다음을 통해 공유


도메인 보안 이해

적용 대상: Exchange Server 2010

마지막으로 수정된 항목: 2009-11-25

도메인 보안은 S/MIME 또는 기타 메시지 수준 보안 솔루션을 대체하는 상대적으로 저렴한 솔루션을 제공하는 Microsoft Exchange Server 2010 및 Microsoft Office Outlook 2007의 기능 집합을 나타냅니다. 도메인 보안 기능 집합의 목적은 관리자에게 인터넷을 통해 비즈니스 파트너와의 보안된 메시지 경로를 관리하는 방법을 제공하기 위한 것입니다. 이러한 보안된 메시지 경로가 구성된 후 인증된 보낸 사람으로부터 보안된 경로를 통해 전달된 메시지는 Outlook 및 Microsoft Office Outlook Web App 인터페이스에서 Domain Secured로 사용자에게 표시됩니다.

도메인 보안은 상호 TLS(전송 계층 보안) 인증을 사용하여 세션 기반 인증과 암호화를 제공합니다. 상호 TLS 인증은 TLS와 달리 일반적으로 구현됩니다. 일반적으로 TLS가 구현되면 클라이언트는 지정한 서버의 인증서를 확인하여 해당 서버에 안전하게 연결되었는지 확인합니다. 이것을 TLS 협상의 일부로 받습니다. 이 시나리오에서 클라이언트는 데이터를 전송하기 전에 서버를 인증합니다. 그러나 서버는 클라이언트와 세션을 인증하지 않습니다.

상호 TLS 인증을 사용하면 각 서버는 다른 서버에서 제공한 인증서를 확인하여 다른 서버와의 연결을 확인합니다. 이 시나리오에서는 Exchange 2010 환경에서 확인된 연결을 통해 외부 도메인으로부터 메시지를 받으며 Outlook 2007에 도메인 보안 아이콘이 표시됩니다.

중요

암호화와 인증서 기술 및 개념에 대한 자세한 설명은 이 항목에서 다루지 않습니다. 암호화 및 디지털 인증서를 사용하는 보안 솔루션을 배포하기 전에 신뢰, 인증, 암호화, 공개 키와 개인 키 교환은 암호화와 관련이 있으므로 이들에 대한 기본 개념을 이해하는 것이 좋습니다. 자세한 내용은 이 항목의 끝부분에 있는 참조 항목을 참조하십시오.

전송 서버 관리와 관련된 관리 작업에 대한 자세한 내용은 전송 서버 관리를 참조하십시오.

TLS 인증서 유효성 검사

상호 TLS 전송의 전체 보안 및 결과 신뢰성을 이해하려면 기존 TLS 인증서의 유효성 검사 방식을 이해해야 합니다.

Exchange 2010에는 TLS 인증서를 만들고 요청하고 관리하는 cmdlet 집합이 있습니다. 기본적으로 이러한 인증서는 자체 서명되어 있습니다. 자체 서명 인증서는 생성자가 직접 서명한 인증서입니다. Exchange 2010에서 자체 서명된 인증서는 기존 Microsoft Windows CAPI(Cryptography API)를 사용하여 Microsoft Exchange를 실행 중인 컴퓨터에서 만들어집니다. 인증서는 자체 서명되므로 결과 인증서는 PKI(공개 키 인프라) 또는 타사 CA(인증 기관)에서 생성한 인증서보다 신뢰성이 낮습니다. 따라서 내부 메일에만 자체 서명된 인증서를 사용하는 것이 좋습니다. 또는 도메인 보안 전자 메일을 교환하는 받는 조직이 자체 서명된 인증서를 각 인바운드 Edge 전송 서버에 있는 신뢰할 수 있는 루트 인증서 저장소에 수동으로 추가하는 경우 자체 서명된 인증서를 명시적으로 신뢰할 수 있습니다.

인터넷을 통과하는 연결에서는 PKI 또는 타사 CA를 통해 TLS 인증서를 생성하는 것이 좋습니다. 신뢰할 수 있는 PKI 또는 타사 CA를 통해 TLS 키를 생성하면 도메인 보안의 전체 관리를 줄일 수 있습니다. 신뢰할 수 있는 인증서 및 도메인 보안 관련 옵션에 대한 자세한 내용은 도메인 보안을 위해 Edge 전송 서버에 PKI 사용을 참조하십시오.

Exchange 2010 인증서 cmdlet을 사용하여 고유한 PKI 또는 타사 CA에 대한 인증서 요청을 생성할 수도 있습니다. 자세한 내용은 TLS 인증서 이해을 참조하십시오.

도메인 보안을 구성하는 방법에 대한 자세한 내용은 다음을 참조하십시오.

Exchange Hosted Services 사용

메시지 수준 보안은 Microsoft Exchange Hosted Services로 향상되거나 Microsoft Exchange Hosted Services의 한 서비스로도 사용할 수 있습니다.

Exchange Hosted Services는 다음과 같은 네 개의 고유한 호스팅된 서비스 집합입니다.

  • 전자 메일을 통해 전파되는 맬웨어로부터 조직을 보호하도록 지원하는 Hosted Filtering
  • 조직에서 규정에 대한 보존 요구 사항을 충족하도록 지원하는 Hosted Archive
  • 조직에서 데이터를 암호화하여 기밀을 유지할 수 있도록 지원하는 Hosted Encryption
  • 조직에서 긴급 상황 시 및 긴급 상황 이후에 계속해서 전자 메일에 액세스할 수 있도록 지원하는 Hosted Continuity

이러한 서비스는 서비스 공급자를 통해 제공되는 내부 Exchange 전자 메일 서비스 또는 호스팅된 Exchange 전자 메일 서비스에서 관리되는 구내 Exchange 서버와 통합됩니다. Exchange Hosted Services에 대한 자세한 내용은 Microsoft Exchange Hosted Services(영문)를 참조하십시오.

참고 자료

Housley, Russ and Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure. New York: John Wiley & Son, Inc., 2001.

Adams, Carlisle and Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd Edition. New York: John Wiley & Son, Inc., 1996.

Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure