2009.07.17

“찰떡궁합” 윈도우 7과 윈도우 서버 2008 R2

J. Peter Bruzzese | InfoWorld

윈도우 7의 출시일은 2009년 10월 22일로 정해졌으며, 윈도우 서버 2008 R2도 같은 시기에 출시될 것으로 예상된다. 두 제품이 비슷한 시기에 출시되는 것은 우연이 아닌데, 제품은 기업 환경에서 함께 이용할 수 있도록 만들어졌기 때문이다. 윈도우 2000 이래로 마이크로소프트의 서버와 클라이언트 제품이 동시에 출시된 적이 없으므로, IT 업계에서는 두 제품을 한 세트로 생각하고 관심을 가질 필요가 있다.

 

이 두 운영체제가 어떤 지점에서 만나며, IT 관리자들은 어떤 부분에 주목해야 하는지 살펴보자.

 

다이렉트 액세스(DirectAccess)

모바일 사용자들은 윈도우 7과 윈도우 서버 2008 R2를 이용해 어떤 곳에서든지 VPN 없이 회사 네트워크에 접속할 수 있다. 이것은 VPN을 통하지 않고 아웃룩 애니웨어를 사용해 익스체인지 환경에 접속하는 것과 같은 개념이다.

 

다이렉트 액세스는 SSL 포트 443에서 SSTP(Secure Socket Tunneling Protocol)를 사용하는데, 보안 사이트에 접속하기 위해 HTTPS를 사용하는 것과 유사하다. 또한 암호화된 인터넷 커뮤니케이션을 위해 IPv6 over IPSec을 사용할 수 있다.

 

여전히 사용자들의 인증이 필요하기 때문에 불안 요소도 많지 않다. 노트북을 도난당해도 다른 사람이 이를 통해 회사 네트워크에 직접 접속할 수는 없다. 사용자들은 노트북에 윈도우의 비트로커 디스크 암호화 사용하는 것도 고려해 볼 필요가 있다. 두 가지 인증 방법이 사용될 수 있으며(스마트 카드나 바이오메트릭스), 윈도우 7에서는 강화된 바이오메트릭스 기능을 사용할 수 있다.

 

다이렉트 액세스에는 몇 가지 분명한 장점이 있다. 사용자들은 다루기 힘든 VPN 연결을 이용할 필요없이 어디에 있든지(물론 인터넷 연결이 가능한 곳이어야 한다) 매우 간단하게 접속할 수 있다.

 

일반적으로 기업 네트워크 내에서 모바일 시스템을 갖춘 사용자들은 해당 네트워크에 접속해 있을 때만 업데이트나 변화된 정책을 수신할 수 있다. 다이렉트 액세스를 이용하면 인터넷에 연결만 되어 있다면 따로 로그인을 할 필요조차 없다. 그리고 IT 관리자는 클라이언트 장치가 연결되어 있을 때는 언제든지 변화를 줄 수 있고, 좀 더 쉬운 방법으로 패치와 바이러스 백신을 제공할 수 있다.

 

브랜치 캐시(BranchCache)

윈도우 7과 윈도우 서버 2008 R2 모두를 요구하는 또 다른 기능은 그 이름에서 어떤 기능인지가 잘 나타난다. 지점에 있는 사람들은 대개 각 지점에는 보관되지 않는 데이터를 필요로 한다. 사실 지점들은 로컬 서버가 없는 곳이 대부분이다. 지점에 위치한 사용자는 WAN을 통해서 본사의 파일을 다운로드하는데(이미 대역폭의 제한이 따른다), 파일을 다운로드하려는 각 직원들로 인해 이 과정은 중복적으로 이뤄질 수밖에 없다.

 

브랜치 캐시는 지점에 데이터를 보관하기 때문에 지점의 한 사용자가 이미 해당 파일을 받아 놓았다면, 그 지점의 다른 사용자는 본사에서 다시 파일을 다운로드하는 것이 아니라 이미 지점의 컴퓨터에 다운로드된 파일을 받게 되는 것이다. 로컬 캐시를 사용하면 다운로드 시간이 빨라지고 네트워크 사용량도 줄어드는 이점이 생긴다.

