1. 어느 장치에서나 업무 환경에 액세스 할 수 있는 VDI의 개요
가. VDI의 정의
- Virtual Desktop Infrastructure
- 중앙 데이터센터의 서버자원을 이용해 데스크탑 환경을 개별 사용자에게 네트워크 상에서 제공하는 컴퓨팅 환경
나. 등장배경
| 등장배경 | 설명 |
| 정보보안 | - Process Kill, OS Format 등을 통한 통제 기능 무력화 - PC 반출 후 하드 디스크의 분리를 통한 대량 정보 유출 - 유무선 네트워크 연결을 통한 파일 대량 복사 - VPN을 통한 불특정 다수 PC로의 다운로드 |
| TCO | - Total Cost of Ownership - 전통적 PC 운영 비용 매년 동일 수준으로 발생 - 하드웨어와 소프트웨어를 합친 지출은 전체 비용의 20~30%, 나머지 70~80%는 유지비용이 차지 |
| 그린IT | IT 장비 중 PC와 모니터가 차지하는 비율이 40%에 육박 |
2. 데스크탑 가상화의 유형 및 구성도
| 구분 | SBC(Server Bases Computing) | 클라이언트 가상화 | |
| 어플리케이션 가상화 | 데스크탑(OS) 가상화 | ||
| 주요 특징 | 서버에 필요한 소프트웨어와 데이터가 준비되고 사용자의 PC는 입출력 장치로만 사용 개인화 X |
사용자별 개인화된 데스크탑을 중앙서버에서 제공 OS는 설치되는 것이 아니라 호스팅 서비스 되는 것 PC의 OS는 단지 PC 부팅을 위한 것 |
클라이언트 PC 내에 외부와 격리되고 암호화된 가상공간을 구축 PC 안에 또 하나의 PC를 만드는 기술 외부의 침입 또는 정보유출로부터 보호된 업무 환경 |
| 유형 | 터미널서비스 어플리케이션 스트리밍 |
가상 데스크탑(OS) 스트리밍 가상 데스크탑 |
하드웨어 가상화 소프트웨어 가상화 |
| 장점 | 1:N 모델 데스크탑에 대한 원격관리 기능 동일한 이미지 드라이버 표준화 신속한 전개 |
부하 관리 자동화 시스템자원(CPU, Memory, HDD, Network)에 대한 QoS 가상 데스크탑 스케쥴 관리 사용자별 개인화 환경 제공 |
사용자 PC의 로컬자원(그래픽 환경 등)을 사용 성능 및 업무 효율성 보장 사용자가 클라이언트 환경에 설치되어 있는 어플리케이션 사용 |
| 단점 | 비정상 사용자 어플리케이션에 대해 타 사용자도 영향을 받음 사용자 환경의 제약 |
3D 환경 등 고성능 자원 제공 미흡 | 암호화된 데이터의 저장으로 데이터 유출에 따른 위험은 방지 여전히 데이터는 클라이언트 환경에 저장 |
3. VDI의 구성도 및 구성요소
가. VDI의 구성도
나. VDI의 구성요소
| 구성요소 | 설명 |
| 단말기 (클라이언트) |
- 사용자가 중앙의 가상머신에 원격 접속하기 위해 사용 - 단말기는 단말의 구성요소에 따라 제로 클라이언트, 씬 클라이언트, PC로 구분 - 제로 클라이언트 : PC가 전혀 기능이 없는 것, 켜면 가상화 단말기로 바로 연결되는 형태 - 씬 클라이언트 : 최소한의 기능 |
| 세선 브로커 서버 | - 사용자 단말기와 가상화 엔진의 접점에서 사용자 인증 등 정책을 적용하고 접속 요청에 따라 어떠한 가상머신을 사용자에게 전달할 지에 대한 정보를 저장하는 장비 |
| 인증 서버 | - 사용자 계정을 통합적으로 관리하고 접속사용자의 인증을 담당 - 계정 정책 및 운영체제 환경에 대한 정책을 정의하여 일괄 배포 |
| 하이퍼바이저 | - 실제로 가상머신이 실행되는 요소로 각 제조사마다 각자의 특성에 맞는 가상화 엔진을 보유 개발 |
4. 데스크탑 가상화 도입 효과 및 위험요소
가. 데스크탑 가상화의 도입 효과
| 효과 | 내용 | 조건 |
| TCO 절감 | - 가상 데스크탑 통합 관리로 운영 관리 비용 감소 - PC 수리 및 지원 비용 절감 |
