FTP 어댑터에 대한 모범 사례, 보안 권장 사항 및 향상된 기능을 읽어봅니다.
모범 사례
컴퓨터 리소스를 절약하고 서비스 중단을 방지하기 위해, 임시 폴더에서 부분적으로 수신된 파일을 정기적으로 삭제하십시오.
스트리밍 서버를 사용하는 경우 MessageBox 데이터베이스가 전체 파일을 받을 때까지 새 파일에 대한 읽기 액세스를 거부합니다. 부분 파일이 FTP 어댑터에 의해 MessageBox 데이터베이스에 제출된 경우 MessageBox 데이터베이스는 메시지를 성공적으로 저장하지만 FTP 어댑터는 수신 위치에서 부분 메시지를 삭제할 수 없습니다.
FTP 어댑터 수신 처리기의 고가용성을 보장하려면 클러스터형 BizTalk 호스트 인스턴스에서 실행되도록 FTP 어댑터 수신 처리기를 구성해야 합니다. 자세한 내용은 클러스터형 호스트 내에서 어댑터 처리기 실행에 대한 고려 사항을 참조하세요.
보안 권장 사항 및 팁
BizTalk Server는 FTP(파일 전송 프로토콜) 서버에서 파일을 수신하고 다른 애플리케이션을 위해 FTP 서버로 파일을 보낼 수 있습니다. BizTalk Server는 FTP 서버 역할을 하지 않습니다.
FTP는 기본적으로 안전하지 않습니다. 사용자 이름, 암호 및 기타 자격 증명은 네트워크를 명확한 텍스트로 트래버스합니다. 마찬가지로 업로드되거나 다운로드된 파일은 일반 텍스트로 이동하며, 그 과정에서 쉽게 보거나 변조할 수 있습니다. 또한 공격자는 불량 서버 공격으로 알려진 FTP 서버 자체를 스푸핑할 수 있습니다. 이 경우 특정 FTP 서버가 실제로 통신하려는 컴퓨터인지 알 수 없습니다.
이러한 문제를 해결하기 위해 FTP 어댑터는 암호화를 통해 데이터 기밀성을 보장하는 SSL/TLS 프로토콜을 지원합니다.
FTP 프로토콜을 사용하는 경우 일반적인 보안 고려 사항은 인터넷 FAQ 보관 파일(https://go.microsoft.com/fwlink/p/?LinkId=24779)을 참조하세요.
환경에서 FTP 어댑터를 보호 및 배포하기 위해 다음 지침을 사용하는 것이 좋습니다.
서버를 보호하고 데이터에 대한 액세스를 제한합니다. FTP 프로토콜은 보안 프로토콜이 아니므로 항상 취약합니다. 전용 연결을 사용하고 BizTalk Server와 FTP 호스트 간의 서버 및 연결을 제한하여 FTP 서버가 안전한지 확인할 수 있습니다. FTP 클라이언트와의 보안 연결을 허용하도록 FTP 서버의 보안 정책을 설정할 수도 있습니다.
어댑터와 FTP 서버 간의 통신에 SSL(Secure Sockets Layer) 프로토콜을 사용하도록 FTP 어댑터를 구성합니다. SSL 프로토콜은 암호화를 통해 데이터 기밀성을 보장합니다. 즉, 사용자 ID 및 암호는 암호화되고 일반 텍스트로 전송되지 않습니다. FTP 어댑터를 사용하면 FTP 연결의 데이터 채널을 암호화할 수도 있습니다. 향상된 기능(이 항목에서)을 참조하세요.
보안 파일 전송을 수행하려면 FTP 어댑터에서 제공하는 SSL 관련 속성을 구성합니다. 향상된 기능(이 항목에서)을 참조하세요.
FTP 어댑터는 RFC(FTP 주석 요청) 959를 지원합니다. W3C(World Wide Web 컨소시엄)(https://go.microsoft.com/fwlink/p/?LinkId=24781)를 참조하세요. FTP 어댑터는 SFTP(Secure FTP) 프로토콜을 지원하지 않습니다. SFTP 어댑터를 참조하세요.
