최고의 네트워크 디렉토리 서비스 및 모니터링 도구
컴퓨팅 분야에서 "디렉토리"라는 용어는 다양한 의미를 지닐 수 있지만, 네트워킹 환경에서는 일반적으로 사용자 정보와 네트워크를 통해 접속 가능한 자원 목록을 의미합니다. 즉, 네트워크 디렉토리는 크게 두 가지 유형으로 분류할 수 있습니다. 하나는 사용자 목록을 제공하고, 다른 하나는 장비 목록을 제공합니다. 이 글에서는 현재 네트워크 환경에서 일반적으로 사용되는 다양한 디렉토리 시스템을 자세히 살펴보겠습니다.
디렉토리 데이터 저장 방식
모든 데이터 목록은 컴퓨터 시스템에서 파일이나 데이터베이스 형태로 저장될 수 있습니다. 초기 디렉토리 시스템은 파일 기반으로 운영되었지만, 데이터베이스 관리 시스템의 발전으로 인해 데이터베이스 옵션이 보다 효율적이게 되었습니다. 데이터베이스는 더욱 빠르고 쉽게 검색할 수 있으며, 데이터베이스에서 사용되는 질의어(일반적으로 SQL)를 통해 검색 시 부울 연산자(AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT)를 활용할 수 있습니다.
디렉토리 접근 프로토콜
독자적인 통신 형식을 사용하는 시스템보다는 공개적으로 사용 가능한 프로토콜에 기반한 디렉토리 시스템을 사용하는 것이 좋습니다. 디렉토리 서비스는 클라이언트와 서버라는 두 가지 핵심 구성 요소로 구성됩니다. 서버는 데이터베이스를 관리하고 데이터 접근을 제어하는 프로그램이며, 클라이언트는 일반적으로 검색된 데이터를 표시하거나 수정할 수 있도록 하는 인터페이스를 제공합니다. 또한, 클라이언트는 정보를 수신하면 특정 작업을 수행할 수 있도록 설정할 수도 있습니다.
범용 프로토콜에 기반한 디렉토리 시스템을 선택하면, 클라이언트와 서버 시스템을 "혼합"하여 사용할 수 있으며, 누가 시스템을 개발했든 상관없이 상호 운용성을 보장받을 수 있습니다. 또한, 네트워크 디렉토리에 포함된 정보는 침입 탐지 시스템(IDS)과 같은 모니터링 및 활동 보고 도구에서 활용될 수 있습니다. 일반적으로 사용되는 프로토콜을 구현하는 디렉토리 관리자를 설치하면 해당 디렉토리의 정보가 사용자 모니터링 및 자원 제어 패키지에 접근 가능하게 됩니다.
LDAP(Lightweight Directory Access Protocol)
LDAP는 다양한 네트워크 디렉토리에 접근하기 위한 메커니즘으로 널리 사용되는 서비스 프로토콜입니다. 아래에 소개될 많은 네트워크 디렉토리 시스템들은 LDAP 프로토콜을 사용합니다. LDAP는 소프트웨어가 아닌 프로토콜이므로 직접 구매하여 설치할 수는 없습니다. 대신, LDAP 규칙을 구현하는 프로그램을 획득하여 실행해야 합니다. 프로토콜은 목표 달성을 위한 표준 및 작업 절차 목록을 정의하므로, 운영 체제에 종속되지 않습니다. 이는 Windows, Linux, Unix 또는 다른 운영 체제용 LDAP 구현이 개발될 수 있음을 의미합니다.
LDAP 정의의 중요한 부분은 클라이언트가 LDAP 서버와 통신할 수 있도록 하는 명령 언어를 설정한다는 것입니다. 이 표준은 공개적으로 사용 가능하므로, 누구나 이를 사용하여 LDAP 서버와 상호 작용하는 애플리케이션을 개발할 수 있습니다. 즉, LDAP는 상용 소프트웨어뿐만 아니라, 사용자 정의 프로그램에도 통합할 수 있습니다. 이러한 유연성과 보편성 덕분에 LDAP는 디렉토리 서비스 운영 절차의 사실상의 표준으로 자리매김했습니다.
LDAP는 모든 DNS(도메인 이름 서비스) 서버에서 사용되므로, 인지하지 못하더라도 네트워크에서 정기적으로 LDAP 시스템을 사용하게 됩니다.
OpenLDAP
이름에서 알 수 있듯이 OpenLDAP는 가장 순수한 LDAP 시스템 구현입니다. 이는 다른 프로그램에 통합될 수 있는 절차 라이브러리입니다. OpenLDAP는 오픈 소스 프로젝트이므로, 누구나 무료로 코드에 접근할 수 있습니다. 이 코드는 OpenLDAP 프로젝트에 의해 Java 라이브러리로 구현되어 모든 운영 체제에서 GUI 인터페이스를 통해 시스템에 접근할 수 있습니다. OpenLDAP는 코드 라이브러리이므로, OpenLDAP 절차를 직접 구현하는 네트워크 관리자는 거의 없습니다. 대신, OpenLDAP 사용을 명시하는 상용 애플리케이션을 찾는 것이 일반적입니다.
액티브 디렉토리
Microsoft의 Active Directory는 Windows용으로 개발된 혁신적인 사용자 관리 시스템으로, 1999년에 출시되어 그 우수성으로 인해 여전히 널리 사용되고 있습니다. Active Directory는 네트워크에서 승인된 사용자 목록을 관리하고, 사용자를 권한 수준별로 분류하여 관리자 권한을 가진 사용자에게 더 높은 접근 권한을 부여합니다. 또한, Active Directory는 네트워크에 연결된 컴퓨터의 권한도 검사하여 승인된 장치만이 네트워크에 접속하고, 승인된 사용자만이 해당 컴퓨터에 로그인할 수 있도록 보장합니다. 따라서 이는 매우 효과적인 보안 서비스입니다. 특정 사용자 그룹에 대한 일부 장비의 접근을 차단하고, 관리자 권한을 가진 사용자에게 특정 애플리케이션 접근 권한을 부여할 수도 있습니다.
Active Directory의 주된 제약 사항은 Microsoft 제품하고만 통합되므로 Linux 환경에서는 사용할 수 없다는 점입니다. 또한, Google 문서와 같은 타사 생산성 제품군에 대한 접근 제어가 어렵습니다. 성공적인 경쟁 서비스와 클라우드 기반 시스템이 증가함에 따라 Active Directory의 활용성은 점점 감소하고 있습니다.
Novell 디렉토리 서비스(NDS)
NDS 시스템은 Novell Netware 네트워크에 디렉토리 서비스를 제공하기 위해 개발되었지만, Netware가 설치되지 않은 네트워크에서도 사용할 수 있습니다. NDS 소프트웨어는 Windows, Sun Solaris, IBM OS/390에서 실행될 수 있습니다. NDS는 LDAP의 초기 구현 중 하나였기 때문에 다른 디렉토리 서비스 구현의 벤치마크가 되었으며, 이후 LDAP의 사용은 Active Directory를 포함한 다른 디렉토리 서비스 개발에 중요한 영향을 미쳤습니다.
액세스 제어 목록(ACL)
ACL은 LDAP의 경쟁적인 접근 관리 시스템입니다. LDAP만큼 널리 사용되지는 않지만, ACL은 업계에서 신뢰할 수 있는 인증 서비스로 인정받을 만큼 충분히 구현되었습니다. ACL 시스템은 속성 트리를 생성하는 데이터 저장 형식을 기반으로 합니다. ACL 용어에서 보호되는 자원은 "객체"라고 하며, 각 객체에는 허용된 사용자 목록이 할당되고, 보호되는 객체의 종류에 따라 각 사용자에게 하나 이상의 권한이 부여됩니다. ACL은 파일 접근이나 네트워크 접근에 적용할 수 있으며, 네트워크 기반 ACL은 특정 호스트 주소에 대한 접근을 제어하고, 포트에 대한 접근을 선택적으로 차단할 수 있으므로 침입 방지 시스템(IPS)에 유용합니다. 네트워크에서 ACL에 의해 문서화된 접근 권한은 스위치와 라우터에서 구현됩니다.
최신 ACL은 파일 저장 대신 권한을 저장하기 위해 SQL 데이터베이스를 사용합니다. 이러한 발전을 통해 ACL은 사용자 접근 제어를 넘어 사용자 그룹 관리까지 확장되었습니다. 이는 접근 권한 관리를 단순화합니다. 특히, 네트워크에서 ACL은 일반적인 사무실 기반 사용자의 기본적인 자원 요구사항에 접근 권한을 부여하기 위해 각 사용자를 여러 번 로그인해야 할 수 있습니다.