 

브랜치 캐시에는 두 가지 모드가 있다. 호스티드 캐시(Hosted Cache) 모드에서는 서버가 캐시 파일을 직접 보관한다. 디스트리뷰티드 캐시(Distributed Cache) 모드에서는 클라이언트가 캐시 파일 사본을 보관한다(서버는 여전히 해당 파일의 최근 버전을 제공하고 이 파일들에 대한 접근 허가를 유지하는 역할을 맡는다). 이 기능을 사용하려면 SSL, SMB 서명, IPsec와 같은 다양한 보안 기술이 필요하다.

#######

비트로커-투-고(BitLocker-to-Go)

윈도우 7에서는 내장 하드 드라이브에서만 가능했던 디스크 암호화를 USB 메모리와 같은 이동식 저장장치에도 적용할 수 있는 기능을 이용할 수 있다(이미 비스타 서비스팩 1으로 인해 시스템 드라이브에서만 가능하던 암호화를 비 시스템 파티션에도 적용할 수 있게 됐다).

 

비트로커-투-고는 윈도우 서버 2008 R2없이 실행될 수 있지만, 그룹 정책이 사용자들로 하여금 네트워크 상의 시스템에 플러그된 이동식 저장장치에서도 비트로커를 실행할 수 있도록 하기 때문에 기업 환경에서는 함께 사용할 수도 있다. 또한 그룹 정책은 사용자가 암호화되지 않은 드라이브를 사용하지 못하도록 할 수 있으며, 복구 키를 액티브 디렉터리에 저장해 편리하게 관리할 수 있다.

 

앱로커(AppLocker)

윈도우 7과 윈도우 서버 2008 R2는 (파일명, 경로, and/or 해시 계산과 같은 여러가지 간단한 방법을 사용해 시스템에서 실행할 수 있는 애플리케이션을 통제하는) 기존의 소프트웨어 제한 정책 기능을 대체할 앱로커라는 새로운 레벨의 보안 기능을 제공한다.

 

앱로커는 로컬 보안 정책을 통한 활용도 가능하지만, 그룹 정책을 통해 더 나은 성능을 제공한다. 통제 수준 조절이 가능한 간단한 슬라이더로 규칙과 예외를 정할 수 있다.

 

리모트앱과 데스크톱

리모트앱은 애플리케이션들이 로컬 시스템에 설치된 것처럼 터미널 서비스 세션에서 실행되도록 한다. 이것은 또한 ‘프리젠테이션 가상화’라고도 하는데, 애플리케이션은 서버에서 구동되고 클라이언트는 윈도우에서 전체 데스크톱이 아닌 해당 애플리케이션만 볼 수 있다. 이 기능은 윈도우 서버 2008 R1에 추가됐지만, 윈도우 7은 RAD(RemoteApp and Desktop) 피드로 이 과정을 강화했으며, RAD 피드는 클라이언트와의 통합 과정을 개선했다.

 

이런 리모트앱 세션을 위해 윈도우 7과 윈도우 서버 2008을 함께 사용하는 이점은 에어로 글래스 기능과 멀티모니터 지원을 포함한 더 나은 멀티미디어 사용할 수 있는 RDP 프로토콜(RDP v7)을 이용할 수 있도록 한다는 것이다.

 

보다 중요한 것은, 클라이언트와 서버 사이에 상당히 높은 수준의 보안을 제공한다는 점이다. 이것은 리모트 데스크톱 게이트웨이라고 하는 윈도우 서버 2008 R2의 서버 역할 덕분이며, 이는 터미널 서비스 게이트웨이를 대체하며 클라이언트에 대한 보다 엄격한 접근 설정이 가능해진다.

 

상당히 만족스러운 두 운영체제의 만남

윈도우 7과 윈도우 서버 2008 R2가 함께 사용되도록 설계됐다는 점은 명백하다. 하지만 그렇다고 해서 사용자의 전체 네트워크를 뜯어고쳐야 할 필요는 없다. 윈도우 서버 2008 R2는 우수한 기능을 많이 지니고 있지만, 각 기업의 환경에서 반드시 필요한 기능인지 일단 생각해봐야 할 것이다.

 

만약 이러한 기능들이 필요 없다면 걱정하지 않아도 된다. 윈도우 7이면 현재 구축된 환경에서 훌륭하게 작동할 것이다. 어쨌든, 앞서 살펴본 기능들은 기대하기에 충분한 가치를 가진 기능들이다.

