Sophos Simplifies and Centralizes AWS Account Management Using AWS IAM Identity Center

하이브리드 클라우드 환경 전반에서 연중무휴 위협 보호, 모니터링 및 대응을 제공하는 클라우드 네이티브 정보 기술 보안 회사인 Sophos는 Amazon Web Services(AWS)를 사용하여 빠르게 성장하고 있었습니다. 이 회사는 다음 단계로 계정 온보딩을 간소화하고 계정 관리를 중앙 집중화하고자 했습니다. 과거에 Sophos는 계정별로 아이덴티티 페더레이션을 사용하여 AWS에 대한 액세스 권한을 부여했습니다. 이를 통해 Sophos는 AWS 계정 액세스를 간단하고 안전하게 관리할 수 있었습니다. 하지만 AWS 계정이 점점 더 많아지자 계정 액세스를 관리할 수 있는 훨씬 더 간단하고 확장 가능한 방법이 필요해졌습니다. 동시에 Sophos는 새 AWS 계정 설정, ID 및 액세스 관리 역할, 권한, 임시 사용자 보안 인증에 대한 세분화된 액세스 제어를 유지해야 했습니다.

AWS 계정 관리를 단순화 및 중앙 집중화하고 사용자 역할 및 권한을 할당할 때 더 유연한 옵션을 확보하기 위해 Sophos는 AWS IAM Identity Center(AWS Single Sign-On의 후속 서비스)를 구현했습니다. IAM Identity Center는 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 액세스를 중앙에서 더 쉽게 관리할 수 있게 해주는 서비스입니다. Sophos는 계정별로 아이덴티티 페더레이션을 설정하는 대신 IAM Identity Center를 통해 아이덴티티 페더레이션을 한 번에 설정해 여러 AWS 계정 간의 액세스를 관리했습니다. 이를 통해 새 계정을 온보딩하는 프로세스와 제한된 권한을 가진 개별 역할을 할당하는 프로세스를 대폭 간소화했습니다. IAM Identity Center 콘솔 또는 명령줄 인터페이스에서 계정 액세스를 중앙에서 관리할 수 있게 되면서 Sophos는 더 이상 개발자에게 임시 보안 인증을 할당하기 위해 타사 확장 프로그램에 의존할 필요가 없게 되었습니다. Sophos의 principal cloud architect인 Guy Davies는 "우리 직원들은 IAM Identity Center의 모양과 느낌에 정말 만족합니다."라면서 "이제 대부분의 계정이 자동화된 덕분에 계정 생성 시간이 크게 단축되었습니다."라고 전했습니다.

Sophos는 1985년에 창업했으며, 오늘날 Sophos의 제품은 150개 이상의 국가에 있는 40만 개 이상의 조직과 1억 명 이상의 사용자를 지능형 사이버 위협으로부터 보호하는 데 도움을 주고 있습니다. IAM Identity Center를 사용하기 이전, Sophos는 계정별로 아이덴티티 페더레이션을 사용하여 1,500명의 내부 사용자가 액세스하는 250개의 AWS 계정을 안전하게 관리했습니다. 하지만 AWS 계정을 온보딩, 관리 및 변경하는 과정은 정보 기술 팀과 클라우드 개발 팀 모두의 인력이 필요했으며 시간도 많이 걸렸습니다. 따라서 Sophos는 필요한 민첩성을 갖추고 더 빠르게 규모를 조정할 수 있는 방법을 모색하기로 했습니다.

Sophos는 이미 AWS Organizations를 비롯한 여러 AWS 서비스를 사용해 왔습니다. AWS Organizations는 기업이 AWS 리소스 확장에 따른 AWS 환경의 중앙 관리 및 거버넌스를 지원하는 서비스입니다. 또한 Sophos는 AWS 계정 관리를 중앙 집중화하여, 새 계정을 온보딩하고 역할 권한을 변경할 때 추가 단계를 거치지 않는 방안을 모색했습니다. Sophos에는 계정 액세스를 제어하는 데 사용하는 500개 이상의 Azure Active Directory 그룹이 있습니다. 2019년에 IAM Identity Center가 교차 도메인 ID 관리 시스템 사양을 지원하기 시작했을 때 Sophos는 계정 온보딩을 간소화하고 대규모 액세스를 관리할 수 있는 솔루션을 찾았습니다. 이제는 기존 Azure Active Directory 그룹을 AWS에 동기화할 수 있습니다. Davies는 "자체 솔루션을 구축할 수 있는 기술도 있었지만, 저희에게는 AWS를 잘 다루는 1,500명의 직원도 있었습니다."라면서 "AWS 환경을 시작하면 멋진 작업을 더 쉽게 해낼 수 있습니다."라고 설명했습니다.

Sophos는 엔터프라이즈 ID 서비스인 Azure Active Directory와 Jira 인증 및 YubiKey 하드웨어 인증 디바이스를 비롯한 기존 ID 서비스 제공업체를 계속 사용하고자 했습니다. IAM Identity Center는 이러한 ID 도구와 원활하게 연동되어 안전한 다중 인증을 가능하게 합니다. Sophos는 개념 증명을 수행하고 긍정적인 내부 피드백을 받은 후 IAM Identity Center로의 전환을 진행했습니다. 2020년 9월까지 몇 주에 걸쳐 설정을 완료하고, 10월 첫째 주에는 1,500명의 내부 사용자에게 월말까지 사용 시스템을 전환하도록 요청했습니다. Sophos는 초기 사용자 수가 빠르게 증가하고 이후 일부 사용자의 전환 속도가 느려지는 것을 보았지만 전반적인 반응은 긍정적이었습니다. Davies는 "IAM Identity Center에 대해 나쁘게 말할 점이 전혀 없습니다."라면서 "약 1,500명의 일일 워크플로에 영향을 미치는 변경이라니, 정말 대단하죠."라고 전했습니다.

IAM Identity Center로 전환하면서 Sophos 팀은 AWS 계정 관리의 모든 측면을 대폭 간소화했습니다. 이를 통해 새 AWS 계정을 온보딩하는 데 걸리는 시간을 며칠에서 1일 미만으로 단축하고 계약업체가 오가는 가운데 AWS 계정 액세스 권한을 거의 즉시 취소할 수 있게 되었습니다. 과거에는 사용자의 액세스 권한을 취소하려면 개별 계정에 대한 액세스를 제어하는 모든 개별 Azure Active Directory 그룹을 샅샅이 뒤져 각 계정에 대한 액세스 권한을 완전히 취소한 다음 Azure Active Directory가 동기화될 때까지 기다려야 했습니다. 이 경우 최대 1시간이 걸릴 수 있습니다. Sophos는 두 개의 Azure Active Directory 그룹을 생성하여 한 그룹은 모든 개별 사용자를 포함하고 IAM Identity Center 콘솔에 대한 액세스 권한을 부여하고, 다른 그룹은 교차 도메인 ID 관리 시스템을 통해 동기화하고 AWS 계정 및 권한에 대한 액세스를 부여했습니다. 그 이후 Sophos는 간단하게 사용자를 IAM Identity Center 그룹에서 제외할 수 있게 됐고, 동기화를 기다릴 필요 없이 즉시 액세스 권한을 취소할 수 있게 됐습니다. 개발자는 AWS 계정 생성에 드는 수백 시간을 절약했으며 더 이상 정보 기술 팀이 AWS 계정 온보딩을 수행하지 않아도 됩니다. 그 결과 리소스 비용이 절감되었고 Sophos는 더 민첩하게 규모를 조정할 수 있게 되었습니다.

Sophos는 IAM Identity Center를 사용하면서 중요한 보안 이점도 경험했습니다. 이제 사용자에게 AWS 리소스에 액세스하기 위한 임시 보안 인증을 생성할 수 있는 옵션을 제공할 수 있게 된 것입니다. 덕분에 Sophos는 사용자의 보안 인증이 필요하지 않게 될 때마다 보안 인증을 교체하거나 취소할 필요가 없게 됐습니다. 또한 계정 관리자는 IAM Identity Center를 통해 중앙 위치에서 권한을 변경할 수 있습니다. 덕분에 역할 권한을 신속하게 조정할 수 있는 유연성을 확보하게 됐습니다. Davies는 "이제 손쉽게 권한 세트를 원하는 만큼 만들 수 있기 때문에 할당하는 권한을 더 세분화할 수 있습니다."라면서 "사람들이 자신의 AWS 계정에 액세스할 수 있는 범위를 좁혀 공격 표면을 줄일 수 있게 된 것이죠."라고 설명했습니다.

Sophos는 IAM Identity Center를 구현하여 AWS 계정 관리가 훨씬 빨라지고 간소화되었습니다. 이를 통해 개발자는 다른 팀을 기다리는 시간을 줄이고 흥미로운 혁신에 더 많은 시간을 집중할 수 있게 되었습니다. 또한 Sophos는 IAM Identity Center API를 사용하여 더 많은 자동화를 구축하고 향후 AWS 계정 온보딩 및 액세스 프로세스를 더욱 가속화할 계획입니다. 예를 들어, Sophos는 계정 액세스를 프로비저닝하는 방법을 자동화하고자 합니다. 이런 자동화는 정규 업무 시간 이후에 계정 액세스를 요청하는 경우 유용하게 사용할 수 있습니다.

Davies는 "우리가 AWS 계정의 권한 관리에 대해 좀 더 세밀하고 역동적인 접근 방식을 갖추기 위해 모색하고 있는 것이 바로 이러한 노력입니다."라면서 "이 모든 것이 IAM Identity Center를 사용한 덕분입니다."라고 밝혔습니다.