IO 기능: 보안 및 네트워킹 - 기초 -> 표준화
이 페이지의 내용
.gif){kind=icon}
소개
요구 사항: 데스크톱용 안티바이러스 소프트웨어
체크포인트: 데스크톱용 안티바이러스 소프트웨어
요구 사항: 중앙 집중식 방화벽 서비스
체크포인트: 중앙 집중식 방화벽 서비스
요구 사항: 내부적으로 관리되는 기본 네트워킹 서비스(DNS, DHCP, WINS)
체크포인트: 내부적으로 관리되는 기본 네트워킹 서비스(DNS, DHCP, WINS)
요구 사항: 중요한 서버의 가용성 모니터링
체크포인트: 중요한 서버의 가용성 모니터링
소개
보안 및 네트워킹이 세 번째 핵심 인프라 최적화 기능입니다. 다음 표에는 보안 및 네트워킹의 표준화 수준으로 이동함에 따른 상위 과제, 해당 솔루션 및 이점이 나열되어 있습니다.
과제 |
솔루션 |
이점 |
|---|---|---|
업무상 과제 악성 소프트웨어 및 공격을 방지하기 위한 기본 보안 표준이 없음 안티바이러스 업데이트가 정상적으로 관리되지 않아 공격 위험이 증가함 지원 센터 업무가 사후 대처에 집중되어 있어 대부분의 시간을 보안 관련 문제에 소비하게 됨 IT 과제 IT 작업자가 각 시스템에 업데이트 및 패치를 수동으로 배포함 예측할 수 없는 불규칙한 서버 중단으로 네트워크 서비스가 중지되어 최종 사용자의 생산성이 저하됨 네트워크 관리자가 복제 방지를 위해 IP 주소를 개별적으로 관리하고 구성 변경 사항을 워크스테이션에 수동으로 적용함 |
프로젝트 잠금 구성(경우에 따라 다중 계층 방화벽 솔루션)으로 방화벽 배포 DNS 서버와 같은 네트워킹 서비스 구현에 의한 용이한 DHCP 서버 검색 및 액세스를 통해 네트워크 서비스 및 중앙 집중식 자동 IP 주소 관리 관리가 가능한 표준화된 데스크톱용 안티바이러스 솔루션 구현 |
업무상 이점 정책 표준 수립으로 보다 일관성 있는 컴퓨팅 환경이 조성됨 대상 취약점에 패치를 신속하고 확실하게 적용함으로써 데스크톱 보안이 향상됨 IT 이점 중앙 집중식 패치 관리로 인프라를 보다 안정적이고 안전하게 유지 관리할 수 있음 효율적이고 안정적인 TCP/IP 네트워크 구성으로 IP 주소 충돌이 방지되고 중앙 집중식 주소 할당 관리를 통해 IP 주소 사용이 유지됨 경계, 서버, 데스크톱 및 응용 프로그램 수준의 보안 "계층"을 통해 공격을 방지할 수 있는 제어 가능하고 강력한 환경이 조성됨 하드웨어 및 소프트웨어 운영이 보다 단순화되어 변경 관리 프로세스가 보다 유연해짐 |
인프라 최적화 모델의 표준화 수준에서는 다음 네트워킹 및 보안 구성 요소의 주요 영역을 다룹니다.
데스크톱용 안티바이러스 소프트웨어
중앙 집중식 방화벽 서비스
내부적으로 관리되는 기본 네트워킹 서비스(DNS, DHCP, WINS)
중요한 서버의 가용성 모니터링
표준화 수준의 최적화를 달성하려면 클라이언트에 설치된 표준 안티바이러스 소프트웨어, 중앙 집중식 경계 방화벽, 기본 네트워킹 서비스, 중요한 서버의 가용성 모니터링 기능 등이 조직에 마련되어 있어야 합니다.
요구 사항: 데스크톱용 안티바이러스 소프트웨어
대상
자동화된 서명 업데이트 기능이 있는 안티바이러스 소프트웨어가 데스크톱의 80% 이상에서 실행되고 있지 않으면 이 절을 읽어야 합니다.
개요
모든 조직은 네트워크 및 기술 리소스에 대한 고급 수준의 보호 기능을 제공하는 안티바이러스 솔루션을 구축해야 합니다. 하지만 안티바이러스 소프트웨어를 설치한 후에도 많은 수의 네트워크가 여전히 감염될 수 있습니다. 이 절에서는 악성 소프트웨어(맬웨어라고도 함) 문제를 성공적으로 해결하는 데 필요한 정보를 제공합니다.
1단계: 평가
평가 단계에서는 관리 대상 데스크톱 시스템의 인벤토리를 조사하고 하드웨어 사양, 운영 체제, 응용 프로그램 및 안티바이러스 소프트웨어나 기타 악성 소프트웨어 감지 소프트웨어의 현재 설치 여부를 점검해야 합니다. 인벤토리 프로세스를 자동화할 수 있는 Systems Management Server(SMS) 2003, 응용 프로그램 호환성 도구 키트(ACT) 또는 Windows Vista 하드웨어 평가와 같은 도구를 사용할 것을 권장합니다.
2단계: 식별
안티바이러스 전략 구상을 위한 식별 단계의 목표는 조직의 보안 요구를 정의하는 것입니다. 안티바이러스 제품은 제조업체마다 제공하는 보호 수준 및 바이러스 이외의 위협 요소에 대한 적용 범위가 다릅니다. 평가 단계에서 수집한 정보를 사용하여 안티바이러스 소프트웨어의 호환성 요구 사항을 확인하고 조직에 적합한 솔루션을 파악할 수 있습니다.
3단계: 평가 및 계획
네트워크 보안 조치와 마찬가지로 조직에서 채택한 보호 방법을 올바르게 설계하고 안정적으로 유지 관리하려면 안티바이러스 솔루션 설계 시 심층 방어 방식을 사용하는 것이 좋습니다.
