인텔® 아키텍처 기반 태블릿에서 windows* 8 배포: 인텔의 접근 방법 · 인텔...
TRANSCRIPT
개요
인텔 IT는 강력한 인텔® 아키텍처 기반 태블릿과 Microsoft Windows* 8 조합이 직원들에게
상당한 생산성 혜택을 제공할 뿐 아니라 향상된 관리 기능과 정보 보안 기능을 제공한다고
생각합니다. 이 백서에서는 인텔 아키텍처 기반 태블릿에서 Windows 8을 준비하고
배포하는 절차와 우수 사례를 설명합니다.
인텔 직원은 다른 태블릿과 달리, 인텔 아키텍처 기반 태블릿을 사용할 경우, 단순한 컨텐츠 소비에 그치지 않고 컨텐츠 제작과 공동 작업에도 태블릿을 사용할 수 있습니다. 인텔 아키텍처 기반 태블릿에서 Windows 8을 실행하면 처음으로 노트북과 동일한 소프트웨어 및 네트워크 액세스 권한을 갖는 태블릿 폼 팩터를 보유하게 되며 터치 상호 작용, 시스템 응답성, 향상된 배터리 수명 등의 이점도 얻게 됩니다. IT 부서의 이점으로는 다른 OS와 태블릿에 비해 향상된 관리 기능과 정보 보안이 제공된다는 사실입니다. 이러한 인텔 아키텍처 기반 태블릿은 빌드 및 소프트웨어 구성 요소가 PC에 사용되는 것과 동일하기 때문에, PC 지원 모델과도 호환됩니다.
인텔 아키텍처 기반 태블릿에 Windows 8을 배포할 수 있도록 준비하기 위해 우리는 다음과 같은 사항을 처리했습니다.
• 서비스 및 배달 옵션
• 보안, 네트워크 및 사용자 환경 요구 사항
• 클라우드 스토리지 및 동기화 권장 사항
• 개인 정보 보호, 법률 정보, 재무 및 소프트웨어 라이센스 관련 사항
• 직원 커뮤니케이션 및 교육
우리는 회사 네트워크에 대한 직접적인 연결을 허용하는 서비스를 포함하여 직원 본인의 태블릿과 회사 소유의 태블릿에 대해 세 가지 수준의 서비스와 IT 발급 태블릿에 대한 네 번째 서비스 수준을 제공합니다. Derek Harkin
이동성 엔지니어, 인텔 IT
Efi Kaufman 클라이언트 보안 제품 관리자, 인텔 IT
John Mahvi 클라이언트 제품 관리자, 인텔 IT
Chris Mets 프로젝트 관리자, 인텔 IT
Tiffany Pany 프로그램 관리자, 인텔 IT
Johnnie Rodriques 코어 엔지니어, 인텔 IT
인텔 IT에서는 유연성과 옵션을 제공하는 IT
솔루션을 개발한다는 목표의 일환으로 일련의
4계층 보안 및 관리형 서비스를 구현했습니다.
인텔® 아키텍처 기반 태블릿에서 Windows* 8 배포: 인텔의 접근 방법
IT@인텔 백서인텔 ITWindows* 8 배포
2014년 1월
2 www.intel.com/IT
IT@인텔 백서 인텔® 아키텍처 기반 태블릿에서 Windows* 8 배포: 인텔의 접근 방법
차례
개요 ........................................................................ 1
소개 ........................................................................ 2
토대 구축 .............................................................. 3
#1: 서비스 및 배달 옵션 정의 ....... 3
#2: 정보 보안 요구 사항 설정 ....... 6
#3: 네트워크 및 사용자 환경 요구 사항 설정 ........................................... 7
#4: 클라우드 스토리지 및 동기화 권장 사항 정의 ........................ 8
#5: 개인 정보 보호, 법률 정보, 금융 및 소프트웨어 라이센스 관련 사항.......................................................... 8
#6: 직원과의 커뮤니케이션 ............ 8
개념 증명(PoC) 및 프로덕션 배포 ........................................................................ 9
개념 증명(PoC) 실시 ................................ 9
생산 단계로 전환 ...................................10
생산 지원 모델 .........................................10
변화하는 기술에 보조 맞추기 .....10
결론 .....................................................................11
추가 정보 ...........................................................12
약어 .....................................................................12
IT@인텔 IT@인텔 프로그램은 전 세계 IT 전 문가를 우리 조직 내 동료 전문가들과 연결해 얻은 정보와 방법 및 전략을 공 유합니다. 우리의 목표는 단순합니다. 비즈니스 가치를 창출하고 IT 부서가 경 쟁력을 갖출 수 있는 인텔 IT 성공 사례를 공유하는 것입니다. 자세한 정 보가 필요하면 지금 www.intel.com/IT를 방문하거나 현지 인텔 담당자에게 문의하십시오.
소개Microsoft Windows* 8 OS의 보안 및 관리 효율성 기능 덕분에 Windows가 실행되는 기기에 IT 서비스를 제공하기가 훨씬 쉬워졌습니다. 이러한 새로운 기능과 강력한 인텔® 아키텍처 기반 태블릿의 조합을 통해 직원들은 Windows 8의 모든 이점을 활용할 수 있습니다. 이러한 이점으로는 터치, 향상된 보안 등과 같은 새로운 기능, 향상된 응답성과 배터리 수명을 비롯하여 친숙한 사용자 인터페이스와 애플리케이션 및 주변 기기를 태블릿에서 사용할 수 있다는 점 등이 있습니다.
이 백서에서는 인텔 아키텍처 기반 태블릿 에서 Windows 8을 신속하게 준비 및 배포 하는 방법과 우리가 어떻게 보안 및 관리 과제를 해결했는지 알아볼 것입니다. 태블 릿에 신속하게 서비스를 제공하는 데 있어 중요한 요소는 OEM OS를 사용하여 배포하 기로 한 우리의 결정입니다. 우리는 보안 및 관리 소프트웨어를 설치하고 일부 구성 설정을 설치하는 자동화 스크립트를 사용 합니다. 이러한 설정을 사용하면 기기가 인텔 보안 정책을 준수할 수 있으므로 기기 가 각 서비스에 따라 적절히 직원 핫스팟 네트워크(직원 개인 용도의 인터넷 액세스 가 가능한 현장 Wi-Fi* 네트워크)나 WLAN 또는 VPN을 통한 회사 네트워크에 연결할 수 있습니다. 이 자동화된 스크립트는 이미 신속한 서비스 제공을 위해 인텔에서 사용 하고 있습니다.