 



2009.07.17

“찰떡궁합” 윈도우 7과 윈도우 서버 2008 R2

J. Peter Bruzzese | InfoWorld

윈도우 7의 출시일은 2009년 10월 22일로 정해졌으며, 윈도우 서버 2008 R2도 같은 시기에 출시될 것으로 예상된다. 두 제품이 비슷한 시기에 출시되는 것은 우연이 아닌데, 제품은 기업 환경에서 함께 이용할 수 있도록 만들어졌기 때문이다. 윈도우 2000 이래로 마이크로소프트의 서버와 클라이언트 제품이 동시에 출시된 적이 없으므로, IT 업계에서는 두 제품을 한 세트로 생각하고 관심을 가질 필요가 있다.

 

이 두 운영체제가 어떤 지점에서 만나며, IT 관리자들은 어떤 부분에 주목해야 하는지 살펴보자.

 

다이렉트 액세스(DirectAccess)

모바일 사용자들은 윈도우 7과 윈도우 서버 2008 R2를 이용해 어떤 곳에서든지 VPN 없이 회사 네트워크에 접속할 수 있다. 이것은 VPN을 통하지 않고 아웃룩 애니웨어를 사용해 익스체인지 환경에 접속하는 것과 같은 개념이다.

 

다이렉트 액세스는 SSL 포트 443에서 SSTP(Secure Socket Tunneling Protocol)를 사용하는데, 보안 사이트에 접속하기 위해 HTTPS를 사용하는 것과 유사하다. 또한 암호화된 인터넷 커뮤니케이션을 위해 IPv6 over IPSec을 사용할 수 있다.

 

여전히 사용자들의 인증이 필요하기 때문에 불안 요소도 많지 않다. 노트북을 도난당해도 다른 사람이 이를 통해 회사 네트워크에 직접 접속할 수는 없다. 사용자들은 노트북에 윈도우의 비트로커 디스크 암호화 사용하는 것도 고려해 볼 필요가 있다. 두 가지 인증 방법이 사용될 수 있으며(스마트 카드나 바이오메트릭스), 윈도우 7에서는 강화된 바이오메트릭스 기능을 사용할 수 있다.

 

다이렉트 액세스에는 몇 가지 분명한 장점이 있다. 사용자들은 다루기 힘든 VPN 연결을 이용할 필요없이 어디에 있든지(물론 인터넷 연결이 가능한 곳이어야 한다) 매우 간단하게 접속할 수 있다.

 

일반적으로 기업 네트워크 내에서 모바일 시스템을 갖춘 사용자들은 해당 네트워크에 접속해 있을 때만 업데이트나 변화된 정책을 수신할 수 있다. 다이렉트 액세스를 이용하면 인터넷에 연결만 되어 있다면 따로 로그인을 할 필요조차 없다. 그리고 IT 관리자는 클라이언트 장치가 연결되어 있을 때는 언제든지 변화를 줄 수 있고, 좀 더 쉬운 방법으로 패치와 바이러스 백신을 제공할 수 있다.

 

브랜치 캐시(BranchCache)

윈도우 7과 윈도우 서버 2008 R2 모두를 요구하는 또 다른 기능은 그 이름에서 어떤 기능인지가 잘 나타난다. 지점에 있는 사람들은 대개 각 지점에는 보관되지 않는 데이터를 필요로 한다. 사실 지점들은 로컬 서버가 없는 곳이 대부분이다. 지점에 위치한 사용자는 WAN을 통해서 본사의 파일을 다운로드하는데(이미 대역폭의 제한이 따른다), 파일을 다운로드하려는 각 직원들로 인해 이 과정은 중복적으로 이뤄질 수밖에 없다.

 

브랜치 캐시는 지점에 데이터를 보관하기 때문에 지점의 한 사용자가 이미 해당 파일을 받아 놓았다면, 그 지점의 다른 사용자는 본사에서 다시 파일을 다운로드하는 것이 아니라 이미 지점의 컴퓨터에 다운로드된 파일을 받게 되는 것이다. 로컬 캐시를 사용하면 다운로드 시간이 빨라지고 네트워크 사용량도 줄어드는 이점이 생긴다.

