Lync Server 2010의 핵심 보안 향상 기능
마지막으로 수정된 항목: 2012-10-18
Microsoft Lync Server 2010에는 다음과 같은 보안 향상 기능이 포함됩니다.
계획 및 디자인 도구 Lync Server 2010은 계획 및 디자인을 지원하고 Lync Server 구성 요소를 잘못 구성할 위험을 줄이기 위해 두 가지 도구를 제공합니다. 계획 도구를 사용하면 토폴로지 디자인 프로세스를 상당 부분 자동화할 수 있습니다. 결과를 계획 도구에서 토폴로지 작성기로 내보낼 수 있습니다. 이 도구는 Lync Server 2010을 실행하는 각 서버를 설치하는 데 필요합니다. 토폴로지 작성기는 모든 구성 정보를 중앙 관리 저장소에 저장합니다. 이러한 도구에 대한 자세한 내용은 계획 설명서에서 계획 프로세스 시작을 참조하십시오.
중앙 관리 저장소. Lync Server 2010에서는 서버 및 서비스에 대한 구성 데이터가 중앙 관리 저장소로 이동됩니다. 중앙 관리 저장소에서는 Lync Server 배포를 정의, 설정, 유지, 관리, 설명 및 운영하는 필요한 데이터에 대해 견고하고 체계적인 저장소를 제공합니다. 또한 데이터의 유효성을 검사하여 구성 일관성을 보장합니다. 이 구성에 대한 모든 변경은 중앙 관리 저장소에서 수행되므로 "불일치" 문제가 발생하지 않습니다. 데이터의 읽기 전용 복사본이 에지 서버 및 SBA(Survivable Branch Appliance)를 포함한 토폴로지의 모든 서버로 복제됩니다. 복제는 기본적으로 네트워크 서비스의 컨텍스트에서 실행되는 서비스로 관리되어 컴퓨터의 단순 사용자 수준으로 권한 및 사용 권한을 줄여 줍니다. 자세한 내용은 시작 설명서의 새 중앙 관리 저장소를 참조하십시오.
Windows PowerShell 기반 관리 및 웹 기반 관리 인터페이스 Lync Server 2010은 Windows PowerShell 명령줄 인터페이스로 구축된 강력한 관리 인터페이스를 제공합니다. 여기에는 보안 관리를 위한 cmdlet이 포함되며, Windows PowerShell 보안 기능은 사용자가 쉽게 또는 알지 못한 상태로 스크립트를 실행할 수 없도록 기본적으로 설정됩니다. 즉, 보안을 극대화하고 공격 경로를 줄일 수 있도록 소프트웨어 기본값이 자동으로 설정됩니다. Lync Server 2010에서 Windows PowerShell 관리 지원에 대한 자세한 내용은 Windows PowerShell 및 Lync Server 관리 도구를 참조하십시오.
RBAC(역할 기반 액세스 제어) Microsoft Lync Server 2010에는 보안에 대한 높은 표준을 유지하면서 관리 작업을 위임할 수 있도록 RBAC(역할 기반 액세스 제어)가 도입되었습니다. RBAC를 사용하여 사용자에게 작업에 필요한 관리 권한만 제공되는 "최소 권한" 원칙을 따를 수 있습니다. 자세한 내용은 RBAC(역할 기반 액세스 제어)를 참조하십시오.
NAT(Network address translation) Lync Server 2010에서는 에지 서버의 내부 인터페이스에서 NAT(Network address translation) 사용이 지원되지 않지만 액세스 에지 서비스, 웹 회의 에지 서비스, A/V 에지 서비스의 외부 인터페이스를 단일 및 확장된 통합 에지 서버 토폴로지 모두에 대해 NAT(Network address translation)를 수행하는 라우터 또는 방화벽 뒤에 배치할 수 있도록 지원합니다. 하드웨어 부하 분산 장치 뒤의 여러 에지 서버는 NAT를 사용할 수 없습니다. 여러 에지 서버가 자신의 외부 인터페이스에서 NAT를 사용할 경우 DNS(Domain Name System) 부하 분산이 필요합니다. 반대로 DNS 부하 분산을 사용하면 에지 서버 풀에서 에지 서버당 공용 IP 주소 수를 줄일 수 있습니다. 자세한 내용은 액세스 에지 서비스를 참조하십시오.
포트 요구 사항
참고
Microsoft Office Communications Server 2007 배포를 포함하는 엔터프라이즈와 페더레이션하는 경우 사용자 엔터프라이즈와 페더레이션 엔터프라이즈 간에 오디오/비디오를 사용해야 한다면 배포된 이전 버전의 에지 서버에 대한 포트 요구 사항이 적용됩니다. 예를 들어 페더레이션 파트너가 해당 에지 서버를 Lync Server 2010으로 업그레이드할 때까지 이전 버전에 필요한 포트 범위를 두 엔터프라이즈에 대해 열어야 합니다. 에지가 업그레이드되면 포트 요구 사항을 검토한 다음 새 구성에 따라 줄일 수 있습니다.
에지 서버의 간소화된 인증서 배포 마법사는 SN(주체 이름) 및 SAN(주체 대체 이름)을 자동으로 채워서 불필요하고 잠재적으로 안전하지 않은 항목이 포함될 가능성을 줄여 줍니다.
Lync Server 2010 및 Microsoft Lync 2010에서 새 기능의 전체 목록 및 설명은 시작 설명서를 참조하십시오.
신뢰할 수 있는 디자인
Lync Server 2010은 https://go.microsoft.com/fwlink/?linkid=68761&clcid=0x412에서 설명된 Microsoft Trustworthy Computing SDL(Security Development Lifecycle)에 따라 디자인 및 개발되었습니다. 보다 안전한 통합 커뮤니케이션을 만들려면 먼저 위협 모델을 디자인하고 해당 디자인에 따라 각 기능을 테스트해야 합니다. 코딩 프로세스 및 작업에서는 다양한 보안 관련 개선 기능이 기본 제공됩니다. 빌드 타임 도구는 코드를 최종 제품으로 체크 인하기 전에 버퍼 오버런과 기타 잠재적 보안 위협 요소를 검색합니다. 또한 알 수 없는 보안 위협 요소도 모두 차단할 수 있도록 제품을 디자인할 수도 있습니다. 완벽하게 안전한 시스템은 없지만, Lync Server 2010의 경우에는 제품 개발을 시작할 때부터 안전한 디자인 원칙을 적용했기 때문에 업계 표준 보안 기술이 기본 아키텍처 요소로 통합되어 있습니다.
신뢰할 수 있는 보안
Lync Server 2010에서 네트워크 통신은 기본적으로 암호화됩니다. 모든 서버에서 인증서를 사용하도록 하고 Kerberos 인증, TLS, SRTP(Secure Real-Time Transport Protocol) 및 기타 업계 표준 암호화 기술(128비트 AES(Advanced Encryption Standard) 암호화 포함)을 사용함으로써 사실상 모든 Lync Server 데이터가 네트워크에서 보호됩니다. 또한 역할 기반 액세스 제어는 각 서버가 서비스만 실행하도록 Lync Server 2010 실행 서버를 배포할 수 있게 해주며, 서버 역할에 적합한 해당 서비스와 관련된 권한만 갖습니다.
신뢰할 수 있는 배포
이 보안 설명서뿐만 아니라 모든 Lync Server 2010 설명서에는 배포에 대한 최적의 보안 수준을 확인 및 구성하고 기본값 이외의 옵션을 활성화함으로써 발생하는 보안 위험을 평가할 수 있게 해주는 모범 사례 및 권장 사항이 포함되어 있습니다.