안전한 외부 공동 작업 환경의 보안 계획(Windows SharePoint Services)

  • 아티클

업데이트: 2009-04-16

이 문서의 내용

  • 백 엔드 서버 보호

  • 클라이언트/서버 통신 보호

  • 중앙 관리 사이트 보호

  • 보안 디자인 검사 목록

  • 서버 역할의 보안 강화 계획

  • Windows SharePoint Services 기능의 보안 구성 계획

외부 보안 환경에 대한 보안 지침은 회사 네트워크에 대한 일반 액세스 권한이 없는 관계자와 함께 콘텐츠에 대해 공동 작업을 수행하기 위한 익스트라넷에서 콘텐츠를 호스팅할 때 적용됩니다. 이 환경에서는 외부 파트너가 조직의 직원과 함께 워크플로에 참여하거나 콘텐츠에 대한 공동 작업을 수행할 수 있습니다.

외부 보안 공동 작업 환경에는 몇 가지 고유한 권장 사항이 적용되며, 이러한 권장 사항 중 일부는 일부 솔루션에만 사용할 수 있습니다.

백 엔드 서버 보호

외부 보안 공동 작업을 수행하려면 인터넷 연결 서버가 필요합니다. 다음과 같이 백 엔드 서버를 보호하여 인터넷의 트래픽에 대한 노출을 제한할 수 있습니다.

  • 데이터베이스 서버 보호   최소 수준의 보안으로, 프런트 엔드 웹 서버와 데이터베이스를 호스팅하는 서버 간에 방화벽을 배치합니다. 환경에 따라 데이터베이스 서버를 익스트라넷 환경에서 직접 호스팅하지 않고 대신 내부 네트워크에서 호스팅하는 경우도 있습니다.

  • 인덱스 역할 보호   인덱스 구성 요소는 프런트 엔드 웹 서버를 통해 통신하여 사이트의 콘텐츠를 크롤링합니다. 이 통신 채널을 보호하려면 하나 이상의 인덱스 서버가 사용할 전용 프런트 엔드 웹 서버를 구성하는 것이 좋습니다. 이렇게 하면 사용자가 액세스할 수 없는 프런트 엔드 웹 서버에 대한 크롤링 통신이 격리됩니다. 또한 SiteData.asmx(크롤러 SOAP 서비스)에는 인덱스 서버 또는 기타 크롤러에서만 액세스하도록 IIS(인터넷 정보 서비스)를 구성할 수도 있습니다. 콘텐츠 크롤링 전용 프런트 엔드 웹 서버를 제공하면 주 프런트 엔드 웹 서버에 대한 부하가 감소하여 성능이 향상되므로 사용자 환경이 개선됩니다.

클라이언트/서버 통신 보호

익스트라넷 환경에서 안전한 공동 작업을 수행하려면 클라이언트 컴퓨터와 서버 팜 환경 간의 통신을 보호해야 합니다. 해당하는 경우에는 SSL(Secure Sockets Layer)을 사용하여 클라이언트 컴퓨터와 서버 간 통신을 보호하십시오. 보안을 개선하려면 다음 사항을 고려하십시오.

  • 클라이언트 컴퓨터에서 인증서를 사용하도록 합니다. 클라이언트 인증서를 사용하지 않아도 SSL을 구현할 수 있지만, 모든 클라이언트 컴퓨터에서 인증서를 사용하도록 하면 외부 공동 작업의 보안을 높일 수 있습니다.

  • IPsec을 사용합니다. 클라이언트 컴퓨터에서 IPsec을 지원하는 경우 IPsec 규칙을 구성하면 SSL에 비해 보안 수준을 높이거나 보안을 보다 세밀하게 제어할 수 있습니다.

중앙 관리 사이트 보호

외부 사용자는 네트워크 영역에 액세스할 수 있으므로, 중앙 관리 사이트를 보호하여 외부 액세스를 차단하고 내부 액세스를 보호해야 합니다.

  • 프런트 엔드 웹 서버에서 중앙 관리 사이트를 호스팅하고 있지 않아야 합니다.

  • 중앙 관리 사이트에 대한 외부 액세스를 차단합니다. 이렇게 하려면 프런트 엔드 웹 서버와 중앙 관리 사이트를 호스팅하는 서버 간에 방화벽을 배치하면 됩니다.

  • SSL을 사용하여 중앙 관리 사이트를 구성합니다. 이렇게 하면 내부 네트워크에서 중앙 관리 사이트로의 통신이 보호됩니다.

보안 디자인 검사 목록

이 디자인 검사 목록은 서버 팜 보안 계획(Windows SharePoint Services)에 나와 있는 검사 목록과 함께 사용하십시오.

토폴로지

[ ]

하나 이상의 방화벽을 프런트 엔드 웹 서버와 응용 프로그램 및 데이터베이스 서버 사이에 배치하여 백 엔드 서버를 보호합니다.

[ ]

콘텐츠 크롤링 전용 프런트 엔드 웹 서버를 계획합니다. 최종 사용자 프런트 엔드 웹 순환에는 이 프런트 엔드 웹 서버를 포함하지 마십시오.

논리 아키텍처

[ ]

중앙 관리 사이트에 대한 액세스를 차단하고 해당 사이트에 대해 SSL을 구성합니다.

[ ]

SSL을 사용하여 사이트를 구성하고, 전용 웹 응용 프로그램에서 사이트를 호스팅하고, 사이트에 대한 외부 액세스를 거부하는 정책을 구성하여 SSP 관리 사이트를 보호합니다.

서버 역할의 보안 강화 계획

다음 표에서는 외부 보안 공동 작업 환경에 대한 추가 강화 권장 사항에 대해 설명합니다.

구성 요소 권장 사항

포트

중앙 관리 사이트의 포트에 대한 외부 액세스를 차단합니다.

IIS

인덱스 서버 또는 기타 크롤러에서만 SiteData.asmx(크롤러 SOAP 서비스)에 액세스하도록 제한합니다.

Windows SharePoint Services 기능의 보안 구성 계획

다음 표에서는 Windows SharePoint Services 3.0 기능 보안을 위한 추가 권장 사항에 대해 설명합니다. 이러한 권장 사항은 외부 보안 공동 작업 환경에 적용할 수 있습니다.

기능 또는 영역 권장 사항

인증

인증된 사용자에 대해 SSL을 사용합니다. 사이트를 탐색하는 익명 사용자에게는 적용되지 않습니다.

권한 부여

보안 정책을 사용하여 외부 사용자 권한을 제한합니다. 외부 사용자가 수행할 수 있는 작업을 제한하는 거부 정책을 만드는 것이 좋습니다.

이 문서의 다운로드

이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.

사용 가능한 문서의 전체 목록은 다운로드 가능한 Windows SharePoint Services 관련 문서 (영문)를 참조하십시오.