자격 증명 및 접근 관리 솔루션(IAM)
사용자 인증 시스템을 조사할 때 접할 수 있는 네트워크 유틸리티 범주는 IAM(Identity and Access Management) 솔루션입니다. 이 용어는 단순한 디렉토리 서비스보다 사용자 인증에 대한 폭넓은 솔루션을 의미합니다. 그러나 디렉토리나 여러 디렉토리가 모든 IAM 시스템의 핵심에 있습니다. 따라서 접근 및 인증 시스템을 구매할 때, 디렉토리 관리보다 더 폭넓은 권한을 가진 도구를 목표로 해야 합니다. 다만, 다른 모니터링 애플리케이션에서도 디렉토리 접근을 활용할 수 있도록 LDAP와 같은 개방형 프로토콜을 구현하려면 IAM의 핵심에 디렉토리 서비스가 필요하다는 점을 기억해야 합니다.
네트워크 디렉토리 서비스에 대한 제안
이 목록은 네트워크에서 시도해 볼 수 있는 특정 디렉토리 서비스에 대한 몇 가지 제안을 제공하지만, 웹 서버나 IP 주소 관리자와 같이 정기적으로 사용하는 다른 애플리케이션들도 디렉토리 서비스를 통합하고 있습니다.
JumpCloud DaaS
제품 이름에 포함된 "DaaS"는 "Directory as a Service"를 의미합니다. 이는 "Software as a Service"라는 용어와 유사하게 온라인 클라우드 기반 소프트웨어 서비스의 구성을 설명합니다. 따라서 JumpCloud라는 이름은 인터넷을 통해 디렉토리 서버를 제공하는 온라인 서비스임을 의미합니다. JumpCloud는 Active Directory를 구현한 유료 제품이지만, Active Directory 기능을 Unix 및 Linux 시스템으로 확장하기 위해 해당 운영 체제에 LDAP 구현을 에뮬레이트합니다. JumpCloud는 Microsoft가 제공하는 리소스뿐만 아니라 모든 리소스에서 Active Directory가 작동하도록 하는 효율적인 방법을 제공합니다. JumpCloud DaaS는 최대 10명의 사용자에게 무료로 제공됩니다.
인터넷을 통해 보안 서비스를 실행하면, 시스템 장애 가능성이 높아지고 해커가 트래픽을 가로채 인증 프로세스를 침투할 수 있는 기회가 더 많아집니다. 그러나 JumpCloud는 클라이언트와 JumpCloud 원격 사이트에 있는 서버 간의 모든 통신을 암호화하여 이러한 위험을 줄입니다.
웹에 Active Directory를 배치하는 것은 현장 리소스를 많이 사용하지 않지만, 사용자 애플리케이션을 클라우드 서버와 SaaS에 의존하는 사람들에게는 매력적인 솔루션입니다. 클라우드 기반 모델은 재택 근무자가 많거나, 클라이언트 사이트에서 일하는 에이전트, 컨설턴트 또는 장인이 있는 기업에게도 유용합니다.
JumpCloud DaaS는 기존 사이트 기반 애플리케이션을 원격 서버에 쉽게 제공할 수 있도록 조정하는 방법과 혁신적인 기술을 통해 기존 서비스의 기능이 개선되고 확장될 수 있는 좋은 사례입니다.
AWS 디렉토리 서비스
Amazon Web Services는 JumpCloud DaaS의 대안을 제공합니다. 이것은 클라우드 기반 Active Directory 구현이며, 클라우드 시장의 주요 업체 중 하나가 제공합니다. 이 디렉토리 서비스는 기존 현장 설정에 사용하거나, 스토리지 및 소프트웨어를 다른 AWS 서비스로 마이그레이션하는 데 사용할 수 있습니다. JumpCloud와 달리 AWS Directory Service는 Active Directory 기능을 Unix 및 Linux로 확장하지 않고, 클라우드에서 호스팅되는 순수한 Microsoft Active Directory 구현을 제공합니다.
Amazon은 AWS Directory Service를 무료로 제공하지 않지만, 가격 책정 모델은 확장성이 뛰어나며, 시간당 사용량에 따라 요금이 부과됩니다. 첫 번째 도메인을 포함한 기본 요금과 추가 도메인에 대한 할인이 제공됩니다. 서비스는 30일 동안 무료로 사용할 수 있습니다.
389 디렉토리 서버
389 디렉토리 서버 웹 사이트에서는 이 소프트웨어가 "실제 사용에 의해 강화"되었다고 주장합니다. 숙련된 네트워크 관리자라면 이러한 주장이 무엇을 의미하는지 이해할 것입니다. 389 디렉토리 서버는 오픈 소스 프로젝트이며, 불필요한 기능이 없는 제품입니다. 프로그램을 직접 컴파일하고 코드를 자세히 살펴보고 싶다면 이 디렉토리 시스템이 마음에 들 것입니다. 또한 이 패키지는 Gnome 환경용 GUI 인터페이스를 제공하므로 사용 편의성이 높습니다.
