인덱싱을 위한 보안 고려 사항(FAST Search Server 2010 for SharePoint)

적용 대상: FAST Search Server 2010

마지막으로 수정된 항목: 2011-02-28

이 문서를 읽기 전에 FSA(FAST Search Authorization) 개요 및 FSA(FAST Search Authorization) 데이터 흐름의 정보를 살펴보십시오.

대부분의 FAST Search Server 2010 for SharePoint 시스템에는 검색에 사용되는 여러 가지 콘텐츠 원본이 포함되어 있으며, 이러한 콘텐츠 원본은 공용 문서와 고유 항목을 둘 다 포함할 수 있습니다. 예를 들어 제한된 액세스 권한이 필요한 내부 인사 데이터베이스가 있을 수도 있습니다. 또는 공개적으로 사용할 수 있는 제품 데이터베이스도 있을 수 있습니다. 이 문서에서는 항목 또는 문서 수준에서 콘텐츠 보안을 구현하고 관리하는 방법에 대해 설명합니다.

항목 수준 보안을 계획하는 경우 다음 질문을 고려해 보십시오.

• 어떤 콘텐츠를 인덱싱할 예정입니까?

• 공용 콘텐츠입니까, 아니면 고유 콘텐츠입니까?

• 어떤 조직 보안 정책을 구현해야 합니까?

• 어떤 사용자 및 그룹 권한이 필요합니까?

• 항목 수준 보안이 검색 환경에 어떤 영향을 줍니까?

이 문서의 정보를 활용하면 보안 콘텐츠와 관련된 사항을 결정할 수 있습니다.

• 항목 수준 보안 정보

• 조직 보안 정책에 대한 정보 수집

• 콘텐츠 원본 인덱싱 계획

• 사용자 및 그룹 권한 할당 계획

• Lotus Notes 데이터베이스 인덱싱 계획

항목 수준 보안 정보

원본 콘텐츠가 크롤링 및 인덱싱될 때 인증 정보가 각 항목의 관리 속성(항목의 ACL(액세스 제어 목록))에 추가되어 항목에 대한 액세스 권한이 거부되거나 허용되는 사용자 및 그룹을 식별합니다. 항목 ACL은 액세스 권한을 사용하여 각 항목에 태그를 지정함으로써 항목 수준 보안을 설정하는 데 도움이 됩니다.

사용자가 쿼리를 전송하고 인덱스가 검색 결과를 찾는 경우 쿼리 처리 서비스가 사용자의 쿼리를 다시 쓰므로 사용자에게는 볼 수 있는 권한이 있는 항목만 표시됩니다. 이러한 보안 조정 기능은 사용자에 대한 콘텐츠 권한을 지정하는 사용자 검색 보안 필터를 사용하여 수행됩니다. 항목 ACL을 사용자의 검색 보안 필터와 비교하여 확인함으로써 부적절한 검색 결과가 필터링되고 쿼리 결과 범위가 사용자에게 볼 수 있도록 허용된 항목으로만 좁혀집니다.

FSA(FAST Search Authorization)은 FAST Search Server 2010 for SharePoint 내에서 보안 조정을 적용하는 보안 모듈입니다. FSA에서는 사용자 액세스 권한을 사용자가 볼 수 있도록 허용된 검색 결과 항목으로 제한합니다. FAST Search Server 2010 for SharePoint를 설치하면 FSA가 자동으로 설치됩니다.

사용자 저장소는 콘텐츠에 대한 무단 액세스를 보호하기 위해 타사 콘텐츠 저장소에 대한 보안 게이트웨이로 사용되는 사용자, 그룹 및 콘텐츠 권한의 논리적 그룹입니다. 설치 시 Microsoft 저장소(Outlook, Word 문서, SharePoint 데이터베이스 등)에 대한 기본 클레임 사용자 저장소가 만들어집니다. 클레임 기반 인증은 클레임 공급자와 응용 프로그램 간에 트러스트 관계를 설정하는 작업 집합입니다. 여러 공급자의 콘텐츠가 있는 경우 보안 사용자 저장소도 여러 개일 수 있습니다. 예를 들어 Lotus Notes 사용자의 자격 증명을 캐시하려면 Lotus Notes 사용자 저장소가 필요할 수 있습니다. 사용자 검색 보안 필터를 만들기 위해 FSA에서는 사용자 저장소를 참조하여 사용자가 속한 그룹을 확인합니다.

조직의 보안 정책에 대한 정보 수집

조직의 보안 팀 동료와 함께 콘텐츠 데이터베이스와 관련된 보안 정책을 숙지하십시오.

• 공용 콘텐츠입니까?

• 고유 콘텐츠입니까?

• 일부 항목에 기밀 콘텐츠를 포함되어 있습니까?