 

브랜치 캐시에는 두 가지 모드가 있다. 호스티드 캐시(Hosted Cache) 모드에서는 서버가 캐시 파일을 직접 보관한다. 디스트리뷰티드 캐시(Distributed Cache) 모드에서는 클라이언트가 캐시 파일 사본을 보관한다(서버는 여전히 해당 파일의 최근 버전을 제공하고 이 파일들에 대한 접근 허가를 유지하는 역할을 맡는다). 이 기능을 사용하려면 SSL, SMB 서명, IPsec와 같은 다양한 보안 기술이 필요하다.

#######

비트로커-투-고(BitLocker-to-Go)

윈도우 7에서는 내장 하드 드라이브에서만 가능했던 디스크 암호화를 USB 메모리와 같은 이동식 저장장치에도 적용할 수 있는 기능을 이용할 수 있다(이미 비스타 서비스팩 1으로 인해 시스템 드라이브에서만 가능하던 암호화를 비 시스템 파티션에도 적용할 수 있게 됐다).

 

비트로커-투-고는 윈도우 서버 2008 R2없이 실행될 수 있지만, 그룹 정책이 사용자들로 하여금 네트워크 상의 시스템에 플러그된 이동식 저장장치에서도 비트로커를 실행할 수 있도록 하기 때문에 기업 환경에서는 함께 사용할 수도 있다. 또한 그룹 정책은 사용자가 암호화되지 않은 드라이브를 사용하지 못하도록 할 수 있으며, 복구 키를 액티브 디렉터리에 저장해 편리하게 관리할 수 있다.

 

앱로커(AppLocker)

윈도우 7과 윈도우 서버 2008 R2는 (파일명, 경로, and/or 해시 계산과 같은 여러가지 간단한 방법을 사용해 시스템에서 실행할 수 있는 애플리케이션을 통제하는) 기존의 소프트웨어 제한 정책 기능을 대체할 앱로커라는 새로운 레벨의 보안 기능을 제공한다.

 

앱로커는 로컬 보안 정책을 통한 활용도 가능하지만, 그룹 정책을 통해 더 나은 성능을 제공한다. 통제 수준 조절이 가능한 간단한 슬라이더로 규칙과 예외를 정할 수 있다.

 

리모트앱과 데스크톱

리모트앱은 애플리케이션들이 로컬 시스템에 설치된 것처럼 터미널 서비스 세션에서 실행되도록 한다. 이것은 또한 ‘프리젠테이션 가상화’라고도 하는데, 애플리케이션은 서버에서 구동되고 클라이언트는 윈도우에서 전체 데스크톱이 아닌 해당 애플리케이션만 볼 수 있다. 이 기능은 윈도우 서버 2008 R1에 추가됐지만, 윈도우 7은 RAD(RemoteApp and Desktop) 피드로 이 과정을 강화했으며, RAD 피드는 클라이언트와의 통합 과정을 개선했다.

 

이런 리모트앱 세션을 위해 윈도우 7과 윈도우 서버 2008을 함께 사용하는 이점은 에어로 글래스 기능과 멀티모니터 지원을 포함한 더 나은 멀티미디어 사용할 수 있는 RDP 프로토콜(RDP v7)을 이용할 수 있도록 한다는 것이다.

 

보다 중요한 것은, 클라이언트와 서버 사이에 상당히 높은 수준의 보안을 제공한다는 점이다. 이것은 리모트 데스크톱 게이트웨이라고 하는 윈도우 서버 2008 R2의 서버 역할 덕분이며, 이는 터미널 서비스 게이트웨이를 대체하며 클라이언트에 대한 보다 엄격한 접근 설정이 가능해진다.

 

상당히 만족스러운 두 운영체제의 만남

윈도우 7과 윈도우 서버 2008 R2가 함께 사용되도록 설계됐다는 점은 명백하다. 하지만 그렇다고 해서 사용자의 전체 네트워크를 뜯어고쳐야 할 필요는 없다. 윈도우 서버 2008 R2는 우수한 기능을 많이 지니고 있지만, 각 기업의 환경에서 반드시 필요한 기능인지 일단 생각해봐야 할 것이다.

 

만약 이러한 기능들이 필요 없다면 걱정하지 않아도 된다. 윈도우 7이면 현재 구축된 환경에서 훌륭하게 작동할 것이다. 어쨌든, 앞서 살펴본 기능들은 기대하기에 충분한 가치를 가진 기능들이다.

 



X