Upload
amazon-web-services-korea
View
151
Download
5
Embed Size (px)
Citation preview
AWS Directory Service AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ)アマゾンデータサービスジャパン株式会社ソリューションアーキテクト渡邉源太 – 번역: 이우상 (AWS코리아 기술영업대표)
Agenda
• Active Directory on AWS– Active Directory 기초부터 알아보기– Active Directory on AWS 구성 시나리오– ADFS와 AWS IAM 의 연계
• AWS Directory Service– 디렉토리 유형 선택– 디렉토리 관리– 다중 요소 인증 (MFA) 설정
Active Directory on AWS
Directory 는..
• 사용자의 각종 정보를 저장하는 구조– ID– 성, 이름, 부서, 전화번호– 이메일 주소– 비밀번호– 그룹 등
• 트리 유형으로 구성하는 예가 많다• 관련용어:LDAP、Active Directory、OpenLDAP
Active Directory 는..
• Windows 네트워크의 기본적인 인증과 보안의 기반• Windows 2000 에서 표준 기능으로 구현됨• NT 도메인에서의 취약점을 보완
– 도메인간의 계층구조를 취할 수 없었던..– 동일한 네트워크에 동일한 컴퓨터 이름이 공존할 수 없었던..– Security Account Manager(SAM)데이터베이스의 최대용량이 40MB 까지였던..
Active Directory 의 필요성
• ID 및 액세스 관리– 운영 효율성의 향상– 규정 준수를 추진– 보안상 강화– 외부 인터넷으로 확장
• 응용 프로그램의 사용– Exchange/SharePoint/SQL Server– 파일 공유, 패치 관리 등
Windows 환경에서는 Active Directory 사용이 필수
Active Directory 서비스
• Active Directory 도메인 서비스 (AD DS)• Active Directory 페더레이션 서비스(ADFS)• Active Directory 인증서 서비스 (AD CS)• Active Directory 경량 디렉토리 서비스 (AD LDS)• Active Directory Rights Management 서비스 (AD RMS)
Active Directory 도메인 서비스 (AD DS)
• 이름 확인(DNS)• 디렉토리 서비스(LDAP)• 사용자 인증(Kerberos version.5)• 클라이언트 관리(SMB: 파일 공유)
기본적인 용어
• 포레스트– DNS 이름 계층을 기반으로 한 하나 이상의 도메인의 계층 집합
• 도메인– 사용자 및 컴퓨터 관리의 단위– DNS 이름 계층을 LAN 에 응용한 것
• 조직단위(OU)– 사용자와 컴퓨터를 관리하는 논리적인 계층 구조
• 사이트– 물리적인 네트워크를 기반으로 구분
도메인 및 포레스트• Active Directory 의 논리적 구조
– 도메인 트리 간의 신뢰 관계를 맺은것이 포레스트– 포레스트 안의 도메인 사이에는 ʻ‘신뢰 관계의 추이'가 맺어진다
도메인 트리
domain.local
us.domain.local jp.domain.local
신뢰관계 신뢰관계
도메인 트리
domain.local
us.domain.local jp.domain.local
신뢰관계 신뢰관계
포레스트
OU(조직단위)의 구조• OU(조직단위)속에 유저, 컴퓨터, 그룹 등의 오브젝트들이 배치된다
• 그룹 정책의 적용 범위Active Directory 도메인
영업부 OU 경리부 OU
Member 001
Member 002
Member 003
Member 004
Member 101
Member 102
Member 103
Member 104
Flexible Single Master Operation(FSMO)• Active Directory 도메인 컨트롤러는 FSMO 라는 역할을 수행함
• 스키마 마스터– Active Directory 의 데이터 베이스 스키마를 관리
• 도메인 이름 관리– 포레스트에 속한 도메인의 추가 / 삭제
• RID 마스터– 오브젝트의 고유 식별에 사용되는 SID 의 일부 RID 를 관리
• PDC 에뮬레이터– NT 도메인의 프라이머리 도메인 컨트롤러를 에뮬레이팅
• 인프라스트럭쳐 마스터– 그룹에 소속된 사용자 계정의 정보를 관리
도메인 컨트롤러(DC)배치
• 신규 Active Directory 도메인 서비스를 구축– 도메인 컨트롤러를 EC2 상에 구축
• 애플리케이션으로 집중화된 클라우드 기반의 인증이 필요한 경우
• 기존의 Active Directory 환경을 AWS 로 확장– 기존 (on-‐‑‒premise) 의 도메인 컨트롤러를 이용
AWS 에 DC 를 배치하는 경우• 신규 Active Directory 도메인 서비스의 구축
Availability Zone Availability Zone
Direct Connect
VPN Connection
DC(FSMO1)
클라이언트
DC(FSMO2)
・AZ 를 이용한 이중화・복구 방법에 대한 검토 필요
기존 DC 를 이용한 하이브리드 형 운영• 기존의 Active Directory 환경을 AWS 로 확장
Availability Zone Availability Zone
Direct Connect
VPN Connection
DC(FSMO) DC DC
(FSMO)
클라이언트
AZ 를 이용한 이중화
FSMO 의 위치를 결정 (AWS or On-‐‑‒Premise)
DNS 배치• 장애발생시에도 도메인 네임 참조가 가능한 상태 확보
Availability Zone Availability Zone
Direct Connect
VPN Connection
DC(FSMO) DC DC
(FSMO)
클라이언트본 예시에서는 스스로에게 DNS가 설치되어 있지 않으면 네임 참조가 불가능해진다. 네임 참조가 가능한 상태를 확보함으로써 DC 의 고립을 방지한다.
