서버 팜 내 보안 통신 계획(Office SharePoint Server)

  • 아티클

업데이트 날짜: 2009년 4월

적용 대상: Office SharePoint Server 2007

 

마지막으로 수정된 항목: 2009-04-17

이 문서의 내용

  • 서버 간 통신 계획

  • 클라이언트-서버 통신 계획

  • SSL 사용 계획

이 문서를 사용하여 서버 팜 보안을 계획합니다. 이 문서에서는 서버 간 통신 및 서버-클라이언트 간 통신을 보호하기 위한 지침을 제공합니다.

이 문서에 나와 있는 작업은 다음과 같은 보안 환경에 적합합니다.

  • 내부 IT 호스트

  • 외부 보안 공동 작업

  • 외부 익명 액세스

서버 간 통신 계획

서버가 도청 위험이 거의 없는 물리적으로 안전한 데이터 센터 내부에 있지 않은 경우 암호화된 통신 채널을 사용하여 서버 간 전송되는 데이터를 보호해야 합니다.

Microsoft Office SharePoint Server 2007에서 서버 팜 내부의 서버 간 통신은 광범위합니다. 서버 간 통신을 보호하면 중요한 데이터가 위험에 노출되지 않도록 하고 악의적인 공격 또는 의도하지 않은 위협으로부터 서버를 보호할 수 있습니다.

다음 그림에서는 팜에 있는 서버 간에 일어나는 여러 가지 일반적인 통신 트랜잭션을 보여 줍니다.

보안 서버 팜 통신 모델

팜에 있는 서버 간에 일어나는 일반적인 통신 트랜잭션은 다음과 같습니다.

  • 구성 변경   프런트 엔드 웹 서버는 팜 서버에 대한 구성 변경을 전달하기 위해 구성 데이터베이스와 통신합니다.

  • 변경 요청   사이트 내 콘텐츠 추가, 삭제, 수정 또는 보기를 위한 사용자 요청이 콘텐츠 데이터베이스로 직접 전송됩니다.

  • 검색 요청   프런트 엔드 웹 서버는 쿼리 서버와 통신을 통해 검색 쿼리에 대한 결과를 생성한 다음 콘텐츠 데이터베이스와 통신하여 검색 결과 내 특정 문서에 대한 사용자 요구를 수행합니다.

  • 인덱싱   인덱싱 구성 요소는 프런트 엔드 웹 서버를 통해 통신하여 콘텐츠 데이터베이스의 콘텐츠를 크롤링하고 인덱스를 만듭니다.

참고

Office SharePoint Server 2007 환경에서 검색은 쿼리 및 인덱스라는 두 가지 역할을 통해 제공됩니다. 이러한 역할은 서로 다른 서버 컴퓨터에 설치할 수 있습니다.

IPSec(인터넷 프로토콜 보안) 및 SSL(Secure Sockets Layer)을 사용하여 트래픽을 암호화하여 서버 간 통신을 보호할 수 있습니다. 이 두 방식은 모두 효과가 확실하며 둘 중 어떤 방식을 선택할지는 보호할 특정 통신 채널의 종류와 두 방식의 장점 및 단점이 조직에 얼마나 적합한지에 따라 달라집니다.

IPsec

일반적으로 IPsec은 두 서버 간 통신을 보호하고 서로 통신할 수 있는 컴퓨터를 제한하는 데 사용하는 것이 좋습니다. 예를 들어 응용 프로그램 서버나 웹 서버와 같이 신뢰할 수 있는 클라이언트 컴퓨터의 요청만 허용하도록 정책을 세워 데이터베이스 서버를 보호할 수 있습니다. 또한 특정 IP 프로토콜 및 TCP/UDP 포트로 통신을 제한할 수도 있습니다.

서버 팜의 네트워킹 요구 사항 및 권장 사항에 따라 다음과 같은 이유로 IPsec이 적절한 옵션이 됩니다.

  • IPsec 성능 향상을 위해 모든 서버가 하나의 물리적 LAN에 포함됩니다.

  • 서버에 정적 IP 주소가 할당됩니다.

IPsec은 신뢰할 수 있는 Windows Server 2003 또는 Windows 2000 Server 도메인 간에도 사용할 수 있습니다. 예를 들어 IPsec을 사용하여 내부 네트워크에서 Microsoft SQL Server를 실행하는 컴퓨터에 연결하는 경계 네트워크의 웹 서버 또는 응용 프로그램 서버 통신을 보호할 수 있습니다. 자세한 내용은 Windows Server 2003 배포 가이드 (영문)(https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x412)의 IPSec 인증 방법 선택 (영문)(https://go.microsoft.com/fwlink/?linkid=76093&clcid=0x412)을 참조하십시오.

IPsec 권장 환경에 대한 자세한 내용은 Windows Server 2003 배포 가이드 (영문)(https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x412)의 IPSec 요구 확인 (영문)(https://go.microsoft.com/fwlink/?linkid=76094&clcid=0x412)을 참조하십시오.

