서버 팜 내의 보안 통신에 대한 계획(Windows SharePoint Services)
업데이트: 2009-04-16
이 문서의 내용
서버 간 통신 계획
클라이언트-서버 통신 계획
SSL 사용 계획
이 문서의 내용을 참조하여 서버 팜 보안을 계획합니다. 서버 간 통신 및 클라이언트-서버 통신 보안에 대한 지침이 제공됩니다.
이 문서에서 설명하는 작업은 다음 보안 환경에 적합합니다.
내부 IT 호스트
외부 보안 공동 작업
외부 익명 액세스
서버 간 통신 계획
네트워크 도청 위협이 중요하게 고려되지 않는 실제 보안 데이터 센터의 내부에 서버가 있지 않은 경우 암호화된 통신 채널을 사용하여 서버 간에 전송되는 데이터를 보호해야 합니다.
Windows SharePoint Services 3.0에서 서버 팜 내의 서버 간 통신은 광범위하게 이루어집니다. 이러한 통신을 보호하면 중요한 데이터의 손상을 막을 수 있고 악의적인 공격이나 의도하지 않은 위협으로부터 서버를 보호할 수도 있습니다.
다음 그림은 팜 내 서버 간에 발생하는 여러 가지 일반 통신 트랜잭션을 보여 줍니다.
.gif "보안 서버 팜 통신 모델")
팜 내 서버 간에 발생하는 일반 통신 트랜잭션에는 다음이 포함됩니다.
구성 변경 내용 프런트 엔드 웹 서버가 구성 데이터베이스와 통신하여 팜 설정에 대한 구성 변경 내용을 전달합니다.
변경 요청 사이트 내의 콘텐츠를 추가, 삭제, 수정하거나 보기 위한 사용자 요청이 콘텐츠 데이터베이스에 직접 전송됩니다.
검색 요청 프런트 엔드 웹 서버가 먼저 검색 서버와 통신하여 검색 쿼리에 대한 결과를 생성합니다. 그런 다음 프런트 엔드 웹 서버가 콘텐츠 데이터베이스와 통신하여 검색 결과 내 특정 문서에 대한 사용자 요청을 충족합니다.
인덱싱 인덱싱 구성 요소는 프런트 엔드 웹 서버를 통해 통신하여 콘텐츠 데이터베이스의 콘텐츠를 크롤링하고 인덱스를 작성합니다.
참고
Windows SharePoint Services 3.0 환경에서 검색 및 인덱싱 구성 요소는 동일한 서버 역할을 공유합니다.
IPsec(인터넷 프로토콜 보안) 및 SSL(Secure Sockets Layer)은 모두 트래픽을 암호화하여 서버 간 통신을 보호하는 데 사용됩니다. 둘 중 어떤 방법을 쓰든 효과적으로 활용할 수 있으며, 보호하려는 특정 통신 채널에 따라 그리고 해당 조직에 가장 잘 맞는 이점과 장단점을 고려하여 사용할 방법을 선택해야 합니다.
IPsec
IPsec은 일반적으로 두 서버 간의 통신 채널을 보호하거나 통신할 수 있는 컴퓨터를 제한하는 데 사용하는 것이 좋습니다. 예를 들어 응용 프로그램 서버 또는 웹 서버와 같이 신뢰할 수 있는 클라이언트 컴퓨터의 요청만 허용하는 정책을 설정하여 데이터베이스 서버를 보호할 수 있습니다. 특정 IP 프로토콜 및 TCP/UDP 포트에 대한 통신을 제한할 수도 있습니다.
다음과 같은 경우 서버 팜에 대한 네트워킹 요구 사항 및 권장 사항에 따라 IPsec 옵션을 사용하는 것이 좋습니다.
IPsec 성능 개선을 위해 모든 서버가 하나의 실제 LAN에 포함됩니다.
서버가 정적 IP 주소에 할당됩니다.
IPsec은 신뢰할 수 있는 Windows Server 2003 또는 Windows 2000 Server 도메인 간에도 사용할 수 있습니다. 예를 들어 IPsec을 사용하여 내부 네트워크에서 Microsoft SQL Server를 실행하는 컴퓨터에 연결하는 경계 네트워크의 웹 서버 또는 응용 프로그램 서버 통신을 보호할 수 있습니다. 자세한 내용은 Windows Server 2003 배포 가이드 (영문)(https://go.microsoft.com/fwlink/?linkid=76095\&clcid=0x412)의 IPSec 인증 방법 선택 (영문)(https://go.microsoft.com/fwlink/?linkid=76093\&clcid=0x412)을 참조하십시오.
IPsec에 권장되는 환경에 대한 자세한 내용은 Windows Server 2003 배포 가이드 (영문)(https://go.microsoft.com/fwlink/?linkid=76095\&clcid=0x412)의 IPSec 요구 확인 (영문)(https://go.microsoft.com/fwlink/?linkid=76094\&clcid=0x412)을 참조하십시오.