DNSDNSDNS
참조할 DNS 를 지정• NIC 의 TCP/IP 를 설정
– 참조할 DNS 는 On-‐‑‒Premise 로 지정– AWS 가 제공하는 DNS 는 대체 DNS 로 지정하지 않는다
• DC 를 참조할 수 없으면 로그온 장애가 발생할 우려• DC 간 복제 문제 우려
• DC 의 DNS 포워더에 AWS 가 제공하는 DNS 를 설정
인터넷에서의 네임 확인은 AWS 가 제공하는 DNS 에 전달
TCP/IP 고급 설정(DNS)
• 기본적으로 DNS 접미사에 AWS 관련 접미사가 추가되는 형태
• 추가되는 접미사의 예시– ap-‐‑‒northeast-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com– us-‐‑‒east-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com– ec2-‐‑‒utilities.amazonaws.com– ec2.internal– ap-‐‑‒northeast-‐‑‒1.compute.internal
DHCP Options Set 을 이용
도메인의 FQDN 을 지정
DC 의 DNS 를 지정
NTP 서버는 설정하지 않는다(PDC 에뮬레이터 동기)
WINS 를 사용할 때 2 를 지정
WINS 를 사용할 때 지정
백업
• 기존의 백업 방법을 사용– VSS (Volume Shadow Copy Service) 에 대응하는 백업도구를 사용
• Windows Server 백업• Wbadmin.exe
– Tombstone Lifetime 의 유효기간에 주의• EC2 스냅샷을 이용
– 백업 도구에 의하여 얻어진 백업 데이터를 EBS 스냅샷하여 보관– DC 시스템 전체의 스냅샷 내용은 다음 페이지의 유의점들을 충분히 고려해야 한다
복구 시 주의 사항
• DC 전체의 스냅샷을 복구에 사용하지 않는다– USN 롤백을 유발– 롤백이 발생한 DC는 도메인 환경에서 격리되고 복제 대상 (파트너) 으로 간주되지 않는다
가상화된 도메인컨트롤러의 백업 및 복원에 관한 고려사항https://technet.microsoft.com/ko-kr/library/dd363545%28v=ws.10%29.aspx
Active Directory 페더레이션 서비스(ADFS)
• 보안성이 고려된 ID 연계와(페더레이션)웹 싱글 사인온을 제공 (SSO)
• AD DS/AD LDS 에서 인증된 사용자에게 보안 토큰을 발행 (SAML 1.1/2.0)
• Office 365 와 Google Apps 으로의 싱글사인온에도 이용된다
IAM 과 Active Directory 의 인증 연계
• AWS IAM 의 SAML 2.0지원• Active Directory 와 SAML 2.0 에 의한 ID 연계가 가능
– Active Directory 페더레이션 서비스를 이용
• Active Directory 의 사용자와 그룹을 인증과 인가에 이용
https://translate.google.com/translate?sl=en&tl=ko&js=y&prev=_̲t&hl=ko&ie=UTF-‐‑‒8&u=http%3A%2F%2Fblogs.aws.amazon.com%2Fsecurity%2Fpost%2FTx71TWXXJ3UI14%2FEnabling-‐‑‒Federation-‐‑‒to-‐‑‒AWS-‐‑‒using-‐‑‒Windows-‐‑‒Active-‐‑‒Directory-‐‑‒ADFS-‐‑‒and-‐‑‒SAML-‐‑‒2-‐‑‒0&edit-‐‑‒text=&act=url
그룹 매핑• AWS 의 조작 권한의 단위를 보안그룹으로 작성
• IAM 롤을 작성하고 AWS 의 조작권한을 IAM 정책에서 정의
보안그룹 (AD) 와 IAM 롤을 매핑할 수 있음
AWS Directory Service
AWS Directory Service 에서 할 수 있는 것들
• AWS 클라우드에 독립형 디렉토리를 새로 작성
• 현재 사용중인 기업 내 인증을 이용한다면:– AWS 어플리케이션 접근 (Amazon WorkSpaces, Amazon Zocalo 등)
– IAM 롤에 의한 AWS Management Console 접속
디렉토리 종류를 선택
• Simple AD– 관리형 디렉토리 서비스– Samba 4 Active Directory 호환 서버를 이용– AWS 상에 독립된 도메인을 작성
• AD Connecter– 기존의 디렉토리 서비스 접속– On-‐‑‒Premise 또는 VPC 에서 도메인을 지정– 다중요소인증(MFA)을 지원
디렉토리의 크기
• Simple AD– Small: 최대 1,000 의 사용자, 컴퓨터, 그룹 및 기타 개체– Large: 최대 10,000 의 사용자, 컴퓨터, 그룹 및 기타 개체
• AD Connector– Small: 최대 10,000 의 사용자, 컴퓨터, 그룹 및 기타 개체에 연결– Large: 최대 100,000 의 사용자, 컴퓨터, 그룹 및 기타 개체에 연결
Simple AD
