Windows Azure 팩: 웹 사이트 보안 향상
적용 대상: Windows Azure Pack
설치 후 추가 모범 사례를 구현하여 보안을 향상시킬 수 있습니다. 여기에는 IP 필터링 구성("블랙리스트 작성"이라고도 함), DoS 공격에 대응하기 위한 할당량 설정 및 기타 단계가 포함됩니다.
IP 필터링 구성
DoS(서비스 거부) 공격을 시작하는 가장 쉬운 방법 중 하나는 서비스 자체 내부에서 공격을 시작하는 것이기 때문에 IP 필터링 설정이 중요합니다. 따라서 최소한 호스팅 서비스 공급자 자체에서 팜을 블랙리스트에 추가해야 합니다.
예를 들어 웹 팜이 서브넷에 배포된 경우 서브넷 IP 주소를 필터링하여 웹 사이트가 팜에 콜백하고 DoS 공격을 시작할 수 없도록 해야 합니다.
테넌트 작업자 프로세스가 웹 사이트 클라우드 내의 서버에 해당하는 IP 주소 범위에 액세스할 수 없도록 제한하기 위해 Windows Azure Pack 관리 포털에서 또는 PowerShell을 사용하여 IP 필터링을 구성할 수 있습니다.
관리 포털에서 IP 필터링을 구성하려면
관리자용 관리 포털에서 IP 필터링을 구성하려면 다음 단계를 따르십시오.
포털의 왼쪽 창에서 웹 사이트 클라우드를 선택합니다.
구성하려는 웹 사이트 클라우드를 선택합니다.
차단 목록을 선택합니다.
포털의 맨 아래 명령 모음에서 추가를 선택합니다.
IP 주소 범위 입력 대화 상자의 시작 주소 및 끝 주소 상자에 IP 주소를 입력하여 범위를 만듭니다.
확인 표시를 클릭하여 작업을 완료합니다.
PowerShell을 사용하여 IP 필터링을 구성하려면
PowerShell을 사용하여 IP 필터링을 구성하려면 컨트롤러에서 다음 PowerShell cmdlet을 실행합니다. start-of-ip-blacklist-range> 및 end-of-ip-blacklist-range를 유효한 IP 주소로 바꿉<니다.><
Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>
동적 WAS 서비스 다시 시작
마지막으로, 웹 작업자 역할을 실행하도록 구성된 서버에서 DWASSVC(동적 WAS 서비스)를 다시 시작합니다. 이렇게 하려면 관리자 권한 명령 프롬프트에서 다음 명령을 사용합니다.
net stop dwassvc
net start dwassvc
할당량 설정
DoS(서비스 거부) 공격을 방지하려면 CPU, 메모리, 대역폭 및 디스크 사용량에 할당량을 설정해야 합니다. 이러한 할당량은 계획 작성의 일부로 관리자용 관리 포털에서 구성할 수 있습니다.
계획에 이러한 할당량이 설정되어 있고 계획에 속하는 웹 사이트에서 DoS 공격 또는 의도하지 않은 CPU 급증이 발생하는 경우 할당량에 도달하면 웹 사이트가 중지되므로 공격이 중지됩니다.
언급된 할당량은 팜 내에서 발생하는 공격에 대응하는 데도 유용합니다. 예를 들어 팜 내의 무차별 암호 공격은 많은 CPU 시간을 사용하며, 강력한 암호가 사용되는 경우 암호가 노출되기 전에 CPU 할당량에 도달하게 됩니다.
각 웹 사이트의 역할에 대해 별도의 자격 증명 집합 할당
설치 후 보안 모범 사례로, 웹 서버 역할에 대한 자격 증명 집합을 모두 고유하도록 편집해야 합니다. 고유한 새 계정을 만든 후 관리자용 관리 포털에서 새 계정을 사용하도록 자격 증명을 업데이트할 수 있습니다.
웹 사이트 서버 역할 자격 증명을 편집하려면
관리자용 관리 포털에서 웹 사이트 클라우드를 클릭하고 구성하려는 클라우드를 선택합니다.
