BizTalk Server 배포 보안 권장 사항

이 섹션에서는 특정 기능에 한정되지 않고 Microsoft BizTalk Server 환경을 보호하기 위한 고급 권장 사항을 설명합니다.

토폴로지 수준의 권장 사항

채널 수준의 암호화를 사용합니다. 기본적으로 BizTalk Server에 있는 다양한 구성 요소 사이의 네트워크 데이터 흐름은 일반 텍스트로 이루어집니다. 메시지가 컴퓨터 간에 이동할 때 데이터 스니핑이나 손상의 우려가 있는 경우 IPSec(인터넷 프로토콜 보안) 또는 SSL(Secure Sockets Layer)과 같은 채널 수준 암호화를 사용하는 것이 좋습니다. BizTalk Server에서 채널 수준 암호화가 기본적으로 구성되지 않은 경우, BizTalk Server는 암호화 키와 암호 등 중요한 데이터를 일반 텍스트로 전송하지 않습니다. SSO 데이터베이스는 마스터 보안 서버에서 제공한 마스터 보안(암호화 키)을 사용하여 중요한 정보를 암호화된 형식으로 저장하여 관리합니다. 기본적으로 SSO 데이터베이스는 중요한 정보를 암호화된 형식으로 저장하고 송수신합니다.

SSL에 대한 자세한 내용은 를 참조하세요 https://go.microsoft.com/fwlink/p/?LinkId=189708.

서버의 물리적 보안을 확보합니다. 서버, 장치, 네트워크, 케이블, 전원 공급 장치 및 다른 구성 요소의 물리적 보안도 고려해야 합니다. 컴퓨터를 안전한 환경에 둬야 하며, 데이터베이스처럼 업무상 중요한 정보가 있는 컴퓨터에 대한 액세스를 제한해야 합니다.

사용할 구성 요소만 설치합니다. 경계 네트워크에 있는 컴퓨터 또는 HTTP 및 SOAP 어댑터를 실행 중인 컴퓨터 등, 사용자의 환경에 IIS(인터넷 정보 서비스)를 설치해야 하는 경우 IIS의 FTP(File Transport Protocol), WebDAV 및 SMTP(Simple Mail Transfer Protocol) 하위 구성 요소를 설치하지 않아도 됩니다. 마찬가지로, 환경에 필요한 BizTalk Server 기능만 설치하고 구성하십시오. 예를 들어 BizTalk 메시지 큐 어댑터를 사용하는 경우에만 구성하십시오. 그러면 사용자 환경에서 잠재적인 공격 취약 부분을 줄일 수 있습니다.

인터넷 Explorer 사용하는 경우 인터넷 Explorer 보안 강화를 켜는 것이 좋습니다.

서비스 팩 및 업데이트를 설치합니다. SQL Server 포함하여 BizTalk Server 리소스가 있는 모든 서버에 항상 최신 제품 서비스 팩 및 Microsoft 업데이트를 설치하는 것이 좋습니다.

암호를 스크립트 또는 바인딩 파일에 일반 텍스트로 저장하지 마십시오. BizTalk Server 관리자만 암호 스크립트를 보고, 수정하고, 실행할 권한을 갖도록 강력한 DACL(임의 액세스 제어 목록)이 있는 위치에 스크립트를 저장해야 합니다. 스크립트와 바인딩 파일에 암호가 필요한 경우에는 구성이나 배포에 스크립트를 사용하는 즉시 암호를 마스크합니다. 암호를 이러한 파일에 일반 텍스트 형태로 두지 마십시오.

강력한 DACL(임의 액세스 제어 목록)을 사용합니다. 리소스를 사용하는 사용자와 계정에만 리소스에 대한 액세스 권한을 제공하며, 작업 수행에 필요한 최소한의 권한을 제공합니다. DACL이 있는 위치의 구성 스크립트를 BizTalk Server 관리자에게 지정하며, 스크립트에 일반 텍스트 암호를 삽입하지 마십시오. BizTalk Server에서 사용하는 모든 서비스 계정과 관련한 임시 디렉터리에 DACL을 사용하여, 해당 서비스 계정과 BizTalk 관리자만 이 디렉터리에 액세스할 수 있도록 합니다.