• 독립된 관리형 디렉토리– Samba 4 Active Directory 호환서버를 이용 – AWS 응용 프로그램(Amazon WorkSpaces/Amazon Zocalo)의 이용을 지원
• 일반적인 Active Directory 기능을 지원– 사용자 계정/그룹 구성원/EC2 Windows 인스턴스의 도메인 가입/Kerberos 기반의 SSO/그룹 정책
• 기존의 Active Directory 관리 도구를 이용한 관리가 가능– Microsoft 관리콘솔(MMC)스냅인、Active Directory Services Interface (ADSI)、ADSIEdit, dsadd 및 dsmod 명령줄 도구
Simple AD 만들기
• 도메인 관리자 계정 만들기– Directory DNS– NetBIOS Name– Administrator Password– Directory Size
• 디렉토리를 만들 VPC 를 선택– VPC 는 다른 Availability Zone 에 2개 이상의 subnet이 존재해야함
디렉토리 만들기• Region 을 선택하고 데릭토리를 작성 (예: Tokyo region)
2. [Asia Pacific (Tokyo)]
1. Region 을 선택
3. [Get Started Now] 클릭
디렉토리 종류의 선택
• Create a Simple AD 를 선택
[Create Simple AD] 클릭
Simple AD 를 작성(1/2)
1. [Directory DNS] 를 입력
2. [NetBIOS name] 를 입력(optional)
3. [Administrator password] 을 입력
4. [Small] 을 선택
• 기존의 VPC 를 선택 or 신규 VPC 와 subnet 을 생성Simple AD 를 작성(2/2)
1. [VPC] 선택
2. 2개의 [Subnets] 을 선택
3. [Next Step] 을 클릭
입력한 내용을 확인
[Create Simple AD] 을 클릭
Simple AD 확인(1/2)• [Status] 가 [Active] 이 되면 생성 완료!
Simple AD 확인 (2/2)• [Directory ID] 를 클릭하고 [Directory Details] 를 확인
생성된 Simple AD• 도메인 컨트롤러는 Multi-‐‑‒AZ 로 구성되어 복수개의 Subnet 에 적용
– EC2로 표시되지 않는다• 표준의 Active Directory 관리도구에서 조작 가능
– 이벤트 모니터– Active Directory 사용자와 컴퓨터
Availability Zone Availability Zone
Domain Controller
Domain Controller
Virtual Private Cloud
디렉토리 관리• 도메인안의 EC2 인스턴스에 Active Directory 관리 툴을 설치하여 디렉토리를 관리– %SystemRoot%\system32\dsa.msc
스냅샷을 관리
• 기본적으로 주기적인 스냅샷을 통해 백업을 수행하고 Point-‐‑‒In-‐‑‒Time 복구 가능
– 5일 분량의 스냅샷이 저장된다– 매뉴얼에서 스냅샷에도 대응
[Create Snapshot] 을 클릭
Access URL 을 설정• Access URL 은 AWS 애플리케이션과의 연계 목적으로 이용
– 설정하는 URL 은 Unique 한 값이어야 한다– 한 번 설정하면 변경 및 삭제할 수 없다
1. Access URL 을 설정 2. [Create Access URL] 을 클릭
AWS Management Console 연계를 설정
• 작성한 Access URL 을 이용한 AWS Management Console 접속을 설정
1. Manage Access 을 선택2. [Enable Access] 을 클릭
사용자/그룹과 IAM 을 매핑• 적절한 권한을 설정하기 위해서, 사용자/그룹과 IAM account/그룹과 매핑
– 본 예시에서는 EC2ReadOnly 그룹과 PowerUser 롤 에 각각 그룹과 account 를 할당
[New Role] 을 클릭
AWS Management Console 로 싱글사인온(SSO)
• https://<access_̲url>.awsapps.com/console/ 로 접속 및 로그인하여 Management Console 에서 Web 베이스로 (SSO) 할 수 있다
AD Connector
• On-‐‑‒Premise 의 Active Directory 에 접속– 기존의 VPN 접속 or AWS Direct Connect 를 경유
• 기존의 인증에 의해 AWS 애플리케이션에 대한 사용자 접속– Amazon WorkSpaces/Amazon Zocalo
• AWS Identity & Access Management (IAM) 과의 통합에 의한 AWS Management Console 로 접속
• 다중요소인증(MFA)을 지원
AD Connector 생성
• 기존의 Active Directory 도메인 정보를 입력– Directory DNS– NetBIOS Name– Account username– Account Password– DNS Address
