모바일 장치의 중앙 관리 및 보안 강화, System Center Configuration Manager 2012

  • Article

 SysCnt-CM12-Beta_h_rgb

지금까지의 IT 자산 관리(Asset Management)라는 컨셉에서는 데스크톱과 랩탑, 또는 서버에 대한 부분이 대부분이었습니다. 사용자가 항상 들고 다니는 전화, 지금은 이제 스마트폰이라고 부르는 장치는 단순한 일정 및 메일 확인에 그쳤기 때문에, 분실 및 정보 유출에 대한 대비책만이 기본적인 관리 방안으로 생각해왔었죠.

현재 사용중이신 스마트폰에 대해 조직에서 어떠한 보안을 적용해 놓으셨나요? 최소한 암호는 적용되어져 있는지, 암호를 일정 횟수 틀렸을 경우(분실이라고 보는 것이죠), 장치에서 모든 데이터가 소거되도록 선언되어져 있는지, 암호에 대한 복잡성을 어떻게 설정되었는지..

image

Microsoft 기술에서는 이러한 모바일 장치에 대한 정책 선언 및 관리는 메일 및 일정을 주로 담당하는 Exchange Server에서 제공하는 기능이었습니다. Exchange Server 2007 이후 CAS 서버 역할에서 Exchange ActiveSync 사서함 정책의 선언 및 이에 대한 모바일 장치에 반영을 기본 아키텍쳐로 가지고 있습니다.

image

그러나 이제 모바일 장치에서 할 수 있는 일에 대한 영역이 점점 커져가고 있기에, 모바일 장치가 단순히 정보를 소비하는 역할을 넘어서, 정보를 생산하고, 인프라에 영향을 줄 수 있을 정도까지 각종 응용 프로그램이나 기본 기능을 제공하고 있기에, 모바일 장치에 대한 보다 세밀한 관리가 필요하게 되었습니다.

System Center Mobile Device Manager 2008 기술(SCMDM)이 이러한 부분에 대한 영역을 제공하고 있었습니다만, 잘 알려지지도 않았고, 무엇보다 시장에서 이러한 니즈에 대해서 많이 요구를 하지 않았기에.. Windows Mobile 폰에 설정내 연결 메뉴에 가보시면 도메인 연결이라는 아이콘을 보셨을 것이고, 이 도메인 연결이 SCMDM과 연결되어져, 내부에 관리를 받을 수 있게 해주었습니다.

SCMDM의 기술이 System Center Configuration Manager(SCCM) 2012에 포함될 예정이며, 현재 공개된 Beta 2 버전에서 이를 실제 구현해서 사용해보실 수 있습니다. 그러면서 SCMDM의 기술을 넘어서, Exchange Server와의 연계를 통해 모바일 장치에 대한 종합적인 관리가 가능해질 예정입니다. 현재 지원 예정인 모바일 플랫폼은 Windows Mobile 6.x, Windows Phone 7, IPhone, IPad, Android, Symbian을 지원합니다.

image

SCCM 2012에서는 먼저 Exchange Server Connector를 제공합니다. Exchange Server의 CAS 내 모바일 장치에 대한 정책 설정을 SCCM에서 가능하게 하며, Exchange에서 설정할 수 없는 추가 기능, 대표적으로 응용 프로그램에 대한 설치 및 사용 가능 여부, 각종 모바일 장치의 기능(무선 네트워크, 블루투스, 원격 데스크톱, 브라우저, 심지어는 문자 메시지까지)에 대한 정책을 만들어서 Exchange ActiveSync시 적용되게 할 수 있습니다.

image

정책 적용을 넘어서, 모바일 장치에 대한 자산 관리가 가능하다고 언급했는데요, 이는 기존 SCCM의 Management Point의 개선으로 가능해졌습니다. SCCM MP의 접근이 HTTPS 기반으로(외부 모바일 장치 교신시 필수) 모바일 장치를 관리할 수 있게 선언할 수 있습니다.

image

SCMDM 2008의 기반을 많이 SCCM으로 통합해놓았습니다. 모바일 장치가 그대로 조직내 인프라, 대표적으로 AD나 CA 서버나, SCCM 인프라를 바로 접속하는 것을 막기 위해서 Mobile Device용 등록(Enrollment) 관련 사이트 역할이 추가되었습니다.

image

이러한 Enrollment 서비스와 이를 외부와 연결시 안전한 접속을 위해 사용하는 Enrollment Proxy를 통해 외부의 모바일은 사내의 SCCM 인프라에 안전한 등록 및 차후 보안 통신을 위한 인증서를 발급받을 수 있습니다.

WP_000033 WP_000034 WP_000036

WP_000037 WP_000039

비록 사진으로 찍었지만, 대략 순서가 감이 잡히시죠? 모바일 장치 등록시, 인증서가 Mobile Enrollment Point를 통해 발급되고, 외부 망을 사용하는 경우, Enrollment Proxy Point가 연결을 대신 진행해주는 형태로 처리됩니다. 이렇게 등록된 모바일 장치는 인증서 기반의 HTTPS 통신을 SCCM과 진행하게 됩니다.

image

데스크톱, 서버 컴퓨터만 나오던 SCCM의 Collection내 위 스크린샷과 같이 Windows Mobile이 등록되고, 이 자산에 대한 여러 정보를 일목요연하게 관리하실 수 있습니다.

image

이에 대한 WIPE나 응용 프로그램 관리도 당연히 중앙에서 가능해집니다.

어떠신가요? 이제 모바일 장치에 대한 중앙 관리를 통해 보다 높은 관리 효율성 및 보안 향상을 꾀하실 수 있지 않을까요? 아직 베타 버전이지만, 빠른 속도와 안정성, 그리고 소개해드린 모바일 장치에 대한 일괄적인 관리, System Center Configuration Manager 2012는 개인적으로도 출시를 기다리게 하는 재미있는 기술입니다.

2012년도는 가히 관리 기술들의 전쟁터라고 불릴 정도로 다양한 관리 제품들이 각 기술 벤더에서 쏟아질 것으로 보입니다. 클라우드와 함께 시장의 중요한 단어로 자리잡은 MID(Mobile Internet Device)를 어떻게 효율적으로 관리하고, 사용할 것인가에 대해 고민할 시기가 이미 흐르고 있지 않나 싶습니다. 베타 버전은 여기에서 다운로드하실 수 있으며, TechNet 기술 문서는 여기에서 살펴보실 수 있습니다.