불행히도 컴퓨터 시스템에서 제공하는 유용한 기능이나 서비스에 관계없이 악의적인 목적으로 취약점을 찾아내려고 하는 누군가가 존재하기 때문에 이러한 접근 방법이 조직의 컴퓨터 보안에 매우 중요합니다.
방어 수준
다음 그림은 악성 소프트웨어 공격에 취약한 조직 내 단계를 나타냅니다.
.gif)
본 절에서는 조직 내 호스트, 응용 프로그램 및 데이터 수준의 안티바이러스 계획에 대해 설명하며, 특히 클라이언트 데스크톱 컴퓨터 관련 내용에 중점을 둡니다. 다른 수준의 경우에는 본 가이드 시리즈의 다른 문서에서 설명합니다.
클라이언트 방어
악성 소프트웨어가 호스트 컴퓨터에 접근할 때 방어 시스템은 호스트 시스템과 데이터의 보호 및 감염 확산 방지에 초점을 맞춰야 합니다. 이 방어는 네트워크 환경의 물리적 방어 및 네트워크 방어 못지 않게 중요합니다. 호스트 방어 설계는 악성 소프트웨어가 모든 외부 방어 계층을 통과했다는 가정 하에 수행해야 합니다. 이 접근 방법이 가장 높은 수준으로 보호할 수 있는 최상의 방법입니다.
4단계: 배포
배포 단계에서는 클라이언트 안티바이러스 보호를 위한 여러 가지 접근 방법과 기술을 구현해야 합니다. 다음 절에서는 Microsoft에서 권장하는 고려 사항을 자세히 설명합니다.
1단계: 공격 노출 가능성 줄이기
응용 프로그램 계층의 첫 번째 방어 노선은 컴퓨터의 공격 노출 가능성을 줄이는 것입니다. 모든 불필요한 응용 프로그램 또는 서비스는 공격자가 시스템을 악용할 수 있는 통로를 최소화하기 위해 컴퓨터에서 제거 또는 비활성화해야 합니다.
2단계: 보안 업데이트 적용
조직의 네트워크에 연결되는 클라이언트 시스템이 급격하게 증가하고 다양화됨에 따라 신속하고 안정적인 보안 업데이트 관리 서비스 구현이 어려울 수 있습니다. Microsoft 및 기타 소프트웨어 회사에서는 이러한 문제를 관리하는 데 유용한 도구를 개발해 왔습니다. 운영 체제 패치 배포에 대한 자세한 내용은 본 가이드의 요구 사항: 데스크톱 및 랩톱에 자동화된 패치 배포를 참조하십시오.
3단계: 호스트 기반 방화벽 사용
호스트 기반 또는 개인 방화벽은 특별히 조직의 일반적인 네트워크 방어 시스템을 벗어날 수 있는 랩톱에서 사용해야 하는 중요한 클라이언트 방어 계층을 나타냅니다. 방화벽은 특정 호스트 컴퓨터로의 출입을 시도하는 모든 데이터를 필터링합니다.
4단계: 안티바이러스 소프트웨어 설치
소프트웨어 시장에 출시된 여러 안티바이러스 솔루션 중에서 하나를 선택할 수 있습니다. 대부분의 솔루션은 최종 사용자가 대화 방식을 통해 작업에 최대한 방해를 받지 않으면서 호스트 컴퓨터를 보호할 수 있도록 설계되었습니다. 이러한 응용 프로그램의 대부분은 매우 효과적인 보호 기능을 제공하지만 새로이 출현하는 악성 소프트웨어에 대비해 자주 업데이트해 주어야 합니다. 필수 서명 파일(안티바이러스 프로그램이 검사 도중 악성 소프트웨어를 감지 및 처리하는 데 사용하고 안티바이러스 응용 프로그램 공급업체로부터 정기적으로 업데이트되는 정보가 포함된 파일)에 대한 업데이트가 신속하게 클라이언트 컴퓨터에 전달될 수 있도록 빠르면서도 원활한 메커니즘을 제공하는 안티바이러스 솔루션을 선택해야 합니다.
그러나 그러한 업데이트는 서명 파일이 안티바이러스 응용 프로그램 지원 사이트에서 보통 인터넷을 통해 호스트 응용 프로그램으로 전송되기 때문에 자체적으로 보안 위험에 노출되어 있습니다. 예를 들어 파일 다운로드에 사용되는 전송 메커니즘이 FTP(File Transfer Protocol)라면 조직의 경계 방화벽에서 인터넷에서 필수 FTP 서버에 대한 이러한 유형의 액세스를 허용해야 합니다. 조직의 위험 평가 프로세스에서 업데이트 메커니즘을 검토하여 해당 프로세스가 조직의 보안 요구 사항에 부합하며 충분히 안전한지 확인하십시오.
5단계: 취약점 검사를 통한 테스트
시스템 또는 네트워크를 구성한 후에는 보안상 취약점이 없는지 정기적으로 확인해야 합니다. 이러한 프로세스를 지원하기 위해 다수의 응용 프로그램이 악성 소프트웨어와 해커가 악용할 수 있는 취약점을 검색하는 검사 프로그램의 기능을 제공합니다. 최상의 도구는 자체적으로 검색 루틴을 업데이트하여 최신 취약점에 대처하여 시스템을 방어해 줍니다.
운영
대부분의 소프트웨어와 마찬가지로 안티바이러스 응용 프로그램도 지속적인 업데이트를 지원하는 메커니즘이 필요합니다. 본 가이드 앞부분의 자동화된 패치 배포 절에서 소프트웨어 업데이트를 자동화하기 위한 프로세스 요구 사항 및 도구에 대해 심도 있게 다루고 있습니다. 또한, 조직에서 안티바이러스 소프트웨어를 항상 실행하도록 설정할 것을 권장합니다. 그룹 정책을 사용하여 안티바이러스 소프트웨어를 항상 실행하도록 설정하는 방법은 핵심 인프라 최적화를 위한 구현자 리소스 가이드: 표준화 -> 합리화에서 설명합니다.
