Amazon WorkLink – 내부 웹 사이트 및 애플리케이션에 대한 안전한 원클릭 모바일 액세스
Amazon은 모바일 디바이스를 사용하여 내부 회사 웹 사이트와 애플리케이션에 손쉽게 액세스하도록 지원하는 Amazon WorkLink 서비스를 시작합니다. 회사 직원들에게 중요한 인트라넷 콘텐츠에 대한 통제된 액세스를 제공하는 동시에 강력한 보안 프로파일을 유지할 수 있습니다.
Amazon WorkLink는 사용량을 기준으로 한 지불 방식의 완전 관리형 서비스로, 기업의 요구 사항에 따라 확장됩니다. 손쉽게 설정하고 실행할 수 있으며 기존 사이트 또는 콘텐츠를 마이그레이션하거나 수정할 필요가 없습니다. 모바일 디바이스에서 액세스 가능한 도메인을 완벽하게 제어할 수 있으며, 기존 SAML 기반 IdP(자격 증명 공급자)를 사용하여 사용자 기반을 관리할 수 있습니다.
Amazon WorkLink는 Virtual Private Cloud(VPC)를 통해 귀사의 내부 리소스에 액세스합니다. 해당 VPC 내부(예: EC2 인스턴스에서 호스팅되는 애플리케이션), 해당 VPC와 피어링된 다른 VPC 또는 온프레미스에 있는 리소스에 액세스할 수 있습니다. 온프레미스에 있는 리소스는 IPsec 터널, AWS Direct Connect 또는 새로운 AWS Transit Gateway를 통해 액세스할 수 있어야 합니다. VPC에서 실행되는 애플리케이션은 AWS PrivateLink를 사용하여 AWS 서비스에 액세스하면서 모든 트래픽은 AWS 네트워크에 유지할 수 있습니다.
사용자에게는 안전하고 국부적인 탐색 환경이 제공됩니다. 기업 콘텐츠는 AWS 클라우드 내에서 렌더링되며 보안 연결을 통해 각 디바이스에 전송됩니다. 출시 시점에는 iOS 12를 실행하는 디바이스를 지원하며, 몇 주 내로 Android 6+도 지원할 예정입니다.
Amazon WorkLink 소개
Amazon WorkLink에서는 생성하는 각 WorkLink 플릿에 도메인을 연결할 수 있습니다. 예를 들어 phones.example.com, payroll.example.com 및 tickets.example.com을 연결하여 사용자에게 연락처 목록, 급여 시스템, 문제 티켓팅 시스템에 대한 액세스를 제공할 수 있습니다. 도메인을 플릿에 연결하려면 도메인의 제어 권한이 본인에게 있음을 WorkLink에 입증해야 합니다. WorkLink는 도메인에 대해 SSL/TLS 인증서를 발행한 다음 도메인에 대한 요청을 처리하는 엔드포인트를 설정하고 관리합니다.
플릿이 생성되면 WorkLink에서 제공하는 이메일 템플릿을 사용하여 사용자들에게 초대를 보낼 수 있습니다. 사용자는 초대를 수락하고 WorkLink 앱을 설치한 후 기존 회사 자격 증명을 사용하여 로그인합니다.
이 앱은 첫 번째 계층 DNS 확인자로 설치되며 WorkLink 플릿에 액세스할 수 있도록 디바이스의 VPN 연결을 구성합니다. 모바일 사용자가 플릿에 연결된 도메인에 액세스하면, 요청한 콘텐츠를 TLS 연결을 통해 벡터 형식으로 가져오고 렌더링하고 디바이스로 전송합니다. 전송된 콘텐츠는 사용자의 기존 모바일 브라우저에서 렌더링됩니다. 사용자는 통상적인 방법으로 콘텐츠를 사용할 수 있습니다. 즉, 일반적인 콘텐츠와 마찬가지로 확대/축소하고 스크롤하고 입력할 수 있습니다.
모든 HTML, CSS 및 JavaScript 콘텐츠는 클라우드에서 다른 AWS 고객과 격리된 EC2 인스턴스의 플릿에 렌더링됩니다. 로컬 디바이스의 브라우저에는 콘텐츠가 저장되거나 캐싱되지 않습니다. WorkLink 앱은 쿠키의 암호화된 버전을 사용자 디바이스에 저장합니다. 이 쿠키는 디바이스에서 해독되지 않지만 사용자가 새로운 클라우드 렌더링 컨테이너를 획득하면 세션을 재개하기 위해 다시 전송됩니다. 도메인 안팎으로 전송되는 WorkLink와 관련 없는 트래픽은 종전과 마찬가지로 흐르며 WorkLink를 거치지 않습니다.
Amazon WorkLink 시작하기
WorkLink 플릿을 설정하는 프로세스를 단계별로 살펴보겠습니다. 여기서 실제 회사 네트워크나 인트라넷은 사용할 수 없으니 편법을 조금 쓰겠습니다. Amazon WorkLink 콘솔을 열고 Create fleet을 클릭하여 시작합니다.
