다음을 통해 공유

BizTalk Server 런타임 보안 권장 사항

  • 아티클

메시지를 받고 보내며 처리하고 추적할 모든 컴퓨터에 BizTalk Server 런타임 또는 엔진을 설치해야 합니다. 즉, BizTalk 호스트 인스턴스(처리 서버)를 만든 모든 컴퓨터에 런타임 구성 요소를 설치해야 합니다. 사용자 환경에서 BizTalk Server 런타임의 보안을 설정하고 배포하기 위해서는 다음 지침을 따르는 것이 좋습니다.

  • BizTalk 런타임 작업을 수행하기 위한 최소 보안 사용자 권한이 있는지 확인합니다. 최소 보안 사용자 권한에 대한 자세한 내용은 최소 보안 사용자 권한을 참조하세요.

    참고

    BizTalk 구성은 작업을 수행하는 데 필요한 최소 권한을 계정에 부여합니다.

  • 각 호스트 인스턴스에 대한 서비스 계정에는 호스트 인스턴스를 실행하는 컴퓨터에서 서비스로 로그온 권한이 있어야 합니다.

  • 호스트에 대한 서비스 계정만 호스트 관련 MessageBox 데이터에 액세스할 수 있으며 이러한 서비스만 MessageBox에 게시할 수 있습니다. 정보 공개 공격의 가능성을 최소화하려면 동일한 서비스 계정을 두 개 이상의 호스트에 사용해서는 안 됩니다.

  • 처리 서버(추적을 호스팅하지 않는 호스트)만 MessageBox, 관리 데이터베이스 및 마스터 보안 서버에 연결해야 합니다. IPSec(인터넷 프로토콜 보안)를 사용하는 경우 처리 서버에 대한 액세스를 이 두 데이터베이스와 마스터 보안 서버로 제한할 수 있습니다.

  • 동일한 BizTalk 호스트 내에서 실행 중인 모든 구성 요소는 호스트와 같은 신뢰 수준을 갖습니다. 동일한 호스트에서 실행할 구성 요소를 결정하는 것은 BizTalk 관리자가 담당하므로 같은 수준의 신뢰를 공유합니다. BizTalk에서는 BizTalk 관리자가 설치한 어셈블리만 BizTalk 호스트에서 실행되는지 확인합니다. BizTalk에서 사용하는 어셈블리에 대한 추가 제한을 만들려는 경우(예: BizTalk가 특정 공급업체에서 서명한 어셈블리만 실행하도록 제한하거나 오케스트레이션에 대한 강력한 이름 서명의 유효성을 검사하려는 경우) .NET Framework 코드 액세스 보안 메커니즘을 사용할 수 있습니다. 에서 Microsoft MSDN 웹 사이트에 대한 자세한 내용을 확인하세요 https://go.microsoft.com/fwlink/?LinkId=60947.

  • 메시지 게시의 인증 세분성은 BizTalk 호스트 수준을 따릅니다. 즉, 동일한 BizTalk 호스트에서 여러 개의 오케스트레이션 또는 어댑터가 실행 중인 경우 하나의 특정 오케스트레이션에서 호스트로 보낸 메시지를 받도록 제한할 수 없습니다.

  • 호스트에 메시지를 받을 권한이 없는 경우 호스트는 이 메시지를 일시 중단된 큐에 배치합니다. 기본적으로 수신 어댑터 및 오케스트레이션이 동일한 호스트에서 실행 중인 경우 오케스트레이션은 호스트의 일시 중단된 큐를 읽을 수 있습니다. 그러면 오케스트레이션에서 인증 실패로 인해 BizTalk가 일시 중단되었다는 메시지를 선택할 수 있습니다. 따라서 동일한 호스트에서는 오케스트레이션 및 수신 어댑터를 실행하지 않는 것이 좋습니다.

  • 호스트 인스턴스는 특정 컴퓨터에서 실행 중인 Windows 서비스입니다. 호스트 인스턴스를 만들려면 호스트 인스턴스를 만들 컴퓨터의 BizTalk 관리자 및 Windows 관리자여야 합니다. BizTalk에서 호스트 인스턴스에 해당하는 Windows 서비스를 만들기 때문입니다.

  • Microsoft Visual Studio에서 어셈블리를 생성할 때 IDE(통합 개발자 환경)에서 생성된 사용자 지정 키를 사용합니다. 사용자 환경에서 특정 키를 사용하여 모든 어셈블리를 서명해야 하는 경우 해당 키를 사용할 모든 개발 컴퓨터에 대해 IDE를 구성하거나 어셈블리의 지연 서명을 사용해야 합니다.

  • 수신 및 송신 파이프라인의 모든 구성 요소는 메모리 사용을 낮게 유지하려고 합니다. 데이터가 특정 임계값보다 큰 경우 이러한 구성 요소는 데이터를 디스크의 임시 폴더(%TEMP%)에 스트리밍합니다. 호스트 인스턴스의 서비스 계정에 대한 임시 폴더에 적절한 DACL(임의 액세스 제어 목록)이 있는지 확인하여 해당 서비스 계정만 이러한 파일을 읽을 수 있도록 해야 합니다. 또한 임시 폴더에 큰 파일을 저장할 공간이 있는지도 확인해야 합니다.

참고 항목

BizTalk Server 배포 계획에 대한 처리 서버보안 권장 사항에 대한 BizTalk Server보안 포트 관리