다음 목록에는 인텔에서 인텔 아키텍처 기반 태블릿에서 WIndows 8을 배포하는 우리의 접근 방식과 로드맵이 요약되어 있습니다. 그림 1은 이 프로세스에 대한 시각적 타임라인을 제공합니다.
• 2012년 9월, 우리는 Windows 8이 실행 되는 태블릿에서 어떤 서비스를 제공할 지 결정하기 시작했습니다(Microsoft의 Windows 8 일반 릴리스 몇 주 전).
• 유연성 및 옵션을 제공하고 직원 작업 흐름을 지원하는 IT 솔루션을 개발하기 위한 목표의 일환으로 우리는 Windows 8 을 통해 제공되는 기능을 사용하여 태블 릿을 사용하는 직원들에게 새로운 서
비스와 향상된 서비스를 제공했습니다. 직원 개인 소유(BYO) 태블릿과 회사 소유의 태블릿을 위한 세 가지 수준과 IT 부서에서 발급한 태블릿을 위한 네 번째 수준 등 총 4개 계층의 보안 및 관리형 서비스를 구현했습니다. BYO 기기를 사용하는 직원들은 3개의 BYO 서비스 또는 그들의 조합 중 하나의 서비스를 선택적으로 이용할 수 있습니다. 따라서 직원들은 시간에 따라 태블릿 사용 방식을 유연하게 선택할 수 있습니다.
다음 목록은 각 서비스 대한 간략한 설명입니다.
– 신뢰할 수 있는 애플리케이션 포털
(TAP)1 서비스에는 메일, 연락처 및 일정을 포함하여 웹 포털을 통한 특정 기업 애플리케이션에 대한 제한된 액세스가 포함됩니다.
– 기본 서비스에는 Windows 8의 현대 적인 UI 애플리케이션을 사용하여 액세스하는 이메일(첨부 파일 포함), 연락처 및 일정 서비스만 포함됩니다. 직원들은 아무 인터넷 연결이나 사용 해서 기본 서비스에 연결할 수 있습 니다.
– 프리미엄 서비스는 태블릿에서 기 업 네트워크에 안전하게 연결할 수 있도록 IT 부서에서 설치하는 보안 및 관리 구성 요소 집합입니다. 사무 실에 있을 때 직접 연결하거나 사무 실 밖에 있을 때 VPN 연결을 통해 연결합니다. 이 기업 네트워크 연결은 이 서비스 용도로만 사용됩니다. 즉, 직원들은 이 연결을 통해 내부 웹 애플리케이션, 문서 저장소, 사무용 및 생산성 소프트웨어 등에 액세스할 수 있습니다.
– IT 빌드 서비스는 IT 부서에서 발급한 태블릿(BYO 태블릿에는 사용할 수 없음)의 OEM OS를 대체하는 풀 IT OS 이미지입니다.
• 2012년 12월 우리는 프로세스를 개선하는 10주 개념 검증(PoC)을 수행했습니다.
1 신뢰할 수 있는 애플리케이션 포털에 대한 자세한 내용은 백서 "세분화된 트러스트 모델로 기업 보안 강화"를 참조하십시오.
www.intel.com/IT 3
인텔® 아키텍처 기반 태블릿에서 Windows* 8 배포: 인텔의 접근 방법 IT@인텔 백서
• 2013년 4월에 프로덕션 수준의 프리미엄 및 TAP 서비스를 구축하고 2013년 9월에는 프로덕션 수준의 IT 빌드 서비스를 구축했습니다. 기본 서비스는 제한적 PoC 모드에서 계속되며, 타사 공급자의 추가 솔루션을 기다리고 있습니다.
여기서 언급된 경우를 제외하고, 이 백서의 나머지 부분에 언급된 내용은 TAP 기본 및 프리미엄 서비스에 적용됩니다. IT 빌드 서비스에 대한 자세한 내용은 사이드바 IT 발급 태블릿에 대한 IT 빌드를 참조하십시오.
토대 구축인텔 아키텍처 기반 태블릿에 Windows 8을 배포하기 위한 준비를 하면서 우리는 몇 가지 초기 단계를 완료했습니다. 이러한 단계에는 위험과 종속성 정의 및 운영 정보 마무리가 포함됩니다. 운영 정보의 예에는 서비스 라인 소유권, 사용 사례 및 세분화, 프로젝트 로드맵, 기기/사용 사례에 대한 서비스 수준 합의 등이 포함됩니다. 기업체 의 인텔 아키텍처 기반 태블릿 사용 사례 를 살펴볼 때 우리는 컨텐츠 소비, 컨텐트 제작 및 공동 작업 기능 측면에서 다른 태블릿과 비슷하거나 다른 태블릿을 능가하는 제품을 원했습니다.
이러한 초기 단계를 완료한 후 다음을 포 함하여 솔루션의 다른 측면으로 옮겨갔습 니다.
• 서비스 및 배달 옵션
• 정보 보안 요구 사항
• 네트워크 및 사용자 환경 요구 사항
• 클라우드 스토리지 및 동기화 권장 사항
• 개인 정보 보호, 법률 정보, 재무 및 소프트웨어 라이센스 관련 사항
• 직원 커뮤니케이션 및 교육
#1: 서비스 및 배달 옵션 정의최소 기기 요구 사항 정의와 같이 BYOD(bring-your-own-device) 프로그램에서 알게 된 주요 정보는 우리가 어떤 태블릿 폼 팩터를 사용할 지, 어떤 서비스를 제공할 수 있는지에 대한 의사결정을 내리는 데 도움이 되었습니다.
