보호
이 항목에서는 DB2 보호의 지원되는 표준에 대해 설명합니다.
DB2의 암호화 표준
다음 표에서는 DB2에 대해 지원되는 암호화 표준에 대해 설명합니다.
| 암호화 | 인증 | 데이터 |
|---|---|---|
| Kerberos | 예 | 아니요 |
| SSL(Secure Sockets Layer) V3 | 예 | 예 |
| TLS(전송 계층 보안) V1 | 예 | 예 |
| AES(Advanced Encryption Standard) | 예 | 아니요 |
보호 구성
데이터 공급자가 DB2 패키지의 실행 권한을 DB2 공개 그룹에 부여
DB2 패키지를 만들 때 데이터 액세스 도구 및 데이터 공급자가 DB2 패키지의 실행 권한을 퍼블릭으로 설정하면 모든 DB2 사용자가 실행 권한을 가지게 됩니다. DB2 서버의 보안을 강화하려면 패키지에서 퍼블릭에 대한 실행 권한 부여를 취소하고 선택한 DB2 사용자 또는 그룹에만 실행 권한을 부여하는 것이 좋습니다.
데이터 도구가 유니버설 데이터 링크(UDL) 파일에 일반 텍스트에 인증 자격 증명을 저장
데이터 원본 마법사와 데이터 연결은 인증 자격 증명(사용자 이름 및 암호) 을 유니버설 데이터 링크(UDL) 또는 연결 문자열(TXT) 파일에 일반 텍스트로 저장합니다. Windows Active Directory 계정에서 IBM DB2 자격 증명에 대한 매핑을 안전하게 저장하는 ESSO(Enterprise Single Sign-On)를 사용하도록 데이터 공급자를 구성하는 것이 좋습니다. 데이터 공급자는 런타임에 이러한 매핑을 검색하여 Windows 사용자를 원격 IBM DB2 데이터베이스 서버에 안전하게 인증할 수 있습니다. 데이터 소비자 및 데이터 도구와 함께 데이터 공급자 In-Process를 실행해야 합니다.
데이터 공급자가 암호화되지 않은 일반 텍스트 형식의 사용자 이름과 암호를 사용하여 연결
데이터 공급자는 사용자 이름 및 암호가 암호화되지 않고 일반 텍스트로 제출되는 경우 기본 인증을 사용하여 TCP/IP 또는 SNA 네트워크를 통해 원격 DB2 서버 컴퓨터에 연결합니다. 데이터 공급자를 Kerberos, SSL(Secure Sockets Layer) V3.0 또는 TLS(전송 계층 보안) V1.0을 사용하는 인증 암호화 또는 AES를 사용하는 인증 암호화를 사용하도록 구성하는 것이 좋습니다.
데이터 공급자가 암호화되지 않은 데이터를 보내고 받음
데이터 공급자가 암호화되지 않은 데이터를 보내고 받습니다. SSL(Secure Sockets Layer) V3.0 또는 TLS(Transport Layer Security) V1.0을 사용하는 데이터 암호화를 사용하도록 데이터 공급자를 구성하는 것이 좋습니다.
소비자 및 데이터 도구가보안 되지 않은 폴더에서 연결 파일을 읽거나 이 폴더에 씀
데이터 소비자 및 데이터 도구가 안전하지 않은 폴더에서(폴더로) 연결 파일을 읽고 쓸 수 있습니다. 유니버설 데이터 링크(UDL) 파일을 Host Integration Server\Data Sources 또는 프로그램 디렉터리에 저장한 다음, 로컬 관리자 권한이 있는 폴더를 보호해야 합니다. 데이터 소비자 및 데이터 도구 안전한 저장소 내에 연결 정보를 유지한 다음, 데이터 소비자 및 데이터 도구로 데이터 공급자 In-Process를 실행해야 합니다.
데이터 소비자 및 데이터 도구는 잘못된 속성을 가진 연결 요청 가능
데이터 소비자 및 데이터 도구는 잘못된 연결 속성 값을 사용하여 연결을 요청할 수 있습니다. 확인되지 않은 연결 문자열 인수 이름 값 쌍을 전달하는 대신 데이터 공급자 연결 개체를 사용하여 연결하는 데이터 소비자를 사용해야 합니다. 잘못된 연결 시도를 취소하는 연결 제한 시간 값을 설정해야 합니다.
데이터 소비자 및 데이터 도구는 잘못된 데이터를 사용하여 명령을 요청할 수 있음
데이터 소비자 및 데이터 도구는 잘못된 데이터를 사용하여 명령을 요청할 수 있습니다. 매개 변수 형식의 유효성을 검사하기 위해 인라인 데이터 값을 가진 확인되지 않은 명령 문자열을 전달하는 대신, 매개 변수 개체가 있는 데이터 공급자 명령을 사용하는 명령을 생성하는 데이터 소비자를 사용해야 합니다. 잘못된 명령 시도를 취소하려면 명령 시간 제한 값을 설정해야 합니다. 2단계 커밋 트랜잭션을 사용하여 데이터 소비자를 보호하기 위해 원격 작업 단위(RUW) 대신 DRDA 분산 작업 단위(DUW)를 사용해야 합니다.