플릿에 프로그래밍 이름(my-fleet)과 표시 이름(MyFleet)을 지정하고 Create fleet을 클릭하여 다음 단계를 진행합니다.
몇 초 안에 플릿이 생성되어 설정 가능한 상태가 됩니다.
my-fleet을 클릭하여 계속 진행합니다. 필수 설정 단계와 선택적 설정 단계를 한눈에 볼 수 있습니다.
Link IdP를 클릭하여 기존 SAML 스타일 자격 증명 공급자를 사용하고 Choose file을 클릭하여 메타데이터 공급자를 설명하는 XML 문서를 업로드한 후 Link IdP를 다시 한번 클릭하여 다음 단계로 넘어갑니다.
WorkLink는 이 문서를 검증 및 처리하고 서비스 제공업체 메타데이터 문서를 생성합니다. 해당 문서를 다운로드하여 자격 증명 공급자의 연산자에 전달합니다. 그러면 해당 공급자가 문서를 사용하여 자격 증명 공급자의 SAML 연동을 완료합니다.
다음으로, Link network를 클릭하여 사용자를 회사 콘텐츠에 연결합니다. 새 VPC를 생성하거나 기존 VPC를 사용할 수 있습니다. 어느 경우든, 가용성을 극대화하려면 2개 이상의 가용 영역에서 서브넷을 선택해야 합니다. 선택한 서브넷에는 플릿에 액세스할 사용자의 수를 지원하기에 충분한 수의 사용 가능한 IP 주소가 있어야 합니다. WorkLink는 연결된 사용자마다 ENI(탄력적 네트워크 인터페이스)를 생성하고 관리합니다. 여기서는 기존 VPC를 사용하겠습니다.
자격 증명 공급자가 구성되어 있고 네트워크가 연결되어 있으므로 Associate domain을 클릭하여 사용자가 네트워크의 일부 콘텐츠에 액세스하도록 허용할 수 있습니다. 도메인 이름을 입력하고 Next를 클릭하여 계속 진행합니다. 인트라넷 사이트가 www.jeff-barr.com이라고 가정하겠습니다.
이제 이 도메인에 대한 제어 권한이 내게 있음을 증명해야 합니다. DNS 구성을 수정하거나 이메일 요청에 응답하면 됩니다. 첫 번째 방법을 사용하겠습니다.
콘솔에 필요한 도메인 변경 사항(추가 CNAME 레코드)이 표시됩니다.
Amazon Route 53을 사용하여 DNS 항목을 관리하므로 CNAME을 손쉽게 추가할 수 있습니다.
Amazon WorkLink가 DNS 항목을 검증합니다. 이 방법은 4~5시간이 걸릴 수 있고 이메일을 사용할 경우 조금 더 빠릅니다. 원하는 모든 도메인에 대해 이 단계를 반복할 수 있으며, 나중에도 반복할 수 있습니다.
도메인이 검증되고 나면 User invites를 클릭하여 사용자에게 보낼 수 있는 이메일 초대장을 생성합니다.
사용자는 이메일의 지시에 따라 몇 분 안에 허용되는 사이트와 애플리케이션에 원격으로 액세스할 수 있습니다. 예를 들면 다음과 같습니다.
다른 강력한 관리 기능으로는 디바이스 정책을 설정 및 사용하는 기능과 신규 또는 기존 Amazon Kinesis Data Stream으로의 감사 로그 전송을 구성하는 기능이 있습니다.
주요 사항
Amazon WorkLink를 평가할 때는 몇 가지 고려해야 할 사항이 있습니다.
디바이스 지원 – 출시 시점에는 iOS 12를 실행하는 디바이스를 지원합니다. Android 6 디바이스도 몇 주 안에 지원할 예정입니다.
- 호환성 – Amazon WorkLink는 대부분의 최신 웹 콘텐츠 형식을 처리하고 렌더링하도록 설계되었으며, 그림판의 비디오와 오디오를 지원합니다. Flash, Silverlight, WebGL 또는 애플릿을 사용하는 콘텐츠는 지원하지 않습니다.
- 자격 증명 공급자 – Amazon WorkLink에는 현재 SAML 기반 자격 증명 공급자를 사용할 수 있으며, 향후 고객 요청과 피드백에 따라 다른 유형의 공급자도 지원할 예정입니다.
- 리전 – Amazon WorkLink 플릿은 현재 북미 및 유럽의 AWS 리전에서 생성할 수 있습니다. 올해 안에 다른 리전에 대한 지원도 제공될 예정입니다.
- 요금 – 해당 월에 활성 브라우저 세션을 사용하는 사용자의 수를 기준으로 요금이 부과됩니다. 활성 사용자 1명당 월 5 USD의 요금이 부과됩니다.
지금 이용 가능
지금 바로 Amazon WorkLink를 사용할 수 있으며 오늘부터 사용을 시작할 수 있습니다.
— Jeff;
Source: Amazon WorkLink – 내부 웹 사이트 및 애플리케이션에 대한 안전한 원클릭 모바일 액세스