PC 교체주기: 3년 |
| 업무 환경 개선 | - PC 철거에 따른 업무공간 확보 - 데스크탑 발열량 감소 및 소음 제거 |
Zero-client |
| 스마트 워킹 | - 재택근무, 원격지 근무 및 모바일 접속 가능 - 원격지에서 사무실과 동일한 업무 수행 가능 |
보안정책 수립 |
| 데이터 중앙화 | - 생성되는 모든 문서를 통합된 스토리지에 저장 - 문서중앙화의 기본 요건 충족 |
통합스토리지 |
| 보안성 향상 | - 외부저장매체 통제 및 논리적 망 분리 - 통합 스토리지 검색을 통한 민감 정보 추출 가능 |
보안보듈 추가 |
| 표준 데스크탑 환경 | - 동일한 OS 및 Device 환경 - Application 개발 및 시스템 도입 시 검토 항목 감소 |
그룹별 데스크탑 환경 제공 가능 |
| 어플리케이션 통합관리 |
- 중앙에서 어플리케이션 공급 - 업데이트 및 패치의 100% 적용 보장 |
PMS 구축 불필요 |
나. 데스크탑 가상화의 도입 시 위험요소
| Risk | 내용 | 대응 |
| 성능 불만족 | - 최신 고성능 PC 환경에 비해 처리속도에 대한 사용자 불만족 - CAD 등 고성능을 요구하는 SW의 성능 제약 |
- PoC를 통한 만족도 조사 |
| 업무 마비 | - PC 고장의 경우 사용자 한 명에게 영향을 미치는 반면 VDI 서비스 중단의 경우 모든 사용자의 업무 마비 | - VDI 2중화 구성 |
| 주변기기 호환성 |
- 프린터, 스캐너, 연구기자재 등의 호환성 문제 | - 주변기기 표준화 |
| 어플리케이션 호환성 |
- 가상환경을 제약하는 보안 솔루션과의 충돌 - 공공웹사이트의 공유 프린터 인쇄 불가 |
- BMT를 통한 호환성 조사 |
| 네트워크 대역폭고갈 |
- 외장 저장매체로부터 Data Reading, 프린터 및 스캐너 사용 시 네트워크 이용으로 네트워크 속도 문제 야기 가능 | - BMT를 통한 네트워크 사용율이 낮은 솔루션 선정 |
5. VDI 솔루션과 2차 인증 솔루션인 BaroPAM의 융합
VDI(Virtual Desktop Infrastructure) 계정이 해킹을 통해 외부로 유출될 경우 인가되지 않은 사용자가 회사 내부 네트워크로 침투할 수 있기 때문에 내부 시스템의 자원과 정보가 노출되는 큰 피해가 야기될 수 있다.
이에 기업에서는 재택근무 등을 위해 VDI을 활용할 경우 VDI 계정이 외부로 유출되지 않도록 보다 강화된 이중 인증(2차 인증, 추가 인증)을 적용하는 등의 각별한 관리가 필요할 것으로 보인다.
VDI는 소프트웨어를 이용해 데스크탑을 가상화하고 , 이를 중앙에서 사용자 환경으로 제공하는 솔루션에 사용자 식별ㆍ인증을 위하여 BaroPAM을 적용해야 한다.
Citrix 가상데스크탑 로그인 화면 적용)
1) BaroPAM을 적용한 사용자 계정 인증 절차
화면예시)
2) BaroPAM을 적용한 VM (가상영역) 접속
화면예시)
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
| 복잡한 비밀번호를 사용하고 주기적 재설정 해도 사이버 공격에 여전히 노출 (0) | 2020.09.12 |
|---|---|
| 정보자산의 보안 강화를 위한 3단계 인증 솔루션인 BaroPAM을 도입해야 하는 이유 (0) | 2020.09.01 |
| 인터넷 끊어놔도 계속되는 해킹..'비밀번호 잠금' 태블릿까지 뚫려 (0) | 2020.07.25 |
| 보안상 분기마다 한번씩 서버 암호를 변경하는 것에 대한 생각의 전환이 필요 (0) | 2020.07.24 |
| 간편성과 편리성을 내세우면 보안은 그만큼 허술하며 그 댓가는 혹독할 것 (0) | 2020.06.16 |