID 관리: 서버는 도메인에 가입되고, 관리자는 도메인 그룹을 통해 로컬 관리자에게 추가되는 도메인 계정을 부여하고, Windows 설정은 그룹 정책을 사용하여 관리됩니다. 클라우드 관리 모델에서 Microsoft Entra 는 ID 및 액세스의 초석이 되며, AD(Active Directory)는 온-프레미스 Windows 머신에서 앱 인증 및 레거시 프로토콜에 계속 사용할 수 있습니다.
서버 관리의 클라우드 네이티브 ID는 관리자 및 서버 자체를 인증하기 위해 Microsoft Entra를 사용하여 수행됩니다. 온-프레미스 AD 도메인 가입 서버는 클라우드 네이티브 Windows(워크스테이션) 디바이스 또는 해당 디바이스의 사용자가 계속 액세스할 수 있습니다. Microsoft Entra를 통해 Microsoft Entra ID 가 VM(가상 머신), Arc 지원 서버, Office 365 등을 관리할 수 있으므로 통합 자격 증명을 얻을 수 있습니다. MFA(다단계 인증) 및 조건부 액세스와 같은 기능은 보안을 향상시킵니다. 하이브리드 환경의 서버는 Azure의 ID 시스템을 사용하여 리소스에 안전하게 액세스할 수 있습니다. 이러한 이점을 통해 서비스 계정을 유지 관리하거나 컴퓨터당 로컬 관리자 권한을 부여하는 데 소요되는 시간을 줄일 수 있습니다. 이는 사고의 전환이지만 완전히 클라우드 관리형 에코시스템에 부합하는 전환입니다.
시스템 관리자의 세계가 Microsoft Entra의 이점으로 어떻게 변하는지 살펴보겠습니다.
Microsoft Entra 통합
Microsoft Entra ID 는 클라우드 기반 ID 서비스입니다. AD DS(Active Directory Domain Services)와 달리 Microsoft Entra ID는 조직 구성 단위로 구성되지 않으며 Kerberos 인증에 중점을 두지 않습니다. 대신 Microsoft Entra ID는 Azure, Microsoft 365 및 기타 애플리케이션 및 Microsoft Entra ID를 지원하는 운영 체제를 비롯한 Microsoft 리소스에 대한 사용자 ID, 앱 및 액세스를 관리합니다.
서버 자체는 도메인에 가입하는 방식으로 Microsoft Entra ID를 "조인"하지 않습니다. 대신 Arc 지원 서버는 Azure에 처음 연결할 때 Microsoft Entra ID가 관리하는 Azure 테넌트에 조인됩니다. Microsoft Entra ID를 사용하면 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 사용자가 지정된 범위에 역할을 할당하거나 해당 권한이 있는 그룹에 추가할 수 있습니다. 그런 다음 적절한 권한이 있는 사용자는 원격 데스크톱 연결을 사용하여 Windows Server 컴퓨터에 액세스하거나 SSH를 사용하여 Linux에 액세스할 수 있습니다.
"관리자 계정"은 Azure에서 적절한 역할을 가진 Microsoft Entra ID ID(또는 동기화된 AD 계정)입니다. 예를 들어 Arc 지원 서버를 관리하기 위해 Microsoft Entra ID 사용자에게는 Azure 기본 제공 역할 Virtual Machine 관리자 로그인 역할 또는 적절한 권한으로 만든 사용자 지정 역할 할당이 있을 수 있습니다. Microsoft Entra ID는 모든 서버에 대한 모든 권한을 허용하는 하나의 관리자 계정을 갖는 대신 특정 Azure 워크로드 집합으로 역할 범위를 지정하여 Arc 지원 서버 및 네이티브 Azure 리소스에 필요한 작업만 수행할 수 있도록 합니다.
시스템 할당 관리 ID
Arc 지원 서버에는 시스템 할당 관리 ID가 필요합니다. Azure에서 머신 리소스의 ID를 나타내는 엔터프라이즈 애플리케이션의 유형입니다. 서버에서 실행되는 애플리케이션은 자격 증명을 저장하는 대신 서버의 관리 ID를 사용하여 Azure에 인증할 수 있습니다. Azure Arc Connected 컴퓨터 에이전트는 앱이 토큰을 요청하는 데 사용할 수 있는 엔드포인트를 노출합니다. 앱은 요청(메타데이터 헤더 포함)을 올바르게 서식 지정하는 것 이외의 토큰을 제공하는 대체 불가능한 웹 서비스에 인증할 필요가 없으므로 예상되는 보안 경계는 VM입니다. 온-프레미스 서버는 하드 코딩된 자격 증명 없이 Azure 서비스에 직접 액세스할 수 있습니다. Azure는 요청이 해당 서버에서 가져온 것을 알고 사용자가 설정한 역할 할당에 따라 권한을 부여하기 때문입니다.