권장 안티바이러스 소프트웨어
다음 소프트웨어 제품은 Microsoft 운영 체제와의 연동 테스트를 통과했습니다.
Microsoft Forefront Client Security
Microsoft Corporation 제공CA Anti-Virus 2007(이전 명칭: eTrust)
CA, Inc. 제공Symantec AntiVirus Corporate Edition
Symantec Corporation 제공Norton AntiVirus 2006
Symantec Corporation 제공Rising Antivirus Software Personal Edition
Beijing Rising Technology Co., Ltd. 제공
추가 정보
안티바이러스 소프트웨어 구현에 대한 자세한 내용은 바이러스 심층 방어 가이드를 참조하십시오.
Microsoft가 안티바이러스 문제를 해결하는 방식을 보려면 https://www.microsoft.com/technet/itshowcase/content/msghygiene.mspx를 방문하십시오.
체크포인트: 데스크톱용 안티바이러스 소프트웨어
|
요구 사항 |
|---|---|
모든 운영 체제 및 소프트웨어 응용 프로그램 보안 업데이트를 설치했습니다. |
|
|
사용 가능한 호스트 기반의 방화벽을 활성화했습니다. |
|
80% 이상의 데스크톱 컴퓨터에 안티바이러스 소프트웨어를 설치했습니다. |
.gif)
위에서 설명한 단계를 완료했다면 데스크톱용 안티바이러스 소프트웨어에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다. Microsoft TechNet 보안 센터에서 다룬 안티바이러스 보호에 대한 추가 최적의 방법을 따르도록 권장합니다.
다음 자체 평가 질문으로 이동하십시오.
요구 사항: 중앙 집중식 방화벽 서비스
대상
시스템의 80% 이상을 보호하는 중앙 집중식 방화벽(데스크톱별 방화벽이 아님)이 마련되어 있지 않으면 이 절을 읽어야 합니다.
개요
방화벽은 네트워크에 연결된 컴퓨터를 안전하게 보호하고 유지하는 데 필요한 주요 기능입니다. Fortune 선정 500대 기업의 네트워크를 구성하는 수천 대의 서버 및 데스크톱이건, 커피숍의 무선 네트워크에 연결된 영업 사원의 랩톱이건, 전화 접속으로 인터넷에 연결되는 가정용 PC이건 관계 없이 모든 컴퓨터에는 방화벽 보호가 필요합니다.
본 절에서는 네트워크 기반의 방화벽과 호스트 기반의 방화벽(개인용 방화벽이라고도 함)을 모두 살펴봅니다. 가정용 PC 사용자는 일반적으로 호스트 기반의 방화벽만을 사용해왔지만 보안 위반에 대한 최근 추세로 이 두 가지 방화벽을 조합한 형식이 중요해졌습니다. 인프라 최적화 모델의 표준화 수준에는 호스트 기반의 방화벽이 필요 없습니다. 이 방화벽은 다음 수준의 모델에서 소개됩니다. 본 가이드에서는 방화벽 기술의 다섯 가지 기본 종류에 대해 설명합니다.
다음 지침은 Windows Server System Reference Architecture의 방화벽 서비스 구현 가이드를 기반으로 합니다.
1단계: 평가
방화벽 전략 구현을 위한 평가 단계에서는 데이터 및 데이터 저장소에 대한 액세스를 안전하게 보호하기 위한 비즈니스 요구 사항을 처리하며 사용 가능한 방화벽 인프라(있는 경우)를 확인합니다. 모든 조직은 유출 시 조직에 악영향을 줄 수 있는 민감한 정보를 보유 및 관리하고 있습니다. 다음과 같이 조직에서 인터넷을 사용하여 여러 가지 응용 프로그램 및 서비스를 호스팅하는 경우에는 그러한 악영향이 발생할 가능성이 훨씬 높아지고 파급력 또한 커집니다.
일반적인 정보 수집 및 조사
금융 시장 데이터 수집
온라인 판매 서비스 제공
전자 메일 통신
원격 작업자용 VPN(가상 사설망)
VPN 기반의 지사 연결
음성 통신
이러한 서비스 중 전자 메일과 같이 가장 일반적인 서비스를 제공할 때에도 내부 시스템을 인터넷에 연결해야 합니다. 이 경우 시스템은 외부 소스에 액세스함에 따라 공격에 취약해집니다. 또한 조직은 인터넷 서비스 공급자(ISP)에게 지불하는 비용 및 정보 시스템을 보호하기 위한 기술 투자를 포함하여 인터넷 연결에 필요한 비용을 지불해야 합니다.
정보 시스템 공격을 방지하고, 공격을 수행한 사람을 법적 조치하며, 여러 종류의 공격 위험에 대해 가능한 많은 정보를 가지고 있는 것이 중요합니다.
2단계: 식별
식별 단계에서는 조직 내 정보를 보호하는 데 사용할 수 있는 기술을 조사하고, 방화벽 옵션을 평가하고 방화벽 기술 구현을 계획하는 데 필요한 입력 정보를 제공합니다.
방화벽 유형
방화벽에는 네트워크 방화벽 및 호스트 기반(개인용) 방화벽의 두 가지 주요 유형이 있습니다. 소프트웨어 기반의 Microsoft® ISA Server(Internet Security and Acceleration Server)나 하드웨어 기반의 전환 방화벽 시스템과 같은 네트워크 방화벽은 네트워크를 통과하는 트래픽을 감시함으로써 네트워크 경계를 보호합니다. 호스트 기반의 방화벽은 연결된 네트워크에 관계없이 개별 컴퓨터를 보호합니다. 둘 중 한 가지만 필요할 수 있지만 대부분의 조직에서는 보안 요구 사항을 충족하기 위해 두 종류를 조합하여 사용합니다.
방화벽은 다음과 같이 다섯 가지 종류로 분류할 수 있습니다.
종류 1 – 개인용 방화벽 이 방화벽은 단일 컴퓨터를 보호하는 호스트 기반의 소프트웨어 방화벽입니다.
종류 2 – 라우터 방화벽
종류 3 – 저사양 하드웨어 방화벽
종류 4 – 고사양 하드웨어 방화벽
종류 5 – 고사양 서버 방화벽
네트워크 방화벽 – 종류 2-5
네트워크 방화벽은 해당 네트워크의 경계를 방어함으로써 전체 네트워크를 보호합니다. 네트워크 방화벽은 내부 네트워크의 컴퓨터 간에 트래픽을 전달하며 관리자가 설정한 기준을 기반으로 해당 트래픽을 필터링합니다.
네트워크 방화벽은 하드웨어 또는 소프트웨어 기반일 수 있습니다. 하드웨어 기반의 네트워크 방화벽은 일반적으로 소프트웨어 기반의 네트워크 방화벽보다 저렴하며 가정용 PC 사용자 및 다수의 소규모 기업에 적합합니다. 일반적으로 소프트웨어 기반의 네트워크 방화벽은 하드웨어 기반의 방화벽보다 많은 기능을 제공하기 때문에 규모가 큰 조직에 적합할 수 있습니다. 또한, 소프트웨어 기반의 방화벽은 동일한 서버에서 다른 서비스(예: 전자 메일 및 파일 공유)로 실행될 수 있어 규모가 작은 조직에서 기존 서버를 보다 효율적으로 사용할 수 있습니다.
보안 네트워크 연결을 처리할 때 관리자는 다음 사항을 고려해야 합니다.
보안
관리 복잡성
비용
이러한 주요 보안 과제를 처리하여 직원 생산성을 높이고, 비용을 절감하며, 업무 통합을 개선할 수 있습니다.
방화벽 기능
방화벽이 지원하는 기능에 따라 다양한 기술을 사용하여 트래픽을 허용하거나 차단할 수 있습니다. 이러한 기술은 방화벽의 기능에 따른 다양한 수준의 보호를 제공합니다. 덜 복잡한 순서부터 나열된 다음 방화벽 기능은 이후의 절에서 설명합니다.
네트워크 어댑터 입력 필터
고정 패킷 필터
NAT(Network Address Translation)
상태 검사
회로 수준 검사
프록시
응용 프로그램 계층 필터링
네트워크 어댑터 입력 필터
네트워크 어댑터 입력 필터링에서는 수신 패킷의 원본, 대상 주소 및 기타 정보를 검사하여 패킷을 차단하거나 통과시킵니다. 이 필터링은 수신 트래픽에만 적용됩니다.
고정 패킷 필터
고정 패킷 필터는 IP 헤더의 일치 여부를 확인하여 트래픽이 인터페이스를 통과하도록 허용할지 결정합니다. 이 필터링은 수신 및 발신 트래픽 모두에 적용됩니다.
NAT(Network Address Translation)
NAT는 개인 주소를 인터넷 주소로 변환합니다. NAT는 엄밀히 말해서 방화벽 기술은 아니지만 서버의 실제 IP 주소를 숨겨서 공격자가 서버의 중요한 정보에 액세스하지 못하도록 할 수 있습니다.
상태 검사
상태 검사에서는 모든 발신 트래픽이 상태 테이블에 기록됩니다. 연결 트래픽이 인터페이스로 반환되는 경우 상태 테이블을 점검하여 해당 인터페이스에서 트래픽을 보냈는지 확인합니다.
회로 수준 검사
회로 수준 필터링을 실행하면 연결이나 패킷 방식과 달리 세션을 검사할 수 있습니다.
프록시
프록시 방화벽은 클라이언트 대신 정보를 수집하고 서비스에서 수신한 데이터를 클라이언트로 반환합니다.
응용 프로그램 계층 필터링
가장 복잡한 방화벽 트래픽 검사는 응용 프로그램 계층 필터링입니다. 좋은 응용 프로그램 필터를 사용하면 특정 응용 프로그램에 대한 데이터 스트림을 분석한 다음 응용 프로그램별로 검사를 수행할 수 있습니다.
일반적으로, 복잡한 기능의 방화벽에서는 간단한 방화벽 기능도 제공합니다. 그러나 방화벽에 대해 일반적으로 알고 있는 기능과 실제 구현되는 기능 사이에는 약간의 차이가 있을 수 있으므로 방화벽을 선택할 때는 해당 공급업체에서 제공하는 정보를 자세히 읽어보아야 합니다. 방화벽을 선택할 때는 일반적으로 해당 기능에 관해 문의해야 하며, 제품이 명시된 사양대로 올바르게 수행되는지 테스트해야 합니다.
3단계: 평가 및 계획
평가 및 계획 단계의 목표는 방화벽 서비스에 대한 전략을 결정하는 것입니다. 이 전략에는 다음과 같은 3가지 기본 방화벽 설계 요소가 포함됩니다.
경계 방화벽 설계: 인터넷에서 수신된 비보안 네트워크 트래픽으로부터 기업 인프라를 보호할 수 있도록 설계된 방화벽 솔루션입니다.
내부 방화벽 설계: 완전히 신뢰할 수 없는 네트워크 요소와 신뢰할 수 있는 내부 요소 사이의 트래픽을 보호할 수 있도록 설계된 두 번째 방화벽 경계입니다.
프록시 설계: 프록시 솔루션은 내부 네트워크에서 호스트에 대한 안전하고 관리 가능한 아웃바운드 통신을 가능하게 해 주는 메커니즘을 제공합니다.
이러한 기술 솔루션은 가용성, 보안 및 확장성과 같은 설계 목표뿐 아니라 서비스 수준의 특정 목표도 충족해야 합니다.