방화벽에서 FTP 어댑터를 사용할 수 있습니다. 사용하는 방화벽 유형에 따라 사용자 이름, 암호, 컴퓨터, 포트, 방화벽 유형(없음, 양말 4, 양말 5) 및 모드와 같은 방화벽 속성 중 하나 이상을 구성해야 할 수 있습니다.
원격 FTP 서버를 안전한 위치에 배치하는 것이 좋습니다. 악성 서버 공격을 최소화하려면 이 서버의 물리적 및 네트워크 보안을 보장해야 합니다.
FTP 어댑터는 SSO(Enterprise Single Sign-On) 사용을 지원합니다. Enterprise Single Sign-On 구현을 참조하세요.
기본적으로 FTP 수신 어댑터는 다운로드 후 서버에서 파일을 삭제하므로 FTP 서버에서 쓰기 권한이 있어야 합니다. 그러나 FTP 어댑터는 읽기 전용 위치에서 파일 다운로드를 지원합니다. 향상된 기능(이 항목에서)을 참조하세요.
FTP 송신 포트를 사용하는 경우 송신 포트를 구성할 때 사용자 ID와 암호 조합을 지정하고 저장해야 합니다. 어댑터는 이 정보를 사용하여 FTP 서버에 연결합니다. 사용자 자격 증명은 일반 텍스트로 SQL Server 데이터베이스에 저장됩니다. 동적 송신 포트에서 자격 증명은 FTP 서버로 전송됩니다. 프로덕션 환경 요구 사항이 더 강력한 보안을 보증하는 경우 익명 자격 증명을 서버에 사용합니다.
시스템에서 계정을 묻는 메시지가 표시되면 로컬 시스템 계정이 아닌 기존 사용자 계정을 입력하는 것이 좋습니다. 이렇게 하면 더 나은 보안을 구현할 수 있으며, 어댑터를 로그온하지 않고 무인 모드로 실행할 수 있습니다.
개선 사항
보안 FTP 서버와 데이터 전송
FTP 어댑터는 SSL(Secure Sockets Layer)/TLS(전송 수준 보안)를 통해 FTPS 서버에서 파일 전송을 지원합니다. SSL/TLS는 암호화를 통해 데이터 기밀성을 보장합니다. 어댑터에서 제공하는 SSL 관련 속성을 구성하여 보안 모드를 사용하도록 설정해야 합니다. 어댑터는 보안 FTP 서버에서 데이터를 읽고 쓸 수 있으므로 송신 처리기/포트를 구성할 때와 수신 처리기/위치를 구성할 때 SSL 관련 속성을 사용할 수 있습니다.
BizTalk Server 2016부터 FTP 어댑터에는 더 이상 SYST 명령이 필요하지 않습니다.
FTP 서버 유형 속성 – SYST 명령이 필요하지 않은 서버를 사용하도록 이 속성을 설정합니다.
SSL 관련 속성을 구성하는 데 사용할 수 있는 옵션은 다음과 같습니다.
SSL 속성 사용 – FTP 어댑터가 각 전송 세션에 SSL을 사용해야 하므로 이 속성을 설정합니다.
데이터 보호 속성 사용 – 데이터 암호화를 설정하려면 이 속성을 설정합니다. FTPS 서버의 보안 정책은 이 설정이 작동하려면 어댑터와의 보안 SSL 연결을 허용해야 합니다.
FTPS 연결 모드 속성 – 보안이 활성화되는 시기를 결정하도록 이 속성을 설정합니다.
암시적 모드에서는 어댑터가 서버에 연결하는 즉시 보안이 자동으로 설정됩니다.
명시적 모드에서 어댑터는 보안 제어 채널을 시작하는 명령을 보냅니다.
비고
FTP 어댑터는 서버 인증서에 대한 해지 검사를 지원하지 않습니다.