SSL
컴퓨터에서 실행되는 모든 응용 프로그램 및 서비스가 아닌 특정 응용 프로그램에 대한 세밀한 채널 보호가 필요한 경우 SSL을 사용하는 것이 좋습니다. SSL은 개별 응용 프로그램에서 구현되어야 하므로 두 호스트 간의 모든 통신을 암호화하는 데는 사용할 수 없습니다.
SSL은 공개 키 인증서를 이용한 인증만 지원하기 때문에 IPsec보다 유연성이 떨어지지만 여러 가지 고유한 이점을 제공합니다. 무엇보다도 광범위한 서버 및 클라이언트 컴퓨터에서 지원되며 표준 기술로서의 완성도가 높아 상호 운용성 문제를 실질적으로 해결할 수 있다는 것이 가장 큰 장점입니다.
SSL을 고려해야 하는 시나리오
다음과 같은 몇 가지 시나리오에서 SSL 옵션이 권장됩니다.
관리 사이트 SSL을 사용하여 중앙 관리 사이트 및 공유 서비스 관리 사이트를 안전하게 보호할 수 있습니다.
콘텐츠 배포 콘텐츠 배포 프로세스는 제작 또는 준비 서버 팜 내 서버에 있는 하나의 사이트 디렉터리에서 게시 서버 팜 내 하나 이상의 서버에 있는 일치하는 사이트 디렉터리로 파일을 복사합니다. 이 시나리오에서 서버 팜이 다른 네트워크 영역에 있거나 배포할 콘텐츠 양이 많거나 콘텐츠를 배포할 서버 수가 많다면 IPsec 옵션이 효과적이지 않을 수 있습니다. SSL 옵션을 사용하면 이러한 특정 통신 트랜잭션의 통신을 보호할 수 있습니다.
팜 내 SSP(공유 서비스 공급자) 하위 팜이 상위 팜에서 공유된 서비스를 사용하고 중요한 데이터가 팜 간에 공유됩니다.
클라이언트-서버 통신 계획
모든 클라이언트-서버 통신을 보호하는 것은 실용적이지 않을 수 있습니다. 그러나 서버 팜 내의 클라이언트 컴퓨터 및 서버 간 통신을 보호하기 위해 추가적인 구성을 적용하는 것이 적절한 시나리오도 몇 가지 있습니다.
파트너와의 안전한 공동 작업 파트너가 익스트라넷 환경의 응용 프로그램에 액세스하고 참여합니다.
원격 직원 액세스 직원들이 내부 데이터에 원격으로 액세스합니다.
고객의 중요 데이터 제공 또는 중요 데이터에 대한 액세스 지원 고객이 로그온하여 중요한 데이터를 제공하거나 해당 데이터에 대한 액세스 권한을 얻습니다. 예를 들어 고객이 비즈니스 트랜잭션을 완료하기 위해 인터넷 뉴스 사이트에 로그온하거나 개인 정보를 제공해야 할 수 있습니다.
기본 인증 또는 폼 인증 이 두 가지 인증 방법 중 하나를 사용하는 경우 자격 증명이 일반 텍스트로 전송됩니다. 최소한 로그온 페이지에 대한 클라이언트-서버 통신은 안전하게 보호됩니다.
SSL은 중요한 정보를 보호해야 하는 경우 사용자 및 서버 간 통신을 보호하는 데 일반적으로 권장되는 방법입니다. 서버 인증을 사용하도록 구성하거나 서버 인증과 클라이언트 인증을 모두 사용할 수 있도록 구성할 수 있습니다.
SSL 사용 계획
SSL은 네트워크의 성능을 저하시킬 수 있습니다. SSL을 사용하는 페이지를 최적화하기 위해 사용할 수 있는 몇 가지 일반적인 지침이 있습니다. 먼저 SSL이 필요한 페이지에만 SSL을 사용해야 합니다. 암호나 기타 개인 데이터와 같은 중요한 데이터를 포함하거나 캡처하는 페이지가 SSL이 필요한 페이지에 해당합니다. 다음과 같은 조건에서만 SSL을 사용하는 것이 좋습니다.
페이지 데이터를 암호화하려는 경우
데이터를 전송하는 서버가 올바른 서버인지 확실히 확인하고 싶은 경우
SSL을 사용해야 하는 페이지의 경우 다음 지침을 따릅니다.
페이지 크기를 가능한 작게 만듭니다.
파일 크기가 큰 그래픽 사용을 피합니다. 그래픽을 사용하는 경우 파일 크기가 작고 해상도가 낮은 것을 사용합니다.
이 문서의 다운로드
이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.
사용 가능한 문서의 전체 목록은 다운로드 가능한 Windows SharePoint Services 관련 문서 (영문)를 참조하십시오.