SSL

일반적으로 SSL을 암호화 방법으로 사용하는 경우는 컴퓨터에서 실행 중인 모든 응용 프로그램 및 서비스를 위해서가 아니라 특정 응용 프로그램에 대해 보다 세분화된 채널 보호가 필요한 경우입니다. SSL은 개별 응용 프로그램에서 구현해야 합니다. 따라서 SSL을 사용하여 두 호스트 간의 모든 통신을 암호화할 수는 없습니다.

또한 SSL은 공개 키 인증서를 통한 인증만 지원하므로 IPsec보다 유연성이 떨어집니다. 그러나 SSL은 다양한 고유의 장점을 제공합니다. 가장 큰 장점은 광범위한 서버 및 클라이언트 컴퓨터에서 SSL을 지원한다는 점이며 표준이 자리를 잡음에 따라 상호 운용성 문제가 사실상 제거되었습니다.

SSL 검토 시나리오

SSL은 다음과 같은 시나리오에 적합합니다.

  • 관리 사이트   중앙 관리 사이트 및 공유 서비스 관리 사이트는 SSL을 사용하여 보호할 수 있습니다.

  • 콘텐츠 배포   콘텐츠 배포 프로세스는 제작 또는 준비 서버 팜 안의 서버에 있는 하나의 사이트 디렉터리에서 게시 서버 팜 안의 한 대 이상의 서버에 있는 해당 사이트 디렉터리로 파일을 복사합니다. 이 시나리오에서 서버 팜이 서로 다른 네트워크 영역에 있거나, 배포할 콘텐츠 양이 많거나, 콘텐츠를 배포할 서버의 수가 많은 경우 IPsec은 실용적이지 않을 수 있습니다. SSL은 이러한 특정 트랜잭션에서의 보안 통신에 사용할 수 있습니다.

  • 팜 내 SSP(공유 서비스 공급자)   하위 팜에서 상위 팜의 공유 서비스를 사용 중인 경우 팜 사이의 중요한 데이터가 공유됩니다.

  • 외부 데이터 원본과 통신   여러 Office SharePoint Server 2007 기능은 외부 서버 팜에 있는 서버로의 연결에 대해 종속적입니다. 이러한 시나리오에서는 특정 응용 프로그램 간의 데이터가 공유됩니다. 이러한 서버 간 모든 통신을 보호하는 데 IPsec을 사용할 수 있지만 네트워크 구성, 외부 서버 위치 및 외부 서버 플랫폼의 경우 SSL이 보다 적합한 옵션입니다.

클라이언트-서버 통신 계획

모든 클라이언트-서버 간 통신을 보호하는 경우 효율성이 떨어질 수 있습니다. 그러나 다음과 같은 시나리오에서는 서버 팜 안에 있는 클라이언트 컴퓨터와 서버 사이의 통신을 보호하기 위해 추가 구성이 필요합니다.

  • 파트너와의 보안 공동 작업   파트너가 익스트라넷 환경의 응용 프로그램에 액세스하고 정보를 제공합니다.

  • 원격 직원 액세스   직원이 내부 데이터에 원격으로 액세스합니다.

  • 고객이 중요 데이터에 액세스 또는 제공   고객이 로그온하여 중요한 데이터를 제공하거나 액세스합니다. 예를 들어 고객이 비즈니스 트랜잭션을 완료하기 위해 인터넷 뉴스 사이트에 로그온하거나 개인 정보를 제공해야 할 수 있습니다.

  • 기본 또는 폼 인증   이러한 인증 방법 중 하나를 사용하는 경우 자격 증명을 반드시 전송해야 하며 적어도 로그온 페이지에 대한 클라이언트-서버 간 통신을 보호해야 합니다.

중요한 정보를 보호해야 하는 경우 사용자와 서버 사이의 통신을 보호하는 데는 일반적으로 SSL을 사용하는 것이 좋습니다. 서버 인증 또는 클라이언트/서버 인증을 위해 SSL을 구성할 수 있습니다.

SSL 사용 계획

SSL은 네트워크 성능을 저하시킬 수 있습니다. SSL을 사용하는 페이지를 최적화하는 데 사용할 수 있는 일반적인 지침에는 여러 가지가 있습니다. 그 중 첫 번째는 필요한 경우에만 SSL을 사용하는 것입니다. 암호 또는 기타 개인 정보와 같은 중요한 데이터를 포함하거나 캡처하는 페이지 등이 해당합니다. 다음과 같은 조건에 해당하는 경우에만 SSL을 사용합니다.

  • 페이지 데이터를 암호화하려는 경우

  • 데이터를 전송한 서버가 의도한 서버인지 확인하려는 경우

SSL을 사용해야 하는 페이지에서 다음 지침을 따르십시오.

  • 페이지 크기를 가능한 한 작게 만듭니다.

  • 파일 크기가 큰 그래픽의 사용을 피합니다. 그래픽을 사용하는 경우 파일 크기와 해상도가 보다 작은 그래픽을 사용합니다.

이 문서의 다운로드

이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.

사용 가능한 문서의 전체 목록은 다운로드 가능한 Office SharePoint Server 2007 관련 콘텐츠 (영문)를 참조하십시오.