자격 증명을 클릭합니다. 사용자 이름 아래에서 사용자 이름이 웹 사이트 역할에서 고유한지 여부를 확인할 수 있습니다. 예를 들어 모두 '관리자'인 경우 변경해야 합니다.
자격 증명 이름(예: 관리 서버 자격 증명) 중 하나를 선택한 다음 포털 아래쪽의 명령 모음에서 편집 을 클릭합니다.
표시되는 대화 상자(예: 관리 서버 자격 증명 업데이트)에서 새 사용자 이름 및 암호를 입력합니다.
확인 표시를 클릭하여 작업을 완료합니다.
모든 자격 증명 집합이 고유할 때까지 3-5단계를 반복합니다.
정기적으로 자격 증명 변경("롤")
보안 모범 사례로, 정기적으로 자격 증명을 변경(또는 "롤")하는 것이 좋습니다. 역할 서비스의 경우 암호뿐 아니라 사용자 이름 및 암호를 동시에 변경하는 것이 좋습니다. 사용자 이름과 암호를 둘 다 변경하면 암호만 변경되었지만 변경 내용이 환경 전체에 완전히 전파되지 않았을 때 발생할 수 있는 "동기화되지 않음" 문제가 방지됩니다.
사용자 이름과 암호를 둘 다 변경하는 경우 롤오버 프로세스 중에 일시적으로 두 자격 증명 집합을 모두 사용할 수 있습니다. 예를 들어 인증해야 하는 연결이 끊어진 두 시스템이 변경 후에도 연결할 수 있습니다. 새 자격 증명이 적용되고 모든 시스템에서 완벽하게 작동하면 이전 집합을 사용하지 않도록 설정할 수 있습니다.
.NET 애플리케이션에 대해 제한적인 신뢰 프로필 정의
.NET 애플리케이션의 경우 제한적인 신뢰 프로필을 정의해야 합니다. 기본적으로,Microsoft Azure 팩: 웹 사이트는 최대한 광범위한 애플리케이션 호환성을 제공하기 위해 완전 신뢰 모드로 실행됩니다. 최적의 신뢰 수준을 선택하려면 보안과 호환성 간의 타협이 필요합니다. 각 사용 시나리오마다 다르기 때문에 사용자 환경에서 다중 테넌트 웹 서버의 보안을 설정하는 고유한 모범 사례를 결정하고 따라야 합니다.
기타 모범 사례
기타 모범 사례에는 사용자 계정을 만들 때 최소 권한 원칙 사용, 네트워크 노출 영역 최소화, 시스템 ACL을 수정하여 파일 시스템 및 레지스트리 보호 등이 포함됩니다.
계정을 만들 때 최소 권한 원칙 사용
사용자 계정을 만드는 경우 최소 권한 원칙을 적용합니다. 자세한 내용은 Windows의 사용자 계정에 최소 권한 원칙 적용을 참조하십시오.
네트워크 노출 영역 최소화
인터넷 연결 서버에서 네트워크 노출 영역을 최소화하도록 방화벽을 구성합니다. 고급 보안이 포함된 Windows 방화벽에 대한 자세한 내용은 다음 리소스를 참조하십시오(Windows Server 2008 R2에 대한 리소스는 Windows Server 2012 및 Windows Server 2012 R2에도 유용함).
Windows Server 2008 R2 단계별 가이드: Windows 방화벽 및 IPsec 정책 배포 (Microsoft 문서 다운로드 링크)
Windows Server 2008 R2 방화벽 보안 (WindowsITPro)
Windows Server 2012에서 고급 보안이 포함된 Windows 방화벽 문제 해결 (TechNet)
시스템 ACL을 수정하여 파일 시스템 및 레지스트리 보안 유지
다운로드 가능한 다음 유틸리티는 서버의 파일 시스템 및 레지스트리 보안 설정을 평가하는 데 유용할 수 있습니다.