• 항목 수준 보안을 특정 사용자 및 그룹이 액세스하도록 정의해야 합니까?

• 콘텐츠 데이터베이스의 사용자/그룹을 Windows 사용자/그룹으로 매핑할 수 있습니까?

검색 관리자와 상의하여 항목 수준 보안을 구현하기 위해 따라야 할 지침을 확인하십시오. 그 밖의 보안 계획 지침은 서버 팜의 보안 고려 사항(FAST Search Server 2010 for SharePoint)을 참조하십시오.

콘텐츠 원본 인덱싱 계획

항목 수준 보안을 계획하는 일은 콘텐츠 계획의 중요한 부분입니다. 크롤링 및 인덱싱할 콘텐츠 원본을 결정할 때는 다음 사항을 고려하십시오.

• 콘텐츠 저장소의 원본(Microsoft, Lotus Notes, 외부 데이터베이스 등)은 어떤 것입니까?

• 공용 저장소, 고유 저장소, 기밀 항목이 포함된 저장소는 각각 어떤 것입니까?

• 어떤 사용자 및 그룹에 콘텐츠 원본에 액세스할 수 있는 권한이 있습니까?

특정 분야의 주요 전문가가 아닌 경우 조직의 콘텐츠 소유자/관리자에게 도움을 요청하십시오.

콘텐츠 원본 식별, 크롤링 및 인덱싱에 대한 계획 지침은 크롤링 및 연결 계획(FAST Search Server 2010 for SharePoint)을 참조하십시오.

사용자 및 그룹 권한 할당 계획

콘텐츠 권한은 사이트 및 인덱싱된 콘텐츠에 대한 액세스를 제어합니다. Microsoft 콘텐츠의 경우 Microsoft SharePoint Server 2010 그룹을 사용하게 되는데, 이 그룹은 항목 수준의 보안을 제공하기 위해 멤버 자격과 세분화된 권한을 제어합니다. 다음 고려 사항에 대한 자세한 내용은 사이트 및 콘텐츠 보안 계획(SharePoint Server 2010)을 참조하십시오.

• 사이트 권한 계획

• 사용 권한 수준 및 그룹 결정

• 보안 그룹 선택

• 관리자 및 소유자 선택

콘텐츠 원본마다 다양한 콘텐츠 원본의 콘텐츠에 대한 사용 권한의 보안 게이트웨이로 사용할 사용자 저장소를 만들어야 합니다. 하지만 Microsoft 콘텐츠 원본에 대한 인덱싱을 계획하는 경우에는 사용자 저장소를 만들 필요가 없습니다. 기본적으로 FAST Search Server 2010 for SharePoint를 설치하면 Microsoft 콘텐츠에 대한 클레임 사용자 저장소가 만들어지고 구현됩니다.

FSA에서는 사용자 저장소의 사용 권한에 액세스하여 사용자 검색 보안 필터를 생성합니다.

Lotus Notes 데이터베이스 인덱싱 계획

FAST Search Lotus Notes 커넥터를 사용하여 Lotus Notes 콘텐츠를 크롤링 및 인덱싱하려는 경우 Microsoft 콘텐츠 인덱싱용으로 계획한 조치 외에도 추가 보안 조치를 고려해야 합니다.

• Lotus Notes 콘텐츠를 FAST Search Server 2010 for SharePoint 인덱스에 포함하려면 먼저 Lotus Notes 사용자 저장소를 만들어야 합니다. 자세한 내용은 FAST Search Authorization에서 FAST Search Lotus Notes 커넥터를 사용하도록 준비를 참조하십시오.

• FAST Search Lotus Notes 커넥터를 실행하는 경우 ssomapping.xml을 생성할 계획을 세웁니다. 이 파일은 Windows 사용자 클레임 값과 Lotus Notes 시스템의 해당하는 ID 사이에서 FSA에 대한 보안 주체 별칭 지정 매핑을 만듭니다. 사용자 보안 필터를 포괄적이면서 정확하게 만들려면 보안 주체 별칭 지정이 필요합니다. 자세한 내용은 FAST Search Lotus Notes 커넥터 구성을 참조하십시오.

See Also

Concepts

FSA(FAST Search Authorization) 개요
FSA(FAST Search Authorization) 데이터 흐름
보안 주체 별칭 지정 정보
크롤링 및 연결 계획(FAST Search Server 2010 for SharePoint)
FAST Search Lotus Notes 커넥터 구성
FAST Search Authorization에서 FAST Search Lotus Notes 커넥터를 사용하도록 준비

Other Resources

사이트 및 콘텐츠 보안 계획(SharePoint Server 2010)
인증 방법 계획(SharePoint Server 2010)