389 디렉토리 서버는 Linux에서 사용할 수 있으며 무료입니다. 서비스 절차는 LDAP 표준에 따라 작성되어 있어, Linux용 Active Directory와 유사한 기능을 제공합니다.
아파치 디렉토리
웹사이트를 운영하고 있다면, Apache 웹 서버를 사용하고 있을 가능성이 높습니다. 아파치 디렉토리는 웹 서버 소프트웨어를 관리하는 동일한 조직에서 관리하는 무료 LDAP 구현입니다. 아파치 디렉토리와 아파치 웹 서버 사이에는 엄격한 상호 운용성은 없지만, 두 제품 모두 별개입니다. 그러나 Apache의 웹 서버 패키지에 익숙하다면 무료로 사용할 수 있는 아파치 디렉토리를 사용해 볼 수 있다는 확신을 얻을 수 있습니다.
완전한 아파치 디렉토리 구현을 위해서는 두 가지 소프트웨어를 다운로드하여 설치해야 합니다. 서버 모듈은 아파치 DirectoryDS라고 하고, 클라이언트는 아파치 Directory Studio라고 합니다. 두 패키지 모두 LDAP와 완전히 호환되므로, LDAP를 기반으로 하는 다른 응용 프로그램으로 대체할 수 있습니다. 클라이언트 패키지를 사용하면 서버에 저장된 디렉토리 레코드를 확인하고 변경할 수 있습니다. 클라이언트와 서버 모두 무료이며, Windows, Unix, Linux, Mac OS에서 실행할 수 있습니다.
FreeIPA
이전에 IMS(Identity Management System)에 대해 읽었을 수도 있습니다. FreeIPA는 좋은 IMS의 예이므로, 이 디렉토리 서비스 목록에 포함되어 있습니다. 무료로 사용할 수 있기 때문에, FreeIPA를 사용해 보는 데 비용 부담이 없습니다. "IPA"는 ID, 정책 및 감사를 의미하며, 이 세 가지 우선순위는 네트워크와 모든 IT 리소스에 필요한 인증 프로세스를 요약합니다. 위에서 설명한 것처럼 디렉토리 서비스는 IMS 시스템의 일부입니다. FreeIPA의 경우 디렉토리 서버 구성 요소는 389 디렉토리 서버에서 제공합니다. 따라서 389 디렉토리 서버를 설치하여 LDAP 구현을 선택하거나, FreeIPA가 포함된 전체 IMS로 이동하여 인증 서비스 및 접근 제어를 확장할 수 있습니다.
FreeIPA는 오픈 소스 프로젝트이므로, 코드를 검사하여 숨겨진 데이터 수집 절차가 포함되어 있지 않은지 확인할 수 있습니다. 이 서비스는 IMS 프레임워크 내에서 구현할 수 있는 인증 방법론을 제공하며, Kerberos는 이 범주 내에서 사용할 수 있는 훌륭한 오픈 소스 옵션입니다.
FreeIPA는 Unix 또는 Linux에서 실행됩니다. 그러나 Windows 시스템도 모니터링할 수 있으며, Unix 호환 Mac OS 환경에 설치하여 모니터링할 수도 있습니다. FreeIPA는 Apache HTTP Server 및 Python 프로그래밍 API를 비롯한 기존 기술을 사용하여 "실제 사용으로 강화된" 구성 요소를 기반으로 하는 완전한 IMS를 제공합니다.
네트워크 디렉토리 모니터링
잘 알려진 디렉토리 서비스를 사용하면, 다양한 시스템 모니터링 애플리케이션이 네트워크와 해당 서비스를 완전히 관리하고 제어하기 위해 자원 접근 제어 레코드에 포함된 정보를 활용할 수 있다는 이점이 있습니다.
네트워크 활동에 대한 완전한 제어를 제공하기 위해 디렉토리 데이터를 활용하는 매우 유용한 네트워크 모니터링 시스템이 많이 있습니다. 다음은 실제로 알아야 할 내용입니다.
SolarWinds 서버 및 애플리케이션 모니터(무료 평가판)
SolarWinds 제품은 Windows Server에서 작동하므로 Active Directory와의 호환성에 문제가 없습니다. Windows 환경을 위한 모니터링 시스템으로서, SolarWinds는 이 도구에 Active Directory 모니터링 기능을 내장했습니다. 네트워크의 Active Directory 레코드를 사용하면, 모니터가 사용자 요구에 따라 서버 로드에 레이블을 지정할 수 있으며, 회사의 NetFlow 트래픽 분석기와 사용자 장치 추적기가 설치된 경우 네트워크를 통해 사용자 활동을 추적할 수도 있습니다.