읽기 전용으로 표시된 위치에서 파일 다운로드 지원
FTP 어댑터는 읽기 전용 파일 위치에서 파일 다운로드를 지원합니다. 이제 어댑터는 데이터베이스에서 다운로드한 파일 목록을 유지 관리합니다. 다음 다운로드의 경우 FTP 서버의 파일 목록이 어댑터에서 유지 관리하는 파일 목록과 비교되며 서버의 새 파일만 다운로드됩니다. 두 다운로드 사이에 기존 파일이 업데이트되는 시나리오를 지원하려면 FTP 수신 위치에 대해 타임스탬프 비교 사용 속성을 설정하여 파일 타임스탬프도 확인하도록 어댑터를 구성할 수 있습니다. 이러한 경우 파일 이름이 동일하지만 타임스탬프가 업데이트되더라도 어댑터는 파일을 다운로드합니다.
경우에 따라 FTP 서버는 수정된 타임스탬프를 파일과 연결하지 않습니다. 이러한 경우 어댑터를 사용하면 파일을 다시 다운로드할 간격을 지정할 수 있습니다. FTP 수신 위치에 대한 Redownload Interval 속성을 설정하여 이 간격을 구성합니다.
다음 표에서는 다운로드 후 삭제, 타임스탬프 비교 사용 및 다시 다운로드 간격 속성에 대해 설정된 다양한 값에 대해 FTP 어댑터의 예상 동작을 나열합니다.
| 다운로드 후 삭제 | 타임스탬프 비교 활성화 | 다시 다운로드 간격 | 어댑터 동작 |
|---|---|---|---|
| 예 | 해당 없음 | 해당 없음 | 어댑터는 다운로드한 후 FTP 서버에서 파일을 삭제합니다. 어댑터의 기본 동작입니다. |
| 아니오 | 예 | 해당 없음 | 어댑터는 다운로드한 후 FTP 서버에서 파일을 삭제하지 않습니다. 대신 어댑터는 MDTM 명령을 사용하여 파일의 마지막으로 수정된 타임스탬프를 비교합니다. 타임스탬프에 따라 어댑터는 파일을 다시 다운로드합니다. |
| 아니오 | 아니오 | 적용 가능 | FTP 어댑터는 파일이 수정되었는지 여부에 관계없이 지정한 간격 후에 FTP 서버에서 파일을 다운로드합니다. |
ASCII 모드에서 원자성 파일 전송 지원
FTP 어댑터는 ASCII 모드에 대한 원자성 파일 전송을 지원합니다. ASCII 모드에 대한 원자성 파일 전송을 사용하도록 설정하기 위해 어댑터는 임시 폴더 속성을 사용합니다. 이 속성은 파일이 처음 이동되는 FTP 서버의 임시 위치를 정의합니다. 파일이 임시 위치로 완전히 전송되면 파일이 FTP 서버의 관련 위치로 이동됩니다. 여기서는 FTP 서버의 임시 위치와 관련 위치 간에 파일 전송이 원자성이라고 가정합니다.
비고
임시 폴더를 ASCII 파일로 사용하는 확장명은 Send에만 적용되며 Receive에는 적용되지 않습니다. 이 기능을 구현하는 주된 이유는 타사 애플리케이션이 완전히 작성될 때까지 파일을 읽지 않기 때문입니다. BizTalk에서 파일을 수신하는 경우 어댑터는 파일을 완전히 읽은 후에만 BizTalk에 제출합니다.
비고
이진 모드에서는 사이에 오류가 있는 경우 임시 폴더 속성을 사용하여 파일 전송을 다시 시작할 수도 있습니다. ASCII 모드에는 적용되지 않습니다. ASCII 모드의 경우 임시 폴더 속성은 원자성 파일 전송에만 사용됩니다.
다음
또한 참조하십시오
수신 및 보내기 서버최소 보안 사용자 권한에 대한 포트