최소 기기 요구 사항
BYOD 구매 직원들에게 선택의 폭과 유연 성을 제공하기 위해 어떤 특정 기기로 직원 을 제한하지 않기로 했습니다. 대신 우리 는 직원들이 Windows 8 Professional을 지원 하는 태블릿, 즉 표 1에 나열된 최소 기술 사양을 충족하는 기기에 서비스를 설치할 수 있도록 합니다.2
2 기기가 기업 도메인에 대한 전체 액세스 권한을 얻으려면 Windows 8 Professional이 필요했습니다(표준 Windows 8 버전으로는 충분하지 않음).
표 1. 신뢰할 수 있는 애플리케이션 포털, 기본 또는 프리미엄 서비스를 포함하며 Windows* 8이 실행되는 태블릿을 위한 최소 기술 사양
OS Windows* 8 Professional2
프로세서 인텔® 아톰™ 프로세서 또는 인텔® 코어™ 프로세서
언어 기본 시스템 언어 팩: 영어
필요하면 영어 팩 이후 다른 언어 팩을 설치할 수 있습니다.
디스크 용량 64 GB
포트 현재 솔루션은 프리미엄 서비스를 설치하려면 태블릿을 전원에 연결하고 네트워크에 유선으로 연결하도록 요구합니다 (보통 USB 어댑터를 통해). 포트가 하나뿐인 경우에도 모든 플랫폼에 대한 해결 방법이 있습니다. 설치 후 태블릿은 유선 연결이 필요 없습니다.
신용 플랫폼 모듈(TPM)
TPM 지원 태블릿을 강력 권장합니다.
조기 OS 평가 및
엔지니어링
시작 PoC 시작
프리미엄 및
신뢰할 수 있는
애플리케이션 포털
서비스가 생산
단계로 이동
태블릿에 대한 IT
빌드 서비스가
생산 단계로 이동
전략, 계획,
엔지니어링 및 QA개념 증명(PoC) 도중
학습
평가 계획 학습
PoC 결과와 생산 준비
활동을 기준으로 한
엔지니어링
태블릿용 IT
빌드에 대한 계획
및 엔지니어링
모바일 기기 관리 및
Windows* 8.1과 생산
준비 활동을 사용하여
기본 서비스 계획 및
엔지니어링
업데이트 계획 미래 작업
그림 1. 반복적인 계획, 테스트 및 엔지니어링 프로세스를 통해 우리는 Windows* 8 출시 후 몇 주 이내에 개념 증명(PoC)를 시작하고 약 1년만에 4개의 서비스 계층 중 3개를 프로덕션 수준으로 릴리스했습니다.
4 www.intel.com/IT
IT@인텔 백서 인텔® 아키텍처 기반 태블릿에서 Windows* 8 배포: 인텔의 접근 방법
제공되는 서비스 선택의 폭
앞서 설명한 것처럼, 직원들은 TAP, 기본 또는 프리미엄 등 여러 가지 서비스 중 하나를 선택할 수 있습니다. 직원들은 자신 들이 선택하는 서비스에 대한 설치 지침 을 따릅니다. TAP 서비스는 간단한 애플리 케이션 설치로 구성되며 기본 서비스는 간단한 서비스로 구성됩니다. 반면 프리 미엄 서비스는 기기가 기업 네트워크에 연결할 수 있도록 필요한 소프트웨어를 설치하는 작업이 포함됩니다. 다음은 TAP, 기본 및 프리미엄 서비스에 대해 자세히 설명합니다. IT 빌드 서비스에 대한 설명은 사이드바 IT 발급 태블릿에 대한 IT 빌드를 참조하십시오.
직원들이 태블릿에 여러 서비스를 설치하 겠다고 선택할 경우 각 서비스에 대한 모든 기능을 얻게 됩니다. 표 2에는 각 서비스를 통해 설치되거나 사용할 수 있게 되는 소프트웨어가 나열되어 있습니다. BYO 기기에서, 직원들은 또한 개인적으로 라이센스가 부여된 소프트웨어도 설치할 수 있습니다.
신뢰할 수 있는 애플리케이션 포털 서비스 TAP 서비스에는 웹 포털을 통한 애플리케 이션 액세스가 포함됩니다. 이용 가능 한 애플리케이션으로는 이메일(첨부 파 일 없음), 직원 소식 및 회의실 예약이 포함 됩니다. Windows 8은 이 서비스를 사용할 수 있는 다양한 OS에 추가되었습니다.
기본 서비스 이 서비스에는 Windows 8의 현대적인 UI를 사용하여 액세스하는 이메일(첨부 파일 포함), 연락처 및 일정 서비스만 포함됩니다. 서비스 연결은 직원 핫스팟 네트워크, 로컬 서비스 공급자 또는 직원 홈 네트워크와 같은 인터넷 연결을 사용하여 제공됩니다.
표 2. 신뢰할 수 있는 애플리케이션 포털(TAP), 기본 및 프리미엄 서비스의 비교. 직원들은 인텔® 아키텍처 기반 태블릿에 다음 서비스를 하나 이상 설치할 수 있습니다.