사용자 지정 어댑터가 있는 경우에는 강력한 DACL이 있는 위치에 어댑터 확장 구성 요소를 저장하여, BizTalk Server 관리자만 이 구성 요소에 대한 쓰기 권한을 갖도록 하는 것이 좋습니다.

BizTalk Server를 경계 네트워크에 배치하지 마십시오. 회사 규모와 관계없이, BizTalk Server를 경계 네트워크에 두면 서버가 인터넷을 통한 직접 공격뿐만 아니라 경계 네트워크 내에서 손상될 수 있는 다른 서버를 통한 공격에도 노출됩니다. BizTalk Server는 데이터 도메인의 Microsoft SQL Server 데이터베이스와 통신하므로, 악의적인 사용자가 손상된 BizTalk Server를 활용하여 중요한 비즈니스 처리 및 구성 데이터를 변조할 수 있습니다.

BizTalk Server 그룹 및 계정

최소 권한 및 사용자 권한을 가진 계정을 사용합니다. BizTalk Server 시스템에서 모든 계정은 해당 작업을 수행하는 데 필요한 최소한의 사용자 권한이 있어야 합니다. 예를 들어, 사용자가 처리 서버에서 사용하는 서비스 계정에는 BizTalk Server, SQL Server 또는 Windows Server에 대한 관리자 권한이 있어서는 안 됩니다. 계정이 BizTalk Server 작업을 수행하는 데 필요한 최소 보안 권한 및 사용자 권한에 대한 자세한 내용은 최소 보안 사용자 권한을 참조하세요. BizTalk Server 사용하는 그룹 및 계정에 대한 자세한 내용은 BizTalk Server Windows 그룹 및 사용자 계정을 참조하세요.

기능마다 서로 다른 계정을 사용합니다. BizTalk Server 환경의 보안을 유지하려면 사용자 환경에서 실행 중인 호스트 인스턴스별로 서로 다른 서비스 계정을 만드는 것이 좋습니다. 그러면 암호 업데이트 중의 가용성도 향상됩니다. 서비스 계정이 BizTalk Server에 대한 여러 Windows 그룹의 멤버가 아닌 것이 좋습니다.

또한 BizTalk 호스트별로 서로 다른 Windows 그룹을 사용하는 것이 좋으며, 한 그룹에 포함된 서비스 계정이 다른 호스트에 대한 Windows 그룹의 멤버가 아닌 것이 좋습니다. 이렇게 하면 각 BizTalk 호스트가 보안상 강력하게 격리됩니다.

추적 호스트에 대해서만 Windows 그룹을 만들고, 추적 호스트 인스턴스에 대해서는 이 그룹의 서비스 계정을 사용하는 것이 좋습니다. 이 서비스 계정을 다른 서비스에 사용하지 말고, 추적 호스트 인스턴스에 대해 BizTalk 관리자 계정을 사용하지 마십시오.

기능마다 서로 다른 호스트를 사용합니다. 추적 전용 호스트를 만드는 것이 좋습니다. "호스트 추적"이 구성된 호스트에는 MessageBox 데이터베이스의 추적 테이블에 대한 읽기 및 쓰기 권한뿐만 아니라 추적 데이터베이스의 테이블에 대한 액세스 권한도 있습니다. 따라서 추적을 호스팅하는 호스트에서 실행 중인 모든 개체에도 이러한 테이블에 대한 읽기 및 쓰기 액세스 권한이 있습니다. 파이프라인 및 오케스트레이션과 같은 사용자 항목에서 가져온 중요 추적 데이터에 대한 액세스를 차단하려면 메시지 처리나 송수신 작업을 하지 않는 추적 전용 호스트를 만드는 것이 좋습니다.