시스템 관리자의 경우 자동화 스크립트에서 사용하는 아티팩트를 검색하기 위해 Azure Storage를 호출하는 서버(Azure CLI가 설치된)에서 Azure CLI 명령을 실행하는 일반적인 시나리오가 있을 수 있습니다. 서버에 해당 스토리지 계정에 대한 ID 권한이 부여된 액세스 권한이 있으므로 서비스 계정 또는 PAT(개인 액세스 토큰)를 요구하지 않고 요청이 완료됩니다.
RBAC(역할 기반 액세스 제어)
Azure의 모델은 세분화된 RBAC를 권장합니다. 다른 기본 제공 역할은 다양한 유형의 액세스를 가능하게 하므로 매우 제한된 권한으로 역할을 할당할 수 있습니다. 예를 들어 사용자는 Arc 지원 서버에서 실행 명령을 사용할 수 있는 기능만 부여하거나 구성에 대한 읽기 전용 액세스를 허용하는 역할을 가질 수 있습니다.
Azure Arc와 함께 사용되는 일반적인 기본 제공 역할은 Azure Connected Machine 온보딩 역할입니다. 이 역할을 가진 사용자는 서버를 Azure Arc에 온보딩할 수 있지만 추가 역할이 부여되지 않는 한 대부분의 다른 관리 작업을 수행할 수 없습니다. 마찬가지로, 실제 OS 로그인 액세스 권한을 부여하지 않고 Azure Automation을 통해 서버에 패치를 배포할 수 있는 애플리케이션 소유자 역할을 제공할 수 있습니다. 이 수준의 미세 조정은 "충분히 충분한" 관리 원칙을 지원합니다.
Just-In-Time 액세스
Arc 지원 서버 및 기타 Azure 리소스에 대한 상승된 액세스를 추가로 제어하려면 Microsoft Entra PIM(Privileged Identity Management)을 사용하도록 설정할 수 있습니다. PIM은 JIT(Just-In-Time) 액세스에 사용할 수 있으므로 더 높은 수준의 액세스가 필요한 작업을 수행하기 위해 누군가가 특정 역할로 명시적으로 상승하도록 요구할 수 있습니다. 관리자가 이 액세스를 승인하고 관리자 권한 역할에 대한 자동 만료 기간을 설정하도록 요구할 수 있습니다. 또한 PIM에는 지난 30일(또는 구성한 더 긴 기간) 내의 모든 권한 있는 역할에 대한 모든 역할 할당 및 활성화를 볼 수 있는 감사 기록이 포함되어 있습니다.
PIM을 사용하면 지속적인 관리자 액세스를 줄이고 최소 권한 원칙을 지원합니다. 예를 들어 PIM을 사용하여 특정 사용자에게 자신의 역할을 Azure Connected Machine Resource Administrator로 승격할 수 있는 권한을 부여하여 Arc 지원 서버에서 고급 관리 작업을 수행할 수 있습니다.
하이브리드 ID 구성
실제로 많은 기업에서는 AD에 도메인에 가입된 Arc 지원 서버를 실행합니다. 이러한 항목은 상호 배타적이지 않습니다. 서로를 보완합니다. 필요한 경우 AD를 통해 서버에 로그인할 수 있지만 Azure에서 관리 작업을 수행할 수 있습니다.
개별 서버에서는 LAPS(로컬 관리자 암호 솔루션)를 사용하여 로컬 관리자 암호를 회전하는 등 AD를 통해 로컬 계정을 계속 관리할 수 있습니다. Azure Arc는 로컬 계정을 관리하지 않으므로 해당 프로세스를 계속 사용할 수 있습니다. Azure Policy를 사용하여 LAPS를 사용하도록 설정하고 Microsoft Entra에 암호를 저장할 수도 있습니다.
Microsoft Entra 및 Azure의 기능을 사용하는 동시에 사용자에게 적합한 온-프레미스 ID 솔루션을 유지 관리할 수 있는 많은 유연성이 있습니다. 시간이 지남에 따라 클라우드에서 ID를 관리하는 옵션이 있을 수 있으므로 서비스 계정 유지 관리 또는 로컬 관리자 권한 부여와 상호 작용하지 않아도 됩니다.