• 디렉토리를 생성할 VPC 를 선택– VPC 에는 다른 Availability Zone 의 2개 이상의 Subnet 이 존재할 필요가 있다
생성된 AD Connector
• VPC 에 인증용 프록시를 생성– 요청 베이스에 의해 프록시를 경유하여 도메인 컨트롤러에 접속– 기존 사용자 인증 및 정책을 적용할 수 있다
Availability Zone Availability Zone
AD Connector AD Connector
Virtual Private Cloud
VPN Gateway
Corporate Data center
Customer Gateway Domain Controller
다중요소인증 Multi-‐‑‒Factor Authentication(MFA)• AD Connector 에서 이용 가능• RADIUS 서버를 경유한 MFA 를 지원
– One-‐‑‒time 패스워드를 지원– 스마트카드/증명서는 미지원– Symantec Validation and ID Protection Service (VIP)및 Microsoft RADIUS Server 에서 테스트 됨
• 사용되었던 On-‐‑‒time 패스워드가 재사용될 가능성이 있음
(예시) Google Authenticator 를 사용• 스마트폰에 무료로 설치할 수 있는Google Authenticator를 소프트웨어 토큰으로 사용한다
• 서버쪽은 오픈소스인 FreeRADIUS 와 Google Authenticator 의 PAM(Pluggable Authentication Module)을 연계시킨다
• https://translate.google.com/translate?sl=ja&tl=ko&js=y&prev=_̲t&hl=ko&ie=UTF-‐‑‒8&u=http%3A%2F%2Faws.typepad.com%2Fsajp%2F2014%2F10%2Fgoogle-‐‑‒authenticator.html&edit-‐‑‒text=&act=url
※유저 등록을 할 때 GUI 는 이용불가능하며 Command Line 을 이용해야 함
MFA 를 설정• [Multi-‐‑‒Factor Authentication] 탭에 RADIUS 서버의 정보를 입력하고 [Update Directory] 를 선택
RADIUS 서버의 IP 주소체크
포트 번호
[Update Directory] 를 선택
패스워드
프로토콜타임아웃(초)재시도 횟수
패스워드 확인
AWS Directory Service 가격
디렉토리 타입 사이즈 시간당 가격
AD Connector Small 0.08 USD(58.40 USD/⽉月*)
AD Connector Large 0.24 USD(175.20 USD/⽉月*)
Simple AD Small 0.08 USD(58.40 USD/⽉月*)
Simple AD Large 0.24 USD(175.20 USD/⽉月*)
* 월별 이용요금은 1개월을 730시간으로 계산
일본 Region 사용 예
• 생성한 디렉토리의 유형과 크기에 따라 과금
무료 이용 한도
• Free Tier– 디렉토리를 처음 생성하는 경우 750시간 분량의 Small 디렉토리가 (Simple AD or AD Connector) 무료
– 디렉토리 생성 후 30일 간 무료
• Amazon WorkSpaces 와 Amazon Zocalo– Small 디렉토리에서는 1 active user, Large 디렉토리는 100 active user 가 있으면 해당 월의 AWS Directory Service 요금이 무료
사용 가능한 지역
• 사용 가능한 AWS Region:– US East (N.Virginia)– US West (Oregon)– EU (Ireland)– Asia Pacific (Sydney)– Asia Pacific (Tokyo)
• 타 Region 은 향후 지원
정리
• Active Directory 는 Windows 시스템에서 거의 필수이며, ID 및 액세스 관리의 기초
• 적절한 설계 및 Auditing 을 통해 Active Directory 를 AWS 상에서 구축 및 운영할 수 있다
• AWS Directory Service 는 기존의 Active Directory 와의 연계 혹은 관리형 디렉토리 서비스를 제공– AWS 애플리케이션(Amazon WorkSpaces, Amazon Zocalo)및 AWS Management Console 과 연계
참고 자료
• AWS Directory Service Administration Guide– http://docs.aws.amazon.com/directoryservice/latest/adminguide/what_̲is.html
• AWS Directory Service 의 FAQ– http://aws.amazon.com/ko/directoryservice/faqs/?nc2=h_̲ls
• 가격 안내– http://aws.amazon.com/ko/directoryservice/pricing/?nc2=h_̲ls
Q&A