또한 메시지 처리, 보내기, 받기용으로 서로 다른 호스트를 사용하는 것이 좋습니다. 그러면 회사의 개인 인증서에 액세스해야 하는 서비스 계정을 분리할 수 있습니다. 이러한 계정에서 실행하는 코드가 적을수록 취약성을 통해 계정을 손상할 가능성이 낮아지므로 결과적으로 개인 인증서 손상의 위험이 줄어듭니다.

암호를 주기적으로 변경합니다. 서비스 계정의 암호를 주기적으로 변경해야 합니다. 호스트 인스턴스에 대해 서비스 계정이 여러 개 있을 수 있음을 감안하여, 이러한 각 서비스 계정의 암호를 변경해야 합니다.

주의

BizTalk 관리 콘솔에서 호스트 인스턴스에 대한 서비스 계정의 암호를 변경해야 합니다. 컴퓨터 관리 콘솔에서 호스트 인스턴스에 대한 서비스 계정 암호를 변경하면 구성 문제가 발생할 수 있습니다.

멤버 자격을 BizTalk 관리자 그룹으로 제한합니다. BizTalk Server 관리자는 암호화 여부와 관계없이 대부분의 데이터에 대한 액세스 권한을 비롯하여 BizTalk Server 환경 전체에서 적용되는 사용자 권한을 가지고 있습니다. 따라서 BizTalk 관리자가 실수로 부적절하게 구성하면 중요한 보안 취약점이 노출될 수 있습니다. BizTalk 관리자의 실수는 고객 데이터의 기밀성, 무결성, 가용성에 미치는 손실을 비롯하여 시스템에 무제한의 피해를 줄 수 있습니다.

개발자가 오케스트레이션을 프로덕션 환경의 컴퓨터에 직접 배포하는 경우에는 도메인 관리자가 개발자에게 BizTalk 관리자 권한을 부여해야 합니다. 이 방법은 앞에서 설명한 이유로 인해 권장되지 않습니다.

멤버 자격을 COM+ 관리자 그룹으로 제한합니다. 다양한 아키텍처 관련 이유로 인해 COM+ 관리자는 여러 BizTalk Server 구성 요소의 관리자로서 사용자 권한을 갖습니다. 모든 실질적인 이유로, 사용자는 컴퓨터의 COM+ 관리자는 BizTalk 관리자이기도 하다는 점을 가정해야 하며 이에 따라 멤버 자격을 BizTalk 프로덕션 서버 내의 이 그룹으로 제한해야 합니다.

액세스해야 하는 서비스를 실행하는 컴퓨터에만 액세스할 수 있도록 사용자에게 권한을 제공합니다. 일부 계정이 일부 컴퓨터에 대한 권한만 필요로 하는 것이 현실입니다. BizTalk 호스트 인스턴스는 중요한 정보를 메모리에 보관하며, 이 정보는 암호나 사업 정보와 같은 중요한 데이터일 수 있습니다. 이러한 컴퓨터에 매우 엄격한 로컬 사용자 정책을 설정해야 합니다. 예를 들어 배포 유지 관리를 위해 권한을 필요로 하는 개인에게만 이 컴퓨터에 대한 로컬 로그온 권한을 부여하십시오. 그러면 스왑 파일 및 크래시 덤프 액세스로 인해 발생하는 위협을 완화할 수 있습니다.

Power Users 그룹의 권한을 제한하거나 제거합니다. Power Users 그룹의 기본 사용자 권한은 이 그룹 구성원에게 GAC(전역 어셈블리 캐시)에 등록된 BizTalk 어셈블리를 비롯하여 컴퓨터 전반의 설정을 수정할 수 있는 사용자 권한을 제공합니다. 컴퓨터마다 하나 이상의 응용 프로그램에서 공유되는 어셈블리를 포함하는 GAC가 있습니다. 어셈블리 변경 권한을 Power Users 그룹에서 제거하거나, 프로덕션 BizTalk Server에서 Power Users 그룹을 삭제하는 것이 좋습니다.

참고 항목

그룹 및 서비스 계정에 대한 Access ControlAccess Control 관리 역할의 최소 보안 사용자 권한계획