SolarWinds는 다양한 자원 모니터링 유틸리티를 생산하며, 이들 모두는 Orion이라는 공통 플랫폼을 기반으로 합니다. 이를 통해 설치된 각 모듈은 서버에서 실행 중인 다른 SolarWinds 제품과 상호 작용할 수 있습니다. 서버 및 애플리케이션 모니터의 PerfStack 모듈은 SolarWinds 네트워크 성능 모니터와 같은 네트워크 모니터도 설치된 경우에 가장 효율적으로 작동합니다. PerfStack은 서비스 스택의 각 수준을 함께 보여주기 때문에 성능 문제가 발생하는 위치를 신속하게 파악할 수 있습니다.
사용자 장치 추적기는 특히 Active Directory에 저장된 정보를 활용하여 제품군의 다른 모니터에 자원 로드의 출처를 알려줍니다. 추적기는 보안 침해를 발견하는 데 도움이 되며, 네트워크 성능 모니터 및 NetFlow 트래픽 분석기는 침입자 활동을 나타낼 수 있는 과도한 트래픽을 감지합니다. 30일 무료 평가판을 통해 이러한 SolarWinds 제품의 일부 또는 전부를 사용할 수 있습니다.
PRTG 네트워크 모니터
PRTG는 통합 네트워크, 서버 및 애플리케이션 모니터입니다. PRTG를 사용할 때, 감시 범위는 완전히 사용자 정의할 수 있으므로, 원하는 만큼 광범위하게 또는 좁게 구현하도록 선택할 수 있습니다. PRTG 시스템은 수백 개의 센서로 구성되어 있으며, 각 센서를 활성화해야 시스템이 작동하기 때문에 사용자 개입 없이는 시스템의 모든 기능이 비활성화되어 있습니다. 각 센서는 네트워크 서비스의 한 측면 또는 특정 리소스에 중점을 둡니다. 예를 들어, 트래픽 모니터링을 위한 Ping 센서가 있고, LDAP 디렉토리를 활용하는 센서 세트도 있습니다.
Paessler는 최대 100개의 센서만 활성화하는 경우 PRTG를 무료로 제공합니다. 따라서 이 도구를 Active Directory 모니터로 사용할 수 있습니다. 이 유틸리티가 Active Directory 활동을 감시하는 동안, 무료 서비스 제안 내에서 네트워크의 몇 가지 다른 활동을 모니터링할 수 있는 공간도 있습니다. SNMP 및 NetFlow 센서를 활성화하여 네트워크 트래픽에 대한 피드백을 얻거나, 포트 모니터나 서버 상태 센서를 활성화할 수 있습니다.
100개 이상의 센서를 사용하려면, 30일 무료 평가판을 통해 PRTG를 사용할 수 있습니다. PRTG는 Windows Server 환경에 설치됩니다.
ManageEngine ADAudit Plus
ManageEngine은 Windows 또는 Linux에서 실행되는 우수한 자원 모니터 제품군을 제공합니다. ManageEngine 제품군 내에서 Active Directory 모니터링에 특화된 여러 도구를 찾을 수 있습니다. ADAudit Plus는 이러한 도구 중 하나입니다. 이 도구는 ManageEngine 인터페이스를 통해 Active Directory를 관리하고, 로그인 및 로그오프를 포함한 모든 사용자 활동을 추적하는 데 도움이 됩니다. 이를 통해 침입자 활동을 나타낼 수 있는 비정상적인 사용자 활동과 과도한 로그인 시도를 감지할 수 있습니다.
ADAudit Plus는 다양한 기능을 제공하며, 추적 및 보고 기능이 포함되어 있습니다. 30일 무료 평가판을 통해 사용할 수 있습니다. 평가판 기간 후에도 계속 사용하고 싶지 않다면, 이 ManageEngine 도구의 무료 버전을 사용할 수 있습니다. ManageEngine은 다음을 포함한 다양한 무료 Active Directory 도구를 제공합니다: Active Directory 쿼리 도구, CSV 생성기, Active Directory 레코드를 추출하는 마지막 로그인 리포터, AD 복제 관리자 등.
디렉토리 서비스 선택
네트워크 디렉토리 서비스를 선택할 때, 수많은 옵션을 고려해야 합니다. 이 가이드가 여러분의 검색 여정에 도움이 되었기를 바랍니다.
혹시 이 가이드에 언급된 유틸리티를 사용하고 있나요? 아니면 다른 도구를 선호하시나요? 여러분의 지식을 공유하고 싶다면, 아래 댓글 섹션에 메시지를 남겨주세요.