인텔 IT에서 제공하는 기능
신뢰할 수 있는 애플리케이션 포털(TAP) 서비스
기본 서비스 프리미엄 서비스
이메일 및 커뮤니케이션
이메일 클라이언트 - 웹 기반 ✔ — ✔
이메일, 연락처 및 일정용 Microsoft Windows* 8 애플리케이션
— ✔ ✔
이메일 클라이언트 - 데스크탑 애플리케이션
— — ✔
이메일 메시지의 첨부 파일 열기 — ✔ ✔
생산성 소프트웨어
협업 소프트웨어 — — ✔
사무실 생산성 소프트웨어 — — ✔
내부 소프트웨어
TAP 애플리케이션 ✔ 해당 없음 해당 없음
인텔® 사내 앱 스토어의 Windows 애플리케이션
— — ✔
인트라넷 액세스 문서 저장소, 내부 웹 애플리케이션 및 내부 뉴스 사이트
— — ✔
데이터 액세스 수준 해당 없음
✔ 인텔 기밀 사항
✔ 인텔 기밀 및 인텔
제한적 비밀
보안 및 관리 효율성
기기 관리 및 정책 시행 — ✔ —
완벽한 보안, 관리 효율성 및 연결 소프트웨어
— — ✔
직원 핫스팟 액세스 직원 개인 용도의 인터넷 액세스 권한을 갖는 현장 Wi-Fi* 네트워크
✔ ✔ —
기업 네트워크에 도메인 참가 — — ✔
6 www.intel.com/IT
IT@인텔 백서 인텔® 아키텍처 기반 태블릿에서 Windows* 8 배포: 인텔의 접근 방법
#2: 정보 보안 요구 사항 설정인텔 아키텍처 기반 태블릿에 Windows 8 Professional을 배포하기 위해 우리는 위험 평가를 수행하고 보안 요구 사항을 정의하고 파악된 문제를 처리해야 합니다. 우리는 보안 요구 사항을 충족하면서 BYO 기기에 경제적으로 사용할 수 있는 버전을 파악하기 위해, 출시된 여러 Windows 8 버전(예: Windows 8 Enterprise, Windows 8 Professional)을 평가했습니다. Professional 버전이 도메인 가입 및 암호화 요구 사항을 충족했으므로, Windows 8이 실행되는 태블릿에 대한 최소 OS 버전으로 선택했습니다. 또한 TAP, 기본 및 프리미엄 서비스와 함께 Windows 8이 실행되는 태블릿에 대한 기존 BYO 보안 모델을 사용하기로 결정했습니다.
Windows 8에는 UEFI(Unified Extensible Firmware Interface)를 사용하여 부팅 프로 세스를 안전하게 지키고 루트킷 위협에 의한 위험을 줄여주는 보안 부트(Secure Boot)와 같은 향상된 보안 기능이 포함되어 있습니다. Windows 8을 실행하는 태블릿은 다른 태블릿보다 PC 기능과 유사한 더 많은 연결 및 생산성 기능을 제공합니다. 따라서 Windows 8을 실행하는 태블릿은 다른 태블릿과 달리 Windows 8 또는 Windows 7 이 실행되는 우리의 PC 및 노트북과 동일한 보안 소프트웨어를 사용합니다. 또한 직원들의 PC 관리 방법과 함께 Windows 8 을 실행하는 태블릿의 보안을 관리하여 인텔 지적 재산권의 보안에 관한 고민을 덜어줍니다.
보안 스택이 너무 많은 기기 전력을 소비하지 않도록 맬웨어 방지, 암호화 및 개인 방화벽 등의 보안 조치를 균형 있게 유지해 불필요한 전력 소비를 방지합니다. 예를 들어, 데스크탑 PC에서의 전체 디스크 검사 예약은 배터리 수명 문제을 일으키지 않습니다. 그러나 태블릿에서는 최대 배터리 수명을 제공하도록 신중하게 보안 스택을 구성해야 합니다. 태블릿 관련 보안 고려 사항에 대한 추가 정보는 기본 서비스에 대한 정보 보안 정책 시행 및 프리미엄 서비스에 대한 정보 보안 정책 시행 섹션을 참조하십시오 .
WINDOWS 8이 실행되는 인텔® 아키텍처 기반 태블릿에 BYO 보안 모델 적용
우리의 BYO 보안 모델은 모든 폼 팩터 허용, 최소한의 IT 풋프린트, 네트워크 에지에 기기 유지 등 세 가지 주요 원칙으로 구성됩니다.
모든 폼 팩터 허용
우리가 IT 부서에서 발급한 기기에서 따르는 전통적인 IT 접근 방식은 입증된 신뢰성을 갖춘 테스트를 거친 기기를 지원하는 것입니다. 그러나 인텔 BYOD 프로그램의 경우, 직원들이 다양한 기기를 사용할 수 있도록 지원합니다. Windows 8이 실행되는 BYO 인텔 아키텍처 기반 태블릿에 대한 세 개 계층의 서비스가 모두 지원되므로 직원들은 최소 사양을 충족하는 기기를 유연하게 선택할 수 있습니다(표 1 참조). 이 접근 방식은 직원들에게 더 많은 선택의 폭과 유연성을 제공하는 반면, 신뢰성 및 지원 용이성과 관련한 불편은 감수해야 합니다. 예를 들어 BYO 기기의 경우, 직원들은 하드웨어 지원이 필요하면 하드웨어 공급업체에 직접 연락해야 합니다(자세한 내용은 섹션 생산 지원 모델 참조).
최소한의 IT 풋프린트
모바일 기기에 대한 인텔 IT 서비스는 많은 기기를 회사 소유가 아니라 개인적으로 소 유한다는 사실을 토대로 설계 및 구현됩 니다. 우리는 보안 스택을 전반적인 IT 번들의 일부로 보고, 태블릿 성능에 미치 는 영향을 최소화하기 위해 노력하고 있습 니다. 우리는 직원 개인 정보를 보호하는 솔루션을 설계합니다. 그와 동시에 인텔 데이터 및 지적 재산권도 보호해야 합니다.
Windows 8이 실행되는 BYO 인텔 아키텍처 기반 태블릿에 대한 세 개 계층 서비스 모두에 대해, 우리는 IT 빌드를 사용해서 기계를 리이미징하지 않습니다. 최소 요구 사항은 Windows 8 Professional이며 OS는 설치 과정에서 변경되지 않습니다. IT 풋프린트 측면에서, TAP 서비스는 최소로 유지됩니다. 이 서비스는 기기에 애플리 케이션만 설치하며 해당 애플리케이션 내에서만 기능을 제공합니다. 기본 서비 스는 Windows 8과 함께 사전 설치된 기존
메일, 일정 및 연락처 애플리케이션을 사용합니다. 세 개의 BYO 서비스 중, 프리미엄 서비스가 가장 큰 IT 풋프린트를 갖지만 여전히 전체 IT 빌드보다는 상당히 작습니다.