4단계: 배포
배포 단계의 목표는 평가 및 계획 단계에서 선택하고 테스트한 전략을 구현하는 것입니다. 배포 루틴은 선택한 방화벽의 종류에 따라 다릅니다. 소프트웨어 기반의 ISA Server 2006 Enterprise Edition 방화벽 기술 설치에 대한 자세한 내용은 ISA Server 2006 Enterprise Edition 설치 가이드를 참조하십시오.
운영
방화벽 서비스 운영 시 고려해야 할 사항에는 네트워크 보안 관리, 네트워크 보호, 침입 감지, 표준화된 운영 요구 사항의 사후 처리 및 구현 등이 포함됩니다. 최적의 서비스 제공을 위해 ISA Server 시스템을 유지하는 데 필요한 관리, 모니터링, 성능 및 문제 해결과 같은 ISA Server 2006 운영 작업에 대한 자세한 내용은 Microsoft TechNet의 Microsoft ISA Server 2006 – 운영을 참조하십시오.
추가 정보
방화벽에 대한 자세한 내용을 보려면 Microsoft TechNet을 방문하여 “firewall”을 검색하십시오.
Microsoft에서 방화벽 및 기타 보안 위험을 관리하는 방법에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/itshowcase/content/securitywebapps.mspx를 방문하십시오.
체크포인트: 중앙 집중식 방화벽 서비스
|
요구 사항 |
|---|---|
중앙 집중식 하드웨어 방화벽 또는 소프트웨어 방화벽을 설치했습니다. |
위에서 설명한 단계를 완료했다면 중앙 집중식 방화벽 서비스에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다.
Windows Server System Reference Architecture의 방화벽 서비스 구현 가이드에 설명된 방화벽에 대한 추가 최적의 방법을 따르도록 권장합니다.
다음 자체 평가 질문으로 이동하십시오.
요구 사항: 내부적으로 관리되는 기본 네트워킹 서비스(DNS, DHCP, WINS)
대상
기본 네트워킹 서비스용 내부 서버가 마련되어 있지 않으면 이 절을 읽어야 합니다.
개요
오늘날 조직 내 IT 네트워크에는 LAN(Local Area Network)을 통해 상호 통신하는 다수의 컴퓨팅 장치(고사양 서버에서 개인용 컴퓨터에 이르기까지)를 갖추고 있습니다. 컴퓨팅 장치가 LAN을 통해 상호 통신하려면 각 장치에 조직에서 지정한 논리적 장치 이름의 형식 또는 네트워크상에서 장치 및 장치의 위치를 고유하게 식별해 주는 주소 형식의 ID가 있어야 합니다.
소규모 네트워크(최대 500개 장치 구축)의 경우에는 이름과 주소를 수동으로 유지 관리 및 배포할 수 있지만 네트워크 규모가 커지고 복잡해짐에 따라 효과적인 이름 확인 서비스에 대한 유지 관리 작업에 시간과 리소스가 많이 들게 됩니다.
DNS, DHCP 및 WINS는 기업 환경에서 IP 주소 할당 및 관리 서비스 공급에 필수적인 메커니즘입니다. 다른 메커니즘을 사용할 수도 있지만, 대부분의 경우 DNS 및 DHCP를 통해 서비스의 토대가 제공되며 WINS를 통해 DNS 및 NetBIOS 주소 지정 체계의 배치에 필요한 요구 사항을 이행할 수 있습니다.
다음 지침은 Windows Server System Reference Architecture 네트워크 서비스 소개를 기반으로 합니다.
1단계: 평가
기본 네트워킹 서비스에 대한 평가 단계의 목표는 이름 확인에 대한 비즈니스 요구 사항 및 현재 구축된 인프라(있는 경우)를 확인하는 것입니다. 많은 조직에서 기업 리소스에 대한 액세스를 단순화해 주는 디렉터리 서비스를 채택하면서 이름 확인 서비스는 주요 네트워크 서비스가 되었습니다. 디렉터리 서비스는 사용자, 클라이언트 운영 체제 및 서버에서 주소 대신 이름을 사용하여 리소스를 찾을 수 있도록 안정적이고 효율적인 이름 확인 시스템을 필요로 합니다. 이 기능은 네트워크 보안 또는 네트워크에서 제공하는 서비스가 손상되지 않는 범위에서 실행되어야 합니다.
2단계: 식별
조직에서는 이름 확인에 대한 요구 사항을 평가한 후 요구 사항에 맞는 기술을 파악해야 합니다.
DNS(Domain Name System)
DNS의 기본 목표는 쉽게 읽고 기억할 수 있는 호스트 이름을 숫자 형식의 IP 주소로 변환하는 것입니다. DNS가 제공하는 여러 가지 기능 중에는 전자 메일 주소를 통해 해당 수신자의 메일 Exchange 서버를 찾을 수 있는 기능이 포함됩니다.
DHCP(Dynamic Host Configuration Protocol)
DHCP는 컴퓨터, 라우터 또는 기타 네트워크 장치가 네크워크의 유효한 IP 주소 목록을 보유하고 있는 서버로부터 고유 IP 주소 및 기타 매개 변수(예: 서브넷 마스크)를 요청하여 수신할 수 있도록 하는 프로토콜입니다.
WINS(Windows Internet Naming Service)
WINS(Windows Internet Naming Service)는 클라이언트 컴퓨터가 NetBIOS 이름 및 IP 주소를 배포된 동적 데이터베이스에 등록하고 네트워크 리소스의 NetBIOS 이름을 해당 IP 주소로 변환하도록 해 주는 NetBIOS 이름 확인 서비스입니다.
