Workspace ONE 솔루션 소개

Workspace ONE 을 본격적으로 공부해보고자 한다. 앞으로 Workspace ONE 포스팅도 자주 자주 올려야겠다

Workspace ONE 은 기능에 따라 UEM, Access, Intelligence등으로 나뉘어져 있다.
먼저 어떠한 서비스가 있는지 파악하는 것이 우선이라고 생각하기 떄문에, 각 서비스에 대해 알아보자!

1. Workspace ONE 

Workspace ONE 은 Anywhere Workspace 라는 이름으로 설명되고 있다.
"언제 어디서든" 작업 공간을 만들 수 있다 라는 의미를 가지고 있다. 

실제로 Workspace ONE 은 다양한 유형의 기기와 업무용으로 제공되는 소프트웨어를 언제 어디서든 사용하도록 제공하고 있으며,
인증 및 제어, 관리 등의 기능을 통해 보안에 대한 요구 사항도 충족 시킬 수 있는 솔루션이다. 

과거의 모바일 기기 관리에만 집중했던 Moblie Device Management (MDM) 솔루션에서 모든 엔드포인트를 통합하여 관리할 수 있는 Unified Endpoint Management (UEM) 솔루션으로 발전하였다.

출처 : https://techzone.vmware.com/resource/workspace-one

다양한 기기에서 다양한 서비스 사용 시에도 단 하나의 인증 수단을 제공하고 있는 Workspace Access
하나의 솔루션을 통해서 다양한 OS 를 제어할 수 있는 Workspace UEM 
사용 정보를 분석하거나 기기 상태 정보에 대한 관리 및 유지보수 기능을 제공하는 Intelligence
엔드포인트 기기에 원격으로 접속하여 관리할 수 있는 Workspace Assist 
==> 이렇게 다양한 솔루션이 합쳐진 것을 Workspace ONE 이라고 한다. 

1.1 UEM (Unified Endpoint Management)

Workspace ONE UEM 은 엔드포인트 장비를 관리하기 위한 중앙 집중식 관리 인터페이스를 제공하는 소프트웨어 플랫폼이다.

Workspace ONE의 이전 명칭은 Air Watch 라는 명칭을 가지고 있다. 
(14년 VMware가 AirWatch 인수 후, VMware AirWatch 로 명칭 변경하여 사용됨. 이 후 18년 5월 9.4 버전 출시하며 UEM 으로 변경)

기존 환경의 수명 주기 관리는 여러 가지 이유로 어려움이 있었다.
대표적으로 가시성이 제한되어 있거나, 보안 적용 되어 있지 않거나, 신뢰할 수 없는 소프트웨어가 배포되는 등을 예로 들 수 있다.

이러한 어려움을 UEM 통해 현대적인 수명 주기를 관리하도록 제공한다.
가시성을 제공하며, 어떠한 이상 행위가 발생하였는지, 사용자 접근 권한 제어 및 문서 통제 등의 기능을 통해 효과적으로 수명 주기를 관리하도록 도와준다.

Workspace ONE은 SaaS형과 On-prem형으로 제공된다. 

https://techzone.vmware.com/resource/workspace-one-uem-architecture#on-premises-architecture

On-prem 환경의 단일 구성 아키텍쳐 이미지다. 
단일 구성 요소로는 Admin Console, UEM Device Service, SQL Server, ACC, AWCM 등이 있다. 

https://techzone.vmware.com/resource/workspace-one-uem-architecture#multi-site-design

On-prem 환경에 구축하여 서비스를 제공하는 경우, HA를 구성하여 사용함을 권장하고 있다. 

https://techzone.vmware.com/resource/workspace-one-access-architecture#scalability-and-availability

DB 서버의 경우 DB 서버 수준(SQL Server Always On)에서 고가용성을 확보하도록 안내하고 있다
Device Service의 경우 로드밸런서의 트래픽 제어를 통해 고가용성을 확보하도록 안내하고 있다. 
Console 서버의 경우에도 동일하게 로드밸런서의 트래픽 제어를 통해 고가용성을 확보하도록 안내하고 있다.

1.2 Access

ID 소스 마다 다른 명칭을 사용할 경우, ID 관리하는 데에 불편함이 있을 수 있다.
Workspace ONE Access 는 다양한 ID 소스를 통합하여 사용할 수 있도록 Identity 를 관리해주는 기능을 제공하고 있다.
이 외에도 단말기 유형이나 상태 및 네트워크를 확인해서 엔드포인트의 엑세스를 제어하는 기능도 제공해준다. 

Access 에서 모바일 SSO 및 외부 SaaS 서비스와 연동하기 위해 별도로 연동하여 활용하고 있다.

https://blogs.vmware.com/euc/2022/10/introduction-to-workspace-one-uem-device-management-modes.html

ID 소스를 통해 사용자 정보를 가져오도록 기능을 제공하고 있다. 

• LDAP 기반 디렉토리
• AD
• Workspace UEM
• Azure AD
• SAML/OIDC 사용하는 기타 아이텐티티 공급업체 (Okta, Ping Identity)

Access에서 지원되는 인증 방식은 아래와 같다.

• Password
• MFA - OTP 사용 가능
• SAML
• OAuth 2.0
• OpenID Connect
• WS-Fed
• Certificate
• Kerberos

1.3 Intelligence

https://techzone.vmware.com/resource/vmware-workspace-one-and-horizon-reference-architecture-overview#workspace-one

타사 보안 솔루션 및 자사인 VMware 보안 솔루션 (Carbon black, Horizon 등등) 과 연동하여 액션을 자동화 하거나, 알림을 제공받을 수 있는 기능이 제공되고 있다. 

보통 고객사에서 중요하게 생각하는 Report 기능도 제공되고 있다.
컴플라이언스 모니터링을 통한 수치 정보를 확인하거나 사용자 환경을 분석하는 리포트를 확인할 수 있다.

대시보드 통한 모니터링도 가능하여 부팅 시간이나 배포 상태에 대한 분석 또한 가능하며,  디바이스 헬스 상태에 대해서도 확인이 가능하다.
보안 솔루션과 연계할 수 있다는 이점을 제공하므로 침해 사고의 징후까지도 확인할 수 있다. 

그러나 많은 기능을 제공하고 있는 Intelligence는 당연하게도 최상위 라이선스인 Enterprise 라이선스 사용 시에 혜택을 누릴 수 있다..
(보고서 외의 대시보드/자동화/분석 등의 기능은 Enterprise 라이선스 사용 시에 활성화)

---

각 솔루션에 대한 아키텍쳐도 함께 정리해보려고 했으나, 별도로 정리하는 게 좋을 듯하다..

다음은 Workspace ONE 아키텍처 및 구성안에 대해 정리해보도록 하겠다..!