네트워크 에지에 기기 유지
프리미엄 서비스와 비교할 때 TAP 및 기본 서비스의 보안 측면들 간의 주요 차이점은 TAP 및 기본 서비스 기기는 회사 도메인에 연결되지 않는다는 점입니다. 이렇게 하면 풋프린트를 작게 유지하면서 직원들이 일부 인텔 서비스(이메일, 일정, 연락처 및 몇몇 애플리케이션)에 액세스할 수 있습니다. 이러한 서비스가 회사 네트워크 액세스에 필요한 전체 보안 및 관리 구성 요소를 포함하지는 않으므로 기기가 네트워크 에지에 있게 됩니다. 이러한 서비스는 함께 사용하는 태블릿 기기에서 신속하게 회의 일정을 확인하거나 전화 번호를 찾거나 이메일을 읽고 회신할 수 있기를 원하는 직원들에게 공통으로 제공됩니다. 반면에 태블릿에서 노트북이 갖는 전체 생산성 이점을 원하는 직원들도 있습니다. 따라서 이러한 직원들은 전체 회사 네트워크에 액세스할 수 있도록 전체 보안 및 관리 구성 요소를 갖춘 프리미엄 서비스를 선택합니다.3
강력한 인텔 아키텍처 기반 태블릿과 Windows 8의 조합을 통해 우리는 프리미엄 서비스를 갖춘 BYO 태블릿과 IT 빌드 서비스를 갖춘 IT 부서 발급 태블릿에 대해 회사 네트워크에 대한 액세스를 제공할 수 있었습니다. 이러한 기기는 회사 도메인에 연결되며 단순히 PC에서처럼 해당 기기에서 완벽한 보안 및 관리 작업이 수행됩니다. 프리미엄 서비스 기기는 회사 네트워크의 모든 리소스에 대한 액세스 권한을 갖기 때문에, 프리미엄 서비스는 BYO 기기를 사용하는 인텔 직원들에게 상당한 생산성 혜택을 제공합니다.
3 세분화된 트러스트 모델에 대한 자세한 내용은 백서 "세분화된 트러스트 모델로 기업 보안 강화"를 참조하십시오.
www.intel.com/IT 7
인텔® 아키텍처 기반 태블릿에서 Windows* 8 배포: 인텔의 접근 방법 IT@인텔 백서
기본 서비스에 대한 정보 보안 정책 시행
BYO 보안 모델은 다양한 기기에 안전하게 서비스를 제공할 수 있는 프레임워크를 제공합니다. TAP 서비스를 갖춘 기기의 경우, 데이터 및 애플리케이션에 대한 액세스가 상당히 제한적이므로 추가 보안 조치가 때문에 필요하지 않습니다. 기본 서비스를 갖춘 기기의 경우, 우리의 전략은 정보 보안 강화를 위해 모바일 기기 관리(MDM)와 함께 모바일 기기 동기화 프로토콜을4 사용하는 것입니다.
모바일 기기 동기화 프로토콜을 사용하면 기기로의 이메일 다운로드를 허용하기 전에 기기에 정책과 기능을 적용할 수 있습니다. 이러한 정책에는 다음 사항이 포함됩니다.
• PIN(Personal Identification Number) 잠금. 우리는 기본 서비스를 갖는 기기에서 PIN 잠금을 강제 적용합니다.
• 자동 잠금. 태블릿이 일정 시간 동안 사용되지 않으면 자동으로 잠기며, 잠금을 해제하려면 PIN 또는 암호가 필요합니다. 기본 서비스를 갖춘 기기에서 우리는 사진 암호 잠금 해제와 같은 편리한 잠금 해제 방법을 허용합니다.
• 기기 암호화 강제 적용. 우리는 데스크탑과 노트북에 사용하는 것과 동일한 암호화 정책을 태블릿에 강제 적용합니다.
• 원격 삭제. 현지 법률과 직원 계약에 따라 IT 부서는 도난 또는 분실 시 기기에서 이메일, 일정 및 연락처 데이터를 원격으로 삭제할 수 있습니다.
모바일 기기 동기화 프로토콜 외에도 우리 는 MDM을 사용하여 정보 보안을 강화할 계획입니다. 이에 대해서는 다음 섹션에서 알아볼 것입니다.
모바일 기기 관리
기본 서비스를 갖춘 기기의 경우, 모바일 기기 동기화 프로토콜과 함께 MDM을 사용해 서비스를 제공하고 보안 정책을 강제 적용하는 것이 우리의 전략입니다. 전통적인 MDM 공급업체의 새로운 제품은 공개 모바일 연합 기기 관리 표준이 기반이 될 것이라 예상합니다. 이는 기기 식별자
및 애플리케이션 인벤토리를 수집하는 기능 같은 보안 요건을 충족하고 수집된 데이터를 구성 관리 데이터베이스로 통합하고4 보안 인증서를 제공하는 기존 Windows Management Instrumentation 기능을 사용하는 공개 표준입니다.
프리미엄 서비스에 대한 정보 보안 정책 시행
프리미엄 서비스를 갖춘 기기의 경우, 우리는 회사 발급 노트북에 사용되는 것과 유사한 보안 시행 기능을 사용합니다.
• 암호 잠금. 우리는 매우 강력한 암호 요구 사항을 강제 적용합니다.
• 자동 잠금. 태블릿이 일정 시간 동안 사용되지 않으면 자동으로 잠기며, 잠금을 해제하려면 암호가 필요합니다. 프리미엄 서비스를 갖춘 기기에서는 사진 암호 잠금 해제를 허용하지 않습니다.
• 기기 암호화 강제 적용. 우리는 데스크탑과 노트북에 사용하는 것과 동일한 암호화 정책을 태블릿에 강제 적용합니다.
#3: 네트워크 및 사용자 환경 요구 사항 설정 보안 요구 사항 설정 외에도 우리는 기기 (프리미엄 서비스가 실행되는 동반 태블릿)가 회사 네트워크에 미치는 잠재적인 영향과 우리가 최상의 사용자 경험을 제공하도록 서비스를 설계하는 방식을 신중하게 분석했습니다.