WINS 및 DNS는 모두 TCP/IP 네트워크용 이름 확인 서비스입니다. WINS는 NetBIOS 네임스페이스에서 이름을 확인하는 반면 DNS는 DNS 도메인 네임스페이스에서 이름을 확인합니다. WINS는 기본적으로 이전 버전의 Windows를 실행하는 클라이언트와 NetBIOS를 사용하는 응용 프로그램을 지원합니다. Microsoft Windows 2000, Microsoft Windows XP 및 Windows Server 2003에서는 NetBIOS 이름뿐 아니라 DNS 이름도 사용합니다. NetBIOS 이름을 사용하는 컴퓨터와 도메인 이름을 사용하는 컴퓨터로 구성된 환경에는 WINS 서버와 DNS 서버가 모두 있어야 합니다. 네트워크 내 모든 컴퓨터가 Windows 2000 이상의 운영 체제를 실행하고 있는 경우에는 WINS 대신 Active Directory를 사용해야 합니다.
3단계: 평가 및 계획
이름 확인에 대한 조직의 요구 및 구현에 필요한 네트워크 서비스를 파악한 후에는 제안된 기술 및 해당 기술을 통해 조직의 목표를 성취할 수 있는 방법을 평가하는 것이 중요합니다.
내부 DNS 서버
일반적으로 Windows Server 2003 DNS는 Active Directory 디렉터리 서비스의 지원 하에 배포됩니다. 이 환경에서 DNS 네임스페이스는 조직에서 사용하는 Active Directory 포리스트 및 도메인을 미러링합니다. 네트워크 호스트 및 서비스는 DNS 이름을 사용하여 구성되므로 네트워크에서 검색할 수 있습니다. 또한 이는 Active Directory 도메인 컨트롤러의 이름을 확인하는 DNS 서버를 통해 구성됩니다. Windows Server 2003 DNS는 조직의 인터넷 서비스 호스팅과 같은 작업을 위해 일반적으로 Active Directory 이외의 또는 표준 DNS 솔루션으로 배포됩니다.
내부 DNS 서버를 구축하면 유연성이 극대화되고 내부 및 외부 도메인 이름 확인을 모두 제어할 수 있게 되며 결과적으로 인트라넷 및 인터넷 네트워크 트래픽을 감소시킵니다. 다음 그림은 기업용 DNS 서비스를 제공하기 위해 Active Directory 통합 영역 및 파일 기반의 보조 영역을 함께 배포하는 방법을 나타냅니다.
.jpg)
내부 DHCP 서버
Windows Server 2003에서 DHCP 서비스는 다음과 같은 이점을 제공합니다.
안정적인 IP 주소 구성. DHCP는 수동 IP 주소 구성으로 인한 구성 오류(예: 입력 오류) 또는 한 IP 주소를 2대 이상의 컴퓨터에 동시에 할당할 때 발생할 수 있는 주소 충돌을 최소화합니다.
네트워크 관리 축소. DHCP는 다음과 같은 기능을 통해 네트워크 관리 작업을 줄입니다.
중앙 집중식 자동 TCP/IP 구성.
DHCP 옵션을 사용하여 추가 TCP/IP 구성 값의 전체 범위를 할당하는 기능.
무선 네트워크상에서 여러 위치로 이동하는 휴대용 컴퓨터와 같이 업데이트가 자주 필요한 클라이언트에 대한 IP 주소 변경을 효율적으로 처리하는 기능.
모든 서브넷에 DHCP 서버가 있어야 하는 필요를 없애주는 DHCP 릴레이 에이전트를 사용한 초기 DHCP 메시지 전달 기능.
WINS 및 내부 리소스
이름 확인이 필요한 Windows Server 2003 구성 요소는 이전의 기본 Windows 이름 확인 서비스인 WINS를 사용하기 전에 이 DNS 서버의 사용을 시도합니다. 조직에 Windows 2000 이전 운영 체제를 실행하는 컴퓨터가 있다면 이러한 시스템에 WINS를 구현해야 합니다. 인프라 최적화의 기초 수준에서 표준화 수준으로 이동 시 최대 2개의 운영 체제만을 실행하는 IT 환경으로 통합해야 합니다. 이전 버전의 시스템 대신 새 버전의 운영 체제를 기반으로 표준화하면 조직에 WINS가 더 이상 필요하지 않습니다.
4단계: 배포
배포 단계의 목표는 선택한 기술을 구현하여 이름 확인에 필요한 기본 네트워킹 서비스를 활성화하는 것입니다. DNS 및 DHCP 배포에 대한 자세한 내용은 Windows Server 2003 배포 가이드의 네트워크 서비스 배포 지침을 참조하십시오.
추가 정보
DNS에 대한 자세한 내용을 보려면 http://technet2.microsoft.com/WindowsServer/f/?en/library/54375efb-2192-49b7-a823-57c08c6cc06c1033.mspx를 방문하십시오.
DHCP에 대한 자세한 내용을 보려면 http://technet2.microsoft.com/WindowsServer/f/?en/library/85add012-1c2c-41bb-b1ae-11bc07485ee31033.mspx를 방문하십시오.
WINS에 대한 자세한 내용을 보려면 http://technet2.microsoft.com/WindowsServer/f/?en/library/0bef84d9-dafe-4fa8-9e70-fb4f56f1af971033.mspx를 방문하십시오.
체크포인트: 내부적으로 관리되는 기본 네트워킹 서비스(DNS, DHCP, WINS)
|
요구 사항 |
|---|---|
조직 내의 서버 또는 기타 장치에 DNS 서비스를 구현했습니다. |
|
|
조직 내의 서버 또는 기타 장치에 DHCP 서비스를 구현했습니다. |
|
조직 내의 서버 또는 기타 장치에 구형 운영 체제용 WINS 서비스를 구현했습니다. |
위에서 설명한 단계를 완료했다면 내부적으로 관리되는 기본 네트워킹 서비스(DNS, DHCP, WINS)에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다.
Windows Server System Reference Architecture의 네트워크 서비스 구현 가이드에 설명된 방화벽에 대한 추가 최적의 방법을 따르도록 권장합니다.
다음 자체 평가 질문으로 이동하십시오.
