안녕하세요. 날씨가 추워지는게 겨울답네요. 모두들 감기 조심하시기 바랍니다.
서버 MFA 방법에 대해 질문드립니다.
사내에 윈도우 서버가 하나 있는데, 이게 인터넷에 물려있습니다.
그래서 MFA 가 가능할 걸로 추정되는데, 외부 유지보수 업체가 있어서 이걸 어떻게 해야 할지 모르겠습니다.
아래와 같은 상황입니다.
1. SAP 도입
2. SAP 서버로 MS 서버 사용중.
3. SAP 은 외부 관리 / 지원 업체 존재
4. 해당 업체가 SAP 서비스의 유지보수를 위해, VPN을 통해 외부에서 접속.
5. MS 서버 자체는 DMZ 에 있고, 외부 인터넷이 가능합니다. = 80포트 + SAP 관련 포트 열어놓은 상태.
6. MS 서버의 IP는 사내망 IP 이고, 필요한 서비스 포트만 Port Forwarding 을 통해 외부에서 접속 가능하도록 묶어놓은 상태.
해당 MS 서버는, SAP 서비스만을 위해 들여온 장비라서, 관리자 ADMIN 계정 자체를 업체에게 넘긴 상태입니다.
관리자인 저도 들어가 볼 수 있지만, 업체도 들어가 볼 수 있죠.
이 상황에서 MFA 를 적용하려니, 두 명 이상의 작업자가 동일 계정 ADMIN 으로 접속하게 될 거고, 그럼 MFA 인증이 대응이 안 될 거 같다는 생각이 듭니다.
7. 여러 사람이 동일한 계정의 MFA 를 사용하는 경우가 있나요?
8. 대안으로서, 현재의 administrator 계정 말고, 시스템 관리자 계정을 추가로 2개 생성해서
9. 사내 관리자인 제가 1개, 사외 외주 업체에게 1개 주고 MFA 를 따로 = 작업자 개인 핸드폰으로 적용
하는게 대안으로 보입니다.
그리고 혹시, MFA 는 Windows Server 에서는 적용 안 되나요? 해당 내용을 검색 중인데, MS 서버 로그인에서 적용했다는 이야기가 안보이네요. Azure Joined AD 사례만 나옵니다.
혹시 비슷한 상황에 처하신 분들은 어떻게 대응하셨는지 의견을 적어주시면 감사하겠습니다.
이상입니다. 즐거운 하루 되시기 바랍니다.
4개의 답변이 있습니다.
https://www.silverfort.com/ko/use-cases/mfa-for-windows-server/
windows server MFA 위 링크 참고하세요
가급적 사용자 마다 다른 계정을 만들어서 사용하는 것이 좋지 않을까 싶어 보이네요.
최고 관리자 계정을 함께 사용하는 것 보다는 해당 사용자가 필요한 권한만을 부여해서 가능한 불필요한 권한을 사용하지 못하도록 해서 시스템 관리자 계정을 사용자 마다 만들어서 사용하는 것이 적절할 걸로 보이네요.
- 여러 사람이 동일한 계정의 MFA 를 사용하는 경우가 있나요?
MFA인증은 SMS, 지문, 전화, OTP 등올 할텐데요.
두 사람에게 지원되긴 어려울 것입니다.
그리고 보안적으로도 하나의 계정을 두사람이 사용하는 것은 권고하지 않는 사항입니다.
- MFA 는 Windows Server 에서는 적용 안 되나요?
제가 알기로 Windows Azure FS 설정을 활성화 해서 이 프로세스를 통해서
multi-factor 진행하는 것으로 압니다.
다른 방법으로는 3rd party 서비스를 이용하는 방법도 있구요.
서버가 1대라면 위 azure 방법 보다는 3rd party 서비스를 이용해서 사용하는 방법이 나을 수 있겠네요
■여러 사람이 동일한 계정의 MFA 를 사용하는 경우가 있나요?
MFA는 일반적으로 개별 사용자가 여러 형태의 확인을 요구하는 계정 보안을 강화할 수 있도록 설계되었습니다. 각 사용자는 비밀번호 및 모바일 OTP 등으로 인증을 받는 형태입니다.
그래서, 여러 사람이 동일한 계정에서 MFA를 사용하는 것은 보안사항에 위배될 뿐더러 누구도 권장하지 않을 것입니다.
꼭, 반드시 동일한 계정에 액세스 해야하는 경우가 아니라면 대안으로 언급한 내용을 고려하여 추진하는 걸 권장합니다.
■MFA 는 Windows Server 에서는 적용 안 되나요?
적용가능합니다. 요즘은 OS 나 온프레미스, 클라우드 등 인프라 환경에 영향을 받지 않도록 설계하고 출시합니다.