네트워크 영향
PoC를 수행하기 전에 우리는 네트워크 관리자와 함께 새 기기에 대한 대역폭이 충분한지 확인했습니다. 네트워크 관리자는 예상되는 용도를 분석하여, 직원들이 두 개의 기기(태블릿과 기본 노트북)에서 동시에 까다로운 컴퓨팅 작업을 수행하는 일이 거의 없기 때문에 네트워크 대역폭이 위험 요소가 아니라는 결정을 내렸습니다.
4 구성 관리 데이터베이스는 서비스 관리 프로세스를 통해 액세스하는 단일 정보 리포지토리로, 이러한 프로세스 간에 일관성을 유지하는 주요 동인입니다.
사용자 경험에 미치는 영향
인텔 IT의 매우 중요한 목표 중 하나는 신규 및 기존 기기에서 긍정적인 사용자 경험을 제공하는 것입니다. Windows 8.0에 도입된 보안 기능을 통해 우리는 모바일 기기의 보안을 간소화해, 사용의 용이성과 생산성에 장애가 되는 정보 보안 관련 방해물을 줄이거나 제거할 수 있었습니다.
우리는 또한 Windows 8이 기기들 간에 더 원활하고 친숙한 경험을 제공한다고 믿습니다. 이제 직원들은 IT 부서 발급 PC와 BYO 태블릿에서 동일한 OS와 애플리케이션을 사용할 수 있습니다. 따라서 다른 방식으로 동일한 작업을 수행하는 방법을 파악하는 데 걸리는 시간을 줄일 수 있습니다. 또한 어떤 기기에서 문서를 편집하거나 보는 것과 관계없이 문서의 일관성이 유지됩니다. 직원들은 더 이상 사용하는 기기에 따라 문서 서식이 바뀔 수 있는 비호환성에 대해 신경 쓸 필요가 없습니다.
우리는 기본 서비스와 프리미엄 서비스를 설계하면서 다음 사용자 경험 요구 사항을 개발했습니다.
• 기기를 리이미징하지 않아 서비스 설치 과정에서 직원의 개인 데이터가 삭제되는 것을 방지합니다.
• 현대적인 UI와 데스크탑 UI를 사용할 수 있는 옵션을 극대화합니다. 예를 들어, 직원들은 두 UI 중 하나를 사용하여 인텔 이메일, 연락처 및 일정에 액세스할 수 있습니다.
• 기기에 설치되는 소프트웨어의 양을 최소화합니다. 이 접근 방식은 서비스가 데이터 스토리지 또는 성능에 부정적인 영향을 미치지 않도록 방지합니다. 소프트웨어 양을 최소화하기 위해 우리는 전체 IT 빌드가 아닌 필수 보안 및 연결 소프트웨어만 설치합니다.
8 www.intel.com/IT
IT@인텔 백서 인텔® 아키텍처 기반 태블릿에서 Windows* 8 배포: 인텔의 접근 방법
• 직원들은 개인 데이터용 클라우드 스토 리지를 포함하여 개인 애플리케이션을 사용할 수 있습니다. 우리는 직원들을 대상으로 회사 데이터에 대한 IT 부서 승인 데이터 스토리지 및 데이터 공유 도구에 대해 교육시킵니다.
• 직원들이 쉽게 작업에 연결할 수 있도록 합니다. 우리는 이를 위해 프리미엄 서비스에 친숙한 VPN 소프트웨어를 사용합니다.
• 터치 지원 애플리케이션을 제공합니다.
#4: 클라우드 스토리지 및 동기화 권장 사항 정의우리는 클라우드 스토리지 및 동기화와 관련된 두 차례의 PoC를 성공적으로 수행 했습니다. 한 PoC에서는 직원들이 기본 및 보조 기기에서 개인 이메일 폴더에 액 세스할 수 있도록 지원하는 내부 개발 메일 클라우드 솔루션을 테스트했습니다. 다른 PoC에서는 클라우드에 컨텐츠를 저장하고 직원들 태블릿과 기본 기기 간에 그러한 컨텐츠를 동기화하는 솔루션을 테 스트했습니다. 태블릿에서 프리미엄 서비 스를 사용하는 직원들은 이러한 두 PoC에 모두 참여했습니다.
우리는 승인된 클라우드 스토리지 옵션 목록을 제공합니다. 이러한 옵션을 사용하여 직원들은 태블릿에 저장하지 않고도 문서를 보고 작성하고 편집할 수 있습니다. 우리는 직원들에게 회사 데이터를 태블릿에 직접 저장하지 않도록 권장하므로 엔터프라이즈 백업 소프트웨어를 설치하지 않으며 이를 권장하지도 않습니다. 이렇게 함으로써 여러 백업 계정을 관리하는 데 소요되는 추가 라이센스 비용 또는 혼동이 완화됩니다.
#5: 개인 정보 보호, 법률 정보, 금융 및 소프트웨어 라이센스 관련 사항프로젝트 성공을 위해서는 인텔 인사부
(HR) 및 법률 부서가 사전에 문제점을 파악해서 줄이는 것이 중요했습니다. 또한 기업 라이센스 계약 하에 회사 태블릿과 BYO 태블릿에서 소프트웨어를 사용할 수 있도록 하는 소프트웨어 공급업체와의 라이센스 합의를 해야 했습니다.
인적 자원 및 법적 문제 처리
2009년에 BYOD 프로그램을 시작할 때5 인 텔 HR 및 법률 부서는 정책 검증과 시행, eDiscovery, 감사 및 조사에 대한 고민이 있었습니다. 우리는 Windows 8이 실행되 는 태블릿에 대한 서비스 제공에 있어서 도 유사한 문제를 처리하기 위해 이 프로그램에서 알게 된 사항과 이전 경험을 활용할 수 있었습니다.
BYOD 프로그램과 관련하여 우리는 이 기회를 활용하여 HR 및 법무 부서를 대상으로 IT 컨슈머라이제이션 실현 및 그와 관련된 인텔의 잠재적인 혜택과 잠재적인 위험에 대해 교육시켰습니다. 이러한 두 그룹과 협력하여 우리와 목표와 솔루션을 조율하고 사용자 응답을 공유했습니다. BYO 태블릿을 사용하여 서비스에 액세스하는 직원은 다음 항목을 다루는 직원 서비스 계약에 서명합니다.