요구 사항: 중요한 서버의 가용성 모니터링
대상
중요 서버의 80% 이상을 모니터링하고 있지 않으면 이 절을 읽어야 합니다.
개요
조직 내 컴퓨팅 인프라의 효율성 및 생산성은 DNS, DHCP, 파일/인쇄 및 전자 메일 서버와 같은 중요 서버의 지속적 가용성에 따라 다릅니다. 이러한 서버를 모니터링하기 위한 정책 및 절차를 수립하여 성능 저하 또는 서비스 방해를 신속하게 파악해야 합니다. 이러한 모니터링 기능을 자동화하고, 해당 사용자에게 경고를 전송하여 필요한 조치를 취하도록 하는 데 소프트웨어를 사용할 수 있습니다.
1단계: 평가
중요한 서버의 가용성 모니터링에 대한 평가 단계에서는 조직 인프라 내 모든 서버에 대한 인벤토리를 조사해야 합니다. 서버 및 사양을 수동으로 파악하거나 Systems Management Server(SMS) 2003 인벤토리 모음 기능과 같은 도구를 사용하여 인벤토리 프로세스를 자동화할 수도 있습니다.
2단계: 식별
모든 서버의 인벤토리를 조사한 후 식별 단계에서는 주로 서버의 우선 순위를 지정하고 가용성 모니터링이 필요한 중요한 서버를 분류합니다. 서버의 우선 순위는 해당 서버를 사용할 수 없을 경우 비즈니스 또는 운영에 미치는 영향에 따라 지정되어야 합니다. 예를 들어 메시징 서비스가 운영상 통신의 기반으로 작용할 때 모니터링의 범위는 전자 메일 서버뿐 아니라 도메인 컨트롤러 및 해당 서비스에 필요한 기타 모든 서버까지 확장되어야 합니다.
3단계: 평가 및 계획
평가 및 계획 단계에서는 정의된 중요 서비스에서 서버의 가용성 모니터링에 대한 요구 사항을 검토합니다. 이 단계에서는 기술 옵션을 평가하고 배포를 위해 어떤 솔루션을 구현, 테스트 및 계획할지 결정합니다.
기술 솔루션 평가 이전에 수행해야 할 첫 번째 단계는 모니터해야 할 대상을 설정하고 상태 모델을 도출하는 것입니다. 상태 모델은 시스템이나 서비스가 정상(정상 작동)인지, 비정상(작동 실패 또는 성능 저하)인지 여부와 이러한 상태 간 이동에 대해 정의합니다. 실행 중인 시스템의 유지 관리 및 진단을 위해 시스템 상태에 관한 유용한 정보를 알고 있는 것이 좋습니다. 자세한 내용은 Microsoft Operations Framework 서비스 모니터링 및 제어를 참조하십시오.
가용성 관리
가용성 관리 프로세스는 IT 인프라 가용성에 대한 설계, 구현, 측정 및 관리 작업을 수행하여 가용성에 대한 비즈니스 요구 사항이 지속적으로 충족될 수 있도록 합니다. 가용성 관리는 최적화의 표준화 수준에서 일반적인 프로세스이므로 서비스 수준 계약이 없더라도 중요 비즈니스 기능으로 정의된 IT 서비스에 적용할 수 있습니다. 자세한 내용은 Microsoft Operations Framework 가용성 관리를 참조하십시오.
모니터링 소프트웨어
이 절에서는 소프트웨어를 사용하여 중요 서버의 가용성을 모니터링하는 방법에 대해 설명합니다. 이 예에서는 모니터링 역할에 Microsoft® Operations Manager(MOM)를 사용하는 것으로 가정합니다. 서버의 가용성을 모니터링하기 위한 소프트웨어에는 다음 기능이 있어야 합니다.
서버 특성 정보를 수집하고 해당 특성을 기반으로 특정 모니터링 규칙을 적용하는 기능
특정 규칙에서 정의한 대로 이벤트 로그 및 기타 공급업체로부터 데이터를 가져오는 기능
성능 카운터를 기반으로 성능 데이터를 수집하는 기능
규칙에서 지정한 기준을 기반으로 경고를 생성하는 기능
이벤트에 대한 대처
모니터링 데이터를 사용하여 높은 수준의 IT 서비스를 측량, 평가 및 유지할 수 있습니다. 이러한 수준의 서비스는 다음 사항에 기반합니다.
가용성 - 서버와의 통신으로 서버의 가용성을 모니터링하여 서버가 실행 중인지를 확인합니다.
성능 - 성능 카운터를 모니터링하여 서버가 허용되는 매개 변수 내에서 실행 중인지 확인합니다.
용량 - 디스크 용량을 모니터링하고 용량을 분석 및 계획합니다.
오류 인식 - 위의 3가지 측면의 서비스 수준에 영향을 주는 오류 또는 상태를 식별합니다.
가용성 목표 설정에 대한 자세한 내용을 보려면 https://technet.microsoft.com/en-us/library/a4bb7ca6-5a62-442e-86db-c43b6d7665a4.aspx를 방문하십시오.
모니터링 데이터
서버 모니터링 도중 데이터가 생성되어 데이터베이스에 저장됩니다. 모니터링을 통해 이벤트 데이터, 성능 데이터, 경고 데이터 및 검색 데이터의 4가지 데이터가 생성됩니다.
이벤트 데이터
관리 대상 서버에서 이벤트를 로컬 이벤트 로그(응용 프로그램, 보안 및 시스템)에 기록합니다. 한 예로서 MOM은 이러한 로그로부터 이벤트 정보를 수집합니다. 수집된 이벤트 데이터를 사용하여 수행할 수 있는 작업은 다음과 같습니다.
보고 서버 및 보고 데이터베이스를 사용하여 보고서를 생성합니다.
감지된 문제의 컨텍스트를 경고 형식으로 제공합니다.
통합 이벤트 또는 누락 이벤트로 인해 도출된 상호 연관 데이터를 통해 컴퓨터의 상태 정보를 제공합니다.
성능 데이터
숫자 형식의 성능 데이터는 Windows 성능 카운터 및 WMI(Windows Management Instrumentation)와 같은 소스에서 수집됩니다. 수집된 성능 데이터를 사용하여 수행할 수 있는 작업은 다음과 같습니다.
운영자 콘솔에서 양식, 목록 및 그래프와 같이 서로 다른 형식을 사용하여 성능 데이터를 봅니다.
보고 서버 및 보고 데이터베이스를 사용하여 보고서를 생성합니다.
성능 문제를 나타낼 수 있는 중요 임계값 교차 지점을 식별합니다.
경고 데이터
경고 데이터는 관리 대상 서버에서 감지된 문제를 나타냅니다. 경고 데이터에는 감지된 문제에 대한 다음 정보가 포함됩니다.
문제를 일으킨 엔터티 형식. 이 정보는 서비스 검색 형식으로 표시됩니다.
문제를 일으킨 엔터티
문제의 심각도
경고 이름, 설명, 문제 상태, 경고 횟수 및 해결 상태
경고는 관리 대상 컴퓨터의 상태를 사용자에게 알립니다. 또한 경고는 상태 모니터링에 대한 기초를 제공합니다.
경고 업데이트
데이터베이스에 저장된 경고 데이터는 경고를 생성한 서버에 대한 정보를 수집함에 따라 지속적으로 업데이트됩니다. 다시 한 예로서 MOM을 사용하면 문제가 감지될 때 경고가 생성됩니다. 이 경고는 새 문제를 나타내는 경고로 데이터베이스에 저장됩니다. MOM에서는 문제가 해결된 것을 감지하는 대로 또 다른 경고 항목을 생성하여 원래 경고의 문제 상태를 업데이트합니다. 결과적으로, 문제가 해결되면 데이터베이스에서 기존 경고의 문제 상태가 업데이트되고 플래그가 지정됩니다. 그러나 계속 문제 해결에 이어 경고를 확인해야 합니다.
경고 표시 안 함
경고 표시 안 함은 어떤 경고가 고유 문제로 간주되어야 하는지 지정하기 위한 메커니즘입니다. 경고 표시 안 함 필드는 경고를 생성하는 규칙 정의의 일부로서 정의됩니다. 경고 표시 안 함을 설정하지 않으면 MOM 런타임에서 생성된 모든 새 경고가 새 문제로 간주됩니다. 경고 표시 안 함 필드는 경고 속성을 지정하는 데 사용되며, 2개의 경고가 동일한 문제를 나타낼 경우 해당 속성 값은 동일해야 합니다.
검색 데이터
검색 데이터에는 특정 범위에서 검색된 엔터티의 스냅숏이 포함됩니다. 다른 운영 데이터와는 달리 검색 데이터는 사용자에게 직접 노출되지 않습니다. 검색 데이터는 토폴로지 다이어그램, 컴퓨터 특성, 서비스 목록 또는 컴퓨터 목록으로 노출됩니다.
4단계: 배포
모니터링할 중요 서비스를 정의하고, 서비스에 필요한 장치를 결정하고, 상태 모델을 개발하고, 조직의 요구에 적합한 모니터링 소프트웨어를 평가한 후에는 가용성 모니터링 솔루션을 구현합니다.
시스템의 가용성 모니터링을 수행하는 기술로 Microsoft Operations Manager를 선택한 경우에는 Microsoft TechNet의 MOM 2005 배포 가이드에 있는 상세 배포 지침을 참조하십시오.
운영
운영 목표는 중요 서버에 대한 가용성 관리 프로세스 작업을 관리하는 것입니다. 운영 프로세스에서는 중요 IT 서비스가 조직에서 정의한 가용성 수준을 구현해야 합니다.
추가 정보
MOM을 이용한 서버 가용성 모니터링에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/faf19f47-facd-4467-9510-e7c84c671572.mspx?mfr=true를 방문하십시오.
MOM을 이용한 서버 모니터링을 최적화하는 데 필요한 추가 기능에 대한 자세한 내용은 솔루션 가속기 내용을 참조하십시오.
Notification Workflow — Notification Workflow는 MOM 2005의 알림 기능을 확장하는 데 사용할 수 있는 Microsoft® SQL Server™ 기반의 알림 서비스 응용 프로그램입니다.
Autoticketing — Autoticketing은 자동화된 티켓 생성에 대한 지침을 제공하며, 요청(또는 티켓)을 사고 관리에 사용되는 TT(Trouble Ticketing) 시스템에 자동으로 게시할 수 있도록 해줍니다.
Alert Tuning 솔루션 — Alert Tuning은 MOM 2005 관리 팩을 배포할 때 경고 수를 줄이는 데 도움이 됩니다.
Service Continuity — Service Continuity는 MOM 2005 서비스의 가용성을 유지 관리하는 데 도움이 됩니다.
Multiple Management Group Rollup — Multiple Management Group Rollup은 여러 관리 그룹의 데이터를 하나의 데이터 웨어하우스로 전파하여 통합 보고서를 작성할 수 있도록 해줍니다.
Microsoft에서 Exchange Server 2003을 모니터링하는 방법에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/itshowcase/content/monittsb.mspx를 방문하십시오.
체크포인트: 중요한 서버의 가용성 모니터링
|
요구 사항 |
|---|---|
MOM(Microsoft Operations Manager)과 같은 가용성 모니터링 소프트웨어를 설치했습니다. |
|
|
중요한 서버에 대해서 80%의 성능, 이벤트 및 경고를 모니터링하고 있습니다. |
위에서 설명한 단계를 완료했다면 중요한 서버의 가용성 모니터링에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다.
Microsoft TechNet의 Microsoft Operations Manager 2005 TechCenter에서 다룬 추가 최적의 방법을 따르도록 권장합니다.
다음 자체 평가 질문으로 이동하십시오.