집합체 보안

Liberty 프로파일의 집합체 보안 원칙을 사용하여 이동 중인 데이터와 정지 중인 데이터를 다룰 수 있습니다.

집합체 보안의 두 가지 프린시펄 영역은 다음과 같습니다.
  • 관리 도메인 보안 구성

    이동 중인 데이터, 인증 및 권한에 대해 다룹니다.

  • 집합체 저장소 데이터 보안

    정지 중인 데이터, 인증 및 권한에 대해 다룹니다.

관리 도메인 보안 구성
집합체에 대한 관리 도메인 보안 구성은 두 파트로 구성됩니다.
  • 사용자 도메인

    이 도메인은 관리자 역할을 정의하는 Java™ 역할 기반 보안에 의존합니다. 구성된 사용자 레지스트리에서 사용자에게 맵핑할 수 있습니다.

  • 서버 도메인

    이 도메인은 SSL 인증서 기반 인증에 의존합니다.

집합체 제어기의 MBean에 액세스하려면 관리자 역할을 수행 중이어야 합니다. 집합체를 통해 모든 관리 조치를 수행하려면 사용자에게 관리자 역할이 부여되어야 합니다. 자세한 내용은 Liberty 프로파일에 대한 보안 JMX 연결 구성의 내용을 참조하십시오.

서버 간 통신은 서버 도메인에 포함되므로 집합체 멤버 간에 통신하는 데 사용자 ID나 비밀번호를 사용하지 않습니다. 각 집합체 멤버에는 호스트 이름, 사용자 디렉토리 및 서버 이름으로 구성된 집합체에서 고유한 ID가 있습니다. 집합체의 각 멤버는 serverIdentity.jkscollectiveTrust.jks 파일로 구성된 서버 도메인 구성을 정의합니다. 이러한 파일에는 집합체에서 보안된 통신을 설정하는 데 필요한 SSL 인증서가 포함되어 있습니다. HTTPS 키 구성에는 기본값으로 설정된 특정 신뢰 설정이 있어야 합니다.

collectiveTrust.jks 키 저장소에 추가 신뢰 인증서 항목을 추가하여 서버 도메인 SSL 구성을 사용자 정의할 수 있습니다. 제어기를 복제할 때 모든 신뢰가 복사되므로 SSL 사용자 정의가 초기 제어기에 적용되어야 합니다. 기본 HTTPS 인증서를 사용하지 않는 경우에만 collectiveTrust.jks 키 저장소에 신뢰를 추가해야 합니다. HTTPS SSL 구성이 수정되면, 다음 인증서 규칙이 적용됩니다.
  • 집합체의 모든 제어기와 멤버가 HTTPS 신뢰를 설정해야 합니다. HTTPS SSL 인증서가 수정되면, 집합체 제어기의 다음 루트 서명자를 HTTPS SSL 신뢰 저장소에 추가해야 합니다.
    • rootKeys.jks 키 저장소의 controllerRoot 서명자를 모든 집합체 멤버의 HTTPS SSL 신뢰 저장소에 추가해야 합니다.
    • rootKeys.jks 키 저장소의 controllerRoot 서명자 및 memberRoot 서명자를 모든 집합체 제어기의 HTTPS SSL 신뢰 저장소에 추가해야 합니다.
  • 각 멤버는 집합체 제어기로의 아웃바운드 연결을 구축할 수 있습니다. 집합체 제어기의 collectiveTrust.jks 키 저장소가 각 멤버에 대한 HTTPS SSL 인증을 신뢰하는 인증 체인을 포함해야 합니다. 루트 서명자가 모든 HTTPS 인증서에 서명하도록 적극 권장합니다. 그러면 해당 인증서를 collectiveTrust.jks 키 저장소에 추가할 수 있습니다. 공통 루트 서명자가 없는 개별 SSL 인증서를 사용하면 신뢰를 구축하기엔 충분하지만 스케일링되지 않습니다.
  • 각 제어기로부터 집합체 멤버에 연결할 수 있습니다. 집합체 멤버의 collectiveTrust.jks 키 저장소에 각 제어기에 대한 HTTPS SSL 인증서를 신뢰하는 인증 체인이 있어야 합니다. 루트 서명자가 모든 HTTPS 인증서에 서명하도록 적극 권장합니다. 그러면 해당 인증서를 collectiveTrust.jks 키 저장소에 추가할 수 있습니다. 공통 루트 서명자가 없는 개별 SSL 인증서를 사용하면 신뢰를 구축하기엔 충분하지만 스케일링되지 않습니다.
서버 간 통신은 SSL 인증을 지원해야 합니다. HTTPS SSL 구성이 사용자 정의되면, SSL 구성은 clientAuthenticationSupported="true"를 지정해야 합니다. clientAuthenticationRequired="true"를 사용하지 않도록 권장합니다. 왜냐하면 사용자 이름과 비밀번호를 사용하여 인증할 수 없기 때문입니다. 예를 들면 다음과 같은 경우가 있습니다.
<!-- clientAuthenticationSupported set to enable bidirectional trust -->
    <ssl id="defaultSSLConfig"
         		 keyStoreRef="defaultKeyStore"
         		 trustStoreRef="defaultTrustStore"
         clientAuthenticationSupported="true" />

CollectiveRegistration MBean을 사용하면 멤버가 집합체 제어기에 정보를 공개할 수 없습니다. disavow 및 avow 메소드는 각각 인증을 방지하고 인증을 사용 가능하게 설정합니다.

집합체 저장소 데이터 보안

집합체 저장소 데이터 보안 정책은 정지 중인 데이터의 정책(특히, 집합체 저장소의 컨텐츠에 액세스하는 정책)을 포함합니다.

집합체 데이터에 대한 현재 보안 정책은 다음과 같습니다.
  • 시스템은 세 개의 노드 이름인 sys.host.auth.info, sys.jmx.auth.info, sys.nologin을 예약합니다. 이 노드는 호스트 또는 서버의 저장소 네임스페이스 아래에 있습니다. 사용자가 작성한 노드에서는 sys. 접두부를 사용하지 않아야 합니다.
  • sys.host.auth.infosys.jmx.auth.info 노드는 시스템 신임 정보의 노출을 방지하기 위해 MBean을 통해 액세스할 수 없습니다. 이 노드에 저장된 데이터에 액세스하면 널 응답이 발생합니다.
  • 집합체 멤버는 저장소에 있는 소유 정보만 수정할 수 있습니다. 인증된 관리자는 이전에 언급된 경우를 제외하고 저장소의 정보에 무제한 액세스할 수 있습니다. 인증된 관리자는 관리자 역할이 부여된 모든 사용자입니다.

집합체 저장소는 궁극적으로 디스크에 있으므로 환경에 대한 파일 시스템 권한 설정이 보안되어야 합니다. 집합체 제어기 구성은 사용자만 읽고 쓸 수 있거나 그룹만 읽을 수 있으며 그 외에는 전혀 액세스할 수 없도록 하십시오. 즉, chmod 0640을 설정하십시오. 조직이 설정한 보안 가이드라인에 따르십시오.


주제의 유형을 표시하는 아이콘 개념 주제

Information Center 이용 약관 | 피드백


시간소인 아이콘 마지막 업데이트 날짜: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=cwlp_collective_sec
파일 이름: cwlp_collective_sec.html