• 기기의 적절한 사용에 관한 인텔 기대치
• 행위 규정, 소프트웨어 라이센싱 지침 및 정보 보안 정책 의무에 관한 인텔 정책
• 특정 데이터 저장소 및 백업 요구 사항
• 소프트웨어 및 기기 구성 감사
• 기기의 개인 정보로부터 회사 정보 분리
• 법적 고지 및 eDiscovery 정책
• 직원들이 자신의 기기에 대한 지원 및 유지보수 책임을 진다는 선언문
5 자세한 내용은 백서, "개인 소유 기기의 보안 및 이동성 개선"을 참조하십시오.
소프트웨어 라이센싱 관련 사항 처리
PC를 BYOD 프로그램에 추가한 2012년, 조달 부서에서 우리 소프트웨어 공급업체에 연락하여 작업에 사용되는 개인 소유 기기에 소프트웨어를 설치할 수 있도록 계약되어 있는지 문의했습니다. 조달 부서는 또한 모든 새로운 계약에서 개인 소유 기기 또는 회사 소유 기기에서 소프트웨어 및 애플리케이션을 설치할 수 있도록 계약 템플릿을 업데이트했습니다.
수천 개의 애플리케이션이 사용 중이어서, 작업에 사용된 개인 소유 기기 및 보조 기기(기본 기기 외에) 모두에서 엔터프라 이즈 라이센스 하에 직원들이 소프트웨 어를 설치하는 것을 허용하도록 기존 계약을 갱신하는 작업은 오랜 시간이 걸리 는 작업이었습니다. 일부 소프트웨어 공급업체는 여러 번의 설치를 허용하지만 또 일부는 각 기기에 대해 별도의 라이센 스를 요구한다는 사실을 알게 되었습니다. 일부 공급자는 태블릿에서 실행되는 소프트웨어 버전을 제공하지 않았고, 일부 공급자는 보조 기기에 소프트웨어를 설치 하는 것을 허용하지 않았습니다. 궁극적 으로, 대부분의 소프트웨어 라이센싱 모 델은 태블릿 용도로 조정되었지만, 조달 부서의 큰 노력 없이는 상충하거나 애매한 조항을 해결할 수 없었습니다.
#6: 직원과의 커뮤니케이션Windows 8이 실행되는 태블릿에 대한 당사 사업부와 직원들의 높은 기대치와 요구 때문에 우리는 타이밍 및 지원 수준에 대한 명확한 기대치를 설정하는 커뮤니케이션 계획이 필요했습니다. 우리는 직원들에게 "미래의 태블릿 사용" 사실을 알리는 커뮤니케이션 계획을 마련했습니다. 우리는 태블릿 프로그램 대해 직원들에게 얘기하고 PoC 참가를 요청했습니다. 인텔은 소셜 미디어를 사용해 프로그램에 대해 알리고 사용자들을 초대하고 참가자들과 의견을 나누었습니다. 커뮤니케이션에서 우리는 직원들이 선택할 수 있는 기능, 서비스, 기술 및 관리 옵션을 명확히 설명했습니다.
PoC 도중에는 인텔의 전통적인 시스템을 지원하던 것과 동일한 방식으로 BYO 태블릿에서 기본 및 프리미엄 서비스를
www.intel.com/IT 9
인텔® 아키텍처 기반 태블릿에서 Windows* 8 배포: 인텔의 접근 방법 IT@인텔 백서
지원하지 않을 것이라는 기대치를 설정했 습니다. 그 대신, 직원들에게 동료 지원을 제공하는 내부 소셜 미디어 사이트를 사용하도록 권장했습니다. 서비스가 생산 단계로 들어가고 나면 전통적인 IT 헬프 데스크 지원은 인텔의 BYO 지원 모델과 연계되어 제공되었습니다.
우리는 동료 지원 모델에 의존하는 동안 활발한 온라인 커뮤니티를 구축하는 것이 필수적이라는 사실을 발견했습니다. 포럼 중재자가 문제 해결을 돕고 문제를 해결할 수 있습니다. 중재자는 또한 프로젝트 팀에 사용자 문제에 대한 중요한 통찰력을 제공할 수 있으므로 문제를 조기에 신속하게 처리하고 사용자에게 답변을 제공하고 기술 자료를 생성하도록 지원 담당자에게 그 내용을 전달할 수 있습니다.
PoC의 가장 활발한 부분에서 일부 스레드 는 회신이 10 - 20개에 달하는 더 깊이있는 토론을 나타내긴 하지만, 우리는 평균 스레드 깊이가 3개의 회신인 새로운 스레드를 하루 평균 세 개씩 시작했습니다. 그러나 가장 중요한 점은, 누군가가 질문을 게시하면 대개 동료들이 몇 시간 안에 응답했으므로 온라인 커뮤니티가 유용한 지원 옵션으로 간주되었습니다.
개념 증명(POC) 및 프로덕션 배포PoC 개시 전에 우리는 참가자 자격 기준을 정의하고 요구 사항과 역량을 정의하고 일정을 만들었습니다. PoC는 전세계 직원들에게 오픈되어 있었으며, 직원들이 액세스할 수 있는 데이터 유형에 대한 일부 제한이 있었습니다.
개념 증명(PoC) 실시기본 및 프리미엄 서비스에 대한 PoC로 우리는 우리 솔루션을 회사에 배포하기 전에 프로세스를 세부 조정할 수 있었습니다. 참가자들은 Windows 8이 실행되는 개인 소유 기기 또는 인텔 아키텍처 기반 태블릿을 보조 기기로 사용할 수 있었습니다. 20개 지역의 360명이 참가했습니다. 참가자들은 사무실, 재택 및 원거리 근로자는 물론 고객사와 인텔 사이트에서 근무하는 연구소
직원 등 고도의 모바일 환경과 다양한 인력을 나타내는 단면이었습니다. PoC 도중 우리는 4년 동안 태블릿 지원과 연관된 IT 헬프 데스크 비용(순 현재 가치라고도 함)이 사용자 당 미화 34달러라고 예측했습니다.
참가자 중 25%는 기본 서비스를 사용했고 나머지는 프리미엄 서비스를 사용했습니다. 인텔은 참가자들에게 태블릿과 모바일 응용 프로그램을 테스트하고 결과를 공유하고 지원 포럼의 다른 사용자를 지원하고 PoC 설문조사에 응답할 것을 요청했습니다. 표 4에 PoC 도중 직원들이 태블릿으로 수행한 몇 가지 일반적인 작업이 나와 있습니다.
PoC 종료 시점에 실시한 IT 유용성 설문 조사에 따르면 참자자들은 기술 및 서비 스에 만족하는 것으로 나타났습니다. 직원 들은 태블릿을 사용하고 엔터프라이즈 애플리케이션에 액세스하여 생산성을 높일 수 있는 점에 만족했습니다.
다음은 참가자들의 설문 조사 결과입니다.
• 유연성 증가(참가자 중 80%)
• 생산성 증가(참가자 중 57%)
• 보조 기기 사용(참가자 중 63%)
PoC 도중 사용자들이 보고한 일부 문제는 하드웨어, 기기 드라이버, 서비스 설치 절차, 소프트웨어 및 애플리케이션 구성과 관련된 것이었습니다. 이 피드백을 토대로 우리는 생산 단계로 전환하기 전에 설치 절차를 개선하고 타사 공급업체의 새로운 소프트웨어 패치와 드라이버를 사용했습니다.
인텔 직원은 다른 태블릿과 달리, 인텔 아키텍처 기반 태블릿을 사용할 경우, 단순한 컨텐츠 소비에 그치지 않고 컨텐츠 제작과 공동 작업에도 태블릿을 사용할 수 있습니다. 다른 태블릿은 회사 네트워크에 대한 전체 액세스 권한을 갖지 않습니다. 이 제한 때문에 프리미엄 서비스 대상 직원들이 사용할 수 있는 인트라넷, 엔터프라이즈 소프트웨어 및 회사 문서에 대한 액세스가 금지됩니다. 인텔 아키텍처 기반 태블릿에서 Windows 8을 실행하는 것은 직원들이 노트북과 동일한 소프트웨어 및 네트워크 액세스 권한을 갖는 태블릿 폼 팩터를 가질 수 있는 최초의 기회입니다.
표 4. 개념 증명(PoC) 도중 태블릿을 사용하여 달성한 샘플 작업
기본 서비스 작업
• 키보드 또는 펜 입력을 사용하여 메모
• 일정 정보 보기 및 업데이트
• 이메일 쓰기 및 읽기
• 외부 웹 사이트에 읽기 및 검색
프리미엄 서비스 작업 (기본 서비스 작업 외)
• 다양한 문서, 스프레드시트 및 슬라이드 작성 및 읽기
• 엔터프라이즈 애플리케이션 액세스
• 컨텐츠 공유 소프트웨어를 사용하여 정보 제시
• 비디오 시청 및 고객 데모 수행
• Voice over IP 전화 사용
• 사무실 PC에 대한 원격 데스크탑으로 태블릿 사용
2012년 12월 10주의 PoC 이후, 2013년 4월에 프로덕션 수준의 TAP 및 프리미엄 서비스를 구축하고 2013년 9월에는 프로덕션 수준의 IT 빌드 서비스를 구축했습니다. 기본 서비스는 제한적 PoC 모드에서 유지되는데, 타사 공급자의 추가 솔루션을 기다리고 있습니다.
추가 정보www.intel.com/IT에서 관련 주제에 관한 백서를 찾아보십시오.
• “ 데스크탑 가상화와 클라우드 서비스를 위한 클라이언트 인지 기술 적용”
• “ 기업 내 직원 소유 스마트폰 활성화를 위한 모범 사례”
• “ 모범 사례를 활용하여 Microsoft Windows* 8 마이그레이션 비용 최 소화”
• “ 인텔 사내에 Windows* 8이 탑재된 인텔® 아키텍처 기반 태블릿 배포”
• “ 기업에 Microsoft Windows* 8 구축”
• “ 인텔® 아키텍처 기반 태블릿에서 Microsoft Windows* 8 보안 평가”
이 용지에 제공되는 정보는 성격상 일반적인 정보로, 특정 지침을 위해 고안된 것이 아닙니다. 권장 사항(잠재적인 비용 절감 포함)은 인텔 경험을 기반으로 한 것이며 추정치에 불과합니다. 인텔은 다른 경우 더 나은 결과를 얻을 수 있다는 보증을 하지 않습니다.
이 문서의 정보는 인텔 제품과 함께 제공됩니다. 이 문서는 어떠한 지적 재산권에 대한 라이센스도 명시적 또는 묵시적이나 금반언에 의해 제공하지 않습니다. 인텔의 판매 약관에 명시된 경우를 제외하고 인텔은 어떠한 책임도 지지 않으며 특정 목적에의 적합성, 상품성 또는 특허권, 저작권 및 다른 지적 재산권 침해에 관한 책임이나 보증을 포함하여 인텔 제품의 판매 및 사용과 관련된 어떠한 명시적 또는 묵시적 보증도 부인합니다.
인텔, 인텔 로고, 인텔 아톰, 인텔 코어, Look Inside 및 Intel Inside 로고는 미국 및/또는 기타 국가에서 인텔사의 상표입니다.
*기타 명칭 및 브랜드는 해당 소유업체의 자산입니다.
Copyright 2014 Intel Corporation. All rights reserved. 미국에서 인쇄 재활용하십시오 0114/JGLU/KC/PDF 329838-001US
인텔 IT 모범 사례에 대한 자세한 내용은 www.intel.com/IT를 참조하십시오.
약어
BYO bring your own
BYOD bring your own device
HR Human Resources
MDM mobile device management
PIN personal identification number
PoC proof of concept
TAP Trusted Application Portal
TPM Trusted Platform Module
UEFI Unified Extensible Firmware Interface
인텔® 아키텍처 기반 태블릿에서 Windows* 8 배포: 인텔의 접근 방법 IT@인텔 백서